◆李 娜 樊 蓉

?

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中攻擊軌跡精準(zhǔn)顯示技術(shù)

◆李 娜 樊 蓉

（四川大學(xué)計(jì)算機(jī)學(xué)院 四川 610065）

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，網(wǎng)絡(luò)攻擊軌跡定位要求精準(zhǔn)直觀呈現(xiàn)，而傳統(tǒng)的基于文本及簡(jiǎn)單線條的攻擊軌跡設(shè)計(jì)存在認(rèn)知負(fù)擔(dān)過(guò)重以及軌跡重合呈現(xiàn)不全面的問(wèn)題，通過(guò)引入貝塞爾曲線對(duì)網(wǎng)絡(luò)攻擊軌跡的優(yōu)化處理，可以幫助管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)威脅，提高管理員整體把控網(wǎng)絡(luò)安全狀況的能力。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知；網(wǎng)絡(luò)攻擊軌跡；貝塞爾曲線

0 引言

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，生動(dòng)形象地模擬網(wǎng)絡(luò)攻擊軌跡一直是網(wǎng)絡(luò)安全態(tài)勢(shì)感知可視化技術(shù)中的重要研究?jī)?nèi)容[1-5]。目前網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，大多采用多種線條擬合參數(shù)方程的形式呈現(xiàn)，使用簡(jiǎn)單的直線表示從攻擊源到被攻擊目標(biāo)的過(guò)程，但當(dāng)多條攻擊同時(shí)從該攻擊源到被攻擊目標(biāo)時(shí)，單一的使用直線型攻擊軌跡就會(huì)出現(xiàn)重合導(dǎo)致軌跡顯示不全面的情況，使得管理人員無(wú)法清晰判斷當(dāng)前網(wǎng)絡(luò)安全狀況，并及時(shí)采取有效的措施。本文引入貝塞爾曲線對(duì)攻擊軌跡進(jìn)行優(yōu)化處理，能完全滿足多條攻擊軌跡精準(zhǔn)呈現(xiàn)，解決了多條攻擊軌跡重合問(wèn)題。

1 攻擊軌跡的呈現(xiàn)方式

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，攻擊軌跡[6]是將網(wǎng)絡(luò)攻擊事件的發(fā)生使用圖形圖像生動(dòng)地描繪出來(lái)，利用攻擊流的方式，可以將網(wǎng)絡(luò)攻擊事件的攻擊源、被攻擊目標(biāo)、攻擊強(qiáng)度以及攻擊的危害性一一展現(xiàn)并且直觀易理解。

1.1 攻擊流的起止位置

本文設(shè)計(jì)的實(shí)時(shí)網(wǎng)絡(luò)安全事件攻擊軌跡是基于用戶地圖的，在攻擊軌跡的實(shí)時(shí)呈現(xiàn)過(guò)程中，最重要的兩個(gè)要素是網(wǎng)絡(luò)攻擊流的起點(diǎn)和終點(diǎn)位置的確定。用戶在上傳地圖時(shí)，會(huì)錄入地圖左上角及右下角的地理位置坐標(biāo)，以及用戶在創(chuàng)建資產(chǎn)時(shí)，會(huì)選定資產(chǎn)在地圖上的位置，因此，攻擊目標(biāo)的位置已解決，關(guān)鍵在于解決攻擊源在屏幕上的位置的問(wèn)題。

根據(jù)網(wǎng)絡(luò)安全事件的目標(biāo)IP地址，可以查找出其對(duì)應(yīng)的資產(chǎn)，于是就能查出其在地圖上對(duì)應(yīng)的位置。同時(shí)根據(jù)攻擊源IP地址信息，通過(guò)利用第三方IP地理位置信息庫(kù)GeoIP，便可查找出其對(duì)應(yīng)的地理位置信息，再根據(jù)其經(jīng)緯度便可計(jì)算出攻擊源在屏幕上的位置（相對(duì)于屏幕左上角坐標(biāo)的像素值），即確定攻擊軌跡的起始位置。在計(jì)算攻擊源位置坐標(biāo)時(shí)，規(guī)定屏幕的像素值用(w, h)表示，經(jīng)緯度用(x，y)表示。其中存在一些已知的參數(shù)，包括屏幕左上角位置對(duì)應(yīng)的經(jīng)緯度(xl，yl)和屏幕右下角位置對(duì)應(yīng)的經(jīng)緯度(xr，yr)，以及攻擊源的經(jīng)緯度(xs，ys) 和被攻擊目標(biāo)在屏幕上的位置(wd, hd)。在此只考慮攻擊源和被攻擊目標(biāo)都在屏幕內(nèi)的情況，即xl≤xs≤xr, yl≤ys≤yr，則計(jì)算攻擊源在屏幕上的像素值(ws, hs)公式分別為（1）、（2）所示：

