劉子健 劉楚涵 張宏斌 田曉娜

收稿日期：2023-09-02

DOI：10.19850/j.cnki.2096-4706.2024.06.006

摘? 要：目前網(wǎng)絡(luò)威脅嚴(yán)峻，網(wǎng)絡(luò)靶場(chǎng)作為網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估、攻防對(duì)抗演練等場(chǎng)景下的安全技術(shù)驗(yàn)證手段備受矚目。合理使用網(wǎng)絡(luò)靶場(chǎng)內(nèi)計(jì)算資源的開(kāi)銷，高效地完成目標(biāo)網(wǎng)絡(luò)構(gòu)建是當(dāng)前亟須解決的問(wèn)題。文章提出了一種大規(guī)模、多粒度節(jié)點(diǎn)融合的動(dòng)態(tài)網(wǎng)絡(luò)構(gòu)建方法，一方面通過(guò)多粒度節(jié)點(diǎn)協(xié)同工作的方式使用靶場(chǎng)內(nèi)資源，擴(kuò)大了網(wǎng)絡(luò)規(guī)模；另一方面通過(guò)改進(jìn)E-CCD算法，優(yōu)化節(jié)點(diǎn)間鏈路添加的時(shí)間復(fù)雜度，降低網(wǎng)絡(luò)構(gòu)建時(shí)間。經(jīng)驗(yàn)證，構(gòu)建10萬(wàn)級(jí)節(jié)點(diǎn)規(guī)模的大規(guī)模網(wǎng)絡(luò)可在235分鐘內(nèi)完成，可面向目前主流的分布式異構(gòu)靶場(chǎng)。

關(guān)鍵詞：網(wǎng)絡(luò)靶場(chǎng)；大規(guī)模；多粒度；動(dòng)態(tài)構(gòu)建

中圖分類號(hào)：TP393? ? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2024）06-0024-06

Research on Efficient Construction Method of Large-scale Network Multi-granularity Nodes for Distributed Cyber Range

LIU Zijian， LIU Chuhan， ZHANG Hongbin， TIAN Xiaona

（National Computer System Engineering Research Institute of China， Beijing? 100083， China）

Abstract： The increasing severity of cyber security threats has led to a growing interest in the use of network cyber range as a means of assessing risks， conducting defensive exercises in complex scenarios. A pressing issue is how to reasonably utilize the computational resources within network cyber range to efficiently construct target networks. This paper proposes a large-scale， multi-granularity node fusion method for dynamically building networks， which leverages the computational resources by coordinating the work of multiple granularity nodes and expand the network scale. Furthermore， the method improves the E-CCD algorithm to optimize the time complexity of the inter-node link addition， thus reducing time in network construction. Results have shown that the construction of large-scale networks with a node scale of 100 000 can be completed within 235 minutes， making it applicable to mainstream distributed and heterogeneous cyber range.

Keywords： network cyber range; large-scale; multi-granularity; dynamic construction

0? 引? 言

隨著互聯(lián)網(wǎng)行業(yè)的迅速發(fā)展，已由傳統(tǒng)單一的網(wǎng)絡(luò)環(huán)境發(fā)展到泛在的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)靶場(chǎng)作為網(wǎng)絡(luò)安全技術(shù)研究、網(wǎng)絡(luò)安全應(yīng)急演練、網(wǎng)絡(luò)安全人員培訓(xùn)等網(wǎng)絡(luò)安全服務(wù)的基礎(chǔ)環(huán)境，被世界各國(guó)極為重視，目前，以美國(guó)為首的國(guó)家均將網(wǎng)絡(luò)靶場(chǎng)建設(shè)作為支撐網(wǎng)絡(luò)安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器研制實(shí)驗(yàn)和風(fēng)險(xiǎn)評(píng)估分析的重要場(chǎng)所[1]。因此，發(fā)揮網(wǎng)絡(luò)靶場(chǎng)的優(yōu)勢(shì)在維護(hù)我國(guó)網(wǎng)絡(luò)主權(quán)、加快我國(guó)向網(wǎng)絡(luò)強(qiáng)國(guó)邁進(jìn)的步伐和在未來(lái)網(wǎng)絡(luò)戰(zhàn)中占據(jù)有利地位等方面具有重要的意義[2]。

