摘 ?要：本文分析了信息安全人才培養(yǎng)及院校的技能實訓(xùn)環(huán)境現(xiàn)狀，通過對KVM虛擬化和SDN虛擬網(wǎng)絡(luò)運行原理及功能特性的剖析，將信息安全實訓(xùn)演練與虛擬化技術(shù)結(jié)合，為院校提供高度仿真的攻防環(huán)境;在虛擬化調(diào)度與運行方面做出優(yōu)化，使院校計算資源能夠充分利用;最后采用高負(fù)載壓力測試驗證相關(guān)優(yōu)化技術(shù)的實際效果。

關(guān)鍵詞：KVM;SDN;信息安全;攻防實訓(xùn)

中圖分類號：TP311.1 ? ? 文獻(xiàn)標(biāo)識碼：A

1 ? 引言（Introduction）

2016年，賽迪智庫發(fā)布《信息安全產(chǎn)業(yè)發(fā)展白皮書（2015 版）》中指出：“信息安全技術(shù)本身具有專業(yè)性強、技術(shù)更新速度快等特點，現(xiàn)有的信息安全人才培育和引進(jìn)機制尚不能滿足產(chǎn)業(yè)和企業(yè)發(fā)展的需求?！?/p>

隨著我國信息服務(wù)業(yè)逐漸興盛，信息安全保障壓力必將更加巨大，對信息安全相關(guān)人才需求也將更加迫切，其中懂技術(shù)、懂管理和懂業(yè)務(wù)的綜合型人才更是稀缺人才。信息安全人才培養(yǎng)需要系統(tǒng)化和專業(yè)化，需要從當(dāng)前產(chǎn)業(yè)和企業(yè)用人現(xiàn)狀出發(fā)，優(yōu)先進(jìn)行安全技能型人才的著重培養(yǎng)，以滿足對實戰(zhàn)型安全人才的需求。

本文通過虛擬化的方式開發(fā)信息安全攻防實訓(xùn)系統(tǒng)，旨在普及信息安全技能，通過實訓(xùn)演練的方式提升相關(guān)專業(yè)學(xué)生或從業(yè)人員的信息安全動手能力。

2 ? 目標(biāo)（Objective）

采用KVM虛擬化技術(shù)作為底層支撐，通過PHP及Python等動態(tài)語言調(diào)用虛擬化，為每位學(xué)生提供獨立的虛擬化實訓(xùn)環(huán)境，并提供復(fù)雜網(wǎng)絡(luò)拓?fù)淠M功能，能實現(xiàn)多級應(yīng)用場景下的安全攻防實訓(xùn)。

（1）在實際攻防環(huán)境中通常存在多級網(wǎng)絡(luò)場景，但尚未應(yīng)用于虛擬化實訓(xùn)教學(xué)中。通過對SDN技術(shù)的研究，實現(xiàn)入侵路徑攻擊鏈的場景復(fù)原，并批量分配給客戶端。

（2）通過對學(xué)生實訓(xùn)過程的輸入捕獲，實現(xiàn)實訓(xùn)結(jié)果自動化評估，并能追蹤學(xué)生在攻防實訓(xùn)環(huán)境中的關(guān)鍵操作。

（3）實訓(xùn)環(huán)境隨用隨開，完成立即銷毀，減輕對系統(tǒng)的性能壓力。如遇到高并發(fā)，啟動環(huán)境可提前生成，學(xué)生登錄系統(tǒng)后，系統(tǒng)自動推送給各學(xué)生端。

3 ? 關(guān)鍵技術(shù)（Key technologies）

3.1 ? KVM 虛擬化技術(shù)

KVM[1]是基于虛擬化擴(kuò)展X86硬件的開源Linux原生全虛擬化解決方案。在KVM中的虛擬機被實現(xiàn)為常規(guī)的Linux進(jìn)程，由標(biāo)準(zhǔn)Linux調(diào)度程序進(jìn)行調(diào)度;虛擬機的每個虛擬CPU被實現(xiàn)為一個常規(guī)的Linux進(jìn)程。這使得KMV能夠使用Linux內(nèi)核的已有功能。KVM本身不執(zhí)行任何硬件模擬，需要客戶空間程序通過/dev/kvm接口設(shè)置一個客戶機虛擬服務(wù)器的地址空間，向它提供模擬的I/O，并將它的視頻顯示映射回宿主的顯示屏。KVM的邏輯架構(gòu)如圖1所示，目前主流的應(yīng)用程序是QEMU。

