【摘 要】 本文描述了网络靶场可视化的设计方法与技术,提出了可视化是网络靶场平台系统中最能直接感知信息的重要环节,并通过阵营、地形、态势等可视化设计与技术分析,以及可视化的实现方法和案例,结合现有技术和经验,对网络靶场可视化问题进行初步探讨。
【关键词】 网络靶场 可视化 攻防态势 网络地形
1 引言
随着信息化的深入发展,网络空间对抗已由单纯的互联网发展至泛在网络空间,网络空间作为第五大主权领域空间,其对抗更是日趋体系化、复杂化、实战化、智能化。为谋求网络空间的安全优势,网络靶场应运而生,并成为针对网络攻防典型应用场景的训练场。
网络靶场属于网络安全领域重要的基础设施,是支撑网络空间安全、网络人才培养、网络武器试验、攻防对抗演练、网络风险评估的重要手段。由于靶场自身的复杂性,若仅仅通过孤立的数据、日志和代码,多数用户获取有效且深度的信息难度大、门槛高,而靶场可视化呈现,能够有效解决这个问题,使靶场信息更加直观,让训练人员和指挥人员更易读懂,从而提升网络空间战场环境与态势信息的获取能力。
2 网络靶场数据可视化
数据可视化是一种对数据的建模和表达方法,旨在通过模型表现数据的部分特征和内在规律,使观察者更加容易发现和理解数据的特征和规律。通过数据可视化手段了解受众的思维方式,促进数据传载信息的有效传达,不仅仅是帮助人们操纵、浏览、过滤、搜索、理解大规模数据和信息,更需要根据不同目标受众通过不同的形式,展现不同的数据特征、内容。
数据可视化是靶场分析的重要助推器,近年来被广泛应用。但现有研究主要集中于简单的数据可视化图表展现,对于其关联信息的深入分析较少,加之网络靶场中的攻防对抗、测试验证等具有鲜明的特点,攻防数据和场景要素的数据采集环境相对复杂,试验场景与业务逻辑本身关系紧密,这更加深了可视化分析与呈现的难度。因此,加快靶场可视化对于数据的分析逻辑和结果评估方面的研究,不仅使分析人员更容易理解攻防信息的意义,还使测试人员便于操作,决策者更易于理解分析结果。通过对于原始信息的处理和分析,展现靶场任务的信息全貌和数据规律特点,重视与历史数据的对比、统计、筛选,降低人工洞见信息的难度,使其通过靶场可视化洞见靶场演练任务背后的价值,启发分析思路和指导拟定最优方案,将为后续辅助决策和关键逻辑分析验证提供重要保障。
考虑到靶场中网络空间对抗的虚拟性和复杂性,在实际靶场测试和训练过程中,要考虑到不同层次的指挥人员关注的演练态势不同、不同阵营的训练人员关注的资产内容不同、不同角色的用户可查看内容的权限也不同,使得不同场景、不同网络地形、不同测试任务的业务需求也不同。因此,通过研究网络靶场可视化,搭建用户直接与数据和信息交互的系统,实现探索和获取嵌入在深层数据中的有用信息。
3 网络靶场可视化设计
3.1 可视化设计原则
网络靶场的可视化呈现应遵循直观、易读、美观、友好的原则,将靶场运行、攻防关系、态势效果、武器等核心信息以相对集中的形式融合于一屏,若信息量巨大,则可考虑多屏联动分类显示,使用户能够用最少的成本获取最丰富的信息。
通过可视化实现针对网络靶场真实环境的建模元素构建,这些建模元素对应了真实环境中的网络、设备、流量、攻击、人员、行为、策略等实体,合成这些建模元素,将看不见的网络攻防变成看得见的逼真的数字网络靶场环境。
3.2 角色阵营可视化
网络靶场中涉及不同角色阵营,各角色的功能、任务、可视的界面、设计都有所不同。靶场角色类型较多,本文选取其中较为典型的4个角色阵营进行介绍。
(1)红方防守方
红方专属界面和态势呈现主要以针对安全事件发现与业务恢复、系统加固、勘验取证、线索溯源等应急响应工作为主要展示对象,同时系统提供单独的红方阵营资产的监控和防御操作界面。
(2)蓝方攻击方
蓝方专属态势界面主要呈现收集信息、漏洞挖掘、漏洞利用等信息。系统提供单独蓝方阵营攻击操作的界面,包括内网渗透等工作获取目标资产权限等操作。
(3)白方导演方
白方有专属的全局态势视角,主要呈现演练任务进程与详情、红蓝方分别的态势详情与当前攻击局势详情。系统提供单独的操作界面,配合完成对红蓝方队成员行为的引导和调整,确保训练按预定的剧情顺利展开,并为训练评估提供数据支持。