网络攻防实验平台的设计

周　敏

(重庆理工大学 计算机科学与工程学院， 重庆　400054)



网络攻防实验平台的设计

周敏

(重庆理工大学 计算机科学与工程学院， 重庆400054)

针对网络攻防实验难以在普通网络下开展、网络攻防实验环境难以维护等问题，设计了一个包含网络攻防基础、网络攻防实战和网络防护实训三大部分的网络攻防实验平台。实验平台分为服务区和实验操作客户区两部分，能够循序渐进地进行网络攻防实验操作。平台结构包括硬件平台和软件平台，部署十分简便。教学实践表明，这种实验平台具有很好的实用性和可扩展性。

网络安全； 网络攻防实验； 实验平台设计

1　构建网络攻防实验平台的必要性

网络安全课程是信息安全及其相关专业的核心课程，学生通过学习网络安全课程，了解网络安全的常见威胁，掌握入侵检测、安全防护和应急响应机制等主要安全技术。网络安全课程的特点是技术性及实践性强，只有通过系统的实践、实训培养环节，才能让学生真正掌握网络安全的重要知识点。

目前，国内大部分高校开设的网络安全课程主要包括防火墙、虚拟专用网、入侵检测、网络攻击与防护等内容，其中网络攻击与防护是网络安全课程中实践性和综合性最强的一部分内容。但是，以往的网络安全实验中涉及到网络攻防的内容较少且比较松散，满足不了网络安全实验和相关课程实践的要求。另外，由于网络攻防实验难以在普通的网络下进行，网络攻防实验环境也难以维护，创建专业的网络攻防实验平台是十分必要的，其必要性主要体现在3方面。

(1) 网络安全及其相关课程教学的实际需要。网络攻击与防护是信息安全领域的重要研究课题[1]，网络攻防实验平台，能够为网络攻击与防护、渗透测试等实验教学提供综合的实验环境，学生可通过大量由易到难的实验和操作，掌握网络攻击与防护的理论知识与实践技能。

(2) 提升学生安全防护意识和能力的需要。网络攻击与防护的原理只有亲身体验才能掌握，学生通过分析网络攻防的途径与方式，才能体会到网络攻击的危害性、提高安全意识。

(3) 跟踪网络安全技术发展的需要。由于网络攻击和防护技术的多样性，需要创建一个全面、系统的网络攻防实验平台[2]，在网络攻防实验教学中，根据网络安全技术的发展及时增加一些新的教学内容，帮助学生开阔思路、扩大眼界，提高网络安全课程的教学质量。

重庆理工大学教学团队参考《信息安全专业指导性专业规范》中的知识体系和实践能力要求，设计出一种满足本科生、研究生、社会培训等不同层次教学与科研要求的网络攻防实验平台，只要用网线将实验控制设备接入学校原有的实验室主交换机上，在学生机上安装相应的客户端软件，就完成了实验系统的架构。学生可以通过逻辑分组完成攻击、防御两种角色的网络攻防实验，加深学生对常见网络攻击与防护技术的理解与掌握，并培养网络攻防实战能力，教学效果良好。

2　实验平台设计

2.1实验环境

硬件环境：学生PC机至少要求CPUP4 2.0以上、内存512MB以上、硬盘5GB以上剩余空间、10M/100M网卡1个；

软件环境：操作系统为WindowsXP系列、安装Word、Access、MySQL、SQLServer、PHP、IIS等应用软件；

网络环境：学生PC机通过交换机实现局域网连通，局域网中已有交换机、路由器、防火墙等设备；

基本配置：实验控制设备、攻防实验管理系统、攻防演示系统、攻防实验客户端、实验指导书。

2.2实验模块

网络安全相关课程具有实践性强的特点，如果没有实验的支撑，真实的网络攻击和防护只能是纸上谈兵，不能激发学生的兴趣，也无法锻炼学生的综合实践能力。为给计算机网络安全相关课程提供全面、真实的实验教学环境，更好地提高学生对网络攻击行为的了解和提高网络防护能力，设计了10个覆盖了网络攻防知识及实战技术的实验模块[3-4](包含大约50个实验)，实验内容由易到难，实验原理系统详细。

(1) 网络扫描与嗅探模块。主要涉及网络连通性探测、主机信息探测、不同系统(Windows/Linux)的路由信息探测、域名信息探测、安全漏洞探测、共享式/交换式网络嗅探等方面的探测技术，提供共享式/交换式两种网络探测方式的工具和实验，对不同探测技术、探测方式提供防范措施与方法。

(2) 密码破解技术模块。主要对Windows/Linux系统密码、FTP系统密码、Office密码等常见本地/远程密码的破解技术,包括手工破解/工具破解两种方式的实验内容，可以有效地帮助学生理解密码破解的理论知识和实际危害，极大地提高学生的安全意识。

