CN101808084B - 一种大规模网络安全事件模拟与仿真方法及其控制方法 - Google Patents
一种大规模网络安全事件模拟与仿真方法及其控制方法 Download PDFInfo
- Publication number
- CN101808084B CN101808084B CN2010101094493A CN201010109449A CN101808084B CN 101808084 B CN101808084 B CN 101808084B CN 2010101094493 A CN2010101094493 A CN 2010101094493A CN 201010109449 A CN201010109449 A CN 201010109449A CN 101808084 B CN101808084 B CN 101808084B
- Authority
- CN
- China
- Prior art keywords
- file
- simulation
- node
- topological
- script
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种大规模网络安全事件模拟与仿真方法及其控制方法,涉及网络安全事件仿真领域。解决了现有的网络安全模拟系统存在无法进行全面的安全事件模拟的问题。具体步骤如下:A、根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换;B、根据拓扑和并行模拟的粒度,对路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;C、按照相应的规则生成并行模拟可用的模拟脚本,不同模拟节点上的模拟脚本相同,每个节点读取与自己有关的部分脚本,共同完成模拟任务。本发明适用于大规模的网络安全事件模拟。
Description
技术领域
本发明涉及网络安全事件仿真领域。
背景技术
网络安全问题已成为信息时代人类共同面临的挑战,国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节;网络政治颠覆活动频繁。
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。
网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:如信息泄漏、信息污染、信息不易受控等问题。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。
对安全事件的研究更是进入了系统化的研究状态中。Cliff C.Zou 在Routing Worm:AFast,Selective Attack Worm based on IP Address Information一文中详细地阐述了基于路由先择策略扫描的蠕虫的特点,对诸如:CodeRed、Slammer、Blaster之类的蠕虫,并展示了它的们模拟方法与效果。而基于点击列表的蠕虫也由S.Staniford等进行了系统研究。王方伟等人的研究将网络蠕虫进行了很好的分类,并对它们对蠕虫传播的影响进行了对比分析。
李光永等人指出进入21世纪以来的短短几年内,DDoS(分布式拒绝服务式攻击)对Internet呈现出越来越严重的危害性,被公认为是对Internet最大的威胁之一,同时也成为国内外网络安全领域研究的一个热点,相似的文献,分析了DDoS在网格计算和协同计算流环境下的影响,并提出了一种有效的、自适应的全球性检测及预防分布式攻击的方法。
近年来,僵尸网络(Botnet)对网络的影响也渐渐进入人们的视野。提出了一种基于时区划分的僵尸网络传播模型,不同于SIR,SI,SIRH模型,基于时区的传播模型使得对于传播的模拟更加精确。而肖斌等人则讨论了僵尸网络的传播特性、传播策略及预警等多个方面。
上面讲述了国内外学者对网络安全事件的系统化研究,然而这些研究应用于实际系统模拟中却存在许多显而易见的问题。其中最主要的是事实上,并不存在一个比较全面的安全事件模拟系统。许多网络模拟系统(如NS2,GTNetS等)虽然支持扩展,但都只存在基本的网络安全事件(如TCP,UDP,FTP等)的模拟。
虽然,马铭等人所提出的WSS系统在某种意义上也是一个良好的模拟与处理相关数据的工具,但它仅仅能进行基于随机扫描策略的蠕虫模拟,而不能模拟其它类别的安全事件。从这个角度来说,这方面的工作仍是任重而道远的。
发明内容
本发明为了解决现有的网络安全模拟系统存在无法进行全面的安全事件模拟的问题,提供一种大规模网络安全事件模拟与仿真方法及其控制方法。
一种大规模网络安全事件模拟与仿真方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,具体步骤如下:
步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤B中拓扑划分模块可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤B、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤A获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件,按照相应的规则生成并行模拟可用的模拟脚本,不同模拟节点上的模拟脚本相同,每个节点读取与自己有关的部分脚本,共同完成模拟任务。
一种大规模网络安全事件模拟与仿真的控制方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,具体步骤如下:
步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤二中拓扑划分器可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤二、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤一获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下:
