网络靶场及其关键技术研究

李馥娟，王 群

江苏警官学院 计算机信息与网络安全系，南京 210031

网络空间是一个信息技术与物理实体深度融合后形成的虚实结合的复杂系统，其中设备种类、链路类型、路由选择、拓扑结构、应用需求、用户特征等诸多组成要件具有极大的不确定性，这也使得网络空间安全研究在理论验证、技术实现、应用实践等方面面临着一系列的挑战，也迫使研究者需要采取创新的思路和方法对已有的验证、测试、评估等一系列过程和环节进行革新，从而构建一个可控、可管、可信、可按需定制的网络空间安全环境，并对网络空间活动和安全能力进行系统研究。在此背景下，网络靶场应运而生，并将其作为网络安全理论研究和技术应用的一种手段、方法、途径和基础设施，以及在当前和未来网络空间安全竞争中不会受制于人的一种战略部署和应用保障，快速引起了学术界和工业界的普遍关注[1-2]。本文对网络靶场的概念、功能和组成进行了系统阐述，重点讨论了JIOR（join information operations range，美国联合信息作战靶场）、JCOR（join cyber operation range，美国联合网络空间作战靶场）、NCR（national cyber range，美国国家网络靶场）和PCTE（persistent cyber training environment，美国持续网络训练环境）等典型网络靶场的建设思路和涉及到的关键技术，并对网络靶场发展趋势进行了必要的展望。

1 网络靶场概述

1.1 网络靶场的概念

“靶场”（range）的概念最早出现在美国军方的信息战（information operations，IO）描述中，从其字眼和出现场景可以看出，靶场一词至少存在“进攻”和“训练”两个基本属性。类似于射击训练的射击场，靶场应提供训练靶标、训练精度和进度的度量方法以及对训练结果的定量与定性分析评估等内容。

网络靶场（cyber range）也称为“网络空间靶场”（cyberspace range）或“赛博靶场”，根据建设目的的不同，不同行业和机构对网络靶场存在着不同的认识[3-5]：美国国家标准与技术研究院（NIST）将网络靶场定义为与靶场拥有者的本地网络、系统、工具和应用程序相关联的可交互的模拟平台，该定义体现了网络靶场的本质是通过模拟技术在已有网络基础上的扩展，但缺少对网络靶场具体功能的定义；美国国防部高级研究计划局（DAPRA）认为网络靶场是网络空间安全科学研究、测量和分析的科学装置，该定义强调了网络靶场的适用范围是整个网络空间，主要功能是技术研究，但没有对具体实现技术和方法进行描述，只认为网络靶场是一种“科学装置”，较为抽象；在军事应用领域，网络靶场则看成是为了应对网络空间攻防对抗和网络武器装备研发要求，为实现近似实战的网络空间作战环境而构建的综合实验实训平台，该定义具有明显的行业应用特色，突出了网络靶场的“攻、防”特征，但缺乏对网络靶场的整体性定义，等等。

综合各方面的研究共识，本文重点从建设目的、应用功能、实现途径、关键技术等方面考虑，将网络靶场定义为：为了适应信息技术快速发展的要求，有效应对日益严峻的网络空间对抗形势，主要由军队、政府、科研机构、高校等行业针对网络武器装备研发、网络攻防对抗演练、网络风险评估、网络技术验证、网络工具测试、网络安全人才培养等工作需要，通过计算机仿真和网络模拟技术创建的高度近似于真实网络空间运行机制的可信、可控、可定制的重要信息基础设施。该定义立足网络空间这一特定领域，力求对网络靶场概念的描述更加具体、全面和清晰。

在网络靶场建设方面，虽然英国、法国、德国、俄罗斯、日本、韩国等国家都结合本国网络安全现状和发展战略进行了理论探索和实践应用，但美国整体上走在了前列[3]。为此，本文主要借鉴美国网络靶场建设的成功经验进行论述。

1.2 网络靶场基本功能

虽然不同类型网络靶场的建设目标不尽相同，但一般都提供以下的基本功能或服务能力：

（1）复杂网络仿真。可实现对各类网络节点的仿真，构建虚拟与现实相结合的网络环境；在实现对复杂网络环境中多通信模式、多接入形态、极限流量、高并发网络等模拟仿真的基础上，还能够对选定网络进行节点控制、数据流量配置、特征数据包截获与分析等操作；利用大数据技术，实现针对网络流量、网络攻防、资源占用、分析评估、态势感知等过程和结果的可视化展示，将虚拟空间隐含的信息流以简洁、直观的方式实时显示出来。

（2）可定制的多维度攻防演练和性能测试。通过目标网络动态部署、网络拓扑按需生成、实验数据动态采集等配置手段，能够实施多维度、可定制的DDoS、蜜罐、影子系统、SQL注入、漏洞挖掘和利用等攻防演练，并在此过程中针对具体战法进行提炼、推演和评估提升；为应用系统提供持久化安全测试环境，有效解决生产系统无法实时针对新的安全事件进行有效测试的难题。

（3）优化网络整体性能。作为针对网络攻防对抗演练和网络新技术研发测试的重要基础设施，可以将各种攻防工具和战法置于网络靶场环境，通过对测试环境的流程步骤设计、测试过程管理、流量回放、系统重置、测试状态动态查询和结果可视化展示等方式，经过反复多次实验，优化攻防工具和战法的效果，最终实现对具体攻防技术的有效性验证和功能优化，提高网络和信息系统的整体性能。

