網絡空間靶場發展態勢綜述②JCOR
- 2019 年 11 月 8 日
- 筆記
上述小節總結了美軍聯合參謀部聯合信息作戰靶場(Joint InformationOperations Range,JIOR)的大體情況,本小節將總結美軍聯合網絡空間作戰靶場(Joint CyberOperation Range,JCOR)的大體發展情況。美軍網軍建設世界領先,網絡空間靶場和網絡武器庫是網軍建設關鍵配件。與其他作戰模式一樣,網絡戰同樣需要武器裝備的研發,同樣需要有專門的訓練環境進行軍事演習和裝備測試。美網軍發展之所以領跑世界,除在部門、組織、機關設置方面具有前瞻性外,更多的依賴於其在網絡安防領域中訓練體系的科學性和基礎設施的完備性。本文所述的美軍系列網絡空間靶場為美國國防部、陸海空三軍和其他政府機構服務。與傳統戰爭模式需要的坦克、飛機、艦船等武器類似,網絡戰同樣需要武器來作為攻防的重要方式。目前美國已研發儲備了兩千餘件電腦病毒武器,且逐級向著體系化的規模發展。而這些武器庫最好的試驗環境就是網絡空間靶場,二者相輔相成。
二、美軍聯合網絡空間作戰靶場(JCOR)
為了應對網絡空間領域不斷發展變化的網絡作戰訓練和培訓能力需求,美國國防部利用空軍的網絡仿真技術支持作戰人員進行全面的訓練、培訓、認證和軍事演習的優秀經驗建立了聯合網絡空間作戰靶場(Joint CyberOperation Range,JCOR)。聯合網絡空間作戰靶場(JCOR)是美國國防部的主要賽博靶場之一,可以為網絡空間作戰人員和其他人員提供在逼真的環境下進行訓練的能力。聯合網絡空間作戰靶場(JCOR)利用建模和仿真技術仿真真實的網絡空間環境,作戰人員可以在不影響現實世界的作戰網絡的情況下進行網絡保護、防禦和作戰方面的動手實踐。聯合網絡空間作戰靶場(JCOR)和美軍聯合參謀部聯合信息作戰靶場(JIOR)的區別在於:聯合網絡空間作戰靶場(JCOR)是基於建模和仿真技術構建的網絡空間作戰訓練靶場,美軍聯合參謀部聯合信息作戰靶場(JIOR)則是基於真實的美軍各基地網絡測試環境構建的實物及真實的聯合測試靶場。在當時,在虛擬化技術及重置恢復技術還未發展到比較成熟的時候,通過真實實物環境結合建模仿真構建的網絡空間作戰和訓練體系是較為完備的訓練演習基礎設施。
JCOR靶場源於SIMTEX項目。SIMTEX項目是美空軍基於「Black Demon(黑色惡魔)」開發的空軍網絡作戰模擬器,並用於每年舉辦的「Black Demon」網絡防禦演習。該演習促使美國戰略司令部發起了被稱為「防禦壁壘」(Bulwark Defender)的聯合演習。並借鑒美空軍的建模仿真模擬器的成功經驗,在每個軍種開發類似於SIMTEX的項目,並通過連接器將各軍兵種的模擬器連接在一起,常年進行聯合網絡作戰訓練。基於此,誕生了聯合網絡空間作戰靶場(JCOR)。聯合網絡空間作戰靶場(JCOR)可提供基於當前最新威脅的教育培訓體系和基於超逼真環境中的實踐培訓,並且每年支持多次網絡作戰演習。
圖 14 第一代模擬器概念網絡架構
目前美軍聯合網絡空間作戰靶場(JCOR)由各軍兵種及軍屬機構等單位組成,每個單位均有屬於自己的網絡作戰訓練和演習的模擬器,基於各家單位的網絡作戰訓練和演習模擬器,聯合網絡空間作戰靶場(JCOR)可構建起一個範圍廣泛、資源眾多的聯合測試靶場,提供大規模的網絡仿真以及由此進行的網絡攻防練習、培訓、推演、認證以及演練能力。這些模擬器在戰略司令部指導下,各單位按照一定標準,根據自身需求獨立建設。目前擁有13+種不同類型的模擬器,其中有一些具體到某個網絡層。例如,一個模擬器可能代表了一個空軍基地。接下來可能是如何對基地進行分組管理。第二層可能會是一個空軍級的計算機網絡防禦層。其最主要的核心組成單位包括:
1、空軍模擬器名為訓練模擬器(SIMTEX)【AF SimulatorTraining and Exercise (SIMTEX) range】;
2、海軍模擬器名為海軍網絡空間作戰靶場(NCOR)【U.S. NavyCyberspace Operations Range】;
3、陸軍國民警衛隊模擬器名為增強型網絡訓練模擬器(ARGENTS)【ArmyGuard Enhanced Network Training Simulator】;
4、美軍戰略司令部模擬器名為美國戰略司令部網絡空間培訓環境(SCOR)【U.S.Strategic Command Cyberspace Training Environment】。
