网络安全风险可视化应用研究

摘要：针对目前网络安全态势全局信息掌握的不足，建立网络环境下的安全态势显示模型，基于全局网络定位（GNP思想），通过网络拓扑的坐标化来实现网络风险场的构建，利用主机风险评估技术和网络环境下的风险融合技术，研究网络环境下的风险态势可视化，为网络管理员全局掌握网络安全风险态势，提供直观的安全态势视图，为风险阻断和策略制定提供辅助。

关键词：全局网络定位；网络安全；风险可视

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3028-04

Network Security Risk Fusion Model Based on Data Field

TU Hang1, SHE Xin-he2, YANG Can2

(puting Technology Institute of China Navy, Beijing 100086, China;2.No.96411 Army PLA, Baoji 721006, China)

Abstract: As there are shortcomings of current network security risk evaluation based on global information, we build a new network security risk amalgamation model which evaluates network security factors from local to global. Based on the fuzzy evaluation and stastitical analysis, we use GNP(Global Network Position) to plot network topology, and then according to add all the relevant factors between important nodes with weight, we implement risk amalgamation effect of relevant nodes under the idea of Data Field. After building the Data Field, we found that our new model could reflect the law of risk amalgation correctly, and control the tendency of the global network security risk, and supply a straighter graph of security tendency for administrators to terminate risk propagation and set policies.

Key words: risk evaluation; global network position; risk field; security tendency

网络安全风险评估是信息系统安全保障体系建立过程中的重要的评估方法和决策机制，作为指定和调整安全策略的基础和前提，既是实施网络信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。目前主要的定量评估方法有故障树法、层次分析法、模糊评判法、贝叶斯网络概率分析法等，这些传统评估方式主要立足于现有模型对网络中个体评估，实施量化后进行简单的风险累加。在网络整体风险的融合和可视化方面，目前缺乏成熟的理论与模型。由于网络化时代的安全具有动态传播性和不可预测性，因此网络化背景下的网络安全必须使用网络化思维的方法。网络安全行为不能单纯依靠还原论的方法，把组件分解并分别进行分析，这样只能是保护局部网络的利益而损失整体网络的利益。

如果将网络系统风险评估与网络整体拓扑有机结合起来，就能实现网络的风险评估从还原论走向整体论。本文以网络系统的几何空间定位和网络风险的融合与评估为出发点，基于网络全局定位思想，通过网络风险场的构建，把网络系统的整体风险置于整体的网络拓扑当中，能够为管理终用户实时准确的依据当前网络遭受的强度和风险等级等调整自己的防御策略，提供全局的可视化管理手段。

1 网络风险可视化模型

现实中的网络拓扑，并不是简单地由数学意义上的节点和边组成，它们都有具体丰富的物理含义。借鉴认知物理学中的场空间的概念，将节点之间的相互位置和相互作用通过场描述引入抽象的数域空间。通过可视化三维视图来展现网络拓扑中节点风险融合规律，实现网络环境的几何空间分布和风险汇聚与评估相结合，网络安全风险场的构建模型如图1所示。

网络安全风险可视化模型主要解决两个问题：网络拓扑的几何空间化和网络风险的融合实现与表达。网络风险的融合可通过基于数据场的思想实现，本文主要解决网络安全风险场的几何空间的点位与可视化，其主要思路可分为以下三个方面：