（4）攻防测评与评估。由于运行中的生产网络的特殊性，大量针对网络攻防的测试和评估必须放在网络靶场中进行。网络安全技术人员基于网络靶场可快速搭建包含互联网、工业控制系统、物联网、大规模军事网络、战术军事无线网络等网络环境，也可根据需要将多个异构网络进行互联，在高逼真网络实验环境下实现新技术和新设备的测试与评估，并根据结果不断优化网络协议、完善攻击手段和防御策略以及改进设备性能。

（5）网络安全人才培养。为网络安全人员提供自主学习、综合演练和技能竞赛支撑，以使受训人员能够快速有效掌握各类新型网络攻防工具的应用，并对相关的安全渗透和防御策略进行演练。同时，还能够支持培训、竞赛、能力认证等功能。

2 典型网络靶场功能分析

本章内容主要选择典型的4个美国军用网络靶场进行分析。除此之外，表1还列出了部分具有代表性的网络靶场的基本信息。

表1 典型网络靶场简介Table 1 Brief introduction of typical cyberspace ranges

2.1 联合信息作战靶场（JIOR）

联合信息作战靶场（JIOR）是美军联合参谋部主导建设的网络靶场项目[6]，该项目主要起源于2003年10月美军为研究信息技术对军事变革和作战产生影响而制定的《信息作战路线图》（正式对外公布为2006年1月），指出美国国防部需要建设一个可集成的测试靶场，以增加美军参战部队成员的网络攻击能力，培养作战人员的信心。该测试靶场支持计算机网络攻击、电子战和其他的信息作战功能。

JIOR具有以下主要特征：可扩展、可移植的安全网络测试隔离环境，为在分布式网络环境中同时进行多项测试和演习提供服务能力和安全隔离保障；分布式部署和接入环境，一方面可安全接入美军分布在各地的测试网络，如现有和扩展中的国防信息系统网络（defense information system network，DISN）、国防研究和工程网（defense research and engineering network，DREN）等，另一方面美军测试人员可以通过VPN等方式远程接入网络进行安全测试；通过威胁环境、关键基础架构和关键资源、流量仿真、网络仿真、网络红蓝对抗等网络能力，同时支持从未分级到敏感隔离信息（sensitive compartmentalized information，SCI）共7个安全等级的攻防功能，为美国国防情报局（Defense Intelligence Agency，DIA）和美军作战司令部提供安全测试和培训服务[7]。

JIOR是一个连接节点覆盖美军全球各基地的分布式网络。根据美军作战演习要求，将JIOR划分为多个不同的功能单元，这些单元通过既定规划设计和网络连接设备互联后，就可以组成一个虚拟的测试靶场。JIOR最主要的3个单元分别是：

（1）学习环境规划单元。该单元由一批熟悉军事、网络安全、信息作战等领域专业知识的专家组成，负责网络作战演习活动的总体策划，以及协调和设计网络演习所需要的环境，以满足作战司令部、政府或其他研究机构的网络和信息作战要求。

（2）学习监控和分析单元。借助安全防护手段，在安全接入网络靶场环境后，对正在进行的网络安全作战演习的进程和任务进行监控、分析和引导，对演习过程中出现的异常或紧急事件进行有效处置等。

（3）作战执行和工程操作单元。该单元是作战演习的具体执行者，主要由参与作战演习的美军各军兵种组成，演习者根据具体情况和需要，可以在美军基地或他们地方以安全方式授权接入网络后执行作战演习任务。

目前，JIOR的应用已从美国军队扩展到政府机构、安全联盟、国民警卫队等领域，其拥有的节点数也在随着建设进度的推进不断增加。另外，除信息作战和电子战等演练外，JIOR还向美军提供各种网络武器装备的训练服务。

2.2 联合网络空间作战靶场（JCOR）

联合网络空间作战靶场（JCOR）[8]是美国国防部为了应对快速发展和不断变化的网络攻防训练需要，利用美国空军拥有的成熟的网络仿真技术和已取得的经验，为网络空间作战人员和其他网络安全技术人员专门开发的用于进行系统学习、训练和军事演习的网络靶场。

目前，JCOR主要由美国空军模拟器（SIMTEX）、海军网络空间作战靶场（U.S.navy cyberspace operations range，NCOR）、陆军国民警卫队模拟器（army guard enhanced network training simulator，ARGENTS）和美国战略司令部网络空间训练环境（U.S.strategic command cyberspace training environment，SCOR）等各军兵种及相关单位的主要用于网络训练和学习的模拟器组成，隶属于不同单位的模拟器经过集成后便构建起一个连接范围广泛、资源众多、功能丰富的联合网络靶场，提供大规模的网络仿真，实现网络攻防演练、人员培训、事件推演、资格认证等服务能力。在美军战略司令部的统一指导下，各单位按照既定标准及各自需求独立完成模拟器的开发建设。除了针对不同的军兵种创建不同应用功能的模拟器外，JCOR还提供了针对其他不同任务和攻防场景的模拟器，这些以模块化形式存在的特定任务训练器，无论是开发过程还是训练操作都具有相对的独立性和灵活性。同时，通过将不同的特定任务训练器组合后，可以在同一网络中同时实现多个不同的攻击事件，模拟大型复杂网络中的攻防行为并进行演练。另外，美国空军的模拟器中还专门提供了针对互联网仿真的模拟器，作为在互联网环境中进行防御作战的训练靶场。

