摘要：随着网络攻防演练与安全评估需求的不断增加，网络靶场（Cyber Range）已发展成为模拟真实网络环境、验证防御策略和培训安全人才的重要平台。在构建高保真、可控及多样化的网络流量场景时，需要依托真实的业务流量数据与攻击样本来实现。这些真实数据样本的获取不仅受限

文 | 华北电力大学能源电力大数据研究院院长 李建彬；华北电力大学能源电力大数据研究院 杨顺博 李智勇

随着网络攻防演练与安全评估需求的不断增加，网络靶场（Cyber Range）已发展成为模拟真实网络环境、验证防御策略和培训安全人才的重要平台。在构建高保真、可控及多样化的网络流量场景时，需要依托真实的业务流量数据与攻击样本来实现。这些真实数据样本的获取不仅受限于隐私保护法规的合规要求，还将面临标注成本高昂、样本稀缺及分布失衡等诸多挑战。

在此背景下，如何在确保数据真实性和多样性的同时，破解真实流量与攻击样本不足的难题，已成为网络靶场建设亟待突破的“瓶颈”。数据合成技术以其保护敏感信息、支持大规模自动化生成及精确控制分布特征的优势，为填补网络靶场的数据缺口提供了切实可行的解决方案。通过多样化的技术手段生成合成数据，不仅能够补充稀缺的攻击样本和多协议流量，还可以根据场景需求动态调整流量分布与复杂度，从而显著提升网络靶场在训练、评估和演练中的适用性与可信度。

本文所指的“数据合成技术”涵盖深度生成模型（如对抗生成网络（GAN）、变分自编码器（VAE）、扩散模型等）、规则/仿真驱动、语义驱动与数据增强/回放以及流量仿真等多种路径。尽管不同技术在保真度、可控性、实施成本与可解释性等方面存在差异，但在网络靶场的训练评测、演练教学、方案验证、压力测试、环境编排及合规治理等应用具有共性需求。

一、网络靶场中数据应用的需求及数据合成技术

网络靶场对数据有着海量、多样化且高质量的迫切需求，数据合成技术生成的数据能有效缓解网络靶场数据匮乏的问题，为网络靶场的演练和评估提供可靠支撑。

（一）网络靶场中数据应用的需求

网络靶场是用于模拟和演练网络攻防的专门环境，它通过虚拟化和仿真技术搭建接近真实的网络架构与攻防场景，为安全团队提供训练和测试的平台。典型的网络靶场需要大量多样的数据支撑,包括网络流量、设备日志以及各种攻击事件样本,以重现现实中的网络环境和外部威胁。但在实际场景中获取高质量、真实的网络数据却面临较多问题：一方面，真实流量往往包含用户隐私信息，受到法律法规和合规要求的制约，难以公开共享；另一方面，新型攻击样本极度稀缺，出现频率低且难以及时捕获，因此导致真实数据集存在样本不足、不完整或分布失衡等问题，这不仅增加了标注和维护成本，还可能使演练结果偏离预期。

（二）数据合成技术

针对上述挑战，数据合成技术应运而生，通过深度学习、流量仿真引擎或规则驱动的方法，人工构建具有真实数据统计特征的虚拟流量和攻击样本。合成数据无需暴露真实的用户信息，可根据场景需求灵活控制流量分布、攻击类型和时序模式，从而有效缓解数据匮乏，丰富样本类别，并为网络靶场的训练、评估和演练提供可靠的支持。数据合成技术主要包括以下五种实现方法。

一是基于深度学习的方法。生成对抗网络（GAN）是一类基于深度学习的数据合成技术，由对抗训练的生成器和判别器组成，可自动学习真实数据分布并生成以假乱真的样本。通过训练GAN模型，学习真实网络流量或攻击行为的特征分布，可用于生成大量模拟的正常流量和恶意流量数据，为网络靶场提供更丰富的训练样本。该方法也存在明显短板，对新型未知威胁的预测能力较弱，容易出现模型固化或过度拟合现象，且存在训练成本高昂、运行结果难以解释等问题，需要结合额外的语义规则或约束条件来辅助优化。

