如何培養(yǎng)涉網(wǎng)案件網(wǎng)絡(luò)取證分析能力

面向網(wǎng)絡(luò)取證能力提升的網(wǎng)絡(luò)靶場(chǎng)建設(shè)方案2019年8月30日，中國(guó)網(wǎng)絡(luò)信息中心（cnic）發(fā)布了44家中國(guó)互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告。《報(bào)告》顯示，截至2019年6月，中國(guó)網(wǎng)民規(guī)模達(dá)8.54億，互聯(lián)網(wǎng)普及率為61.2%。其中，手機(jī)網(wǎng)民規(guī)模達(dá)8.47億。隨著網(wǎng)民數(shù)量的急劇增加，網(wǎng)絡(luò)犯罪也呈上升趨勢(shì)。2019年上半年，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn)境內(nèi)近4萬個(gè)網(wǎng)站的頁面被篡改，其中有222個(gè)政府網(wǎng)站，監(jiān)測(cè)同時(shí)發(fā)現(xiàn)大約1.4萬個(gè)境外IP地址對(duì)我國(guó)境內(nèi)2.6萬個(gè)網(wǎng)站植入后門，共發(fā)現(xiàn)2055個(gè)高危安全漏洞。統(tǒng)計(jì)數(shù)據(jù)顯示網(wǎng)絡(luò)安全事件已經(jīng)嚴(yán)重危害我國(guó)信息網(wǎng)絡(luò)安全，甚至是國(guó)家安全。網(wǎng)絡(luò)攻擊案件發(fā)生后，為防止易失型電子數(shù)據(jù)滅失，必須盡快進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程勘驗(yàn)，提取網(wǎng)絡(luò)入侵線索，追蹤犯罪嫌疑人。然而，在一些網(wǎng)絡(luò)入侵案件中，由于電子數(shù)據(jù)勘查不充分、不全面，獲取電子證據(jù)不足，導(dǎo)致犯罪分子逍遙法外，或被從輕處理。因此，總結(jié)不同類型網(wǎng)絡(luò)攻擊案件的取證對(duì)策，增強(qiáng)辦案人員的電子數(shù)據(jù)取證分析能力，對(duì)有效打擊網(wǎng)絡(luò)入侵類犯罪，遏制網(wǎng)絡(luò)入侵案件的發(fā)生有重要意義。目前世界各國(guó)普遍采用網(wǎng)絡(luò)靶場(chǎng)進(jìn)行專業(yè)人員培訓(xùn)和實(shí)戰(zhàn)演練。網(wǎng)絡(luò)靶場(chǎng)可以模擬各種真實(shí)的網(wǎng)絡(luò)環(huán)境，參訓(xùn)人員根據(jù)預(yù)設(shè)的任務(wù)目標(biāo)，在靶場(chǎng)內(nèi)完成特定的攻防演練任務(wù)，有效鍛煉提高參訓(xùn)人員的網(wǎng)絡(luò)攻防實(shí)踐能力。但是目前已有的網(wǎng)絡(luò)靶場(chǎng)訓(xùn)練系統(tǒng)側(cè)重攻防實(shí)踐能力的鍛煉，而很少甚至不能滿足網(wǎng)絡(luò)取證能力的培養(yǎng)需要。由于網(wǎng)絡(luò)取證能力是涉網(wǎng)案件調(diào)查人員必須具備的一項(xiàng)技能，因此有必要研究面向取證能力提升的網(wǎng)絡(luò)靶場(chǎng)建設(shè)方案。本文在對(duì)比已有網(wǎng)絡(luò)攻防實(shí)驗(yàn)系統(tǒng)的基礎(chǔ)上，提出基于OpenStack云平臺(tái)的網(wǎng)絡(luò)靶場(chǎng)構(gòu)建方案；在靶場(chǎng)知識(shí)點(diǎn)組織方面，提出按照典型案例歸納涉及到的網(wǎng)絡(luò)攻防技術(shù)，凝練相應(yīng)的取證方法；通過參訓(xùn)學(xué)員反饋、題庫(kù)更新和最新案例引入等方式實(shí)現(xiàn)靶場(chǎng)知識(shí)體系的動(dòng)態(tài)更新完善。