虽然JCOR主要由美军陆、海、空等单位开发的模拟器组成，但隶属于美国空军的SIMTEX模拟器在整个系统中发挥着核心作用。SIMTEX模拟器源于2002年美国空军的“Black Demon”项目，最初借鉴美国空军成熟的飞行模拟器开发技术和应用经验来模拟构建网络作战训练靶场，为美国空军提供威胁识别、Web攻击、病毒及其他恶意代码入侵检测等训练服务。SIMTEX模拟器目前已经发展到第三代，网络结构如图1所示。以SIMTEX模拟器为核心的JCOR的主要功能特征为：

图1 SIMTEX模拟器网络架构Fig.1 SIMTEX simulator network architecture

（1）丰富的模拟功能模块。通过SIMTEX模拟器节点，提供包括互联网模拟、攻击行为模拟、内网环境模拟、流量模拟和后台管理等功能模块。

（2）基于开放系统体系结构的网络环境。通过提供一个开放的系统体系结构标准，SIMTEX模拟器已经成为JCOR的核心，除通过计算机仿真技术实现模拟真实流量中的攻击事件、社会网络服务（如FacebookTwitter等）、Internet、快速网络恢复、大规模用户、攻击管理等能力外，还实现了与美国陆、海、空及其他单位网络靶场之间的集成。

（3）对新应用的模拟演练。针对网络空间发展，采用人工智能、数字孪生等技术建设对关键信息基础设施和工业控制系统的模拟，通过自动化场景构建技术实现对人员进行训练，以扩展JCOR的应用范围，应对新出现的网络威胁。

2013年，JCOR实现了与美国国家网络靶场（NCR）的集成，并开始为国家级的网络空间攻防技术研究和网络攻防演习（如网络风暴、网络夺旗、网络闪电等）提供基础设施支撑和服务保障。

2.3 国家网络靶场（NCR）

国家网络靶场（NCR）[9-10]于2008年由美国国防部高级研究计划局（DAPRA）主导，联合60余家企业和研究机构共同建设，旨在为美国国防部、陆海空三军和其他政府机构的网络攻击与防御和电子对抗等作战过程提供网络实验环境，为网络武器装备研发与评估、网络安全人才培养、网络战术/技术/过程（tactics/techniques/procedures，TTP）提供基础设施保障。NCR通过集成大量的虚拟机和物理硬件，通过流量模拟、端口/协议/服务漏洞扫描和数据捕获工具来模拟一个类似Internet的环境，以高度逼真的方式模拟复杂的互联网和国防部通信网络的规模和多样性，真实呈现当前和预期的攻击策略（如恶意软件、DDoS、跨站点脚本攻击等），已成为测试和评估各种网络研发项目的国家级资源。从2012年10开始，美国国防部（DoD）实验资源管理中心（TRMC）开始从DAPRA接管NCR，由洛克希德.马丁公司负责运维管理。其中：

（1）基础设施。除具备高规格的承载网络靶场运行所需要的软硬件资源池外，还提供网络靶场建设所需要的场地、配套的电力资源、通信设备等基础设施。其中，作为NCR基础架构的云资源池融合了云计算和软件定义（网络、存储、数据中心等）等技术，将离散、异构的资源集中在一个资源池中进行统一调度、配置和管理，提升了网络靶场基础设施部署的效率和灵活性。

（2）封闭架构和操作流程。通过对相互隔离的具有不同安全级别（未分类、机密、绝密等）的计算、存储和网络资源的有效整合和安全调用，可根据需要模拟各类应用场景，并实现对NCR资源的快速清理和重用，同时通过构建和设计逻辑组件、定义服务结构和流程来生成相应服务，并进行服务生命周期的全过程管理。

（3）集成网络事件工具集。通过“支持事件计划的工具集”“定义和管理资源需求的工具集”以及“自动建设、验证和清理环境以及事件执行的工具集”3类主要的工具集，为测试团队成员提供便捷、可靠、高效的事件环境创建和评估测试活动所需要的各类工具（资源库），通过该工具集可自动完成靶场的测试和评估等工作。

（4）与其他靶场之间的安全连接。通过网络靶场提供的技术集成和接口服务功能，可实现NCR与其他网络靶场之间的安全连接，在将其他网络靶场的资源整合进NCR的同时，为其他网络靶场提供计算能力和模拟仿真服务功能。其中，NCR主要连接的网络靶场有美军的JIOR和美国国防部的JMETC（joint mission environment test capability，联合任务环境测试能力）。

（5）网络测试团队。NCR拥有一支多元化、经验丰富的专业网络安全测试团队，由该团队成员为NCR提供测试床设计、网络与测试方案制订、威胁向量研发、自定义流量生成、自定义传感器、自定义软硬件、自定义数据分析、端到端测试等全方位的服务功能。

2016年，为了满足对快速发展中的网络安全测试和评估以及美国国防部网络任务部队（Cyber Mission Force，CMF）快速增长的培训和认证工作需求，TRMC实施了一项称为美国“国家网络空间靶场综合设施”（national cyber range complex，NCRC）的计划，该计划通过将位于不同地点的新建设施以“新站点”的方式纳入NCR，以此来扩大NCR的网络容量和互联范围，从而扩充NCR的能力。

