美空军网络空间训练靶场(SIMTEX)
上述小节总结美军联合网络空间作战靶场(Joint CyberOperation Range,JCOR)的大体发展情况,美军联合网络空间作战靶场(Joint CyberOperation Range,JCOR)主要由空军模拟器(SIMTEX)、海军网络空间作战靶场(NCOR)、陆军国民警卫队模拟器(ARGENTS)、美军战略司令部模拟器(SCOR)等组成,本小节将详细介绍美空军模拟器(SIMTEX)的技术组成情况。
(1)SIMTEX背景
SIMTEX项目源于美国空军在2002年进行了名为“Black Demon”的“同类首个”计算机网络防御演习。美国空军希望制定应对大规模计算机网络攻击的防御策略。“Black Demon”最初的演习重点是为美空军侦察及内部人员制定战术,技术和程序(TTP)。包括威胁识别、Web攻击及病毒入侵检测以及其他恶意威胁检测等,辅助目标包括提高美空军网络运营商的态势感知,对多种威胁的响应以及网络防御策略的重新配置以验证防御攻击的目标。
美空军将网络作战的训练和演习借鉴成熟的飞行模拟器(建模与仿真)来构建模拟美国空军作战网络的第一代(简单)网络。实际上,针对美空军的战机电子作战网络,美空军专门有建设的基于建模与仿真技术构建的美空军电子战网络靶场(ACR),美空军电子战网络靶场(ACR)是建模与仿真技术的巅峰级应用,其复杂程度远超SIMTEX项目。
图16飞行模拟器
在第一次“Black Demon”演习中,其主要是通过旨在模拟美空军作战网络的第一代(简单)网络模拟器(称为 Range“靶场”)上进行的。该模拟器为美空军网络防御者提供了一个相当接近与美空军网络作战环境的模拟环境,并使这些美军士兵能够在其中与参与攻防游戏并进行防御策略训练和演习。这时候的美空军模拟器还比较简陋,主要表现在:
■靶场之间没有配置控制
■无法真实识别红队(攻击者)活动的网络流量
■重置模拟器需要花费数小时
■为了保证运营商网络的安全性,互联接入的链路采用V**技术,并对其限制在56K(串行)虚拟专用网(V**)的连接上,以防止网络饱和和攻击事件“溢出”到真实的运营网络中。
尽管存在靶场上的环境缺陷,但《Black Demon演习》(2002年)发布的《演习总结报告》中对演习所积累的经验及探索表示赞赏,并建议美空军开发永久性的靶场测试环境。该永久性的靶场测试环境将提供一个可控隔离的环境,参与者(包括空军的网络运营单位)可以在其中进行演习并练习其技能,以及开发出其他策略来防御网络威胁。该建议对现在的美空军模拟器培训和演练(SIMTEX)程序产生了原始要求。
在2003年,美空军继续跟踪Black Demon取得的成功,并开发了SIMTEX网络,该网络首次用于美空军的季度网络作战训练演习。训练活动通常着重于对整个空军使用的新的或特定的网络作战或防御工具进行作战训练。在2004年的Black Demon事件中,空军推出了标准仿真器套件SIMTEX,该仿真器套件用于以其网络核心作战信息传输系统(CITS)为模型的演习(如图所示)。
图17 SIMTEX模拟器模拟的作战信息传输系统(CITS)
在过去的十多年中,通过技术进步和经验教训,SIMTEX已发展成为一个基于开放系统体系结构的可互操作的网络环境,该体系结构包括物理,虚拟和模拟的网络组件。SIMTEX对美空军企业网络的架构进行了建模,起初通过联合网络空间作战靶场(JCOR)V**进行扩展,以包括广域网连接,并和其他“服务与作战司令部”(COCOM)网络模拟器和靶场进行联合演习和培训。目前,SIMTEX空军项目部联合美海陆及战略司令部联合组成联合网络空间作战靶场(JCOR)。联合网络空间作战靶场(JCOR)更多的是一种联合作战演习及培训的模拟器测试靶场群。而且联合网络空间作战靶场(JCOR)在国防部,也是属于美空军的专门办公室管理。现在的SIMTEX及JCOR靶场,作为美国国家测试靶场综合体计划的一部分,通过美军近年来开发设计的靶场互联标准协作框架及规范工具进行于NCR以及JIOR等靶场的互联互通和资源共享。