一、基于開放堆棧云平臺(tái)的網(wǎng)絡(luò)目標(biāo)場(chǎng)（一）真實(shí)設(shè)備網(wǎng)絡(luò)訓(xùn)練早期網(wǎng)絡(luò)攻防訓(xùn)練測(cè)試大多在真實(shí)的網(wǎng)絡(luò)設(shè)備上進(jìn)行，以某院校網(wǎng)絡(luò)安全實(shí)驗(yàn)室為例，該實(shí)驗(yàn)室于2006年組建，滿足一個(gè)班級(jí)50名學(xué)員的建設(shè)需求。訓(xùn)練室內(nèi)放置8臺(tái)圓形訓(xùn)練桌，每桌坐6名學(xué)員，配備一組立式機(jī)柜，機(jī)柜內(nèi)放置設(shè)備包括一臺(tái)無線路由器、一臺(tái)防火墻、一臺(tái)入侵檢測(cè)系統(tǒng)、兩臺(tái)2600路由器、一臺(tái)3750三層交換機(jī)、一臺(tái)2162二層交換機(jī)、一臺(tái)RCMS管理服務(wù)器。這種訓(xùn)練環(huán)境的優(yōu)勢(shì)是學(xué)員可以直觀地觀察到網(wǎng)絡(luò)設(shè)備的外觀形態(tài)，親手連接網(wǎng)絡(luò)線路，使用超級(jí)終端對(duì)設(shè)備進(jìn)行調(diào)配，鍛煉了學(xué)員的動(dòng)手能力。但是，幾輪教學(xué)下來缺點(diǎn)也暴露的非常明顯。學(xué)員進(jìn)行分組訓(xùn)練時(shí)，多數(shù)情況下是以三人為一組進(jìn)行訓(xùn)練，每人負(fù)責(zé)配置一臺(tái)網(wǎng)絡(luò)設(shè)備，這導(dǎo)致學(xué)員忙于完成自己的工作，對(duì)整體任務(wù)缺乏了解，即只了解局部，不了解整體。每組訓(xùn)練結(jié)束后，教官都需要登錄該組訓(xùn)練臺(tái)的RCMS設(shè)備清空訓(xùn)練痕跡，然后下一組學(xué)員才能開始訓(xùn)練。這導(dǎo)致上一組訓(xùn)練進(jìn)行時(shí)，下一組學(xué)員無事可做，如上一組遇到問題，耽誤了進(jìn)度，會(huì)間接影響下一組學(xué)員的訓(xùn)練進(jìn)程。在訓(xùn)練過程中，教官忙于清空各組訓(xùn)練臺(tái)的痕跡數(shù)據(jù)，干擾了訓(xùn)練指導(dǎo)工作。另外，受訓(xùn)練設(shè)備數(shù)量影響，學(xué)員也僅能完成一些簡(jiǎn)單的基礎(chǔ)性網(wǎng)絡(luò)訓(xùn)練，一些復(fù)雜拓?fù)浣Y(jié)構(gòu)和新型網(wǎng)絡(luò)接口組網(wǎng)訓(xùn)練任務(wù)無法完成。另外，在真實(shí)網(wǎng)絡(luò)設(shè)備上進(jìn)行網(wǎng)絡(luò)攻防測(cè)試還可能對(duì)訓(xùn)練設(shè)備的軟硬件系統(tǒng)造成破壞，增加了設(shè)備維護(hù)工作量。因此，這種采用真實(shí)設(shè)備作為載體，進(jìn)行網(wǎng)絡(luò)攻防測(cè)試的訓(xùn)練模式已逐漸不被采用。采用思科、華為等網(wǎng)絡(luò)模擬器進(jìn)行組網(wǎng)訓(xùn)練在一定程度上可以解決上述不足，這種方式不受訓(xùn)練設(shè)備數(shù)量的限制，可以靈活地搭建各類網(wǎng)絡(luò)環(huán)境，隨著模擬器的升級(jí)，最新的網(wǎng)絡(luò)設(shè)備也可以引入實(shí)踐教學(xué)。學(xué)員在演練過程中可以獨(dú)立完成全部組網(wǎng)任務(wù)，鍛煉了實(shí)踐動(dòng)手能力，教官也從繁瑣的設(shè)備清痕工作中脫離出來，可以全身心投入到訓(xùn)練指導(dǎo)工作。