网络安全靶场数据监控关键技术方案研究

［王帅 金华敏 邓晓东 张昊迪］

1 引言

随着国家网络空间战愈演愈烈，网络空间安全重要性日益突出，网络安全靶场已成为网络空间安全体系中重要基础设施之一。全球多国已建设国家级网络靶场，作为网络空间战训练和新技术验证核心基础设施；我国近几年也大力推进网络安全靶场的建设，从产业链建设、标准制定、政策发规等方面采取了一系列的举措。2020 年工信部发布的《关于促进网络安全产业发展的指导意见（征求意见稿）》中明确提出“建设网络安全测试验证、培训演练、设备安全检测等共性基础平台；鼓励举办高水平网络安全技能竞赛，健全人才发现选拔机制”。目前业内头部安全厂商、组织及高校已推出了网络靶场等产品和实验室，通信行业标准组织CCSA 已成立了专门的靶场标准研究组，网络安全靶场正成为信息化体系的标准配置。

网络安全靶场概念来自于军民融合项目，其中的“靶”就是攻击目标模拟，安全靶场衍生出的含义就是为网络安全实际攻防操作、实验和测试提供仿真和模拟环境，3 个核心业务场景为：安全培训、演练、竞赛；安全问题的复现，特别是特定靶标系统的安全漏洞复现和相应攻击方法模拟实现和对抗；安全技术和方案、网络安全攻防工具、网络安全技术体系的验证和测试和研究提升。目前市面上主流的安全靶场产品主要以第一个场景为主，通过虚机或者容器的方式构建培训/演练/竞赛中攻防场景，并实现业务管理和展现等功能。对电信运营商来说，建设网络安全靶场除了通过第一个业务场景提升安全人员实战技能之外，更为重要的是通过构建模拟现网的平行网络靶场，开展实际的网络、系统、业务安全漏洞挖掘和众测，并对安全技术与防御能力进行测试验证，实现第二、第三个业务场景，及时发现问题解决问题，从而推动现网网络与业务系统的安全水平。在这3 个业务场景中，均会产生大量的攻防数据和信息，对这些数据的监控分析是实现这3 个业务场景的关键一环，能够极大提升靶场的公平性、有效性和效率，是网络安全靶场建设重点之一。本文从这3 个场景出发分析了网络安全靶场数据监控的需求，探讨了靶场数据监控技术，提出了靶场数据监控与攻防效能评估方案。

2 网络安全靶场数据监控需求

在安全靶场实训、漏洞挖掘、科研验证等3 个场景下，对于数据监控的目的是不同的。实训场景下通过对红蓝双方的攻击与防护行为进行监控，达到攻防行为的复盘与防作弊等目的，保证安全培训与竞赛过程的公平公正性；同时对培训学员和参赛者的技能进行分析，实现用户画像。漏洞挖掘场景下由于其开放性，可通过各类攻击数据的收集，达到攻击特征提取的目的，提升现网相关产品的能力。科研验证场景下，由于攻击行为是已知的，可以对防护效能进行分析，掌握攻击与防御能力的有效性，从而更有针对性的进行提升。

在安全靶场中由于是在可控环境下进行数据收集与分析，其数据监控与在实际环境中进行数据监控存在一定的差异性。首先是靶场中的脆弱点在大多数情况下是可知的，数据监控的范围可控；其次靶场中攻击行为可知，由于靶场通常会给攻击者分配跳板机进行内部竞赛或演练环境的渗透，跳板机处于靶场内部，其上的系统和用户行为数据是可被收集的；第三，靶场中背景流量可知，靶场环境中背景流量往往采用流量回放或发包的方式进行模拟，流量的类型、大小、源目地址基本是已知的。正是这些差异性使得靶场中的数据监控更能关注关键信息，进行更全面的分析和评估。

在这种可控的环境下，为了达到上述3 个方面的目的，安全靶场的数据监控需要进行全面的考虑，覆盖时间、空间、事件、管理和场景等维度，针对流量、日志等实时与非实时的数据进行采集。在时间维度上对靶场在运行过程中每一时刻的数据进行监控，并满足实时和非实时数据分析场景需求。在空间维度上对靶场中关键网络节点、靶机和攻击机、关键网络设施、关键应用和服务等产生的数据进行监控。在事件维度上将各种攻击流量、脆弱性信息、主机与应用日志、用户行为信息等数据纳入监控，满足安全事件分析需求。在管理维度对靶场虚实环境下各种运行数据、性能数据，以及培训学员与参赛队员/队伍的答题、学习等数据等进行采集分析，满足靶场运维和管理需求。在场景维度上，除了能支持传统IT 系统、IP 网的数据采集外，还需要针对特定场景的数据进行采集，比如电信运营商搭建的4G、5G 等场景，需要对信令数据进行采集；电力等行业搭建的工业互联网场景，需要支持对特定工控协议数据的采集。

3 网络安全靶场数据监控技术与方案

3.1 网络安全靶场数据监控技术

网络安全靶场数据监控技术主要包括数据采集、数据处理、数据分析等技术。对于流量数据采集可以采用流量分光、流量镜像等技术；对于非流量数据可以采用syslog、snmp、FTP 等协议方式进行采集，也可以基于客户端Agent 进行主机数据深度采集。数据处理主要是对数据进行清洗、过滤与标准化建模，目前主要是基于数据汇聚融合理念进行数据建模，通过不同时刻产生的数据进行融合后进一步进行集中式处理，对多元异构数据进行清洗、归一化，采用统一的格式进行存储和管理，通过属性融合、关系拓展、群体聚类等方式挖掘数据之间的直接或潜在的相关性，为后续数据分析与决策提供高效、稳定、灵活、全面的数据支撑，当然数据建模对应用有较强的依存性，不存在普适的通用数据模型。数据分析技术主要在于对流量的检测分析技术，包括协议还原与载荷提取、深度流检测、深度包检测，以及基于人工智能的检测技术。