在網(wǎng)絡(luò)靶場(chǎng)中大規(guī)模網(wǎng)絡(luò)構(gòu)建技術(shù)具有核心的地位，尤其針對(duì)主流的異域、異構(gòu)的分布式靶場(chǎng)下的虛實(shí)互聯(lián)網(wǎng)絡(luò)構(gòu)建技術(shù)與國(guó)外差距較大，如何高效地實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)拓?fù)潇`活部署、合理地使用資源開(kāi)銷是大規(guī)模網(wǎng)絡(luò)構(gòu)建中需要解決的兩個(gè)問(wèn)題[3]。

本文基于云計(jì)算技術(shù)和行業(yè)專用仿真系統(tǒng)搭建了分布式異構(gòu)靶場(chǎng)，完成了物理機(jī)、裸金屬、全虛擬化、輕量級(jí)虛擬化、協(xié)議棧五種粒度節(jié)點(diǎn)協(xié)同工作的模擬網(wǎng)絡(luò)環(huán)境構(gòu)建和特定業(yè)務(wù)場(chǎng)景仿真。進(jìn)而在資源開(kāi)銷、仿真效果和部署規(guī)模上達(dá)到平衡，并通過(guò)本文提出的E-CCD優(yōu)化算法縮減了網(wǎng)絡(luò)構(gòu)建時(shí)間。

1? 分布式異構(gòu)靶場(chǎng)多粒度節(jié)點(diǎn)融合網(wǎng)絡(luò)構(gòu)建方法

在網(wǎng)絡(luò)空間靶場(chǎng)有限的資源中，考慮網(wǎng)絡(luò)規(guī)模的同時(shí)，還需關(guān)注資源的開(kāi)銷，采用多粒度節(jié)點(diǎn)融合的方法恰恰能夠?qū)崿F(xiàn)不同級(jí)別的網(wǎng)絡(luò)節(jié)點(diǎn)部署，提高計(jì)算資源利用率，進(jìn)而擴(kuò)大網(wǎng)絡(luò)規(guī)模。該方法結(jié)合了網(wǎng)絡(luò)模擬、虛擬仿真、容器仿真、虛實(shí)互聯(lián)等技術(shù)，對(duì)大規(guī)模網(wǎng)絡(luò)拓?fù)溥M(jìn)行統(tǒng)一編排和抽象描述，滿足真實(shí)性與成本平衡的綜合業(yè)務(wù)仿真場(chǎng)景。分布式異構(gòu)靶場(chǎng)多節(jié)點(diǎn)融合網(wǎng)絡(luò)構(gòu)建的總體架構(gòu)如圖1所示。

1.1? 分布式異構(gòu)靶場(chǎng)多粒度虛擬化技術(shù)理論研究

由于多粒度節(jié)點(diǎn)所對(duì)應(yīng)的部署需求和底層的虛擬化仿真應(yīng)用程序?qū)崿F(xiàn)均不同，需要對(duì)多粒度節(jié)點(diǎn)網(wǎng)絡(luò)進(jìn)行統(tǒng)一化的編排管理，隱藏底層虛擬化仿真應(yīng)用程序的實(shí)現(xiàn)，以虛擬網(wǎng)絡(luò)拓?fù)湮募男问矫枋霾渴?。各類粒度虛擬化技術(shù)如下所述。

全虛擬化是一種計(jì)算機(jī)實(shí)體資源的虛擬化技術(shù)，全虛擬化節(jié)點(diǎn)是多粒度靶場(chǎng)中最重要的一類節(jié)點(diǎn)。該技術(shù)允許模擬真實(shí)完整的操作系統(tǒng)和實(shí)體資源，該技術(shù)虛擬出的網(wǎng)絡(luò)節(jié)點(diǎn)互相之間高度隔離、各自具備完整軟件、硬件結(jié)構(gòu)，可完整地模擬現(xiàn)實(shí)網(wǎng)絡(luò)中真實(shí)的節(jié)點(diǎn)。

輕量級(jí)虛擬化是相較于傳統(tǒng)全虛擬化技術(shù)而區(qū)別的，輕量級(jí)虛擬化技術(shù)提供的是用戶空間層次的隔離性，而在內(nèi)核、其他部分資源上與宿主機(jī)和其他輕量級(jí)虛擬化節(jié)點(diǎn)共享，適用于不需要高度模擬物理環(huán)境、但需要大量、快速部署網(wǎng)絡(luò)節(jié)點(diǎn)的靶場(chǎng)需求[4]。

