文档介绍：网络空间安全靶场技术研究及系统架构设计
摘要:目前网络安全靶场已经成为支撑网络空间安全技术验证、网络工具试验、攻防对抗演练和网络风险评估的重要手段。构建可脱离实体设备与环境、计算与存储资源灵活共享的虚拟化平台,形成针对现场网络拟化技术
,它将同一网络划分为多个逻辑上的虚拟子网,并规定当收到广播报文时,仅仅在其所在VLAN中进行广播从而防止广播报文泛滥。随着虚拟化技术的发展,很多场景下都需要采用单个物理设备虚拟多台虚拟机的方式来进行组网,而VLAN技术最多支持4094个tag,因此已经无法满足需求,而且它也无法解决多租户网络地址重叠的问题以及虚拟化技术导致交换机中的MAC表异常庞大导致影响交换机的转发性能等问题。
VXLAN(虚拟可扩展局域网)是一种隧道模式的网络覆盖技术,这种技术能够使用户扩跨越不同的网络为虚拟机创建逻辑网络,可以较好地解决VLAN的上述问题。它可以通过将第2层扩展到第3层网络来构建大型的多租户数据中心,同时将虚拟网络与物理基础设施分离,并实现网络可靠性和可扩展性,可以使用VXLAN技术创建多达1600万个网络。
SDN(软件定义网络)是一种软件集中控制、网络开放的三层体系架构。SDN网络架构如图2。SDN控制平面和转发平面分离的思想非常适用于网络靶场的构建。一是网络靶场中的各种网络场景通常是非持久性的,灵活地对现有的网络结构进行重构和改造是一项重要的应用指标;二是网络靶场需要接入各种网络空间设备,这些设备需要实现动态的同虚拟节点的混合组网,这对网络配置的灵活性也提出了极高的要求。 本系统拟采用上述三种技术混合的网络虚拟化技术。VLAN技术,用于支持传统的网络组网方式,提高同各类物理网络的兼容性;VXLAN用于实现虚拟化平台内部的网络通信;SDN用来实现灵活的拓扑构造以及虚实结合组网等功能。
靶场数据采集与分析相关技术
通过分析仿真过程中产生的各类数据,可以交给自动化评估模型引擎实现系统自动判定,也可以交给裁判主观判定,还可以输出给可视化展示系统。演练过程中需要采集的重要数据按主体可以分为网络流量、主机行为等两种,为了确保采集性能、降低用户配置的复杂程度,网络流量、主机行为等数据的采集尽量使用带外的方式执行,尽量少在终端(虚拟机)中安装自定义的代理程序。
流量数据采集
网络流量采集可以使用策略采集、网元采集两种方式。策略采集由控制节点接收用户指令后,对虚拟网元f一般是虚拟交换机)下发采集策略,将流量通过隧道或其他形式转发至分析节点,完成虚拟流量采集。网元采集的方式是在hypervisor上运行agent代理,同时启动专用的流量分析虚拟机。Agent接收控制节点的指令,完成网络配置,将流量导人流量分析虚拟机,完成流量采集。与策略采集方案的不同之处在于,虚拟网元的配置不直接由控制器完成,并且采集的流量无须通过隧道等方式发送,而是直接进入本地虚拟机,减少网络带宽的占用。
对上述的两种方案进行对比,使用网元采集更适合靶场系统使用。通过在每个hypervisor上运行代理程序,实现了一个分布式的采集架构,将数据采集工作负荷均攤到每个计算节点中,具备更好的效率和稳定性,且不存在瓶颈。
主机行为数据采集
主机行为的采集可以在终端主机上安装应用层Agent,或者使用virtio驱动直接由hypervisor层采集两种形式。在主机上安装应用层最重要的缺陷是,当网络无法连通或者网络结构极为复杂时,难以实现向一个中心服务器报告采集数据的功能。所以使用virtio驱动进行主机层面的数据采集是比较理想的方案。通过Virtio技术,只需要在所有的虚拟机上安装QEMUG uestAgent,便可以实现多种操作系统的带外主机信息采集功能。
网络流量数据分析
同数据采集相对应,数据分析包含了网络流量分析、主机行为分析两个大类。在靶场系统中,主要涉及的技术是深度数据包检测(Deep packet inspection,DPI)技术。DPI是一种特殊的网络技术,一般网络设备只会查看以太网头部、IP头部而不会分析TCP/UDP里面的内容这种被称为浅数据包检测;与之对应的DPI会检查TCP/UDP里面的内容,所以称为DPI。
演练过程中需要重点分析的数据主要是各种应用系统在正常运行过程中产生的正常业务流量和攻击方执行攻击动作所产生的恶意流量,根据这些流量的相应特征,判断靶场内的任务目标达成情况、所使用的工具或技术以及部分工具的运行机理等。同时,这些流量经过进一步的清洗后,提取出重要的部分,转译成实时攻防态势系统的可视化数据流,用于驱动靶场内的攻防可视