步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中,按照相应的规则生成并行模拟可用的模拟脚本;
步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本,进行网络安全事件模拟。
本发明根据拓扑数据和安全事件数据,实现安全事件的并行模拟功能;以期观察安全事件对网络性能造成的影响,可以依据本法发明的方法分析得出的响应控制策略,对应用响应控制策略的同批安全事件再次进行模拟,以验证响应控制策略的有效性。本发明的网络模拟规模6万个以上的路由节点,安全事件规模达10万条以上,模拟时间在2小时以内,可以模拟蠕虫、僵尸网络、DDOS及其他安全事件。本发明是用于大规模的网络安全事件模拟,并基于此平台进行网络安全事件传播等态势分析及应急响应策略的验证。
附图说明
图1为大规模网络安全事件模拟与仿真方法的流程图。图2为具体实施方式二的流程图。图3为具体实施方式四的流程图。图4为具体实施方式五的流程图。图5为教育网拓扑信息示意图。图6为无控制策略和加控制策略的曲线对比图,即通过此平台作用的控制策略验证示例。图7数据预处理模块的工作原理图。图8为拓扑划分模块的工作原理图。图9为并行模拟脚本生成及模拟执行模块的工作原理图。图10为本发明一次模拟仿真过程。
具体实施方式
具体实施方式一、结合图1说明本实施方式,一种大规模网络安全事件模拟与仿真方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,具体步骤如下:
步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤B中拓扑划分模块可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤B、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤A获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件,按照相应的规则生成并行模拟可用的模拟脚本,不同模拟节点上的模拟脚本相同,每个节点读取与自己有关的部分脚本,共同完成模拟任务。
其中,模拟执行过程中包括网络拓扑结构模拟子模块,背景流量模拟子模块,安全事件模拟子模块以及其他验证子模块(此处以控制策略验证为例)。
所述粒度表示数据包级别的模拟;相应规则指不同的网络安全事件的攻击实施特点(例如不同类型的蠕虫,僵尸网络botnet,DDoS等)定义不同的规则库,还有就是拟用于分析的指标,例如控制策略的规则,要在哪些路由器上实施什么控制规则例如,丢包等)这些都属于脚本生成阶段要考虑的问题。有了这些规则之后,就可以利用模拟中的节点,边,代理来实现模拟的工作了。
安全事件文件包括蠕虫模拟文件、僵尸网络模拟文件和DDOS模拟文件,还可以进行其他安全事件的模拟,安全事件文件以代码的形式编译到NS2内,每次新增或更改这些安全事件,需要对NS2进行重新编译。
NS2(Network Simulator,version 2)是一种面向对象的网络仿真器,它本身有一个虚拟时钟,所有的仿真都由离散事件驱动的。NS2可以用于仿真各种不同的IP网,已经实现的一些仿真有:网络传输协议,比如TCP和UDP;业务源流量产生器,比如FTP,Telnet,Web CBR和VBR;路由队列管理机制,比如Droptail,RED和CBQ;路由算法,比如Dijkstra等。NS2也为进行局域网的仿真而实现了多播以及一些MAC子层协议。
本发明的方法可以对大规模网络安全事件进行多机并行模拟,通过本发明的模拟可以观察安全事件对网络性能造成的影响,为提出的响应控制策略提供依据,并且评估相应的控制策略对安全事件遏制的正反两方面的影响。
具体实施方式二、结合图2和图7说明本实施方式,本实施方式是对具体实施方式一中的步骤A的进一步说明:步骤A的具体过程如下:
步骤A1、备份拓扑边文件;
步骤A2、根据拓扑数据分析得到的网络拓扑结构连接特征,根据拓扑中的核心链路与边缘链路层次特性,进行链路带宽和延迟的估算,并将估算的带宽和延迟的值更新至拓扑边文件中;
步骤A3、根据拓扑数据,获得路由节点的连接关系文件;
步骤A4、将安全事件文件的格式转换成拓扑划分模块可接受的输入文件格式。
所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件,边文件格式为link.txt,路由节点文件格式为node.txt,主机节点文件格式host.txt,拓扑划分器的输入文件格式为topo.graph。
具体函数及功能见表1。
表1
图7显示了数据预处理模块的工作原理。
具体实施方式三、本实施方式是对具体实施方式二中步骤A2的进一步说明,步骤A2中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下:
逐一对每一个节点进行带宽的估算和延迟的估算,对任意一个节点进行带宽的估算和延迟的估算方法是:
首先根据每一个节点的节点编号,查询每一个节点的等级,根据每一个节点的等级估算本节点的带宽;
然后根据每一个节点的带宽,获得本节点处的延迟值。
具体实施方式四、结合图3和图8说明本实施方式,本实施方式是对具体实施方式一中的步骤B的进一步说明:步骤B的具体过程如下:
步骤B1、将步骤A3获得的路由节点的连接关系文件进行无向图划分,获得划分结果文件;
步骤B2、由路由节点文件、更新后的拓扑边文件和步骤B1获得的划分结果文件,生成新的拓扑数据文件;
步骤B3、将步骤B2获得拓扑数据文件格式转换为步骤C中模拟脚本生成器可接受的输入文件格式。
在拓扑数据预处理结束后,拓扑边文件得到了估算的带宽和链路延迟的值,同时通过预处理,得到了拓扑划分器可接收的输入文件格式。而拓扑划分模块的主要功能是:一是根据步骤A的输出,对网络拓扑进行划分,以进行后来的并行式网络模拟;二是根据拓扑划分的结果生成拓扑数据文件(topo.1ink),该文件提供后续步骤中需要的全部网络拓扑数据。