协议还原与载荷提取技术：对原始流量包进行协议解析，根据其协议类型将其还原为不同种类的应用访问记录，其中包含通过应用协议传输的载荷内容。该技术相对成熟，主要的技术差距体现在对于各类应用协议的覆盖能力以及协议还原的性能方面。

深度包检测（DPI）技术：不提取应用载荷内容，只针对网络流传输协议字段进行统计分析，包括IP 地址、端口、协议类型、标志位、时间戳、流长度、流持续时间等。该项技术仅能发现网络流层面的异常和利用协议漏洞实施的攻击行为，检测能力较为局限。

深度流检测（DFI）技术：提取网络数据包的载荷内容，与预置的已知攻击行为特征进行比对，一旦比对成功就发出安全告警。其检测能力主要体现在预置行为特征库的覆盖度和准确度。

智能检测技术：通过将攻击检测问题转化为基于流量数据的行为推理问题，攻击活动由于在本质上与正常网络活动存在的显著差异性，即便在具体行为方式上出现较大变化，仍然有可能利用神经网络的泛化学习能力，判断出新型攻击活动或病毒变种。

3.2 网络安全靶场数据支撑方案

为了对网络安全靶场所监控的数据提供存储、共享和分析能力，在网络安全靶场中需要构建相应的数据支撑平台，其技术框架如图1 所示。

图1 网络安全靶场数据支撑平台技术框架

图1 中，网络安全靶场的数据存储与共享主要包括关系型数据存储、分布式数据存储、数据共享等功能，并具备数据共享规则库。其中关系型数据存储主要针对关系型数据，需要具备强一致性的多副本数据安全、分布式事务、迁移便捷、实时OLAP 等能力，并可对库表结构、索引配置等存储方案进行动态创建、修改和更新；分布式数据存储主要针对文件、全文检索等分布式数据，具备可扩展性、数据可用性、安全性，提供数据集群存储、数据块备份、快速回复等能力；数据共享主要提供基于数据网关API 调用的共享服务及对服务的认证、鉴权等管控能力；数据存储规则库主要依据数据加载类型判定数据采用的存储类型，如试验配置数据、试验运行数据、系统配置数据和资源元数据等采用分布式关系型数据存储，分布式探针采集的日志文件采用分布式全文检索数据存储，镜像文件、模板文件、文档文件和图片文件等试验资源数据以及试验过程中录屏视频文件数据采用分布式文件数据存储。

网络安全靶场数据分析主要包括离线计算分析、实时计算分析等功能，并具备分析算法库。其中离线计算分析主要对结构化和非结构化数据的调用分析，能够以API 的方式开放离线数据处理能力，并提供对离线分析任务的配置、调度、认证授权、日志监控等管理能力；实时计算分析主要针对流数据和实时获取数据进行分析，支持多种分布式实时计算模型，具备告诉匹配计算和关联分析能力，并提供对实时分析任务的配置、调度、认证授权、日志监控等管理能力；分析算法库主要提供建立安全仿真数据分析模型的算法及算法模型管理功能，并可通过API 的方式提供分析算法的调用。

3.3 网络安全靶场攻击效能评估方案

对网络安全靶场攻击效能评估是全面评估人员真实攻防技术水平、网络安全靶场效能的重要手段。业界主要通过积分、报告等方式进行评估，仅关注结果数据，较为片面。本文提出基于指标因子的攻防效能评估方案（如图2 所示），基于攻防经验知识和效能评估因子，覆盖攻防过程和结果，实现攻防效能的体系化评估。

图2 基于指标因子的攻防效能评估方案

基于网络安全靶场采集数据的多样性全面性，融合流量数据、主机日志、应用日志、攻击检测日志、题目数据、团队数据、演练报告、运维日志等多源数据，通过基于数据融合的预处理与数据建模，提取结果和过程两大类评价指标。其中结果评价指标包括基础技能考核指标、漏洞挖掘指标、手法隐蔽性指标，主要从答题情况、漏洞危害与资产覆盖面、攻击检出情况等方面进行考察；过程评价指标包括业务影响程度指标、过程合理性指标，主要考察在使用安全靶场过程中对业务可用性和性能等造成的影响情况、攻击流程步骤及知识与成果等是否合理等方面，通过对提取的各类指标进行量化评分，并基于各类指标的重要程度进行加权平均，从而实现对安全靶场攻防效能综合量化评估。该方案结合过程和结果指标，可更真实、更全面地反映攻防技战术水平，提供体系化的攻防效能评估数据支撑；同时通过各指标量化评分及综合评分，能够更为客观地反映安全靶场攻防效能。

4 结语

网络安全靶场已成为新的网络空间安全基础设施，Garterner 技术成熟度曲线中网络安全靶场处于上升期，对其应用场景、数据采集、分析等方面的研究是当前业界的热点之一。业界网络安全靶场可以分为实训、漏洞复现与科研验证等三大类应用场景，这三大类场景中对数据监控的目的和需求不尽相同，需要进行针对性的数据监控方案设计与构建，本文选取其中较为典型的靶场数据支撑和效能评估两个方面进行了研究与方案设计，后续随着网络安全靶场的进一步推广，其科研验证场景的应用也将进一步受到重视，如何利用网络安全靶场这一伴生网络中的数据进行科学研究，将数据建模分析的成果反馈到现网安全技术和产品，提升现网安全检测与防护能力，将是未来网络安全靶场数据监控研究的重要方向。