1) 确定数据对象。把信息系统网络拓扑看成一个数据集合，按照节点之间的空间点映射为一个数据对象。

2) 确定场分布。根据GNP思想计算网络空间节点的网络坐标，按照节点之间的空间位置分布确定节点之间的场空间位置。

3) 确定主机评估和网络风险融合方法，利用主流的评估模型计算单个节点风险量化值，采用数据场思想的势函数及其表达式。计算网络环境下的风险融合效果。

4) 网络环境风险的可视化，利用场空间的三维分布，实现该网络节点几何分布相对应的几何空间视图。

2 网络空间的几何定位

2.1 全局网络定位

网络拓扑的结构和性质对于寻找网络中的节点保护对象和病毒传播行为的影响非常重要，而风险又是与节点位置和距离相关的。网络中节点与节点的风险传递也是通过一定路径进行传播的，基于网络坐标的方式预测网络距离，网络距离最早由Ng等人提出，主要利用一组路标节点作为静态的集中探测点,基于迭代的非线性优化集中计算坐标位置。其理论基础是网络中节点间的距离(延迟等)大部分满足三角不等式，因此可以根据极少量的测量结果将节点映射到欧几里德空间中的一个点上,从而根据任意两个节点的坐标,就可以估算出他们之间的距离[7]（图1）。测量网络距离的最直接做法就是利用ping或者traceroute等工具进行端到端的测量，本文以环回时延作为网络距离的度量。

由于考虑到网络中的几何主机坐标的计算是可扩展的，首先将整个系统结构分为两部分：第一部分包括少量被称为路标(1andmark)主机的分布式集合，首先在选定的几何空间中计算它们的坐标，以它们的坐标作为参考，并散布到任何想参与定位的主机中;第二部分包括任何主机只要拥有路标主机的坐标，就可以计算出自己与这些路标相关的坐标[9]。

为了更好的描述GNP思想,我们将网络空间模型化为一个几何坐标空间S，再将网络中的节点放入这个N维几何空间S中，那么在S中的主机H的坐标记为CH S，在这些坐标上求解距离的函数记为fS(・),计算出的主机H1和H2的距离fS(Ch1 S,Ch2 S )记为SH1H2 [13]。

2.1.1 路标主机坐标确定

首先在网络中找出一些主机节点作为路标（Landmark）,如图2，L1,…LN,目的是为网络其他主机提供参数坐标，以便为S中的其他主机确定各自的坐标。利用ICMP ping包测量这些路标节点间的往返时间（RTT），作为它们之间的实测网络距离。然后使用测量的距离dLiLj(i＞j)的一个主机来计算路标在S中的坐标。目的是使得测量的距离与S中计算距离的整体误差最小。构造目标函数fobjl(・)以确定一系列路标在N维坐标系中的坐标CL1S,…,ClnS。

一旦计算出路标主机的坐标CL1S,…，CLnS，它们连同采用的几何空间S的标识、相应的距离函数fS(・)，均可以应用到任何想参与到GNP的普通主机。

2.1.2 普通主机坐标确定

将需要测量距离的普通主机放入N维坐标系，例如，对于主机H，同样使用ICMP ping包测量主机H与这些路标节点的RTT时间，作为主机H到各个路标的实测网络距离。根据这些实测网络距离dHLi，以几何空间S中已经确定的路标主机坐标为参考，计算出主机自己的坐标CH1S,使得通过主机H的坐标到这些路标的坐标的距离与主机H到这些路标的实测网络距离的整体误差最小。

至此，利用GNP思想可以把网络上的任意节点放入N维坐标系。以后，每当需要估计主机节点间的网络距离，就可以利用他们的GNP坐标直接计算他们之间的GNP距离，作为它们在场空间中的网络距离的估计值。

3 网络环境的风险评估

本文将网络安全风险的评估过程分为两部分：

主机基本风险：计算主机的独立风险，不考虑主机间的交互，即不考虑网络中其他主机对本主机安全风险的影响。

网络提升的风险：考虑主机间的交互，通过主机间的通信，重新考虑正存在的或拟存在的远程攻击风险，比如软件和网络本身的安全弱点。

3.1 基于主机的节点评估

主机单元的风险评估，包括对主机内部资产（数据、应用程序、后台服务）的价值评估，主机静态风险因素（安全补丁、杀毒软件、防火墙等）和动态风险因素（注册表变化、进程变化、文件变化、主机对外数据交互等）的风险评估，主要涉及风险因素信息的采集、分析、建模以及评估计算等过程。本文采用层次分析法（AHP）与模糊数学的模糊综合评判[基于模糊数学评估方法]相结合的方法，从主机内部的资产价值、静态风险因素、动态风险因素三个方面对安全风险实施量化评估。把建立主机综合风险量化评估模型。模型结构如图1所示。

