商业网络培训靶场的发展态势综述

一、前言

我们身处的时代，网络攻击正愈演愈烈，特别是网络空间领域上升到网络战的战略高度之后，几乎每天都有网络攻击事件发生，而目前网络安全厂商竭尽全力开发的安全软硬件在保护个人和企业的信息安全方面始终存在差距。详细来说，现今的网络安全技术及产品只解决了安全一半的问题，更关键的另一半需要我们的网络安全技术人员在关键的时候进行干预和解决。这就对我们的网络安全技术人员提出了要求，技术人员必须能够胜任网络安全的岗位的能力并拥有对应解决问题的技能。但是当前的网络安全技能培训方法在很大程度上依赖于安全专家或网络红队，这些安全专家或网络红队为网络人员的安全培训提供了具有挑战性的培训路径和彼此磨炼战术的对手。这样的培训周期长、人力培训成本高且培训的安全专家或网络红队始终不足，无法满足大规模网络人员安全培训的技能要求；而提供的网络安全培训产品在一定程度上又无法满足实战性技能培训人才的要求。

面对这样的不足，市面上从事网络安全培训及产品研发的厂商也不断的在寻找和探索合适的技术和流程来解决上述不足。网络培训靶场的出现是解决这样不足的其中之一。在网络培训靶场中，安全厂商期望将安全专家或网络红队提供的培训路径和磨炼战术的对手通过软件和流程进行仿真模拟，以实现使用模拟使此培训环境自动化，并满足不断增长的网络安全人才培训需求。本文基于网络培训靶场及现今网络安全培训的当前状态，介绍了目前的安全厂商在探索解决网络安全培训需求的前瞻性研究实践。

二、基于网络空间靶场的网络安全培训

根据调研的国外靶场功能情况及应用情况，目前总结的国外靶场核心功能包括构建网络仿真场景所需的：设备模块、仿真模块、流量模块、攻击模块和网络模块。设备模块需要进行大规模资源异构的逻辑编排和统一管控，其中包括虚拟设备（如虚拟机、网元等）以及实物设备等。仿真模块用于进行虚拟机器和虚拟人员的仿真，包括由此产生的用户操作行为，仿真的互联网等内容，主要通过仿真系统为网络环境创造所需仿真的真实环境的其他互动内容。流量模块用于仿真背景流量和攻击/防护流量的自动化编排和管控，用于创建安全事件，扰乱选手视线等。攻击模块用于实现渗透测试自动化编排和管控，能够智能化提高靶场用户的攻防操作训练流程及反复测试训练的效果，减少人工进行渗透测试所需的人力成本。网络模块用于网络环境的自动化编排构建和管控，包括通过可视化方式拖拽组网编排网络环境和命令方式以及配置文件方式编排网络环境。基于此，由五大模块构建的网络环境仿真，开发实现流程化的攻防演练、产品测试、风险评估、教育培训及漏洞挖掘等实际应用。

我们可以理解为上述五个方面的仿真模拟是网络培训靶场为实现针对真实环境进行建模元素，这些建模元素对应了真实环境中的网络、设备、流量、攻击、人员交互行为等实体。网络培训靶场实现了这些元素的仿真建模，之后将这些建模元素进行合成，构建一个逼真的真实环境。所以我们可以将网络培训靶场理解是合成的构建环境，首要的目标是模拟真实世界中的数字网络环境。有了这样的逼真仿真环境，在根据安全培训的要求构建安全事件以及培训演练流程，比如演练网络安全人员如何防御关键网络设施受到攻击，以及针对假定目标实施网络攻击。这样想来，网络培训靶场与熟悉的军事导弹、射击或飞行靶场相似，网络培训靶场为体外网络能力的使用、研究和评估提供受控和仪器化的环境。

接着让我们想想，传统射击靶场有了训练环境，训练选手在进行射击训练的时候，首先得有射击教练教授训练选手进行射击的技巧，然后训练选手再根据掌握的射击技巧进行射击训练，不断的射击从而达成熟练度。再此过程当中，射击靶场还会根据每次射击的精度等进行数据分析和评估，并反馈到训练选手身上，训练选手根据上次射击的反馈修正、优化射击姿势和射击角度等，从而再次进行射击训练。这个过程是仿真训练中必不可少的部分, 是确保训练正常有序运行、实现人与系统/靶场交互的关键。在军事训练靶场中，实现上述操作的是成熟的靶场导调系统。靶场导调系统保障作战模拟训练的正常运行,对训练起着十分重要且关键性的作用。它对训练系统/靶场进行导演、运行管理和控制,从而使训练系统/靶场人员能按照设计好的模式正常运转,保证训练任务的顺利完成。

从训练的角度来看，靶场导调系统主要从训练的整个生命周期对其进行全访问的控制和管理。我们可以将训练分为四个阶段, 即训练前的管理、训练初始化、训练中的管理和训练后的管理。其中训练前的管理包括:资源加载、网络维护、硬件检测和系统启动等;训练的初始化包括:环境初始化、网络初始化、态势初始化和实体初始化;训练中的管理包括:网络监视、数据采集和实时记录;训练后的管理包括:回放、分析统计、评估报告和结果存档等。

网络培训靶场之所以称之为靶场，主要是其本质和军事训练靶场一样，只不过实现的领域有所差别。所以，网络培训靶场有了实现真实环境快速复现、网络仿真和环境复制的能力，就保证了靶场的训练环境具备了基本的训练条件。接下来网络培训靶场要实现网络安全训练，就需要构建靶场导调系统对整个训练流程进行指挥和控制。在网络培训靶场中，靶场导调系统是体现人对网络安全训练进程实时控制和指挥灵活运用的核心,是实现“虚实世界交互”的主要环节,确保训练的各个环节按照预定的网络安全训练进程和设想有序高效地运行。因此,靶场导调系统主要有四项基本功能,即训练规划(配置等)、构设训练初始态势、监控训练状态、传输导调信息和命令：

1)训练规划(配置)功能。能够根据受训人员和训练要求的不同,有针对性地对网络安全模拟训练中的设备、网络、人员和流量等进行配置, 以此组织和实施训练, 完成不同的训练目的和训练任务。

2)构设训练初始态势功能。根据训练目的,制定安全模拟训练想定,规划训练流程,完成脚本编辑,并对需要参与训练的设备、网络、人员和流量等进行初始化, 并对所参与的实体进行态势的初始化。

3)监控训练状态功能。在训练进行中,通过可视化的手段和方法对训练态势和受训人员的现场进行监控。

4)传输导调信息和命令功能。作为“虚实世界交互”的重要体现, 可以通过人机交互形式对训练过程进行干预和调整,引导训练进程,达到训练目的。

在网络培训靶场中，根据调研的国外靶场功能情况及应用情况，主要由构建的网络培训靶场白方系统来承担和包含传统军事靶场的导调系统。网络培训靶场中，靶场导调系统隶属于白方系统,它主要和脚本编辑与生成系统、运行管理成员、运行监控成员、导调成员、态势显示成员、数据采集成员配合完成对红蓝方队成员行为的引导和调整,确保训练按预定的剧情顺利展开,并为训练评估提供数据支持。我也看见有些靶场建设建设方也直接将靶场导调系统独立出白方系统的模式，但是不管如何，从网络培训靶场角色的职责设立上看，靶场导调系统是归属靶场白方系统的一个工具和子系统，是白方系统或白队成员实现靶场训练的有力管控工具。

具体的例子：以色列的Cyberbit是践行和探索该体系较为成为的培训厂商之一。所以在网络靶场成为培训新的市场关注点后，成功成为全球销售靠前的网络培训靶场。Cyberbit的“网络培训靶场”产品组件包括：

• 虚拟化网络 - 模仿真实网络的副本，包括主机节点、交换机、路由器、数据库、服务器和最终用户设备，以及公共互联网等。
• 攻击引擎 - 以自动化和可重复的方式向虚拟化网络发起各种网络攻击，攻击引擎模拟DdoS、勒索软件、网络钓鱼、数据泄露和网络破坏等攻击场景。（即红队自动化工具，也可人工手动进行攻击）
• 流量生成器 - 模仿普通企业网络的自然背景流量和“威胁流量”，目前该组件可生成电子邮件和Web浏览流量。
• 虚拟SOC - 为学员提供检测、调查和响应网络攻击所需的工具。
• 训练管理器-- 训练管理器就是靶场导调系统，包括针对所有训练操作的全生命周期管理。

图1 Cyberbit Range结构视图

感兴趣的可关注了解他们的培训流程，很好的将军事靶场的导调系统运用到网络培训靶场培训领域，明晰网络安全培训的流程。由于Cyberbit Range率先在业界提供明晰的培训流程，因此其在新兴产品解决方案中占据大部分购买力市场。从企业角度来说，企业购买Cyberbit Range主要用它来改变企业自身的网络安全培训方式；从服务提供商角度来说，购买Cyberbit Range主要用它来提供培训服务；此外，大学也是Cyberbit Range的主要购买力客户。

三、网络培训靶场即服务（CyRaaS）

在网络培训靶场在培训和竞赛领域获得较为成熟的应用后，在其他方面也跟进尝试探索，比如取证、欺骗防御。在这其中，网络培训靶场即服务（CyRaaS）是和公有云结合进行新的商业模式的探索。2018年9月，Cyberbit和CloudRange宣布了第一个商业化的网络攻击模拟培训平台即服务（CASTaaS）。CloudRange培训可以远程进行，也可以在客户现场进行，由CloudRange讲师进行管理。培训课程的范围从入门到高级，涵盖最重要的安全方案，包括事件响应、取证、工业控制系统（ICS）攻击以及自定义方案功能。网络培训靶场即服务（CyRaaS）可以使“逼真的仿真环境”场景可以在封闭的虚拟网络中作为Web应用程序使用，这种使用模式也符合现今主流的软件使用方式。该网络培训靶场即服务（CyRaaS）由CyberbitRange和CloudRange的网络安全仿真培训能力相结合，提供了通过模拟系统体验网络安全专业人员的操作感受，并为这些训练课程提供了评估和数据分析功能，可通过课程学习和实验训练的跟踪反馈来提高学习质量。

图2 Cyberbit Range训练拓扑

2019年，Cyberbit也上线了自己的网络培训靶场即服务（Cyberbit Cloud Range）。此外，美国Circadence公司上线了基于Project Ares®战神项目的网络培训靶场即服务（CyRaaS）。美国Circadence公司在云环境中为其网络培训靶场即服务（CyRaaS）提供模板和工具，以构建模拟环境以仿真实际场景。网络培训靶场即服务（CyRaaS）允许通过模板来复制“真实”网络，“真实”企业甚至“真实”城市，或用户也可以自定义构建旨在与其企业相似的定制环境。

图3 Circadence CyRaaS

网络培训靶场即服务（CyRaaS）将培训能力作为一项服务提供，即学即用，这种模式也正在成为当今网络安全的巨大趋势之一。优势体现是哪里呢？在我看来：

① 第三方软件许可

② 远程访问管理

③ 凭据/用户管理

④ 网络配置管理

⑤ 自动化和标准化

⑥ 靶场本身的安全性（虚拟化安全）等

公有云会为我们提供上述的便捷性和安全性。当然公有云也可能遭受到黑客攻击，也会有漏洞。但是公有云的组件足够标准化，安全相对于本地的靶场虚拟化环境的安全性会相对较好。另外，实验性质的许多软件，采用云模式的即用即付模式，不用掏大笔的第三方软件许可的钱，只需要购买服务实验的时间的钱即可。网络培训靶场上云和传统IT环境上云的好处我觉得是差不多的，因为云的本质就是这样的商业模式。经过多年的实践的经验和国外的研究来看，云基础设施通常比本地虚拟化更安全，从而导致使用网络培训靶场即服务成为更安全的选择，唯一不足的是会牺牲数据的私密性。

四、通过游戏和AI进行网络安全培训

虽然通过网络培训靶场实现了部分培训的自动化，但是我们发现是不是每次进行训练的时候靶场导调部分还是需要白队成员进行整体的训练的控制与管理。在大规模进行训练的情况下，靶场导调白队成员也会需要巨大的人力成本。并且训练的反复的演练和校正，靶场导调白队成员很难一直陪着训练选手进行训练，人不是机器，人对于如此枯燥无味的重复天然的具有拒绝情绪。因此，如何解决如此反复枯燥无味的训练呢？我们说人工智能是机器的兴起，是机器代替人类来实现重复枯燥无趣的工作的特征之一。因此解决其实从两个层面来解决：

1、对于训练选手，引入游戏化的机制，增强训练趣味性；

2、对于训练白队，引入人工智能的机器人，辅助进行训练的控制和管理。

科学技术的革新始终在推动时代巨轮轰鸣向前。随着游戏和人工智能的软硬件技术的成熟，比如在技术和工程层面，通过硬件能够实现针对游戏和人工智能的专用芯片、各种专用硬件卡、网络IO等的成本下降和技术成熟，这些基础能力构成了通过游戏和人工智能实现网络安全培训和发展的技术前提。而通过游戏和AI进行网络安全培训的发展也终将会随着相关软硬件技术、社会价值和商业模式的发展成熟而瓜熟蒂落。

一、网络安全的游戏化机制

众所周知，游戏是现目前交互性、沉浸式较强的产品，网络安全技能培训和游戏的结合，是目前世界上较为潮流的实训仿真趋势和技术之一。该技术趋势在2017年出现在美国，主要由美国军方的采购需求所驱动。游戏具有在规则范围内的强力趣味性，能够引导现在的青少年基于游戏化的方法掌握网络安全实战技能。最古老的游戏要追溯到棋盘游戏。棋盘游戏的起源可以追溯到几千年前，当时围棋在中国被发明，并且被认为是迄今为止还能够连续发挥作用的最古老的棋盘游戏。随着时间的推移，各种游戏工具已被指挥官和工作人员用于支持军事演习。今天的建模与仿真(M&S)环境的前身是在19世纪初设计的。最开始，基于中国的棋盘游戏，由Baron von Reisswitz于1812年基于国际象棋创建了军棋，用于训练普鲁士军队。后来，他的儿子LT Georg H.R.J. von Reisswitz在1824年为军棋游戏制定了一套书面规则，使游戏和结果更加一致。在美国，基于军事化的网络战采购需求和成熟的游戏化军事演习理论，诞生了基于游戏化思维培训网络安全战士的理论体系，并为其取名专有的名称“Serious Games”。该术语用于识别为娱乐以外的目的而开发的游戏和游戏环境。和军事演习不同，“Serious Games” 主要焦点是支持教育和培训。基于这样的趋势，目前很多公司的产品在网络安全培训上结合了游戏化的机制。现在的最新趋势认为，游戏化的网络安全培训是最完美的技能培训方法。身临其境的游戏化和模拟提供了一种有吸引力的娱乐方式！游戏化和模拟使学生处于有趣，引人入胜的故事情节和环境中，他们参与叙事（通常与其他学生竞争）、练习技能和执行工具，其操作和现实生活中一样。通过游戏化与沉浸式仿真模拟环境相结合，学员是游戏的一部分，他们的操作具有直接的反馈和结果，因此更能够引导学员深度参与其中。这不仅可以提高知识保留率，而且学员还可以在学习中享受这个游戏的过程！目前在美国，“Serious Games”年销售额为15亿美元。

二、网络安全的人工智能辅助

人工智能（AI）和机器学习（ML）的出现也起到了弥补知识和能力差距的作用。使用AI和ML可以帮助人类处理大量信息，以指导用户做出最佳决策。目前全球大量的网络安全公司正在研发基于人工智能（AI）和机器学习（ML）的产品，目前比较常用的领域是基于Endpoint Detection andResponse（EDR）的产品，比如FireEye、Carbon Black、Guideance、Cybeeason、Symantec、RSA、Webroot，McAfee、Sophos和VIPRE等公司的产品，这些产品使用端点和网络监视数据，并使用机器学习（ML）的处理引擎来提供分析、检测、调查、告警和生成报告。

