專利名稱：：一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法及其控制方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及網(wǎng)絡(luò)安全事件仿真領(lǐng)域。
背景技術(shù)：
：網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)；網(wǎng)絡(luò)政治顛覆活動頻繁。隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，人們的工作、學(xué)習(xí)和生活方式正在發(fā)生巨大變化，效率大為提高，信息資源得到最大程度的共享。但必須看到，緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出，如果不很好地解決這個問題，必將阻礙信息化發(fā)展的進(jìn)程。網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制?；ヂ?lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會的進(jìn)步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題如信息泄漏、信息污染、信息不易受控等問題。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國日益開放并融入世界，但加強(qiáng)安全監(jiān)管和建立保護(hù)屏障不可或缺。國家科技部部長徐冠華曾在某市信息安全工作會議上說“信息安全是涉及我國經(jīng)濟(jì)發(fā)展、社會發(fā)展和國家安全的重大問題。近年來，隨著國際政治形勢的發(fā)展，以及經(jīng)濟(jì)全球化過程的加快，人們越來越清楚，信息時代所引發(fā)的信息安全問題不僅涉及國家的經(jīng)濟(jì)安全、金融安全，同時也涉及國家的國防安全、政治安全和文化安全。因此，可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。信息安全的重要性怎么強(qiáng)調(diào)也不過分。”目前我國政府、相關(guān)部門和有識之士都把網(wǎng)絡(luò)監(jiān)管提到新的高度，上海市負(fù)責(zé)信息安全工作的部門提出采用非對稱戰(zhàn)略構(gòu)建上海信息安全防御體系，其核心是在技術(shù)處于弱勢的情況下，用強(qiáng)化管理體系來提高網(wǎng)絡(luò)安全整體水平。對安全事件的研究更是進(jìn)入了系統(tǒng)化的研究狀態(tài)中。CliffC.Zou在RoutingWormAFast,SelectiveAttackWormbasedonIPAddressInformation一文中詳細(xì)地闡述了基于路由先擇策略掃描的蠕蟲的特點(diǎn)，對諸如=CodeRecUSlammer,Blaster之類的蠕蟲，并展示了它的們模擬方法與效果。而基于點(diǎn)擊列表的蠕蟲也由S.Staniford等進(jìn)行了系統(tǒng)研究。王方偉等人的研究將網(wǎng)絡(luò)蠕蟲進(jìn)行了很好的分類，并對它們對蠕蟲傳播的影響進(jìn)行了對比分析。李光永等人指出進(jìn)入21世紀(jì)以來的短短幾年內(nèi)，DDoS(分布式拒絕服務(wù)式攻擊)對Internet呈現(xiàn)出越來越嚴(yán)重的危害性，被公認(rèn)為是對Internet最大的威脅之一，同時也成為國內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域研究的一個熱點(diǎn)，相似的文獻(xiàn)，分析了DDoS在網(wǎng)格計算和協(xié)同計算流環(huán)境下的影響，并提出了一種有效的、自適應(yīng)的全球性檢測及預(yù)防分布式攻擊的方法。近年來，僵尸網(wǎng)絡(luò)(Botnet)對網(wǎng)絡(luò)的影響也漸漸進(jìn)入人們的視野。提出了一種基于時區(qū)劃分的僵尸網(wǎng)絡(luò)傳播模型，不同于SIR，Si，SIRH模型，基于時區(qū)的傳播模型使得對于傳播的模擬更加精確。而肖斌等人則討論了僵尸網(wǎng)絡(luò)的傳播特性、傳播策略及預(yù)警等多個方面。上面講述了國內(nèi)外學(xué)者對網(wǎng)絡(luò)安全事件的系統(tǒng)化研究，然而這些研究應(yīng)用于實(shí)際系統(tǒng)模擬中卻存在許多顯而易見的問題。其中最主要的是事實(shí)上，并不存在一個比較全面的安全事件模擬系統(tǒng)。許多網(wǎng)絡(luò)模擬系統(tǒng)(如NS2，GTNetS等)雖然支持?jǐn)U展，但都只存在基本的網(wǎng)絡(luò)安全事件(如TCP，UDP,FTP等)的模擬。雖然，馬銘等人所提出的WSS系統(tǒng)在某種意義上也是一個良好的模擬與處理相關(guān)數(shù)據(jù)的工具，但它僅僅能進(jìn)行基于隨機(jī)掃描策略的蠕蟲模擬，而不能模擬其它類別的安全事件。從這個角度來說，這方面的工作仍是任重而道遠(yuǎn)的。
