刘靖旭,宋留勇,王潇雨
(战略支援部队信息工程大学,河南 郑州 450001)
网络空间态势表达是网络空间态势感知的重要组成部分,它将网络空间中获取的态势信息经过处理后,以直观、清晰的方式加以显示,为网络空间指挥和运维人员提供态势图,从而为网络空间指挥和行动提供有效支撑。态势的多尺度表达体现了不同层次指挥员执行作战意图所需态势感知的广度与深度。由于网络空间态势要素的种类多样性和数量大规模性,态势的多尺度表达需求凸显。
战场态势多尺度表达的相关研究主要有战场态势多尺度表达的概念、战场实体的聚合解聚模型、目标的显示控制方法等。文献[1]对战场态势多尺度表达进行概念研究,提出态势尺度是由广度、粒度、比例与空间、时间、语义组成的笛卡尔乘积,将尺度变换划分为尺度上推和尺度下推两类,将尺度变换过程分解为由广度变换、粒度变换、可视化派生,总结态势多尺度表达包括作战视图族、层次细节显示、变比例尺等典型样式。文献[2]针对航母战斗群在作战层、战术层、技术层等不同抽象层次上的建模,从位置、战损及作战效能等要素讨论了聚合解聚方法。文献[3]以Delaunay三角网为工具,基于点状军标群空间邻近关系,通过连接边剪枝、群组聚类和显示替换等步骤实现聚合显示。文献[4]依据作战实体的编制级别和重要性,控制战场态势表达的信息量和各层次态势信息的详略程度。
网络空间态势多尺度表达的相关研究主要有多视图表达、基于信息融合的多层次表达、目标的显示控制方法等。文献[5]设计了时序化的平行坐标视图、多主体的矩阵视图、多主体的时序视图和相似性扩展树视图等4个视图。文献[6]根据网络系统的组织结构,提出层次化安全威胁态势量化评估模型,基于报警发生频率、报警严重性及其网络带宽耗用率的统计,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数。文献[7]基于LOD技术建立网络态势数据多尺度分层模型,对态势数据进行分块标记数据预处理,并根据用户视点区域来进行数据的动态加载与调度。
当前,网络空间态势的表达主要是基于多样化的数据源使用雷达图、力引导图等多种可视化技术进行综合展示,呈现网络拓扑以及网络局部的主机状态、流量等微观态势,不能满足多层次态势感知的需要。本文依据态势尺度的概念分析了在空间、时间和语义维度上网络空间态势尺度的广度和粒度,对微观、中观、宏观网络空间态势的尺度进行了描述,探讨了网络空间态势尺度聚合方法的类别、特点及适用性,并给出空间维和语义维上网络多尺度表达示例。
战场态势是在空间、时间、语义三维体中演化的复杂系统,因此作为刻画其范围或抽象程度的态势尺度维度包括空间尺度、时间尺度、语义尺度三个维度,组成包括广度、粒度、频度、比例等[1]。下面结合网络空间态势的具体内容,对网络空间态势的尺度进行分析。
网络空间态势的空间尺度包括态势对象空间分布范围、粒度等。当前,网络空间的表达主要有基于地理空间的表达和基于逻辑空间的表达。基于地理空间的网络态势表达展示网络实体所对应的地理位置信息,如经纬度、城市等,其空间广度取决于网络实体地理空间分布的范围。基于逻辑空间的网络态势表达将网络空间中的实体抽象为节点和边,采用网络拓扑图或者热力图、雷达图等方式实现主机布局,其空间广度取决于网络实体的规模。网络空间态势的粒度取决于所表达实体的粒度。
由于在不同领域的态势表达中时间尺度具有概念一致性,在这里直接引用战场态势时间尺度的相关概念,即网络空间态势的时间广度指网络系统演变的时间长度,时间粒度代表网络状态更新的时间间隔。
语义尺度体现为态势图所表示的态势要素种类范围的语义广度,以及态势对象或其属性项构成关系等的粗细程度的语义粒度。网络空间态势要素包括物理空间和虚拟空间中实体及其属性、状态、行为等信息,其语义广度体现在态势表达的实体类别、属性类别和行为类别等。
