一种大规模网络安全事件模拟与仿真方法及其控制方法

专利名称：：一种大规模网络安全事件模拟与仿真方法及其控制方法
技术领域：
：本发明涉及网络安全事件仿真领域。
背景技术：
：网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题如信息泄漏、信息污染、信息不易受控等问题。网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。对安全事件的研究更是进入了系统化的研究状态中。CliffC.Zou在RoutingWormAFast,SelectiveAttackWormbasedonIPAddressInformation一文中详细地阐述了基于路由先择策略扫描的蠕虫的特点，对诸如=CodeRecUSlammer,Blaster之类的蠕虫，并展示了它的们模拟方法与效果。而基于点击列表的蠕虫也由S.Staniford等进行了系统研究。王方伟等人的研究将网络蠕虫进行了很好的分类，并对它们对蠕虫传播的影响进行了对比分析。李光永等人指出进入21世纪以来的短短几年内，DDoS(分布式拒绝服务式攻击)对Internet呈现出越来越严重的危害性，被公认为是对Internet最大的威胁之一，同时也成为国内外网络安全领域研究的一个热点，相似的文献，分析了DDoS在网格计算和协同计算流环境下的影响，并提出了一种有效的、自适应的全球性检测及预防分布式攻击的方法。近年来，僵尸网络(Botnet)对网络的影响也渐渐进入人们的视野。提出了一种基于时区划分的僵尸网络传播模型，不同于SIR，Si，SIRH模型，基于时区的传播模型使得对于传播的模拟更加精确。而肖斌等人则讨论了僵尸网络的传播特性、传播策略及预警等多个方面。上面讲述了国内外学者对网络安全事件的系统化研究，然而这些研究应用于实际系统模拟中却存在许多显而易见的问题。其中最主要的是事实上，并不存在一个比较全面的安全事件模拟系统。许多网络模拟系统(如NS2，GTNetS等)虽然支持扩展，但都只存在基本的网络安全事件(如TCP，UDP,FTP等)的模拟。虽然，马铭等人所提出的WSS系统在某种意义上也是一个良好的模拟与处理相关数据的工具，但它仅仅能进行基于随机扫描策略的蠕虫模拟，而不能模拟其它类别的安全事件。从这个角度来说，这方面的工作仍是任重而道远的。
发明内容本发明为了解决现有的网络安全模拟系统存在无法进行全面的安全事件模拟的问题，提供一种大规模网络安全事件模拟与仿真方法及其控制方法。一种大规模网络安全事件模拟与仿真方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，具体步骤如下步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤B中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤B、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤A获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件，按照相应的规则生成并行模拟可用的模拟脚本，不同模拟节点上的模拟脚本相同，每个节点读取与自己有关的部分脚本，共同完成模拟任务。一种大规模网络安全事件模拟与仿真的控制方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，具体步骤如下步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤二中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤二、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤一获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中，按照相应的规则生成并行模拟可用的模拟脚本；步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本，进行网络安全事件模拟。本发明根据拓扑数据和安全事件数据，实现安全事件的并行模拟功能；以期观察安全事件对网络性能造成的影响，可以依据本法发明的方法分析得出的响应控制策略，对应用响应控制策略的同批安全事件再次进行模拟，以验证响应控制策略的有效性。本发明的网络模拟规模6万个以上的路由节点，安全事件规模达10万条以上，模拟时间在2小时以内，可以模拟蠕虫、僵尸网络、DDOS及其他安全事件。