離散仿真是由離散事件模擬器進(jìn)行的協(xié)議棧網(wǎng)絡(luò)構(gòu)建技術(shù)，在大規(guī)模目標(biāo)網(wǎng)絡(luò)構(gòu)建時(shí)，并非所有節(jié)點(diǎn)都在網(wǎng)絡(luò)中發(fā)揮關(guān)鍵作用。在實(shí)現(xiàn)低資源開(kāi)銷，高網(wǎng)絡(luò)構(gòu)建效率時(shí)，可將虛擬網(wǎng)絡(luò)的邊緣部分使用安裝有離散事件模擬器的全虛擬化節(jié)點(diǎn)完成。

裸金屬融合了物理節(jié)點(diǎn)和虛擬節(jié)點(diǎn)各自的優(yōu)勢(shì)，以裸金屬實(shí)例為載體，直接使用物理服務(wù)器穩(wěn)定的計(jì)算能力，以及云平臺(tái)內(nèi)存儲(chǔ)、網(wǎng)絡(luò)等資源。突破云資源與物理資源的邊界，保障核心應(yīng)用的高性能和穩(wěn)定性的同時(shí)，又結(jié)合云平臺(tái)中資源的彈性優(yōu)勢(shì)，該類節(jié)點(diǎn)用于強(qiáng)算力的使用場(chǎng)景。

1.2? 分布式異構(gòu)靶場(chǎng)多粒度融合技術(shù)實(shí)現(xiàn)方法

多粒度融合的網(wǎng)絡(luò)節(jié)點(diǎn)包含物理主機(jī)、裸金屬、虛擬機(jī)、容器、協(xié)議棧五類節(jié)點(diǎn)，通過(guò)應(yīng)用上述不同層次的虛擬化技術(shù)，以最少的資源開(kāi)銷、最快的構(gòu)建速度滿足實(shí)際業(yè)務(wù)需求的大規(guī)模目標(biāo)網(wǎng)絡(luò)場(chǎng)景。行業(yè)專用靶場(chǎng)系統(tǒng)與總靶場(chǎng)異域、異構(gòu)互聯(lián)，形成多粒度節(jié)點(diǎn)融合的分布式異構(gòu)靶場(chǎng)。下面從全虛擬化、輕量級(jí)虛擬化、離散模擬、裸金屬和實(shí)體終端虛實(shí)互聯(lián)具體實(shí)現(xiàn)的角度出發(fā)，論述面向多粒度節(jié)點(diǎn)分布式異構(gòu)靶場(chǎng)實(shí)現(xiàn)方式。

1.2.1? 全虛擬化粒度節(jié)點(diǎn)

全虛擬化節(jié)點(diǎn)采用KVM虛擬化技術(shù)實(shí)現(xiàn)，網(wǎng)絡(luò)虛擬化技術(shù)通過(guò)OVS實(shí)現(xiàn)交換機(jī)節(jié)點(diǎn)的構(gòu)建，二者結(jié)合來(lái)構(gòu)建高性能、高可靠的云主機(jī)實(shí)例和虛擬網(wǎng)絡(luò)設(shè)備，模擬出極為真實(shí)的網(wǎng)絡(luò)和主機(jī)環(huán)境。

1.2.2? 輕量級(jí)虛擬化粒度節(jié)點(diǎn)

輕量級(jí)虛擬化節(jié)點(diǎn)采用Docker輕量虛擬化技術(shù)，按照用戶需求靈活構(gòu)建目標(biāo)網(wǎng)絡(luò)環(huán)境以及其上的應(yīng)用業(yè)務(wù)。在部署一個(gè)較復(fù)雜的業(yè)務(wù)時(shí)，采用了OVS的解決方案，使各個(gè)服務(wù)器上的Docker容器通過(guò)自身的虛擬網(wǎng)卡連接到OVS上后再接入網(wǎng)絡(luò)[5]。

1.2.3? 離散仿真粒度節(jié)點(diǎn)