(2)SIMTEX的迭代演进
美空军SIMTEX模拟器主要分为三代,第一代由美空军于2002年构建,第二代主要由EADS公司构建,第三代也是最新的一代由MetovaCyberCENTS’ SLAM-R©构建。根据美空军财报,由EADS公司构建的SIMTEX模拟器继续运作,并每年拨款聘请EADS公司(已被收购)的高级工程师驻场对SIMTEX模拟器进行技术保障支撑。最新的SIMTEX模拟器加入了Metova CyberCENTS’ SLAM-R©商业应用程序的强大功能,并根据美空军需求进行定制化开发。继续在EADS公司构建的SIMTEX模拟器基础上进行能力扩展。
MetovaCyberCENTS’ SLAM-R©(Sentinel-legion-AutoBuild-Myrmidon-Reconstitution)。Metova CyberCENTS解决方案为演示、培训、练习、工具开发和测试全频谱网络空间功能提供了一个相关的、集成的、实时虚拟建设性(LVC)的网络靶场环境。Metova CyberCENTS解决方案允许在网络靶场环境中,通过封闭网络连接或使用V**实现多个互连环境相互访问与隔离。每个Metova CyberCENTS解决方案的单元均具有符合IEEE RFC的流量生成、动态流量和协议生成功能,可对其进行操作以遵循客户需要的背景流量仿真和自然流量仿真。环境的模拟元素(例如,用户,流量,攻击,互联网)与系统的虚拟化和物理元素进行交互,从而提供真实的系统响应(无预先编程的响应;事件将继续运行/影响目标直到停止或缓解)。所有元素都是用户可配置的,并且每个网络靶场环境都是独立的,仅需要Internet连接才能用于远程用户访问或在不同位置的系统之间进行互连。该解决方案具有社交媒体服务以及多层动态网站。所有IP地址和网站URL都在网络空间靶场的DNS中解析。所有虚拟化的互联网 IP空间都使用实际的geo-IP地址。网络场景以自动或手动模式执行。每个Metova CyberCENTS解决方案都可以在数分钟内重新配制。所有IP地址和网站URL都在网络范围的DNS中解析。所有虚拟化的Internet IP空间都使用实际的geo-IP地址。网络场景以自动或手动模式执行。
图18 Metova CyberCENTS网络靶场解决方案
Metova CyberCENTS解决方案根据应用场景的不同,将产品版本合分为不同的型号和模块。下表显示了Metova CyberCENTS解决方案的不同版本功能对比:
图19 Metova CyberCENTS版本功能对比
目前的Metova Cyber CENTS是Meta Federal的一个部门,其不仅仅在为美空军的SIMTEX提供技术支持,还同时为美国防部的PCTE网络培训练习环境提供技术和产品支持,其是PCTE构建的四家单位之一。此外,美军的各个网络任务部队(CMF),如美海军的模拟器以及美海军网络作战部队的培训练习环境也是Metova Cyber CENTS进行提供。
Metova Cyber CENTS主要为美国防部及美网络任务部队四个主要的网络靶场技术领域:
蓝队空间 –基于高保真标准的蓝队空间功能,主要提供受攻击靶标的环境的运营和网络仿真模拟以及防御仿真演练。蓝队空间基于Metova Federal的CENTS®网络靶场组件产品线和自动化引擎SLAM-R®中的AutoBuild技术。构建蓝队空间网络关键地形,网络/动能武器系统组件的物理/逻辑覆盖,军事力量结构组成,部队专用工具和作战指挥官,以及特定对手的网络架构和技术。