本发明是用于大规模的网络安全事件模拟，并基于此平台进行网络安全事件传播等态势分析及应急响应策略的验证。图1为大规模网络安全事件模拟与仿真方法的流程图。图2为具体实施方式二的流程图。图3为具体实施方式四的流程图。图4为具体实施方式五的流程图。图5为教育网拓扑信息示意图。图6为无控制策略和加控制策略的曲线对比图，即通过此平台作用的控制策略验证示例。图7数据预处理模块的工作原理图。图8为拓扑划分模块的工作原理图。图9为并行模拟脚本生成及模拟执行模块的工作原理图。图10为本发明一次模拟仿真过程。具体实施例方式具体实施方式一、结合图1说明本实施方式，一种大规模网络安全事件模拟与仿真方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，具体步骤如下步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤B中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤B、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤A获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件，按照相应的规则生成并行模拟可用的模拟脚本，不同模拟节点上的模拟脚本相同，每个节点读取与自己有关的部分脚本，共同完成模拟任务。其中，模拟执行过程中包括网络拓扑结构模拟子模块，背景流量模拟子模块，安全事件模拟子模块以及其他验证子模块(此处以控制策略验证为例)。所述粒度表示数据包级别的模拟；相应规则指不同的网络安全事件的攻击实施特点(例如不同类型的蠕虫，僵尸网络botnet，DDoS等)定义不同的规则库，还有就是拟用于分析的指标，例如控制策略的规则，要在哪些路由器上实施什么控制规则例如，丢包等)这些都属于脚本生成阶段要考虑的问题。有了这些规则之后，就可以利用模拟中的节点，边，代理来实现模拟的工作了。安全事件文件包括蠕虫模拟文件、僵尸网络模拟文件和DDOS模拟文件，还可以进行其他安全事件的模拟，安全事件文件以代码的形式编译到NS2内，每次新增或更改这些安全事件，需要对NS2进行重新编译。NS2(NetworkSimulator,version2)是一种面向对象的网络仿真器，它本身有一个虚拟时钟，所有的仿真都由离散事件驱动的。NS2可以用于仿真各种不同的IP网，已经实现的一些仿真有网络传输协议，比如TCP和UDP；业务源流量产生器，比如FTP，Telnet，WebCBR和VBR；路由队列管理机制，比如Droptail,RED和CBQ；路由算法，比如Dijkstra等。NS2也为进行局域网的仿真而实现了多播以及一些MAC子层协议。本发明的方法可以对大规模网络安全事件进行多机并行模拟，通过本发明的模拟可以观察安全事件对网络性能造成的影响，为提出的响应控制策略提供依据，并且评估相应的控制策略对安全事件遏制的正反两方面的影响。具体实施方式二、结合图2和图7说明本实施方式，本实施方式是对具体实施方式一中的步骤A的进一步说明步骤A的具体过程如下步骤Al、备份拓扑边文件；步骤A2、根据拓扑数据分析得到的网络拓扑结构连接特征，根据拓扑中的核心链路与边缘链路等层次特性，进行链路带宽和延迟的估算，并将估算的带宽和延迟的值更新至拓扑边文件中；步骤A3、根据拓扑数据，获得路由节点的连接关系文件；步骤A4、将安全事件文件的格式转换成拓扑划分器可接受的输入文件格式。所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件，边文件格式为link,txt，路由节点文件格式为node,txt，主机节点文件格式host,txt，拓扑划分器的输入文件格式为topo.graph。具体函数及功能见表1。表1数据预处理模块函数名称功能简述.BackupO备份拓扑边文件，在原拓扑边文件后加"_bak"命名。μ估算链路的带宽和延迟，并更新拓扑边文件将估算的带宽和延Compute()迟的值加入。GetRankO根据节点编号，查询该节点的等级。在Compute()中被调用。GetDelayO根据带宽数值，获取相应的延迟值。在Compute()中被调用在带宽和延迟估算完成后运行，根据拓扑文件生成拓扑划分器Convert()的可接收的输入文件(topo.graph)。图7显示了数据预处理模块的工作原理。