錢(qián)京梅，莫 嫻，吳 茜

0 引 言

“賽博空間（Cyberspace）”最早出自科幻作家威廉吉布森，最初的含義為“虛幻世界”。進(jìn)入21世紀(jì)后，賽博空間的內(nèi)涵逐漸擴(kuò)大，意指由獨(dú)立的信息技術(shù)基礎(chǔ)設(shè)施網(wǎng)絡(luò)構(gòu)成的全球范圍的、人類(lèi)借助計(jì)算機(jī)技術(shù)完成通信和控制的信息域。它包括互聯(lián)網(wǎng)、電信網(wǎng)、各種局域網(wǎng)和計(jì)算機(jī)系統(tǒng)、嵌入式處理器和控制器。因具有時(shí)域、空域、頻域和能域等廣域特性，它與陸海空天并列成為第五維空間[1]。

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展，人們對(duì)網(wǎng)絡(luò)電磁空間的依賴(lài)越來(lái)越大。網(wǎng)絡(luò)電磁空間給社會(huì)和國(guó)家安全造成的威脅和風(fēng)險(xiǎn)也在日益加劇，已成為嚴(yán)峻挑戰(zhàn)。維基解密、斯諾登、棱鏡門(mén)事件等的發(fā)生，引發(fā)了世界對(duì)信息安全的關(guān)注和憂慮。當(dāng)前，賽博空間成為各國(guó)戰(zhàn)略爭(zhēng)奪的新戰(zhàn)場(chǎng)，圍繞賽博空間的用與控展開(kāi)了激烈的較量。

為了更好地了解和研究賽博空間作戰(zhàn)這種新型的現(xiàn)代戰(zhàn)爭(zhēng)形式，可以利用仿真技術(shù)作為研究和試驗(yàn)手段，探索戰(zhàn)術(shù)和技術(shù)的必要條件，發(fā)展賽博建模與仿真技術(shù)的應(yīng)用范圍和復(fù)雜度，加緊探索和完善網(wǎng)絡(luò)戰(zhàn)術(shù)、技術(shù)和規(guī)程，開(kāi)發(fā)利用建模與仿真技術(shù)的方法和攻擊，以確定網(wǎng)絡(luò)漏洞[2]。

1 賽博網(wǎng)絡(luò)防御仿真建模

隨著仿真技術(shù)的發(fā)展，仿真已經(jīng)開(kāi)始運(yùn)用在網(wǎng)絡(luò)安全研究上。采取仿真方法研究可以避免對(duì)真實(shí)環(huán)境的危害，且仿真模型可重用，使得能夠容易地模擬各種條件下的網(wǎng)絡(luò)環(huán)境，節(jié)約時(shí)間、人力、財(cái)力和物力。

賽博空間網(wǎng)絡(luò)對(duì)抗仿真通過(guò)模擬網(wǎng)絡(luò)對(duì)抗行為，一方面對(duì)網(wǎng)絡(luò)攻擊的危害進(jìn)行評(píng)估，另一方面測(cè)試擬采取的網(wǎng)絡(luò)防御手段可以達(dá)到的效果。

對(duì)網(wǎng)絡(luò)信息對(duì)抗的雙方而言，攻擊者需要進(jìn)行“收集目標(biāo)信息、調(diào)整攻擊策略、制定攻擊計(jì)劃、實(shí)施攻擊”循環(huán)操作，防御者需要進(jìn)行“入侵感知、信息融合、決策、響應(yīng)”的循環(huán)操作。攻防雙方的行為都體現(xiàn)為一個(gè)循環(huán)，雙方都從收集信息開(kāi)始，根據(jù)獲取的相關(guān)信息或感知到的外部威脅，及時(shí)調(diào)整策略，做出應(yīng)對(duì)決策，并采取相應(yīng)行動(dòng)。

本仿真采用美國(guó)Riverbed公司的網(wǎng)絡(luò)仿真平臺(tái)OPNET，模擬DDos（分布式的拒絕服務(wù)攻擊）泛洪攻擊和防御過(guò)程。

1.1 OPNET仿真工具以及賽博模型建模方法

1.1.1 OPNET仿真工具

OPNET主要用于通信網(wǎng)絡(luò)設(shè)計(jì)，以其極強(qiáng)的靈活性廣泛應(yīng)用于通信系統(tǒng)的研究和設(shè)計(jì)過(guò)程中。能夠滿(mǎn)足大型、復(fù)雜網(wǎng)絡(luò)仿真需求，被世界各大公司和組織用于加速研發(fā)過(guò)程，開(kāi)發(fā)大型網(wǎng)絡(luò)。