發(fā)明內(nèi)容本發(fā)明為了解決現(xiàn)有的網(wǎng)絡(luò)安全模擬系統(tǒng)存在無法進(jìn)行全面的安全事件模擬的問題，提供一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法及其控制方法。一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，具體步驟如下步驟A、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟B中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募?、路由?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟B、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟A獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟C、并行模擬腳本生成及模擬執(zhí)行模塊根據(jù)步驟A獲得的安全事件文件和步驟B獲得的拓?fù)鋽?shù)據(jù)文件，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本，不同模擬節(jié)點(diǎn)上的模擬腳本相同，每個節(jié)點(diǎn)讀取與自己有關(guān)的部分腳本，共同完成模擬任務(wù)。一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真的控制方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，具體步驟如下步驟一、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟二中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募?、路由?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟二、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟一獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟三、運(yùn)行并行模擬腳本生成及模擬執(zhí)行模塊對過程如下步驟三一、將控制集文件、步驟一獲得的安全事件文件和步驟二獲得的拓?fù)鋽?shù)據(jù)文件輸入到模擬腳本生成器中，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本；步驟三二、每個節(jié)點(diǎn)從步驟三一獲得的并行模擬可用的模擬腳本中讀取與本節(jié)點(diǎn)有關(guān)的部分腳本，進(jìn)行網(wǎng)絡(luò)安全事件模擬。本發(fā)明根據(jù)拓?fù)鋽?shù)據(jù)和安全事件數(shù)據(jù)，實(shí)現(xiàn)安全事件的并行模擬功能；以期觀察安全事件對網(wǎng)絡(luò)性能造成的影響，可以依據(jù)本法發(fā)明的方法分析得出的響應(yīng)控制策略，對應(yīng)用響應(yīng)控制策略的同批安全事件再次進(jìn)行模擬，以驗(yàn)證響應(yīng)控制策略的有效性。本發(fā)明的網(wǎng)絡(luò)模擬規(guī)模6萬個以上的路由節(jié)點(diǎn)，安全事件規(guī)模達(dá)10萬條以上，模擬時間在2小時以內(nèi)，可以模擬蠕蟲、僵尸網(wǎng)絡(luò)、DDOS及其他安全事件。本發(fā)明是用于大規(guī)模的網(wǎng)絡(luò)安全事件模擬，并基于此平臺進(jìn)行網(wǎng)絡(luò)安全事件傳播等態(tài)勢分析及應(yīng)急響應(yīng)策略的驗(yàn)證。圖1為大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法的流程圖。