CN104363104B

CN104363104B - 一种面向用户需求的海量多元数据态势显示系统与方法

Info

Publication number: CN104363104B
Application number: CN201410513361.6A
Authority: CN
Inventors: 谭震; 俞赛赛; 陈衍铃; 刘文瀚; 郭世泽; 么健石; 王宇; 王小娟; 任传伦; 张先国; 田玮; 叶丰
Original assignee: No54 Inst Headquarters Of General Staff P L A
Current assignee: No54 Inst Headquarters Of General Staff P L A
Priority date: 2014-09-29
Filing date: 2014-09-29
Publication date: 2018-02-09
Anticipated expiration: 2034-09-29
Also published as: CN104363104A

Abstract

本发明提供一种面向用户需求的海量多元数据态势显示系统与方法，满足对网络安全保障行动中对网络态势完备度、时效性和准确性要求。步骤一、将传感器收集的态势显示数据，按照公共通信网、关键业务网、社交网分类，根据实体资源层、运行映射层和安全态势层进行分层整理；步骤二、将步骤一中归类整理后的数据，按照控制‑数据两层平面模型，实时计算两个平面的有限状态集合；步骤三、利用回声状态网络实时预测网络节点的安全属性变化；步骤四、将网络节点的实测安全属性与步骤三中预测的安全属性进行对比，按照网络元素不同优先级的定义，确定其展示优先级；步骤五、根据优先级网络节点优先级顺序，在态势图上以节点的大小和颜色来区分标绘。

Description

一种面向用户需求的海量多元数据态势显示系统与方法

技术领域

本发明属于网络安全态势显示领域，涉及一种面向用户需求的海量多元数据态势显示系统与方法。

背景技术

网络安全态势涉及公共互联网、关键业务网和社交网络，信息多元，类型复杂，数据量大。对于网络安全维护人员来说，大多数态势数据比较稳定，维持在一定范围内上下波动，不需特别关注；而当节点安全属性大幅变动时，就需要按用户需求进行突出显示。因此如何根据不同用户需求，展现重要设备、关键网络、热点话题的安全属性、运行状态和环境信息，通过分类处理海量、多元的情报信息，实时反映安全态势，精准、动态显示网络安全态势信息，成为当前研究的难点。

针对海量多元数据的态势显示，国内外的研究主要从海量多元数据处理、态势显示两个方面展开：

针对海量多元数据处理，主要用于公共互联网、关键业务网和社交网络，分析重要设备、关键网络、热点话题的安全属性、运行状态和环境信息等。在文献“基于多源海量数据分层递阶图表示模型的可视化信息融合的研究”中，根据低维空间数据的分布特征，利用雷达图的方式分层显示，该方法虽然降低了数据复杂度，但是损失了一定的信息；在“三维空间数据管理与可视化方法研究”、“多源空间数据的组织管理与应用”和“数据分页技术的海量三维数据模型动态调度”等文献中，利用分层、分块的思想进行海量地形信息的显示，但是该三维海量地形的数据并不能直接应用到关键节点数据处理中，因此需要借鉴其分层、分级思想，结合用户需求，对海量多元数据进行分类。目前关于分类算法有很多，包括v-SUM算法、VFDT算法、VFDTc算法、NIP算法、增量式学习法、FlexDT算法、可变滑动窗口法、OLINDDA算法等，这些算法关注于数据的处理、训练、分类，可以用于网络安全态势显示数据的归纳整理。

针对态势显示，主要利用GIS、DIS、HLA等系统或架构，进行态势显示的系统设计与实现。在文献“基于多层Web技术的作战态势显示系统的实现”中，根据关键技术CORBA标准等，建立了一个战场态势显示系统的体系结构框架；在文献“基于Qt的通用态势显示系统的框架及关键技术研究”中，建立系统数据组织模型，提出了场景—视图的软件构架方式，构建了分类分层态势管理机制，并对模块功能进行了详细的设计；在文献“分布式作战仿真中态势显示系统研究”中，利用二维态势显示与三维虚拟战场相结合的方式，构建了分布式作战态势显示系统结构。但是大部分研究成果集中在可视化技术，并没有考虑用户需求在物理实体层的变化。因此，首先对网络进行建模研究，然后根据网络元素态势数据的动态变化，确定态势显示优先级。因此，在动态变化判定中，需要根据历史属性数据，进行预测。针对时间序列的预测方法包括全域法、局域法、加权零阶局域法、加权一阶局域法、最大Lyapunov指数法、神经网络等。综合调研显示，回声状态网络新兴的神经网络，克服了之前网络模型基于梯度下降的学习算法所难以避免的收敛慢和容易陷入局部极小等问题，且其算法开销小、结果精度高。