灰队空间 -基于高保真标准的灰队空间功能,由Global Internet RGI®产品和Global Traffic Tracker技术实现。该技术通过模拟网络服务、Web服务、Web mail、文件共享、消息传递和社交媒体,创建了商业互联网和国防信息网络体系结构。
Meta Federal的SLAM-R和Myrmidon模块提供流量生成和威胁仿真。SLAM-R的技术提供预编程的/动态的流量配置文件修改和威胁注入,以表示与高级持续性威胁(APT)相关的取证指标(IOC),这些威胁代表了网络战士所面对的不断发展的对手。此外,在面向美国防部及网络任务部队提供的培训和演习环境模拟仿真中,Meta Federal的Metova Cyber CENTS为其提供多域计算和仿真集成(M&S),电子战(EW),情报和动能(空,陆,海,空)领域的建模仿真靶场技术。
(3)SIMTEX网络环境
在2001年美空军计划开始之时,虚拟化的发展不如今天这般成熟。导致SIMTEX每个核心服务、应用程序、基础结构设备或安全设备都是模拟器中的物理服务器或专用设备,其中一个典型的基础架构设施就占据了42(U)机架的空间。如今,SIMTEX借助虚拟化技术,一个典型的基础架构设施服务器仅占用2-3U的容量,目前,一个典型的模拟空军基地网络的SIMTEX单元大约占据9U的架构空间。
目前,为了减少占用空间并能够对模拟器的所有组件进行快照,新的网络模拟器的正在将安全设备等进行虚拟化迁移和设置,以采用完全虚拟化的模拟器。但是基于美空军网络的特殊性及专用设备的虚拟化程度,目前的模拟器还是处于虚拟机和硬件在环的混合体状态,这样目前的技术和方案是能够仿真和模拟最为真实的美空军网络。
(4)SIMTEX自动化攻击引擎
在网络演习的早期,攻击是由美空军的信息战中队(红队)实施的。在2003年下半年,美空军决定在通讯学校里安装SIMTEX模拟器,让现场玩家(红队攻击者)亲自执行每次攻击并不划算也不符合实际要求。因此美空军开发了一种替代方法,将红队攻击进行自动化实现。学员在进行训练时,其所面临的攻击/事件是有教员或专职攻击的学员通过SIMTEX自动化攻击引擎实现的。部署到学校进行人才培养,造就了在2003年,最初的红队自动化攻击的需求,即对攻击者的攻击行为进行建模仿真,并实现对模拟仿真网络的攻击。
SIMTEX(SLAM-R Myrmidon模块)中使用的自动化攻击引擎会在SIMTEX模拟器的网络环境内生成网络攻击。该动化攻击引擎包括一个模块,该模块配置为针对网络设备(物理的或虚拟的)创建一个或多个攻击事件。其中可将攻击事件组合或分组形成攻击方案。攻击事件包括利用已发布的漏洞(例如每年Web、网络、系统等排名前10位的漏洞)以及模拟器内的硬件和软件故障。还创建了情景以复制影响空军作战的实际事件。
根据来自2007年Bulwark Defender的评论,SIMTEX模拟器开发了图形用户界面(GUI)来使用自动化攻击引擎。随着方案变得越来越复杂,控制器需要洞悉方案中每个攻击/事件的执行状态。此外,控制人员需要快速查看每个攻击/事件的详细信息(攻击的描述,攻击的目标,事件的系统指示和警告以及攻击者和目标信息)。下图显示老版本的SIMTEX模拟器自动化攻击引擎图形用户界面(GUI)。
图20 GUI显示攻击引擎
SIMTEX模拟器自动化攻击引擎图形用户界面(GUI)提供了用于控制和监视攻击事件的创建和执行的界面。该GUI包括攻击事件编辑器,该攻击事件编辑器被配置为将攻击事件写入标准的可扩展标记语言(XML)文件中,并且其中控制模块被配置为在每个攻击事件内自动生成唯一属性。属性包括:攻击源(Internet协议(IP)和媒体访问控制(MAC)地址),攻击目标,攻击应开始多长时间进入场景以及攻击应持续多长时间等内容。
