来源:国家保密科技测评中心
【摘 要】 本文描述了网络靶场可视化的设计方法与技术,提出了可视化是网络靶场平台系统中最能直接感知信息的重要环节,并通过阵营、地形、态势等可视化设计与技术分析,以及可视化的实现方法和案例,结合现有技术和经验,对网络靶场可视化问题进行初步探讨。
【关键词】 网络靶场 可视化 攻防态势 网络地形
1 引言
随着信息化的深入发展,网络空间对抗已由单纯的互联网发展至泛在网络空间,网络空间作为第五大主权领域空间,其对抗更是日趋体系化、复杂化、实战化、智能化。为谋求网络空间的安全优势,网络靶场应运而生,并成为针对网络攻防典型应用场景的训练场。
网络靶场属于网络安全领域重要的基础设施,是支撑网络空间安全、网络人才培养、网络武器试验、攻防对抗演练、网络风险评估的重要手段。由于靶场自身的复杂性,若仅仅通过孤立的数据、日志和代码,多数用户获取有效且深度的信息难度大、门槛高,而靶场可视化呈现,能够有效解决这个问题,使靶场信息更加直观,让训练人员和指挥人员更易读懂,从而提升网络空间战场环境与态势信息的获取能力。
2 网络靶场数据可视化
数据可视化是一种对数据的建模和表达方法,旨在通过模型表现数据的部分特征和内在规律,使观察者更加容易发现和理解数据的特征和规律。通过数据可视化手段了解受众的思维方式,促进数据传载信息的有效传达,不仅仅是帮助人们操纵、浏览、过滤、搜索、理解大规模数据和信息,更需要根据不同目标受众通过不同的形式,展现不同的数据特征、内容。
数据可视化是靶场分析的重要助推器,近年来被广泛应用。但现有研究主要集中于简单的数据可视化图表展现,对于其关联信息的深入分析较少,加之网络靶场中的攻防对抗、测试验证等具有鲜明的特点,攻防数据和场景要素的数据采集环境相对复杂,试验场景与业务逻辑本身关系紧密,这更加深了可视化分析与呈现的难度。因此,加快靶场可视化对于数据的分析逻辑和结果评估方面的研究,不仅使分析人员更容易理解攻防信息的意义,还使测试人员便于操作,决策者更易于理解分析结果。通过对于原始信息的处理和分析,展现靶场任务的信息全貌和数据规律特点,重视与历史数据的对比、统计、筛选,降低人工洞见信息的难度,使其通过靶场可视化洞见靶场演练任务背后的价值,启发分析思路和指导拟定最优方案,将为后续辅助决策和关键逻辑分析验证提供重要保障。
考虑到靶场中网络空间对抗的虚拟性和复杂性,在实际靶场测试和训练过程中,要考虑到不同层次的指挥人员关注的演练态势不同、不同阵营的训练人员关注的资产内容不同、不同角色的用户可查看内容的权限也不同,使得不同场景、不同网络地形、不同测试任务的业务需求也不同。因此,通过研究网络靶场可视化,搭建用户直接与数据和信息交互的系统,实现探索和获取嵌入在深层数据中的有用信息。
3 网络靶场可视化设计
3.1 可视化设计原则
网络靶场的可视化呈现应遵循直观、易读、美观、友好的原则,将靶场运行、攻防关系、态势效果、武器等核心信息以相对集中的形式融合于一屏,若信息量巨大,则可考虑多屏联动分类显示,使用户能够用最少的成本获取最丰富的信息。
通过可视化实现针对网络靶场真实环境的建模元素构建,这些建模元素对应了真实环境中的网络、设备、流量、攻击、人员、行为、策略等实体,合成这些建模元素,将看不见的网络攻防变成看得见的逼真的数字网络靶场环境。
3.2 角色阵营可视化
网络靶场中涉及不同角色阵营,各角色的功能、任务、可视的界面、设计都有所不同。靶场角色类型较多,本文选取其中较为典型的4个角色阵营进行介绍。
(1)红方防守方
红方专属界面和态势呈现主要以针对安全事件发现与业务恢复、系统加固、勘验取证、线索溯源等应急响应工作为主要展示对象,同时系统提供单独的红方阵营资产的监控和防御操作界面。
(2)蓝方攻击方
蓝方专属态势界面主要呈现收集信息、漏洞挖掘、漏洞利用等信息。系统提供单独蓝方阵营攻击操作的界面,包括内网渗透等工作获取目标资产权限等操作。
(3)白方导演方
白方有专属的全局态势视角,主要呈现演练任务进程与详情、红蓝方分别的态势详情与当前攻击局势详情。系统提供单独的操作界面,配合完成对红蓝方队成员行为的引导和调整,确保训练按预定的剧情顺利展开,并为训练评估提供数据支持。
(4)绿方运维方
绿方专属的操作界面主要展示维护物理设备和网络空间基础设施的相关操作和信息,具有网络基础设施监控和网络管理等权限。