2.4 美国持续网络训练环境（PCTE）

为了应对日益复杂和严峻的网络空间安全威胁，美国网络司令部（2018年5月4日升级为联合作战司令部）于2012年成立了用于指导、同步和协调网络空间行动的部门，即网络任务部队（CMF）。与此同时，为了维护CMF的网络作战能力，需要一个能够为训练内容和要求提供技术和环境支持的网络靶场环境，然而当时的NCR等国家级网络靶场因其在设计之初并未充分考虑未来网络作战要求，而且已有训练体系无法满足分散在各地的各军种网络作战部队的训练，同时现有靶场资源对训练内容的服务能力严重不足。因此，美国国防部于2016年开始建设一个能够为CMF提供持久的场景计划管理、高标准训练要求和高质量推演能力的训练平台，即持续网络训练环境（PCTE）[11]。PCTE基于混合式云端服务（hybrid cloud），将训练内容与资源进行有效整合并集中化后提供一个统一的平台，图2所示的是PCTE的网络架构[11-12]。

图2 PCTE网络架构Fig.2 PCTE network architecture

结合一个具体的演训流程，可以将PCTE网络架构按功能划分为以下几个组成单元：

（1）确定训练任务，设置训练条件和标准，创建操作环境。

（2）创建训练计划（项目），发现或修改训练内容。不同于现有的大部分网络靶场，PCTE对训练内容与项目的设置是在互动式环境下动态进行，是一种“无剧本演习”的虚拟环境。

（3）规划和设计训练内容。训练内容主要由内容库（content library）、数据仓库（data repository）、武器装置（weapon systems）、工具（tools）、典型环境（representative environments）、自动评估（automated assessments）和自动执行者（automated actors）等组件支持，训练内容会根据训练者的需求和训练目标自动执行。

（4）为训练项目和内容提供靶场资源。PCTE充分利用已有的分布在美国各地的NCR、CSR、JIOR、C5AD和DECRE（DoD enterprise cyber range environment，国防部企业网络靶场环境）大型国家级网络靶场，以及政府、学术机构、商业等行业靶场资源，发挥网络空间集成作战平台的功能，可以使CMF使用当前网络跨越不同类别的封闭式网络在模拟网络环境下进行大规模训练或个人及团队培训。

（5）自动化执行演训计划。在内部资源（数据仓库、本地或远程计算机及存储资源、自动评估等）和外部资源（各类已有网络靶场）的支持下，实现对已创建计划的自动执行。

（6）收集数据，对演训过程进行回放、推演，对结果进行评估。

PCTE项目还在推进中，按照合同约定的时间，整体项目要到2022年才能完成。整个PCTE项目的建设目标是减少操作所需要的时间，增加训练量，增加培训场景或模拟环境的重用，提高培训质量，以及提高CMF训练的支持容量。

2.5 典型靶场比较分析

在2020年6月美国NICE（national initiative for cybersecurity education，国家网络安全教育计划）发布的The cyber range：a guide[13]（网络靶场指南）中，根据实现技术的不同，将网络靶场分为模拟类、仿真类、叠加类和混合类4种类型。

JIOR和NCR是典型的仿真类靶场，需要在专用测试平台中配置出测试环境来运行真实的软件，所以硬件投入较高，对硬件性能的依赖性较强。其中，JIOR运行在一个相对封闭的网络环境中，不同网络或小型靶场之间通过VPN或专线连接，用户通过VPN等安全方式登录，并进行严格的身份认证和资源授权，确保系统的安全性；NCR提供的是一个“测试平台”，主要对各种网络技术和安全技术进行定量测试和定性评估提供一个类似于Internet规模的安全可控的测试环境，对全新操作系统、系统内核、主机安全系统、网络安全工具和组件、网络拓扑和协议等信息技术发展的最新成果进行测试。NCR的应用和管理相对开放，其技术实现涉及到异构网络之间的互联以及更大规范的资源调度和共享。

JCOR与JIOR在实现技术上存在较大差异，JIOR是基于真实的美军分布在各基地的网络测试环境互联后形成的更大范围和更强功能的联合测试靶场，而JCOR是一类仿真类靶场，是基于建模和计算机仿真技术构建的功能丰富的虚拟网络靶场。模拟类靶场通过数学建模来创建网络实体的虚拟模型，借助数据模拟网络实体在真实网络中的行为，通过交互反馈、数据融合、决策迭代、算法优化等手段，实现与真实网络环境相同的功能。作为一种充分利用模型、数据、智能分析等多种技术的网络靶场，与仿真类靶场相比，模拟类靶场虽然部署相对容易，但模拟效果与实现技术之间的关联度较高。

PCTE属于混合类靶场，它充分借鉴了仿真类和模拟类靶场的建设经验，并吸收了运行在生产网络环境中的叠加类靶场的特点，同时利用云服务、网络虚拟化、数字孪生、人工智能辅助、游戏化机制、软件定义等技术，最大限度实现物理与虚拟有机融合、各类场景快速生成、大规模环境生成与复制以及资源快速回收与利用。与其他类型的靶场相比，PCTE的虽然具有明显优势，但对技术实现以及不同功能集成的要求较高。以虚拟仿真为主、虚实结合的混全类靶场是未来网络靶场建设和发展的方向。

