網(wǎng)絡(luò)安全數(shù)據(jù)可視化概述的論文

　　隨著網(wǎng)絡(luò)通信技術(shù)的進(jìn)步，飛速發(fā)展的網(wǎng)絡(luò)應(yīng)用對(duì)網(wǎng)絡(luò)安全提出了很高的要求.一直以來，各種網(wǎng)絡(luò)監(jiān)控設(shè)備采集的大量日志數(shù)據(jù)是人們掌握網(wǎng)絡(luò)狀態(tài)和識(shí)別網(wǎng)絡(luò)入侵的主要信息來源.網(wǎng)絡(luò)安全分析人員在處理網(wǎng)絡(luò)安全問題時(shí)，首先通過分析相應(yīng)的數(shù)據(jù)來了解網(wǎng)絡(luò)狀態(tài)和發(fā)現(xiàn)異�，F(xiàn)象，然后對(duì)異常事件的特征以及對(duì)網(wǎng)絡(luò)的影響進(jìn)行綜合診斷，最后采取對(duì)應(yīng)的響應(yīng)措施.然而，隨著網(wǎng)絡(luò)安全需求的不斷提升，網(wǎng)絡(luò)安全分析人員在分析網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)遇到了很多新的困難：1)異構(gòu)的數(shù)據(jù)源和持續(xù)增長(zhǎng)的數(shù)據(jù)量給分析人員帶來了繁重的認(rèn)知負(fù)擔(dān);2)新攻擊類型的出現(xiàn)和攻擊復(fù)雜度的提高，使得很多傳統(tǒng)的數(shù)據(jù)分析方法不再有效;3)大量漏報(bào)和誤報(bào)是一些自動(dòng)化異常檢測(cè)系統(tǒng)的弊病;4)側(cè)重于局部異常分析的傳統(tǒng)思路，使得分析人員很難掌握宏觀網(wǎng)絡(luò)態(tài)勢(shì).如何幫助網(wǎng)絡(luò)安全分析人員更高效地分析網(wǎng)絡(luò)安全數(shù)據(jù)，已成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)十分重要而且迫切的問題.在解決網(wǎng)絡(luò)安全問題的過程中，人的認(rèn)知和判斷能力始終處于主導(dǎo)地位，一個(gè)能幫助人們更好地分析網(wǎng)絡(luò)安全數(shù)據(jù)的實(shí)用辦法就是將數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來，并提供友好的交互手段，建立人與數(shù)據(jù)之間的圖像通信，借助人們的視覺處理能力觀察網(wǎng)絡(luò)安全數(shù)據(jù)中隱含的信息，以進(jìn)一步提高分析人員的感知、分析和理解網(wǎng)絡(luò)安全問題的能力.因此，許多學(xué)者提出將可視化技術(shù)引入到網(wǎng)絡(luò)安全研究領(lǐng)域中來，并逐步形成了網(wǎng)絡(luò)安全可視化這一新的交叉研究領(lǐng)域.早在1995年Becker等就提出對(duì)網(wǎng)絡(luò)流量狀況進(jìn)行可視化，之后 Girardind等[5]在1998年曾使用多種可視化技術(shù)來分析防火墻日志記錄.從2004年開 始 舉 辦 的 國(guó) 際 網(wǎng) 絡(luò) 安 全 可 視 化 年 會(huì)(visualizationforcybersecurity，VizSec)，標(biāo)志著該領(lǐng)域的正式建立，并且在2004～2006年集中涌現(xiàn)了一批高質(zhì)量的研究成果，如圖1所示.從2011年開始，國(guó)際可視分析挑戰(zhàn)賽[7](VASTchallenge)連續(xù)3年都采用了網(wǎng)絡(luò)安全數(shù)據(jù)作為競(jìng)賽題目，推動(dòng)著該領(lǐng)域呈現(xiàn)出一個(gè)新研究熱潮.國(guó)內(nèi)網(wǎng)絡(luò)安全可視化的研究起步相對(duì)較晚，哈爾濱工程大學(xué)、天津大學(xué)、北京郵電大學(xué)、吉林大學(xué)、北京大學(xué)和中南大學(xué)等研究機(jī)構(gòu)的一些團(tuán)隊(duì)已開展了相關(guān)研究.經(jīng)過十多年的發(fā)展，在網(wǎng)絡(luò)安全可視化領(lǐng)域，學(xué)者們提出了許多新穎的可視化設(shè)計(jì)，并開發(fā)了諸多實(shí)用的交互式可視分析工具，這也為傳統(tǒng)的網(wǎng)絡(luò)安全研究方法和分析人員的工作方式注入了新的活力：1)分析人員的認(rèn)知負(fù)擔(dān)得以減輕;2)異常檢測(cè)和特征分析變得更為直觀;3)人們可以更自主地探索事件關(guān)聯(lián)和復(fù)雜攻擊模式，甚至發(fā)現(xiàn)新的攻擊類型;4)網(wǎng)絡(luò)安全態(tài)勢(shì)的察覺和理解效率得以提高.本文首先介紹網(wǎng)絡(luò)安全分析人員需要處理的各種網(wǎng)絡(luò)安全數(shù)據(jù)源，并重點(diǎn)從網(wǎng)絡(luò)安全問題和網(wǎng)絡(luò)安全可視化方法這2個(gè)角度，對(duì)已有研究成果進(jìn)行了系統(tǒng)的梳理，最后對(duì)網(wǎng)絡(luò)安全可視化的發(fā)展趨勢(shì)進(jìn)行了展望.圖1 網(wǎng)絡(luò)安全可視化領(lǐng)域相關(guān)研究年度匯總表

