三維可視化安全態勢感知技術研究

賈美娟，孔 靚，邵國強

( 大慶師范學院 計算機科學與信息技術學院，黑龍江 大慶 163712)

0 引言

隨著互聯網的飛速發展，網絡安全成為一個潛在的巨大問題。網絡中的攻擊等不安全因素越來越多，已經嚴重威脅到網絡與信息的安全。計算機網絡與信息安全技術的核心問題是對計算機和網絡系統進行有效的防護。網絡安全防護涉及的面非常廣，從技術層面上分，主要包括防火墻技術、入侵檢測系統和反病毒技術等方面，這些技術中有些是主動防御，有些是被動保護，有些則是為安全研究提供支撐和平臺。但這些技術都存在不同的缺點，使得網絡管理人員無法有效維護網絡的安全性。網絡安全態勢感知技術能夠從整體上動態反映網絡安全狀況，并對安全狀況的發展趨勢進行預測和預警，為增強網絡安全性提供可靠的參照依據。

1 網絡安全態勢感知技術

所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。態勢是一種狀態，一種趨勢，是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。網絡安全態勢感知技術為有效保護網絡信息資產提供了一條嶄新的思路。

網絡態勢感知源于空中交通監管(Air Traffic Control,ATC)態勢感知，是一個比較新的概念。1999年，Tim Bass首次提出網絡態勢感知(Cyberspace Situation Awareness，CSA)[1]概念，并對網絡態勢感知與ATC態勢感知進行了類比，將ATC態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。隨后，在2000年，他又在文獻[2]中提出了利用入侵檢測系統的分布式多傳感器進行數據融合的方法對計算機網絡安全態勢進行評估，通過數據融合和數據挖掘的方法評估計算機網絡的安全。采用該框架能夠實現入侵行為檢測、入侵率計算、入侵者身份和入侵者行為識別、態勢評估以及威脅評估等功能。開展這項研究的個人還有Stephen G.Batell[3]、Jason Shifflet[4]和A.DeMontigny- Leboeuf[5]等。

2004年，美國勞倫斯伯克利國家實驗室(Law rence Berkeley National Labs)的Stephen Lau設計了“The Spinning Cube of Potential Doom”[6]系統，這是一個三維網絡流量檢測工具，在笛卡兒坐標系中，用X軸代表網絡地址，Y軸代表所有可能的源IP，Z軸代表端口號。以三維立體的方式顯示整個網絡空間的連接狀況，極大地提高了網絡態勢感知能力。卡內及梅隆大學SEI(Software Engineering Institute)所領導的CERT/NetSA(The CERT Network Situational Awareness Group)開發出SILK[7](the System for Internet-Level Know ledge)，該系統采用集成化思想，即把現有的Netflow工具集成在一起，提供整個網絡的態勢感知，便于大規模網絡的安全分析。2005年，SIFT(Security Incident Fusion Tool)項目組研制了NVisionIP[8]和VisFlowConnect[9]兩種可視化工具，通過視圖方式反映網絡連接狀態和網絡流量。通過該項技術的深入研究，使網絡安全產品分析處理能力在多個指標有較大幅度的提高。

2 可視化態勢感知技術

網絡安全態勢可視化是將可視化的技術與安全態勢的需求相結合的研究方向，是較新的研究領域，現今在國際國內許多機構和研究單位都對該方向開展了研究，并取得了一定的成果。

從計算機安全領域的角度來看，可視化技術最初被用來實現對系統日志或者IDS日志的顯示。T.Takata和H.Koike開發的Mielog[10]是一種可以實現日志可視化和統計分析的交互式系統，依據日志的分類統計結果，進行相應的可視化顯示。R.Danyliw的ACID(the Analsis Console for Intrusion Databases)系統[11]為分析Snort日志而設計的，使用了基于Web的接口，在HTML中以圖標的形式表示報警信息。R.Erbacher基于Hummer IDS采集的日志實現了Erbacher’s Hummer IDS可視化系統[12]。

然而，基于日志數據的可視化顯示受到日志本身特性的限制，實時性不好，需要較長時間才能上報給系統，無法滿足對實時性要求較高的網絡需求。據此提出了基于數據流的可視化方法，最有代表性的是Stephen Lau 開發的the spinning cube of potential doom工具[13]，該工具在實時性方面具有非常好的性能，同時為了能在三維空間中盡可能多的顯示網絡中實時存在的信息，首次采用了“點”數據表示連接的方法，在一定程度上消除了視覺障礙的影響，達到了比較好的顯示效果。