圖2為具體實(shí)施方式二的流程圖。圖3為具體實(shí)施方式四的流程圖。圖4為具體實(shí)施方式五的流程圖。圖5為教育網(wǎng)拓?fù)湫畔⑹疽鈭D。圖6為無控制策略和加控制策略的曲線對比圖，即通過此平臺作用的控制策略驗(yàn)證示例。圖7數(shù)據(jù)預(yù)處理模塊的工作原理圖。圖8為拓?fù)鋭澐帜K的工作原理圖。圖9為并行模擬腳本生成及模擬執(zhí)行模塊的工作原理圖。圖10為本發(fā)明一次模擬仿真過程。具體實(shí)施例方式具體實(shí)施方式一、結(jié)合圖1說明本實(shí)施方式，一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，具體步驟如下步驟A、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟B中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募⒙酚晒?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟B、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟A獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟C、并行模擬腳本生成及模擬執(zhí)行模塊根據(jù)步驟A獲得的安全事件文件和步驟B獲得的拓?fù)鋽?shù)據(jù)文件，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本，不同模擬節(jié)點(diǎn)上的模擬腳本相同，每個節(jié)點(diǎn)讀取與自己有關(guān)的部分腳本，共同完成模擬任務(wù)。其中，模擬執(zhí)行過程中包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)模擬子模塊，背景流量模擬子模塊，安全事件模擬子模塊以及其他驗(yàn)證子模塊(此處以控制策略驗(yàn)證為例)。所述粒度表示數(shù)據(jù)包級別的模擬；相應(yīng)規(guī)則指不同的網(wǎng)絡(luò)安全事件的攻擊實(shí)施特點(diǎn)(例如不同類型的蠕蟲，僵尸網(wǎng)絡(luò)botnet，DDoS等)定義不同的規(guī)則庫，還有就是擬用于分析的指標(biāo)，例如控制策略的規(guī)則，要在哪些路由器上實(shí)施什么控制規(guī)則例如，丟包等)這些都屬于腳本生成階段要考慮的問題。有了這些規(guī)則之后，就可以利用模擬中的節(jié)點(diǎn)，邊，代理來實(shí)現(xiàn)模擬的工作了。安全事件文件包括蠕蟲模擬文件、僵尸網(wǎng)絡(luò)模擬文件和DDOS模擬文件，還可以進(jìn)行其他安全事件的模擬，安全事件文件以代碼的形式編譯到NS2內(nèi)，每次新增或更改這些安全事件，需要對NS2進(jìn)行重新編譯。NS2(NetworkSimulator,version2)是一種面向?qū)ο蟮木W(wǎng)絡(luò)仿真器，它本身有一個虛擬時鐘，所有的仿真都由離散事件驅(qū)動的。NS2可以用于仿真各種不同的IP網(wǎng)，已經(jīng)實(shí)現(xiàn)的一些仿真有網(wǎng)絡(luò)傳輸協(xié)議，比如TCP和UDP；業(yè)務(wù)源流量產(chǎn)生器，比如FTP，Telnet，WebCBR和VBR；路由隊(duì)列管理機(jī)制，比如Droptail,RED和CBQ；路由算法，比如Dijkstra等。NS2也為進(jìn)行局域網(wǎng)的仿真而實(shí)現(xiàn)了多播以及一些MAC子層協(xié)議。本發(fā)明的方法可以對大規(guī)模網(wǎng)絡(luò)安全事件進(jìn)行多機(jī)并行模擬，通過本發(fā)明的模擬可以觀察安全事件對網(wǎng)絡(luò)性能造成的影響，為提出的響應(yīng)控制策略提供依據(jù)，并且評估相應(yīng)的控制策略對安全事件遏制的正反兩方面的影響。具體實(shí)施方式二、結(jié)合圖2和圖7說明本實(shí)施方式，本實(shí)施方式是對具體實(shí)施方式一中的步驟A的進(jìn)一步說明步驟A的具體過程如下步驟Al、備份拓?fù)溥呂募?；步驟A2、根據(jù)拓?fù)鋽?shù)據(jù)分析得到的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接特征，根據(jù)拓?fù)渲械暮诵逆溌放c邊緣鏈路等層次特性，進(jìn)行鏈路帶寬和延遲的估算，并將估算的帶寬和延遲的值更新至拓?fù)溥呂募?