OPNET Modeler的核心建模理論可以從三個(gè)層次進(jìn)行概括和描述[3]，如圖1所示。

圖1 OPNET層次化建模機(jī)制

（1）三層通信機(jī)制：提供了網(wǎng)絡(luò)層、節(jié)點(diǎn)層、進(jìn)程層的三層建模機(jī)制，使得建模更加條理化。

（2）離散事件驅(qū)動(dòng)仿真：以事件調(diào)度為基礎(chǔ)，結(jié)合進(jìn)程交互處理，動(dòng)態(tài)模擬實(shí)際系統(tǒng)的行為。

（3）基于包的通信流：模擬實(shí)際物理網(wǎng)絡(luò)中信息的流動(dòng)、處理。

建模環(huán)境方面，OPNET提供了全面豐富的基礎(chǔ)模型庫(kù)，在模型的結(jié)構(gòu)層次方面，OPNET實(shí)現(xiàn)的TCP/IP協(xié)議棧完全符合OSI標(biāo)準(zhǔn)，從上到下依次為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層，與實(shí)際網(wǎng)絡(luò)一致。因此，用戶(hù)可以根據(jù)網(wǎng)絡(luò)安全設(shè)備的工作原理或網(wǎng)絡(luò)攻擊的實(shí)施機(jī)理，通過(guò)在OPNET協(xié)議棧的各層進(jìn)行開(kāi)發(fā)，建立網(wǎng)絡(luò)信息對(duì)抗模型。

1.1.2 賽博網(wǎng)絡(luò)對(duì)抗仿真建模原理

研究賽博行為在傳統(tǒng)網(wǎng)絡(luò)和作戰(zhàn)網(wǎng)絡(luò)中的影響，可以評(píng)估不同的網(wǎng)絡(luò)配置和在賽博攻擊下的恢復(fù)性能。該方案支持評(píng)估新的賽博安全技術(shù)，包括攻擊、防御以及探測(cè)技術(shù)等。這些賽博行為都可通過(guò)使用建模的協(xié)議和設(shè)備模型庫(kù)來(lái)模擬實(shí)際通信場(chǎng)景，且這些仿真研究都是基于軟件的高性能離散事件仿真引擎進(jìn)行仿真運(yùn)算的。

賽博模型建模通過(guò)在已經(jīng)具備的模型之外添加賽博管理功能模型，即協(xié)議模型收到攻擊或恢復(fù)行為后，通過(guò)賽博管理模塊（Cyber Enhance Model）注冊(cè)有效的行為，靈活實(shí)現(xiàn)滿(mǎn)足各種需求的定制，如圖2所示。

圖2 賽博模型實(shí)現(xiàn)原理

賽博攻擊模型庫(kù)包含了現(xiàn)有的攻擊模型，如分布式的拒絕服務(wù)攻擊（DDoS）、路由攻擊模型等。

賽博防御模型庫(kù)包含了一系列典型的用來(lái)抵御賽博攻擊的防御手段，如防火墻策略更新功能、設(shè)備端口阻止和接口關(guān)閉功能，支持添加用戶(hù)自定義的防御手段。

1.2 賽博行為仿真模型

賽博攻防建模仿真將通過(guò)賽博行為模型實(shí)現(xiàn)原理，根據(jù)OPNET仿真工具的特點(diǎn)，從網(wǎng)絡(luò)模型、節(jié)點(diǎn)模型和進(jìn)程模型三個(gè)層次對(duì)系統(tǒng)的各組成部分進(jìn)行詳細(xì)建模。

1.2.1 網(wǎng)絡(luò)域模型

網(wǎng)絡(luò)域模型描述了仿真網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的組成設(shè)備、各種設(shè)備數(shù)量以及設(shè)備之間的互連關(guān)系。網(wǎng)絡(luò)域模型如圖3所示。

圖3 賽博網(wǎng)絡(luò)攻擊仿真網(wǎng)絡(luò)模型

賽博網(wǎng)絡(luò)攻防仿真的網(wǎng)絡(luò)模型是圖3所示的簡(jiǎn)單的局域網(wǎng)絡(luò)，由服務(wù)器（Http Server）、路由器（Prod_Rtr4）、工作站點(diǎn)（Http Client）、系統(tǒng)管理員（Sys Admin）、攻擊發(fā)起對(duì)象（Hacker）、被攻擊網(wǎng)絡(luò)及被攻擊對(duì)象（wstn）等組成。設(shè)備之間的鏈接關(guān)系已經(jīng)在網(wǎng)絡(luò)模型中確定。