離散仿真節(jié)點(diǎn)采用NS3協(xié)議棧模擬技術(shù)實(shí)現(xiàn)，虛擬網(wǎng)絡(luò)環(huán)境中對(duì)于網(wǎng)絡(luò)協(xié)議有高逼真度要求的部分，完整模擬環(huán)境中的節(jié)點(diǎn)行為，模擬應(yīng)用構(gòu)建、進(jìn)程調(diào)度、網(wǎng)絡(luò)監(jiān)控等功能，并采用了基于原始套接字的協(xié)議棧節(jié)點(diǎn)流量仿真接入技術(shù)和協(xié)議棧節(jié)點(diǎn)按需動(dòng)態(tài)追蹤技術(shù)。

1.2.4? 裸金屬粒度節(jié)點(diǎn)

裸金屬節(jié)點(diǎn)采用OpenStack體系結(jié)構(gòu)中的Ironic組件實(shí)現(xiàn)，該組件可以直接對(duì)物理機(jī)執(zhí)行節(jié)點(diǎn)管理，進(jìn)行物理機(jī)節(jié)點(diǎn)的添加、刪除，進(jìn)行電源管理，部署系統(tǒng)等操作。用戶通過(guò)Nova API和Nova Scheduler來(lái)啟動(dòng)一個(gè)裸金屬實(shí)例，之后請(qǐng)求會(huì)通過(guò)Ironic API，連接到Ironic Conductor服務(wù)，再到對(duì)應(yīng)的Driver，最后完成實(shí)例部署，為用戶提供成功部署的物理機(jī)服務(wù)。

1.2.5? 實(shí)體終端接入

實(shí)體機(jī)的接入依靠Vxlan隧道，打通SDN交換機(jī)與云平臺(tái)各個(gè)計(jì)算節(jié)點(diǎn)OVS中 br-tun隧道網(wǎng)橋之間的鏈路，通過(guò)控制器對(duì)交換機(jī)進(jìn)行全權(quán)掌握。vxlan隧道的構(gòu)造首先分別在云平臺(tái)內(nèi)各個(gè)OVS虛擬交換機(jī)的隧道網(wǎng)橋和實(shí)體SDN上都添加相應(yīng)的vtep_port端口對(duì)，這些端口對(duì)實(shí)現(xiàn)了實(shí)體交換機(jī)和虛擬網(wǎng)橋的連通，進(jìn)而實(shí)現(xiàn)云平臺(tái)中虛擬實(shí)例與實(shí)體終端的鏈路連通，之后在每個(gè)br-tun 隧道網(wǎng)橋中添加守護(hù)進(jìn)程，將新增加的vtep_port信息添加進(jìn)入其中的各級(jí)流表中[6]。虛實(shí)互聯(lián)的物理架構(gòu)圖如圖2所示。

圖2? 實(shí)體機(jī)接入物理結(jié)構(gòu)

2? 大規(guī)模多粒度節(jié)點(diǎn)融合網(wǎng)絡(luò)高效構(gòu)建方法

在各粒度節(jié)點(diǎn)均融入靶場(chǎng)環(huán)境之后，需要改進(jìn)云計(jì)算環(huán)境下復(fù)雜網(wǎng)絡(luò)靈活構(gòu)建的關(guān)鍵算法。通過(guò)對(duì)基礎(chǔ)設(shè)施網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路資源進(jìn)行虛擬化，虛擬網(wǎng)絡(luò)構(gòu)建技術(shù)可動(dòng)態(tài)、靈活創(chuàng)建網(wǎng)絡(luò)拓?fù)洌部梢詣?dòng)態(tài)分配帶寬，為用戶提供更高質(zhì)的通信服務(wù)，滿足未來(lái)網(wǎng)絡(luò)的擴(kuò)充改造。目前，在靶場(chǎng)網(wǎng)絡(luò)拓?fù)鋽U(kuò)建添加的過(guò)程中，要盡可能規(guī)避源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間存在多跳而產(chǎn)生的網(wǎng)絡(luò)時(shí)延，將虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)轉(zhuǎn)化為小世界網(wǎng)絡(luò)結(jié)構(gòu)[7]，降低虛擬網(wǎng)絡(luò)的平均路徑長(zhǎng)度（APL），提高網(wǎng)絡(luò)的平均聚類參數(shù)（ACC）。在其他網(wǎng)絡(luò)模塊的共同作用下，構(gòu)建一個(gè)拓?fù)涞幕痉椒軜?gòu)如圖3所示。

