贾美娟，孔 靓，邵国强

( 大庆师范学院 计算机科学与信息技术学院，黑龙江 大庆 163712)

0 引言

随着互联网的飞速发展，网络安全成为一个潜在的巨大问题。网络中的攻击等不安全因素越来越多，已经严重威胁到网络与信息的安全。计算机网络与信息安全技术的核心问题是对计算机和网络系统进行有效的防护。网络安全防护涉及的面非常广，从技术层面上分，主要包括防火墙技术、入侵检测系统和反病毒技术等方面，这些技术中有些是主动防御，有些是被动保护，有些则是为安全研究提供支撑和平台。但这些技术都存在不同的缺点，使得网络管理人员无法有效维护网络的安全性。网络安全态势感知技术能够从整体上动态反映网络安全状况，并对安全状况的发展趋势进行预测和预警，为增强网络安全性提供可靠的参照依据。

1 网络安全态势感知技术

所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。网络安全态势感知技术为有效保护网络信息资产提供了一条崭新的思路。

网络态势感知源于空中交通监管(Air Traffic Control,ATC)态势感知，是一个比较新的概念。1999年，Tim Bass首次提出网络态势感知(Cyberspace Situation Awareness，CSA)[1]概念，并对网络态势感知与ATC态势感知进行了类比，将ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。随后，在2000年，他又在文献[2]中提出了利用入侵检测系统的分布式多传感器进行数据融合的方法对计算机网络安全态势进行评估，通过数据融合和数据挖掘的方法评估计算机网络的安全。采用该框架能够实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。开展这项研究的个人还有Stephen G.Batell[3]、Jason Shifflet[4]和A.DeMontigny- Leboeuf[5]等。

2004年，美国劳伦斯伯克利国家实验室(Law rence Berkeley National Labs)的Stephen Lau设计了“The Spinning Cube of Potential Doom”[6]系统，这是一个三维网络流量检测工具，在笛卡儿坐标系中，用X轴代表网络地址，Y轴代表所有可能的源IP，Z轴代表端口号。以三维立体的方式显示整个网络空间的连接状况，极大地提高了网络态势感知能力。卡内及梅隆大学SEI(Software Engineering Institute)所领导的CERT/NetSA(The CERT Network Situational Awareness Group)开发出SILK[7](the System for Internet-Level Know ledge)，该系统采用集成化思想，即把现有的Netflow工具集成在一起，提供整个网络的态势感知，便于大规模网络的安全分析。2005年，SIFT(Security Incident Fusion Tool)项目组研制了NVisionIP[8]和VisFlowConnect[9]两种可视化工具，通过视图方式反映网络连接状态和网络流量。通过该项技术的深入研究，使网络安全产品分析处理能力在多个指标有较大幅度的提高。

2 可视化态势感知技术

网络安全态势可视化是将可视化的技术与安全态势的需求相结合的研究方向，是较新的研究领域，现今在国际国内许多机构和研究单位都对该方向开展了研究，并取得了一定的成果。

从计算机安全领域的角度来看，可视化技术最初被用来实现对系统日志或者IDS日志的显示。T.Takata和H.Koike开发的Mielog[10]是一种可以实现日志可视化和统计分析的交互式系统，依据日志的分类统计结果，进行相应的可视化显示。R.Danyliw的ACID(the Analsis Console for Intrusion Databases)系统[11]为分析Snort日志而设计的，使用了基于Web的接口，在HTML中以图标的形式表示报警信息。R.Erbacher基于Hummer IDS采集的日志实现了Erbacher’s Hummer IDS可视化系统[12]。

然而，基于日志数据的可视化显示受到日志本身特性的限制，实时性不好，需要较长时间才能上报给系统，无法满足对实时性要求较高的网络需求。据此提出了基于数据流的可视化方法，最有代表性的是Stephen Lau 开发的the spinning cube of potential doom工具[13]，该工具在实时性方面具有非常好的性能，同时为了能在三维空间中尽可能多的显示网络中实时存在的信息，首次采用了“点”数据表示连接的方法，在一定程度上消除了视觉障碍的影响，达到了比较好的显示效果。