網(wǎng)絡(luò)域模型主要表現(xiàn)仿真網(wǎng)絡(luò)在配置業(yè)務(wù)后，網(wǎng)絡(luò)的連通性能、處理性能、業(yè)務(wù)傳輸性能的變化情況。

1.2.2 節(jié)點(diǎn)域模型

賽博網(wǎng)絡(luò)攻防主要的節(jié)點(diǎn)模型有服務(wù)器、工作站、路由器、網(wǎng)絡(luò)攻擊設(shè)備、網(wǎng)絡(luò)防御設(shè)備、業(yè)務(wù)加載模型等，抽象和模擬了實(shí)際環(huán)境中各設(shè)備的工作行為。設(shè)備采用標(biāo)準(zhǔn)OSI七層組成關(guān)系，各層的進(jìn)程模型參照OSI定義的協(xié)議進(jìn)行建模。

圖4是網(wǎng)絡(luò)攻擊防御設(shè)備節(jié)點(diǎn)模型和屬性配置界面。節(jié)點(diǎn)從上到下由應(yīng)用層（application）、傳輸層（tcp）、網(wǎng)絡(luò)層（ip）、鏈路層（mac）和物理層（hub_rx）組成。圖4是節(jié)點(diǎn)模型，其中cyber_handle模塊實(shí)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御功能。

圖4 網(wǎng)絡(luò)攻擊以及網(wǎng)絡(luò)防御設(shè)備節(jié)點(diǎn)模型

本仿真主要模擬分布式拒絕服務(wù)DDos。在屬性配置界面里，將DDoS攻擊和防御行為寫(xiě)入腳本，定義DDoS攻擊發(fā)生的時(shí)間、感染周期等，在防御措施配置防御啟動(dòng)時(shí)間、最大消除的比例等。

1.2.3 進(jìn)程域模型

進(jìn)程域模型對(duì)組成節(jié)點(diǎn)模型的每一層模塊進(jìn)行詳細(xì)建模。本仿真中，網(wǎng)絡(luò)對(duì)抗處理功能在進(jìn)程cyber_handle中實(shí)現(xiàn)，模塊位于IP層之上，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御功能，如圖5所示。

圖5 網(wǎng)絡(luò)防御進(jìn)程模型

2 仿真場(chǎng)景

2.1 賽博網(wǎng)絡(luò)攻防典型仿真場(chǎng)景

本仿真利用賽博行為建模原理，模擬了分布式拒絕服務(wù)（DDoS）網(wǎng)絡(luò)攻防仿真。仿真場(chǎng)景是由服務(wù)器、路由器、工作站點(diǎn)、攻擊發(fā)起對(duì)象和被攻擊網(wǎng)絡(luò)等組成的局域網(wǎng)絡(luò)。DDoS攻防網(wǎng)絡(luò)仿真實(shí)現(xiàn)的功能包括：攻擊者發(fā)送病毒對(duì)網(wǎng)絡(luò)上可被感染區(qū)域的工作站點(diǎn)進(jìn)行感染，感染后的工作站點(diǎn)向服務(wù)器發(fā)送大量泛洪（Flood）信息，阻止服務(wù)器為用戶(hù)終端提供正常的服務(wù)；防御模型監(jiān)測(cè)網(wǎng)絡(luò)，發(fā)現(xiàn)攻擊威脅后啟動(dòng)清除感染控制，使得受感染者恢復(fù)正常。

DDos攻防仿真場(chǎng)景工作流程如圖6、圖7、圖8所示?？杀桓腥緟^(qū)域和不被感染區(qū)域，每個(gè)區(qū)域都有路由器和工作站節(jié)點(diǎn)，攻擊者在其他區(qū)域，整個(gè)場(chǎng)景的流程描述如下：首先攻擊模塊（Hacker）向網(wǎng)絡(luò)的可被感染區(qū)域工作站點(diǎn)（wstn）發(fā)送持續(xù)的感染信息，工作站被感染（如圖6所示）；300 s開(kāi)始，受感染的工作站點(diǎn)向Http服務(wù)器（Http Server）持續(xù)不斷地發(fā)送泛洪報(bào)文，使得不被感染區(qū)域用戶(hù)（Http Client）的正常服務(wù)請(qǐng)求信息響應(yīng)時(shí)間越來(lái)越大（如圖7所示）；系統(tǒng)管理員（Sys Admin）節(jié)點(diǎn)收到感染信息時(shí)，判斷感染區(qū)域，然后控制區(qū)域內(nèi)的各工作站點(diǎn)清除感染行為（如圖8所示）；一段時(shí)間過(guò)后，網(wǎng)絡(luò)攻擊的影響逐漸消散，被攻擊區(qū)域的請(qǐng)求服務(wù)最終恢復(fù)正常。