早期的SIMTEX模拟器自动化攻击引擎需要控制器或指导员在键盘/鼠标旁边才能执行事件。练习参与者和学员在键盘/控制器上输入与发生事件的时间有关的位置才能进行事件练习。后来,添加了场景中事件在时间轴上自动执行的功能。管理员/讲师可以在场景中的时间轴上开始、停止、暂停、重新滚动和调整事件启动时间。
为了显示攻击/事件的状态,事件开始时会填充攻击场景执行管理器选项卡。在执行时,利用所创建的攻击事件中的至少一个在仿真器的机器人内生成机器人服务器模块。执行模块被配置为监视攻击事件的创建和传输,包括模拟器内攻击事件的成功和攻击事件的属性。该信息通过机器人通过控制窗口转发回控制器/教师。下图显示了自动化攻击引擎的攻击事件属性界面。
图21攻击事件属性界面
(5)SIMTEX网络流量
在设计标准化SIMTEX模拟器套件时,其中一项要求是生成网络流量。流量的目的是在代表设备日常流量模式的“正常”流量中掩盖红队的活动。在过去的五年中,美空军整合了两个不同的商业流量生成器,以向SIMTEX模拟器提供真实的网络作战流量。但是,可用的解决方案不满足“真实”的要求。所选解决方案经过了性能测试,无法生成符合RFC的数据包,以至于网络设备(防火墙,入侵检测系统,代理服务器)能够检查数据包(深度数据包检查)并将这些数据包丢弃。这种不足意味着安全设备和应用程序未抛出正确的指示器和警告,代表RFC并归因于模拟器域(源IP和/或目标IP)的日常活动的网络流量难以捉摸。当时,还没有找到一种经济有效的解决方案,可提供满足网络模拟器要求的流量。这导致了专注于产生网络效果的流量生成能力的Metova CyberCENTS’ SLAM-R©有机会进入美空军SIMTEX靶场的后续竞标中。
SIMTEX中的流量生成器(Legion模块)在模拟器内创建网络流量模式,从而复制空军作战网络环境中的实际网络流量模式。创建的模式在模拟器内的多个网络设备(路由器到路由器,路由器到服务器,服务器到服务器,服务器到工作站,工作站到服务器)之间生成网络流量。该模块被配置用于利用一个或多个模式来创建网络流量代理。流量代理是一组一个或多个模式。Metova CyberCENTS’ SLAM-R©提供的流量生成器(Legion模块)架构如下图所示:
图22 CyberCENTS’ SLAM-R流量生成器架构图
该模块还被配置用于创建流量场景,该流量场景包括一组创建的代理和流量场景的虚拟机(VM)。虚拟机充当数据包的发送方和接收方,下图定义了场景中一个或多个代理之间的关系。
图23流量场景代理关系
接口配置为:
■接收模式元数据并将接收到的元数据添加到关联的模式
■将模式添加到流量配置文件
■生成方案虚拟机,并将虚拟机添加到流量方案中进行部署
合并的网络流量模式包括从组中选择的一个或多个网络流量协议。(例如域名服务(DNS)请求和DNS响应,超文本传输协议(HTTP)和HTTP安全(HTTPS)请求和响应,简单邮件传输协议(SMTP)发送和SMTP接收,互联网控制消息协议(ICMP),传输控制协议(TCP)和各种远程过程调用(RPC))。结果是网络流量具有源/目标IP地址,有效的电子邮件地址,符合RFC,具有有效的数据有效载荷以及具有可通过模拟器的DNS结构解析的IP地址或URL。在随后的“全球闪电行动”中,来自运营空军信息作战平台(IOP)的参与者的反馈,CyberCENTS’ SLAM-R©提供的流量生成器(Legion模块)的流量是他们所见过的最真实的流量。