具体实施方式三、本实施方式是对具体实施方式二中步骤A2的进一步说明，步骤A2中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下逐一对每一个节点进行带宽的估算和延迟的估算，对任意一个节点进行带宽的估算和延迟的估算方法是首先根据每一个节点的节点编号，查询每一个节点的等级，根据每一个节点的等级估算本节点的带宽；然后根据每一个节点的带宽，获得本节点处的延迟值。具体实施方式四、结合图3和图8说明本实施方式，本实施方式是对具体实施方式一中的步骤B的进一步说明步骤B的具体过程如下步骤Bi、将步骤A3获得的路由节点的连接关系文件进行无向图划分，获得划分结果文件；步骤B2、由路由节点文件、更新后的拓扑边文件和步骤Bl获得的划分结果文件，生成新的拓扑数据文件；步骤B3、将步骤B2获得拓扑数据文件格式转换为步骤C中模拟脚本生成器可接受的输入文件格式。在拓扑数据预处理结束后，拓扑边文件得到了估算的带宽和链路延迟的值，同时通过预处理，得到了拓扑划分器可接收的输入文件格式。而拓扑划分模块的主要功能是一是根据步骤A的输出，对网络拓扑进行划分，以进行后来的并行式网络模拟；二是根据拓扑划分的结果生成拓扑数据文件(topo.link)，该文件提供后续步骤中需要的全部网络拓扑数据。具体函数及功能见表2。表2拓扑划分模块功能简述METIS拓扑划分器，可实现无向图的划分。进行拓扑划分后，根据划分结果和拓扑数据，生成新的拓扑边Updater文件。该文件包含并行模拟脚本生成时所需要的全部拓扑信息。图8显示了拓扑划分模块的工作原理。具体实施方式五、结合图4和图9说明本实施方式，本实施方式是对具体实施方式一中的步骤C的进一步说明步骤C的具体过程如下步骤Cl、将步骤A获得的安全事件文件和步骤B获得的拓扑数据文件输入到模拟脚本生成器中，按照相应的规则生成并行模拟可用的模拟脚本；步骤C2、每个节点从步骤Cl获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本，进行网络安全事件模拟。并行模拟脚本生成及模拟执行模块的功能是实现输入文件到并行模拟脚本文件的转换。该模块以拓扑信息文件和安全事件文件作为输入，生成相应的并行模拟脚本。具体函数及功能见表3。表3并行模拟脚本生成及模拟执行模块功能简述ScriptGenerator模拟脚本生成器，实现该模块的主要功能。自定义的一个数据类型转换类，包含数值型数据到string类型Convertor,.的转换的方法。图9显示了并行模拟脚本生成及模拟执行模块的工作原理。具体实施方式六、一种大规模网络安全事件模拟与仿真控制方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，具体步骤如下步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤二中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤二、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤一获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中，按照相应的规则生成并行模拟可用的模拟脚本；步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本，进行网络安全事件模拟。本实施方式中步骤一与具体实施方式二和具体实施方式三中数据处理模块的工作过程相同；本实施方式中步骤二与具体实施方式四的工作过程相同；具体实施方式七、结合图5、图6和图10说明本实施方式，本实施方式中网络拓扑的模型是全国范围的教育网，节点数超过4万，边数超过6万条。将教育网的节点、链路和代理统计并保存为拓扑数据。节点是网络拓扑的重要组成部分，表示网络中实际的节点和路由器，节点有一个路由表、路由算法、基于目的地址转发的数据包，节点本身并不产生分组，而是由代理来产生和消费分组。一个单播节点包括两个tcl对象地址分类器和端口分类器，它们分别用来判断分组的目的地址和分组目的的代理。链路用来连接节点和路由器，一个节点可以有一条或多条输出链路。所有的链路都以队列的形式来管理分组到达、离开或丢弃，统计并保存字节数和分组数。代理代表了网络层分组的起点和终点，并被用于实现网络协议。实际测得的教育网的拓扑数据中，只包含节点间的连接状况，节点是由IP地址唯一标识的，用编号来表示节点，将拓扑数据进行预处理，首先、备份拓扑边文件；然后、根据拓扑数据进行链路带宽和延迟的估算，这里有两种方法可以用来估计链路的带宽，估算的经验值是根据全国分布式拓扑及性能测量平台长期测量结果进行参考而定。方法一、从拓扑数据中可以计算出每个路由器节点的度，根据度值估算每个节点的带宽，大多数情况下，级别越高的路由器节点所发出的链路越宽，即节点等级越高，度越大，链路越宽，表4给出了带宽与度关系的经验数据。表4度0-45-910-1213-1415-1617以上--------带宽(Mb)10155155100010002500方法二、从网络测量数据中可以获得与主机相连的路由器集合，这些集合中的路由器在整个路由器拓扑中级别最低(定义为第3级路由器)，因此与这些路由器相连的链路宽带最小；不与主机相连而直接与第3级路由器相连的路由器级别稍高(定义为第2级路由器)，相应的链路带宽较宽；不与主机相连，也不与第3级路由器相连的路由器级别最高(定义为第1级路由器)，具有的链路带宽最高；表5给出了各级路由器间的带宽。表5<table>tableseeoriginaldocumentpage10</column></row><table>根据链路带宽的值，估算链路延迟，表6给出了链路带宽和延迟的关系。表6<table>tableseeoriginaldocumentpage10</column></row><table>本实施方式中模拟的安全事件为蠕虫事件；然后，根据拓扑数据，获得路由节点的连接关系文件；转换文件格式；由于针对的是大规模的网络安全事件，涉及到的拓扑规模很庞大，需要对拓扑数据进行划分和生成并行模拟脚本处理，拓扑划分的方法具体实施方式四做了详细介绍，生成并行模拟脚本的方法具体实施方式五做了详细介绍。利用此发明的控制验证示例根据网络模拟与仿真平台对于教育网上蠕虫安全事件的模拟，感染蠕虫主机所对应的路由器集合，此集合我们定义为异常路由器集合，分析拓扑结构连接信息，找到与异常路由器集合直接相邻的最小路由器集合，定义为控制路由器集合，因此，提出一种基于公共控制点的控制策略(CommonalityControlRoute简称CommCtrlRt)算法。拟利用此算法实施前后的效果来说明如何利用本发明平台进行控制策略的研究分析过程。算法CommCtrlRt描述输入网络拓扑图G，异常路由器集合ARS输出公共控制点集合CCSCommonCtr1Rt(G，ARS)1CCS—NULL2FOREACHrINARSDO3IFDEGREE(r)>ITHEN4PUTrTOCCS5CONTINUE6ENDIF7PUTPARENTrTOCCS8ENDFOR9FOREACHrINCCSDO10FOREACHr'ADJONrANDr'ISARSANDr'INCSSDO11IFALLrADJONr'INCSSDO12REMOVEr'FROMCSS13ENDIF14ENDFOR15ENDFOR图5为教育网拓扑信息示意图，黑色节点1代表共同控制路由器，红色节点2代表异常路由器，灰色节点3代表异常路由器同时本身也是该点的控制路由器，很显然只要在红色节点和灰色节点上限制异常节点的访问，就可以限制异常事件如蠕虫的传播和扩散。图6为本应用示例的分析结果图，即无控制策略和加控制策略的曲线对比图，曲线4代表无控制策略时安全威胁指数，曲线5代表有控制策略时安全威胁指数，即利用本发明的一种大规模网络安全事件模拟与仿真方法与一种大规模网络安全事件模拟与仿真控制方法的对比图。图10显示本发明一次模拟仿真过程。权利要求一种大规模网络安全事件模拟与仿真方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，其特征在于具体步骤如下步骤A、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤B中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤B、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤A获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤C、并行模拟脚本生成及模拟执行模块根据步骤A获得的安全事件文件和步骤B获得的拓扑数据文件，按照相应的规则生成并行模拟可用的模拟脚本，不同模拟节点上的模拟脚本相同，每个节点读取与自己有关的部分脚本，共同完成模拟任务。2.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法，其特征在于步骤A的具体过程如下步骤Al、备份拓扑边文件；步骤A2、根据拓扑数据分析得到的网络拓扑结构连接特征，根据拓扑中的核心链路与边缘链路等层次特性，进行链路带宽和延迟的估算，并将估算的带宽和延迟的值更新至拓扑边文件中；步骤A3、根据拓扑数据，获得路由节点的连接关系文件；步骤A4、将安全事件文件的格式转换成拓扑划分器可接受的输入文件格式。