上述小节总结了美军联合参谋部联合信息作战靶场(Joint InformationOperations Range,JIOR)的大体情况,本小节将总结美军联合网络空间作战靶场(Joint CyberOperation Range,JCOR)的大体发展情况。美军网军建设世界领先,网络空间靶场和网络武器库是网军建设关键配件。与其他作战模式一样,网络战同样需要武器装备的研发,同样需要有专门的训练环境进行军事演习和装备测试。美网军发展之所以领跑世界,除在部门、组织、机关设置方面具有前瞻性外,更多的依赖于其在网络安防领域中训练体系的科学性和基础设施的完备性。本文所述的美军系列网络空间靶场为美国国防部、陆海空三军和其他政府机构服务。与传统战争模式需要的坦克、飞机、舰船等武器类似,网络战同样需要武器来作为攻防的重要方式。目前美国已研发储备了两千余件电脑病毒武器,且逐级向着体系化的规模发展。而这些武器库最好的试验环境就是网络空间靶场,二者相辅相成。
二、美军联合网络空间作战靶场(JCOR)
为了应对网络空间领域不断发展变化的网络作战训练和培训能力需求,美国国防部利用空军的网络仿真技术支持作战人员进行全面的训练、培训、认证和军事演习的优秀经验建立了联合网络空间作战靶场(Joint CyberOperation Range,JCOR)。联合网络空间作战靶场(JCOR)是美国国防部的主要赛博靶场之一,可以为网络空间作战人员和其他人员提供在逼真的环境下进行训练的能力。联合网络空间作战靶场(JCOR)利用建模和仿真技术仿真真实的网络空间环境,作战人员可以在不影响现实世界的作战网络的情况下进行网络保护、防御和作战方面的动手实践。联合网络空间作战靶场(JCOR)和美军联合参谋部联合信息作战靶场(JIOR)的区别在于:联合网络空间作战靶场(JCOR)是基于建模和仿真技术构建的网络空间作战训练靶场,美军联合参谋部联合信息作战靶场(JIOR)则是基于真实的美军各基地网络测试环境构建的实物及真实的联合测试靶场。在当时,在虚拟化技术及重置恢复技术还未发展到比较成熟的时候,通过真实实物环境结合建模仿真构建的网络空间作战和训练体系是较为完备的训练演习基础设施。
JCOR靶场源于SIMTEX项目。SIMTEX项目是美空军基于“Black Demon(黑色恶魔)”开发的空军网络作战模拟器,并用于每年举办的“Black Demon”网络防御演习。该演习促使美国战略司令部发起了被称为“防御壁垒”(Bulwark Defender)的联合演习。并借鉴美空军的建模仿真模拟器的成功经验,在每个军种开发类似于SIMTEX的项目,并通过连接器将各军兵种的模拟器连接在一起,常年进行联合网络作战训练。基于此,诞生了联合网络空间作战靶场(JCOR)。联合网络空间作战靶场(JCOR)可提供基于当前最新威胁的教育培训体系和基于超逼真环境中的实践培训,并且每年支持多次网络作战演习。
图 14 第一代模拟器概念网络架构
目前美军联合网络空间作战靶场(JCOR)由各军兵种及军属机构等单位组成,每个单位均有属于自己的网络作战训练和演习的模拟器,基于各家单位的网络作战训练和演习模拟器,联合网络空间作战靶场(JCOR)可构建起一个范围广泛、资源众多的联合测试靶场,提供大规模的网络仿真以及由此进行的网络攻防练习、培训、推演、认证以及演练能力。这些模拟器在战略司令部指导下,各单位按照一定标准,根据自身需求独立建设。目前拥有13+种不同类型的模拟器,其中有一些具体到某个网络层。例如,一个模拟器可能代表了一个空军基地。接下来可能是如何对基地进行分组管理。第二层可能会是一个空军级的计算机网络防御层。其最主要的核心组成单位包括:
1、空军模拟器名为训练模拟器(SIMTEX)【AF SimulatorTraining and Exercise (SIMTEX) range】;
2、海军模拟器名为海军网络空间作战靶场(NCOR)【U.S. NavyCyberspace Operations Range】;
3、陆军国民警卫队模拟器名为增强型网络训练模拟器(ARGENTS)【ArmyGuard Enhanced Network Training Simulator】;
4、美军战略司令部模拟器名为美国战略司令部网络空间培训环境(SCOR)【U.S.Strategic Command Cyberspace Training Environment】。
除了这些特定军兵种场景的网络模拟器外,还有其他针对不同任务及场景的模拟器。比如被称为特定任务(part-task)训练器的模拟器可以被用来对具体的任务进行训练,比如针对防火墙或电子邮件流量管理的训练任务。这些特定任务训练器针对当前互联网上热点的攻击手法及攻击事件定制开发,以实时更新攻防手法到训练环境中,特定任务训练器是JCOR基于建模和仿真技术构建的灵活与机动的模块化表现。这些模块化的表现主要体现在,通过特定任务训练器进行训练时,JCOR的军事作战人员根据需要启动某一种模拟器即可实现针对性的训练和演习,而不用考虑动用较大的靶场,如基地级靶场模拟器,或第二层级网络模拟器。此外,通过将不同的特定任务训练器进行组合,可以同时在网络中复现多个网络攻击事件,进行组合式攻防演练。最后,这些模拟器拥有自定义的参数设置功能,可以允许演练人员根据任务需要进行更多的自定义选择,并针对具体组织的需求裁剪以进行仿真。
图15 模拟器GUI攻击引擎框架
此外还有针对互联网模拟仿真功能的模拟器,针对网络防御进行训练的模拟器等。针对互联网模拟仿真能力的模拟器有两个名称,一个是更准确的“非动能合成轰炸靶场”(Synthetic,Non-Kinetic Bombing Range),另一个是更容明白的“全球因特网”(Global Range Internet)。目前该互联网模拟仿真能力的模拟器属于美空军的模拟器的其中一个。作为主打网络防御作战的联合训练靶场,JCOR允许网络防御人员从世界各地的军事基地根据不同的级别进行训练。此外,各个单位的模拟器也可根据联合组网规则及级别相互连接组网,可以逻辑的形成较大范围的逻辑网络空间靶场,并在一定时间段内调用各单位的模拟器资源进行网络攻防教学、培训、攻防推演等活动。
图16 JCOR靶场网络架构示意图
JCOR靶场还可以进行真实、虚拟和构造仿真训练。JCOR靶场通过模拟器可以构建虚拟人员或虚拟机器,这些虚拟人员或虚拟机器是通过我们填充的仿真模型的信息数据来进行构造的,通过构造的虚拟人员或虚拟机器,就如同我们玩游戏一样,这些虚拟人员或虚拟机器就是一个个的NPC,这些靶场内部的NPC会根据自定义的规则进行动作,比如打开word、发送邮件、浏览网页等用户操作行为,再结合互联网仿真功能的模拟器以及网络流量的模拟器,就仿真模拟了一个比较逼真的网络环境,然后训练作战人员通过这个环境进行训练,其所产生的效果和真实的网络环境效果一致。最后,JCOR靶场通过模拟器本身的接口,将这些互联网仿真和用户行为仿真流量与在靶场内进行正常训练的网络流量混合在一起,通过可视化的效果,将所有的信息一起提供给通用作战态势图,从而实现网络训练与作战的态势感知。”
图 17 SIMTEX中的流量生成器
JCOR靶场的使命任务在不断发展变化,以满足作战人员的需求。靶场最初的使命任务是支持每年相对较少的赛博演习。但现在,JCOR靶场可以提供持续的训练和培训,并支持每年进行的大量演习。另外,JCOR靶场最初只用于对相对较少的防御作战人员进行训练。现目前JCOR靶场不但增加了攻击性作战训练,还不断增加和集成自研或第三方的攻击性工具。此外,JCOR靶场还积极扩展靶场联盟的成员,将训练成果及经验不断在美军内部进行推广,以期其他作战司令部、服务和机构利用这一技术来支持基于模拟器的网络空间作战教育、培训、人员认证和演习活动。
JCOR靶场中,主要核心成员美空军SIMTEX模拟器主要分为三代,第一代由美空军于2003年进行构建,第二代主要由EADS公司构建,第三代也是最新的一代由MetovaCyberCENTS’ SLAM-R©构建。美空军SIMTEX模拟器发展历程及详细技术架构本文不做详细介绍,后续另行撰文说明。在第二代中,根据总部位于圣安东尼奥的EADS(北美国防安全和系统解决方案提供商DS3,于2011年5月19日被Camber Corp收购)业务部门在2009年宣布的和美空军为期三年的SIMTEX项目交易,从2009年到2013年,美空军SIMTEX模拟器在该阶段由该公司实施构建。该公司的“增强型网络空间模拟系统”通过美空军的调研,认为其能够满足空军的模拟训练要求,因此给予该公司开发合同以合作进行SIMTEX模拟器的开发。其SIMTEX模拟器的基本单元为EADS的“增强型网络空间模拟系统”,其节点单元包括互联网模拟模块(RGI),攻击行为模拟模块,内网环境模拟模块,流量模拟模块以及后台管理模块。其中互联网模拟模块(RGI)由30多个骨干路由器和150多个C类子网组成,支持150多个国内和国际网站以及35个功能齐全的电子邮件服务器以及全球DNS和网络时间协议(NTP)服务。
图18 SIMTEX模拟器网络
SIMTEX模拟器复制网络就是仿真模拟网络基础结构和网络节点,基于此可以有效地测试和培训与网络相关的影响。在某些情况下,SIMTEX模拟器连接多个分布式复制网络以增加规模并增加真实性。SIMTEX提供了一个标准环境,可以通过V**访问模拟大型网络,而不会损害基础运营网络。SIMTEX提供了一种方法,可以在受到威胁后将该隔离网络快速重置为基本状态,从而提供可重复的培训平台。2013年SIMTEX主干网中只有14个永久节点。直到2013年美空军SIMTEX模拟器再次获得美国防部拨款,除了进一步扩大SIMTEX模拟器的规模和能力外,还将实现与美国国家网络靶场(NCR)的接口集成。
美空军SIMTEX模拟器的第三代也是最新一代模拟器通过SLAM-R®提供(Sentinel-legion-AutoBuild-Myrmidon-Reconstitution)。SLAM-R®为SIMTEX模拟器提供了一下能力:
■符合电气电子工程师协会(IEEE)的(RFC)规范的实际网络流量
■超过3000个模拟用户
■攻击管理器
■模拟的真实流量中的网络事件(攻击)
■社交媒体服务(与Facebook®/Twitter®)
■模拟互联网
■快速复原能力
美空军SIMTEX模拟器在最新的架构中,通过空军独有的应用程序,设备和基础架构(虚拟或物理)与SLAM-R®的集成提供了实时的仿真/培训靶场。在过去的十几年中,通过技术进步和经验教训,SIMTEX模拟器已发展成为一个基于开放系统体系结构的可互操作的网络环境,该体系结构包括物理,虚拟和模拟的网络组件。SIMTEX模拟器对空军企业网络的架构进行了建模,并已通过联合网络空间作战靶场(JCOR)V**进行扩展,以包括广域网连接,并进行联合和跨服役。通过JCOR V**,SIMTEX模拟器连接到其他“服务与作战司令部”(COCOM)网络模拟器和靶场进行演习和培训。
根据最新的美空军SIMTEX模拟器建设规划,美空军SIMTEX模拟器及JCOR靶场将建设对关键基础设施和工业控制系统的集成支持,并且采用人工智能技术,构建自动化的基于人员训练情景的场景构建技术。通过集成关键基础设施和工业控制系统到网络模拟器的环境中,可以扩展空军现有的网络作战范围,应对新出现的网络威胁;建设的自动化场景构建技术需要解决目前JCOR在培训上的问题,培训的关键问题之一是同一位学生不能轻易地重复练习所遇到的问题和困难,因为在所有场景都通过预先策划的情况下,每个学生在进行再次练习时会再次经历先前一模一样的所有路径,因为有先前的知识,学生再次练习将下意识避免掉可能存在问题的路径,从而无法完全锻炼学生的不足和盲点。通过引入人工智能的自我学习和进化技术,以计算方式生成学生们的问题环境,那么该学生可能会不断地反复遇到类似的情景,从而对锻炼他们的技能方法方面的不足和盲点。
美国作为网络空间攻防技术研究领先的国家,除了建设网络空间靶场等技术保障手段外,还积极组织网络攻防演习。在网络安全领域,针对网络攻防的演习是“是模拟战时行动的,涉及计划、准备和执行的军事行为,主要目的是为了培训和评估网络战的能力”。美国几乎所有的军事单位每年都至少要参加一次以团队为基础的演习,以确保单位成员能够执行他们所指定的任务清单(METL)。这些演习包括:大规模的“网络风暴”、“网络夺旗”、“网络卫士”、“网络防御”、“网络闪电”、“施里弗”和参加的北约“锁定之盾”等,小规模的“防御堡垒”、“虚拟旗”、“网络拂晓”和“网络闪电战”等,这些演习的目标一是实践美国的协调机制,并评估美国国家网络事件响应计划和效果,二是锻炼网络攻防队伍,检验攻击与防御能力。在这些演习中,大大小小的演习背后均由各自规模不同的网络空间靶场平台进行支撑,如网络夺旗1-13(Cyber Flag 1-13)就是由空军模拟器(JCOR/SIMTEX)来支撑其进行训练演习,在其他更大型的演习中,空军模拟器(JCOR/SIMTEX)也和“国家网络靶场(National Cyber Range)”及其他靶场平台(如JIOR)进行整合联动为演习提供支撑保障。