相比而言，目前国内网络靶场的规模较小，应用较为单一，应用类型主要以网络安全人才培养所需要的教学培训和攻防比赛类靶场居多。从实现技术来看，这些靶场多为基于虚拟化环境的模拟类靶场，虚实结合的混合类靶场较少。以目前在国内影响较大的攻防比赛靶场为例，多数靶场的针对性较强，但可扩展性较差，而且赛后的总结分析和回溯推演功能较弱，只能称作单一功能的靶场。但国内一些高校、研究机构和企业已充分利用各类先进技术，借鉴国外先进网络靶场的建设经验，开始关注基于人工智能技术的智能化攻防靶场、工业控制系统靶场、信创靶场的研究和建设，期待在专用靶场建设中取得突破。另外，针对目前国内网络安全攻防竞赛持续升温的需要，可以借鉴IBM X-Force Command[14]靶场的模块化、整体交付模式，将整个网络靶场功能高密度集成到一个可定制的封闭空间（如车辆）中，便于部署和维护。

针对本节介绍的4种典型网络靶场，表2重点从建设思路、功能要求、技术特征与发展趋势等方面进行了比较分析。

表2 4种典型网络靶场的性能比较Table 2 Performance comparison of four typical cyberspace ranges

3 关键技术分析

3.1 大规模网络仿真

无论是全网模拟还是虚实结合，网络靶场的建设都离不开大规模网络仿真技术。网络仿真集中于网络拓扑仿真和网络协议的仿真，主要包括网络模型仿真、节点仿真和链路仿真3个方面。

3.1.1 网络模型仿真

生醋经勾兑后煮沸、杀菌、调味、存储、再勾兑灌装，得到成品。此阶段涉及的传统设备有池、缸、罐、加热锅，可用机械设备有不锈钢泵、压盖器具、打包机、传送带等。

网络模型是构建网络的基础，不同的网络应用类型其模型不尽相同。典型的网络模型主要有NS2（network simulator，version 2）[15]和Cisco Packet Tracer[16]，其中NS2是由UC Berkeley大学开发的一种面向对象的网络仿真器，本质上是一个离散事件模拟器，能够模拟不同规模的网络场景；Cisco Packet Tracer是Cisco公司打造的一款网络模拟工具，可为用户提供与真实网络相同的操作体验，用户可以通过该工具来模拟使用路由器、交换机和其他各种设备构建不同类型的网络。

3.1.2 节点仿真

节点仿真实现对主机、路由器、交换机、防火墙等网络节点的仿真，多采用虚拟化技术来实现，即实现节点的虚拟化。典型的节点虚拟化技术或产品有OpenStack[17]、docker[18]和KVM（kernel based virtual machine）[19]。其中，OpenStack是一个为云环境提供服务的开源云计算管理平台，涵盖了网络、虚拟化、操作系统、服务器等各个方面，可以帮助服务商和企业内部实现云基础架构服务；docker是一种开源虚拟化容器技术，是一个完全使用沙箱机制的容器，在每一个容器上运行一个虚拟机。另外，docker具有可移植性和复用性，一台主机上可以运行多个容器，而且不同容器之间不存在任何接口，相互独立，确保运行过程和结果的相互隔离，进而实现安全目的；KVM是一项内核级虚拟化技术，它在x86硬件平台上充分利用了Linux Kernel的特性，支持常见的Windows、Linux等操作系统，而且部署灵活，维护的复杂度较小。

3.1.3 链路仿真

链路仿真实现对节点之间物理链路（如光纤、双绞线等）和虚拟链路（如VLAN、聚合链路等）的仿真。Emulab[20-21]是一款典型的链路仿真软件，另外许多网络模型仿真软件也提供了功能丰富、性能逼真的链路仿真功能。Emulab是由美国Utah大学开发的集成软硬件设备的网络与分布式系统测试平台，它基于网络协议栈来有效地拦截网络流量，并以管道方式来模拟与链路相关的带宽、丢包率、延时等性能参数，同时提供了对宿主机内部链路的仿真功能。

网络靶场建设是一个复杂的过程。例如，虽然NS2提供了大规模网络仿真功能，但在对网络节点仿真时其逼真度难以达到要求；另外，KVM虽然得到了绝大部分用户的认可，但它并不是一个完整的模拟器，具体的模拟器功能还需要借助QEMU（虚拟化模拟器）来完成，等等。从拓扑结构来看，网络靶场由大量功能各异的节点通过不同的链路连接而成，在此基础上实现不同网络模型所要求的功能。为此，如何有效利用已有技术，并实现不同技术在应用上的深度融合是网络靶场建设重点关注的问题之一。在众多的技术方案中，虽然软件定义网络（software defined network，SDN）[22]技术并不是专门为大规模网络仿真来设计，但其将数据层与控制台隔离、基于整个网络架构实现网络虚拟化、自动配置网络功能等技术线路，以及灵活搭建网络和快速大规模部署等特征，对网络靶场的建设具有借鉴意义。

3.2 大规模网络流量模拟

网络流量是承载信息的动态数据流，反映网络的基本特征和服务能力，具有典型的非线性和突发性表现特征。网络仿真技术相对比较成熟，而网络流量由于具有动态性和难以预测等特点，所以网络流量模拟成为网络靶场建设中的热点和难点之一。大规模网络流量模拟主要包括流量预测和流量回放两个方面，可分别建立数学过程，利用数学模型来模拟生成网络流量。