3.3 网络地形可视化
靶场可视化中网络关键地形的呈现是基础。网络地形是指演练任务中所构建的网络拓扑场景,是网络空间、地理空间和社会空间相互映射的虚拟的、动态的网络空间地图。网络靶场系统通常采用虚实结合的方式进行网络环境构建与仿真,靶场可视化系统将网络地形的绘制和展示图形化,在靶场演练任务中生成符合训练的拓扑场景或仿真网络。网络地形的呈现上,在保留实际物理连接关系数据的同时,结合逻辑关系和地理信息图进行展示。拓扑结构将以树形结构为主,其他形式为辅,如图1所示。利用三维技术,直观形象展现包括各种虚拟资源和实体资源的运行参数、资产属性信息、虚拟资源计算信息、资源内部运行状态、网络流量以及相关活动等信息,并转换为用户易读的可视化语言,展现在三维树形结构的拓扑和网络地形场景中。
布局算法是整个网络地形可视化的核心能力,选择合适的算法才能够高效直观地绘制并呈现出准确的网络地形图。借助逻辑布局法,通过网络拓扑中节点与节点的连接关系计算,得出每一个节点的坐标。常见的拓扑结构有树状结构、环状结构、网状结构等,主要采用树形布局算法、射线型布局算法、层次型布局算法和力导向布局算法。
由于树状拓扑结构直观易读,实现方法较为简单,实用性高,是靶场可视化系统中的主要布局方式。可将复杂的网络拓扑结构转化为树状拓扑,再对图的生成进行树型布局。
在处理节点数量小,拓扑结构相对简单的网络地形时,采用射线型布局算法,即选定一个中心点,从该点向四周发散。其效果通常是以图中每一个节点到中心节点之间的距离来衡量,根据中心节点到每一个节点的最短路径计算距离,将网络拓扑中最大的节点作为中心节点进行布局。
在处理小型网络地形时,优先考虑层次型布局算法。根据图的层次结构布局,虽然能够很好地展示网络拓扑图形的层次结构,但面对连接关系比较复杂的结构,该布局算法则无法清晰展示网络的内部结构,此时可结合其他算法进一步处理。
此外,也可采用力导向布局算法。将每个节点模拟为带有引力和斥力的电子,通过受两种力的影响而产生移动,直到所有节点的位置都能保证一种力学上的平衡,即可确定为节点的最终位置。这种算法能在一定程度上消除节点重叠和连线交叉的问题,使节点分布相对均匀,节点间连线长度相对统一,布局的图形效果相对较好。
逻辑布局构建拓扑结构,是一种更加灵活的布局方法,能更加清晰展现节点和节点之间的连接关系,呈现和揭示网络拓扑之间的内在性质。
靶场可视化系统可以预先提供多种场景的网络地形图,同时支持自定义编辑。基于不同的演练任务,可采用可视化网络地形拓扑编辑器,自由拖拽进行场景自定义绘制,通过规模弹性扩展来实现大规模网络快速构建,以支持多种场景和各类效能的训练任务,满足不同目的的靶场演练需求。
3.4 攻防态势可视化
攻防态势可视化能够直观、简洁、友好地呈现靶场中不同阵营的攻防视角,多视角多维度地展现攻防监控、分析、评估和回放等信息,既方便靶场的优化管理,也提高了靶场演练的效率和质量。其内容包含统计展示、大数据可视化分析、攻防过程展现、演练监控展示、网络地形态势、攻防行为态势、攻防效果态势、关键攻防事件复盘、演练任务历史态势等内容。
攻防态势可视化利用计算机图形学技术,在某种特定布局结构中使用八叉树、离屏渲染等技术处理场景,将节点对象添加到另一层场景中,按照攻防的动作、关键节点的状态、网络地图结构等信息分层展示攻防动作效果,如图2所示。将网络战场的三维环境通过拓扑结构的构建真实地展现出来,同时为导演方观察整个演训态势提供了参考依据。
在攻防态势呈现的过程中,采用两种摄像机投影方式,分别为透视投影和正交投影,在一个攻防场景中,同时设置多个不同的视点,对攻防效果界面进行渲染,实现多种攻防效果叠加的画面效果。摄像机可被链接在攻防态势中任何一个节点上,也可独立于攻防态势节点之外,任意自由进行位置的选取、旋转和缩放,以不同角度、不同视域、不同控制视点和法线矩阵等参数来控制攻防态势中视角的显示。
通过网络靶场攻防态势展示,能够有效提高攻防监控、分析、评估能力,方便展示虚拟靶机的资源配置情况,优化仿真环境的网络拓扑等。借助动态效果提升靶场攻防态势效果,实现靶场态势全方位监控,确保演练过程安全可控、演练结果有据可查、评估报告深度准确。
4 网络靶场可视化实现
4.1 靶场可视化系统架构设计