3.2 基于网络的风险融合

处于网络背景下的每个主机节点并不是孤立的个点，存在普遍联系和相互作用，具有风险传播和互递特性。对于风险场中某一个节点受到风险的干扰或者破坏，必将通过网络途径对其邻居节点产生一定程度的影响；对节点的干扰，一方面破坏节点本身，更重要的是破坏它与周围邻居之间的关系，从而使得整个网络体系受到影响。

通过高维的网络数据映射到风险场，在描述风险场的属性时，我们引入标量函数-势函数来表达单个节点对场中其他节点的风险影响与汇聚。因为势函数是关于位置或者距离的函数，可以叠加。因此网络空间每一个节点都会对场中任何一个点的势值有贡献，且贡献的大小与距离的平方成反比。场中任何一点的势函数被定义为所有节点的影响之和，给定n个数据节点，D={d1，d2，…，dn}在X上的势函数定义为：

其中，mi为该点di质量大小，由于本文研究是以主机节点为单元研究风险的传播规律，故拟用单元节点的风险值表示节点的质量，一般而言，单个节点风险值越大，它在网络中的辐射面越广，传播性越强，向外传播的概率就越高。风险值越大的节点，它在风险场的影响力也就越大，在网络空间就越“重要”。而风险值越低的节点，我们认为该节点抵抗风险能力就越强，被感染的概率就越低。

事实上,风险节点利用网络路径进行风险攻击和传播牵涉到多方面的因素，考虑到网络中节点的风险传递的强度不但与节点空间位置有关，而且与网络的传播路径、风险类型、节点的抗风险强度息息相关，所以传播概率也是不同的。为了突出本文的实验效果，我们必须考虑到风险传递几率，因此上述函数被改进为：

其中，pi为节点间关联性因子，与实际传播路径有关，主要描述风险传递的可能性。d(x,di)为节点di与对象x间的距离，σ为辐射因子。通过多次迭代和相互作用，就可以计算出风险场中各节点的势。势越大的点，其风险越高。

4 系统原型设计

原型系统基于先上而下、先局部后整体的设计思路，主要由三个模块组成：风险场的构建模块、主机信息采集模块、风险可视化模块。信息采集模块负责风险行为信息的收集和综合，风险的计算模块，分为主机风险与网络风险，负责将收集到的信息转换成定量风险值作为输入，实现风险评估模型的计算过程，风险可视化模块基于风险场构建实现网络风险的可视化视图，客观反映风险的高低与强度。

4.1 实验网络的可视化

本文以某单位综合信息网为例，我们根据GNP思想将实验网络系统（图6）抽象成为一个风险网络坐标空间（图7）， 该局域网主要由生活区、办公区、商务区等四个区域网络组成。整个系统采用核心层及接入层两层结构。核心层交换机4台，以千兆连接；接入层交换机，就近接入所在区域核心交换机。实验选用用户终端44个。系统利用几台接入交换机作为参考路标(landmark),通过构建后的网络空间几何分布如图7，值得注意的是，图中节点之间连接关系并不完全对应物理网络中的位置关系，而只是网络空间的路由表达。

4.2 主机节点风险评估

系统拟采用C/S模式实现，每个主机上建立一个Agent，该Agent负责采集各种影响网络安全数据，评估主机的风险，归纳出各风险源统计结果，服务器利用各个主机节点数值构成网络空间风险场，利用各主机提供的静态风险值和网络拓扑可以绘制出风险场的态势图。整个风险评估实验系统采用C/C++语言实现。

其涉及的主要数据结构如下：

public class PgObject

{ public float DTvalue;//动态风险值

public float TJthreat; // 静态风险值

public float NBZCvulnerability;// 内部资产值

public float[,] GuanXiArray = new float[3, 5];//对象的模糊关系矩阵

public float[] QuanZhongArray = new float[3];//对象的权重矩阵

public float[] ArrayOfResult = new float[5]; //综合评估结果矩阵形式

public float ValueOfResult; //综合评估值

public PgObject(float x,float y,float z)//构造函数

{DTvalue = x;