3.2.1 流量预测

虽然网络流量具有非线性和突变性等特征，但具有自身内在的变化规律，这使得网络流量预测成为可能。在网络流量可预测这一前提下，便可以制定符合网络行为的流量产生机制，合理地调度和分配网络资源，模拟符合应用要求的网络流量。网络流量预测可利用数学方法，通过建立数学模型来描述与网络流量相关的统计特征。网络靶场中所采用的流量预测模型可分为单一预测模型和组合预测模型两类。

（1）单一预测模型。单一预测模型是一种传统的流量预测模型，即采用一种数学模型来对网络流量进行预测。例如，通过观测，在获得了一组时间序列数据xn(n=1,2,…)后，便可以建立一个数学模型，再利用该模型来预测xn+k(k=1,2,…)时刻的流量。根据输入输出数据之间的关系，单一预测模型又分为单一线性预测模型和单一非线性预测模型两类。其中，在单一线性预测模型中，网络流量服从泊松分布或马尔可夫过程，常常采用基于自回归（autoregression，AR）或自回归滑动平均（auto-regressive moving average，ARMA）的线性预测方法。近年来，研究人员又提出了基于自相似性的流量模型，来描述网络流量的长相关性和突发性等特征[23]。虽然单一线性预测模型的数学理论比较完善，在早期的网络中能够很好地进行网络流量预测，但近年来随着网络应用复杂性的不断提高，线性预测无法精确描述网络中实际发生的流量；随着智能算法的发展，其灵活高效的学习方式和良好的非线性映射能力，在大规模网络流量预测应用中表现出了其优势，单一非线性预测模型开始得到重视。典型的非线性预测模型包括小波分析模型、神经网络模型、混沌模型、支持向量机模型、灰色模型等。其中，神经网络模型具有较强的自学习能力，非常接近复杂网络非线性系统的流量特征[24]，可很好地应用于非线性时间序列的流量预测。

（2）组合预测模型。随着网络应用的快速发展，新的协议不断出现，已有协议频繁迭代，使得网络流量表现出随机性和不确定性，这些非线性、多时间尺度的变化特征无法采用单一预测模型来描述，只能通过突发性、周期性、长相关和混沌性等来反映。在此情况下，为了能够更有效地反映网络流量的真实特征，可以在单一预测的基础上，把不同预测模型有机结合起来，以提高预测的精度和可靠性。典型的组合预测模型有灰色神经网络模型、小波与时间序列结合的模型、小波神经网络模型等[25]。

早期的网络应用相对单一，网络流量表现为平稳序列，网络模型所需要的训练样本较少，算法较为简单，而且预测精度较高。随着网络应用变得越来越复杂，流量预测中需要反映流量的长相关、自相似等特征，虽然组合预测模型发挥了应用优势，但在算法的拟合和重构过程中需要避免单一预测算法的干扰，防止误差在结合过程中的叠加和放大。

3.2.2 流量回放

流量回放是使用流量嗅探和捕获工具，事先从真实网络中获取流量数据，并将其记录下来。然后，当网络中需要相应的数据流时，便通过专用的回放系统将流量有序注入到网络中，来再现网络情形。与预测模型生成的流量相比，用回放方式产生的是包含应用（或协议）和干扰数据（背景流量）的真实数据流量，再现了真实的网络环境。但由于流量在捕获时具有对象固定（如仅捕获TCP流量或UDP流量等）、环境特定（如某个局域网、某个网络主干出口等）、时间设定（设定的时间段）等特点，利用回放方式生成的网络流量往往具有一定的局限性，其用户行为和流量特征较难适应每个网络的应用要求。针对虚拟网络环境中的流量回放技术，近年来研究人员提出了一些新的方法，例如文献[26]基于IP-Mapping的虚拟网络流量回放，不仅可以充分发挥流量的数据价值，还可以引入背景流量，完全还原待研究行为的实际细节，从而增强虚拟网络的真实性；文献[27]研究了缩小回放环境下交互式流量回放的问题，提出了一种多节点的流量回放方法，该方法通过设计了一种自选IP映射算法来构建模拟网络和真实网络之间的IP映射，再现真实网络节点之间的交互过程，该方法能够更好地对大流量进行聚合，并在回放时序和带宽方面达到较高的相似度。

3.3 用户行为模拟

在互联网环境中，用户行为是指用户之间、用户与服务之间在特定时间或时间段相互操作产生的行为。网络流量特征与用户行为之间存在关联性，只有全面了解和掌握用户的网络行为，才能深入理解网络流量的构成以及流量的变化规律。在进行大规模网络流量模拟时，需要综合运用多学科知识来研究和分析网络流量的构成，通过数学建模来反映网络流量的特征及与用户之间的关联性。

根据研究对象的不同，用户网络行为可以分为个体行为和群体行为两类。其中，根据用户行为发生位置的不同，个体行为又分为微观行为和宏观行为两类。微观个体行为重点研究用户端的操作行为，例如，用户登录网络时采用的接入方式（有线接入还是无线接入）、接入端使用的操作系统类型、信息输入方式（语音输入、键盘输入或手写输入等）等；而宏观个体行为则重点研究服务端的操作行为，例如什么时间使用什么软件登录过什么平台、登录是否成功、登录后进行了哪些操作等。对于个体行为来说，可以通过数学建模来模拟个体的行为习惯，并预测其行为序列。网络群体行为研究的对象是具有直接关联或间接关联的群体，通过数学建模来刻画群体用户的行为特征。例如，文献[28]设计了一种虚拟社交网络中的群体用户网络行为的模拟算法，该算法基于SIR模型来分析虚拟社交网络中的用户Web行为，取得了与真实网络高度拟合的效果；文献[29]在基于Linux Docker虚拟化环境中，对比分析了bridge和macvlan模式下网络的吞吐量和时延等指标性能，得出在相同物理资源条件下，macvlan组网方式的网络性能最好，bridge方式的网络性能最差，该研究对大规模网络用户行为模拟中提高与真实网络环境的相似性具有重要意义。