具体函数及功能见表2。
表2
图8显示了拓扑划分模块的工作原理。
具体实施方式五、结合图4和图9说明本实施方式,本实施方式是对具体实施方式一中的步骤C的进一步说明:步骤C的具体过程如下:
步骤C1、将步骤A获得的安全事件文件和步骤B获得的拓扑数据文件输入到模拟脚本生成器中,按照相应的规则生成并行模拟可用的模拟脚本;
步骤C2、每个节点从步骤C1获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本,进行网络安全事件模拟。
并行模拟脚本生成及模拟执行模块的功能是实现输入文件到并行模拟脚本文件的转换。该模块以拓扑信息文件和安全事件文件作为输入,生成相应的并行模拟脚本。具体函数及功能见表3。
表3
图9显示了并行模拟脚本生成及模拟执行模块的工作原理。
具体实施方式六、一种大规模网络安全事件模拟与仿真控制方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,具体步骤如下:
步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤二中拓扑划分模块可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤二、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤一获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下:
步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中,按照相应的规则生成并行模拟可用的模拟脚本;
步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本,进行网络安全事件模拟。
本实施方式中步骤一与具体实施方式二和具体实施方式三中数据处理模块的工作过程相同;本实施方式中步骤二与具体实施方式四的工作过程相同;
具体实施方式七、结合图5、图6和图10说明本实施方式,本实施方式中网络拓扑的模型是全国范围的教育网,节点数超过4万,边数超过6万条。
将教育网的节点、链路和代理统计并保存为拓扑数据。
节点:是网络拓扑的重要组成部分,表示网络中实际的节点和路由器,节点有一个路由表、路由算法、基于目的地址转发的数据包,节点本身并不产生分组,而是由代理来产生和消费分组。一个单播节点包括两个tcl对象:地址分类器和端口分类器,它们分别用来判断分组的目的地址和分组目的的代理。
链路:用来连接节点和路由器,一个节点可以有一条或多条输出链路。所有的链路都以队列的形式来管理分组到达、离开或丢弃,统计并保存字节数和分组数。
代理:代表了网络层分组的起点和终点,并被用于实现网络协议。
实际测得的教育网的拓扑数据中,只包含节点间的连接状况,节点是由IP地址唯一标识的,用编号来表示节点,将拓扑数据进行预处理,
首先、备份拓扑边文件;
然后、根据拓扑数据进行链路带宽和延迟的估算,这里有两种方法可以用来估计链路的带宽,估算的经验值是根据全国分布式拓扑及性能测量平台长期测量结果进行参考而定。
方法一、从拓扑数据中可以计算出每个路由器节点的度,根据度值估算每个节点的带宽,大多数情况下,级别越高的路由器节点所发出的链路越宽,即节点等级越高,度越大,链路越宽,表4给出了带宽与度关系的经验数据。
表4
方法二、从网络测量数据中可以获得与主机相连的路由器集合,这些集合中的路由器在整个路由器拓扑中级别最低(定义为第3级路由器),因此与这些路由器相连的链路宽带最小;不与主机相连而直接与第3级路由器相连的路由器级别稍高(定义为第2级路由器),相应的链路带宽较宽;不与主机相连,也不与第3级路由器相连的路由器级别最高(定义为第1级路由器),具有的链路带宽最高;表5给出了各级路由器间的带宽。
表5
根据链路带宽的值,估算链路延迟,表6给出了链路带宽和延迟的关系。
表6
本实施方式中模拟的安全事件为蠕虫事件;
然后,根据拓扑数据,获得路由节点的连接关系文件;转换文件格式;
由于针对的是大规模的网络安全事件,涉及到的拓扑规模很庞大,需要对拓扑数据进行划分和生成并行模拟脚本处理,拓扑划分的方法具体实施方式四做了详细介绍,生成并行模拟脚本的方法具体实施方式五做了详细介绍。
利用此发明的控制验证示例:
根据网络模拟与仿真平台对于教育网上蠕虫安全事件的模拟,感染蠕虫主机所对应的路由器集合,此集合我们定义为异常路由器集合,分析拓扑结构连接信息,找到与异常路由器集合直接相邻的最小路由器集合,定义为控制路由器集合,因此,提出一种基于公共控制点的控制策略(CommonalityControl Route简称CommCtrlRt)算法。拟利用此算法实施前后的效果来说明如何利用本发明平台进行控制策略的研究分析过程。
算法CommCtrlRt描述
输入:网络拓扑图G,异常路由器集合ARS
输出:公共控制点集合CCS
CommonCtrlRt(G,ARS)
1CCS←NULL
2FOR EACH r INARS DO
3IF DEGREE(r)>1THEN
4PUT rTO CCS
5CONTINUE
6END IF
7PUT PARENT r TO CCS
8END FOR
9FOR EACH r IN CCS DO
10FOR EACH r’ADJON rAND r’IS ARS AND r’IN CSS DO
11IFALL rADJON r’IN CSS DO
12REMOVE r’FROM CSS
13END IF
14END FOR
15END FOR
图5为教育网拓扑信息示意图,黑色节点1代表共同控制路由器,红色节点2代表异常路由器,灰色节点3代表异常路由器同时本身也是该点的控制路由器,很显然只要在红色节点和灰色节点上限制异常节点的访问,就可以限制异常事件如蠕虫的传播和扩散。
图6为本应用示例的分析结果图,即无控制策略和加控制策略的曲线对比图,曲线4代表无控制策略时安全威胁指数,曲线5代表有控制策略时安全威胁指数,即利用本发明的一种大规模网络安全事件模拟与仿真方法与一种大规模网络安全事件模拟与仿真控制方法的对比图。
