一種實時網絡風險可視化技術研究及實現

王 琳 胡曉勤

(四川大學計算機網絡與安全研究所 成都 610065)

?

一種實時網絡風險可視化技術研究及實現

王 琳 胡曉勤

(四川大學計算機網絡與安全研究所 成都 610065)

(245105947@qq.com)

現今網絡惡意行為呈爆炸性增長，而傳統的基于文本及簡單圖表的網絡入侵檢測系統在面對海量網絡數據時存在認知負擔過重以及呈現不及時的問題.基于入侵檢測的實時網絡風險可視化技術則可以將海量數據以圖形圖像的方式實時動態直觀地表現出來，通過在人和網絡威脅流量之間建立實時的圖像通信，可以使人能夠及時理解并發現當前的網絡安全態勢，以便于快速管理及控制當前網絡安全狀況.

風險評估；網絡風險可視化；實時可視化；人工免疫算法；網絡安全

隨著計算機網絡規模日益龐大，網絡安全事件也層出不窮，為了滿足網絡安全需求，防火墻、流量監控系統、主機狀態監控系統和入侵檢測系統等各種網絡監控和防御設備經常被用來保護網絡安全，在網絡運行過程中這些安全產品會產生大量日志，當發生網絡安全事件時，在相關日志中會或多或少地留下攻擊的痕跡，因此，國內外研究者一直都在不斷探索如何通過分析日志，掌握整個網絡的負載狀況、安全狀況以及運行態勢[1-5].但這樣的管理及分析技術都不能在網絡安全事件發生時動態地呈現當前網絡風險狀況，并存在事后分析工作困難等特點.

本文設計了一種新型的網絡威脅實時可視化系統，通過風險評估對當前網絡威脅進行實時發現，再通過瀏覽器動畫實時渲染技術將網絡風險進行實時呈現，極大地方便了管理員對當前網絡狀況進行理解和管理.

1 基礎技術

1.1 基于人工免疫的風險評估方法

人工免疫的原理形成主要源自于生物體自然免疫.對于計算機科學來說，人們發現生物體的自然免疫系統有很多地方值得很好的借鑒，通過不斷的研究發現，形成了計算機科學的一個十分重要的分支：計算機免疫系統(computer immune system, CIS)[6-9].而把人工免疫理論運用于入侵檢測系統中，建立數學模型，從而對網絡和主機進行實時、定量的風險評估，不僅使獲得的風險評估值具有很好的理論基礎，并且也具有很好的實用價值，能夠很好反映網絡當前的風險狀況.

在入侵防御系統中的檢測規則可看作自然免疫系統中的抗體，而入侵的攻擊包則可表示成抗原，可以據此建立數學模型計算風險值[10-14].當攻擊包到來時入侵防御系統進行特征匹配，模擬抗體匹配到抗原，從而增加抗體濃度，當抗原大量入侵時，作為抗體的濃度就會不斷增加，而當正常的網絡數據包到來時，相應地衰減抗體濃度值，即表示攻擊強度越大則相應的該攻擊的抗體濃度值也越大，從而反映網絡的風險狀況.

1.2 WebSocket

本系統利用WebSocket API[16]，瀏覽器和服務器只需要做一個握手的動作，瀏覽器和服務器之間就形成一條快速通道，可以將當前網絡狀況實時地傳送到瀏覽器端進行實時渲染，實現網絡風險狀況實時展現.

1.3 Canvas

在瀏覽器中實現動畫有多種方式，現今比較流行的2種方式是使用Flash技術和Canvas[16-17]技術.Canvas算是一個新生兒，Flash已經發展得相當成熟，可以利用GPU加速實現動畫高效運行.然而Flash當今唯一的缺憾就是不能兼容手機端，并且瀏覽器要播放Flash動畫必須依靠插件.新標準的Canvas不存在這樣的問題，Canvas由瀏覽器直接提供支持，兼容PC端與手機端，各大瀏覽器廠商都在積極支持，并且當前已支持動畫后臺掛起，以支持運行在前臺的動畫高效運行.考慮到Canvas強大的生命力和潛力，本系統采用新標準中的Canvas對網絡攻擊流量動畫、網絡與主機心跳動畫進行實時表現，使用戶更好地理解攻擊的來源與去向以及網絡和主機的風險值.