（1）虛擬化調(diào)度接口

在KVM虛擬化管理中，最常使用的遠(yuǎn)程管理接口為Libvirt，該組件提供了對虛擬化及虛擬機的管理功能，例如存儲和網(wǎng)絡(luò)等。Libvirt相關(guān)軟件包括穩(wěn)定的C語言底層API及表層二次接口、守護(hù)進(jìn)程libvirtd，以及命令行工具virsh。Libvirt的主要目標(biāo)是提供能夠獨立管理多種不同的虛擬化技術(shù)及相關(guān)虛擬機，包括KVM/QEMU、Xen、LXC、OpenVZ或VirtualBox。

在Python中，對Libvirt進(jìn)行相應(yīng)的接口調(diào)用的依賴組件為libvirt-python，該軟件包提供基于python2的API，安裝完成后可在/usr/lib/python2.7/site-packages/libvirt.py中調(diào)用。

（2）后端鏡像

KVM提供后端鏡像backing_file技術(shù)支持，在KVM中后端鏡像技術(shù)則更為方便，用戶可隨時對后端鏡像進(jìn)行維護(hù)，并可快速創(chuàng)建派生鏡像，派生鏡像初始文件大小為192kB，僅記錄基本信息，隨著派生鏡像的啟動運行，鏡像文件隨之增長，但僅記錄與后端鏡像產(chǎn)生差異的部分，并且后端鏡像文件不會被修改，除非在QEMU monitor中使用commit命令或者使用qemu-img commit命令去手動提交這些改動。在KVM及QEMU后端鏡像中較其他虛擬化技術(shù)更有優(yōu)勢的是Python API接口生態(tài)較為完整。

3.2 ? 瀏覽器遠(yuǎn)程控制技術(shù)

Guacamole是一種基于瀏覽器的遠(yuǎn)程管理控制軟件，用戶通過瀏覽器訪問其控制臺生成一條鏈路，通過調(diào)用后端的GUACD數(shù)據(jù)中轉(zhuǎn)組件，瀏覽器無須配置任何接入組件即可通過GUACD連接目標(biāo)虛擬機中的VNC、RDP、SSH等遠(yuǎn)程管理方式。同時考慮到性能因素，該軟件支持分布式與集群部署，并能通過其他第三方軟件如Nginx或Keepalive實現(xiàn)高可用。

（1）Guacamole技術(shù)架構(gòu)

Guacamole遠(yuǎn)程控制軟件的Web應(yīng)用本身不支持任何遠(yuǎn)程管理協(xié)議，也不支持直接的TCP數(shù)據(jù)傳輸，其僅對內(nèi)部前后端數(shù)據(jù)通信的Guacamole傳輸協(xié)議提供完整的兼容和調(diào)用。

完整的數(shù)據(jù)流轉(zhuǎn)鏈路為：學(xué)生通過瀏覽器訪問Guacamole前端展示，并通過JavaScript腳本向Server端發(fā)送需要訪問的服務(wù)器標(biāo)識數(shù)據(jù)，Server端接收數(shù)據(jù)并處理為Guacd可處理的格式，而后由Guacd向最終目標(biāo)服務(wù)器發(fā)起RDP/SSH/VNC等協(xié)議的遠(yuǎn)程訪問，并將畫面及控制數(shù)據(jù)層返回至用戶瀏覽器前端，由JavaScript進(jìn)行渲染。

（2）鑒權(quán)與身份認(rèn)證

Guacamole支持多種身份認(rèn)證模式，包括默認(rèn)的XML文本身份認(rèn)證、數(shù)據(jù)庫認(rèn)證、LDAP統(tǒng)一身份認(rèn)證、HTTP頭認(rèn)證、CAS統(tǒng)一身份認(rèn)證、OpenID統(tǒng)一身份認(rèn)證、Radius身份認(rèn)證等。