图10显示本发明一次模拟仿真过程。
Claims (9)
1.一种大规模网络安全事件模拟与仿真方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,其特征在于具体步骤如下:
步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤B中拓扑划分模块可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤B、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤A获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件,按照相应的规则生成并行模拟可用的模拟脚本,不同模拟节点上的模拟脚本相同,每个节点读取与自己有关的部分脚本,共同完成模拟任务。
2.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法,其特征在于步骤A的具体过程如下:
步骤A1、备份拓扑边文件;
步骤A2、根据拓扑数据分析得到的网络拓扑结构连接特征,根据拓扑中的核心链路与边缘链路层次特性,进行链路带宽和延迟的估算,并将估算的带宽和延迟的值更新至拓扑边文件中;
步骤A3、根据拓扑数据,获得路由节点的连接关系文件;
步骤A4、将安全事件文件的格式转换成拓扑划分模块可接受的输入文件格式。
3.根据权利要求2所述的一种大规模网络安全事件模拟与仿真方法,其特征在于步骤A2中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下:逐一对每一个节点进行带宽的估算和延迟的估算,对任意一个节点进行带宽的估算和延迟的估算方法是:
首先根据每一个节点的节点编号,查询每一个节点的等级,根据每一个节点的等级估算本节点的带宽;
然后根据每一个节点的带宽,获得本节点处的延迟值。
4.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法,其特征在于步骤B的具体过程如下:
步骤B1、将步骤A获得的路由节点的连接关系文件进行无向图划分,获得划分结果文件;
步骤B2、由路由节点文件、更新后的拓扑边文件和步骤B1获得的划分结果文件,生成新的拓扑数据文件;
步骤B3、将步骤B2获得拓扑数据文件格式转换为步骤C中模拟脚本生成器可接受的输入文件格式。
5.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法,其特征在于步骤C的具体过程如下:
步骤C1、将步骤A获得的安全事件文件和步骤B获得的拓扑数据文件输入到模拟脚本生成器中,按照相应的规则生成并行模拟可用的模拟脚本;
步骤C2、每个节点从步骤C1获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本,进行网络安全事件模拟。
6.一种大规模网络安全事件模拟与仿真的控制方法,它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现,具体步骤如下:
步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算,获得路由节点的连接关系文件,将安全事件文件的格式转换为步骤二中拓扑划分模块可接受的输入文件格式,所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件;
步骤二、拓扑划分模块根据拓扑和并行模拟的粒度,对步骤一获得的路由节点的连接关系文件进行划分,使其能够部署在多机并行的环境下进行并行模拟,并根据划分结果更新相应的拓扑数据文件;
步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下:
步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中,按照相应的规则生成并行模拟可用的模拟脚本;
步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本,进行网络安全事件模拟。
7.根据权利要求6所述的一种大规模网络安全事件模拟与仿真的控制方法,其特征在于步骤一的具体过程如下:
步骤一一、备份拓扑边文件;
步骤一二、根据拓扑数据分析得到的网络拓扑结构连接特征,根据拓扑中的核心链路与边缘链路层次特性,进行链路带宽和延迟的估算,并将估算的带宽和延迟的值更新至拓扑边文件中;
步骤一三、根据拓扑数据,获得路由节点的连接关系文件;
步骤一四、将安全事件文件的格式转换成拓扑划分模块可接受的输入文件格式。
8.根据权利要求7所述的一种大规模网络安全事件模拟与仿真的控制方法,其特征在于步骤一二中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下:
逐一对每一个节点进行带宽的估算和延迟的估算,对任意一个节点进行带宽的估算和延迟的估算方法是:
首先根据每一个节点的节点编号,查询每一个节点的等级,根据每一个节点的等级估算本节点的带宽;
然后根据每一个节点的带宽,获得本节点处的延迟值。
9.根据权利要求6所述的一种大规模网络安全事件模拟与仿真的控制方法,其特征在于步骤二的具体过程如下:
步骤二一、将步骤一获得的路由节点的连接关系文件进行无向图划分,获得划分结果文件;
步骤二二、由路由节点文件、更新后的拓扑边文件和步骤二一获得的划分结果文件,生成新的拓扑数据文件;
步骤二三、将步骤二二获得拓扑数据文件格式转换为步骤三中模拟脚本生成器可接受的输入文件格式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101094493A CN101808084B (zh) | 2010-02-12 | 2010-02-12 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101094493A CN101808084B (zh) | 2010-02-12 | 2010-02-12 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101808084A CN101808084A (zh) | 2010-08-18 |
