三維可視化安全態(tài)勢(shì)感知技術(shù)研究

賈美娟，孔 靚，邵國(guó)強(qiáng)

( 大慶師范學(xué)院 計(jì)算機(jī)科學(xué)與信息技術(shù)學(xué)院，黑龍江 大慶 163712)

0 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)中的攻擊等不安全因素越來越多，已經(jīng)嚴(yán)重威脅到網(wǎng)絡(luò)與信息的安全。計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)安全防護(hù)涉及的面非常廣，從技術(shù)層面上分，主要包括防火墻技術(shù)、入侵檢測(cè)系統(tǒng)和反病毒技術(shù)等方面，這些技術(shù)中有些是主動(dòng)防御，有些是被動(dòng)保護(hù)，有些則是為安全研究提供支撐和平臺(tái)。但這些技術(shù)都存在不同的缺點(diǎn)，使得網(wǎng)絡(luò)管理人員無法有效維護(hù)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，并對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為增強(qiáng)網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)

所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。態(tài)勢(shì)是一種狀態(tài)，一種趨勢(shì)，是一個(gè)整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來的發(fā)展趨勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)為有效保護(hù)網(wǎng)絡(luò)信息資產(chǎn)提供了一條嶄新的思路。

網(wǎng)絡(luò)態(tài)勢(shì)感知源于空中交通監(jiān)管(Air Traffic Control,ATC)態(tài)勢(shì)感知，是一個(gè)比較新的概念。1999年，Tim Bass首次提出網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness，CSA)[1]概念，并對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知與ATC態(tài)勢(shì)感知進(jìn)行了類比，將ATC態(tài)勢(shì)感知的成熟理論和技術(shù)借鑒到網(wǎng)絡(luò)態(tài)勢(shì)感知中去。隨后，在2000年，他又在文獻(xiàn)[2]中提出了利用入侵檢測(cè)系統(tǒng)的分布式多傳感器進(jìn)行數(shù)據(jù)融合的方法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，通過數(shù)據(jù)融合和數(shù)據(jù)挖掘的方法評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)的安全。采用該框架能夠?qū)崿F(xiàn)入侵行為檢測(cè)、入侵率計(jì)算、入侵者身份和入侵者行為識(shí)別、態(tài)勢(shì)評(píng)估以及威脅評(píng)估等功能。開展這項(xiàng)研究的個(gè)人還有Stephen G.Batell[3]、Jason Shifflet[4]和A.DeMontigny- Leboeuf[5]等。

2004年，美國(guó)勞倫斯伯克利國(guó)家實(shí)驗(yàn)室(Law rence Berkeley National Labs)的Stephen Lau設(shè)計(jì)了“The Spinning Cube of Potential Doom”[6]系統(tǒng)，這是一個(gè)三維網(wǎng)絡(luò)流量檢測(cè)工具，在笛卡兒坐標(biāo)系中，用X軸代表網(wǎng)絡(luò)地址，Y軸代表所有可能的源IP，Z軸代表端口號(hào)。以三維立體的方式顯示整個(gè)網(wǎng)絡(luò)空間的連接狀況，極大地提高了網(wǎng)絡(luò)態(tài)勢(shì)感知能力?？▋?nèi)及梅隆大學(xué)SEI(Software Engineering Institute)所領(lǐng)導(dǎo)的CERT/NetSA(The CERT Network Situational Awareness Group)開發(fā)出SILK[7](the System for Internet-Level Know ledge)，該系統(tǒng)采用集成化思想，即把現(xiàn)有的Netflow工具集成在一起，提供整個(gè)網(wǎng)絡(luò)的態(tài)勢(shì)感知，便于大規(guī)模網(wǎng)絡(luò)的安全分析。2005年，SIFT(Security Incident Fusion Tool)項(xiàng)目組研制了NVisionIP[8]和VisFlowConnect[9]兩種可視化工具，通過視圖方式反映網(wǎng)絡(luò)連接狀態(tài)和網(wǎng)絡(luò)流量。通過該項(xiàng)技術(shù)的深入研究，使網(wǎng)絡(luò)安全產(chǎn)品分析處理能力在多個(gè)指標(biāo)有較大幅度的提高。

2 可視化態(tài)勢(shì)感知技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)可視化是將可視化的技術(shù)與安全態(tài)勢(shì)的需求相結(jié)合的研究方向，是較新的研究領(lǐng)域，現(xiàn)今在國(guó)際國(guó)內(nèi)許多機(jī)構(gòu)和研究單位都對(duì)該方向開展了研究，并取得了一定的成果。