；步驟A3、根據(jù)拓?fù)鋽?shù)據(jù)，獲得路由節(jié)點(diǎn)的連接關(guān)系文件；步驟A4、將安全事件文件的格式轉(zhuǎn)換成拓?fù)鋭澐制骺山邮艿妮斎胛募袷?。所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募?、路由?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件，邊文件格式為link,txt，路由節(jié)點(diǎn)文件格式為node,txt，主機(jī)節(jié)點(diǎn)文件格式host,txt，拓?fù)鋭澐制鞯妮斎胛募袷綖閠opo.graph。具體函數(shù)及功能見表1。表1數(shù)據(jù)預(yù)處理模塊函數(shù)名稱功能簡述.BackupO備份拓?fù)溥呂募?，在原拓?fù)溥呂募蠹?_bak"命名。μ估算鏈路的帶寬和延遲，并更新拓?fù)溥呂募⒐浪愕膸捄脱覥ompute()遲的值加入。GetRankO根據(jù)節(jié)點(diǎn)編號，查詢該節(jié)點(diǎn)的等級。在Compute()中被調(diào)用。GetDelayO根據(jù)帶寬數(shù)值，獲取相應(yīng)的延遲值。在Compute()中被調(diào)用在帶寬和延遲估算完成后運(yùn)行，根據(jù)拓?fù)湮募赏負(fù)鋭澐制鰿onvert()的可接收的輸入文件(topo.graph)。圖7顯示了數(shù)據(jù)預(yù)處理模塊的工作原理。具體實(shí)施方式三、本實(shí)施方式是對具體實(shí)施方式二中步驟A2的進(jìn)一步說明，步驟A2中所述的根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算的具體過程如下逐一對每一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算，對任意一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算方法是首先根據(jù)每一個節(jié)點(diǎn)的節(jié)點(diǎn)編號，查詢每一個節(jié)點(diǎn)的等級，根據(jù)每一個節(jié)點(diǎn)的等級估算本節(jié)點(diǎn)的帶寬；然后根據(jù)每一個節(jié)點(diǎn)的帶寬，獲得本節(jié)點(diǎn)處的延遲值。具體實(shí)施方式四、結(jié)合圖3和圖8說明本實(shí)施方式，本實(shí)施方式是對具體實(shí)施方式一中的步驟B的進(jìn)一步說明步驟B的具體過程如下步驟Bi、將步驟A3獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行無向圖劃分，獲得劃分結(jié)果文件；步驟B2、由路由節(jié)點(diǎn)文件、更新后的拓?fù)溥呂募筒襟EBl獲得的劃分結(jié)果文件，生成新的拓?fù)鋽?shù)據(jù)文件；步驟B3、將步驟B2獲得拓?fù)鋽?shù)據(jù)文件格式轉(zhuǎn)換為步驟C中模擬腳本生成器可接受的輸入文件格式。在拓?fù)鋽?shù)據(jù)預(yù)處理結(jié)束后，拓?fù)溥呂募玫搅斯浪愕膸捄玩溌费舆t的值，同時通過預(yù)處理，得到了拓?fù)鋭澐制骺山邮盏妮斎胛募袷?。而拓?fù)鋭澐帜K的主要功能是一是根據(jù)步驟A的輸出，對網(wǎng)絡(luò)拓?fù)溥M(jìn)行劃分，以進(jìn)行后來的并行式網(wǎng)絡(luò)模擬；二是根據(jù)拓?fù)鋭澐值慕Y(jié)果生成拓?fù)鋽?shù)據(jù)文件(topo.link)，該文件提供后續(xù)步驟中需要的全部網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)。具體函數(shù)及功能見表2。表2拓?fù)鋭澐帜K功能簡述METIS拓?fù)鋭澐制?，可?shí)現(xiàn)無向圖的劃分。進(jìn)行拓?fù)鋭澐趾?，根?jù)劃分結(jié)果和拓?fù)鋽?shù)據(jù)，生成新的拓?fù)溥匲pdater文件。該文件包含并行模擬腳本生成時所需要的全部拓?fù)湫畔?。圖8顯示了拓?fù)鋭澐帜K的工作原理。具體實(shí)施方式五、結(jié)合圖4和圖9說明本實(shí)施方式，本實(shí)施方式是對具體實(shí)施方式一中的步驟C的進(jìn)一步說明步驟C的具體過程如下步驟Cl、將步驟A獲得的安全事件文件和步驟B獲得的拓?fù)鋽?shù)據(jù)文件輸入到模擬腳本生成器中，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本；步驟C2、每個節(jié)點(diǎn)從步驟Cl獲得的并行模擬可用的模擬腳本中讀取與本節(jié)點(diǎn)有關(guān)的部分腳本，進(jìn)行網(wǎng)絡(luò)安全事件模擬。