发明内容

本发明提供一种面向用户需求的海量多元数据态势显示系统与方法，满足对网络安全保障行动中对网络态势完备度、时效性和准确性要求，实现内部态势数据流的高效稳定运行。

一种面向用户需求的海量多元数据态势显示方法，包括以下步骤：

步骤一、将传感器收集的态势显示数据，按照公共通信网、关键业务网、社交网分类，根据实体资源层、运行映射层和安全态势层进行分层整理；

对实体资源层、虚拟映射层和控制层的交互行为进行抽象建模，将三层模型抽象为两层控制-数据平面,其中控制平面包含了安全态势层、抽象的用户需求、抽象网络元素；作用有两个：一是对接收用户需求，具体分解为具体的数据调整方案；二是感知网络安全态势，对网络实体状态进行分析、判定，找出安全人员关注的重点节点、属性、事件进行突出展示；

数据平面是运行映射层与实体资源层的数据映射，是对物理节点、链路的具体的资源抽象，作用是接收用户安全需求数据，从而产生新的数据平面和控制平面状态；

步骤二、将步骤一中归类整理后的数据，按照控制-数据两层平面模型，实时计算两个平面的有限状态集合；

步骤三、利用回声状态网络实时预测网络节点的安全属性变化；

步骤四、将网络节点的实测安全属性与步骤三中预测的安全属性进行对比，按照安全属性优先级的定义，确定网络节点展示优先级；

步骤五、根据网络节点优先级顺序，在态势图上以网络节点的大小和颜色来区分标绘。

一种面向用户需求的海量多元数据态势显示系统，包括海量多元数据分层归类模块、图灵机数据处理模块、节点安全状态预测模块、节点优先级判定模块、网络安全态势标绘模块；其中：

海量多元数据分层归类模块负责将传感器收集的态势显示数据，按照公共通信网、关键业务网、社交网分类，根据实体资源层、运行映射层和安全态势层进行分层整理；

图灵机数据处理模块负责将海量多元数据分层归类模块中归类整理后的数据，按照控制-数据两层平面模型，实时计算两个平面的有限状态集合；

节点安全状态预测模块负责利用回声状态网络实时预测网络节点的安全属性变化；

节点优先级判定模块负责将网络节点的实测安全属性与步骤三中预测的安全属性进行对比，按照安全属性优先级的定义，确定网络节点展示优先级；

网络安全态势标绘模块负责根据网络节点优先级顺序，在态势图上以网络节点的大小和颜色来区分标绘。

本发明的有益效果：本发明提出了基于资源分层管理的网络态势显示架构和基于网络类型的态势态势要素归纳，对海量多元的网络安全态势数据进行了分层分类管理。提出了基于图灵机的安全态势网络模型，利用图灵机模型对网络安全态势数据进行了分层建模。提出了面向用户需求的网络安全态势分级显示方案，利用回声状态网络预测节点属性变化，并给出了节点显示的优先级判定规则。

附图说明

图1为本发明面向用户需求的海量多元数据态势显示系统结构图；

图2为本发明海量多元数据归类示意图；

图3为本发明控制-数据平面示意图；

图4为本发明基于图灵机的虚拟网络体系结构抽象模型示意图；

图5为本发明面向用户需求的海量多元数据态势显示方法流程图。

具体实施方式

下面结合附图对本发明作进一步介绍。

一、海量多元数据分层归类

网络安全态势数据，来源广、数量大。为了更好地满足安全决策人员的观察需求，就要求首先对海量、多元的情报数据进行分层归类整理，确定网络安全态势显示要素。

二、基于资源分层管理的网络态势显示架构

网络安全态势显示要素是态势显示系统的核心数据。态势显示要素的整理和分析是态势综合显示数据组织管理、系统内部数据结构构建的基础。因此，第一步需要将从网络安全决策人员的角度对态势显示要素进行分析整理，形成基础的态势显示数据集的要素框架，为后续显示功能开发提供数据基础。