2 實時網絡風險可視化

2.1 可視化模型

系統主要包含風險評估、Web服務器以及風險展示3個部分.

風險評估模塊主要負責數據包的捕獲、分析以及風險值計算[10-15]，日志記錄模塊包含在風險引擎中，主要負責風險值計算后的日志記錄.服務器主要負責應答瀏覽器請求.風險展示模塊主要負責動畫的展示及與用戶的交互.

系統架構設計如圖1所示.

圖1 風險可視化系統結構

2.2 風險評估

風險評估模塊根據基于免疫理論的風險評估模型把每個攻擊類別模擬成記憶細胞，然后獲取入侵防御系統對數據包的檢測結果來相應地增加或衰減記憶細胞的抗體濃度值.然后獲取所有濃度值進行實時風險值計算，完成后如果有Socket連接， 就將數據寫入Socket，然后再將數據交由日志記錄模塊進行日志記錄，以備后期數據查詢使用.

2.3 Web助理

當用戶打開瀏覽器進入系統時，瀏覽器先將基本頁面請求下來進行渲染，接著，瀏覽器發起一個帶有WebSocket連接請求的HTTP請求，服務器處理請求時發現這是一個升級的WebSocket請求，于是將請求交由Web助理，Web助理發送驗證信息后與瀏覽器握手成功，建立WebSocket數據快速通道.

Web助理是一個一直存在于系統中的守護進程，作為瀏覽器與風險評估引擎的數據中介，在系統啟動時就會主動與風險評估引擎建立Socket連接，當風險評估引擎產生數據后就向Socket中寫入數據，當Web助理接收到數據后，如果有WebSocket連接，進行IP地址物理位置查詢，然后就分別向每個連接中寫入數據；如果沒有連接就什么也不做，Web助理并不會將數據進行保存.

2.4 風險可視化

傳統入侵檢測系統利用文本和簡單圖表對日志進行信息展示[1-5]，這樣的文本信息在傳達攻擊事件時會給出攻擊源IP地址、攻擊目標IP地址以及事件發生的其他一些文本描述信息.這種簡單的表達方式缺陷是管理員不能宏觀地判斷攻擊從哪里來到哪兒去、攻擊強度如何以及攻擊的危害程度如何等信息，這給管理員的分析工作造成相當大的壓力.本系統采用動畫技術來描述攻擊事件，攻擊類型、攻擊強度以及對攻擊目標的危害程度經過人工免疫的風險評估已得出一個綜合值，即攻擊事件的風險值[10]，風險值范圍0～1.攻擊強度越大對目標危害程度越大，風險值越大.

動畫為在地圖上從源IP到目標IP行走的光束，并且顏色各異.當有數據從WebSocket流入瀏覽器，瀏覽器根據獲取到的風險值對數據進行整理，接著計算相應的動畫并在瀏覽器中渲染[16-18].攻擊事件的源IP和目標IP映射為在地圖上的起始位置，將事件的強度映射為攻擊的行走速度，將事件的危害程度映射為不同顏色的動畫.

2.4.1 動畫起始位置計算

本系統根據事件的源IP地址和目標IP地址在數據庫中找出其攻擊源以及攻擊目標的物理位置(經緯度)，再根據其經緯度算出動畫在屏幕上的起始位置(相對于屏幕左上角的像素值)即得到動畫在地圖上的起始位置.

在計算起始位置時存在一些已知的參數，分別為屏幕的像素寬度w和屏幕的高度h，屏幕左上角對應的經緯度(x1,y1)和屏幕右下角對應經緯度(x2,y2)，以及攻擊目標的經緯度(x3,y3)和攻擊源的經緯度(x4,y4).

本系統只展示攻擊目標在屏幕內的動畫，所以計算攻擊事件動畫的起始點存在2種情況：1)攻擊源在屏幕內的情況；2)攻擊源在屏幕外的情況.

當攻擊目標和攻擊源都在屏幕內，即x1≤x3≤x2,y1≤y3≤y2,x1≤x4≤x2，y1≤y4≤y2，則計算坐標(x3,y3), (x4,y4)到屏幕左上角的像素(w3,h3), (w4,h4)公式為

(1)

(2)

其中,x′分別可為x3,x4，y′分別可為y3,y4，帶入即可得(w3,h3),(w4,h4).