則可求出攻擊源的屏幕坐標(biāo)(ws,hs)，即攻擊軌跡的起始位置。

1.2 軌跡角度計(jì)算

在得到攻擊源與被攻擊目標(biāo)的屏幕坐標(biāo)(ws, hs)與(wd, hd)后，要繼續(xù)計(jì)算出攻擊軌跡與水平向右的坐標(biāo)軸的夾角，以用于繪制網(wǎng)絡(luò)攻擊流中的軌跡圖元，規(guī)定攻擊源和被攻擊目標(biāo)對(duì)應(yīng)的經(jīng)緯度分別用(xs, ys) (xd, yd)表示，情況如圖 1所示。

圖1 軌跡角度計(jì)算

(1) xd= xs，yd= ys，則沒(méi)有角度可以計(jì)算;

(2) xd= xs，yd≠ys，則角度計(jì)算式如(3)所示。

(3) xd≠xs，yd= ys，則角度計(jì)算式如(4)所示。

(4) xd> xs，yd> ys，則角度計(jì)算公式如(5)所示。

(5) xd> xs，yd

(6) xd< xs，yd≠ys，則角度計(jì)算公式如(7)所示。

在繪制攻擊軌跡時(shí)，本文設(shè)計(jì)了導(dǎo)彈式的攻擊流形狀，初始狀態(tài)其方向水平向右，也就是沿x軸正方向，只要將其旋轉(zhuǎn)不同角度，就可以重復(fù)使用該形狀圖元，如圖2所示。

1.3 Bezier貝塞爾曲線

在電腦圖形學(xué)的應(yīng)用領(lǐng)域中，貝塞爾曲線（Bezier曲線）是二維圖形繪制中相當(dāng)重要的參數(shù)曲線。貝塞爾曲線是一種非常自由的數(shù)學(xué)曲線，由線段和節(jié)點(diǎn)組成，通過(guò)調(diào)整其節(jié)點(diǎn)的位置和權(quán)重就可以實(shí)現(xiàn)改變曲線形狀的目的，因此其具有非常良好的交互性。將貝塞爾曲線應(yīng)用于網(wǎng)絡(luò)攻擊軌跡中來(lái)，這相對(duì)于傳統(tǒng)的直線型描繪攻擊軌跡方式，是一個(gè)巨大的提高。由于本文提出的方法是基于二次貝塞爾曲線的，本節(jié)僅對(duì)其相關(guān)的特性進(jìn)行介紹，詳細(xì)的貝塞爾曲線資料可參考文獻(xiàn)[7]。

給定點(diǎn)P0、P1、…、Pn，其貝塞爾曲線如公式(8)：

當(dāng)n=2時(shí)，即已知定點(diǎn)P0、P1、P2，此時(shí)的貝塞爾曲線也稱為二次貝塞爾曲線，用B（t）表示，如公式(9)：

公式中t為參數(shù)，B(t)為最終計(jì)算出來(lái)的值，效果如圖3所示。

圖3二次貝塞爾曲線效果圖

二次貝塞爾曲線使用已知三點(diǎn)P0、P1、P2構(gòu)成一條二次方的曲線，其原理是使曲線去逼近控制點(diǎn)所構(gòu)成的三角形，使用這種曲線能夠表達(dá)具有一定弧度的形狀。

2 攻擊軌跡在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中的實(shí)現(xiàn)

本文采用多層級(jí)引擎結(jié)構(gòu)重新進(jìn)行架構(gòu)，采用B/S的方式對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)呈現(xiàn)，在開(kāi)發(fā)過(guò)程中，主要利用三臺(tái)引擎進(jìn)行開(kāi)發(fā)和測(cè)試。

2.1網(wǎng)絡(luò)攻擊事件的工作流程

采用動(dòng)畫(huà)技術(shù)將網(wǎng)絡(luò)攻擊事件轉(zhuǎn)換為從攻擊源到攻擊目標(biāo)的攻擊流動(dòng)畫(huà)，攻擊事件工作流程如圖4所示。當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，會(huì)先將其加入攻擊軌跡描繪隊(duì)列，再對(duì)攻擊源排行榜、攻擊目標(biāo)排行榜、攻擊類別排行榜以及事件滾動(dòng)面板進(jìn)行更新，攻擊軌跡描繪模塊作為一個(gè)獨(dú)立的小模塊實(shí)時(shí)更新攻擊軌跡動(dòng)畫(huà)，在屏幕上，如果前一個(gè)動(dòng)畫(huà)沒(méi)有播放結(jié)束，后一個(gè)攻擊事件又到達(dá)，則會(huì)在屏幕上同時(shí)呈現(xiàn)多個(gè)攻擊軌跡，攻擊軌跡描繪模塊的工作流程如圖5所示。

