丈八网安王珩：开创网络靶场技术及应用新思路

2022年8月2日，ISC 2022互联网安全大会“网络空间靶场与实网攻防对抗论坛”在ISC元宇宙N世界中举办。丈八网安CEO王珩受邀担任演讲嘉宾，围绕丈八网安在网络靶场领域的探索与实践，以及网络靶场产品未来发展与应用方向的展望进行了分享。

 

 

王珩从四个方面深入浅出地向大家讲述了初代网络靶场的局限性、网络靶场能力图谱、衍生的新技术应用，最后引用了多个丈八网安的实践案例，实际地说明基于网络靶场能力衍生的更多可能。

 

 

“新生事物都或多或少的存在其局限性，在探索初代网络靶场的道路中，各个厂商和研究机构和很难超越传统培训教育系统设计理念的桎梏，从而无法做出抽象的业务，导致产品的应用方向和扩展能力比较有限。”

 

在他看来，虽然丈八网安并不是最早、最先进入网络靶场的业务领域的，但这恰恰是丈八网安能摆脱传统设计，扩展更多能力的机会。从底层架构设计方面来看，丈八网安摒弃了传统的云计算架构的条条框框，在前期投入大量资源开发更适合网络靶场发展的数据采集、数据建模、靶标管理、行为仿真、评估模型等可自由排列的创新模式架构，使网络靶场更好地支撑传统业务的同时，赋能其衍生出更多全新地应用方向。

 

王珩表示，初代网络靶场面临多重束缚，例如，初代网络靶场的架构过于沉重，使用成熟的框架可以降低产品研发的技术门槛，使更多精力投入到产品交付。但是当靶场产品进入了深水区，云计算架构变成了一个很大的历史负担。

 

云计算和网络靶场是完全不相干的产品，对于云计算来说，计算是它的核心本质，而对于靶场产品来说，仿真才是它的核心本质。所以如果仅仅以虚拟化、容器这些更偏计算的技术打底的话，对网络靶场的发展有很大桎梏。

 

另外，初代网络靶场的部署形态单一。云计算架构决定了靶场是一个集群化的部署模式，所以会使用到大量的物理设备，而且在产品实施期间，由于过于追求虚拟级的并发量等问题，导致网络靶场的成本居高不下，后续难以很好地对靶场产品的推广和应用。摆脱繁琐的物理设备堆砌，发展出接近SaaS化的网络靶场，是国内厂商重要的一个研究课题。

 

紧接着，王珩详细的展示了初代网络靶场与下一代网络靶场平台的能力对比：“一个设计完整的网络靶场系统，是汇集了多种能力的一个平台系统。一般来说靶场会有一个共用支撑的底层平台，包括计算虚拟化、网络虚拟化、实物接入、还有一些数据采集的能力。基于这个共用的支撑平台，可构建一些业务上的一些应用。比如，一个典型的实训系统，可能包含了靶标的管理、拓扑的管理、评估模型的管理等，如果是一个典型的竞赛系统，基于这些又增加了可视化的管理、裁判的系统、流量管理等功能，稍复杂的攻防演练的系统，在此基础上又会增加事件引擎、裁决引擎以及行为的仿真等功能。”

 

传统云计算架构的靶场平台能力排列
 

以上是一个很典型的产品架构，这样的架构看似合理，但其在靶场能力的排列组合方式上是死板和固化的，它将靶场的能力封印在了一个固定的形态里。如果能够将靶场的能力从这些封印的条条框框中解放出来，便会产生很多创新的应用。

 

“比如，将网络靶场的能力，拆解成各种模块构成的资源池，那我们可以基于计算虚拟化和数据采集的能力，很便捷地构建成一个动态分析用的沙箱系统，如果使用网络虚拟化、数据采集、数据分析的能力，则可以很便捷地去构建一个高交互蜜罐系统，像靶场的态势展示功能与市面上的态势感知系统是很接近的。像靶场的数据分析、漏洞管理等能力，都可以去构建一个类似IDS的一套系统。”王珩讲到。

 

丈八网安自研底层架构的灵活性

 

 

在他看来，跳出固化的思维模式，通过新颖的系统模块组合方式，靶场可产生很多全新的应用方向，使业务能够向深水区发展。

 