将人工智能（AI）和机器学习（ML）和网络培训靶场相结合时，人工智能（AI）和机器学习（ML）工具提供的智能学习信息将用于帮助网络培训靶场内的用户在仿真过程中做出决策或指导其训练操作。也就是我们上述提到的通过人工智能（AI）和机器学习（ML）实现部分的白队成员的导调功能自动化、智能化。现阶段当然不能够完全替代，但是辅助白队成员完全是可能的。比如重复的训练就完全不需要白队人员再次进行监督导调，利用人工智能（AI）和机器学习（ML）助手完全可以实现监督导调功能。此外，人工智能的另外一大应用就是聊天机器人，在网络安全训练中引入AI聊天机器人，可用于在模拟过程中指导用户如何处理事件或提供有关如何实现所选事件的更多信息。AI聊天机器人做得足够好，可以部分的替换掉靶场训练教练的角色。目前调研的结果来看，几乎所有的公司具使用其作为辅助助手，尚未完全取代掉人的角色和地位。时机成熟，我们可以期待！

三、通过AI和游戏进行网络安全培训的例子

1、Circadence ProjectAres®战神项目

Project Ares®战神项目是由美国Circadence公司开发的一款网络安全培训平台，该平台结合云计算提供仿真的真实网络环境，集成网络进攻/防御工具，大量实际环境仿真的任务场景库以及人工智能组件，人工智能组件为学员提供按需支持和反馈信息互动，并通过自动评分和动态跟踪，大大减少教师的工作量。Ares项目采用模块化架构，使平台能够快速，轻松地添加新的任务，以应对快速变化的威胁、战术和工具。Project Ares®战神项目中有一个依赖AI技术的游戏中顾问，用于提供训练的指导和训练进度的跟踪和评价。此外。ProjectAres®战神项目的游戏化机制旨在增加用户练习任务的兴趣。

图4 Project Ares®战神项目

美国Circadence公司是一家网络安全公司，该公司成立于1995年，主要工作内容是提供在线游戏内容制作，主要产品是VR-1，最初为包括美国在线游戏频道和德国电信在内的客户制作并发布了在线视频游戏。该公司是最早开始大规模开发多人游戏的公司之一，并于1996年至1997年间发布了包括Air Attack和SARAC在内的游戏，并首次进入美国全国市场。2000年，公司更名为Circadence，专注于可加速应用程序性能的软件。Circadence于2001年2月将VR-1娱乐部门出售给了盈科数码日本公司。

2005年，Circadence在密西西比州的图珀洛开了第二间办公室。2005年到2008年间，公司的收入增长了四倍，在此期间，Circadence开发了名为CircadenceMVO™的应用优化技术。从一线分支机构到企业数据中心，MVO评估、批准和实施用于应用加速领域，以支持美国国防部，美国联合部队司令部，美国国土安全部，美国陆军，美国海军和美国海军研究实验室。其他客户还包括美国政府，州和地方执法部门，急救人员，卫星传输用户，远程办公企业，农村和城市卫生机构以及需要确保运营连续性的研究机构。

2010年，由于威胁和入侵模式的复杂性日益高涨，加上政府重视并投资扩大国家网络安全机构，Circadence的业务发展将重点转移到下一代网络安全解决方案—网络靶场（Cyber Range）。该公司开始开发其网络靶场（Cyber Ranges）产品，为网络测试和评估社区构建、管理和维护提供工具和平台。

在2016年，Circadence推出项目战神®下一代的网络安全培训平台，利用该公司的软件和大型多玩家游戏的发展历史，以及其应用优化的深刻理解。Ares项目为政府，军事，商业和关键基础设施的网络安全团队提供了一个完全身临其境，由AI支持的专有网络安全培训平台。

2、Derezzed Inc ThreatGEN™Redvs.Blue

Derezzed Inc.的游戏化安全培训平台全称为ThreatGEN™Redvs.Blue，是业界第一款多玩家策略计算机游戏，玩家可以相互竞争，控制/维持对计算机网络的控制。这不是像消费者游戏市场那样的基于虚构的游戏应用。这是一个基于模拟仿真现场工控环境，玩家与玩家“游戏化”的训练模拟器，旨在教授身临其境的互动应用学习环境中的网络安全技能。在该网络安全游戏中，具有很多传统游戏的功能，比如单人对阵计算机AI（红队或蓝队），1对1互联网和本地热门排行的多人游戏挑战、跨平台的多人组队游戏、初学者教程等等。ThreatGEN：Red vs. Blue是一款回合制战略游戏，与流行的棋盘游戏非常相似。“游戏板”不是世界地图，而是由计算机网络组成，玩家争夺控制权。玩家使用类似于交易卡游戏的“动作卡”来选择和提交动作，该计算机网络不是虚拟的计算机终端，而是基于真实服务器硬件仿真模拟的虚拟机和3D建模渲染的物理反馈。该计算机游戏完全继承了传统游戏的游戏化设计并结合到网络安全技能培训内容中。