圖4 網(wǎng)絡(luò)攻擊事件的工作流程

攻擊軌跡描繪模塊在初始化數(shù)據(jù)結(jié)構(gòu)時(shí)，主要初始化一些公共使用的參數(shù)，如動(dòng)畫(huà)移動(dòng)速度、每更新一幀動(dòng)畫(huà)的時(shí)間以及一些公共使用函數(shù)。檢查動(dòng)畫(huà)隊(duì)列并更新主要是依次檢查當(dāng)前隊(duì)列的動(dòng)畫(huà)，如果有攻擊軌跡播放完畢，則刪除該事件。

圖5 攻擊軌跡動(dòng)畫(huà)工作流程

2.2網(wǎng)絡(luò)攻擊軌跡的實(shí)現(xiàn)

當(dāng)網(wǎng)絡(luò)攻擊數(shù)比較少，在同一時(shí)刻沒(méi)有從同一個(gè)攻擊源到被攻擊目標(biāo)的攻擊流時(shí)，攻擊軌跡使用直線型攻擊流表示，攻擊圖元采用導(dǎo)彈形狀，效果如圖6所示。

圖6 直線型攻擊軌跡

當(dāng)網(wǎng)絡(luò)攻擊較多，較為密集，在同一時(shí)刻有多條攻擊從攻擊源到攻擊目標(biāo)時(shí)，軌跡重合不易察覺(jué)，效果如圖7所示。

圖7 多條攻擊軌跡重合

攻擊軌跡引用貝塞爾曲線優(yōu)化處理后，攻擊軌跡在攻擊源處分散發(fā)射，在被攻擊目標(biāo)處匯集，多條攻擊有多條攻擊軌跡，呈現(xiàn)效果如圖8所示。

圖8 引入貝塞爾曲線后的攻擊軌跡

3 結(jié)語(yǔ)

本文針對(duì)目前網(wǎng)絡(luò)安全態(tài)勢(shì)感知可視化技術(shù)中存在的問(wèn)題，提出一種基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的攻擊軌跡的處理方法，它根據(jù)同一時(shí)刻攻擊源到被攻擊目標(biāo)的攻擊流數(shù)變換攻擊軌跡的弧度，使用貝塞爾曲線將多條攻擊軌跡直觀、清晰地展現(xiàn)出來(lái)，很好地解決了軌跡重合不易察覺(jué)的問(wèn)題，極大地提高了管理員對(duì)當(dāng)前網(wǎng)絡(luò)安全狀況進(jìn)行人工評(píng)估的能力。

[1]Koike H, Ohno K, Koizumi K. Visualizing Cyber Attacks using IP Matrix [C]. Visualization for Computer Security. Washington: IEEE Computer Society, 2005.

[2] Haslum K， Abraham A， Knapskog S. Fuzzy online risk assessment for distributed intrusion prediction and prevention systems[C].//Computer Modeling and Simulation. Cambridge，UK :IEEE，2008.

[3]韓丹，王勁松，宋密.基于Snort的多視圖網(wǎng)絡(luò)流量可視化系統(tǒng)[J].天津理工大學(xué)學(xué)報(bào)，2014.

[4]趙穎，樊曉平，周芳芳等.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J]. 計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào)，2014.

[5]朱亮，王慧強(qiáng)，鄭麗君.網(wǎng)絡(luò)安全態(tài)勢(shì)可視化研究評(píng)述[EB/OL].北京:中國(guó)科技論文在線，2006. http://www.paper.edu.cn/html/releasepaper/2006/07/36/.

[6]趙穎，樊曉平，周芳芳等.多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2014.

[7]付鵬飛.貝塞爾曲線在汽車設(shè)計(jì)中的運(yùn)用[J].上海:泛亞汽車技術(shù)中心有限公司，2012.

[8]陳成, 何玉慶.基于四階貝塞爾曲線的無(wú)人車可行軌跡規(guī)劃[J].自動(dòng)化學(xué)報(bào)，2015.

國(guó)家重點(diǎn)研發(fā)計(jì)劃（2016yfb0800604，2016yfb0800605），國(guó)家自然科學(xué)基金項(xiàng)目（61572334）。