二是规则驱动的数据生成方法。规则驱动方法通过预先定义的规则、脚本或统计模型来进行数据合成。此类方法利用安全专家的知识或协议规范，对网络行为进行程式化建模，然后生成符合规则的数据。在网络靶场中，可以通过规则和仿真器生成各种协议流量和攻击序列，用于构建特定演练场景。该技术能够精准调控网络通信规则及时间顺序，可以完整复现标准攻击流程并与系统进行交互验证，还可以稳定生成长时间序列数据，供压力测试和对比实验使用。不过该方法也面临一些挑战，包括模型构建和维护成本较高、难以捕捉非预设模板的异常行为以及数据多样性有限等。

三是数据增强技术。数据增强侧重于对现有的真实数据进行变换和扩展，以生成额外的训练样本。通过对现有数据进行变形、扰动、切片、重组等操作实现快速扩容，用于回归测试及故障场景复现，保障测试基准的一致性。数据增强技术在网络靶场中可用于放大已有数据集规模、增加数据多样性。这种方法实现简单、计算开销低，能有效地弥补真实数据数量不足的问题。该技术应用仍面临诸多挑战，包括容易延续原始数据的固有偏差、难以有效拓展至新出现的模式类型、需要严格控制扰动强度等。

四是基于语义的合成方法。基于语义的合成强调利用高层语义描述或模型来生成数据，其核心思路是先定义网络行为或攻击场景的语义模型，例如网络杀伤链、网络拓扑场景、用户行为模式等，再由此自动生成符合该语义的底层数据表现形式。可以利用攻击场景描述语言、知识图谱或模板，合成对应的日志记录、告警事件和网络流量。语义合成方法能够保证生成的数据在情节上一致且具有可解释性，有助于构建具备特定教学或测试目的的网络靶场剧本库。该技术主要用于对攻击战术（TTP）进行分阶段结构化处理，确保攻击剧本的逻辑一致性且便于解读，同时支持通过参数设置来模拟人员、设备及环境的不同组合场景。该方法仍面临两大挑战：一是语义建模过程复杂且维护难度大；二是现有模板的外推能力有限，需结合生成式模型来增强场景多样性。

五是流量模式仿真。流量模式仿真是通过专门的网络流量生成器、仿真平台或仿真算法来再现现实网络中的数据流特征。这类技术往往基于对真实网络流量的统计分析，生成在时序、分布上与真实情况相似的背景流量，并可叠加异常模式。工具层面包括网络仿真软件、流量回放系统，以及基于流量统计特征的随机生成算法等。在网络靶场中，流量仿真可用于批量产生正常用户流量以填充背景环境，或模拟大规模的攻击流量（如DDoS洪流）以测试防御能力。通过流量模式仿真，可以为靶场提供高保真度的基础数据流，使演练环境更贴近真实网络环境。该技术主要用于生成可精准控制的长时间背景流量及瞬时流量高峰，适配多种网络架构与业务场景，能有效支撑系统容量规划及服务等级协议（SLA）验证等需求。但其应用仍存在局限性：一是对微观交互行为的仿真细致程度不足，与真实场景的关联性较弱；二是需通过与实际流量回放进行动态校准，才能确保模拟数据的可信度。

二、合成数据在网络靶场中的作用

合成数据在网络靶场中发挥了至关重要的作用，解决网络靶场对有限真实数据的依赖问题，复现复杂的攻击链，动态重构网络拓扑与设备行为，有效提升网络靶场的训练效率，为大规模测试评估提供了丰富的数据资源，使网络靶场能够安全地复用真实场景。

（一）增强网络流量模拟的真实性与多样性

合成数据通过生成多样化的网络流量，突破了传统网络靶场依赖有限真实数据的“瓶颈”。例如，Keysight的合成流量生成器能够模拟HTTP、DNS、VoIP等多种协议的混合流量，并注入延迟、丢包等网络异常。在工业控制系统（ICS）仿真中，研究人员通过数据驱动的仿真框架生成包含正常操作与攻击行为的SCADA流量，其生成的合成数据在时间序列特征和统计分布上与真实数据高度吻合。这种能力使靶场能够复现电力、交通等关键基础设施的复杂网络环境。