圖3? 拓?fù)渖煞椒軜?gòu)

2.1? 虛擬網(wǎng)絡(luò)鏈路構(gòu)建理論研究

主流基于虛擬網(wǎng)絡(luò)拓?fù)錁?gòu)建和動(dòng)態(tài)帶寬分配的OpenStack多節(jié)點(diǎn)的大規(guī)模鏈路添加算法包括以下幾種。

基于最大度數(shù)差鏈路添加算法（MaxDgd）是小世界模型的啟發(fā)式算法，它通過(guò)遍歷網(wǎng)絡(luò)圖中所有邊來(lái)計(jì)算圖中每個(gè)頂點(diǎn)的度數(shù)，排序選擇度數(shù)最大的頂點(diǎn)與度數(shù)最小的頂點(diǎn)，在最大度差異的節(jié)點(diǎn)對(duì)之間來(lái)添加新鏈路，在一個(gè)邊數(shù)為M的網(wǎng)絡(luò)中添加一條新鏈路的時(shí)間復(fù)雜度為O（M）。該算法不考慮節(jié)點(diǎn)在當(dāng)前網(wǎng)絡(luò)位置關(guān)系，因此添加的新路徑與原靶場(chǎng)拓?fù)涞年P(guān)系不大。與此相似的基于最大點(diǎn)度中心參數(shù)差的鏈路添加算法（MaxDCD），遍歷N個(gè)節(jié)點(diǎn)網(wǎng)絡(luò)中的所有節(jié)點(diǎn)而不是邊，選擇網(wǎng)絡(luò)中最大度數(shù)數(shù)差的節(jié)點(diǎn)對(duì)來(lái)添加新鏈路構(gòu)建小世界網(wǎng)絡(luò)，該算法的時(shí)間復(fù)雜度為O（N2logN）。

基于最大介數(shù)中心參數(shù)差的鏈路添加算法（MaxBCD）也是通過(guò)遍歷網(wǎng)絡(luò)拓?fù)鋱D中的所有節(jié)點(diǎn)來(lái)添加新的鏈路，選擇最大介數(shù)中心參數(shù)差的節(jié)點(diǎn)對(duì)連接構(gòu)成新的虛擬拓?fù)洌瑫r(shí)間復(fù)雜度為O（N2logN）。中介中心性的計(jì)算思想認(rèn)為，網(wǎng)絡(luò)中兩個(gè)非相鄰成員之間的相互作用依賴于其他成員，特別是兩成員之間路徑上的節(jié)點(diǎn)，對(duì)二者的相互作用具有控制和制約作用，因此當(dāng)一個(gè)成員位于其他成員的多條最短路徑上，那么該成員就是核心成員，就具有較大的中介中心性。一個(gè)特定節(jié)點(diǎn)的中介中心度值由通過(guò)該節(jié)點(diǎn)的所有最短路徑數(shù)和拓?fù)渲写嬖诘乃凶疃搪窂綌?shù)量比值所決定。

基于中心聚集系數(shù)差高效鏈路添加算法（E-CCD）不僅能夠利用節(jié)點(diǎn)的連接數(shù)網(wǎng)絡(luò)局部特征，還考慮其在整個(gè)結(jié)構(gòu)中所處的位置。對(duì)于到圖中其他節(jié)點(diǎn)的最短距離都很小，即接近中心性很高的用戶來(lái)說(shuō)，它更可能處于網(wǎng)絡(luò)的核心位置，新鏈路的添加有更大概率與其相關(guān)。一個(gè)節(jié)點(diǎn)的接近中心性由拓?fù)渲泄?jié)點(diǎn)的數(shù)量與所有節(jié)點(diǎn)到該點(diǎn)最短路徑距離和的比值計(jì)算得到：

（1）

其中N-1是為了使網(wǎng)絡(luò)拓?fù)渲兴泄?jié)點(diǎn)的CC值保持均一化值。對(duì)于計(jì)算得到的所有節(jié)點(diǎn)CC值，選取其中最大與最小的點(diǎn)形成新的鏈路，隨后更新所有的最短路徑距離，以用于下一次鏈路添加時(shí)CC值的計(jì)算。