并行模擬腳本生成及模擬執(zhí)行模塊的功能是實(shí)現(xiàn)輸入文件到并行模擬腳本文件的轉(zhuǎn)換。該模塊以拓?fù)湫畔⑽募桶踩录募鳛檩斎耄上鄳?yīng)的并行模擬腳本。具體函數(shù)及功能見表3。表3并行模擬腳本生成及模擬執(zhí)行模塊功能簡述ScriptGenerator模擬腳本生成器，實(shí)現(xiàn)該模塊的主要功能。自定義的一個數(shù)據(jù)類型轉(zhuǎn)換類，包含數(shù)值型數(shù)據(jù)到string類型Convertor,.的轉(zhuǎn)換的方法。圖9顯示了并行模擬腳本生成及模擬執(zhí)行模塊的工作原理。具體實(shí)施方式六、一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真控制方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，具體步驟如下步驟一、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟二中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募?、路由?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟二、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟一獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟三、運(yùn)行并行模擬腳本生成及模擬執(zhí)行模塊對過程如下步驟三一、將控制集文件、步驟一獲得的安全事件文件和步驟二獲得的拓?fù)鋽?shù)據(jù)文件輸入到模擬腳本生成器中，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本；步驟三二、每個節(jié)點(diǎn)從步驟三一獲得的并行模擬可用的模擬腳本中讀取與本節(jié)點(diǎn)有關(guān)的部分腳本，進(jìn)行網(wǎng)絡(luò)安全事件模擬。本實(shí)施方式中步驟一與具體實(shí)施方式二和具體實(shí)施方式三中數(shù)據(jù)處理模塊的工作過程相同；本實(shí)施方式中步驟二與具體實(shí)施方式四的工作過程相同；具體實(shí)施方式七、結(jié)合圖5、圖6和圖10說明本實(shí)施方式，本實(shí)施方式中網(wǎng)絡(luò)拓?fù)涞哪Ｐ褪侨珖秶慕逃W(wǎng)，節(jié)點(diǎn)數(shù)超過4萬，邊數(shù)超過6萬條。將教育網(wǎng)的節(jié)點(diǎn)、鏈路和代理統(tǒng)計并保存為拓?fù)鋽?shù)據(jù)。節(jié)點(diǎn)是網(wǎng)絡(luò)拓?fù)涞闹匾M成部分，表示網(wǎng)絡(luò)中實(shí)際的節(jié)點(diǎn)和路由器，節(jié)點(diǎn)有一個路由表、路由算法、基于目的地址轉(zhuǎn)發(fā)的數(shù)據(jù)包，節(jié)點(diǎn)本身并不產(chǎn)生分組，而是由代理來產(chǎn)生和消費(fèi)分組。一個單播節(jié)點(diǎn)包括兩個tcl對象地址分類器和端口分類器，它們分別用來判斷分組的目的地址和分組目的的代理。鏈路用來連接節(jié)點(diǎn)和路由器，一個節(jié)點(diǎn)可以有一條或多條輸出鏈路。所有的鏈路都以隊(duì)列的形式來管理分組到達(dá)、離開或丟棄，統(tǒng)計并保存字節(jié)數(shù)和分組數(shù)。代理代表了網(wǎng)絡(luò)層分組的起點(diǎn)和終點(diǎn)，并被用于實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議。實(shí)際測得的教育網(wǎng)的拓?fù)鋽?shù)據(jù)中，只包含節(jié)點(diǎn)間的連接狀況，節(jié)點(diǎn)是由IP地址唯一標(biāo)識的，用編號來表示節(jié)點(diǎn)，將拓?fù)鋽?shù)據(jù)進(jìn)行預(yù)處理，首先、備份拓?fù)溥呂募?；然后、根?jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，這里有兩種方法可以用來估計鏈路的帶寬，估算的經(jīng)驗(yàn)值是根據(jù)全國分布式拓?fù)浼靶阅軠y量平臺長期測量結(jié)果進(jìn)行參考而定。