除了這些特定軍兵種場景的網絡模擬器外,還有其他針對不同任務及場景的模擬器。比如被稱為特定任務(part-task)訓練器的模擬器可以被用來對具體的任務進行訓練,比如針對防火牆或電子郵件流量管理的訓練任務。這些特定任務訓練器針對當前互聯網上熱點的攻擊手法及攻擊事件定製開發,以實時更新攻防手法到訓練環境中,特定任務訓練器是JCOR基於建模和仿真技術構建的靈活與機動的模塊化表現。這些模塊化的表現主要體現在,通過特定任務訓練器進行訓練時,JCOR的軍事作戰人員根據需要啟動某一種模擬器即可實現針對性的訓練和演習,而不用考慮動用較大的靶場,如基地級靶場模擬器,或第二層級網絡模擬器。此外,通過將不同的特定任務訓練器進行組合,可以同時在網絡中復現多個網絡攻擊事件,進行組合式攻防演練。最後,這些模擬器擁有自定義的參數設置功能,可以允許演練人員根據任務需要進行更多的自定義選擇,並針對具體組織的需求裁剪以進行仿真。
圖15 模擬器GUI攻擊引擎框架
此外還有針對互聯網模擬仿真功能的模擬器,針對網絡防禦進行訓練的模擬器等。針對互聯網模擬仿真能力的模擬器有兩個名稱,一個是更準確的「非動能合成轟炸靶場」(Synthetic,Non-Kinetic Bombing Range),另一個是更容明白的「全球互聯網」(Global Range Internet)。目前該互聯網模擬仿真能力的模擬器屬於美空軍的模擬器的其中一個。作為主打網絡防禦作戰的聯合訓練靶場,JCOR允許網絡防禦人員從世界各地的軍事基地根據不同的級別進行訓練。此外,各個單位的模擬器也可根據聯合組網規則及級別相互連接組網,可以邏輯的形成較大範圍的邏輯網絡空間靶場,並在一定時間段內調用各單位的模擬器資源進行網絡攻防教學、培訓、攻防推演等活動。
圖16 JCOR靶場網絡架構示意圖
JCOR靶場還可以進行真實、虛擬和構造仿真訓練。JCOR靶場通過模擬器可以構建虛擬人員或虛擬機器,這些虛擬人員或虛擬機器是通過我們填充的仿真模型的信息數據來進行構造的,通過構造的虛擬人員或虛擬機器,就如同我們玩遊戲一樣,這些虛擬人員或虛擬機器就是一個個的NPC,這些靶場內部的NPC會根據自定義的規則進行動作,比如打開word、發送郵件、瀏覽網頁等用戶操作行為,再結合互聯網仿真功能的模擬器以及網絡流量的模擬器,就仿真模擬了一個比較逼真的網絡環境,然後訓練作戰人員通過這個環境進行訓練,其所產生的效果和真實的網絡環境效果一致。最後,JCOR靶場通過模擬器本身的接口,將這些互聯網仿真和用戶行為仿真流量與在靶場內進行正常訓練的網絡流量混合在一起,通過可視化的效果,將所有的信息一起提供給通用作戰態勢圖,從而實現網絡訓練與作戰的態勢感知。」
圖 17 SIMTEX中的流量生成器
JCOR靶場的使命任務在不斷發展變化,以滿足作戰人員的需求。靶場最初的使命任務是支持每年相對較少的賽博演習。但現在,JCOR靶場可以提供持續的訓練和培訓,並支持每年進行的大量演習。另外,JCOR靶場最初只用於對相對較少的防禦作戰人員進行訓練。現目前JCOR靶場不但增加了攻擊性作戰訓練,還不斷增加和集成自研或第三方的攻擊性工具。此外,JCOR靶場還積極擴展靶場聯盟的成員,將訓練成果及經驗不斷在美軍內部進行推廣,以期其他作戰司令部、服務和機構利用這一技術來支持基於模擬器的網絡空間作戰教育、培訓、人員認證和演習活動。
JCOR靶場中,主要核心成員美空軍SIMTEX模擬器主要分為三代,第一代由美空軍於2003年進行構建,第二代主要由EADS公司構建,第三代也是最新的一代由MetovaCyberCENTS』 SLAM-R©構建。美空軍SIMTEX模擬器發展歷程及詳細技術架構本文不做詳細介紹,後續另行撰文說明。在第二代中,根據總部位於聖安東尼奧的EADS(北美國防安全和系統解決方案提供商DS3,於2011年5月19日被Camber Corp收購)業務部門在2009年宣布的和美空軍為期三年的SIMTEX項目交易,從2009年到2013年,美空軍SIMTEX模擬器在該階段由該公司實施構建。該公司的「增強型網絡空間模擬系統」通過美空軍的調研,認為其能夠滿足空軍的模擬訓練要求,因此給予該公司開發合同以合作進行SIMTEX模擬器的開發。其SIMTEX模擬器的基本單元為EADS的「增強型網絡空間模擬系統」,其節點單元包括互聯網模擬模塊(RGI),攻擊行為模擬模塊,內網環境模擬模塊,流量模擬模塊以及後台管理模塊。其中互聯網模擬模塊(RGI)由30多個骨幹路由器和150多個C類子網組成,支持150多個國內和國際網站以及35個功能齊全的電子郵件服務器以及全球DNS和網絡時間協議(NTP)服務。