CyberCENTS’SLAM-R©提供的流量生成器(Legion模块)具有提供多种流量模式的能力,因而具备强大的流量模拟和仿真能力,能够满足美空军的需求。生成这些模式的示例算法是:用户输入100个不同网站的名称,然后,用户选择一个整数,该整数可用作基本流量模式之间差异水平的输入。然后应用数学算法,生成一个数字对序列,以使它们表示浏览的网站以及直到要读取下一个为止的时间(以秒为单位)。以[23,30:99,13:40]表示立即浏览第23个网站,然后在30秒后浏览第99个网站,然后在13秒后浏览第40个网站。在此示例中,包含100个不同网站的列表以及方差整数提供了指定的条件。根据练习或训练中攻击/事件场景的要求,通过应用算法来创建单个流量场景即可。
(6)SIMTEX全球互联网模拟
在2008年的Bulwark Defender 中,美空军发现将强大的HTTP流量添加到模拟器中,并将Web攻击漏洞添加到了可用的攻击/事件中后,针对Web的攻击产生了对根DNS服务的需求。尽管HTTP通信是真实的,但是本地模拟器的结构之外的URL会产生错误,因为模拟器本身并不具备解析流量里面URL A记录的能力。基于这个需求,美空军要求供应商随后开发了模拟互联网功能的功能模块。该功能可提供针对互联网网络环境的逼真模拟,包括互联网IP地址、DNS根节点及DNS解析,并且生成的HTTP流量(入站和出站)都有实际的源和目标地址。
图24模拟互联网功能模块
2009年,欧洲司令部(EUCOM)实施“innocent victim””的要求规定了更真实的对手、目标和环境。其中包括僵尸网络,僵尸网络在全球范围内危害“无辜的受害者”机器,演习要求中详细介绍了全球僵尸网络攻击情形。为了补充当前的SIMTEX模拟器/JCOR,设计并实现了模拟全球互联网(RGI),一种综合的非动能合成轰炸靶场。
RGI的外观与实际Internet相当。它提供了公共领域之外受控且安全的测试和培训方案。RGI已完全虚拟化,并在可能的情况下使用开源实用程序,并利用了全球Internet结构中的真实IP。RGI具有与SIMTEX模拟器相同的开放架构,其灵活性允许将物理设备(例如网络或威胁系统)和虚拟设备整合在一起。RGI由76个骨干路由器和270多个C类子网组成组成,支持400多个国内外网站和社交媒体网站(Cambook和Critter)。RGI还包括功能齐全的电子邮件,FTP和聊天服务器,以及全局DNS和网络时间协议(NTP)服务。符合RFC的Internet流量生成功能提供Internet路由器之间的完全仿真的日常流量活动,包括对实际服务器的DNS查询,网站“ GET”请求,电子邮件生成以及其他各种随机流量(例如ICMP)等。RGI由分布在六个大洲的四个互连网络组成。全球代表多种位置类型:医院、银行、大学、网吧、商业、教堂、政府实体和军队。这些位置具有完整的域服务和纵深防御能力。有了True-IP全球路由基础架构,并且各种位置类型遍布全球的子网,工程师便可为作战演习和训练建立了灰队空间。在演习过程中,根据模拟器这些功能的综合作用,灰队空间虚拟机(以及僵尸网络的受害者机器)将实际上位于世界各地,也就无限逼近真实世界的僵尸网络情景。
图25全球互联网模拟器架构
(7)SIMTEX的工业控制系统模拟
作为空军网络,其存在大量工业控制系统,以上的模拟器功能均可为信息系统的网络提供较为真实的建模仿真功能,实现网络作战演训和评估测试。随着工业控制系统越来越受到重视,结合美空军的工业控制系统网络,SIMTEX就着手准备进行工业控制系统网络的建模仿真工作,并作为今后建模仿真的主要工作之一。
