网络攻防模拟实验平台的设计与实现*

孔轶艳

(柳州职业技术学院，广西 柳州 545006)

0 引言

网络安全是当前网络应用中的一个研究热点。为了能够更好地分析和研究网络安全相关技术，相应的网络安全实验环境或实验平台，有着广泛的应用需求。然而由于网络攻防的相关实验都对实验条件或实验环境都有比较高的要求，尤其是网络攻防的相关实验，往往会对实验环境或目标系统造成比较严重的危害，有些损坏甚至是不可逆转的。因此围绕网络攻防的相关实验环境或训练平台的研究，一直是人们所关注的一个重点。目前，针对网络攻防实验或训练系统的相关研究成果主要有：董辉,马建的《基于虚拟蜜网的网络攻防实验平台的构建》针对传统被动防御式网络安全教学实验平台的缺点,研究虚拟机和蜜网关键技术，构建基于虚拟蜜网技术的网络安全教学实验平台，并给出平台核心功能实现过程。孔红山，唐俊，张明清的《基于SITL的网络攻防仿真平台的设计与实现》针对网络仿真工具在网络安全仿真方面的不足，引入系统在环技术构建网络攻防仿真平台，可解决其缺少网络攻击模型、应用层没有对攻击的响应、安全功能建模困难等问题[1-2]。

从目前的研究成果来看，当前针对网络攻防的相关实验环境基本上都是采用虚拟化技术，针对某一种网络安全问题提供相应的实验环境。这一类的实验环境所能够开展的网络攻防实验内容十分有限，因此在实际应用过程中局限性比较明显。为了能够更好地开展网络攻防相关实验和训练，本文设计了一个综合性的网络攻防实验训练平台，在该平台中既可以开展网络攻击的相关实验，也可以开展网络防护的相关实验，甚至还可以开展网络攻防的对抗性实验和训练。因此，能够为用户提供功能更为全面、性能更为优越、仿真程度更为逼真的网络攻防实验训练环境[3-4]。

1 网络攻防模拟训练平台设计

网络攻防模拟训练平台组成结构如图1所示，组成网络攻防模拟训练平台的硬件结构上主要有高性能服务器、路由器、交换机、实验终端等设备所组成。在整个网络硬件结构中，路由器和交换机负责网络攻防模拟训练平台的互联互通，两个服务器主要为网络攻防模拟训练提供虚拟化的操作环境，使用高性能的服务器能够在当台服务器上实现多个应用终端的虚拟。通过虚拟化的技术，能够在两台服务器上分别虚拟出网络攻击子系统和网络防护子系统。网络攻防模拟训练平台中的用户终端是为用户登录和使用网络攻防模拟训练平台的终端计算机。利用每一台终端计算机，用户可以连接到网络攻防模拟训练平台中来。而且在每个用户终端上本身也安装有虚拟机软件，能够在当台终端上虚拟出四个虚拟终端，从而一些小型化的本地网络攻防实验可以在用户终端计算机上通过虚拟终端来实现攻防实验。当用户希望进行较大规模的网络攻防实验，则可以连接至训练平台中的服务器。通过服务器虚拟出多个应用终端，分别设置为攻击子系统的应用终端，或防护子系统的应用终端。每一个应用终端分别应用攻击子系统和网络防护子系统的网络管理和网络配置，使得每一个应用终端成为攻击子系统或防护子系统的一个组成部分。之后用户既可以利用攻击子系统或防护子系统中自带的各种应用工具开展网络攻防的实验，也可以在虚拟终端上，利用虚拟终端所提供的二次开发平台和二次开发应用接口，有针对性地开发一系列的网络攻防应用程序，从而实现灵活多样的网络攻防实践操作[5-6]。