(1)关于实体的语义尺度
网络空间实体由人、机、环境和虚拟实体等构成,机指主机、工作站等网络终端,环境包括地理环境、电磁环境、通信链路等,虚拟实体指依托机而存在的各类进程。实体类别划分越详细,态势表达的集合语义粒度就越小。
网络空间中主机的安全状况受自身漏洞和所提供的服务的影响,而主机通过通信链路连接形成局域网,再进一步聚合形成更大的网络系统。网络实体对象及其构成关系表征的越详细,网络态势的聚合语义粒度就越小。
(2)关于属性的语义尺度
实体属性是对实体的特性、功能、状态等方面的刻画。网络空间实体的属性可以划分为物理域、信息域、认知域、社会域等类别,如属于物理域的实体的位置属性、属于信息域的实体的安全属性、属于认知域的行为属性、属于社会域的人的角色属性等。态势表达所涵盖的实体属性的类别多少是语义广度的一种体现。
网络实体属性的粒度与网络实体的粒度存在着一定的对应关系。例如,脆弱性可以分为服务脆弱性、主机脆弱性、链路脆弱性、网络系统脆弱性等,网络系统脆弱性取决于构成网络的主机、链路等元素的脆弱性以及网络系统的结构特征。
(3)关于行为的语义尺度
从网络空间实体之间的交互关系的角度,可以将行为分为人—机交互、人—数据交互、机—机交互等[8];从网络空间安全角度,可以将实体行为划分为网络侦察、网络攻击和网络防护等。当前,网络行为信息的来源包括防火墙、入侵检测系统、防病毒软件、流量监控系统和主机状态监控系统等各种网络监控和防御设备的检测数据,网络安全态势表达的内容主要是由入侵行为或非法操作引起的网络安全事件。将多个关联事件处理成攻击轨迹或其他活动时,便实现了事件的语义聚合。因此,从事件到实体行为,再由单个行为再到多阶段行为,体现了实体行为的不同粒度。网络态势所表达的事件、行为等的类别多少体现了关于行为的语义广度。
作战态势图可根据应用层次划分为战略、战役、战术等,不同层次态势图表达内容的广度、粒度、频度甚至表现形式都有所侧重[9]。由于网络空间指挥控制具有一般指挥控制的层次化特征[10],且网络空间所具有层次性和区域性的结构特征为态势的多尺度表达提供了必要的支撑,本文依据态势的应用层次将网络空间态势分为三层,每层具有该层次下的实体的类别、数量、位置、性能、状态、行为及其效能、构成关系等要素,具体如表1所示,不同层次之间存在聚合解聚的映射关系。
随着层级的提高态势表达的广度和粒度也在发生变化,具体表现在:从局域网、区域网到全国/全球网络的空间范围增加;从单平台/单链路的性能、状态等要素到网络系统综合态势,从网络事件、网络行为到网络意图的语义尺度变化;从单实体/单系统平台及其关联关系到关键节点及其关联关系的颗粒度变大;等。
表1 网络空间态势层次及其尺度
网络空间态势信息的来源是大量的传感器数据,态势尺度转换重点考虑尺度上推,即从小尺度到大尺度的转换,也是信息抽象综合的过程。由于空间、时间、语义维度上尺度之间的关联性,尺度转换时存在多个维度上粒度的同时转换。下面根据聚合方法所依据的网络属性,分别从空间和语义维度讨论尺度聚合的基本方法。
空间尺度聚合依据网络空间实体的空间关系进行实体的聚合,具体需要确定聚合的依据、方式以及聚合单元的空间坐标。网络空间实体的空间属性主要有地理位置、IP地址、拓扑关系等,依据其中一种或几种属性进行实体的聚类是常见的聚合方式,如表2所示。
表2 空间维上的尺度聚合方法
基于空间距离关系的实体聚合依据实体间的距离关系来定义实体的相似度,采用聚类算法实现实体的聚合。由于实体的地理位置已知,由原来多个单个实体的位置解算出聚合单元的位置,常有几何平均法、加权平均法、核心定位法、加权核心定位法等[2]。