TJthreat = y;

NBZCvulnerability = z;

}

}

4.3 网络环境风险融合

为了验证实验效果，我们以一个有50 个节点和56条边组成的网络拓扑[11]为例，通过全局网络定位获取网络中每个节点的网络坐标，在节点评估的基础上，利用改进后的风险场势函数计算网络空间节点的融合效果。

融合算法如下：

输入：m[n] //主机节点n风险值

p[n][n]//节点间的风险传播概率

x[n],y[n]//节点n的坐标空间位置

输出：z[i,j]空间位置的风险势值

s=2*σ^2；

For(int i=0；i

{For (int j=0；j

{z[i][j]=0；

For (int k=1；k

{z[i][j]= z[i][j]+ p[i][j]*m(k)*exp(-abs(sqr(i-x [k])+sqr(j-y [k]))/ s)；

}}}

利用各主机提供的网络风险值和网络拓扑可以绘制出风险场的可视化态势图。

运算得出的等势平面图和三维效果图7和图8，其中红、黄颜色表示风险程度的高低处于危险和警戒状态，从中可以直观寻找最具威胁节点和安全节点。

图8 时刻网络风险场平面图（T=T1,σ=10.24）图9 网络风险场三维图

5 总结

本文基于全局网络定位思想，实现物理网络的几何空间定位与分布，立足现有的主机节点风险评估方法，采用模糊评判与层次法实现网络节点评估，考虑了网络的风险提升，基于场思想从网络全局角度研究风险的融合与汇聚，实现先下后上，先局部后整体的评估思路。通过场空间实现网络风险的三维空间可视化量化，最后通过原型实验验证了模型的可行性，为系统安全管理决策者实现网络安全的全局掌控提供可视化，使得安全防护策略更具针对性。

参考文献：

[1] 陈秀真,郑庆华,管晓宏,林晨光.网络化系统安全态势评估的研究[J].西安交通大学学报,2004.4,38(4):404-407.

[2] 张永铮,方滨兴,迟悦,云晓春.网络风险评估中网络节点关联性的研究[J].计算机学报,2007,12,30(2):234-240.

[3] Li T.An immunity based network security risk estimation[J].Science in China Series E-Information Sciences,2005,35(8):798-816.

[4] Jajodia S,Noel S,O' Berry B.Topological analysis of network attack vulnerability[C]//Kumar V,Srivastava J,Lazarevic A.Managing Cyber Threats: Issues,Approaches and Challenges.Springer-Verlag,2005:248-266.

[5] 陈桂生,李德毅.基于数据场的复杂网络级联失效传播模型[C].全国复杂网络学术会议,2006.

[6] 李德毅.不确定性人工智能[M].北京:国防工业出版社,2005:195-205.

[7] Eugene Ng T S,Zhang Hui.Predicting Internet Network Distance with Coordinates-Based Approaches[C].New York,USA:Proceedings of INFOCOM’2002,2002:170-179.

[8] 张增斌,陈阳,邓北星,等.基于邻近原则的BitTorrent实验研究[J].厦门大学学报:自然科学版,2007,46(2):213-215.

[9] Shavitt Y,Tankel T.Big-Bang Simulation for embedding network distances in Euclidean space[C].San Francisco,CA:Proc of INFOCOM,2003.

[10] 汪楚娇,蒋志雄,王拓.基于模糊数学的网络安全风险评估模型[J].网络安全技术与应用,2003(10).

[11] 李德毅,韩明畅,孙岩.复杂网络与网络安全[J].军队指挥自动化,2005(6).

[12] 李德毅,淦文燕,朱熙.复杂网络中重要性节点发掘综述[J].计算机科学,2007,34(12):1-17.

[13] 陈阳,邓北星,李星.基于坐标的网络节点聚类在Internet中的实验研究[J].大连理工大学学报,2005,145(21):41-43.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文