當攻擊源不在屏幕范圍內時，則動畫的展示效果為從屏幕外經屏幕邊緣到達屏幕內的攻擊目標，但我們并不能展現屏幕外的內容，因此動畫的起點為攻擊流經過屏幕邊緣時跟屏幕邊緣的交點(w5,h5)，則我們計算出交點的經緯度(x5,y5)便可根據式(1)(2)得到(w5,h5)，如圖2所示，我們的目標是求圖中的紅色交點.

我國氣電裝機以5大發電集團為主，其氣電發電量占全國的50%，其中華電集團、華能集團氣電裝機規模較大，2017年分別達到1432萬千瓦和1042萬千瓦。中國海油依托上游天然氣產業的優勢，開發建設了較多氣電項目，裝機總量達到846萬千瓦。另外，京能、深能源、浙能和粵電等地方發電企業的氣電裝機總量也分別達到478、318、236和234萬千瓦。國電、神華合并后，氣電裝機總量達到199萬千瓦（見圖3）。

圖2 攻擊源在屏幕外的動畫起點計算

首先根據(x3,y3), (x4,y4)可得直線公式：

(3)

當x4=x3時，直線為x=x3.

(4)

圖3 攻擊流量速度與風險值關系曲線

2.4.2 動畫速度計算

攻擊事件的攻擊強度越強動畫行走速度越快，本系統設計的攻擊動畫的速度與風險值的關系如圖3所示，其中速度單位ps表示每秒移動的像素點數.

2.4.3 攻擊流顏色計算

本系統中的風險值顏色表示如圖7所示，風險值由低到高顏色由綠色漸變到紅色.顏色值采用RGB表示法計算[19-20]，其計算函數如圖4至圖6所示:

圖4 顏色中的R值與風險值關系曲線

圖5 顏色中的G值與風險值的關系曲線

圖6 顏色中的B值與風險值的關系曲線

圖7 風險值色譜

2.4.4 主機及網絡心跳

隨著攻擊的進行，主機及網絡的抗體濃度值也隨之變化，風險值不停地變化，為了表征這種網絡風險的變化，本系統為主機及網絡節點設計了心跳動畫，心跳動畫為每隔固定的時間，節點閃爍一次.當主機處于低風險或者安全狀態時，其心跳節奏緩慢，顏色為表征安全的綠色，亮度較低；當主機處于高風險時其心跳節奏加快，顏色變成鮮紅，亮度增高.

圖8 風險展示模塊實現效果圖

心跳動畫的顏色選擇如圖8所示，心跳動畫的節奏如表1所示，最慢5 s跳動一次，最快1 s跳動2次.

表1 心跳動畫的節奏

3 實 現

本系統由于涉及新標準的WebSocket，其對實驗環境有一定要求.我們選擇的實驗測試環境為Apache2.4服務器以及谷歌Chrome瀏覽器.

本系統的風險展示模塊實現效果如圖8所示.

本系統的攻擊事件動畫是重點，除了該工作內容，系統還包含其他的統計信息，如最新攻擊源排名、最新受攻擊目標、最新攻擊類別排名、最近安全事件.

用戶一進入系統，最新攻擊源排名、最新受攻擊目標、最新攻擊類別排名面板的信息就開始進行次數累加統計，并且最新安全事件以事件滾動的方式進行信息呈現.當有新的攻擊事件發生時，最近安全事件面板向上翻滾出一條記錄，同時最新攻擊源排名、最新受攻擊目標、最新攻擊類別排名面板面板上的次數各增加一次.由于本系統是實時更新這些信息，所以當網絡攻擊事件強度加強時，次數的增加就會加快，信息滾動加快，當攻擊事件強度減弱時次數累積就會變慢，信息滾動也變慢，這樣可以讓用戶感知到網絡流量的變化節奏.同時，事件的呈現會根據事件的風險值采用不同的顏色進行渲染，風險值高的事件呈現為鮮紅，低風險的事件呈現為淺綠，顏色值的選取參照圖4至圖7.

4 總 結

本系統把基于人工免疫的風險評估模型引入到入侵檢測系統中加以實現，它根據入侵檢測系統的實時檢測結果，實時地對網絡和網絡中各主機面臨的風險情況進行定量評估，利用最新的WebSocket技術對評估及控制結果進行實時傳送，并利用動畫技術對網絡威脅狀況進行實時渲染，方便管理員對當前網絡狀況進行人工評估，相比傳統的入侵檢測系統，具有呈現及時、用戶感知強等特點.