工业控制系统(ICS)是几种类型控制系统的总称,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常可以看到的撬装式的可编程逻辑控制器(PLC)。ICS通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。这些控制系统是美国关键基础设施运作的关键,通常是高度相互关联和相互依存的系统。在美国,大约有90%的国家关键基础设施是私人拥有和经营的,美国政府也经营了上面提到的许多工业流程。空军网络作为航空航天领域专属的军事作战领域,其核心关键是工业控制系统,因此SIMTEX需要进一步开发工业控制系统的建模仿真。
在2010年,美国政府发起的针对关键基础设施的攻击Stuxnet是第一个受到公众认可的真实案例。这是一种计算机蠕虫,于2010年6月首次发现。Stuxnet针对西门子工业软件和设备,对PLC进行重新编程,并破坏伊朗的铀浓缩基础设施。
从我国来说,我国的工业控制系统和关键信息基础设施的主要核心设备受制于国外进口,保护我国关键信息基础设施和工业控制系统面临着很严峻的挑战。根据国家工业信息安全发展研究中心提供的数据统计,我国重要信息系统和工业控制系统关键设备和基础软硬件采用国外产品的比例仍很高,安全基础不牢。从重要工业控制系统情况看,57.07%的数据采集与监控(SCADA)系统、47.05%的分布式控制系统(DCS)、63.81%的过程控制系统(PCS)、79.24%的可编程控制器(PLC)均为国外产品。从传统信息系统情况看,95.62%的操作系统、91.66%的数据库、82.04%的服务器以及73.85%的数据存储设备为国外产品,国外产品占绝对主导地位。同时,根据我国近几年重点领域信息安全检查工作统计,数千个工业控制系统由国外厂商提供运行维护,我们不具备自主维护能力,系统运行的可控能力较低,同时缺乏对国外产品和服务的监管,缺少必要的技术检测措施和安全可控方案,安全风险难以掌控。因此我国也是有必要尽快建立工业网络靶场进行安全测试与评估的。
目前,针对工业控制系统的建模仿真,SIMTEX还在继续进行设计开发工作。其主要的侧重点是,针对空军网络的工业控制系统特点进行一系列针对性开发,包括自身控制网络以及模拟的对手控制网络环境、攻击及防御工具、测试与评估工具等。
(8)SIMTEX自动场景生成器
SIMTEX自动场景生成器创建易受攻击的虚拟机和特定的剧情,生成随机化的易受攻击系统和特定剧情环境。虚拟机基于场景规范创建,该场景规范描述了要创建的虚拟机的约束和属性。例如,方案可以指定创建具有可远程利用的漏洞的系统,该漏洞将导致用户级别的泄露,以及可导致根级别泄露的本地可利用漏洞。这将要求攻击者发现并利用随机选择的两个漏洞,以获得对系统的root访问权限。或者,定义的方案可以更具体,指定某些类型的服务(例如FTP或SMB)或甚至确切的漏洞(通过CVE编号)。
SIMTEX自动场景生成器是一个应用程序,具有XML配置语言。SIMTEX自动场景生成器读取其配置,包括可用的漏洞、服务、网络、用户和内容,读取所请求方案的定义,应用逻辑以随机化方案,并利用SIMTEX模拟器来配置所需的虚拟机及其环境。
SIMTEX自动场景生成器的主要意义在于,现有的SIMTEX网络环境模拟是预配置或静态配置范畴,学员只能根据设计的规范进行技能训练,在仿真真实环境的实践技能上面有所欠缺,因此考虑采用动态的SIMTEX自动场景生成器,定义随机化的安全场景用于实践技能和磨炼战术,具有和真实环境一致的体验,也确保了培训更具多样化,训练和实践的攻防能力更能体现培训指标。此外,现有培训的关键问题之一是同一位学员不能轻易地重复练习所遇到的问题和困难,因为在所有场景都通过预先策划的情况下,每个学员在进行再次练习时会再次经历先前一模一样的所有路径,因为有先前的知识,学员再次练习将下意识避免掉可能存在问题的路径,从而无法完全锻炼学员的不足和盲点。通过引入人工智能的自我学习和进化技术,以计算方式生成学员们的问题环境,那么该学员可能会不断地反复遇到类似的情景,从而对锻炼他们的技能方法方面的不足和盲点。