方法一、從拓?fù)鋽?shù)據(jù)中可以計算出每個路由器節(jié)點(diǎn)的度，根據(jù)度值估算每個節(jié)點(diǎn)的帶寬，大多數(shù)情況下，級別越高的路由器節(jié)點(diǎn)所發(fā)出的鏈路越寬，即節(jié)點(diǎn)等級越高，度越大，鏈路越寬，表4給出了帶寬與度關(guān)系的經(jīng)驗(yàn)數(shù)據(jù)。表4度0-45-910-1213-1415-1617以上--------帶寬(Mb)10155155100010002500方法二、從網(wǎng)絡(luò)測量數(shù)據(jù)中可以獲得與主機(jī)相連的路由器集合，這些集合中的路由器在整個路由器拓?fù)渲屑墑e最低(定義為第3級路由器)，因此與這些路由器相連的鏈路寬帶最??；不與主機(jī)相連而直接與第3級路由器相連的路由器級別稍高(定義為第2級路由器)，相應(yīng)的鏈路帶寬較寬；不與主機(jī)相連，也不與第3級路由器相連的路由器級別最高(定義為第1級路由器)，具有的鏈路帶寬最高；表5給出了各級路由器間的帶寬。表5<table>tableseeoriginaldocumentpage10</column></row><table>根據(jù)鏈路帶寬的值，估算鏈路延遲，表6給出了鏈路帶寬和延遲的關(guān)系。表6<table>tableseeoriginaldocumentpage10</column></row><table>本實(shí)施方式中模擬的安全事件為蠕蟲事件；然后，根據(jù)拓?fù)鋽?shù)據(jù)，獲得路由節(jié)點(diǎn)的連接關(guān)系文件；轉(zhuǎn)換文件格式；由于針對的是大規(guī)模的網(wǎng)絡(luò)安全事件，涉及到的拓?fù)湟?guī)模很龐大，需要對拓?fù)鋽?shù)據(jù)進(jìn)行劃分和生成并行模擬腳本處理，拓?fù)鋭澐值姆椒ň唧w實(shí)施方式四做了詳細(xì)介紹，生成并行模擬腳本的方法具體實(shí)施方式五做了詳細(xì)介紹。利用此發(fā)明的控制驗(yàn)證示例根據(jù)網(wǎng)絡(luò)模擬與仿真平臺對于教育網(wǎng)上蠕蟲安全事件的模擬，感染蠕蟲主機(jī)所對應(yīng)的路由器集合，此集合我們定義為異常路由器集合，分析拓?fù)浣Y(jié)構(gòu)連接信息，找到與異常路由器集合直接相鄰的最小路由器集合，定義為控制路由器集合，因此，提出一種基于公共控制點(diǎn)的控制策略(CommonalityControlRoute簡稱CommCtrlRt)算法。擬利用此算法實(shí)施前后的效果來說明如何利用本發(fā)明平臺進(jìn)行控制策略的研究分析過程。算法CommCtrlRt描述輸入網(wǎng)絡(luò)拓?fù)鋱DG，異常路由器集合ARS輸出公共控制點(diǎn)集合CCSCommonCtr1Rt(G，ARS)1CCS—NULL2FOREACHrINARSDO3IFDEGREE(r)>ITHEN4PUTrTOCCS5CONTINUE6ENDIF7PUTPARENTrTOCCS8ENDFOR9FOREACHrINCCSDO10FOREACHr'ADJONrANDr'ISARSANDr'INCSSDO11IFALLrADJONr'INCSSDO12REMOVEr'FROMCSS13ENDIF14ENDFOR15ENDFOR圖5為教育網(wǎng)拓?fù)湫畔⑹疽鈭D，黑色節(jié)點(diǎn)1代表共同控制路由器，紅色節(jié)點(diǎn)2代表異常路由器，灰色節(jié)點(diǎn)3代表異常路由器同時本身也是該點(diǎn)的控制路由器，很顯然只要在紅色節(jié)點(diǎn)和灰色節(jié)點(diǎn)上限制異常節(jié)點(diǎn)的訪問，就可以限制異常事件如蠕蟲的傳播和擴(kuò)散。圖6為本應(yīng)用示例的分析結(jié)果圖，即無控制策略和加控制策略的曲線對比圖，曲線4代表無控制策略時安全威脅指數(shù)，曲線5代表有控制策略時安全威脅指數(shù)，即利用本發(fā)明的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法與一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真控制方法的對比圖。圖10顯示本發(fā)明一次模擬仿真過程。