[1]Koike H, Ohno K, Koizumi K. Visualizing Cyber Attacks using IP Matrix[C]Visualization for Computer Security. Los Alamitos, CA: IEEE Computer Society, 2005: 91-98

[2]Haslum K, Abraham A, Knapskog S. Fuzzy online risk assessment for distributed intrusion prediction and prevention systems[C]Proc of Computer Modeling and Simulation. Piscataway, NJ: IEEE, 2008: 216-223

[3]韓丹, 王勁松, 宋密. 基于Snort的多視圖網絡流量可視化系統[J]. 天津理工大學學報, 2014, 31(2): 42-45

[4]張生, 施榮華, 趙穎. 基于多元異構網絡安全數據可視化融合分析方法[J]. 計算機應用, 2015, 35(5): 1379-1384

[5]趙穎, 樊曉平, 周芳芳, 等. 多源網絡安全數據時序可視分析方法研究[J]. 小型微型計算機系統, 2014, 35(4): 906-910

[6]de Castro L N, Timmis J I. Artificial immune systems as a novel soft computing paradigm[J]. Soft Computing, 2003, 7(8): 526-544

[7]Spears W M, De Jong K A. An overview of evolutionary computation[C]Proc of the European Conf on Machine Learning. Berlin: Springer, 1993: 442-459

[8]de Castro L N, Timmis J I. Artificial Immune Systems: A New Computational Intelligence Approach[M]. Berlin: Springer, 2002

[9]李濤. 網絡安全概論[M]. 北京: 電子工業出版社, 2004

[10]李濤. 基于免疫的網絡安全風險檢測[J]. 中國科學E輯: 信息科學, 2005, 35(8): 798-816

[11]王電鋼. 基于免疫的網絡安全態勢評估技術及趨勢分析研究[D]. 成都: 四川大學, 2009

[12]彭凌西, 謝冬青, 付穎芳, 等. 基于危險理論的自動入侵響應系統模型[J]. 通信學報, 2012, 33(1): 136-144

[13]何慧, 張宏莉, 王星, 等. 網絡安全事件危害度的量化評估[J]. 哈爾濱工業大學學報, 2012, 44(5): 66-70

[14]艾磊. 一種實時動態的風險評估與控制系統的設計與實現[D]. 成都: 四川大學，2014

[15]Snort manual[EBOL]. [2015-12-21]. http:manual.snort.org

[16]Peter Lubbers. Frank Salim, Brian Albers. HTML5高級程序設計[M]. 北京: 人民郵電出版社, 2011

[17]Geary D. HTML5 Canvas核心技術: 圖形、動畫與游戲開發[M]. 北京: 機械機械工業出版社, 2013

[18]Zakas N C. JavaScript高級程序設計[M]. 李松峰, 曹力譯. 3版. 北京: 人民郵電出版社, 2012

[19]關文濤. 選擇的藝術: Photoshop CS圖像處理深度剖析[M]. 北京: 人民郵電出版社, 2005

[20]關文濤. 選擇的藝術: Photoshop圖層通道深席剖[M]. 2版. 北京: 人民郵電出版社, 2013

王 琳

碩士研究生，主要研究方向為信息安全.

245105947@qq.com

胡曉勤

博士，碩士研究生導師，主要研究方向為容災抗毀.

517236336@qq.com

The Research and Implementation of a Real-Time Network Risk Visualization Technology

Wang Lin and Hu Xiaoqin

(InstituteofComputerNetworks&InformationSecurity,SichuanUniversity,Chengdu610065)

Today, the network malicious behavior goes into the explosive growth. And the traditional text based or simple chart based network intrusion detection systems are hard to use in the face of massive network data. Intrusion-detection-based real-time network risk visualization technology can transfer massive data to graphics and images dynamically in time. Then, we can build real-time imaged communication between human and cyber threat flow. So that we can quickly understand and figure out the current cyber security trend. That can be a good convenience for people to manage and control current cyber security.

risk evaluation; cyber risk visualization; real-time visualization; artificial immune algorithm; cyber security

2015-12-24

國家自然科學基金項目(61173159，61572334)

TP393.08