在研究网络流量特征时需要特别注意与用户行为之间的关系。在分析网络中的个体行为和群体行为时，如果离开了对用户行为的分析，那么网络流量模拟则缺乏相应的依据。在进行大规模网络行为模拟时，由于用户群过于庞大，而且网络环境非常复杂，所以在对网络用户及其行为进行归类和分析时，现有的研究成果很难通过特定的行为模型实现对种类繁多的应用场景的刻画，而更多的是在广泛捕获和提取特征数据的基础上，通过统计分析、关联数据分析、聚类分析、神经网络等方法，针对特定应用场景（如Web应用、社交网络等）或服务类型（如P2P、HTTP/HTTPS等）对用户数据进行拟合，进而预测用户的行为。如何综合运行大数据、深度学习等技术，对复杂网络环境中的用户行为进行细粒度分析，将成为一个研究方向。

4 网络靶场发展与展望

4.1 网络靶场的发展

网络靶场的实现技术和提供的服务能力，在随着信息技术的快速发展不断更新迭代，其中：早期的蜜罐系统实现了对木马程序及软件后门绕过防火墙和杀病毒软件等安全防护系统的测试，可以看作是网络靶场的雏形；利用云计算、软件定义（网络、存储等）等虚拟化技术，实现了在有限范围内模拟互联网环境中的攻防对抗和对网络武器装备的评测，使网络靶场更加贴近于实战；随着计算机仿真、虚拟化技术、人工智能、智能感知、无线通信、工业互联网等技术的不断成熟和深度融合，以及互联网泛在化进程的快速推进，虚实结合的大规模复杂网络靶场成为建设和研究的主流[30-32]。

目前，随着信息技术应用领域的不断拓宽以及网络安全威胁的日益加剧，社会各个领域根据安全态势研究需要建设符合各自应用特点的网络靶场，主要包括：云计算系统安全验证靶场、大数据平台安全验证靶场、人工智能系统安全验证靶场、移动互联网及无线安全测试靶场、工业控制系统安全验证靶场、车联网安全验证靶场等网络靶场类型[33]。例如，最早参与NCR建设的美国ManTech公司在2020年5月推出了称为“太空靶场”（space range）[34]的网络靶场，该网络靶场主要面向政府机构和卫星（包括科研卫星、军事情报卫星、导航卫星等）运营商来提供一个虚拟的卫星指挥与控制（C2）太空作战模拟环境，通过该模拟环境在对卫星指挥与控制系统实施攻击的过程中，可以发现隐藏的系统漏洞和软件缺陷，从而改进系统的功能，提升系统的安全性。

除以网络基础设施为主要研究对象的专业网络靶场外，近年来还出现了针对不同行业应用场景的行业性网络靶场，主要包括：制造企业、电力企业、金融企业、大型电商平台、电信机房数据中心、智能电网、智慧城市、智能交通、智能医疗、军工企业等网络的模拟及安全验证靶场。例如，美国ManTech公司凭借在美国军事和其他安全机构网络靶场中积累的建设经验和研究成果，在2017年推出了“先进网络靶场环境”（ACRE）[35]，该网络靶场专门针对金融行业需求，提供了网络安全测试、评估和培训等功能，并在运行过程中根据网络安全威胁研究需要，不断完善其功能（如针对WannaCry勒索软件攻击的训练等）。

4.2 网络靶场发展展望

4.2.1 全频谱网络空间靶场

在网络靶场建设过程中，每一种靶场类型一般都是针对某一类特殊应用，而随着网络应用的复杂化，综合多种网络类型的全频谱网络空间靶场成为未来的发展方向。所谓全频谱网络空间靶场是指同时包含了互联网、工业控制系统、无线传感器网络、卫星网络、电信网、物联网、电磁网、无线网、天地一体化网络等主流网络通信类型，并由所涉及到的网络、终端、数据中心设备、传感器、无人系统、智能设备等设备类型组成的网络靶场[3]。随着万物互联进程的推进，全频谱网络空间靶场将全面模拟虚拟和物理世界，并将其映射到多形态、多功能的复杂网络环境中进行技术验证、攻防对抗演练和网络安全评测等训练。

4.2.2 下一代网络靶场

下一代网络靶场（NGCR）[36-37]还是一个不成熟的概念，与现有网络靶场相比，NGCR应具有大规模攻击训练、情景式防护训练、高强度红蓝对抗、全方位系统测试、多维度装备测试等特点。在计算机仿真、虚拟化、数字孪生、软件定义等技术的基础上，加上动作捕捉（motion capture）、全息投影、虚拟现实（virtual reality，VR）等超逼真仿真技术的应用，可以进一步实现网络靶场中现实社会与虚拟世界之间的深度融合，为新型复杂网络靶场的建设提供技术支持。尤其随着计算能力的大幅上升和深度学习算法的进一步优化，人工智能技术必将成为下一代网络靶场解决方案的核心，在网络靶场的场景生成、事件重构、策略运用、测试与评估等关键技术和环节中发挥更大价值。