靶场可视化系统采用可视化多引擎架构,通过分层架构的方式,将态势的展示、绘制与控制管理相分离,这样仅需使用一套管理系统,即可满足多引擎获取与展示的调用要求。网络靶场需要满足训练要求的场景是包括网络、硬件、软件以及实践过程中的操作环境。通过这种封装方式,用户不用了解可视化内部显示元素的实现方法,只需通过网络和配置文件接口,即可对靶场攻防态势的显示元素进行编辑,从而快速简便地进行二次开发,如图3所示。
资源层管理靶场可视化系统的各类数据资源,主要包括场景及部署数据、模型数据和地理信息数据。引擎层采用网络地形、态势评估、场景构建等多维可视化引擎,为可视化系统提供完整的构建、支持和管理。控制层负责显示元素的控制和管理;绘制层可对可视化展示元素进行绘制;最终显示层进行实时网络攻防对抗全局态势展示,为攻防双方人员提供决策依据。可视化建模组件能够将用户攻防的演训元素转换为基于靶场态势的可视化语言,结合TOPO、ECharts、GIS等形式转换为靶场态势系统界面,再根据攻防演练数据转换成时序关系,按时间推进靶场态势效果,以保证实时态势和态势回放复盘的准确性。
4.2 靶场可视化系统实现
系统采用B/S结构,这样可有效避免C/S架构对客户端频繁升级程序、运行平台受限等问题,利用HTML5、WebGL等技术,带来更良好的可视体验。选用PostgreSQL作为系统数据库,保证稳定性和可靠性,接口采用RESTful架构,确保结构清晰、合标。
靶场可视化系统能够将演练过程中所产生数据的流动过程展现出来,包括网络扫描、情报搜集、实施攻击等操作,将网络流量与已知的攻击类型特征进行匹配,显示双方资产节点之间的攻防武器类型,展现双方应用的攻击手段、防御方法的顺序和效果。对演练结果数据进行态势评估分析与数据可视化展示,并结合攻防态势回放,为靶场演练提供准确科学的指导依据。
靶场数据的可视化展示利用可视化引擎和集成工具,将多维度、多角度结果进行分析整合,系统在设计时需要考虑直观性、易读性、友好性、突出性和集成性,充分考虑决策者思维,保证重要信息能够突出展示而非面面俱到。按照可视化展示流程,可准确传达、多维分析、综合关联,实现多种分析结果有机结合而非简单堆砌,确保靶场可视化系统的实用性、准确性,如图4所示。
靶场可视化系统需结合攻击方、防守方、导演方等多方视角和阵营,选择所需展示的数据,分别进行数据转化和可视化呈现,各角度可视化模块通过集成处理与分析,根据攻防任务的重要程度和靶场攻防策略架构,综合整体美观性,对可视化模块和界面进行组合联动,既可通过单屏显示全方位态势信息,也可通过多屏联动分屏展示信息,将可视化数据持续分析与整合,保证在有限的界面丰富信息的展现。
4.3 靶场可视化应用案例
4.3.1 网络靶场部署态势
网络靶场可视化系统依据采集的数据信息,通过拓扑结构、节点布局等技术,在网络空间部署可伸缩的多视角可视场景,如图5所示。系统通过数据采集接口,收到资源部署的详细数据,并通过配置文件中的特效配置,将未部署、正在部署、部署完成这3种状态通过靶场部署态势展现出来,使得靶场部署的过程和进展一目了然,如图6所示。
4.3.2 三方视角下的网络靶场态势
图7展示了三方视角下的网络靶场态势系统的效果,通过分别展现三方视角,支持多屏联动的方式对攻防事件进行态势复现分析。同时主态势界面也能够将多视角内容汇入单屏展示,如图8所示,分别将蓝方的攻击视角、红方的防守视角和导演方的全局视角进行全新的互动结合,丰富了靶场态势信息的展示。
4.3.3 乌克兰停电事件实景靶场态势
乌克兰停电事件实景靶场态势是针对2015年12月发生的乌克兰国家电网遭遇网络攻击大面积停电事件的复现模拟。实景靶场根据乌克兰实际的地理信息、人口分布信息等真实数据,进行城市靶场构建,对其电力基础设施及居民区视角进行3D建模,如图9所示,模拟乌克兰变电站遭遇攻击者投放病毒,被远程控制进行拉闸操作,导致几十万人停电。
5 结语
本文介绍了可视化技术在靶场中的应用,验证了针对靶场全过程的可视化管理,有助于深入展示网络空间攻防对抗信息,并以此为依据,准确把握网络空间攻防态势,使靶场平台的攻防信息透明化,辅助网络空间作战的能力和决策,提升网络空间作战的方式和技能,通过可视化技术实现了可看见、可分析、可感知、可指挥、可交互的网络靶场。
(原载于《保密科学技术》杂志2021年6月刊)