CN101808084B true CN101808084B (zh) | 2012-09-26 |
Family
ID=42609704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101094493A Active CN101808084B (zh) | 2010-02-12 | 2010-02-12 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101808084B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102486805A (zh) * | 2010-12-02 | 2012-06-06 | 中兴通讯股份有限公司 | 工程现场应用的模拟方法及装置 |
CN104796416A (zh) * | 2015-04-08 | 2015-07-22 | 中国科学院信息工程研究所 | 一种僵尸网络的模拟方法及系统 |
CN106506218B (zh) * | 2016-11-15 | 2019-12-10 | 中国电子科技集团公司第二十八研究所 | 一种动态注入式僵尸网络传播行为的仿真方法 |
CN112929218B (zh) * | 2021-02-04 | 2022-09-27 | 西安热工研究院有限公司 | 一种工控靶场虚实环境自动生成系统及装置 |
CN113609631B (zh) * | 2021-08-16 | 2023-11-14 | 傲林科技有限公司 | 基于事件网络拓扑图的创建方法、装置及电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1674546A (zh) * | 2005-03-15 | 2005-09-28 | 南京邮电学院 | 一种大规模网络中基于移动代理的拓扑方案 |
GB2430328A (en) * | 2005-09-19 | 2007-03-21 | Itt Mfg Enterprises Inc | Modelling/simulating a network node including a plurality of protocol layers with selectively configurable switches disposed between and coupling the layers |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
CN100403706C (zh) * | 2006-01-11 | 2008-07-16 | 西安电子科技大学 | 网络安全模拟系统及其仿真方法 |
CN100499451C (zh) * | 2003-08-26 | 2009-06-10 | 中兴通讯股份有限公司 | 网络通信安全处理器及其数据处理方法 |
CN101605348A (zh) * | 2008-11-24 | 2009-12-16 | 中国移动通信集团广东有限公司 | 一种数据业务模拟方法及应用系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
US20080256078A1 (en) * | 2007-04-10 | 2008-10-16 | Venkat Bhashyam | Secure distributed computing engine and database system |
US20090245114A1 (en) * | 2008-04-01 | 2009-10-01 | Jayanth Vijayaraghavan | Methods for collecting and analyzing network performance data |
-
2010
- 2010-02-12 CN CN2010101094493A patent/CN101808084B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100499451C (zh) * | 2003-08-26 | 2009-06-10 | 中兴通讯股份有限公司 | 网络通信安全处理器及其数据处理方法 |
CN1674546A (zh) * | 2005-03-15 | 2005-09-28 | 南京邮电学院 | 一种大规模网络中基于移动代理的拓扑方案 |
GB2430328A (en) * | 2005-09-19 | 2007-03-21 | Itt Mfg Enterprises Inc | Modelling/simulating a network node including a plurality of protocol layers with selectively configurable switches disposed between and coupling the layers |
CN100403706C (zh) * | 2006-01-11 | 2008-07-16 | 西安电子科技大学 | 网络安全模拟系统及其仿真方法 |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
CN101605348A (zh) * | 2008-11-24 | 2009-12-16 | 中国移动通信集团广东有限公司 | 一种数据业务模拟方法及应用系统 |
Non-Patent Citations (3)
Title |
---|
吴华,张宏莉,何慧,张宇.大规模网络安全事件威胁量化分析.《微计算机信息》.2008,第24卷(第3-3期),全文. * |