但是這種方式的缺點(diǎn)也比較明顯，在組網(wǎng)階段雖然可以選擇臺(tái)式計(jì)算機(jī)或服務(wù)器節(jié)點(diǎn)，但是在這類終端節(jié)點(diǎn)上僅能布置簡(jiǎn)單的靜態(tài)測(cè)試網(wǎng)站，只能執(zhí)行基礎(chǔ)的DOS命令，而在攻防訓(xùn)練中，需要在服務(wù)器端布置不同類型的測(cè)試站點(diǎn)，同時(shí)需要能夠從服務(wù)器端提取日志等多種攻擊痕跡，這些是模擬器訓(xùn)練方式無法完成的。另外，無論是基礎(chǔ)網(wǎng)絡(luò)訓(xùn)練還是進(jìn)階的網(wǎng)絡(luò)攻防訓(xùn)練，都需要采集訓(xùn)練過程中產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包，通過數(shù)據(jù)包分析掌握網(wǎng)絡(luò)協(xié)議相關(guān)原理，提取網(wǎng)絡(luò)攻擊痕跡特征，在模擬器網(wǎng)絡(luò)環(huán)境中，這一需求也無法完成。采用真實(shí)設(shè)備進(jìn)行網(wǎng)絡(luò)攻防訓(xùn)練一方面成本高，另一方面訓(xùn)練可能造成軟硬件系統(tǒng)的損壞，采用Vmware等虛擬機(jī)可以較好地解決這些問題。虛擬機(jī)技術(shù)可以在一臺(tái)計(jì)算機(jī)上模擬出多臺(tái)終端系統(tǒng)，根據(jù)訓(xùn)練需求，終端可以選擇各種類型的操作系統(tǒng)，可以安裝各類測(cè)試工具軟件，和使用一臺(tái)真實(shí)計(jì)算機(jī)完全相同。當(dāng)選擇Host-only聯(lián)網(wǎng)方式時(shí)，虛擬機(jī)和主機(jī)之間通過一臺(tái)虛擬集線器互聯(lián)，與外部互聯(lián)網(wǎng)完全隔離；當(dāng)選擇NAT方式時(shí)，虛擬機(jī)通過主機(jī)代理方式接入互聯(lián)網(wǎng)；當(dāng)選擇橋接方式時(shí)，全部虛擬機(jī)通過虛擬集線器接入真實(shí)交換設(shè)備，進(jìn)而訪問互聯(lián)網(wǎng)。通過虛擬鏡像技術(shù)，在網(wǎng)絡(luò)攻防訓(xùn)練結(jié)束后，可以將虛擬機(jī)快速還原到初始狀態(tài)，解決了網(wǎng)絡(luò)攻防訓(xùn)練對(duì)軟硬件系統(tǒng)可能造成損壞的問題。同時(shí)，在虛擬機(jī)端安裝Wireshark等監(jiān)聽工具可以捕獲全網(wǎng)通信數(shù)據(jù)，滿足攻防訓(xùn)練的數(shù)據(jù)包分析需求。但是，虛擬機(jī)訓(xùn)練方式的問題是很難組建復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不能模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，一些復(fù)雜拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)攻防訓(xùn)練無法完成。雖然使用Win2000虛擬機(jī)可以模擬路由器進(jìn)行組網(wǎng)訓(xùn)練，但是受主機(jī)內(nèi)存大小的限制，一臺(tái)主機(jī)只能運(yùn)行有限個(gè)數(shù)的虛擬機(jī)，例如主機(jī)內(nèi)存為16GB，可以流暢穩(wěn)定運(yùn)行3臺(tái)Windows虛擬機(jī)，當(dāng)虛擬機(jī)數(shù)量超過5臺(tái)時(shí)，主機(jī)運(yùn)行速度將變得極為緩慢，不能正常使用。另外，學(xué)員在每次訓(xùn)練過程中都需要進(jìn)行IP地址設(shè)置、動(dòng)態(tài)網(wǎng)站安裝等重復(fù)性基礎(chǔ)網(wǎng)絡(luò)配置，也影響了訓(xùn)練任務(wù)的開展。上述三種訓(xùn)練方式無法滿足網(wǎng)絡(luò)靶場(chǎng)靈活、易拓展等諸多需求?，F(xiàn)有部分網(wǎng)絡(luò)靶場(chǎng)采用C/S架構(gòu)搭建，在學(xué)員終端上部署若干臺(tái)Windows和Linux虛擬機(jī)，虛擬機(jī)內(nèi)部根據(jù)測(cè)試需要設(shè)置若干個(gè)鏡像資源。進(jìn)行靶場(chǎng)演練時(shí)，通過客戶端軟件登錄控制服務(wù)器，獲得任務(wù)需求，根據(jù)題目要求在服務(wù)器端啟動(dòng)相應(yīng)的目標(biāo)靶機(jī)完成攻防任務(wù)。這種方式可以詳細(xì)記錄學(xué)員的完整測(cè)試過程，實(shí)時(shí)顯示任務(wù)完成情況和積分排名，比較靈活地設(shè)置訓(xùn)練任務(wù)。但是當(dāng)學(xué)員進(jìn)行攻防演練時(shí)，被測(cè)試目標(biāo)虛擬機(jī)部署在服務(wù)器端，多個(gè)學(xué)員測(cè)試同一組目標(biāo)虛擬機(jī)，訓(xùn)練過程存在相互干擾的情況。同時(shí)，學(xué)員不能直接操作服務(wù)器端存儲(chǔ)的目標(biāo)虛擬機(jī)，無法查看目標(biāo)靶機(jī)被攻擊之后遺留的痕跡數(shù)據(jù)，不能完成服務(wù)器端數(shù)據(jù)包采集任務(wù)，不適合鍛煉學(xué)員的網(wǎng)絡(luò)攻擊案件調(diào)查取證能力。（二）基于管理系統(tǒng)的靶場(chǎng)訓(xùn)練調(diào)整教官可以通過管理系統(tǒng)對(duì)云平臺(tái)進(jìn)行管理和維護(hù)，例如添加、修改、刪除鏡像文件，可以通過管理系統(tǒng)對(duì)靶場(chǎng)訓(xùn)練題目進(jìn)行調(diào)整。學(xué)員登錄管理系統(tǒng)注冊(cè)用戶，參加靶場(chǎng)演練，通過展示模塊了解演練進(jìn)展情況，通過成績(jī)統(tǒng)計(jì)模塊掌握任務(wù)完成情況。二、模擬網(wǎng)絡(luò)取證訓(xùn)練在基于OpenStack云平臺(tái)組建的靶場(chǎng)環(huán)境內(nèi)，可以快速部署演練環(huán)境，學(xué)員可以進(jìn)行各種攻防訓(xùn)練，可以登錄目標(biāo)虛擬機(jī)查看各種痕跡數(shù)據(jù)，為鍛煉提高學(xué)員的網(wǎng)絡(luò)取證分析能力提供了一個(gè)良好的硬件載體。有了良好的硬件平臺(tái)，靶場(chǎng)的訓(xùn)練內(nèi)容是否符合公安實(shí)踐需要，是否涵蓋了當(dāng)前最新的攻防案例，能否鍛煉參訓(xùn)學(xué)員的網(wǎng)絡(luò)取證能力，同樣至關(guān)重要。（一）網(wǎng)絡(luò)目標(biāo)域的知識(shí)體系與后續(xù)監(jiān)控之間的關(guān)系網(wǎng)絡(luò)目標(biāo)領(lǐng)域的知識(shí)體系與后續(xù)監(jiān)控之間的關(guān)系本文總結(jié)的面向網(wǎng)絡(luò)取證能力提升的靶場(chǎng)知識(shí)點(diǎn)構(gòu)成如表1所示，按照涉及的網(wǎng)絡(luò)攻防技術(shù)共劃分8個(gè)知識(shí)點(diǎn)。1.網(wǎng)絡(luò)安全漏洞雖然安全性更好的IPV6協(xié)議已經(jīng)推出10余年，但是由于網(wǎng)絡(luò)設(shè)備更新速度緩慢等諸多因素，目前IPV4協(xié)議仍是主流通信協(xié)議。而IPV4協(xié)議在設(shè)計(jì)之初，并未全面考慮網(wǎng)絡(luò)安全因素，造成IPV4協(xié)議漏洞較多，例如ARP欺騙、DNS欺騙、路由重定向，等安全漏洞，利用這些漏洞攻擊者可以監(jiān)聽目標(biāo)主機(jī)通信數(shù)據(jù)，提取敏感信息，篡改數(shù)據(jù)內(nèi)容，甚至改變數(shù)據(jù)流向。掌握網(wǎng)絡(luò)安全協(xié)議漏洞相關(guān)原理，分析捕獲數(shù)據(jù)包，識(shí)別此類攻擊遺留痕跡需要學(xué)員具備TCP/IP協(xié)議族基礎(chǔ)知識(shí)，因此計(jì)算機(jī)網(wǎng)絡(luò)是其前導(dǎo)內(nèi)容。2.基于網(wǎng)絡(luò)監(jiān)聽的攻擊監(jiān)測(cè)網(wǎng)絡(luò)攻擊實(shí)施之前，需要全面了解目標(biāo)系統(tǒng)參數(shù)和漏洞情況。網(wǎng)絡(luò)掃描是采用主動(dòng)攻擊方式發(fā)現(xiàn)目標(biāo)網(wǎng)段內(nèi)的活動(dòng)主機(jī)，識(shí)別目標(biāo)主機(jī)上開放的端口和漏洞信息。網(wǎng)絡(luò)監(jiān)聽是采用被動(dòng)攻擊方式收集目標(biāo)服務(wù)器相關(guān)參數(shù)信息，提取以明文方式傳輸?shù)耐ㄐ艃?nèi)容。網(wǎng)絡(luò)掃描利用的是TCP協(xié)議三次握手建立連接和四次揮手中斷連接機(jī)制判斷活動(dòng)端口，網(wǎng)絡(luò)監(jiān)聽需要對(duì)捕獲的通信數(shù)據(jù)進(jìn)行分析，這些都需要學(xué)員具備TCP、UDP協(xié)議分析基礎(chǔ)。3.涉網(wǎng)案件辦理破解加密文件密碼，移除計(jì)算機(jī)開機(jī)密碼在涉網(wǎng)案件辦理工作中有重要作用。本知識(shí)點(diǎn)除了包含暴力、字典和彩虹表等常規(guī)破解方法之外，還要涵蓋密碼移除等簡(jiǎn)單高效方法。4.web服務(wù)器被攻擊的痕跡WEB服務(wù)器內(nèi)通常存儲(chǔ)了大量重要信息，很多公民個(gè)人信息泄露案件的源頭就是網(wǎng)站被入侵，數(shù)據(jù)庫(kù)內(nèi)海量用戶信息被犯罪分子非法獲取，出售獲利。企事業(yè)單位門戶網(wǎng)站被入侵，主頁被替換的案件也時(shí)有發(fā)生，造成謠言傳播、社會(huì)恐慌等諸多問題。掌握WEB服務(wù)器被攻擊后的痕跡提取方法是網(wǎng)絡(luò)犯罪案件調(diào)查人員必須掌握的一項(xiàng)技能。這個(gè)知識(shí)點(diǎn)要求學(xué)員具備常見類型網(wǎng)站的構(gòu)建能力和關(guān)鍵代碼分析能力，能對(duì)主流數(shù)據(jù)庫(kù)系統(tǒng)使用SQL命令進(jìn)行關(guān)聯(lián)分析查詢。5.“恒之藍(lán)”病毒攻擊僵木蠕是指僵尸程序、木馬程序和蠕蟲病毒。近年來，僵木蠕惡意程序在互聯(lián)網(wǎng)泛濫傳播，2017年出現(xiàn)的“永恒之藍(lán)”就是一種蠕蟲病毒，會(huì)加密被感染主機(jī)內(nèi)全部重要文檔，受害者需通過暗網(wǎng)支付比特幣贖金完成解密。深入研究各類僵木蠕攻擊技術(shù)，才能更好地提取分析遺留的痕跡特征。6.檢測(cè)攻擊痕跡用戶的正常網(wǎng)絡(luò)訪問行為記錄在日志文件中，同樣黑客實(shí)施的網(wǎng)絡(luò)攻擊行為也記錄在日志文件中，從海量日志數(shù)據(jù)中提取入侵痕跡是調(diào)查人員必須具備的一項(xiàng)取證能力。DDOS攻擊、網(wǎng)絡(luò)木馬蠕蟲攻擊痕跡可以從受害者主機(jī)收發(fā)的通信數(shù)據(jù)包內(nèi)提取，對(duì)海量數(shù)據(jù)包的解析能力也是調(diào)查人員必須掌握的。這個(gè)知識(shí)點(diǎn)要求學(xué)員具備使用wireshark分析TCP/IP協(xié)議族的知識(shí)基礎(chǔ)。7.惡意程序分析逆向分析是指將惡意程序反編譯為匯編或Java源代碼，通過閱讀源代碼提取黑客主機(jī)域名、IP地址、郵箱賬號(hào)，等重要線索，分析惡意程序的邏輯功能。逆向分析是僵木蠕惡意程序取證分析的重要措施。Java語言、匯編語言和操作系統(tǒng)原理是逆向分析必須的知識(shí)基礎(chǔ)。8.應(yīng)用層安全協(xié)議重點(diǎn)包括對(duì)稱和公鑰加密技術(shù)、數(shù)字證書、網(wǎng)絡(luò)層安全協(xié)議IPsec、傳輸層安全協(xié)議SSL和TLS，應(yīng)用層安全協(xié)議PGP,VPN技術(shù)，防火墻及入侵檢測(cè)技術(shù)。（二）靶場(chǎng)任務(wù)：從體制高度到數(shù)據(jù)來源與常規(guī)靶場(chǎng)重點(diǎn)訓(xùn)練網(wǎng)絡(luò)攻防技能不同，面向取證能力提升的網(wǎng)絡(luò)靶場(chǎng)重點(diǎn)培養(yǎng)學(xué)員的網(wǎng)絡(luò)攻防案件取證能力，為涉網(wǎng)案件調(diào)查分析服務(wù)。如何有效組織靶場(chǎng)任務(wù)，完成取證能力培養(yǎng)這一目標(biāo)是一個(gè)關(guān)鍵問題。如圖2所示，本文提出一種按照常見涉網(wǎng)案件類型分類組織靶場(chǎng)任務(wù)的解決思路，先搜集典型涉網(wǎng)案件，分析總結(jié)每類案件涉及到的攻防技術(shù)，同步研究相應(yīng)的取證方法和取證難點(diǎn)，再將脫密后的案件數(shù)據(jù)移植到網(wǎng)絡(luò)靶場(chǎng)內(nèi)，靶場(chǎng)任務(wù)側(cè)重體現(xiàn)網(wǎng)絡(luò)取證方面的相關(guān)內(nèi)容。(1）第一步：將案件信息脫密，生成虛擬機(jī)鏡像和網(wǎng)絡(luò)拓?fù)?，?duì)任務(wù)進(jìn)行描述。案件信息脫密是一項(xiàng)重要工作，需要隱去案件相關(guān)信息，包括涉案人員身份信息，修改涉案服務(wù)器的域名、IP地址信息，將處理過的涉案網(wǎng)站樣本安裝到虛擬機(jī)上，生成鏡像文件，組織網(wǎng)絡(luò)拓?fù)?，測(cè)試案例在云平臺(tái)內(nèi)的運(yùn)行情況。(2）第二步：?jiǎn)?dòng)靶場(chǎng)演練。通過鏡像文件快速部屬虛擬機(jī)實(shí)例。(3）第三步：訪問目標(biāo)網(wǎng)站，監(jiān)聽通信數(shù)據(jù)，提取惡意程序樣本。根據(jù)任務(wù)描述提供的目標(biāo)網(wǎng)站IP地址，參訓(xùn)人員登錄目標(biāo)網(wǎng)站，瀏覽主頁，同時(shí)使用Wireshark捕獲全部通信數(shù)據(jù)，利用Wireshark提供的文件還原功能，從通信數(shù)據(jù)中識(shí)別、提取惡意樣本文件。(4）第四步：分析捕獲數(shù)據(jù)，逆向解析惡意程序，提交結(jié)論。根據(jù)靶場(chǎng)任務(wù)要求，參訓(xùn)人員通過分析通信數(shù)據(jù)，可以還原整個(gè)控制中轉(zhuǎn)流程，獲得每個(gè)跳板的IP地址，確定惡意代碼的具體位置。通過對(duì)惡意樣本實(shí)施動(dòng)態(tài)和靜態(tài)分析，獲取惡意代碼主要功能和重要涉案配置信息。三、氣調(diào)靶場(chǎng)內(nèi)容的更新由于網(wǎng)絡(luò)攻防技術(shù)更新?lián)Q代速度很快，新技術(shù)不斷涌現(xiàn)，陳舊過時(shí)的攻防技術(shù)逐漸退出歷史舞臺(tái)。一個(gè)安全漏洞出現(xiàn)后，廠商會(huì)迅速推出相應(yīng)的補(bǔ)丁程序，彌補(bǔ)相關(guān)漏洞。靶場(chǎng)知識(shí)點(diǎn)也必須緊跟網(wǎng)絡(luò)技術(shù)前進(jìn)的步伐，不斷推陳出新，新老更替，保證靶場(chǎng)內(nèi)容能夠滿足實(shí)踐鍛煉的需要。本文提出的網(wǎng)絡(luò)靶場(chǎng)知識(shí)點(diǎn)動(dòng)態(tài)調(diào)整模型，如圖4所示。主要通過三個(gè)渠道調(diào)整靶場(chǎng)知識(shí)點(diǎn)：1.傳統(tǒng)線索調(diào)查方法失效例如早期勒索病毒通過互聯(lián)網(wǎng)遠(yuǎn)程控制受害者主機(jī)，通過銀行卡收取贖金，辦案人員可以通過網(wǎng)絡(luò)線索和銀行支付線索調(diào)查黑客信息。在新型勒索病毒案件中，黑客通過暗網(wǎng)控制受害者主機(jī)，采用虛擬貨幣支付方式收取贖金，這導(dǎo)致傳統(tǒng)線索調(diào)查方法失效。通過引入新型案例，可以及時(shí)補(bǔ)充完善靶場(chǎng)知識(shí)體系。2.基于靶場(chǎng)的學(xué)習(xí)例如偽基站類型案件從2013年左右開始出現(xiàn)，早期案例主要是以群發(fā)商業(yè)廣告居多，靶場(chǎng)以這一類型案例為主，考查學(xué)員偽基站短信發(fā)送任務(wù)提取和恢復(fù)能力。2016年左右開始出現(xiàn)利用偽基站傳播惡意鏈接，進(jìn)而在受害者手機(jī)端種植木馬程序，竊取銀行卡資金的相關(guān)案例，通過參訓(xùn)學(xué)員的反饋，及時(shí)在靶場(chǎng)內(nèi)更新相關(guān)內(nèi)容，淘汰陳舊案例。3.賽事主題公開目前國(guó)內(nèi)和國(guó)際上有多個(gè)比較有影響力的網(wǎng)絡(luò)安全賽事，題目?jī)?nèi)容涉及網(wǎng)絡(luò)滲透、逆向分析、漏洞挖掘和數(shù)據(jù)包解析等多個(gè)領(lǐng)域，這些賽事題目大多對(duì)外界公開。通過分析這些試題及選手的答題情況，可以了解目前主流網(wǎng)絡(luò)攻防技術(shù)的發(fā)展方向，及時(shí)調(diào)整、補(bǔ)充靶場(chǎng)的知識(shí)體系。四、網(wǎng)絡(luò)靶場(chǎng)的生成本文提出一種面向取證能力提升的網(wǎng)絡(luò)靶場(chǎng)構(gòu)建方案。采用OpenStack云平臺(tái)構(gòu)建網(wǎng)絡(luò)靶場(chǎng)，通過分析典型涉網(wǎng)案件所涉及到的攻防技術(shù)，梳理相應(yīng)的取證措施，凝練網(wǎng)絡(luò)靶場(chǎng)知識(shí)體系；采用最新案例引入、題庫(kù)更新和參訓(xùn)學(xué)員反饋等方式實(shí)現(xiàn)靶場(chǎng)知識(shí)體系的動(dòng)態(tài)更新完善。經(jīng)過實(shí)踐檢驗(yàn)，上述靶場(chǎng)系統(tǒng)可以有效鍛煉、提升參訓(xùn)學(xué)員的涉網(wǎng)案件取證分析能力。面向取證能力提升的網(wǎng)絡(luò)靶場(chǎng)需要滿足以下需求：（1）可以根據(jù)訓(xùn)練需要?jiǎng)討B(tài)生成復(fù)雜多樣的網(wǎng)絡(luò)拓?fù)?，仿真真?shí)網(wǎng)絡(luò)環(huán)境；（2）可以滿足訓(xùn)練隔離需求，每組學(xué)員的訓(xùn)練環(huán)境相互隔離，互不干擾；（3）在靶場(chǎng)測(cè)試任務(wù)結(jié)束后，學(xué)員可以登錄目標(biāo)虛擬機(jī)，提取網(wǎng)絡(luò)攻擊痕跡。