3.3 ? SDN虛擬網(wǎng)絡(luò)

信息安全的攻防不是單一網(wǎng)絡(luò)場景，而是由辦公網(wǎng)絡(luò)、DMZ、IDC等多種交換路由網(wǎng)絡(luò)組成，完整的模擬一條攻擊鏈路需要將各個網(wǎng)絡(luò)、主機、服務(wù)、應(yīng)用全面結(jié)合，而這種融合的基礎(chǔ)則是網(wǎng)絡(luò)層面的全面仿真。采用SDN[2]軟件定義網(wǎng)絡(luò)的方式來實現(xiàn)多層級拓?fù)浣Y(jié)構(gòu)，包含多層級路由結(jié)構(gòu)與多個VXLAN結(jié)合，動態(tài)的按需創(chuàng)建內(nèi)部虛擬化網(wǎng)絡(luò)，并將實驗環(huán)境的每一個虛擬機配置于合理的網(wǎng)絡(luò)結(jié)構(gòu)中，實現(xiàn)一套拓?fù)涠鄠€主機多層網(wǎng)絡(luò)多套網(wǎng)絡(luò)設(shè)備與接口，而不同的實訓(xùn)學(xué)生則可生成互不影響的多套拓?fù)浣Y(jié)構(gòu)，解除了網(wǎng)絡(luò)設(shè)備對實訓(xùn)環(huán)境搭建的限制。

（1）基礎(chǔ)二層網(wǎng)絡(luò)

默認(rèn)配置的KVM虛擬化及Libvirt管理工具提供了初始化的二層網(wǎng)絡(luò)，由基礎(chǔ)的靜態(tài)路由和簡單虛擬網(wǎng)絡(luò)、DHCP等一系列基礎(chǔ)服務(wù)組成。默認(rèn)的二層網(wǎng)絡(luò)基于Libvirt的XML網(wǎng)絡(luò)配置文件創(chuàng)建，編輯維護(hù)管理均存在一定不便，需要配置網(wǎng)絡(luò)變更時按順序執(zhí)行注銷網(wǎng)絡(luò)、修改配置、生成網(wǎng)絡(luò)、調(diào)用網(wǎng)絡(luò)等多個步驟。例如下面的代碼為最小化配置的NAT二層網(wǎng)絡(luò)，如需修改子網(wǎng)、網(wǎng)關(guān)等配置信息均需要對實體文件進(jìn)行修改，并完成上述步驟。

（2）多級三層網(wǎng)絡(luò)

在業(yè)務(wù)系統(tǒng)部署場景中常見多級網(wǎng)絡(luò)與多個拓?fù)涔餐瑯?gòu)成一套業(yè)務(wù)系統(tǒng)的情況，同時網(wǎng)絡(luò)設(shè)備與安全設(shè)備的接入鏈路對虛擬化實訓(xùn)的場景復(fù)原能力提出了巨大的挑戰(zhàn)，網(wǎng)絡(luò)旁路、流量鏡像、單臂路由、多級三層路由、NAT轉(zhuǎn)換、ARP代理、DHCP服務(wù)等在虛擬網(wǎng)絡(luò)中的實現(xiàn)也需要一套能夠管理三層網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)軟件。Neutron為整個SDN環(huán)境提供網(wǎng)絡(luò)支持，包括使用虛擬路由實現(xiàn)租戶網(wǎng)絡(luò)的互通和隔離、二層交換、三層路由、負(fù)載均衡、防火墻等。最常見的多級網(wǎng)絡(luò)部署模式為虛擬專用網(wǎng)絡(luò)VPC，這種拓?fù)浣Y(jié)構(gòu)中每個用戶都可以有多個子網(wǎng)，Neutron負(fù)責(zé)提供路由服務(wù)協(xié)調(diào)所有子網(wǎng)，用戶間可以通過配置路由器的路由表來控制子網(wǎng)間的連通。如圖3所示。