　　1網(wǎng)絡(luò)安全數(shù)據(jù)介紹網(wǎng)絡(luò)安全分析人員需要處理的網(wǎng)絡(luò)安全數(shù)據(jù)種類非常多，其中最重要數(shù)據(jù)源來自各種網(wǎng)絡(luò)監(jiān)控設(shè)備.根據(jù)位于不同邏輯層次和不同物理位置的各種網(wǎng)絡(luò)監(jiān)控設(shè)備所采集信息的特點(diǎn)，可以將網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)分3類：流量監(jiān)控?cái)?shù)據(jù)、狀態(tài)監(jiān)控?cái)?shù)據(jù)和事件監(jiān)控?cái)?shù)據(jù)，如表1所示.表1網(wǎng)絡(luò)安全數(shù)據(jù)分類表分類 數(shù)據(jù)名稱 數(shù)據(jù)源舉例流量監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包日志 Tcpdump，WireShark網(wǎng)絡(luò)數(shù)據(jù)流日志 CiscoNetFlow狀態(tài)監(jiān)控 狀態(tài)監(jiān)控日志 BigBrother，vSphere事件監(jiān)控入侵檢測(cè)系統(tǒng)日志 Cisco，SNORT防火墻日志 Cisco，Checkpoint，華為入侵保護(hù)系統(tǒng)日志 Cisco，IBM，天融信網(wǎng)絡(luò)應(yīng)用操作日志 Apache，Exchange，DNS弱點(diǎn)掃描與監(jiān)控日志 Honeypots，eEye，Nessus其他數(shù)據(jù) 系統(tǒng)配置文件、病毒樣本等等流量監(jiān)控?cái)?shù)據(jù)主要來自包級(jí)和流級(jí)2個(gè)采集層次.包級(jí)的流量監(jiān)控會(huì)記錄每個(gè)數(shù)據(jù)包的 TCP?IP包頭信息和載荷內(nèi)容;流級(jí)的流量監(jiān)控會(huì)將一次網(wǎng)絡(luò)會(huì)話的數(shù)據(jù)流聚合起來，只記錄會(huì)話信息的方式數(shù)據(jù)量更小，也更加易于理解和管理.狀態(tài)監(jiān)控?cái)?shù)據(jù)是指網(wǎng)絡(luò)中各種軟硬件資源的運(yùn)行狀態(tài)信息，如 CPU 利用率、網(wǎng)絡(luò)吞吐率、郵件服務(wù)是否正常等等，它們可以通過SNMP協(xié)議或者通過安裝一些專業(yè)的狀態(tài)監(jiān)控產(chǎn)品獲得.事件監(jiān)控?cái)?shù)據(jù)又分為異常檢測(cè)日志和日常操作記錄.異常檢測(cè)日志主要來自自動(dòng)化的網(wǎng)絡(luò)防御設(shè)備產(chǎn)生的報(bào)警事件，如防火墻和入侵檢測(cè)系統(tǒng)，它們是以流量數(shù)據(jù)、狀態(tài)數(shù)據(jù)等原始監(jiān)控?cái)?shù)據(jù)為基礎(chǔ)，通過規(guī)則匹配和算法處理生成.日常操作記錄來自各種網(wǎng)絡(luò)服務(wù)和應(yīng)用在運(yùn)行過程中獲取的用戶操作信息，如管理服務(wù)器的用戶登陸記錄、域名服務(wù)器的域名解析請(qǐng)求記錄等等.

　　另外，也可以將網(wǎng)絡(luò)漏洞掃描數(shù)據(jù)和通過蜜罐獲取的攻擊者信息看作事件監(jiān)控?cái)?shù)據(jù).網(wǎng)絡(luò)安全分析人員在日常工作中還需要面對(duì)一些非監(jiān)控型網(wǎng)絡(luò)安全數(shù)據(jù)，如防火墻配置文件、網(wǎng)絡(luò)路由表、病毒樣本等.針對(duì)這些數(shù)據(jù)的可視化可以為分析人員提供多方面的幫助，如 Nataraj將惡意軟件樣本可視化為灰度圖像，并利用圖像特征對(duì)樣本進(jìn)行分類.Mansmann等采用Sunburst圖形將防火墻配置規(guī)則樹可視化，幫助管理員理解復(fù)雜的規(guī)則和輔助調(diào)優(yōu).2主要研究方法與發(fā)展現(xiàn)狀網(wǎng)絡(luò)安全可視化的研究，首先是確定網(wǎng)絡(luò)安全分析人員關(guān)心的問題，也就是有什么數(shù)據(jù)，需要從數(shù)據(jù)中獲取什么信息;然后是設(shè)計(jì)可視化結(jié)構(gòu)來表示數(shù)據(jù)，建立數(shù)據(jù)到可視化結(jié)構(gòu)的映射;最后是設(shè)計(jì)縮放、聚焦、回放和關(guān)聯(lián)更新等人機(jī)交互功能，完成人與可視化工具的交流，從而幫助分析人員觀察網(wǎng)絡(luò)安全數(shù)據(jù)中隱含的信息，進(jìn)一步提高分析人員的感知、分析和理解網(wǎng)絡(luò)安全問題的能力.

　　無論是針對(duì)網(wǎng)絡(luò)掃描、拒絕服務(wù)攻擊、蠕蟲傳播等具體的網(wǎng)絡(luò)入侵事件，還是針對(duì)網(wǎng)絡(luò)監(jiān)控、特征分析、態(tài)勢(shì)感知等抽象的網(wǎng)絡(luò)安全需求，面對(duì)不同的網(wǎng)絡(luò)安全問題和數(shù)據(jù)源，設(shè)計(jì)不同的可視化結(jié)構(gòu)和交互手段、采用不同的技術(shù)路線和分析思路，便可以形成不同的網(wǎng)絡(luò)安全可視化研究方法.從網(wǎng)絡(luò)安全分析人員的角度出發(fā)，按照從簡(jiǎn)單到復(fù)雜、從單一到整體、從低層到高層的思路，可以將人們關(guān)心的網(wǎng)絡(luò)安全問題和網(wǎng)絡(luò)安全可視化在網(wǎng)絡(luò)安全中的應(yīng)用分為5類：網(wǎng)絡(luò)監(jiān)控、異常檢測(cè)、特征分析、關(guān)聯(lián)分析和態(tài)勢(shì)感知.本節(jié)將逐類介紹主要的網(wǎng)絡(luò)安全可視化研究方法和發(fā)展現(xiàn)狀，表2所示為常見的網(wǎng)絡(luò)安全問題和主要的網(wǎng)絡(luò)安全可視化研究方法結(jié)合情況的整體概覽.2.1網(wǎng)絡(luò)監(jiān)控從各種網(wǎng)絡(luò)監(jiān)控設(shè)備獲取的數(shù)據(jù)中了解網(wǎng)絡(luò)運(yùn)行狀態(tài)是網(wǎng)絡(luò)安全分析人員關(guān)注的最基本問題，也是網(wǎng)絡(luò)優(yōu)化、異常檢測(cè)、態(tài)勢(shì)感知的基礎(chǔ).可視化的網(wǎng)絡(luò)監(jiān)控主要研究是按照時(shí)間順序，如何將主機(jī)和端口等監(jiān)控對(duì)象、流量和事件等監(jiān)控內(nèi)容使用圖形圖像的方式表達(dá)出來，以幫助分析人員快速了解網(wǎng)絡(luò)運(yùn)行狀態(tài).主機(jī)是網(wǎng)絡(luò)活動(dòng)的主體，也是最重要的監(jiān)控對(duì)象.在網(wǎng)絡(luò)空間中，IP地址是主機(jī)的唯一標(biāo)識(shí)，針對(duì)IP地址的非物理位置特性和分段特性，學(xué)者們嘗試了多 種 方 式 來 實(shí) 現(xiàn) 基 于 IP 地 址 的 網(wǎng) 絡(luò) 監(jiān) 控.IPmatrix采用了二維坐標(biāo)定位和顏色映射的方法監(jiān)控某B類網(wǎng)絡(luò)中發(fā)生的事件，如圖2a所示，X 和Y 值構(gòu)成的坐標(biāo)確定IP地址，不同事件類型映射為不同的顏色，但是這種方法表示的IP地址空間有限.Quantree技術(shù)將正方形進(jìn)行多次四分后形成的512×512矩陣來表示4個(gè)字節(jié)的IPv4地址空間，圖2b顯示了基于該方法的IPv4全地址空間的流量監(jiān)控，流量大小使用顏色編碼;但其缺點(diǎn)是點(diǎn)陣太密集，不便于交互.Treemap在表示IP地址的分層特性時(shí)具有更好的交互性，如圖2c所示，用戶可以通過交互自由地查看分級(jí)匯總或細(xì)節(jié)信息，還能將其擴(kuò)展到IPv6地址的表示.IP地址標(biāo)識(shí)了主機(jī)，端口則標(biāo)識(shí)了不同的網(wǎng)絡(luò)應(yīng)用，因此端口監(jiān)控和主機(jī)監(jiān)控有著同等重要的地位.PortVis用一個(gè)256×256的網(wǎng)格矩陣和顏色映射 方 法 表 示 65536個(gè) 端 口 的 流 量 情 況，如圖2d所示，為防止過密的數(shù)據(jù)點(diǎn)的交互困難，系統(tǒng)還提供了區(qū)域選擇和放大觀察的交互方式.考慮到不同端口號(hào)區(qū)段的重要程度不同，可以將不太重要的端口號(hào)用較小的圖元表示;如PortMatrix將網(wǎng)絡(luò)端口號(hào)分為如圖2e所示4類，其中100個(gè)連續(xù)的動(dòng)態(tài)端口使用同一個(gè)方格表示.網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)都具有時(shí)序特點(diǎn)，線條圖、柱狀圖、堆疊圖等適合時(shí)序數(shù)據(jù)表示的基本統(tǒng)計(jì)圖形在網(wǎng)絡(luò)安 全 可 視 化 中 應(yīng) 用 很 廣，圖 2f顯 示 了FlowScan[16]使用堆疊圖可視化某校園網(wǎng)流量的時(shí)序變化情況，不同網(wǎng)絡(luò)協(xié)議的流量用不同顏色編碼，在進(jìn)行統(tǒng)計(jì)時(shí)還區(qū)分了流入和流出的流量.為了實(shí)現(xiàn)整體和細(xì)節(jié)的統(tǒng)一，設(shè)計(jì)者通常會(huì)結(jié)合統(tǒng)計(jì)分析方法，將描述網(wǎng)絡(luò)整體狀態(tài)變化的時(shí)序圖形與描述某時(shí)段網(wǎng)絡(luò)具體狀態(tài)的監(jiān)控圖形聯(lián)動(dòng)起來.因此，傳統(tǒng)統(tǒng)計(jì)圖形和統(tǒng)計(jì)方法一定程度上成為了各種新穎的可視化系統(tǒng)中不可或缺的標(biāo)準(zhǔn)配件.