（二）扩展攻击场景的生成与动态演化能力

合成数据使靶场能够按需生成新型攻击场景，覆盖传统方法难以复现的复杂攻击链。例如，KiNETGAN框架利用知识注入的GAN，结合APT攻击的战术、技术与程序（TTPs）生成多阶段攻击流量，有效模拟了针对物联网（IoT）系统的隐蔽渗透过程。在NetFlow分析中，研究人员通过SSH暴力破解工具和DoS/DDoS攻击生成器，创建包含良性与恶意流量的混合数据集，支持机器学习模型学习攻击模式。这种能力使靶场能够动态更新攻击库，例如，模拟针对工业协议（如Modbus）的新型漏洞利用场景，为防御方提供实战化演练环境。

（三）支持动态网络环境的实时调整与扩展

合成数据允许靶场动态重构网络拓扑与设备行为，模拟真实环境的变化。例如，通过分层节点构建大规模复杂拓扑，支持多人协同编辑网络结构，并通过合成数据动态注入设备故障、配置变更等事件，提升场景渲染效率与硬件兼容性。在联邦学习场景中，合成数据可模拟多参与方的数据分布差异，支持跨域安全策略的协同测试。这种动态性使靶场能够复现云边协同、5G切片等新型网络架构的安全挑战，可模拟边缘节点被攻陷后的横向渗透路径。

（四）优化威胁检测模型的训练与评估

合成数据通过提供标注完整、场景可控的数据集，显著提高入侵检测系统的训练效率。例如，CTGAN模型在物联网环境中生成包含多种攻击类型的合成数据集，其训练的决策树模型准确率高达99%，且训练时间仅需0.05秒，适用于资源受限的IoT设备。在分布式检测场景中，KiNETGAN生成的合成数据在保护隐私的同时，使IDS模型的检测准确率损失控制在极小范围，平衡了数据效用与隐私需求。此外，合成数据可针对性地构造罕见攻击样本，解决真实数据中类别不平衡问题，例如，通过过采样增强对APT攻击的识别能力。

（五）支撑大规模分布式测试与性能评估

合成数据通过分布式生成技术，解决了传统网络靶场在大规模测试中的数据问题。例如，鹏城网络靶场通过联邦架构（93个分靶场）和合成数据技术，实现了能源、金融等多行业的分布式测试，支持全局协同与分靶场自治。在压力测试中，Keysight的Eggplant Performance工具通过模拟数百万虚拟用户（VUs）的并发访问，评估系统在高负载下的稳定性，其合成数据生成速率可达每秒数十万数据包。这种能力使靶场能够验证SDWAN、云原生应用等大规模系统的弹性，例如模拟DDoS攻击下的流量清洗机制。

（六）强化隐私保护与合规性测试

合成数据通过去除敏感信息，使网络靶场能够安全地复用真实场景。合成数据可避免医疗、金融等领域的隐私泄露风险，其生成的数据在统计特性上与原始数据一致，但不含任何个人身份信息（PII）。在合规性测试中，合成数据可模拟GDPR、CCPA等法规要求的匿名化数据，支持数据跨境传输与第三方共享的安全验证。此外，合成数据可用于模拟数据泄露场景，评估加密算法与访问控制策略的有效性，通过合成信用卡交易数据测试支付系统的安全漏洞。合成数据通过多维度的技术创新，使网络靶场从静态模拟向动态、智能、安全的试验平台演进。

三、合成数据在网络靶场应用中面临的挑战及对策建议

合成数据为网络靶场仿真环境、训练演练、测试评估提供了丰富的数据资源，但在数据真实性与保真度、数据评估标准、数据生成模型泛化能力、隐私保护与伦理合规、场景适配性与灵活性、计算成本和资源消耗、技术合成和工具标准化及可信性与可解释性等方面依然面临诸多挑战。为应对这些挑战，可从技术、监管和协作等层面分别提出针对性策略。