图1 网络攻防模拟训练平台组成结构

网络攻防模拟训练平台设计和实现过程中，首先选购相应的网络设备，搭建网络攻防训练模拟平台的硬件基础设施。然后在网络攻防训练平台上的两台服务器以及所有客户终端上安装虚拟机软件，并分别完成网络攻击子系统的应用配置和网络防护子系统的应用配置。在整个设计和实现过程中，攻击子系统和防护子系统的应用配置是整个网络攻防模拟训练平台实现过程中的关键环节。两个应用子系统能够配置一些什么样的功能，能够为用户提供哪些应用工具，直接决定了用户在该实验平台上所能够开展的网络攻防训练操作内容。而且网络攻防训练子系统中所提供的二次开发接口，也直接决定了用户能否应用该平台方便灵活地设计一些有针对性的网络攻防应用程序。因此本文将重点围绕网络攻防子系统的开发与设计，详细阐述网络攻防模拟训练平台的实现过程[7]。

2 网络攻击子系统的设计

网络攻击子系统主要是模拟和实现各种常见的网络攻击操作，能够为用户提供良好的接口及丰富的攻击工具，使得用户利用该子系统能够有效地开展网络攻击相关实验。网络攻击子系统的实现是利用在虚拟机上配置相应的网络攻击应用程序或专用工具实现网络攻击子系统的各种功能。网络攻击子系统的组成结构如图2所示，在本文设计的网络攻击子系统中，主要包括DDOS攻击、漏洞扫描程序、ARP欺骗程序、网络修缮程序、中间人攻击代码和常见的网络漏洞利用源码。

通过网络攻击子系统中所包括的这些常用的攻击程序或模块，可以实现对目标系统或目标网络的一些典型的网络攻击行为。其中，网络漏洞利用攻击源码是指针对网络中的操作系统或某些应用软件所存在的一些安全漏洞专门开发的一些漏洞利用攻击源码。由于漏洞利用攻击源码在实际应用过程中，往往需要结合实际的应用环境和应用目标的特点才能开展更有针对性的网络攻击行为。因此，网络攻击子系统在实际应用过程中往往需要对漏洞利用攻击源码进行裁剪或修改[8]，以保证漏洞利用源码在真正的目标系统上能够发挥攻击效果。为此，本文设计的网络攻击子系统中包含了一个二次开发接口，该二次开发接口既可以为网络攻击子系统中自身所携带的漏洞利用攻击源码进行修改、调试和动态配置，也支持用户利用对于二次开发接口实现一些用户自定义的攻击方式和攻击过程。通过网络攻击子系统自身所携带的各种常见的网络攻击模块，可以简化用户开展网络攻击实验的难度，也有助于用户利用这些网络攻击工具，针对一些较为复杂的目标系统或目标网络开展综合性的网络攻击实验。而利用攻击子系统中所提供的二次开发接口，则可以使用户灵活地根据网络攻击过程中所反映出来的问题，结合目标系统所存在的现实漏洞状况，动态地调整攻击策略和攻击方法，开发一些时效性强、灵活多样的网络攻击源码。因此，网络攻击子系统这种设计结构既能够为用户提供验证性的网络攻防实验[9-10]，也能够为用户提供一些设计性和创新性的网络攻击实验。

图2 网络攻击子系统组成结构

3 网络防护子系统的设计

网络防护子系统的设计组成结构如图3所示。本文设计的网络防护子系统主要包括？检测模块、木马查杀模块、病毒防护模块、系统进程监护模块、防火墙网络流量监测模块、端口监测模块以及系统日志模块。网络防护子系统的主要应用目的，是为用户提供网络防护的相关管理和配置的实验操作，而且利用这些网络防护的管理和配置操作，让用户理解和掌握各种网络防护工具的使用方法和操作技巧。同时通过网络防护子系统在实际应用过程中表现出的各种现象和状态，让用户掌握各种网络现象，分析和判断当前网络状况以及所遭受的网络攻击情况。根据网络防护子系统的设计目标，在网络防护子系统中，用户可以对图三中所示的各种应用子模块进行灵活动态的配置和管理[11-12]，以提高目标系统的网络安全防护等级。