Derezzed Inc.（dbaThreatGEN）是一家美国小企业，位于休斯顿德克萨斯州，目前专注于新兴技术应用领域，从事网络安全（工控安全）培训、工控安全服务咨询及工控安全威胁监控的解决方案。在网络安全（工控安全）培训服务中，该公司使用先进的计算机游戏引擎构建了网络安全（工控安全）培训平台，使得该平台基于游戏化的规则结合开发的系列工控安全培训课程TGICS101、TGICS201和TGICS301进行工控安全培训。该公司创立时间比较久远，公司的产品和技术方向也跟随这最新技术的发展而不断变化。相对于工控安全领域，该公司是新人，在技术创新上，采用目前最流行的网络安全游戏化和人工智能化培训模式构建网络安全（工控安全）培训课程及体系。

图5 ThreatGEN™Redvs. Blue

3、Cyberbit Range

在2019年下旬，Cyberbit Range做了最新的版本更新，主要改进的新功能主要包括两点：

1、人工智能：引入AI虚拟教练功能，旨在补充人类教练的不足

2、游戏化机制：添加游戏化培训模式并添加新的培训内容，增加新的攻击场景

Cyberbit Range的新版本增加了两个主要的新功能。第一个是Virtual Instructor，一个AI驱动的虚拟教练，在整个事件响应过程中评估受训者的表现。在Cyberbit Range之前的3.5及更早版本上，针对受训者的表现评估是通过比较简单的特定几个维度的星级评价来实现的，这些评价通常情况下是由Cyberbit Range的教练来完成的。在CyberbitRange的教练控制台中，CyberbitRange能够通过虚拟桌面重影来实现对受训者的操作界面进行实时监控，通过人为的方式来对受训者的操作技能及熟练度进行打分评价。在引入虚拟教练后，虚拟教练根据学员完成任务，比如在检测、响应和修复威胁方面的进展，以及红队的完成进度，虚拟教练自动化进行数据采集和分析，并根据指标进行自动化评估评价。虚拟教练添加了一些自动化的操作过程反馈和自动化评价功能，并部分的解放了训练管理教练的控制管理压力。在Cyberbit来看，虚拟教练是人类教练的补充，是人类教练的人工智能助手。

另外一个新功能是：增加了网络安全游戏化机制及攻击场景。在网络安全游戏化方面，根据目前市面上最新的网络安全培训游戏化理念而改进或新增的功能，主要是通过游戏化的方式增加学习和训练网络安全技能的趣味性。

五、商业网络培训靶场技术成熟度分类

如果我将网络培训靶场进行技术成熟度分类，我倾向于将培训靶场分为三个阶段，分别是V1.0时代，2.0时代和3.0时代。

1、网络培训靶场V1.0时代

网络培训靶场V1.0时代的特征是实现了网络培训靶场中网络空间的仿真建模，并且能够自动化、快速、大规模的复制真实生产环境。这些仿真建模的对象包括网络、设备、流量、攻击、人员交互行为等实体。网络培训靶场V1.0时代我总结归纳来看，通常可以描述为四个关键元素的组成，它们经过扩展和量身定制以满足靶场的特定要求。