從計(jì)算機(jī)安全領(lǐng)域的角度來看，可視化技術(shù)最初被用來實(shí)現(xiàn)對(duì)系統(tǒng)日志或者IDS日志的顯示。T.Takata和H.Koike開發(fā)的Mielog[10]是一種可以實(shí)現(xiàn)日志可視化和統(tǒng)計(jì)分析的交互式系統(tǒng)，依據(jù)日志的分類統(tǒng)計(jì)結(jié)果，進(jìn)行相應(yīng)的可視化顯示。R.Danyliw的ACID(the Analsis Console for Intrusion Databases)系統(tǒng)[11]為分析Snort日志而設(shè)計(jì)的，使用了基于Web的接口，在HTML中以圖標(biāo)的形式表示報(bào)警信息。R.Erbacher基于Hummer IDS采集的日志實(shí)現(xiàn)了Erbacher’s Hummer IDS可視化系統(tǒng)[12]。

然而，基于日志數(shù)據(jù)的可視化顯示受到日志本身特性的限制，實(shí)時(shí)性不好，需要較長(zhǎng)時(shí)間才能上報(bào)給系統(tǒng)，無法滿足對(duì)實(shí)時(shí)性要求較高的網(wǎng)絡(luò)需求。據(jù)此提出了基于數(shù)據(jù)流的可視化方法，最有代表性的是Stephen Lau 開發(fā)的the spinning cube of potential doom工具[13]，該工具在實(shí)時(shí)性方面具有非常好的性能，同時(shí)為了能在三維空間中盡可能多的顯示網(wǎng)絡(luò)中實(shí)時(shí)存在的信息，首次采用了“點(diǎn)”數(shù)據(jù)表示連接的方法，在一定程度上消除了視覺障礙的影響，達(dá)到了比較好的顯示效果。

現(xiàn)有的網(wǎng)絡(luò)可視化軟件大都基于單一數(shù)據(jù)源或者面向單一應(yīng)用領(lǐng)域，存在使用范圍窄、可分析攻擊種類少，檢測(cè)效果不理想等顯著缺點(diǎn)。網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)的主要功能是為了實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)圖像的可視化呈現(xiàn)設(shè)計(jì)和實(shí)現(xiàn)，要從多角度、多視圖、多尺度的形式，清晰、直觀地顯示網(wǎng)絡(luò)安全態(tài)勢(shì)。隨著圖形圖像技術(shù)的發(fā)展，三維數(shù)據(jù)顯示的難度不斷降低，許多可視化軟件也開始轉(zhuǎn)向三維顯示技術(shù)的探索。三維圖像在顯示上更具有真實(shí)感，更符合人類的視覺習(xí)慣。

3 三維可視化網(wǎng)絡(luò)安全態(tài)勢(shì)

本文所研究的網(wǎng)絡(luò)安全態(tài)勢(shì)三維可視化技術(shù)指基于網(wǎng)絡(luò)傳播的分布式可視化系統(tǒng)，是一種將網(wǎng)絡(luò)數(shù)據(jù)依據(jù)其自身屬性，在三維空間中進(jìn)行顯示的方法。這種方法是對(duì)以往二維可視化研究的延續(xù)和擴(kuò)展。本文利用OpenGL平臺(tái)進(jìn)行軟件開發(fā)，采用三維坐標(biāo)獲取技術(shù)以獲取網(wǎng)絡(luò)數(shù)據(jù)。

3.1 三維坐標(biāo)獲取技術(shù)

如何求出屏幕任意一點(diǎn)的空間三維坐標(biāo)是空間分析的基礎(chǔ)，實(shí)現(xiàn)方法比較多。本文基于正解方法實(shí)現(xiàn)。將三維空間中的物體投影至二維計(jì)算機(jī)屏幕上，是通過透視投影變換矩陣或正射投影矩陣實(shí)現(xiàn)的。在三維顯示中，常使用透視投影矩陣投影關(guān)系。透視投影矩陣P的表達(dá)式如式1所示。

(1)

其中l(wèi)≠r,t≠b,n≠f。參數(shù)n表示攝像機(jī)可見的最小距離，參數(shù)f表示攝像機(jī)可見的最遠(yuǎn)距離。如果用t表示視圖屏幕高度，則b為相對(duì)于真實(shí)屏幕尺寸的比例。