可見(jiàn)E-CCD算法能夠在生成拓?fù)滏溌返臅r(shí)候很好地考慮到各個(gè)用戶的參與重要程度與位置影響的作用，使得增改后的靶場(chǎng)結(jié)構(gòu)最短路徑和保持一個(gè)盡量小的狀態(tài)，用于各節(jié)點(diǎn)間的快速通信。但該算法仍明顯地存在著兩個(gè)問(wèn)題，一是每添加一條新鏈路后對(duì)所有節(jié)點(diǎn)的最短路徑進(jìn)行數(shù)值上的計(jì)算更新，在數(shù)量龐大的超大規(guī)模仿真靶場(chǎng)網(wǎng)絡(luò)中，時(shí)間的資源消耗會(huì)非常大，因此應(yīng)在算法的過(guò)程中求出最短距離情況和聚集系數(shù)受到相對(duì)影響的部分節(jié)點(diǎn)組，僅更新計(jì)算符合條件節(jié)點(diǎn)的d值的；二是由不同粒度節(jié)點(diǎn)搭建的不同網(wǎng)絡(luò)之間，用戶的級(jí)別不同造成雙方直接的通信資源消耗大，更加漫長(zhǎng)，需要考慮到擬連接二者間的直線距離，減少或避免跨級(jí)別網(wǎng)絡(luò)間的鏈路生成[8-10]。

2.2? 基于大規(guī)模多粒度靶場(chǎng)網(wǎng)絡(luò)環(huán)境改進(jìn)的E-CCD鏈路添加算法

網(wǎng)絡(luò)拓?fù)浼礊槌橄蟮囊粡垙?fù)雜圖，節(jié)點(diǎn)之間通過(guò)邊相互連通，其中通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)冗余高，網(wǎng)絡(luò)端到端傳輸距離較大，網(wǎng)絡(luò)平均路徑長(zhǎng)度導(dǎo)致平均網(wǎng)絡(luò)時(shí)延很高。虛擬的通信網(wǎng)絡(luò)靶場(chǎng)視為一個(gè)無(wú)權(quán)重?zé)o向圖G = {V，E}，其中V = {V1，V2，…Vn}表示G中的節(jié)點(diǎn)集合，網(wǎng)絡(luò)的連接矩陣A（i，j） = 1代表圖G中節(jié)點(diǎn)i和j有連接關(guān)系，i、j之間的最短距離d（i，j）構(gòu)成了網(wǎng)絡(luò)的最短距離矩陣D（i，j）。

算法執(zhí)行開(kāi)始時(shí)，對(duì)每個(gè)節(jié)點(diǎn)計(jì)算其中心聚集系數(shù)CC（vi），從中選取數(shù)值最大的節(jié)點(diǎn)作為鏈路連接的選擇，為了防止跨量級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)間通信代價(jià)過(guò)大的問(wèn)題，以選中的用戶為基準(zhǔn)，通過(guò)各個(gè)節(jié)點(diǎn)的CC值與基準(zhǔn)間最短距離d的比值計(jì)算其他所有節(jié)點(diǎn)與最重要基準(zhǔn)核心的匹配程度MD，與選中的基準(zhǔn)節(jié)點(diǎn)匹配程度最高的節(jié)點(diǎn)則為鏈路生成的另一端點(diǎn)。在一條鏈路添加完畢后，為了更新最短距離矩陣的時(shí)間過(guò)長(zhǎng)，通過(guò)不穩(wěn)定節(jié)點(diǎn)對(duì)形成定理降低計(jì)算的復(fù)雜度，根據(jù)其他節(jié)點(diǎn)到添加新鏈路兩端點(diǎn)最短距離變化與否，劃分為穩(wěn)定節(jié)點(diǎn)s與不穩(wěn)定節(jié)點(diǎn)u，通過(guò)更新兩組節(jié)點(diǎn)間的最短距離即可完成整個(gè)拓?fù)銬的更新。最短距離d的更新，具體來(lái)說(shuō)是通過(guò)計(jì)算U與S中每對(duì)節(jié)點(diǎn)的最新最短距離，當(dāng)計(jì)算的結(jié)果小于原本D中的數(shù)值時(shí)對(duì)其進(jìn)行替代。改進(jìn)后算法的具體流程圖如圖4所示。