權(quán)利要求一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，其特征在于具體步驟如下步驟A、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟B中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募⒙酚晒?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟B、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟A獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟C、并行模擬腳本生成及模擬執(zhí)行模塊根據(jù)步驟A獲得的安全事件文件和步驟B獲得的拓?fù)鋽?shù)據(jù)文件，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本，不同模擬節(jié)點(diǎn)上的模擬腳本相同，每個節(jié)點(diǎn)讀取與自己有關(guān)的部分腳本，共同完成模擬任務(wù)。2.根據(jù)權(quán)利要求1所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，其特征在于步驟A的具體過程如下步驟Al、備份拓?fù)溥呂募?；步驟A2、根據(jù)拓?fù)鋽?shù)據(jù)分析得到的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接特征，根據(jù)拓?fù)渲械暮诵逆溌放c邊緣鏈路等層次特性，進(jìn)行鏈路帶寬和延遲的估算，并將估算的帶寬和延遲的值更新至拓?fù)溥呂募?；步驟A3、根據(jù)拓?fù)鋽?shù)據(jù)，獲得路由節(jié)點(diǎn)的連接關(guān)系文件；步驟A4、將安全事件文件的格式轉(zhuǎn)換成拓?fù)鋭澐制骺山邮艿妮斎胛募袷健?.根據(jù)權(quán)利要求1所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，其特征在于步驟A2中所述的根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算的具體過程如下逐一對每一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算，對任意一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算方法是首先根據(jù)每一個節(jié)點(diǎn)的節(jié)點(diǎn)編號，查詢每一個節(jié)點(diǎn)的等級，根據(jù)每一個節(jié)點(diǎn)的等級估算本節(jié)點(diǎn)的帶寬；然后根據(jù)每一個節(jié)點(diǎn)的帶寬，獲得本節(jié)點(diǎn)處的延遲值。4.根據(jù)權(quán)利要求1所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，其特征在于步驟B的具體過程如下步驟Bi、將步驟A獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行無向圖劃分，獲得劃分結(jié)果文件；步驟B2、由路由節(jié)點(diǎn)文件、更新后的拓?fù)溥呂募筒襟EBl獲得的劃分結(jié)果文件，生成新的拓?fù)鋽?shù)據(jù)文件。5.根據(jù)權(quán)利要求1所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，其特征在于步驟C的具體過程如下步驟Cl、將步驟A獲得的安全事件文件和步驟B獲得的拓?fù)鋽?shù)據(jù)文件輸入到模擬腳本生成器中，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本；步驟C2、每個節(jié)點(diǎn)從步驟Cl獲得的并行模擬可用的模擬腳本中讀取與本節(jié)點(diǎn)有關(guān)的部分腳本，進(jìn)行網(wǎng)絡(luò)安全事件模擬。6.一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真的控制方法，它基于數(shù)據(jù)預(yù)處理模塊、拓?fù)鋭澐帜K、并行模擬腳本生成及模擬執(zhí)行模塊實(shí)現(xiàn)，具體步驟如下步驟一、數(shù)據(jù)預(yù)處理模塊根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換為步驟二中拓?fù)鋭澐制骺山邮艿妮斎胛募袷?