4 ? 設(shè)計與實現(xiàn)（Design and implementation）

4.1 ? 總體架構(gòu)設(shè)計

本系統(tǒng)由基礎(chǔ)虛擬化環(huán)境、攻防實訓(xùn)演練子系統(tǒng)（學(xué)生）、實訓(xùn)及教學(xué)管理子系統(tǒng)（教師）三部分共同組成[3]。

基礎(chǔ)虛擬化環(huán)境建設(shè)主要工作內(nèi)容有：物理服務(wù)器及基礎(chǔ)操作系統(tǒng)部署、KVM虛擬化及SDN Neutron配置、Web和數(shù)據(jù)庫服務(wù)部署、瀏覽器遠(yuǎn)控服務(wù)部署等?；A(chǔ)環(huán)境為本文所涉及的系統(tǒng)提供軟硬件運行環(huán)境。

攻防實訓(xùn)演練子系統(tǒng)主要包括基于課程體系學(xué)習(xí)、實訓(xùn)演練操作、學(xué)習(xí)成果信息查看管理等，用戶可根據(jù)自己的興趣愛好選擇不同的課程體系進(jìn)入實訓(xùn)環(huán)節(jié)，并能隨時查看成績排名及實訓(xùn)進(jìn)度等信息，一鍵返回對應(yīng)實訓(xùn)課程繼續(xù)學(xué)習(xí)。

實訓(xùn)及教學(xué)管理子系統(tǒng)主要包含基礎(chǔ)虛擬化管理、教學(xué)及教務(wù)管理等相關(guān)功能，在實訓(xùn)教學(xué)管理過程中，除了對實訓(xùn)教學(xué)內(nèi)容的增刪改，還能夠?qū)崟r監(jiān)控實驗過程畫面并提供遠(yuǎn)程協(xié)助，以及對實訓(xùn)操作結(jié)果的自動化評分。

4.2 ? 攻防實訓(xùn)演練子系統(tǒng)設(shè)計

攻防實訓(xùn)演練子系統(tǒng)，包含實訓(xùn)課程體系、實訓(xùn)演練操作、課程進(jìn)度成績管理三個功能模塊，使用PHP開發(fā)并使用MySQL數(shù)據(jù)庫，并使用Apache作為前端Web服務(wù)器，架構(gòu)如圖4所示。

實訓(xùn)演練操作模塊是本子系統(tǒng)的核心，學(xué)生的全部實訓(xùn)演練及學(xué)習(xí)行為均發(fā)生在該模塊中，從實訓(xùn)操作出發(fā)，將實訓(xùn)手冊、實訓(xùn)遠(yuǎn)程控制窗口、選擇實驗環(huán)境、查看課前知識介紹、回答課后習(xí)題等功能動態(tài)結(jié)合，在一個單一實訓(xùn)任務(wù)中體現(xiàn)教學(xué)做評考的完整學(xué)習(xí)鏈。

（1）課前準(zhǔn)備

信息安全領(lǐng)域的技術(shù)技能沒有孤立的攻防，學(xué)生應(yīng)當(dāng)了解應(yīng)用所需的基礎(chǔ)知識理論與實操技能。在實訓(xùn)前向?qū)W生展示需理解的知識點和關(guān)聯(lián)的實訓(xùn)場景信息。包括前置知識、實訓(xùn)背景、環(huán)境介紹、工具及命令講解等內(nèi)容。

（2）動手實操

動手實操環(huán)節(jié)，學(xué)生通過瀏覽UI左側(cè)的指導(dǎo)手冊，并基于指導(dǎo)手冊中的操作步驟，對UI右側(cè)的遠(yuǎn)程控制窗口進(jìn)行實訓(xùn)演練操作。由于信息安全相關(guān)實訓(xùn)具備較大的不確定性，可能會對實訓(xùn)環(huán)境產(chǎn)生不可逆的破壞，實操模塊還需對實訓(xùn)環(huán)境對應(yīng)的一個或一組虛擬機進(jìn)行監(jiān)控，當(dāng)前端觸發(fā)初始化請求時將對原環(huán)境全面銷毀，并使用后端鏡像技術(shù)為學(xué)生重新生成完全一致的實訓(xùn)環(huán)境，避免重復(fù)搭建而浪費課堂時間。