（4）可以捕獲分析全網(wǎng)各個(gè)節(jié)點(diǎn)的通信數(shù)據(jù)包，完成網(wǎng)絡(luò)取證分析任務(wù)；（5）靶場(chǎng)訓(xùn)練環(huán)境可以完成快速部署，學(xué)員測(cè)試過程流暢，測(cè)試過程不對(duì)用戶終端軟硬件系統(tǒng)造成影響，測(cè)試結(jié)束后可以快速恢復(fù)原始狀態(tài)。近年來，云計(jì)算和虛擬化技術(shù)快速發(fā)展，云平臺(tái)可以按需調(diào)度、分配資源池中的存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)資源，動(dòng)態(tài)組建靈活多樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，滿足靶場(chǎng)建設(shè)需求，一些網(wǎng)絡(luò)安全企業(yè)利用云平臺(tái)搭建靶場(chǎng)環(huán)境，取得了比較好的實(shí)際效果。目前共有三種類型的云平臺(tái)PaaS、SaaS和IaaS。PaaS(PlatformasaService）平臺(tái)即服務(wù)模式提供給用戶一個(gè)運(yùn)行環(huán)境，如Java、SQLServer、Apache環(huán)境，用戶只需將自己的軟件系統(tǒng)部署到云平臺(tái)運(yùn)行環(huán)境內(nèi)即可使用，Google公司提供的GAE平臺(tái)就是這類云平臺(tái)。SaaS(SoftwareasaService）軟件即服務(wù)模式提供一個(gè)實(shí)現(xiàn)特定功能的軟件系統(tǒng)給用戶使用，例如云相冊(cè)、云備份、在線Office等都屬于這類應(yīng)用。百度提供的百度網(wǎng)盤和Google公司提供的GoogleDOC都屬于這類云平臺(tái)。IaaS(InfrastructureasaService）基礎(chǔ)設(shè)施服務(wù)模式將計(jì)算能力，存儲(chǔ)能力、I/O設(shè)備整合成一個(gè)虛擬資源池，將用戶申請(qǐng)的各類資源整合為一臺(tái)虛擬服務(wù)器提供給用戶。用戶可以選擇虛擬服務(wù)器的硬件參數(shù)，包括CPU速率、內(nèi)存和磁盤容量，可以選擇虛擬機(jī)的操作系統(tǒng)類型，可以在虛擬機(jī)上安裝任意軟件系統(tǒng)。IaaS類型云平臺(tái)靈活性強(qiáng)，用戶自主權(quán)大。目前商業(yè)版的IaaS云平臺(tái)主要有阿里云和亞馬遜EC2，免費(fèi)開源云平臺(tái)主要有OpenStack、Eucalyptus等。與商業(yè)版相比，開源云平臺(tái)更受廣大用戶歡迎，其穩(wěn)定性和成熟性越來越強(qiáng)。OpenStack最早由美國(guó)國(guó)家航空航天局NASA研發(fā)，旨在為用戶搭建公有云和私有云平臺(tái)，具有低耦合性、高拓展性，適合用于組建網(wǎng)絡(luò)測(cè)試靶場(chǎng)。本文使用OpenStack云平臺(tái)組建網(wǎng)絡(luò)靶場(chǎng)，靶場(chǎng)模型如圖1所示，訓(xùn)練室的硬件條件決定云平臺(tái)資源池規(guī)模。OpenStack屬于分布式系統(tǒng)，由多個(gè)服務(wù)組件構(gòu)成，核心組件包括Nova計(jì)算服務(wù)、Neutron網(wǎng)絡(luò)服務(wù)、Swift存儲(chǔ)服務(wù)、Glance鏡像服務(wù)等。Nova計(jì)算服務(wù)對(duì)云平臺(tái)資源池中的全部硬件資源進(jìn)行統(tǒng)一管理，按照用戶申請(qǐng)的硬件參數(shù)從資源池內(nèi)組成多個(gè)虛擬機(jī)實(shí)例，提供給用戶使用。學(xué)員在靶場(chǎng)攻防演練過程中，可以