现有的网络可视化软件大都基于单一数据源或者面向单一应用领域，存在使用范围窄、可分析攻击种类少，检测效果不理想等显著缺点。网络安全态势可视化系统的主要功能是为了实现网络安全态势图像的可视化呈现设计和实现，要从多角度、多视图、多尺度的形式，清晰、直观地显示网络安全态势。随着图形图像技术的发展，三维数据显示的难度不断降低，许多可视化软件也开始转向三维显示技术的探索。三维图像在显示上更具有真实感，更符合人类的视觉习惯。

3 三维可视化网络安全态势

本文所研究的网络安全态势三维可视化技术指基于网络传播的分布式可视化系统，是一种将网络数据依据其自身属性，在三维空间中进行显示的方法。这种方法是对以往二维可视化研究的延续和扩展。本文利用OpenGL平台进行软件开发，采用三维坐标获取技术以获取网络数据。

3.1 三维坐标获取技术

如何求出屏幕任意一点的空间三维坐标是空间分析的基础，实现方法比较多。本文基于正解方法实现。将三维空间中的物体投影至二维计算机屏幕上，是通过透视投影变换矩阵或正射投影矩阵实现的。在三维显示中，常使用透视投影矩阵投影关系。透视投影矩阵P的表达式如式1所示。

(1)

其中l≠r,t≠b,n≠f。参数n表示摄像机可见的最小距离，参数f表示摄像机可见的最远距离。如果用t表示视图屏幕高度，则b为相对于真实屏幕尺寸的比例。

3.2 网络安全态势显示

通过数据融合对网络安全态势量化产生的数值，通过颜色属性显示在视图中。主要通过网络安全态势值、视图背景颜色及数据点颜色这三个参数进行设置。将网络的安全态势值以数字的形式显示在视图中，并依照网络所处于的安全级别和制定的安全态势颜色对照表进行显示，网络态势颜色对照表如表1所示。对于3级以上报警，进行背景颜色的更换，以提醒使用者的注意。对于分析出的网络威胁行为，根据其威胁等级以及威胁程度，相关的数据信息要依态势颜色进行显示，表示数据与威胁信息之间的关联性。

表1 网络安全态势颜色对照表

3.3 三维可视化软件框架设计

根据软件功能需求，网络安全态势三维可视化应该至少具有视图显示、用户交互以及数据过滤模块。基于此，设计的网络安全态势三维可视化软件的框架模型如图1所示。

图1三维可视化软件框架

从下至上，三维可视化软件中包含模块具有功能如下：

数据过滤模块：实现对用户制定规则的数据过滤，仅对过滤规则外的数据进行显示。数据过滤规则主要有基于源IP地址的过滤、基于目的IP地址的过滤、基于目的端口的过滤以及基于安全态势级别数据的过滤。

图形绘制模块：对需要安全态势数据，根据其属性信息，依据网络安全态势等级，进行相应的颜色处理，并对数据的显示时间等信息进行初始化。

三维可视化模型模块：搭建网络安全态势显示的基本框架，为数据的显示提供平台。该模块在程序运行时始终存在，并可以同用户进行交互，实现对三给模型的交互操作。

视图显示模块：将经过图形绘制的模块经过图像处理后，显示在三维可视化模型中。网络中的数据经过处理都显示在视图中，“点”聚集成相应的形状，从而显示网络的当前态势状况。

人机界面与用户交互模块：用户通过对视图的观察，将进一步的观测需求反馈给可视化系统。从用户角度看，实现视图“沉浸”和“浏览”。

3.4 三维可视化软件实现

依据网络安全态势可视化框架，可视化模型为能够自由旋转的透明三维立方体。对数据进行显示之前，要实现三维立方体的建模。OpenGL通过glVertex3f()构造正方体的顶面视图。