圖4? 優(yōu)化的大規(guī)模多粒度靶場(chǎng)網(wǎng)絡(luò)環(huán)境E-CCD鏈路添加算法流程

由此生成的新虛擬網(wǎng)絡(luò)拓?fù)淇梢栽跐M足任意兩節(jié)點(diǎn)通信距離最短、時(shí)間最短的情況下，減少了跨級(jí)別網(wǎng)絡(luò)間用戶的直接相連造成的通信資源消耗增加，同時(shí)還使得原本E-CCD算法更新最短距離矩陣的時(shí)間減少，拓?fù)渖傻膱?zhí)行速度增加。在大規(guī)模、構(gòu)成類型復(fù)雜的模擬通信靶場(chǎng)實(shí)驗(yàn)環(huán)境中，優(yōu)化改進(jìn)的算法節(jié)約了大量構(gòu)建成本，應(yīng)用于新技術(shù)驗(yàn)證和網(wǎng)絡(luò)安全人才培養(yǎng)的靶場(chǎng)中去。

3? 實(shí)驗(yàn)結(jié)果與分析

基于OpenStack標(biāo)準(zhǔn)部署方案搭建的并發(fā)本地仿真實(shí)驗(yàn)網(wǎng)絡(luò)，采用1臺(tái)H3C S5130千兆交換機(jī)實(shí)現(xiàn)云平臺(tái)管理網(wǎng)搭建，選用39臺(tái)浪潮NF5270M5計(jì)算服務(wù)器，其中控制節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)、存儲(chǔ)節(jié)點(diǎn)、裸金屬各使用1臺(tái)、全虛擬化計(jì)算節(jié)點(diǎn)使用10臺(tái)，輕量級(jí)虛擬化節(jié)點(diǎn)使用20臺(tái)，協(xié)議棧計(jì)算節(jié)點(diǎn)使用5臺(tái)，并采用2臺(tái)H3C S6812萬(wàn)兆交換機(jī)實(shí)現(xiàn)業(yè)務(wù)網(wǎng)和測(cè)量網(wǎng)搭建。十萬(wàn)規(guī)模規(guī)模級(jí)網(wǎng)絡(luò)中含CentOS 7.5操作系統(tǒng)的KVM虛擬機(jī)實(shí)例2 000臺(tái)、Dokcer容器實(shí)例30 000臺(tái)，2.36版本的NS3協(xié)議棧模擬70 000節(jié)點(diǎn)規(guī)模網(wǎng)絡(luò)，其中每個(gè)容器、協(xié)議棧主機(jī)內(nèi)均可實(shí)現(xiàn)萬(wàn)級(jí)以上用戶節(jié)點(diǎn)的創(chuàng)建。大規(guī)模異構(gòu)靶場(chǎng)網(wǎng)絡(luò)拓?fù)淙鐖D5所示。

異構(gòu)網(wǎng)絡(luò)間數(shù)據(jù)報(bào)文能夠做到無(wú)縫互通，各級(jí)別網(wǎng)絡(luò)通過(guò)路由器直接互相訪問(wèn)。節(jié)點(diǎn)互訪情況如圖6所示。

圖6? 節(jié)點(diǎn)互通訪問(wèn)

針對(duì)擴(kuò)展靶場(chǎng)網(wǎng)絡(luò)的優(yōu)化算法驗(yàn)證，通過(guò)：

EccdAlgorithm eccdAlgorithm = new NewECCD（File jsonFile， String[] netNode， String[] nodeType， String[] clusterName， int[] nodeCount）;

Boolean isSuccess = eccdAlgorithm.build（）;

對(duì)使用傳統(tǒng)的E-CCD與針對(duì)復(fù)雜級(jí)別實(shí)驗(yàn)靶場(chǎng)改進(jìn)的E-CCD拓?fù)渖伤惴ǖ臅r(shí)間成本進(jìn)行分析。

從表1中可以直觀地看出，在組成節(jié)點(diǎn)類型多樣、整體拓?fù)湟?guī)模巨大的情況下，改進(jìn)后的拓?fù)渖伤惴傮w上更能減少時(shí)間的消耗。生成的拓?fù)湟?guī)模越大，該算法優(yōu)化的效果越好，大大減少了虛擬靶場(chǎng)環(huán)境下的實(shí)驗(yàn)成本。