在操作窗口中主要調(diào)用到Guacamole的HTML5窗體，通過WebSocket的方式將后端數(shù)據(jù)傳輸至前端，再由前端Canvas繪制將后端的數(shù)據(jù)展現(xiàn)出來。對后端的WebSocket的調(diào)用通常嵌套在頁面中，示例代碼如下，在前端頁面中則以ws：//IP：Port/？token=FsTY6VOQHjKC3LZU的通信協(xié)議連接。

（3）課后練習(xí)

課后練習(xí)是完成學(xué)習(xí)后對實訓(xùn)演練的考核，檢驗學(xué)生是否理解并掌握課程內(nèi)容。課后練習(xí)方式為觸發(fā)彈窗式，在正確回答問題后方可結(jié)束實訓(xùn)，避免學(xué)生因誤操作或盲目操作而影響實訓(xùn)效果。

4.3 ? 實訓(xùn)及教學(xué)管理子系統(tǒng)設(shè)計

實訓(xùn)及教學(xué)管理子系統(tǒng)主要承載了管理員及教師的相關(guān)管理操作，同時提供底層虛擬化調(diào)度及輸出、虛擬網(wǎng)絡(luò)及實驗監(jiān)控等功能。該子系統(tǒng)主要實現(xiàn)虛擬化及網(wǎng)絡(luò)的管理功能、實訓(xùn)課程管理、實訓(xùn)監(jiān)控，以及自動化評分等教學(xué)相關(guān)功能。由于虛擬化調(diào)度、監(jiān)控、輸出、網(wǎng)絡(luò)管理等均采用PythonAPI，調(diào)用Django框架作為顯示前端。同時考慮到子系統(tǒng)的連續(xù)運行等特性，采取UWSGI作為運行Django框架的中間件將數(shù)據(jù)輸出至Nginx，并由Nginx向瀏覽器輸出顯示元素。

在功能設(shè)計中主要包括五個模塊，包括實訓(xùn)虛擬化及網(wǎng)絡(luò)管理模塊、實訓(xùn)課程管理模塊、實訓(xùn)監(jiān)控模塊、自動化實訓(xùn)評分模塊和用戶管理模塊。功能如圖5所示。

（1）實訓(xùn)虛擬化及網(wǎng)絡(luò)管理模塊

實訓(xùn)虛擬化和網(wǎng)絡(luò)管理是整體實訓(xùn)系統(tǒng)的核心，是提供教學(xué)與實訓(xùn)環(huán)境的基礎(chǔ)模塊。考慮到信息安全相關(guān)的攻防實訓(xùn)對運行環(huán)境及網(wǎng)絡(luò)拓?fù)渚休^高要求，此處的設(shè)計采用與OpenStack一致虛擬化技術(shù)和網(wǎng)絡(luò)技術(shù)，即KVM和Neutron。

實訓(xùn)系統(tǒng)中對虛擬資源的管理主要是虛擬機資源的管理，考慮到虛擬機所處的不同狀態(tài)，可以將對虛擬機的資源管理分為三種：創(chuàng)建虛擬機的資源管理、啟動虛擬機的資源管理及遷移虛擬機的資源管理。創(chuàng)建虛擬機時，實際上只是完成虛擬機文件的創(chuàng)建，虛擬機所需要的CPU、內(nèi)存等資源暫時還未分配;當(dāng)創(chuàng)建共享類型的虛擬機時，實訓(xùn)系統(tǒng)在分配資源時采用的是輪詢方式，輪詢從虛擬機服務(wù)器組中選擇一臺服務(wù)器來創(chuàng)建虛擬機。啟動虛擬機時的資源管理策略目的是將虛擬機啟動到合適的服務(wù)器上，以提高實訓(xùn)系統(tǒng)資源池中資源的利用率。