对于其他几个面，则依据图中所示矩阵数据，依次用上述程序实现即可。

图2 正六面体构造矩阵图

视图中数据显示的时间长短，主要取决于两个因素，即数据流持续时间的长短及数据流所包含数据的威胁等级。数据流持续时间是数据流实际存在的时间，在正常显示范围内，数据的属性不变化。根据威胁等级对数据的持续显示是数据的额外生存时间，此时数据已经不存在。为了分析便利，人为地将数据的影响时间延长，便于构成有一定时间跨度的的安全态势图。在数据显示时，根据数据已经产生的时间长短，逐渐将其数据点的对此度变暗，直至消失。

点的对比度和颜色主要依据式2进行处理。即当点的延长显示时间已经大于其生存时间的一半时，要对数据的对比度和颜色进行灰度处理，按照增长显示的时间进行不断降低，直至该数据点已经无法用肉眼观测到为止。

(2)

OpenGL提供的视点变换、模型变换、投影变换、裁减变换、视口变换等功能可以很好地实现动态视图。OpenGL的大部分变换都是通过矩阵操作来实现的。

4 结语

本文主要介绍三维可视化技术在网络安全态势感知领域的应用，根据网络安全态势感知要求，提出了网络安全态势可视化系统。一方面提出基于三维的网络安全态势可视化框架，目的是最终实现多视图、多角度、多尺度的可视化视图，为网络安全的决策提供支持。另一方面开展网络安全态势三维可视化视图软件的设计与研究，以OpenGl作为软件开发平台，从多个数据源进行多角度的分析数据，从而进行软件的开发，并对软件进行测试、模拟，实验结果表明，三维可视化系统对多源网络攻击有比较明显的可视化效果，能够显示网络的安全态势。

[参考文献]

[1] Bass T,Gruber D.A glimpse into t he f ut ure of id[EB/OL].http://www.usenix.org/p ublications/login-/1999-9/features/future.html.

[2] Bass T.Intrusion Detection Systems and Multisensor Data Fusion:Creating Cyberspace Sit- uational Awareness[J].Communications of t he ACM,2000,43(4):99-105.

[3] Batsell S G,Rao N S,Shankar M.Distributed Int rusion Detection and Attack Containment for Organizational Cyber Security[EB/OL].http:// www.ioc.ornl.gov/p rojects/documents/containment.pdf,2005.

[4] Shifflet J.A Technique Independent Fusion Model For Net work Intrusion Detection[C].Proceed-ings of the Midstates Conference on Undergraduate Research in Computer Science and Mat hematics,2005,3(1):13-19.

[5] DeMontigny-Leboeuf A,Massicotte F.Passive network discovery for real time situation awareness[C].NA TO/R TO Adaptive Defence in Unclassified Net works,Toulouse,France,April 2004.

[6] Lau S.The spinning cube of potential doom[J].Communications of the ACM,2004,47(6):25-26.

[7] Carnegie Mellon’s SEI.System for Internet Level Knowledge (SILK)[EB/OL].http://silktools.source forge.net,2005.

[8] Lakkaraju K，Yurcik W，Lee A J.NVisionIP:NetFlow visualizations of system state for Security situational awareness[C].In:P-rocee-dings of the2004 ACM Workshop onVisualization and Data Mining for Computer Security，Washington，DC，2004:65-72.

[9] Yin Xiaoxin，Yurcik William，Treaster Michael. VisFlowConnect:NetFlow visualizations of link relationships for security situational awareness[C].In:proceedings of the2004 ACM Workshop on Visualization and Data Mining for Computer Security，Washington.DC，2004:26-34.

[10] 张文修.粗糙集理论与方法[M].西安：西安交通大学出版社，2001.

[11] 埃维森，吴喜之.统计学：基本概念和方法[M]. 北京：高等教育出版社，2000.

[12] 李辉，郑庆华，管晓宏,等. 基于多假设跟踪的入侵场景构建研究[J].通信学报，2005，26(4)：70-79.

[13] Hanemann A, Schmitz D, Sailer M. A Framework for Failure Impact Analysis and Recovery with Respect to Service Level Agreements[C]//Proc. of IEEE International Conference on Services Computing. Piscataway, USA: IEEE Press, 2005.