　　3.總結(jié)與展望網(wǎng)絡(luò)安全可視化將網(wǎng)絡(luò)安全數(shù)據(jù)分析和可視化技術(shù)結(jié)合起來，通過提供圖形化的交互工具，提高網(wǎng)絡(luò)安全分析人員感知、分析和理解網(wǎng)絡(luò)安全問題的能力.從本文的介紹中可以看出，網(wǎng)絡(luò)安全可視化已經(jīng)取得了豐碩的研究成果，但是面對(duì)越來越嚴(yán)重的網(wǎng)絡(luò)安全威脅和越來越復(fù)雜的攻擊手段，研究者們還面臨著諸多的挑戰(zhàn)：1)如何實(shí)時(shí)顯示和處理大規(guī)模網(wǎng)絡(luò)數(shù)據(jù).目前大部分研究仍然停留在離線數(shù)據(jù)的分析上，但是實(shí)時(shí)分析遠(yuǎn)比離線分析重要.實(shí)時(shí)的網(wǎng)絡(luò)安全可視化需求對(duì)數(shù)據(jù)預(yù)處理速度、圖形繪制速度、交互響應(yīng)速度都提出了更高的要求.2)如何搭建網(wǎng)絡(luò)安全可視化的協(xié)同工作環(huán)境.解決大范圍的復(fù)雜網(wǎng)絡(luò)問題往往需要多數(shù)據(jù)源、多視圖、多人的協(xié)同分析，因此現(xiàn)有的數(shù)據(jù)融合和多視圖技術(shù)以及多人參與的網(wǎng)絡(luò)安全協(xié)同可視分析環(huán)境都有較大的發(fā)展空間.3)如何提高網(wǎng)絡(luò)安全可視化系統(tǒng)的易用性.對(duì)于目前大部分網(wǎng)絡(luò)安全可視化系統(tǒng)，即使是有豐富經(jīng)驗(yàn)的分析人員，都需要一定程度的培訓(xùn)后才能熟練使用，但網(wǎng)絡(luò)安全可視化的受眾本應(yīng)更為廣泛，因此需要加強(qiáng)網(wǎng)絡(luò)安全可視化的易用性研究.4)如何研究出一套完整的理論體系.可視化方法研究主觀性很強(qiáng)，解決網(wǎng)絡(luò)安全問題的經(jīng)驗(yàn)性要求高，網(wǎng)絡(luò)安全可視化的有效性驗(yàn)證非常困難，因此在相關(guān)數(shù)學(xué)模型、基礎(chǔ)理論和設(shè)計(jì)原則等方面開展深入研究勢(shì)在必行.

【網(wǎng)絡(luò)安全數(shù)據(jù)可視化概述的論文】相關(guān)文章：

網(wǎng)絡(luò)安全與大數(shù)據(jù)的關(guān)系論文04-07

IP數(shù)據(jù)廣播概述05-01

大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全研究論文05-02

大數(shù)據(jù)下網(wǎng)絡(luò)安全與隱私保護(hù)研究論文05-02

大數(shù)據(jù)時(shí)代下網(wǎng)絡(luò)安全與隱私保護(hù)論文06-08

數(shù)據(jù)挖掘論文04-29

水深測(cè)量數(shù)據(jù)的組織管理與三維可視化05-01

網(wǎng)絡(luò)暴民概述與其原因論文05-02

網(wǎng)絡(luò)安全論文11-10

地震疊前數(shù)據(jù)三維可視化技術(shù)探討04-27