系統(tǒng)采用后端鏡像技術(shù)對性能進(jìn)行優(yōu)化，通過部署好的KVM虛擬機作為實訓(xùn)環(huán)境的原始模板，并對原始模板中的操作系統(tǒng)及實訓(xùn)環(huán)境進(jìn)行最大化的性能調(diào)優(yōu)，同時對原始模板的虛擬化配置文件進(jìn)行優(yōu)化，降低CPU及內(nèi)存開銷?；诖四０迳傻男络R像則無須配置即可達(dá)到最小的性能消耗。

將創(chuàng)建的鏡像文件運行至KVM中即可面向?qū)W生提供實訓(xùn)環(huán)境，當(dāng)面臨多個學(xué)生同時創(chuàng)建實訓(xùn)環(huán)境時也無須復(fù)制原始鏡像文件，秒級創(chuàng)建實訓(xùn)鏡像文件。

（2）實訓(xùn)課程管理模塊

實訓(xùn)課程管理模塊包含了完整的門、章、節(jié)等結(jié)構(gòu)，通過層層遞進(jìn)的方式設(shè)計不同的課程體系，并能在小節(jié)中管理多種與實訓(xùn)相關(guān)的信息，例如課前準(zhǔn)備、知識點講解、實驗介紹、實訓(xùn)手冊、趣味問答、課后習(xí)題等，并通過HTML5的方式展示富文本信息，通過引入外部編輯器UEditor，解決對PPT、WORD、音頻視頻等多媒體教學(xué)的需求，實訓(xùn)課程管理模塊結(jié)構(gòu)如圖6所示。

根據(jù)功能需求，本模塊主要解決包括教學(xué)內(nèi)容與實訓(xùn)的關(guān)聯(lián)、實訓(xùn)與考核方式的管理問題，通過對后端數(shù)據(jù)庫各個相關(guān)數(shù)據(jù)表的增刪改查等操作，向演練子系統(tǒng)動態(tài)輸出課程內(nèi)容與實訓(xùn)環(huán)境等資源。

（3）實訓(xùn)監(jiān)控模塊

在實訓(xùn)教學(xué)過程中主要存在幾種常見的管理問題，例如學(xué)生需要協(xié)助指導(dǎo)、巡查學(xué)生操作是否順利、幫助學(xué)生還原初始環(huán)境、實訓(xùn)系統(tǒng)性能負(fù)載等，因此在實訓(xùn)監(jiān)控模塊應(yīng)能提供物理機的硬件資源消耗監(jiān)控、學(xué)生實驗桌面監(jiān)控、環(huán)境恢復(fù)初始化、強制關(guān)閉實訓(xùn)環(huán)境、操作學(xué)生實訓(xùn)虛擬機等功能。

通過監(jiān)控模塊[4]對虛擬實訓(xùn)環(huán)境中的操作過程進(jìn)行實時監(jiān)控并記錄。監(jiān)控記錄用于對實訓(xùn)環(huán)境的實操過程把控，對虛擬實訓(xùn)環(huán)境中的操作進(jìn)行記錄可以用于進(jìn)行實訓(xùn)技能評估。實現(xiàn)系統(tǒng)用戶的操作行為記錄和查詢;通過SNMP、SYSLOG對目標(biāo)設(shè)備的實時狀態(tài)信息進(jìn)行采集，通過流量鏡像和收取對目標(biāo)網(wǎng)絡(luò)的流量信息進(jìn)行采集;針對采集到的信息實現(xiàn)標(biāo)準(zhǔn)化處理引擎，通過處理規(guī)則將信息進(jìn)行標(biāo)準(zhǔn)化處理并輸出，規(guī)則實現(xiàn)默認(rèn)庫和自定義添加。

為實現(xiàn)對數(shù)據(jù)庫中的日志數(shù)據(jù)進(jìn)行實時解析，采用Storm實現(xiàn)實時數(shù)據(jù)分析。同時考慮到監(jiān)控模塊需要對物理機操作系統(tǒng)進(jìn)行性能監(jiān)控，需調(diào)用Python腳本對數(shù)據(jù)進(jìn)行獲取，Python主要通過psutil組件，可實現(xiàn)對CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)、進(jìn)程等信息的獲取，調(diào)用代碼如下：