3.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法，其特征在于步骤A2中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下逐一对每一个节点进行带宽的估算和延迟的估算，对任意一个节点进行带宽的估算和延迟的估算方法是首先根据每一个节点的节点编号，查询每一个节点的等级，根据每一个节点的等级估算本节点的带宽；然后根据每一个节点的带宽，获得本节点处的延迟值。4.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法，其特征在于步骤B的具体过程如下步骤Bi、将步骤A获得的路由节点的连接关系文件进行无向图划分，获得划分结果文件；步骤B2、由路由节点文件、更新后的拓扑边文件和步骤Bl获得的划分结果文件，生成新的拓扑数据文件。5.根据权利要求1所述的一种大规模网络安全事件模拟与仿真方法，其特征在于步骤C的具体过程如下步骤Cl、将步骤A获得的安全事件文件和步骤B获得的拓扑数据文件输入到模拟脚本生成器中，按照相应的规则生成并行模拟可用的模拟脚本；步骤C2、每个节点从步骤Cl获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本，进行网络安全事件模拟。6.一种大规模网络安全事件模拟与仿真的控制方法，它基于数据预处理模块、拓扑划分模块、并行模拟脚本生成及模拟执行模块实现，具体步骤如下步骤一、数据预处理模块根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换为步骤二中拓扑划分器可接受的输入文件格式，所述拓扑数据包括拓扑边文件、路由节点文件和主机节点文件；步骤二、拓扑划分模块根据拓扑和并行模拟的粒度，对步骤一获得的路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；步骤三、运行并行模拟脚本生成及模拟执行模块对过程如下步骤三一、将控制集文件、步骤一获得的安全事件文件和步骤二获得的拓扑数据文件输入到模拟脚本生成器中，按照相应的规则生成并行模拟可用的模拟脚本；步骤三二、每个节点从步骤三一获得的并行模拟可用的模拟脚本中读取与本节点有关的部分脚本，进行网络安全事件模拟。7.根据权利要求6所述的一种大规模网络安全事件模拟与仿真的控制方法，其特征在于步骤一的具体过程如下步骤一一、备份拓扑边文件；步骤一二、根据拓扑数据分析得到的网络拓扑结构连接特征，根据拓扑中的核心链路与边缘链路等层次特性，进行链路带宽和延迟的估算，并将估算的带宽和延迟的值更新至拓扑边文件中；步骤一三、根据拓扑数据，获得路由节点的连接关系文件；步骤一四、将安全事件文件的格式转换成拓扑划分器可接受的输入文件格式。8.根据权利要求7所述的一种大规模网络安全事件模拟与仿真的控制方法，其特征在于步骤一二中所述的根据拓扑数据进行链路带宽和延迟的估算的具体过程如下逐一对每一个节点进行带宽的估算和延迟的估算，对任意一个节点进行带宽的估算和延迟的估算方法是首先根据每一个节点的节点编号，查询每一个节点的等级，根据每一个节点的等级估算本节点的带宽；然后根据每一个节点的带宽，获得本节点处的延迟值。9.根据权利要求6所述的一种大规模网络安全事件模拟与仿真方法，其特征在于步骤二的具体过程如下步骤二一、将步骤一获得的路由节点的连接关系文件进行无向图划分，获得划分结果文件；步骤二二、由路由节点文件、更新后的拓扑边文件和步骤二一获得的划分结果文件，生成新的拓扑数据文件。全文摘要一种大规模网络安全事件模拟与仿真方法及控制方法，涉及网络安全事件仿真领域。解决了现有的网络安全模拟系统存在无法进行全面的安全事件模拟的问题。具体步骤如下A、根据拓扑数据进行链路带宽和延迟的估算，获得路由节点的连接关系文件，将安全事件文件的格式转换；B、根据拓扑和并行模拟的粒度，对路由节点的连接关系文件进行划分，使其能够部署在多机并行的环境下进行并行模拟，并根据划分结果更新相应的拓扑数据文件；C、按照相应的规则生成并行模拟可用的模拟脚本，不同模拟节点上的模拟脚本相同，每个节点读取与自己有关的部分脚本，共同完成模拟任务。本发明适用于大规模的网络安全事件模拟。文档编号H04L29/06GK101808084SQ201010109449公开日2010年8月18日申请日期2010年2月12日优先权日2010年2月12日发明者何慧,刘静,张宏莉,李文娟,杨贤青,王星,胡卫国,许刚申请人:哈尔滨工业大学