您当前的位置: 首页 >> 保密科技 >> 技术交流

面向人才培养的网络靶场体系与分类研究
来源: 国家保密科技测评中心 2022-06-17 15:03:54

【摘 要】 随着网络安全威胁技术持续发展,威胁影响日益加深,熟练掌握应对安全威胁技能的专业技术人才成了当前社会的刚性需求,而培养高素质网络安全人才离不开网络靶场的支撑。本文主要从技术体系、分类和发展趋势等方面对面向人才培养的网络靶场进行了分析和研究。

【关键词】 网络靶场 人才培养 技术框架 发展趋势

1 引言

由于网络安全威胁越来越复杂,越来越具有针对性和持久性,给网络系统安全带来了愈加严重的威胁。抵御越来越复杂的网络威胁不能单纯依靠各式各样的网络安全产品,还必须有训练有素的专业技术人员,根据网络安全态势适时地采取相应的安全防御措施。这就要求专业技术人员必须具备丰富经验和专业知识。网络靶场是帮助网络安全人员提升应对网络安全威胁所需技能和经验的有效手段。网络靶场能够模拟实际的网络安全威胁场景,提供可让网络安全人员扮演多种不同角色的训练环境,为了解安全漏洞利用技术、消除安全威胁影响等,提供实际经验。

网络靶场可以为网络安全管理人员培养其在威胁发生前、威胁发生中和威胁发生后采取有效行动能力提供支撑。在威胁发生前,网络靶场可以提供构建有效安全架构所需的技能,包括部署防火墙、入侵检测、访问权限分割等。在威胁发生中,网络靶场可以提供检测早期告警信息及深入了解网络安全威胁所需技能。在威胁发生后,网络靶场可以提供清理和修复威胁影响所需技能,如追踪威胁路径、修复安全漏洞、消除威胁影响等。

2 网络靶场技术体系

2.1 网络靶场概述

网络靶场是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,为实现与网络安全相关的学习、研究、检验、竞赛、演习等活动提供支撑,从而提高人员及机构的网络安全对抗能力与水平。通过网络靶场,可实时评估网络安全攻防进程及态势,为网络安全训练提供实时反馈,增加训练的针对性和价值。

网络靶场的概念内涵非常广泛,在线网络攻防学习环境、网络安全竞赛平台、网络安全技术测评研究平台、城市级甚至国家级的网络攻防演练平台等,都可以归属于网络靶场的范畴。在这些可以被称为网络靶场的环境与平台中,也存在着很大的差异,如规模量级差异、模拟环境复杂度差异、应用场景差异、环境模拟逼真度差异等。

网络靶场作为支撑网络空间安全的技术验证、装备试验、技能训练、攻防演练和风险评估的重要基础设施,已成为网络安全领域技术发展和人才培养的重要支撑手段[1]。

网络靶场系统中一般会包含若干团队,每个团队在靶场中都具有自己的角色定位。到目前为止,网络靶场已经发展到了7种不同的团队角色,如表1所示。各种团队角色有不同的角色定位,有些角色还可以由智能化软件实现自动化,代替真实的人来完成相应的角色功能。

2.2 网络靶场技术框架

2020年6月,美国国家标准与技术研究院(NIST)发布《网络靶场指南》,围绕网络安全教育、认证和培训等领域,给出了一种网络靶场的技术框架,如图1所示。该技术框架基于靶场学习管理系统(RLMS),将网络靶场划分为编排层、底层基础架构层、虚拟化层和目标基础设施层4个层次[2]。

(1)编排层。该层从RLMS输入信息,负责将网络靶场所有技术或服务组件整合在一起,便于底层基础设施、虚拟化和目标基础设施的网格化,支持公有云、私有云和专用硬件基础设施的动态网络靶场扩展。