张宏莉等.大规模网络拓扑测量中的关键技术.《通信学报》.2004,第25卷(第7期),全文. * |
赵鹏宇,刘丰,张宏莉,王爽.大规模网络安全态势评估系统.《计算机工程与应用》.2008,第44卷(第33期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN101808084A (zh) | 2010-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Abraham et al. | Cyber security analytics: a stochastic model for security quantification using absorbing markov chains | |
Fachkha et al. | Darknet as a source of cyber intelligence: Survey, taxonomy, and characterization | |
Wu et al. | Sequence alignment detection of TCP-targeted synchronous low-rate DoS attacks | |
Bajcsy et al. | Cyber defense technology networking and evaluation | |
CN101808084B (zh) | 一种大规模网络安全事件模拟与仿真方法及其控制方法 | |
CN102447695A (zh) | 一种识别业务系统中关键攻击路径的方法 | |
Valluripally et al. | Attack trees for security and privacy in social virtual reality learning environments | |
Neema et al. | Integrated simulation testbed for security and resilience of cps | |
Agnew et al. | Implementation aspects of smart grids cyber-security cross-layered framework for critical infrastructure operation | |
Holik et al. | Threat modeling of a smart grid secondary substation | |
Ahmed et al. | Effective and efficient DDoS attack detection using deep learning algorithm, multi-layer perceptron | |
Nsunza et al. | Accelerating a secure programmable edge network system for smart classroom | |
Feng et al. | Modeling and analysis of peer-to-peer botnets | |
Feng et al. | Modeling peer-to-peer botnet on scale-free network | |
Hussain et al. | NCS security experimentation using DETER | |
Pandey et al. | Introduction to the Cyber Ranges | |
Kamsamrong et al. | State of the Art, Trends and Skill-gaps in Cybersecurity in Smart Grids | |
Minhuan et al. | Research on Technologies of Building Experimental Environment for Network Worm Simulation | |
Shorov et al. | The framework for simulation of bioinspired security mechanisms against network infrastructure attacks | |
Xiao et al. | Research on Intelligent Dynamic Honeynet Technology for Power Industrial Control System | |
Folarin | Improved ssl/tls man-in-the-middle attack detection technique using timing analysis and other behavioral anomalies | |
Meleshko et al. | Modelling attacks in self-organizing wireless sensor networks of smart cities | |
Jia et al. | Research on computer virus source modeling with immune characteristics | |
Ngo | Domain Adaptation of Deep Learning (D) DoS Attack Detection Models in Resource-Constrained Cyber Physical Systems Environments | |
Coppolino et al. | ICSrange: A Simulation-based Cyber Range Platform for Industrial Control Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |