【摘要】本文描述了网络靶场可视化的设计方法与技术,提出了可视化是网络靶场平台系统中最能直接感知信息的重要环节,并通过阵营、地形、态势等可视化设计与技术分析,以及可视化的实现方法和案例,结合现有技术和经验,对网络靶场可视化问题进行初步探讨。
【关键词】网络靶场可视化攻防态势网络地形
1引言
随着信息化的深入发展,网络空间对抗已由单纯的互联网发展至泛在网络空间,网络空间作为第五大主权领域空间,其对抗更是日趋体系化、复杂化、实战化、智能化。为谋求网络空间的安全优势,网络靶场应运而生,并成为针对网络攻防典型应用场景的训练场。
网络靶场属于网络安全领域重要的基础设施,是支撑网络空间安全、网络人才培养、网络武器试验、攻防对抗演练、网络风险评估的重要手段。由于靶场自身的复杂性,若仅仅通过孤立的数据、日志和代码,多数用户获取有效且深度的信息难度大、门槛高,而靶场可视化呈现,能够有效解决这个问题,使靶场信息更加直观,让训练人员和指挥人员更易读懂,从而提升网络空间战场环境与态势信息的获取能力。
2网络靶场数据可视化
数据可视化是一种对数据的建模和表达方法,旨在通过模型表现数据的部分特征和内在规律,使观察者更加容易发现和理解数据的特征和规律。通过数据可视化手段了解受众的思维方式,促进数据传载信息的有效传达,不仅仅是帮助人们操纵、浏览、过滤、搜索、理解大规模数据和信息,更需要根据不同目标受众通过不同的形式,展现不同的数据特征、内容。
数据可视化是靶场分析的重要助推器,近年来被广泛应用。但现有研究主要集中于简单的数据可视化图表展现,对于其关联信息的深入分析较少,加之网络靶场中的攻防对抗、测试验证等具有鲜明的特点,攻防数据和场景要素的数据采集环境相对复杂,试验场景与业务逻辑本身关系紧密,这更加深了可视化分析与呈现的难度。因此,加快靶场可视化对于数据的分析逻辑和结果评估方面的研究,不仅使分析人员更容易理解攻防信息的意义,还使测试人员便于操作,决策者更易于理解分析结果。通过对于原始信息的处理和分析,展现靶场任务的信息全貌和数据规律特点,重视与历史数据的对比、统计、筛选,降低人工洞见信息的难度,使其通过靶场可视化洞见靶场演练任务背后的价值,启发分析思路和指导拟定最优方案,将为后续辅助决策和关键逻辑分析验证提供重要保障。
3网络靶场可视化设计
3.1可视化设计原则
网络靶场的可视化呈现应遵循直观、易读、美观、友好的原则,将靶场运行、攻防关系、态势效果、武器等核心信息以相对集中的形式融合于一屏,若信息量巨大,则可考虑多屏联动分类显示,使用户能够用最少的成本获取最丰富的信息。
通过可视化实现针对网络靶场真实环境的建模元素构建,这些建模元素对应了真实环境中的网络、设备、流量、攻击、人员、行为、策略等实体,合成这些建模元素,将看不见的网络攻防变成看得见的逼真的数字网络靶场环境。
3.2角色阵营可视化
网络靶场中涉及不同角色阵营,各角色的功能、任务、可视的界面、设计都有所不同。靶场角色类型较多,本文选取其中较为典型的4个角色阵营进行介绍。
(1)红方防守方
红方专属界面和态势呈现主要以针对安全事件发现与业务恢复、系统加固、勘验取证、线索溯源等应急响应工作为主要展示对象,同时系统提供单独的红方阵营资产的监控和防御操作界面。
(2)蓝方攻击方
蓝方专属态势界面主要呈现收集信息、漏洞挖掘、漏洞利用等信息。系统提供单独蓝方阵营攻击操作的界面,包括内网渗透等工作获取目标资产权限等操作。
(3)白方导演方
白方有专属的全局态势视角,主要呈现演练任务进程与详情、红蓝方分别的态势详情与当前攻击局势详情。系统提供单独的操作界面,配合完成对红蓝方队成员行为的引导和调整,确保训练按预定的剧情顺利展开,并为训练评估提供数据支持。
(4)绿方运维方
3.3网络地形可视化
布局算法是整个网络地形可视化的核心能力,选择合适的算法才能够高效直观地绘制并呈现出准确的网络地形图。借助逻辑布局法,通过网络拓扑中节点与节点的连接关系计算,得出每一个节点的坐标。常见的拓扑结构有树状结构、环状结构、网状结构等,主要采用树形布局算法、射线型布局算法、层次型布局算法和力导向布局算法。
由于树状拓扑结构直观易读,实现方法较为简单,实用性高,是靶场可视化系统中的主要布局方式。可将复杂的网络拓扑结构转化为树状拓扑,再对图的生成进行树型布局。
在处理节点数量小,拓扑结构相对简单的网络地形时,采用射线型布局算法,即选定一个中心点,从该点向四周发散。其效果通常是以图中每一个节点到中心节点之间的距离来衡量,根据中心节点到每一个节点的最短路径计算距离,将网络拓扑中最大的节点作为中心节点进行布局。
在处理小型网络地形时,优先考虑层次型布局算法。根据图的层次结构布局,虽然能够很好地展示网络拓扑图形的层次结构,但面对连接关系比较复杂的结构,该布局算法则无法清晰展示网络的内部结构,此时可结合其他算法进一步处理。
此外,也可采用力导向布局算法。将每个节点模拟为带有引力和斥力的电子,通过受两种力的影响而产生移动,直到所有节点的位置都能保证一种力学上的平衡,即可确定为节点的最终位置。这种算法能在一定程度上消除节点重叠和连线交叉的问题,使节点分布相对均匀,节点间连线长度相对统一,布局的图形效果相对较好。
逻辑布局构建拓扑结构,是一种更加灵活的布局方法,能更加清晰展现节点和节点之间的连接关系,呈现和揭示网络拓扑之间的内在性质。
靶场可视化系统可以预先提供多种场景的网络地形图,同时支持自定义编辑。基于不同的演练任务,可采用可视化网络地形拓扑编辑器,自由拖拽进行场景自定义绘制,通过规模弹性扩展来实现大规模网络快速构建,以支持多种场景和各类效能的训练任务,满足不同目的的靶场演练需求。
3.4攻防态势可视化
攻防态势可视化能够直观、简洁、友好地呈现靶场中不同阵营的攻防视角,多视角多维度地展现攻防监控、分析、评估和回放等信息,既方便靶场的优化管理,也提高了靶场演练的效率和质量。其内容包含统计展示、大数据可视化分析、攻防过程展现、演练监控展示、网络地形态势、攻防行为态势、攻防效果态势、关键攻防事件复盘、演练任务历史态势等内容。
攻防态势可视化利用计算机图形学技术,在某种特定布局结构中使用八叉树、离屏渲染等技术处理场景,将节点对象添加到另一层场景中,按照攻防的动作、关键节点的状态、网络地图结构等信息分层展示攻防动作效果,如图2所示。将网络战场的三维环境通过拓扑结构的构建真实地展现出来,同时为导演方观察整个演训态势提供了参考依据。
在攻防态势呈现的过程中,采用两种摄像机投影方式,分别为透视投影和正交投影,在一个攻防场景中,同时设置多个不同的视点,对攻防效果界面进行渲染,实现多种攻防效果叠加的画面效果。摄像机可被链接在攻防态势中任何一个节点上,也可独立于攻防态势节点之外,任意自由进行位置的选取、旋转和缩放,以不同角度、不同视域、不同控制视点和法线矩阵等参数来控制攻防态势中视角的显示。
通过网络靶场攻防态势展示,能够有效提高攻防监控、分析、评估能力,方便展示虚拟靶机的资源配置情况,优化仿真环境的网络拓扑等。借助动态效果提升靶场攻防态势效果,实现靶场态势全方位监控,确保演练过程安全可控、演练结果有据可查、评估报告深度准确。
4网络靶场可视化实现
4.1靶场可视化系统架构设计