本发明将针对各类网络实体资源的多样性、分布式、动态性等特点，兼顾网络多样性和面向用户需求的态势展示倾向性，提出了基于资源分层管理的网络态势显示架构，该场景将网络安全态势从纵向分为三层：实体资源层、虚拟映射层和安全态势层。图1展示了基于资源分层管理的网络态势显示架构示意图。

实体资源层主要包括交换机、路由器、服务器、无线中继、社交网用户、PC等，是网络数据传递、舆论热点扩散、关键业务支撑的承载者。该层在网络安全态势显示图中为最底层，颜色最不显著，可配合地理图展示各类网络的总体架构。

运行映射层主要包括重要的设备、网元节点、社交用户的基本运行属性，例如吞吐量、路由交换节点负载、社交用户关注度、关键业务服务器负载、重要的节点与社交用户。该层关注于展现各个目标网络的连通、运行、重要节点、服务支撑、运行维护情况。该层在网络安全态势显示图中为中间层，颜色中等显著，主要用于展示各类网络的主要属性、运行状况，给决策者提供态势的全面的辅助信息。

安全态势层主要包括重点目标的安全属性，例如公共互联网中服务器提供服务的能力与安全状态、关键业务服务器安全状态、内网关键主机安全等级、敏感舆论热点传播情况等。该层在网络安全态势显示图中为最上层，颜色最显著，主要用于展示重要目标的安全属性变化情况，给决策者展示最需关注态势变化情况。

网络安全态势图并不是对网络态势整体的详细描述。海量多元数据分层归类，由实体资源层到运行映射层再到安全态势层，实际上是逐步对安全态势数据进行了抽象深化，重点凸显。

在网络安全态势显示资源进行分层管理的基础上，需要基于公共通信网、关键业务网、社交网三大类网络类型，对每一类网中需要展示的态势要素进行归纳梳理。

公共通信网主要包括以IP技术为体制的Internet网、WLAN、移动互联网在内的公共开放性互联互通网络。

(1)实体资源层显示要素主要路由交换设备、网络终端设备、服务器、安防设备、通信链路。

(2)运行映射层显示要素主要包括各类网元节点属性、各类通信链路属性、网络通信状态、路由节点负载、服务器负载。

(3)安全态势层显示要素主要有服务器(如DNS服务器)服务能力、服务器安全状况、重要交换中心与设备的数据转发能力、各类安全设备安防状态。

关键业务网主要指承载国民政治、经济关键业务的专用网络，主要由专有控制设备、通信系统和计算机系统组成。网络安全态势显示系统关注的关键业务网主要包括工控网、电力网、交通网、金融网、政务网、空管系统。其分层显示要素如下：

(1)实体资源层显示要素主要包括管控网网元、专用通信设备、通信链路、网络安防设备、内外网隔离设备、专用控制设备。

(2)运行映射层显示要素主要包括管控网网元属性、专用通信设备属性、通信链路属性、网络连通情况、管控协议。

(3)安全态势层显示要素主要有系统业务能力、管控网网元安全状况、安全设备安防状态、管控业务影响范围与程度。

社交网主要包括舆情热点信息分布网和用户群社交关系网。

(1)实体资源层显示要素主要有社交网络基本情况、关键用户地理分布、关键用户社交关系等。

(2)运行映射层显示要素主要有热点话题信息、热点话题发源地、热点话题分布与蔓延情况；

(3)安全态势层显示要素主要有重要舆情信息与发源地、重要舆情传播情况、重要舆情关注人群及影响程度。

综合上述各类各类网络情报数据分类整理规则，可按照如图2所示归类海量多元数据。

三、基于图灵机的安全态势网络模型

本发明关注的“用户需求”实际上包含两方面，一是用户在维护网络安全状态时，需要根据需求做出实时调整，改变网络元素的安全属性，即用户网络安全需求；另一方面，用户在观察态势展示时，需要对重点目标给与更多关注，即用户安全态势需求。在构建模型时，用户提出总体安全需求出发，网络维护人员将用户安全需求进行分解为具体的安全配置。

借鉴图灵机的思想，提出一种对虚拟资源与功能模块的形式化描述，其中利用状态集合来标识各层的资源属性；为设计合理的虚拟资源管理架构，首先需要对实体资源层、虚拟映射层和控制层的交互行为进行抽象建模，为了方便建模分析数据交互、状态转换的过程，将上一节的三层模型抽象为如图3所示的两层控制-数据平面。特别的，两层控制-数据平面是为了建模和数据运算，而态势显示仍使用三层模型。

控制平面实际上包含了安全态势层、抽象的用户需求、抽象网络元素(用户关注的重要元素)。该层的主要作用有两个：一是对接收用户需求，具体分解为具体的数据调整方案；二是感知网络安全态势，对大量网络实体状态进行分析、判定，找出安全人员关注的重点节点、属性、事件进行突出展示。

数据平面实际上是运行映射层与实体资源层的数据映射，是对物理节点、链路的具体的资源抽象，该层的主要作用是接收用户安全需求数据，从而产生新的数据平面和控制平面状态。本方案建立了基于图灵机的安全态势网络模型，如图4所示。

图4对数据平面和控制平面以及二者之间的交互进行了抽象。利用输入状态集合来表示实体资源层与运行映射层、运行映射层与安全态势层之间的交互属性；利用转移函数来表示控制平面的计算阵列和数据平面的执行模块，并依据该抽象模型对实体网络和虚拟网络进行拓扑特征分析。抽象后的模型由一个五元组M＝(E,Σ,δ,e₀,H)组成，其中：

(1)E---有限的状态集合

E＝(E₀,E₁)是状态的非空有限集合，其中：

表示数据平面的状态，其中下标S表示物理网络；N_S是物理网络中的节点集合；V_S是物理网络中的链路集合；指物理网络中节点的属性集合，如节点连通情况；指物理网络中链路的属性集合，如可用带宽资源。

表示控制平面的状态，关注用户需求，其中下标M表示虚拟映射网络；N_M是虚拟网络中的节点集合；V_M是虚拟网络中的链路集合；表示虚拟网络中节点约束条件，如最大服务用户数；表示虚拟网络中链路的约束条件，如传输时延、带宽资源的需求。

(2)Σ---输入的有限集合

Σ＝{Σ₀,Σ₁}为输入的有限集合，在实际空间表示实施了能干扰网络安全状态的人为的操作，其中：

Σ₀为数据平面的输入，是E₀的子集；

Σ₁为控制平面的输入，由用户需求控制，对该平面上的所有节点、链路产生作用，是E₁的子集。

(3)δ---状态转移函数

δ＝{δ₀,δ₁}为状态转移函数，其中:

δ₀:∑₀×E₀→∑₀×E′₀为数据平面的转移函数，数据平面通过控制平面下发的转移函数δ₀，将数据平面输入Σ₀和数据平面状态E₀利用转移函数δ₀更新操作处理后的数据平面状态E′₀；

δ₁:∑₁×E₁→∑₁×E′₁为控制平面的转移函数，根据控制平面状态E₁及V_M映射为控制平面输入Σ₁，如果通过计算得到满足需求的可用路径，则生成数据平面的转移函数δ₀，并将控制平面新的状态E′₁返回；否则请求延迟映射。

(4)e₀---初始状态

e₀来表示一个虚拟网络请求

(5)H---终止状态集合

H表示虚拟网络请求施加到实体网络，实体网络态势计算完成后进入终止接受状态。当虚拟网络离开底层网络时，为其分配的资源将被释放；但用户需求不能被满足时进入终止拒绝状态。

四、面向用户需求的网络安全态势分级显示方案

用户的安全态势需求，要求态势展示系统有选择的突出展示用户重点关注的节点、链路、事件等。基于资源分层管理的网络态势显示架构确定了网络安全态势的显示模式以及显示环境。在此基础上，需要分析整理网络态势要显示的要素，提取满足用户态势需求的要素。本文通过对重要元素划分优先级，判定不同要素对于态势显示的重要程度，制定了面向用户需求的网络安全态势分级显示方案，如图5所示。

对于稳定的网络安全态势而言，在没有改变安全格局的突发性事件介入之前，全网各节点的安全属性应该在一个可控的范围内变化。当加入新的安全措施或是发生恶意行为时，网络节点的安全属性就会发生超出正常范围的变化。从另一个方面讲，如果一个网络节点的安全属性发生了较大的变化，那这个节点就是网络安全人员需要实时关注的节点。

基于回声状态网络的网络安全态势预测：基于回声状态网络(echo statenetwork，ESN)对网络的安全态势进行预测，找出网络节点的安全属性变化规律，并将预测值与实际的测量值进行对比，从而确定网络节点安全属性的变化是否超出正常范围。该预测算法由L个输入，M个输出，包含N个神经元的库构成，各层间通过权值连接。根据网络节点的历史安全属性值y(t),其中t＝1,2,…,n,利用公式进行储备池状态更新：

x(t+1)＝f(W_inu(t+1)+Wx(t)+W_back y(t))

其中x(t)为第t步的储备池状态向量；u(t)为第t步的输入，f(.)为储备池节点的激励函数，W_in，W_back和W分别为输入连接、输出反馈连接和储备池内部连接的权值矩阵，网络的输出计算方式如下：

y(t+1)＝f(W_out(u(t+1),x(t+1),y(t)))

其中W_out为输出权值矩阵，f(.)为输出节点的激励函数。在算法运行过程中，利用y(t+1)的预测是和实际的观测值进行的差值，利用最小均方误差的原则进行调整，不断修正非线性状态空间，提高预测算法的精度。

优先级判定显示：优先级判定显示是为了将网络元素划分等级，优先级越高，在态势图上也就越凸显，以引起网络维护人员的关注。

第一优先级显示的是网络中产生重要变化的元素，定义为{N₁,L₁}，其中N₁和L₁分别代表网络态势中的为第一优先级显示的节点和链路。

网络安全人员在观察网络态势时，会选择重点关注的区域，比如某地的网络状况或某运营商节点的网络安全状况。因此，网络态势需要根据用户需求，展示关注特定的区域，并在该作用区域内，判断节点属性、链路属性变化的情况。

由于变化分为正常变化和依据用户需求的变化，所以需要提取常态变化特征，将常态特征剥离，从而得到用户需求的属性变化节点、链路集。其中常态变化特征由上一节的网络态势预测得到。

这里将节点和链路统一称为网络元素，定义网络元素的属性集合为{q_i1,q_i2,…,q_in}。其中i代表第i个网络元素。

安全人员对各网络元素的安全属性进行连续的监测和周期性离散时间预测。

定义第一优先级网络元素：

如果网络元素i在时刻t，观测到其属性K_i变化满足

则判定该网络元素为第一优先级网络元素。其中φ是网络元素较大变化的判定阈值。K_i是网络元素安全属性的综合体现，定义为：

其中w_j是各个安全属性的重要性权值，满足0＜w_j≤1，

第二优先级显示的是网络中网络属性有变化且与第一优先级元素关联关系的元素，定义为{N₂,L₂}，其中N₂和L₂分别代表网络态势中的为第二优先级显示的节点和链路。

定义连通分支：在网络中，子网G'_B为连通分支当且仅当任意给定两个节点属于G'_B都存在路径，即：

记ω(G’_B)为网络连通子图的个数。根据此定义，在网络安全态势的数据平面的拓扑中，第一优先级的元素划分出多个连通分支。同一连通分支内，两个第一优先级节点经过多跳相互连接。这些链路实际上是网络信息的传播路径，也是网络安全状态影响传播的路径。路径上的网络元素是网络安全状态变化的推动者或受影响者。因此，应该予以一定程度的关注。

定义第二优先级网络元素：

如果网络元素满足:

(1)

(2)属于任意第一优先级元素的最小连通分支。

则判定该网络元素为第二优先级网络元素。其中φ'是网络元素变化的判定阈值，0＜φ'＜φ。且根据第一优先级元素与第二优先级元素相互连接关系组成的逻辑拓扑，称为最小逻辑拓扑。

第三优先级显示的是网络中第一优先级元素直接相连的元素，即所有第一跳的邻居集合。定义为{N₃,L₃}，其中N₃和L₃分别代表网络态势中的为第二优先级显示的节点和链路。

Claims

1.一种面向用户需求的海量多元数据态势显示方法，其特征在于，包括以下步骤：

对实体资源层、运行映射层和安全态势层的交互行为进行抽象建模，将三层模型抽象为两层控制-数据平面,其中控制平面包含了安全态势层、抽象的用户需求、抽象网络元素；作用有两个：一是对接收到的用户需求进行分解，得到具体的数据调整方案；二是感知网络安全态势，对网络实体状态进行分析、判定，找出安全人员关注的重点节点、属性、事件进行突出展示；

步骤二、将步骤一中归类整理后的数据，按照控制-数据两层平面模型，实时计算两个平面的有限状态集合；步骤三、利用回声状态网络实时预测网络节点的安全属性变化；

2.如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法，其特征在于，其中所述的实体资源层主要包括交换机、路由器、服务器、无线中继、社交网用户、PC，在网络安全态势显示图中为最底层。

3.如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法，其特征在于，其中所述的运行映射层主要包括重要的设备、网元节点、社交用户的基本运行属性，在网络安全态势显示图中为中间层。

4.如权利要求1所述的一种面向用户需求的海量多元数据态势显示方法，其特征在于，其中所述的安全态势层主要包括重点目标的安全属性，即公共互联网中服务器提供服务的能力与安全状态、关键业务服务器安全状态、内网关键主机安全等级、敏感舆论热点传播情况，在网络安全态势显示图中为最上层。

5.如权利要求1或2或3或4所述的一种面向用户需求的海量多元数据态势显示方法，其特征在于，所述的平面模型由一个五元组M＝(E,Σ,δ,e₀,H)组成，其中：

(1)E---有限的状态集合

E＝(E₀,E₁)是状态的非空有限集合，其中：

表示数据平面的状态，其中下标S表示物理网络；N_S是物理网络中的节点集合；V_S是物理网络中的链路集合；指物理网络中节点的属性集合；指物理网络中链路的属性集合；

表示控制平面的状态，其中下标M表示虚拟映射网络；N_M是虚拟网络中的节点集合；V_M是虚拟网络中的链路集合；表示虚拟网络中节点约束条件；表示虚拟网络中链路的约束条件；

(2)Σ---输入的有限集合

Σ＝{Σ₀,Σ₁}为输入的有限集合，在实际空间表示实施能干扰网络安全状态的人为的操作，其中：

Σ₀为数据平面的输入，是E₀的子集；

Σ₁为控制平面的输入，由用户需求控制，对该平面上的所有节点、链路产生作用，是E₁的子集；

(3)δ---状态转移函数

δ＝{δ₀,δ₁}为状态转移函数，其中:

δ₀:∑₀×E₀→∑₀×E'₀为数据平面的转移函数，数据平面通过控制平面下发的转移函数δ₀，将数据平面输入Σ₀和数据平面状态E₀利用转移函数δ₀更新操作处理后的数据平面状态E'₀；

δ₁:∑₁×E₁→∑₁×E′₁为控制平面的转移函数，根据控制平面状态E₁及V_M映射为控制平面输入Σ₁，如果通过计算得到满足需求的可用路径，则生成数据平面的转移函数δ₀，并将控制平面新的状态E′₁返回；否则请求延迟映射；

(4)e₀---初始状态

e₀表示一个虚拟网络请求

(5)H---终止状态集合

H表示虚拟网络请求施加到实体网络，实体网络态势计算完成后进入终止接受状态；当虚拟网络离开底层网络时，为其分配的资源将被释放；但用户需求不能被满足时进入终止拒绝状态。

6.一种面向用户需求的海量多元数据态势显示系统，其特征在于：包括海量多元数据分层归类模块、图灵机数据处理模块、节点安全状态预测模块、节点优先级判定模块、网络安全态势标绘模块；其中：

节点优先级判定模块负责将网络节点的实测安全属性与节点安全状态预测模块预测的安全属性进行对比，按照安全属性优先级的定义，确定网络节点展示优先级；