(3) 数据库攻击模块。主要包括主流数据库(Access、MySQL、SQLServer等)和两种Web系统(ASP、PHP)的注入攻击方法。对不同数据库/系统的注入原理、注入方法和注入过程进行系统、详细的说明，并在此基础上提出防御方法和措施。在实验的设计上比较注重逻辑性和学生接受、学习知识与技能的规律性，先通过手动注入实验加深学生对注入原理及注入过程的理解，再利用工具进行攻防实验。

(4) 网络欺骗技术模块。主要设计了主流网络欺骗技术(MAC地址欺骗、DOS攻击欺骗、ARP欺骗等)实验，对主流网络欺骗技术的原理进行系统、详细的解析并开发了防范措施实验，帮助学生加深对网络欺骗技术的理解，提高学生对常见网络欺骗的识别与防范能力。

(5) 日志清除技术模块。主要设计了手动清除和工具清除Windows/Linux日志等内容的实验，提供全面的日志清除方法和详细、系统的原理说明与解释，帮助学生加深对系统日志的重要性、安全性的理解。

(6) 操作系统的安全策略配置模块。主要涵盖操作系统安全策略配置(包括网络安全策略、账号安全策略、应用安全策略配置等)实验，针对常见的操作系统进行实验，帮助学生提高主机安全防护的能力与意识。

(7) 缓冲区溢出技术模块。该模块主要包括缓冲区溢出背景、溢出原理、溢出现象、溢出危害及其多种防御措施的系统、详细的实验，栈溢出的示例程序和对其进行反汇编分析的实验(发现溢出点与发起攻击、观察攻击过程与完成攻击、防止攻击等)，以及后续逻辑性与实践性更强的进阶程序练习实验。

(8) 恶意代码技术模块。主要涵盖各种类型的恶意代码(简单恶意脚本、VBS病毒、手机病毒、木马技术、跨站攻击、网马病毒等)技术及其分析、防范实验，对各种类型的恶意代码提供系统、详细的原理与现象、防范措施的分析与实践实验，目的是培养学生对恶意代码技术领域分析与解决问题的能力。

(9) 逆向工程技术模块。主要设计了Aspack加壳工具使用、加壳程序的反汇编分析和手动脱壳技术等系列实验，以及针对逆向工程技术的实际应用实验(包括逆向工程的原理、工具和实验过程等内容的详细说明)。

(10) 网络设备攻击技术模块。主要包括对网络设备(交换机、路由器、防火墙等)和安全设备进行密码破解等实验，帮助学生熟悉复杂的网络环境和各种硬件设备、了解网络攻击的广泛性和危害性。

2.3实验平台

网络攻防实验平台分为服务区和实验操作客户区两部分，能够开展循序渐进、由攻到防的网络攻防实验实际操作。服务区主要放置实验教学系统相关的硬件设备(包括实验控制设备和靶机服务设备等)，同时为实验平台提供相应的服务端软件环境；实验操作客户区是实验用户的操作区域，主要为教师和学生提供PC机、客户端软件环境。可以利用原有的网络设备和网络安全设备构建真实的网络环境，也可以根据需要购置新的实验设备、结合实验平台分组进行网络设备的攻击与防护实验[5-12]。

实验平台的拓扑图如图1所示:

图1　实验平台拓扑图

实验平台包括硬件平台和软件平台，其实施、部署十分简便，既可以保持部分模块的独立操作，也可以支持实验分组和角色的分配。

硬件平台的核心设备是一台能够为网络攻防实验提供安全、可靠的硬件支持的实验控制设备，主要提供实验数据、实验管理和实验控制等服务，提供统一的数据存储和数据维护管理。另外，硬件平台还根据需要配置交换机、路由器和防火墙等必要的网络硬件设备。

软件平台由网络攻防演示系统、攻防实验客户端和攻防实验管理系统组成，提供必要的软件环境。其中攻防演示系统包括绝大部分实验的详细录像，不需要安装另外的组件就可以播放实验录像，通过按钮控制录像的播放。实验录像内容很丰富，在关键的步骤上提供必要的操作说明和讲解，帮助学生系统、熟练地掌握网络攻防技术。

攻防实验客户端集成了每个实验的实验目的、实验原理、实验要求、实验步骤、实验内容和实验总结，为师生提供访问实验平台的接口，为实验所需的工具提供详细的介绍。

攻防实验管理系统的主要功能是为攻防实验教学平台提供实验资源(包括实验录像、实验原理、实验工具、实验指导书等)的集中管理，为学校定制/添加实验、增加和更新实验内容、提供实验工具等。另外，攻防实验管理系统为客户端的资源访问提供管理与服务，并为系统提供相应的访问控制。

网络攻防实验平台的结构图如图2所示:

图2　实验平台结构图

综上，网络攻防实验教学平台涵盖了网络攻防基础、网络攻防实战和网络防护实训3部分实验内容：网络攻防基础部分主要包括网络扫描与嗅探、密码破解、数据库攻击、网络欺骗、日志清除、操作系统安全策略配置、缓冲区溢出、恶意代码、逆向工程和网络设备攻击技术；网络攻防实战部分主要包括基础考核、技能训练、渗透测试；网络防护实训部分则包括安全评估、主机加固和网络加固，全面覆盖了网络攻防的重要技术。

网络攻防实验教学平台具备以下几个特点：

(1) 具有灵活、真实的实验环境，用实际网络安全设备和靶机、各类服务器构建出真实的网络攻防实验实训环境，模拟真实的企业网络环境，支持自定义的环境与应用拓展；

(2) 具有全面、多层次的实验体系，依托一线教师多年的教学、科研经验积累，建立全面的网络攻防实验体系，构成从原理与基础、独立实验到综合实战和系统加固等循序渐进的实验体系；

(3) 具有攻防兼顾的实验内容，提供网络攻击和防护有机结合、均衡兼顾的实验内容，有效地提升学生的网络安全意识与网络防护能力；

(4) 实验室可持续发展，除了能够对日常教学和实训提供硬、软件支撑外，还可以进行安全证书培训、安全竞赛与培训等活动。

3　结语

网络攻防实验教学平台适用于信息安全、网络安全和信息对抗等相关专业的实验教学，除了支持网络安全、网络攻击与防护、计算机病毒分析与防治、信息安全综合实训等课程外，还可以辅助进行上述专业的课程设计与综合实训等教学环节，平台提供的多种实验管理和实验工具的扩展接口，可以方便地添加新实验和进行校企合作模式的实验课程开发。该平台已经应用于重庆理工大学2012、2013级的计算机专业教学，显著地提高了学生对网络的综合防护能力，获得了师生的一致好评。

References)

[1] 董辉,马建.基于虚拟蜜网的网络攻防实验平台的构建[J].齐齐哈尔大学学报：自然科学版，2012,28(2):67-72.

[2] 康辰.朱志祥.基于云计算技术的网络攻防实验平台[J].西安邮电大学学报，2013,18(3):87-91.

[3] 武晓飞.网络攻防技术[M].北京：清华大学出版社，2014.

[4] 赖小卿,杨育斌,李强，等.网络攻防技术实训教程[M].北京：清华大学出版社，2014.

[5] 孔轶艳.网络攻防模拟实验平台的设计与实现[J].通信技术，2012(11):37-39,43.

[6] 何增颖.基于虚拟机的入侵检测实验设计[J].实验技术与管理，2011,28(1):84-87.

[7] 崔阳华.基于Openstack的网络攻防实验平台设计与实现[J].山东工业技术，2015(4):130.

[8] 洪家军,周原.基于vSphere的网络攻防虚拟实验平台建设与实践[J].榆林学院学报，2015,25(2):41-45.

[9] 谢慧,邵玮,聂峰.基于B/S架构的远程网络攻防实验室的研究与开发[J].天津理工大学学报，2012(6):44-47.

[10] 张梁斌,俞华丰,高昆.单机环境中网络攻防实战演练平台的设计与研究[J].实验技术与管理，2014,31(10):144-147.

[11] 潘丽敏,罗森林,柯萌.网络动态攻防实践平台研制[J].实验技术与管理,2012,29(9):89-92.

[12] 徐川,唐建,唐红.网络攻防对抗虚拟实验系统的设计与实现[J].计算机工程与设计，2011(4):1268-1271.

Designofnetworkattackanddefenseexperimentalplatform

ZhouMin

(SchoolofComputerScienceandEngineering,ChongqingUniversityofTechnology,Chongqing400054,China)

Aimingattheproblemsthatthenetworkattackanddefenseexperimentsweredifficulttobecarriedoutundernormalnetwork,andtheenvironmentofnetworkattackanddefenseexperimentswasdifficulttobemaintained,theexperimentalmodulesandthemainexperimentalcontentsofnetworkattackanddefensewerestudied,anetworkexperimentplatform,whichincludesthefoundation,thepracticeandthetrainingofnetworkattackanddefense,wasdesignedalso.Teachingpracticeindicatesthattheexperimentalplatformhasgoodpracticabilityandextensibility.

networksecurity;networkattackanddefenseexperiment;designofexperimentalplatform

DOI:10.16791/j.cnki.sjg.2016.05.036

2015- 10- 23

国家社科基金项目(14BTQ053)资助；全国高等学校计算机教育研究会项目(ER2014016)资助

周敏(1971—)，女，湖南祁东 ，硕士，讲师，主要研究方向为信息安全.

E-mail：zhoumin@cqut.edu.cn

TP393

A

1002-4956(2016)5- 0139- 04