靶场可视化系统采用可视化多引擎架构,通过分层架构的方式,将态势的展示、绘制与控制管理相分离,这样仅需使用一套管理系统,即可满足多引擎获取与展示的调用要求。网络靶场需要满足训练要求的场景是包括网络、硬件、软件以及实践过程中的操作环境。通过这种封装方式,用户不用了解可视化内部显示元素的实现方法,只需通过网络和配置文件接口,即可对靶场攻防态势的显示元素进行编辑,从而快速简便地进行二次开发,如图3所示。
4.2靶场可视化系统实现
系统采用B/S结构,这样可有效避免C/S架构对客户端频繁升级程序、运行平台受限等问题,利用HTML5、WebGL等技术,带来更良好的可视体验。选用PostgreSQL作为系统数据库,保证稳定性和可靠性,接口采用RESTful架构,确保结构清晰、合标。
靶场可视化系统能够将演练过程中所产生数据的流动过程展现出来,包括网络扫描、情报搜集、实施攻击等操作,将网络流量与已知的攻击类型特征进行匹配,显示双方资产节点之间的攻防武器类型,展现双方应用的攻击手段、防御方法的顺序和效果。对演练结果数据进行态势评估分析与数据可视化展示,并结合攻防态势回放,为靶场演练提供准确科学的指导依据。
靶场数据的可视化展示利用可视化引擎和集成工具,将多维度、多角度结果进行分析整合,系统在设计时需要考虑直观性、易读性、友好性、突出性和集成性,充分考虑决策者思维,保证重要信息能够突出展示而非面面俱到。按照可视化展示流程,可准确传达、多维分析、综合关联,实现多种分析结果有机结合而非简单堆砌,确保靶场可视化系统的实用性、准确性,如图4所示。
靶场可视化系统需结合攻击方、防守方、导演方等多方视角和阵营,选择所需展示的数据,分别进行数据转化和可视化呈现,各角度可视化模块通过集成处理与分析,根据攻防任务的重要程度和靶场攻防策略架构,综合整体美观性,对可视化模块和界面进行组合联动,既可通过单屏显示全方位态势信息,也可通过多屏联动分屏展示信息,将可视化数据持续分析与整合,保证在有限的界面丰富信息的展现。
4.3靶场可视化应用案例
4.3.1网络靶场部署态势
网络靶场可视化系统依据采集的数据信息,通过拓扑结构、节点布局等技术,在网络空间部署可伸缩的多视角可视场景,如图5所示。系统通过数据采集接口,收到资源部署的详细数据,并通过配置文件中的特效配置,将未部署、正在部署、部署完成这3种状态通过靶场部署态势展现出来,使得靶场部署的过程和进展一目了然,如图6所示。
4.3.2三方视角下的网络靶场态势
图7展示了三方视角下的网络靶场态势系统的效果,通过分别展现三方视角,支持多屏联动的方式对攻防事件进行态势复现分析。同时主态势界面也能够将多视角内容汇入单屏展示,如图8所示,分别将蓝方的攻击视角、红方的防守视角和导演方的全局视角进行全新的互动结合,丰富了靶场态势信息的展示。
4.3.3乌克兰停电事件实景靶场态势
乌克兰停电事件实景靶场态势是针对2015年12月发生的乌克兰国家电网遭遇网络攻击大面积停电事件的复现模拟。实景靶场根据乌克兰实际的地理信息、人口分布信息等真实数据,进行城市靶场构建,对其电力基础设施及居民区视角进行3D建模,如图9所示,模拟乌克兰变电站遭遇攻击者投放病毒,被远程控制进行拉闸操作,导致几十万人停电。
5结语
本文介绍了可视化技术在靶场中的应用,验证了针对靶场全过程的可视化管理,有助于深入展示网络空间攻防对抗信息,并以此为依据,准确把握网络空间攻防态势,使靶场平台的攻防信息透明化,辅助网络空间作战的能力和决策,提升网络空间作战的方式和技能,通过可视化技术实现了可看见、可分析、可感知、可指挥、可交互的网络靶场。