（4）性能測試

考慮到本系統(tǒng)提供大量虛擬化操作系統(tǒng)的訪問，需要較強的性能負(fù)載，而傳統(tǒng)的訪問式的性能測試工具如LoadRunner無法提供相應(yīng)功能，因此采用自行編寫的腳本批量創(chuàng)建實訓(xùn)環(huán)境[5]，并隨時觀測其性能狀況。在物理服務(wù)器中分別使用sysstat、iotop、htop、nmon等工具對CPU及硬盤負(fù)載進(jìn)行監(jiān)控并記錄。

測試使用腳本創(chuàng)建100個CentOS實訓(xùn)環(huán)境，在進(jìn)入操作系統(tǒng)后隨機時間打開10個門戶網(wǎng)站，測試環(huán)境的CengOS計算資源指標(biāo)均為2核CPU、4G內(nèi)存。

在測試開始時可見第二硬盤的負(fù)載瞬時變大，并產(chǎn)生了少量的突發(fā)硬盤負(fù)載，通過對腳本執(zhí)行日志的分析得知約每25個虛擬機的并發(fā)就會觸發(fā)一次小規(guī)模的I/O資源緊張。如圖8所示在全部測試過程中第一硬盤的性能幾乎沒有任何消耗，同時CPU資源雖然存在持續(xù)上升趨勢，如圖9所示，但服務(wù)器總計48核CPU，CPU LOAD為2.5僅占全部CPU性能的約5%。本次測試耗時3分46秒，100個2核CPU、4G內(nèi)存的CentOS已全部加載操作系統(tǒng)并完成10個網(wǎng)頁的瀏覽器訪問。

通過批量創(chuàng)建不同操作系統(tǒng)的實訓(xùn)環(huán)境分析可知，本系統(tǒng)已實現(xiàn)計算性能的全面優(yōu)化，降低了CPU與硬盤的性能消耗，能夠通過一臺物理服務(wù)器為大量學(xué)生提供實訓(xùn)環(huán)境，并能在短時間內(nèi)完成大量實訓(xùn)環(huán)境的創(chuàng)建任務(wù)，而無須對既有教室或?qū)嵱?xùn)室進(jìn)行改造，提高了資源使用率，提升了教學(xué)環(huán)境使用效率。

5 ? 結(jié)論（Conclusion）

本文通過調(diào)度底層KVM虛擬化及SDN等相關(guān)技術(shù)將信息安全攻防技術(shù)與實訓(xùn)教學(xué)過程進(jìn)行了一定程度的結(jié)合，并通過對教學(xué)和教務(wù)管理的深入分析，最終設(shè)計并實現(xiàn)了基于底層虛擬化的信息安全教學(xué)實訓(xùn)系統(tǒng)。通過測試，該系統(tǒng)能夠滿足實訓(xùn)演練教學(xué)做一體化的要求，可實現(xiàn)預(yù)期設(shè)計目標(biāo)。

參考文獻(xiàn)（References）

[1] 馬震太，張曉梅.BOSS在KVM平臺中的性能研究與優(yōu)化[J].計算機工程，2017，43（7）：70-74.

[2] 許磊，顧進(jìn)廣，何亨.基于SDN架構(gòu)的網(wǎng)絡(luò)能耗與性能動態(tài)調(diào)節(jié)機制[J].計算機工程，2018，44（4）：108-114.

[3] 馬麗.網(wǎng)絡(luò)安全攻防訓(xùn)練平臺設(shè)計與實現(xiàn)[J].無線互聯(lián)科技，2017（11）：75-76

[4] 任永杰，程舟.KVM實戰(zhàn)：原理、進(jìn)階與性能調(diào)優(yōu)[M].北京：機械工業(yè)出版社，2019.

[5] 楊志國.銀行業(yè)數(shù)據(jù)中心性能測試的策略與實踐[M].北京：人民郵電出版社，2019.

作者簡介：

張月紅（1975-），女，碩士，副教授.研究領(lǐng)域：滲透測試，漏洞挖掘，WEB安全.