，所述拓?fù)鋽?shù)據(jù)包括拓?fù)溥呂募⒙酚晒?jié)點(diǎn)文件和主機(jī)節(jié)點(diǎn)文件；步驟二、拓?fù)鋭澐帜K根據(jù)拓?fù)浜筒⑿心M的粒度，對步驟一獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；步驟三、運(yùn)行并行模擬腳本生成及模擬執(zhí)行模塊對過程如下步驟三一、將控制集文件、步驟一獲得的安全事件文件和步驟二獲得的拓?fù)鋽?shù)據(jù)文件輸入到模擬腳本生成器中，按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本；步驟三二、每個節(jié)點(diǎn)從步驟三一獲得的并行模擬可用的模擬腳本中讀取與本節(jié)點(diǎn)有關(guān)的部分腳本，進(jìn)行網(wǎng)絡(luò)安全事件模擬。7.根據(jù)權(quán)利要求6所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真的控制方法，其特征在于步驟一的具體過程如下步驟一一、備份拓?fù)溥呂募?；步驟一二、根據(jù)拓?fù)鋽?shù)據(jù)分析得到的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接特征，根據(jù)拓?fù)渲械暮诵逆溌放c邊緣鏈路等層次特性，進(jìn)行鏈路帶寬和延遲的估算，并將估算的帶寬和延遲的值更新至拓?fù)溥呂募?；步驟一三、根據(jù)拓?fù)鋽?shù)據(jù)，獲得路由節(jié)點(diǎn)的連接關(guān)系文件；步驟一四、將安全事件文件的格式轉(zhuǎn)換成拓?fù)鋭澐制骺山邮艿妮斎胛募袷健?.根據(jù)權(quán)利要求7所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真的控制方法，其特征在于步驟一二中所述的根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算的具體過程如下逐一對每一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算，對任意一個節(jié)點(diǎn)進(jìn)行帶寬的估算和延遲的估算方法是首先根據(jù)每一個節(jié)點(diǎn)的節(jié)點(diǎn)編號，查詢每一個節(jié)點(diǎn)的等級，根據(jù)每一個節(jié)點(diǎn)的等級估算本節(jié)點(diǎn)的帶寬；然后根據(jù)每一個節(jié)點(diǎn)的帶寬，獲得本節(jié)點(diǎn)處的延遲值。9.根據(jù)權(quán)利要求6所述的一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法，其特征在于步驟二的具體過程如下步驟二一、將步驟一獲得的路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行無向圖劃分，獲得劃分結(jié)果文件；步驟二二、由路由節(jié)點(diǎn)文件、更新后的拓?fù)溥呂募筒襟E二一獲得的劃分結(jié)果文件，生成新的拓?fù)鋽?shù)據(jù)文件。全文摘要一種大規(guī)模網(wǎng)絡(luò)安全事件模擬與仿真方法及控制方法，涉及網(wǎng)絡(luò)安全事件仿真領(lǐng)域。解決了現(xiàn)有的網(wǎng)絡(luò)安全模擬系統(tǒng)存在無法進(jìn)行全面的安全事件模擬的問題。具體步驟如下A、根據(jù)拓?fù)鋽?shù)據(jù)進(jìn)行鏈路帶寬和延遲的估算，獲得路由節(jié)點(diǎn)的連接關(guān)系文件，將安全事件文件的格式轉(zhuǎn)換；B、根據(jù)拓?fù)浜筒⑿心M的粒度，對路由節(jié)點(diǎn)的連接關(guān)系文件進(jìn)行劃分，使其能夠部署在多機(jī)并行的環(huán)境下進(jìn)行并行模擬，并根據(jù)劃分結(jié)果更新相應(yīng)的拓?fù)鋽?shù)據(jù)文件；C、按照相應(yīng)的規(guī)則生成并行模擬可用的模擬腳本，不同模擬節(jié)點(diǎn)上的模擬腳本相同，每個節(jié)點(diǎn)讀取與自己有關(guān)的部分腳本，共同完成模擬任務(wù)。本發(fā)明適用于大規(guī)模的網(wǎng)絡(luò)安全事件模擬。文檔編號H04L29/06GK101808084SQ201010109449公開日2010年8月18日申請日期2010年2月12日優(yōu)先權(quán)日2010年2月12日發(fā)明者何慧,劉靜,張宏莉,李文娟,楊賢青,王星,胡衛(wèi)國,許剛申請人:哈爾濱工業(yè)大學(xué)