(2)底层基础架构层。该层主要由网络、服务器和存储承载网络靶场数据和信息的基础设施构成。网络靶场基础设施可以是通用的硬件,也可以是虚拟化设备或云,也可以是专用的定制硬件。考虑可伸缩性、成本和可扩展性等需求,网络靶场的底层基础架构逐步转向基于软件定义网络(SDN)技术的虚拟基础架构。

(3)虚拟化层。大多数网络靶场都希望通过某种程度的虚拟化来缩小物理设备的覆盖范围。实现虚拟化的方法主要有2种,基于虚拟化管理程序和基于软件定义的基础结构。

(4)目标基础设施层。该层是模拟生成的目标网络场景的基础设施。较完善的网络靶场包含商用服务器、存储、端点、应用程序和防火墙的配置文件等要素。根据需要,目标基础结构可以由RLMS利用生成脚本来指示编排层创建。生成脚本一般包括特定于目标机的配置信息,如IP地址信息、路由信息、应用软件等。

3 网络靶场分类

网络靶场的分类方法有多种,既可以按照实现技术分类,也可以按照目的用途分类。

3.1 按照实现技术分类

按照实现技术,网络靶场可以分为4类:模拟类、仿真类、叠加类、混合类。

3.1.1 模拟类

模拟类网络靶场是指基于真实网络组件重建的一个虚拟网络环境,模拟运行在虚拟实例中,不需要任何物理网络设备。模拟类网络靶场首先对真实网络环境及用户行为进行建模,然后通过驱动模型进行信息互动,进而分析各模型单元的状态变化。模拟类网络靶场易于部署,安装和维护成本较低,但模拟实验结果准确性难以保证。模拟类靶场的典型案例是美国空军的SIMTEX网络安全模拟器。

3.1.2 仿真类

仿真类网络靶场将已构建的网络/服务器/存储基础设施等映射到物理基础设施上,作为网络靶场的物理基础设施。仿真类网络靶场使用独立的物理测试台,配置出需要测试的环境,运行真实的软件。仿真类靶场要求能对硬件进行重新配置,可根据测试需要,采用不同的拓扑结构。仿真类网络靶场使用真实的计算机、操作系统、应用软件和资源,能较全面地复现真实环境。仿真类靶场的典型案例是美国国防高级研究计划局(DARPA)的国家网络靶场(NCR)。

3.1.3 叠加类

叠加类网络靶场是运行在真实网络、服务器和存储设备之上的网络靶场,即利用现有的生产环境资源而建立的网络靶场。这类靶场在实际的生产现场软件上进行测试,使用实际的生产资源,在规模、成本和逼真度等方面有一定优势,缺点是靶场试验控制性较差,可能对实际网络造成不利影响。叠加类靶场的典型案例是美国国家科学基金会资助的网络创新全球环境(GENI)。

3.1.4 混合类

混合类网络靶场是由上述模拟、仿真、叠加三种靶场特性组成的网络靶场。混合类靶场的典型案例是美国弗吉尼亚网络靶场。

3.2 按照目的用途分类

按照目的用途,网络靶场可以分为3类:服务于国家与国防安全类、服务于网络空间安全人才培养类、服务于企业和商业组织安全类。

3.2.1 服务于国家与国防安全类

政府机构和军事部门需要专业网络安全力量,具备应对复杂网络威胁及网络恐怖主义的能力。因此,一些国家的军事和国防部门建设和部署了大量网络靶场,如美国的国家网络靶场(NCR)、国防信息系统局网络安全靶场(CSR)、国防部信息安全靶场(IAR)、联合网络空间作战靶场(JCOR)、海军网络空间作战靶场(NCOR)、联合信息作战靶场(JIOR)、战略司令部网络空间作战靶场(SCOR)、持续网络训练环境(PCTE)等。目前世界上大部分国家和国际组织的军事和国防部门都开展了服务于国家与国防安全的网络靶场建设,如英国联邦网络靶场(FCR)、北约网络空间靶场(NCR)、欧洲联合网络空间靶场等。