4.2.3 多技术协同

网络靶场是一个需要多项技术协同作用的复杂系统，除数字孪生、网络模拟、计算机仿真等技术外，云计算、游戏、人工智能和深度学习等技术在靶场研究与建设中开始发挥重要作用。其中，网络靶场即服务（cyber range as a service，CyRaaS）将云计算功能应用到靶场建设中，利用云基础设施提供远程访问管理、网络配置管理、用户管理、虚拟化环境等服务的便捷性和安全性，已成为当前网络靶场建设的一个趋势；针对枯燥的训练过程，可以引入交互式、沉浸式的游戏化机制来增强训练的趣味性，提升靶场的应用效果；引入人工智能和机器学习，可以帮助人们处理大量信息，引导用户做出最佳决策，辅助进行训练的控制与管理。同时，利用机器学习可以为靶场提供分析、检测、回溯、告警和生成报告等功能，实现靶场的自动化和智能化。

4.2.4 工业互联网靶场

互联网技术与工业控制系统结合产生了工业互联网，然而在工业互联网的发展过程中，工业控制系统中已有的部分硬件、标准、协议被互联网替代，这将导致在互联网中已有的一些攻击行为转向工业控制系统，同时利用工业互联网特有环境中信息系统配置缺陷、协议缺陷和软件缺陷的新型攻击手段不断出现，针对核电站、电网、输油管道甚至是军事装备和设施的网络攻击事件频繁发生，严重影响了人民生命财产安全、社会稳定和国家安全。例如，近年来频繁发生的乌克兰电网攻击事件，2010年9发生的伊朗核电站遭“震网”（stuxnet）蠕虫病毒袭击事件，2019年3月7日委内瑞拉电网遭电磁攻击事件，2017年5月美国核电站持续遭遇网络攻击事件等，充分说明以工业互联网为重点的关键信息基础设施所面临安全威胁的严重性。为此，针对工业互联网安全的网络靶场建设和应用具有紧迫性和必要性，将成为现在和未来研究的重点。

4.3 我国网络靶场的现状与发展

（1）针对行业应用安全需求的网络靶场建设发展迅速。随着网络安全威胁趋势日趋严峻，国家对网络空间安全的重视程度也越来越高，除军队、公安、国安、网安、网信等建设的专用靶场外，许多高校、科研机构和科技企业在国家政策的扶植和鼓励下，已结合铁路、道路交通、电力、通信、教育、大型电商、安全企业等领域不同的应用场景，开发了网络空间训练、技术策略推演、安全人才培养、安全事件过程分析、应急响应演练、攻防对抗、安全产品和方案评估等专用网络靶场。这些网络靶场的建设，在吸收和借鉴国外网络靶场建设技术和经验的同时，结合国内应用环境进行了创新，有效促进了网络靶场的发展。

（2）新技术的应用加快了网络靶场的建设进程。美英等国家网络靶场的建设成果对我国网络靶场的建设提供了可供借鉴的经验，同时随着人工智能、大数据、数字孪生、云计算和边缘计算等新技术的日臻成熟，以及可提供算力的不断提升和网络仿真算法的进一步优化，为网络靶场的建设提供了有效的平台保障和技术支持。在此情况下，通信靶场、电子对抗靶场、指挥控制靶场等已有的与网络空间安全防御相关的靶场，在功能和性能上都会有大幅度的提升，同时将为新应用（如5G/6G网络、车联网、工业控制系统等）、综合性和大规模网络靶场的建设提供保障。

（3）针对网络靶场基础理论和关键技术的原始创新能力有待提升。网络靶场的建设，主要涉及网络基础设施和业务环境仿真、大规模复杂网络环境下的攻防对抗行为仿真、数据采集和效果评估等内容，涉及这些内容的大量技术细节需要在应用中快速寻求突破。下一步，随着新基建、智能制造、企业上云等建设内容的推进，都需要与之对应的网络靶场对一些创新应用进行测试、仿真、培训和研究；随着国家对关键信息基础设施安全重视程度的不断提高，需要发挥网络靶场的作用，开展攻防和应急演练，提升安全防御和应急响应能力；同时，需要发挥云服务和边缘计算等新型服务与计算模式在网络靶场建设中功能，在有效整合和协调各类资源的同时，还可以缩减建设与运维成本。

5 结论

近年来，随着网络安全事件的频发，世界各国对网络空间安全的重视程度与日俱增，在网络空间安全新理论不断提出的同时，各类新技术和创新应用相继涌现。网络靶场建设与应用，不但为使军队能够快速掌握相应的理论并进行网络武器装备研发提供了平台支撑，而且为政府、科研机构、高校等行业进行网络空间安全理论研究和人员攻防技术能力的培养提供了实现路径和基础设施保障。构建理论科学、技术先进、面向应用的网络靶场有着非常重大的现实需求和战略意义。本文在对网络靶场的概念、功能和主要实现技术以及典型的网络靶场进行较为系统阐述的基础上，讨论了网络靶场建设中涉及到的一些关键技术，分析了网络靶场的发展历程和趋势，供网络空间安全领域的技术和研究人员借鉴。