表1? E-CCD與優(yōu)化E-CCD搭建靶場(chǎng)時(shí)間對(duì)比

節(jié)點(diǎn)數(shù)量/算法 E-CCD 優(yōu)化E-CCD

1 000 15 min 21 s 12 min 32 s

10 000 60 min 32 s 54 min 58 s

100 000 4 h 20 min 18 s 3 h 54 min 22 s

4? 結(jié)? 論

本文通過(guò)多粒度節(jié)點(diǎn)融合和優(yōu)化的E-CCD拓?fù)渖伤惴ǜ咝瓿纱笠?guī)模網(wǎng)絡(luò)構(gòu)建，實(shí)驗(yàn)表明，五種粒度節(jié)點(diǎn)組成的十萬(wàn)規(guī)模的協(xié)同靶場(chǎng)內(nèi)互聯(lián)互通，封裝成API的拓?fù)渖伤惴軌蜢`活構(gòu)建新型網(wǎng)絡(luò)，構(gòu)建的時(shí)間成本比傳統(tǒng)的E-CCD算法縮短了10%以上，在靶場(chǎng)環(huán)境模擬中能夠節(jié)約更多的時(shí)間開(kāi)銷。因此本文提出的新方法在未來(lái)網(wǎng)絡(luò)安全行業(yè)中有重要的應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1] 藍(lán)炫勉，陳剛，李周，等.基于虛擬化技術(shù)的智能制造網(wǎng)絡(luò)安全靶場(chǎng)設(shè)計(jì) [J].自動(dòng)化博覽，2023，40（7）：34-37.

[2] 莫媛淇，史媛，陳智慧.網(wǎng)絡(luò)攻防靶場(chǎng)實(shí)戰(zhàn)核心平臺(tái)應(yīng)用研究 [J].電子元器件與信息技術(shù)，2023，7（5）：200-203+207.

[3] 畢曉東.網(wǎng)絡(luò)安全虛擬仿真靶場(chǎng)設(shè)計(jì)與實(shí)現(xiàn) [J].計(jì)算機(jī)時(shí)代，2022（10）：29-32.

[4] 梁建輝，侯昱輝，劉潤(rùn)福，等.基于Docker的網(wǎng)絡(luò)安全靶場(chǎng)設(shè)計(jì)與實(shí)現(xiàn) [J].鐵路計(jì)算機(jī)應(yīng)用，2022，31（11）：67-70.

[5] 崔軻，燕瑋，劉子健，等.基于OpenStack云平臺(tái)的Docker容器安全監(jiān)測(cè)方法研究 [J].信息技術(shù)與網(wǎng)絡(luò)安全，2022，41（4）：65-70.

[6] 顏詩(shī)祺.面向靶場(chǎng)的高逼真大規(guī)模目標(biāo)網(wǎng)絡(luò)構(gòu)建關(guān)鍵技術(shù)研究 [D].廣州：廣州大學(xué)，2023.

[7] 柴瑤琳.虛擬網(wǎng)絡(luò)構(gòu)建方法研究 [D].北京：北京郵電大學(xué)，2018.

[8] 李蔚恒.云邊架構(gòu)中大規(guī)模目標(biāo)網(wǎng)絡(luò)構(gòu)建關(guān)鍵技術(shù)研究 [D].哈爾濱：哈爾濱工業(yè)大學(xué)，2020.

[9] 李劍鋒，劉淵，王曉鋒，等.基于多粒度虛擬化的虛實(shí)融合網(wǎng)絡(luò)仿真 [J].傳感器與微系統(tǒng)，2018，37（6）：43-47.

[10] 陳琪.傳送網(wǎng)拓?fù)錁?gòu)建與規(guī)劃系統(tǒng)優(yōu)化研究 [D].北京：北京郵電大學(xué)，2019.

作者簡(jiǎn)介：劉子?。?991—），男，本科，工程師，主要研究方向：網(wǎng)絡(luò)安全、云計(jì)算、大數(shù)據(jù)；劉楚涵（1998—），女，博士在讀，主要研究方向：網(wǎng)絡(luò)安全、用戶行為模擬；張宏斌（1988—），男，高級(jí)工程師，碩士，主要研究方向：網(wǎng)絡(luò)安全；田曉娜（1989—），女，工程師，碩士，主要研究方向：網(wǎng)絡(luò)安全。