服务于国家与国防安全类的网络靶场一般具有规模庞大、技术复杂、功能全面、任务多样、综合管控等特点,全方位支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练、网络风险评估、网络安全人才培养等任务,主要服务于国家级网络空间力量的发展。

3.2.2 服务于网络空间安全人才培养类

网络空间安全人才除了要掌握大量理论知识,更需要具备扎实的实践动手能力。由于许多网络安全方面的实践活动可能造成严重的破坏性后果,难以在真实网络环境中实施,网络靶场可为网络安全实践能力培养提供安全隔离的模拟仿真环境。服务于网络空间安全人才培养的网络靶场既有面向培训和竞赛的商业化靶场,也有面向个体和组织的开放训练环境。

面向培训和竞赛的商业化靶场一般能够提供较为完善的训练、竞赛环境,支撑较大规模的网络安全培训与竞赛活动。

面向个体和组织的开放训练环境主要提供针对各种网络安全漏洞场景的目标环境,供个体或组织训练网络安全实践技能,靶场结构通常较为简单。典型的开放训练环境有Vulnhub、Vulhub和Hackthebox。Vulnhub是一个提供漏洞环境的靶场平台,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。Vulhub是一个基于Docker技术的漏洞环境集合,可以非常方便地启动一个全新的漏洞环境,让漏洞复现变得更加简单。Hackthebox是一个在线式的通关型网络渗透技术训练平台,集成了大量的网络安全训练环境,可供全球范围的个人、企业、机构等开展网络渗透技术的训练,不断提高网络渗透技能。

3.2.3 服务于企业和商业组织安全类

目前在企业等商业组织中,网络靶场主要用于构建网络安全培训和模拟中心,提供网络安全的模拟和演练解决方案,以提升企业人员技能及安全防护措施的有效性。典型的服务于企业和商业组织安全的网络靶场有Cyberbit Range、IBM X-Force Command Center、Cisco Cyber Range等[3]。

Cyberbit Range主要为客户提供网络靶场的网络安全模拟与培训解决方案;IBM X-Force Command Center主要为业务事件处理程序和操作连续性提供事件响应解决方案;Cisco Cyber Range主要通过虚拟对战环境,提高网络安全管理人员应对复杂网络威胁的经验和方法。

4 网络靶场发展趋势

面向人才培养的网络靶场越来越注重用户的学习体验,网络安全培训游戏化和人工智能(AI)辅助管理成为其当前重要的发展方向。

游戏一般具有较强的交互性、趣味性和沉浸式特点,能够显著吸引用户的注意力。将网络安全技能培训和游戏相结合,是利用网络靶场开展网络安全技能培训的一个重要发展趋势。通过游戏化与沉浸式仿真模拟环境相结合,能够提供身临其境的交互体验,引导学员深度参与其中,在游戏中培养技能。

将人工智能技术应用于网络靶场,一方面可以实现网络靶场白队部分导调功能的自动化、智能化;另一方面基于人工智能的AI聊天机器人,可以部分承担靶场指导教员的职责,在模拟训练过程中指导用户处理各种事件与问题。

目前,Cyberbit Range网络靶场已经开始引入虚拟教练员和游戏化机制。虚拟教练能够根据学员任务完成情况,自动进行数据采集分析和评估评价。通过引入游戏化机制,扩展网络安全训练的游戏场景,提高学习网络安全技能的趣味性。

5 结语

在网络空间安全人才培养中,网络靶场是网络安全实践能力训练的重要支撑,具有不可替代的作用。面向人才培养的网络靶场在形态与规模方面呈现出多样化的特点,大如NCR,小至单台靶机,都可以服务于实践能力训练。随着人们对学习网络安全技能方式方法心理预期的不断提高,游戏化和智能化已成为面向人才培养的网络靶场发展趋势。 

(原载于《保密科学技术》杂志2021年6月刊)