（一）真实性与保真度

在网络靶场中，合成数据的真实性与保真度面临严峻挑战。首先，生成的数据需准确反映真实网络环境中的流量模式与攻击行为，包括时序分布、流量突发特征和行为特征等，否则一旦合成数据过于简单或缺乏关键特征，就会导致训练或测试缺乏现实意义，无法有效提升防御能力。其次，高级攻击（如APT攻击或0day漏洞利用）的行为特征极其复杂且多变，现有的合成方法难以精确仿真这些高级威胁场景，一旦仿真偏离真实攻击过程，就会使靶场环境与现实脱节，影响红蓝对抗演练的质量和效果。

在网络靶场中要保持合成数据的真实性与保真度，一是需将网络攻击的真实数据与合成数据相结合，通过统计模型捕捉真实数据分布特征，生成与真实数据高度相似的合成数据；二是计算合成数据与真实数据的相似度，衡量合成数据与真实数据的区分难度，评估真实数据在合成数据中的分布情况；三是检测合成样本间的差异程度，同时对不同场景生成的数据进行交叉比对。

（二）数据评估标准

目前尚缺乏统一且客观的评估标准来衡量合成数据的质量与有效性。在实际场景中主要依赖专家经验进行主观判断，很难从统计学、机器学习和网络行为等多个维度，对合成数据进行全面且量化的评估。没有统一的评价框架，就难以比较不同合成方法之间的优劣，也难以保证生成数据在不同靶场或防御系统中具备可迁移性和通用性。

建立网络靶场合成数据质量与有效性评估的标准和方法，一是需要构建面向网络靶场合成数据质量与有效性的评估框架，框架应包括评估依据、评估场景、评估指标、评估方法等方面；二是给出合成数据质量与有效性评估场景，针对不同的靶场或防御系统，设定规范化的场景模型；三是提出合成数据质量与有效性的评估指标，包括真实性指标、多样性指标、代表性指标以及实用性指标等；四是提出合成数据质量与有效性的评估方法，包括数据分布差异度量、结构相似性评估、数据匿名度测试以及异常数据检测等方法。

（三）数据生成模型泛化能力

数据生成模型的泛化能力不足，也是制约网络靶场应用的关键因素。以GAN为代表的深度学习生成模型，往往在面对未知或新型攻击时表现较差，一旦训练数据中没有覆盖某种新威胁，生成模型就难以模拟出相应的攻击特征。此外，这些模型还容易对训练数据产生过度拟合，使得生成的数据缺乏多样性和有效变化，久而久之会削弱训练或测试过程中对新威胁的识别能力。

在网络靶场应用中，提高数据生成模型的泛化能力涉及多项技术的协同，主要包括使用多样化的数据集、采用数据增强技术、应用正则化方法、特征选择与提取方法、集成学习方法、使用交叉验证方法以及采用预训练模型等。通过上述技术方法，可有效限制模型的复杂度从而防止过拟合；也可以有效提升模型的泛化能力，使其对未知数据做出准确的预测。

（四）隐私保护与伦理合规

合成数据在隐私保护与伦理合规方面也存在风险。虽然合成数据本身通常不包含直接可识别的敏感信息，但通过间接特征推断，可能会暴露用户的隐私或行为轨迹。如果没有完善的规范和合规机制，就难以确保合成数据不会违反GDPR、《网络安全法》等相关法律法规，也无法让靶场使用方对数据来源和使用方式产生足够的信任。

在网络靶场合成数据隐私保护与伦理合规方面，要明确合成数据的法律地位和责任边界，建立完善的合成数据管理制度和管理流程，合成数据生成需要遵循严格的技术规范、进行全面的质量评估，并根据数据敏感度和重识别风险等级，实施不同程度的保护。