基于实体所在网络层次的实体聚合按照网络拓扑固有的层次性特征,将低层网络中的子网在高层网络中聚合为单个节点。基于拓扑关系相关性的实体聚合采用聚类算法、社团发现等实现节点或边的聚合[11],用新的节点和边替代一系列高度相关的节点和边。对于聚合后的网络,按照一定的算法实现网络中节点和边的布局。
语义尺度聚合依据网络空间实体或属性之间的内在关系,对属性、行为功效等进行聚合,具体包括实体状态聚合、能力聚合、效能/战损聚合等。根据聚合的语义类别不同,可以采用不同的聚合方式,常见的有简单的累加、综合加权法、推理的方法、信息熵等。
(1)简单的累加
基于某个统计量进行累计,以体现某方面量的积累或变化。网络安全态势统计分析的统计项常见的有:网络流量、网络的入度数与出度数、漏洞数、安全事件数等。
(2)综合加权法
当实体的属性受多方面因素综合影响时,利用权重体现不同因素的重要性/贡献,进而实现多因素的聚合。例如,网络安全态势是主机安全态势以及网络结构等要素的综合,用权重体现主机在局域网中的重要性,则网络系统的威胁指数可以用主机的威胁指数的加权和进行度量。常见的方法有层次分析法、模糊综合评判、灰色模糊综合评估等。
(3)推理的方法
网络空间的事件、行为等存在着一定的时空关系,它是关于行为的语义尺度聚合的重要依据。基于贝叶斯网络、语义网等表示网络空间事件、行为、行动等之间的关系,在此基础上,基于观测到的安全事件推导网络行为、意图等。常见的方法有贝叶斯网络、D-S证据理论、不确定性推理等。
(4)方法比较分析
尺度聚合的方式一方面受态势表达的层次和内容的影响,也受可利用的数据/信息等的制约,不同方法有其自身的特点和适用性,三类方法的特点及适用性分析如表3所示。
当前,网络空间监测数据的可视化表达的方法有地图、树图、平行坐标、堆叠图、热图、流图、弧线图、雷达图等多种形式。下面分别对空间多尺度表达和语义多尺度表达做以简单的示例。
表3 语义维上的尺度聚合方法
(1)基于树图的空间多尺度表达
树图是可视化层次结构数据的一个主要方法,它利用矩形尺寸和颜色表示网络节点的特征。图1分别展示了某目标网络的二、三层网络,矩形框表示目标主机,尺寸表示流数,颜色表示目标流量[12]。该图体现了基于实体所在网络层次的聚合,以及网络流量的简单累加。例如,图1(a)所表达的172.10的数据是由处于该网段的图1(b)中172.10.0、172.10.1、172.10.2等多个子网的累积。
(2)基于时序图的语义多尺度表达
网络流量时序数据表达是网络流量动态变化过程的可视化,可以支撑流量预测或异常监测。图2展示了某局域网的源IP 熵、目的IP 熵、源端口熵、目的端口熵、出度熵、入度熵等6个流量特征和综合特征SUM随时间的变化,体现了网络流量特征的多语义表达。其中,用熵作为流量特征来度量一个时间段内网络活动的随机特征,例如,源IP熵体现了一个时间段内网络流来源IP的随机性;网络流量综合特征SUM的值,是由六个信息熵通过线性加权法得到的,指标的权重用标准差法确定。
图1 网络主机的多尺度表达
图2 网络流量的多尺度表达
网络空间态势的多尺度表达是网络空间态势多层次感知的需要。当前,网络空间态势表达主要面向网络安全,基于多源数据使用多种可视化技术进行多视图展示,难以满足现实需求。本文依据态势尺度的概念分析了网络空间态势尺度的广度和粒度,以及态势层次与尺度的关系,探讨了网络空间态势尺度聚合方法的特点及适用性,并给出多尺度表达示例。由于网络空间态势表达内容的多样性和快速性,如何依据人的视觉感知机理合理设计表达信息复杂度、内容布局等是需要进一步研究的问题。