SIMTEX自动场景生成器采用人工智能(AI)技术,构建自动化的基于人员训练情景的场景,其使用进化算法(EA)的概念来计算生成网络操作的有用训练环境。在人工智能(AI)中,进化算法(EA)是一种基于人口的通用元启发式优化算法,其算法的灵感来自自然生物学的进化。如下图所示:
图26自然生物学的进化过程
进化算法(EA)中用于将大量可能的解决方案发展为最佳解决方案的主要机制是:
■基于适合度的父母选择
■重组
■变异
■根据健康状况选择幸存者
进化是一个有力的隐喻,在自然界和计算机科学界都展现出巨大的创造力。
在SIMTEX自动场景生成器中,具体使用到的两种进化算法(EA)包括学习分类器系统(LCS)和基因编程(GP)方法,以及基于Serious Games技术趋势的综合形成自动化的基于情景的场景生成能力。
学习分类器系统(LCS)是一种在由称为规则集的规则组成的总体上运行的进化算法(EA):此规则集用于尝试对情况进行分类。在创建遗传算法(GA)之后不久就创建了第一个学习分类器系统(LCS),被认为是经典的进化算法之一。
基因编程(GP)是一种基于进化算法(EA)的方法,用于查找执行用户定义任务的计算机程序。基因编程(GP)是进化算法(EA)的一种专业化应用,其中每个人都是部分或完整的计算机程序。这是一种机器学习技术,用于根据程序执行给定计算任务的能力确定的适应性状况,开发和优化计算机程序的种群。从基因编程(GP)衍生的技术可以应用于生成训练环境的领域。可以将AI、符号处理和机器学习中许多看似不同的问题视为需要发现计算机程序的计算机,该计算机程序会为特定输入生成一些所需的输出。当以这种方式查看时,解决这些问题的过程等同于在可能的计算机程序的空间中搜索“最适合”的单个计算机程序。
使用LCS和GP根据网络运营单位的先前响应以计算方式生成攻击场景,将允许对网络操作进行培训和模拟,将其作为一种可以补充人类驱动环境的游戏。众所周知,Serious Games是现目前交互性、沉浸式较强的产品,网络安全技能培训和游戏的结合,是目前世界上较为潮流的实训仿真趋势和技术之一【Serious Games在2017年出现在美国,主要由美国军方的采购需求所驱动,详见本人公众号之前的文章:ThreatGEN:Red vs. Blue--在游戏中学习网络安全技能】。基于游戏的学习(GBL)是游戏的一个分支,处理具有明确学习成果的应用程序。GBL凭借其参与度、动机、角色扮演和可重复性,具有改善培训活动和计划的潜力。通过GP将Serious Games集成到网络模拟器中可能具有巨大的价值,从而可以根据玩家的技能/进度自动生成场景。
参考资料:
Metova CyberCENTSTechnologies Selected for DoD Persistent Cyber Training Environment (PCTE)Prototype
CyberoperationsEnhanced Network and Training Simulators (CENTS®) are specifically designed tooptimize the effectiveness of cyber operations and protection workforce todefend against malicious actors. Each cyber range environment is powered bySLAM-R©
Synthetic CyberEnvironments for Training and Exercising Cyberspace Operations