現有的網絡可視化軟件大都基于單一數據源或者面向單一應用領域，存在使用范圍窄、可分析攻擊種類少，檢測效果不理想等顯著缺點。網絡安全態勢可視化系統的主要功能是為了實現網絡安全態勢圖像的可視化呈現設計和實現，要從多角度、多視圖、多尺度的形式，清晰、直觀地顯示網絡安全態勢。隨著圖形圖像技術的發展，三維數據顯示的難度不斷降低，許多可視化軟件也開始轉向三維顯示技術的探索。三維圖像在顯示上更具有真實感，更符合人類的視覺習慣。

3 三維可視化網絡安全態勢

本文所研究的網絡安全態勢三維可視化技術指基于網絡傳播的分布式可視化系統，是一種將網絡數據依據其自身屬性，在三維空間中進行顯示的方法。這種方法是對以往二維可視化研究的延續和擴展。本文利用OpenGL平臺進行軟件開發，采用三維坐標獲取技術以獲取網絡數據。

3.1 三維坐標獲取技術

如何求出屏幕任意一點的空間三維坐標是空間分析的基礎，實現方法比較多。本文基于正解方法實現。將三維空間中的物體投影至二維計算機屏幕上，是通過透視投影變換矩陣或正射投影矩陣實現的。在三維顯示中，常使用透視投影矩陣投影關系。透視投影矩陣P的表達式如式1所示。

(1)

其中l≠r,t≠b,n≠f。參數n表示攝像機可見的最小距離，參數f表示攝像機可見的最遠距離。如果用t表示視圖屏幕高度，則b為相對于真實屏幕尺寸的比例。

3.2 網絡安全態勢顯示

通過數據融合對網絡安全態勢量化產生的數值，通過顏色屬性顯示在視圖中。主要通過網絡安全態勢值、視圖背景顏色及數據點顏色這三個參數進行設置。將網絡的安全態勢值以數字的形式顯示在視圖中，并依照網絡所處于的安全級別和制定的安全態勢顏色對照表進行顯示，網絡態勢顏色對照表如表1所示。對于3級以上報警，進行背景顏色的更換，以提醒使用者的注意。對于分析出的網絡威脅行為，根據其威脅等級以及威脅程度，相關的數據信息要依態勢顏色進行顯示，表示數據與威脅信息之間的關聯性。

表1 網絡安全態勢顏色對照表

3.3 三維可視化軟件框架設計

根據軟件功能需求，網絡安全態勢三維可視化應該至少具有視圖顯示、用戶交互以及數據過濾模塊。基于此，設計的網絡安全態勢三維可視化軟件的框架模型如圖1所示。

圖1三維可視化軟件框架

從下至上，三維可視化軟件中包含模塊具有功能如下：

數據過濾模塊：實現對用戶制定規則的數據過濾，僅對過濾規則外的數據進行顯示。數據過濾規則主要有基于源IP地址的過濾、基于目的IP地址的過濾、基于目的端口的過濾以及基于安全態勢級別數據的過濾。

圖形繪制模塊：對需要安全態勢數據，根據其屬性信息，依據網絡安全態勢等級，進行相應的顏色處理，并對數據的顯示時間等信息進行初始化。

三維可視化模型模塊：搭建網絡安全態勢顯示的基本框架，為數據的顯示提供平臺。該模塊在程序運行時始終存在，并可以同用戶進行交互，實現對三給模型的交互操作。

視圖顯示模塊：將經過圖形繪制的模塊經過圖像處理后，顯示在三維可視化模型中。網絡中的數據經過處理都顯示在視圖中，“點”聚集成相應的形狀，從而顯示網絡的當前態勢狀況。

人機界面與用戶交互模塊：用戶通過對視圖的觀察，將進一步的觀測需求反饋給可視化系統。從用戶角度看，實現視圖“沉浸”和“瀏覽”。

3.4 三維可視化軟件實現

依據網絡安全態勢可視化框架，可視化模型為能夠自由旋轉的透明三維立方體。對數據進行顯示之前，要實現三維立方體的建模。OpenGL通過glVertex3f()構造正方體的頂面視圖。