• 设施：承载通用数据中心服务（例如机架空间、电源和冷却设备）的物理站点。特定于靶场的其他设施可能包括操作员培训和训练空间。
• 资产：满足计算要求所必需的计算和网络设备（例如服务器、路由器和负载均衡器）的集合。特定于靶场的其他资产可能包括特定的目标系统，战术或任务系统以及相关的基础结构。
• 人员：核心数据中心服务运营商团队，例如系统管理员、工程师和管理人员。扩展靶场的团队可能包括测试设计工程师、分析和建模专家、作战领域专家以及红队模拟器等。
• 流程：保持数据中心运行的业务流程的集合，例如变更配置管理、安全性程序和策略以及客户管理。靶场特定的扩展过程包括靶场活动（例如流量生成）、仪器和隔离等。

通过物理及虚拟的元素将真实环境在网络空间中建模仿真并复现相似架构，基于此开发流程化的攻防演练、教育培训等特定应用系统对其进行运营和使用。能够具备这一能力的网络培训靶场可算是网络培训靶场V1.0时代的产品和技术。

2、网络培训靶场V2.0时代

网络培训靶场V2.0时代的特征是基于V1.0基础上，能够实现安全事件想定的智能化、靶场导调的流程化、任务评估与推演的自动化。即实现基于V1.0基础上“三化”。

安全事件想定的智能化需实现安全事件想定的智能化设定和建模。想定(Scenario)原意是脚本、剧本。在军事领域是指挥员将作战意图转化成的具体的作战实施计划和方案。想定作为作战计划和方案, 是为满足作战需要而出现的, 是对实际作战过程的预想, 是进行指挥作战不可缺少的一环。网络培训靶场的想定成为安全事件想定，网络空间靶场在建模靶标环境后，后续就需要根据需要进行安全事件的数字想定，也就是建立安全事件的想定模型。网络空间靶场本质上就是要仿真模拟安全事件，并安全事件进行一系列的操作。安全事件想定模型不但秉承了想定关于安全事件的所有内容, 而且为了服务于仿真, 安全事件想定模型包含了描述的设计安全事件运行的所有内容，比如邮件系统、点击触发的URL及用户点击行为、物理实体等都要被真正的可运行的仿真模型来建模执行。灵活多样的安全事件想定模型, 意味着靶场能够完成更多的仿真目标, 更具有逼真性; 安全事件想定模型的快速开发和智能化构建, 也意味着靶场系统设置或置备一场训练的速度和能力也就越是快速和便捷。

靶场导调的流程化主要通过导演和调理的手段对训练中的各环节进行控制，把预期的安全事件想定和训练中的临时事件作为导入情况，让受训人员判断或解决这些问题。完成训练管理、人员管理、导调干预、数据汇总等功能。此外，导调功能还必须流程化裁决功能，利用现代梳理分析手段，按照胜负裁判规则和成绩评定标准，对受训人员训练质量进行的评价和裁判。主要对“红、蓝”双方组织指挥与行动进行定量和定性分析。裁决方式以系统自动裁决为主、人工裁决为辅，内容包括对抗结果裁决和行动过程裁决。

任务评估与推演的自动化需实现针对网络侦查工具、攻击工具、防御设备以及支撑保障设备做出综合性效果、性能评估；对演练、对抗过程中战术、技术、过程做出评估，给出综合的分析结果及建议；对业务进行过的任务进行可视化过程推演和溯源分析。此外，根据训练要求或考核指标，对不同的训练科目、内容和对象，针对训练过程中反映出的组织和实施情况进行系统回顾和检讨讲评。通过效果评估，全面分析训练活动，准备掌握训练现状和整体训练能力水平，查找训练中的问题，分析出现的原因，制定针对性的改进措施。

3、网络培训靶场V3.0时代

网络培训靶场V3.0时代的特征是基于V2.0基础上，实现人工智能、机器学习及游戏化机制等在内的更高层次的自动化和趣味化。典型的是在网络培训靶场中使用人工智能技术代替人力进行导调、裁决、跟踪、评价等功能，并基于人工智能、机器学习推理等建立“无剧本”式的培训环境和安全事件。此外，还得在网络培训靶场运用游戏化的机制来提升培训人员的积极性，增加对网络培训的保留和兴趣，游戏化模块将为保持良好行为提供奖励和激励，鼓励与同龄人讨论汲取的教训，对他们尚未学习或与之斗争的知识负责，并通过人工智能技术的监督参与其进步状态跟踪和评判。

参考引用：

【综述】作战模拟训练系统研究