（五）场景适配性与灵活性

当前的数据生成方法在场景适配性与灵活性方面表现不佳。例如，基于规则或模板化的生成技术过度依赖预设规则，无法根据网络环境的动态变化或新出现的威胁自适应地调整生成策略。这导致在不同规模、不同拓扑结构或不同复杂度的靶场中，合成数据无法被一键迁移或复用，需要耗费大量成本进行二次调试和优化。

为解决合成数据的生成方法在不同网络靶场的适配性和灵活性问题，一是要建立跨领域多任务合成数据集作为训练数据，确保数据集的多样性和覆盖度，以充分捕捉不同任务之间的联系；二是在合成数据集上同时学习多个相关任务，确保建立的模型能够共享和利用不同任务之间的相似性和共同特征；三是通过在合成数据训练模型，得到具有良好泛化能力的特征表示。

（六）计算成本和资源消耗

数据合成技术往往对计算资源和时间成本要求极高。采用深度学习模型（如大规模GAN）生成高质量的大规模数据，不仅需要大量GPU/TPU计算资源，还需要长时间训练过程；这对于资源本就有限的靶场部署来说是一大挑战，难以满足长期、持续高强度的数据更新与演练需求。

合成数据在数据集生成的过程中将消耗大量的计算资源和时间成本，为解决上述问题提出以下的对策建议：一是对合成数据的输入进行优化，精简输入数据结构，减少冗余信息处理量；二是采用增量计算和并行处理的方式，仅更新变化部分而非全量重算；三是同时利用多核处理器并行分解任务，提高生成效率；四是优化算法和模型，采用轻量化神经网络或机器学习模型，降低算法复杂度；五是合理分配存储与计算资源，优先分配显存容量大的GPU设备给合成数据预处理任务等。

（七）技术合成和工具标准化

目前市场上数据合成技术与工具种类繁多，却缺乏统一的工具链和标准化接口，导致实际部署中技术与平台往往“碎片化”。不同工具之间存在兼容性问题，难以无缝协作，增加了合成成本与运维难度，也制约了合成技术在更大规模场景中的复制与应用推广。

为解决数据合成技术与工具标准化的问题，要建立完善的数据合成技术使用规范和数据合成工具应用规范，包括数据来源规范性、数据标注规范性、数据合成算法规范性、数据质量评估规范性、数据隐私保护规范性、数据接口规范性以及数据使用共享合规性等方面的标准和制度。

（八）可信性与可解释性

数据生成模型的可信性与可解释性不足。深度学习类合成技术本质上是黑盒模型，生成过程缺乏透明度，使用者很难清晰地理解数据到底是如何被“创造”出来的。这不仅会影响安全训练和评估结果的可信度，也会使网络靶场用户对靶场输出数据的合理性与准确性产生怀疑，降低了整个体系在实际应用中的信任度。

针对数据生成模型存在可信性与可解释性不足的问题，可采取以下对策建议：一是可利用解释性AI技术来揭示模型的内部运作机制，简化模型以增强其可解释性；二是在部署数据生成模型时，详细解释模型的设计思路、数据来源及潜在风险；三是提高数据生成模型的可解释性，采用更加直观和易于理解的模型，以及提供更多的解释性工具和技术；四是提高数据生成模型的可靠性，提供更加准确和稳定的数据生成模型，提高模型在不同场景中的泛化能力。

四、结 语

合成数据作为网络靶场真实数据的有益补充，能够有效缓解真实数据匮乏和隐私受限的问题，在提升靶场模拟真实感和覆盖面方面具有独特价值。通过对当前主要的数据合成技术及其应用的描述，可以看到合成数据在网络靶场中发挥的重要作用，但也需要正视其面临的挑战。

展望未来，随着数据合成技术的发展和规范的完善，合成数据将在网络安全演训中得到更广泛和深入地应用，为构建更完善的网络靶场生态体系提供支撑。通过真实数据与合成数据的有机结合，网络靶场将更全面地模拟复杂多变的网络攻防态势，助力网络安全能力的持续提升。

来源：中国信息安全