利用本文设计的网络防护子系统中的各应用模块，用户可以调用系统进程监视模块和端口监测模块对当前目标系统中所有运行的进程进行监视和管理，同时对所有与当前计算机相连的网络端口进行监测。网络流量监测模块则是可以为目标系统应用过程中对外的通信数据流量进行监测[13]，如果目标系统在实际应用过程中数据通信流量出现异常，则可以提示用户对当前的网络数据流量进行分析，以检测是否存在异常数据流量，进而发现是否存在一些恶意的网络攻击行为。病毒和木马查收模块可以为用户对当前计算机的运行安全提供更为全面的保障，防止一些恶意的病毒或木马入侵目标计算机。防火墙是目标系统对网络安全管理的一个有效的应用模块。防火墙的应用往往结合网络流量模块和端口监测模块共同使用，当用户通过网络流量和端口监测模块发现当前目标系统中存在通信的异常，可以调用防火墙对一些异常的通信端口或通信进程进行数据通信的阻断或拦截，防止用户的目标计算机遭受来自远程网络的一些非法攻击。入侵检测系统则是一个综合性的网络防护系统，其能够根据目标系统的实际运行状况、网络配置、网络连接等各种状态信息，综合分析和判断，检测当前目标系统中是否有遭受来自网络的各种安全威胁。系统日志模块则是对目标系统上所有的操作进行记录的模块，无论这些操作是用户自身所进行的操作，或是网络应用程序以及远程的网络调用所执行的相关操作，都将会在系统日志中留下相关记录，这将为用户分析网络安全状况、追踪网络攻击的一个重要手段。

图3 网络防护子系统组成结构

根据本文设计的网络防护子系统的组成结构以及组成结构中各模块所能提供的功能和应用，可以为用户提供一个全方位、灵活可配置的网络防护子系统。应用该子系统的各种功能，能够支持用户在该环境下开展网络攻防的相关实验和训练内容。

4 结语

网络攻防实验对实验条件要求很高，而且由于网络攻击的巨大破坏性，使得网络攻防实验不能够在普通的互联网上开展。这将使得网络攻防的训练平台的开发和设计变得十分有必要。本文通过采用虚拟机技术，在服务器上虚拟出网络攻击和网络防护子系统，能够实现当前绝大多数的网路攻击操作以及网络防护的配置管理。

[1] 董辉,马建.基于虚拟蜜网的网络攻防实验平台的构建[J].齐齐哈尔大学学报:自然科学版,2012,28(02):67-72.

[2] 汪渊,杨槐,朱安国.基于插件的网络攻防训练模拟系统设计与实现[J].计算机技术与发展,2010,20(07):172-174.

[3] 孔红山,唐俊,张明清.基于SITL的网络攻防仿真平台的设计与实现[J].计算机应用研究,2011,28(07):2715-2718.

[4] 周绯菲,潘杰,夏永恒,等.OPNET环境下DOS nuke的攻防仿真[J].上海海事大学学报,2008,29(02):86-90.

[5] 张明清,谢杰,张敏,等.基于OPNET的拒绝服务攻击建模与仿真[J].系统仿真学报,2008,20(10):2736-2739.

[6] 肖道举,杨素娟,周开锋,等.网络安全评估模型研究[J].华中科技大学学报:自然科学版,2002,30(04):37-39.

[7] 潘峰,孙鹏,刘景浩.一个实用、高效网络攻防训练模拟系统的设计与实现[J].信息安全与通信保密,2005(07):327-331.

[8] 谌黔燕.综合性、设计性实验的开发与探索——网络攻防实验模型的设计与实现[J].实验科学与技术,2005,3(S1):39-41.

[9] 成卫青,杨哲睿.网络编程实验设计与教学研究[J].实验科学与技术,2010,8(02):99-101.

[10] 姜沫岐,陈月云.基于DSP构建综合仿真平台的OFDM系统实现[J].信息安全与通信保密,2006(03):86-88.

[11] 文军,王加懂.DSP程序在线编程的研究与实现[J].信息安全与通信保密,2007(08): 192-195,198.

[12] 杨华,杨松岸,黄修超.以TMS320C6205为核心的MPEG-4编码器的设计与实现[J].通信技术,2003(11):1-2,5.

[13] 易克非,胡庆锋.基于DSP的实时多任务调度内核设计[J].通信技术,2011,44(06):135-137.