圖18 SIMTEX模擬器網絡
SIMTEX模擬器複製網絡就是仿真模擬網絡基礎結構和網絡節點,基於此可以有效地測試和培訓與網絡相關的影響。在某些情況下,SIMTEX模擬器連接多個分佈式複製網絡以增加規模並增加真實性。SIMTEX提供了一個標準環境,可以通過VPN訪問模擬大型網絡,而不會損害基礎運營網絡。SIMTEX提供了一種方法,可以在受到威脅後將該隔離網絡快速重置為基本狀態,從而提供可重複的培訓平台。2013年SIMTEX主幹網中只有14個永久節點。直到2013年美空軍SIMTEX模擬器再次獲得美國防部撥款,除了進一步擴大SIMTEX模擬器的規模和能力外,還將實現與美國國家網絡靶場(NCR)的接口集成。
美空軍SIMTEX模擬器的第三代也是最新一代模擬器通過SLAM-R®提供(Sentinel-legion-AutoBuild-Myrmidon-Reconstitution)。SLAM-R®為SIMTEX模擬器提供了一下能力:
■符合電氣電子工程師協會(IEEE)的(RFC)規範的實際網絡流量
■超過3000個模擬用戶
■攻擊管理器
■模擬的真實流量中的網絡事件(攻擊)
■社交媒體服務(與Facebook®/Twitter®)
■模擬互聯網
■快速復原能力
美空軍SIMTEX模擬器在最新的架構中,通過空軍獨有的應用程序,設備和基礎架構(虛擬或物理)與SLAM-R®的集成提供了實時的仿真/培訓靶場。在過去的十幾年中,通過技術進步和經驗教訓,SIMTEX模擬器已發展成為一個基於開放系統體系結構的可互操作的網絡環境,該體系結構包括物理,虛擬和模擬的網絡組件。SIMTEX模擬器對空軍企業網絡的架構進行了建模,並已通過聯合網絡空間作戰靶場(JCOR)VPN進行擴展,以包括廣域網連接,並進行聯合和跨服役。通過JCOR VPN,SIMTEX模擬器連接到其他「服務與作戰司令部」(COCOM)網絡模擬器和靶場進行演習和培訓。
根據最新的美空軍SIMTEX模擬器建設規劃,美空軍SIMTEX模擬器及JCOR靶場將建設對關鍵基礎設施和工業控制系統的集成支持,並且採用人工智能技術,構建自動化的基於人員訓練情景的場景構建技術。通過集成關鍵基礎設施和工業控制系統到網絡模擬器的環境中,可以擴展空軍現有的網絡作戰範圍,應對新出現的網絡威脅;建設的自動化場景構建技術需要解決目前JCOR在培訓上的問題,培訓的關鍵問題之一是同一位學生不能輕易地重複練習所遇到的問題和困難,因為在所有場景都通過預先策劃的情況下,每個學生在進行再次練習時會再次經歷先前一模一樣的所有路徑,因為有先前的知識,學生再次練習將下意識避免掉可能存在問題的路徑,從而無法完全鍛煉學生的不足和盲點。通過引入人工智能的自我學習和進化技術,以計算方式生成學生們的問題環境,那麼該學生可能會不斷地反覆遇到類似的情景,從而對鍛煉他們的技能方法方面的不足和盲點。
美國作為網絡空間攻防技術研究領先的國家,除了建設網絡空間靶場等技術保障手段外,還積極組織網絡攻防演習。在網絡安全領域,針對網絡攻防的演習是「是模擬戰時行動的,涉及計劃、準備和執行的軍事行為,主要目的是為了培訓和評估網絡戰的能力」。美國幾乎所有的軍事單位每年都至少要參加一次以團隊為基礎的演習,以確保單位成員能夠執行他們所指定的任務清單(METL)。這些演習包括:大規模的「網絡風暴」、「網絡奪旗」、「網絡衛士」、「網絡防禦」、「網絡閃電」、「施里弗」和參加的北約「鎖定之盾」等,小規模的「防禦堡壘」、「虛擬旗」、「網絡拂曉」和「網絡閃電戰」等,這些演習的目標一是實踐美國的協調機制,並評估美國國家網絡事件響應計劃和效果,二是鍛煉網絡攻防隊伍,檢驗攻擊與防禦能力。在這些演習中,大大小小的演習背後均由各自規模不同的網絡空間靶場平台進行支撐,如網絡奪旗1-13(Cyber Flag 1-13)就是由空軍模擬器(JCOR/SIMTEX)來支撐其進行訓練演習,在其他更大型的演習中,空軍模擬器(JCOR/SIMTEX)也和「國家網絡靶場(National Cyber Range)」及其他靶場平台(如JIOR)進行整合聯動為演習提供支撐保障。