随后，王珩基于丈八网安在网络安全技术上的积累，分享了在网络靶场研发上的创新思想与应用。“新技术不代表它是一个尖端前沿的技术，而是未在网络靶场领域中广泛应用的、更适合与靶场相结合的技术。”

 

第一点，仿真建模技术：建模技术已经是一项成熟的技术，是一种广泛解决现实问题的方法，它最大的特点是能通过简单的交互式操作，能够将大家“最关注”的重要细节进行抽象提取，去除那些不关注的细节。比如，构建一个仿真病毒模型，则把病毒会感染的操作系统、平均感染时间、感染临界点的概率、加密策略等，这些已经抽象提取的“最关注”要素放进去即可完成构建。这种技术没有原始系统复杂，却能通过低成本构建一个非常复杂的网络靶场场景。

 

仿真靶标、仿真病毒构建过程

 

第二点，人工智能技术的赋能：在网络靶场领域，人工智能技术应用也可以非常宽广。人工智能技术虽然不是新鲜概念，但是应用到网络靶场具备很显著的优势，它的原理是基于已经学习的流量特征，通过决策引擎，生成类似人类在网络空间里产生的行为流量与事件流量，具备很高的真实性和不可预测性。反应在靶场的业务层面，是在各行业网络靶场的攻防演练、竞赛过程中，生成一个接近人类的AI自动化对手辅助训练。对企业来说，能省去大量组建“攻击队”的成本，对科研来说也有很大的价值。

 

连接AI技术至仿真网络

 

第三点，宏编程技术的赋能：office中的VBA编程组件技术功能是强大的典型的宏语言，有相当长的一段时间，成为了黑客写病毒的工具。如果将这项技术应用到网络靶场里，便能加大网络靶场产品的灵活性。比如将靶场的靶标管理功能抽象成一个靶标对象，去开放信息采集、文件注入、拓扑、事件，通过宏脚本串联起来，能够实现灵活性的应用场景。

 

在演讲最后，王珩利用几个案例，详细分享了丈八网安在网络靶场业务上的理解，以及利用新技术的网络靶场应用方向。

 

· 10分钟构建一个多引擎病毒检测系统：利用宏编程写一个简单脚本，将靶标上的文件上传至宏编程里，如果上传至靶标上的文件被清除，则可以判定是被病毒软件检测出了，如果未被清楚，则可判定未被检出。与宏编程技术的结，表明网络靶场适合构建一个动态的沙箱环境，衍生出病毒检测相关的业务领域。

 

· 10分钟构建一个高仿真高交互的密网：丈八网安在网络靶场里构建了接近200个仿真节点的大型网络，实现了硬件、操作系统、应用和网络四层架构的仿真，具备完整交互的功能，表现出来的特性和真实节点非常接近，这种仿真技术的资源占用率非常低，结合网络靶场自身的一些精细化数据采集与分析能力，形成了一个易用性非常高的高仿真交互式密网系统。

 

· 10分钟完成勒索病毒传播推演过程：丈八网安定义的网络“推演”区别于传统的网络攻防演练，它通过建模仿真环境里开展的攻防演练活动，可以将红蓝双方的动作变成一个“卡牌式游戏”，比如，作为攻击方可以去种植病毒，相反防守方可以去打补丁、建防火墙。推演过程中的红蓝双方不需要深入了解网络攻防技术，就可以去开展一次大型网络推演，“什么时机”、“什么场合”、“以什么策略出牌”，是导致推演结果不一样的因素。适合企业在宏观上分析网络安全策略的有效性，包括遭受网络攻击的损失、阻断威胁的最佳方法等。

丈八网安推演控制页面与态势展示

 

王珩最后总结了对网络靶场未来发展的看法，以及自己在网络靶场领域从一而终的决心。

 

“从我的角度看，网络靶场在未来的应用方向上，会从现阶段能力提升为主的需求，延伸到网络安全实际业务需求上来。从产品形态上看，网络靶场也会从现在成本高昂的本地集群部署，逐渐转向SaaS化的模式。总而言之，网络靶场并不局限于现阶段的认知范围，在未来在应用方向和产品形态方面将会开阔出更广泛的应用空间，丈八网安的使命是在网络靶场领域开创出更多可能，做出更好的产品。“