對于其他幾個面，則依據圖中所示矩陣數據，依次用上述程序實現即可。

圖2 正六面體構造矩陣圖

視圖中數據顯示的時間長短，主要取決于兩個因素，即數據流持續時間的長短及數據流所包含數據的威脅等級。數據流持續時間是數據流實際存在的時間，在正常顯示范圍內，數據的屬性不變化。根據威脅等級對數據的持續顯示是數據的額外生存時間，此時數據已經不存在。為了分析便利，人為地將數據的影響時間延長，便于構成有一定時間跨度的的安全態勢圖。在數據顯示時，根據數據已經產生的時間長短，逐漸將其數據點的對此度變暗，直至消失。

點的對比度和顏色主要依據式2進行處理。即當點的延長顯示時間已經大于其生存時間的一半時，要對數據的對比度和顏色進行灰度處理，按照增長顯示的時間進行不斷降低，直至該數據點已經無法用肉眼觀測到為止。

(2)

OpenGL提供的視點變換、模型變換、投影變換、裁減變換、視口變換等功能可以很好地實現動態視圖。OpenGL的大部分變換都是通過矩陣操作來實現的。

4 結語

本文主要介紹三維可視化技術在網絡安全態勢感知領域的應用，根據網絡安全態勢感知要求，提出了網絡安全態勢可視化系統。一方面提出基于三維的網絡安全態勢可視化框架，目的是最終實現多視圖、多角度、多尺度的可視化視圖，為網絡安全的決策提供支持。另一方面開展網絡安全態勢三維可視化視圖軟件的設計與研究，以OpenGl作為軟件開發平臺，從多個數據源進行多角度的分析數據，從而進行軟件的開發，并對軟件進行測試、模擬，實驗結果表明，三維可視化系統對多源網絡攻擊有比較明顯的可視化效果，能夠顯示網絡的安全態勢。

[參考文獻]

[1] Bass T,Gruber D.A glimpse into t he f ut ure of id[EB/OL].http://www.usenix.org/p ublications/login-/1999-9/features/future.html.

[2] Bass T.Intrusion Detection Systems and Multisensor Data Fusion:Creating Cyberspace Sit- uational Awareness[J].Communications of t he ACM,2000,43(4):99-105.

[3] Batsell S G,Rao N S,Shankar M.Distributed Int rusion Detection and Attack Containment for Organizational Cyber Security[EB/OL].http:// www.ioc.ornl.gov/p rojects/documents/containment.pdf,2005.

[4] Shifflet J.A Technique Independent Fusion Model For Net work Intrusion Detection[C].Proceed-ings of the Midstates Conference on Undergraduate Research in Computer Science and Mat hematics,2005,3(1):13-19.

[5] DeMontigny-Leboeuf A,Massicotte F.Passive network discovery for real time situation awareness[C].NA TO/R TO Adaptive Defence in Unclassified Net works,Toulouse,France,April 2004.

[6] Lau S.The spinning cube of potential doom[J].Communications of the ACM,2004,47(6):25-26.

[7] Carnegie Mellon’s SEI.System for Internet Level Knowledge (SILK)[EB/OL].http://silktools.source forge.net,2005.

[8] Lakkaraju K，Yurcik W，Lee A J.NVisionIP:NetFlow visualizations of system state for Security situational awareness[C].In:P-rocee-dings of the2004 ACM Workshop onVisualization and Data Mining for Computer Security，Washington，DC，2004:65-72.

[9] Yin Xiaoxin，Yurcik William，Treaster Michael. VisFlowConnect:NetFlow visualizations of link relationships for security situational awareness[C].In:proceedings of the2004 ACM Workshop on Visualization and Data Mining for Computer Security，Washington.DC，2004:26-34.

[10] 張文修.粗糙集理論與方法[M].西安：西安交通大學出版社，2001.

[11] 埃維森，吳喜之.統計學：基本概念和方法[M]. 北京：高等教育出版社，2000.

[12] 李輝，鄭慶華，管曉宏,等. 基于多假設跟蹤的入侵場景構建研究[J].通信學報，2005，26(4)：70-79.

[13] Hanemann A, Schmitz D, Sailer M. A Framework for Failure Impact Analysis and Recovery with Respect to Service Level Agreements[C]//Proc. of IEEE International Conference on Services Computing. Piscataway, USA: IEEE Press, 2005.