3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)顯示

通過數(shù)據(jù)融合對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)量化產(chǎn)生的數(shù)值，通過顏色屬性顯示在視圖中。主要通過網(wǎng)絡(luò)安全態(tài)勢(shì)值、視圖背景顏色及數(shù)據(jù)點(diǎn)顏色這三個(gè)參數(shù)進(jìn)行設(shè)置。將網(wǎng)絡(luò)的安全態(tài)勢(shì)值以數(shù)字的形式顯示在視圖中，并依照網(wǎng)絡(luò)所處于的安全級(jí)別和制定的安全態(tài)勢(shì)顏色對(duì)照表進(jìn)行顯示，網(wǎng)絡(luò)態(tài)勢(shì)顏色對(duì)照表如表1所示。對(duì)于3級(jí)以上報(bào)警，進(jìn)行背景顏色的更換，以提醒使用者的注意。對(duì)于分析出的網(wǎng)絡(luò)威脅行為，根據(jù)其威脅等級(jí)以及威脅程度，相關(guān)的數(shù)據(jù)信息要依態(tài)勢(shì)顏色進(jìn)行顯示，表示數(shù)據(jù)與威脅信息之間的關(guān)聯(lián)性。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)顏色對(duì)照表

3.3 三維可視化軟件框架設(shè)計(jì)

根據(jù)軟件功能需求，網(wǎng)絡(luò)安全態(tài)勢(shì)三維可視化應(yīng)該至少具有視圖顯示、用戶交互以及數(shù)據(jù)過濾模塊?；诖?，設(shè)計(jì)的網(wǎng)絡(luò)安全態(tài)勢(shì)三維可視化軟件的框架模型如圖1所示。

圖1三維可視化軟件框架

從下至上，三維可視化軟件中包含模塊具有功能如下：

數(shù)據(jù)過濾模塊：實(shí)現(xiàn)對(duì)用戶制定規(guī)則的數(shù)據(jù)過濾，僅對(duì)過濾規(guī)則外的數(shù)據(jù)進(jìn)行顯示。數(shù)據(jù)過濾規(guī)則主要有基于源IP地址的過濾、基于目的IP地址的過濾、基于目的端口的過濾以及基于安全態(tài)勢(shì)級(jí)別數(shù)據(jù)的過濾。

圖形繪制模塊：對(duì)需要安全態(tài)勢(shì)數(shù)據(jù)，根據(jù)其屬性信息，依據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)，進(jìn)行相應(yīng)的顏色處理，并對(duì)數(shù)據(jù)的顯示時(shí)間等信息進(jìn)行初始化。

三維可視化模型模塊：搭建網(wǎng)絡(luò)安全態(tài)勢(shì)顯示的基本框架，為數(shù)據(jù)的顯示提供平臺(tái)。該模塊在程序運(yùn)行時(shí)始終存在，并可以同用戶進(jìn)行交互，實(shí)現(xiàn)對(duì)三給模型的交互操作。

視圖顯示模塊：將經(jīng)過圖形繪制的模塊經(jīng)過圖像處理后，顯示在三維可視化模型中。網(wǎng)絡(luò)中的數(shù)據(jù)經(jīng)過處理都顯示在視圖中，“點(diǎn)”聚集成相應(yīng)的形狀，從而顯示網(wǎng)絡(luò)的當(dāng)前態(tài)勢(shì)狀況。

人機(jī)界面與用戶交互模塊：用戶通過對(duì)視圖的觀察，將進(jìn)一步的觀測(cè)需求反饋給可視化系統(tǒng)。從用戶角度看，實(shí)現(xiàn)視圖“沉浸”和“瀏覽”。

3.4 三維可視化軟件實(shí)現(xiàn)

依據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)可視化框架，可視化模型為能夠自由旋轉(zhuǎn)的透明三維立方體。對(duì)數(shù)據(jù)進(jìn)行顯示之前，要實(shí)現(xiàn)三維立方體的建模。OpenGL通過glVertex3f()構(gòu)造正方體的頂面視圖。

對(duì)于其他幾個(gè)面，則依據(jù)圖中所示矩陣數(shù)據(jù)，依次用上述程序?qū)崿F(xiàn)即可。

圖2 正六面體構(gòu)造矩陣圖

視圖中數(shù)據(jù)顯示的時(shí)間長(zhǎng)短，主要取決于兩個(gè)因素，即數(shù)據(jù)流持續(xù)時(shí)間的長(zhǎng)短及數(shù)據(jù)流所包含數(shù)據(jù)的威脅等級(jí)。數(shù)據(jù)流持續(xù)時(shí)間是數(shù)據(jù)流實(shí)際存在的時(shí)間，在正常顯示范圍內(nèi)，數(shù)據(jù)的屬性不變化。根據(jù)威脅等級(jí)對(duì)數(shù)據(jù)的持續(xù)顯示是數(shù)據(jù)的額外生存時(shí)間，此時(shí)數(shù)據(jù)已經(jīng)不存在。為了分析便利，人為地將數(shù)據(jù)的影響時(shí)間延長(zhǎng)，便于構(gòu)成有一定時(shí)間跨度的的安全態(tài)勢(shì)圖。在數(shù)據(jù)顯示時(shí)，根據(jù)數(shù)據(jù)已經(jīng)產(chǎn)生的時(shí)間長(zhǎng)短，逐漸將其數(shù)據(jù)點(diǎn)的對(duì)此度變暗，直至消失。