圖6 DDos攻擊仿真場(chǎng)景（Hacker攻擊）

圖7 DDos網(wǎng)絡(luò)攻擊仿真場(chǎng)景（受感染節(jié)點(diǎn)發(fā)送泛洪信息）

圖8 DDos網(wǎng)絡(luò)防御仿真場(chǎng)景（系統(tǒng)管理員修復(fù)）

2.2 DDos網(wǎng)絡(luò)攻防仿真結(jié)果及分析

仿真統(tǒng)計(jì)量結(jié)果如圖9所示。

圖9 DDos網(wǎng)絡(luò)攻擊和防護(hù)對(duì)數(shù)據(jù)流影響

由圖9可以看出，200 s開(kāi)始，受攻擊的工作站持續(xù)向服務(wù)器發(fā)送大流量的數(shù)據(jù)，占據(jù)了服務(wù)器大部分CPU處理能力和大部分鏈路，導(dǎo)致正常的Http服務(wù)請(qǐng)求響應(yīng)緩慢，最高達(dá)到80 s；經(jīng)過(guò)約200 s的網(wǎng)絡(luò)防御措施后，攻擊逐漸被消除，業(yè)務(wù)響應(yīng)時(shí)間、CPU利用率和鏈路吞吐量趨于正常。

圖10顯示了整個(gè)仿真階段受DDoS攻擊影響的工作站數(shù)量的變化情況。初始時(shí)都正常，150 s后多數(shù)被感染，300 s后開(kāi)始實(shí)施網(wǎng)絡(luò)防御措施，受影響的數(shù)量逐漸減少，700 s后所有工作站恢復(fù)正常。

圖10 受攻擊影響的設(shè)備數(shù)量統(tǒng)計(jì)

3 結(jié) 語(yǔ)

通過(guò)仿真平臺(tái)模擬研究賽博空間網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)的侵害程度，進(jìn)而研究對(duì)網(wǎng)絡(luò)攻擊的防止和抵御方法，是賽博網(wǎng)絡(luò)防御研究的重要手段。利用仿真建模測(cè)試技術(shù)搭建真實(shí)的賽博環(huán)境，模擬各種想定下的大規(guī)模網(wǎng)絡(luò)攻防行動(dòng)，將在未來(lái)戰(zhàn)爭(zhēng)中發(fā)揮重要的輔助決策作用。從仿真結(jié)果可見(jiàn)，文中OPNET下的賽博行為的建模方法，能夠真實(shí)模擬DDoS攻擊和防御的過(guò)程與效果。下一步將深入研究各種賽博防御行為并進(jìn)行建模，支持構(gòu)建和評(píng)估具有時(shí)序攻擊和防御模式的賽博仿真場(chǎng)景，深度洞察部署的防御策略造成的影響。

[1] 張明智,胡曉峰.賽博空間作戰(zhàn)及其對(duì)戰(zhàn)爭(zhēng)仿真在影響[J].軍事運(yùn)籌與系統(tǒng)工程,2012,12(04):10-14.ZHANG Ming-zhi,HU Xiao-feng.Cyberspace Warfare and Its Impact on War Simulation[J].Militarty Opnerations Research and System Engineering,2012,12(04):10-14.

[2] 范愛(ài)鋒,程啟月.賽博空間面臨的威脅與挑戰(zhàn)[J].火力與指揮控制,2013,38(04):1-3.FAN Ai-feng,CHENG Qi-yue.Cyberspace Threats and Challenges[J].Fire Control & Command Control,2013,38(04):1-3.

[3] 陳敏.OPNET網(wǎng)絡(luò)仿真[M].北京:清華大學(xué)出版社,2004:6-7.CHEN Min.OPNET Network Simulation[M].Beijing:Tsinghua University Press,2004:6-7.