點(diǎn)的對(duì)比度和顏色主要依據(jù)式2進(jìn)行處理。即當(dāng)點(diǎn)的延長(zhǎng)顯示時(shí)間已經(jīng)大于其生存時(shí)間的一半時(shí)，要對(duì)數(shù)據(jù)的對(duì)比度和顏色進(jìn)行灰度處理，按照增長(zhǎng)顯示的時(shí)間進(jìn)行不斷降低，直至該數(shù)據(jù)點(diǎn)已經(jīng)無法用肉眼觀測(cè)到為止。

(2)

OpenGL提供的視點(diǎn)變換、模型變換、投影變換、裁減變換、視口變換等功能可以很好地實(shí)現(xiàn)動(dòng)態(tài)視圖。OpenGL的大部分變換都是通過矩陣操作來實(shí)現(xiàn)的。

4 結(jié)語

本文主要介紹三維可視化技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的應(yīng)用，根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知要求，提出了網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)。一方面提出基于三維的網(wǎng)絡(luò)安全態(tài)勢(shì)可視化框架，目的是最終實(shí)現(xiàn)多視圖、多角度、多尺度的可視化視圖，為網(wǎng)絡(luò)安全的決策提供支持。另一方面開展網(wǎng)絡(luò)安全態(tài)勢(shì)三維可視化視圖軟件的設(shè)計(jì)與研究，以O(shè)penGl作為軟件開發(fā)平臺(tái)，從多個(gè)數(shù)據(jù)源進(jìn)行多角度的分析數(shù)據(jù)，從而進(jìn)行軟件的開發(fā)，并對(duì)軟件進(jìn)行測(cè)試、模擬，實(shí)驗(yàn)結(jié)果表明，三維可視化系統(tǒng)對(duì)多源網(wǎng)絡(luò)攻擊有比較明顯的可視化效果，能夠顯示網(wǎng)絡(luò)的安全態(tài)勢(shì)。

[參考文獻(xiàn)]

[1] Bass T,Gruber D.A glimpse into t he f ut ure of id[EB/OL].http://www.usenix.org/p ublications/login-/1999-9/features/future.html.

[2] Bass T.Intrusion Detection Systems and Multisensor Data Fusion:Creating Cyberspace Sit- uational Awareness[J].Communications of t he ACM,2000,43(4):99-105.

[3] Batsell S G,Rao N S,Shankar M.Distributed Int rusion Detection and Attack Containment for Organizational Cyber Security[EB/OL].http:// www.ioc.ornl.gov/p rojects/documents/containment.pdf,2005.

[4] Shifflet J.A Technique Independent Fusion Model For Net work Intrusion Detection[C].Proceed-ings of the Midstates Conference on Undergraduate Research in Computer Science and Mat hematics,2005,3(1):13-19.

[5] DeMontigny-Leboeuf A,Massicotte F.Passive network discovery for real time situation awareness[C].NA TO/R TO Adaptive Defence in Unclassified Net works,Toulouse,France,April 2004.

[6] Lau S.The spinning cube of potential doom[J].Communications of the ACM,2004,47(6):25-26.

[7] Carnegie Mellon’s SEI.System for Internet Level Knowledge (SILK)[EB/OL].http://silktools.source forge.net,2005.

[8] Lakkaraju K，Yurcik W，Lee A J.NVisionIP:NetFlow visualizations of system state for Security situational awareness[C].In:P-rocee-dings of the2004 ACM Workshop onVisualization and Data Mining for Computer Security，Washington，DC，2004:65-72.

[9] Yin Xiaoxin，Yurcik William，Treaster Michael. VisFlowConnect:NetFlow visualizations of link relationships for security situational awareness[C].In:proceedings of the2004 ACM Workshop on Visualization and Data Mining for Computer Security，Washington.DC，2004:26-34.

[10] 張文修.粗糙集理論與方法[M].西安：西安交通大學(xué)出版社，2001.

[11] 埃維森，吳喜之.統(tǒng)計(jì)學(xué)：基本概念和方法[M]. 北京：高等教育出版社，2000.

[12] 李輝，鄭慶華，管曉宏,等. 基于多假設(shè)跟蹤的入侵場(chǎng)景構(gòu)建研究[J].通信學(xué)報(bào)，2005，26(4)：70-79.

[13] Hanemann A, Schmitz D, Sailer M. A Framework for Failure Impact Analysis and Recovery with Respect to Service Level Agreements[C]//Proc. of IEEE International Conference on Services Computing. Piscataway, USA: IEEE Press, 2005.