《网络安全数据可视化综述.pdf》由会员分享,可在线阅读,更多相关《网络安全数据可视化综述.pdf(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第26卷第5期 计算机辅助设计与图形学学报 V0126 No52014年5月 Journal of ComputerAided DesignComputer Graphics May 2014网络安全数据可视化综述赵 颖,樊晓平1”,周芳芳”,汪 飞”,张加万4”(中南大学信息科学与工程学院长沙410083)2(湖南财政经济学院网络化系统研究所长沙410205)”(湖南师范大学数学与计算机学院长沙410081)4(天津大学软件学院天津300072)(zffesueducn)摘要:网络安全可视化是一个新兴的交叉研究领域,它通过提供交互式可视化工具,提升网络安全分析人员感知、分析和理解网络安全问题
2、的能力通过近些年来的研究,该领域的很多研究成果已经在网络监控、异常检测、特征识别、关联分析和态势感知等方面取得了重要进展文中介绍了网络安全可视化的必要性和发展历史,以及主要的网络安全数据源,并重点从网络安全问题和网络安全可视化方法2个角度对已有研究成果进行了系统的梳理;最后对未来的发展趋势进行了展望关键词:信息可视化;可视分析;网络安全;安全可视化中图法分类号:TP391A Survey on Network Security Data VisualizationZhao Ying”,Fan Xiaopin91,孙,Zhou Fangfang,Wang Fei,and Zhang Jiawan
3、41(Information Science and Engineering School,Central South University,Changsha 410083)”(Laboratory of Networked Systems,Hunan University of FinanceEconomics,Changsha 410205)3(College of Mathematics and Computer ScienceHunan Normal University,Changsha 410081)4(School吖Software,Tianjin University,Tian
4、jin 300072)Abstract:As a young community of network security research,visualization for network securityfocuses on taking advantage of the power of the human perceptual and cognitive processes by bringingrobust visual tools into hands of humans in solving computer network security problemsAmounts of
5、visual tools have played very significant roles in helping network security analysts to detect anomalies,discover patterns,identify correlations,and assess network security situationIn this paper,we offera comprehensive review of network security visualizationFirst,we introduce the necessity and the
6、phased development of this field;then we provide taxonomies from network security visualizationtechnology and visual application in network security;at last we outline some guidelines and directionsfor future studiesKey words:information visualization;visual analytics;network security;security visua
7、lization随着网络通信技术的进步,飞速发展的网络应用对网络安全提出了很高的要求一直以来,各种网络监控设备采集的大量日志数据是人们掌握网络状态和识别网络入侵的主要信息来源网络安全分析收稿Et期:2014 0109;修回日期:2014 0218基金项目:国家自然科学基金(61103108,60673196);湖南省科技计划博士后专项(2012RS4049);湖南省自然科学基金(12JJ3062);中南大学博士后专项赵颖(1980一),男,博士研究生,讲师,CCF会员,主要研究方向为可视化与可视分析等;樊晓平(1961),男,博士,教授,博士生导师,主要研究方向为网络系统与智能交通等i周芳芳(
8、1980),女,博士,副教授,CCF会员,主要研究方向为科学可视化与信息可视化等;汪 飞(1979),男,硕士,讲师,主要研究方向为可视化和可视分析等;张加万(1975一),男,博士,教授,博士生导师,主要研究方向为图形学与可视化等万方数据688 计算机辅助设计与图形学学报 第26卷人员在处理网络安全问题时,首先通过分析相应的数据来了解网络状态和发现异常现象,然后对异常事件的特征以及对网络的影响进行综合诊断,最后采取对应的响应措施然而,随着网络安全需求的不断提升,网络安全分析人员在分析网络安全数据时遇到了很多新的困难:1)异构的数据源和持续增长的数据量给分析人员带来了繁重的认知负担;2)新攻击
9、类型的出现和攻击复杂度的提高,使得很多传统的数据分析方法不再有效;3)大量漏报和误报是一些自动化异常检测系统的弊病;4)侧重于局部异常分析的传统思路,使得分析人员很难掌握宏观网络态势如何帮助网络安全分析人员更高效地分析网络安全数据,已成为网络安全领域一个十分重要而且迫切的问题在解决网络安全问题的过程中,人的认知和判断能力始终处于主导地位,一个能帮助人们更好地分析网络安全数据的实用办法就是将数据以图形图像的方式表现出来,并提供友好的交互手段,建立人与数据之间的图像通信,借助人们的视觉处理能力观察网络安全数据中隐含的信息,以进一步提高分析人员的感知、分析和理解网络安全问题的能力因此,许多学者提出将
10、可视化技术引入到网络安全研究领域中来,并逐步形成了网络安全可视化这一新的交叉研究领域1。3J早在1995年Becker等4就提出对网络流量状况进行可视化,之后Girardind等51在1998年曾使用多种可视化技术来分析防火墙日志记录从2004年开始举办的国际网络安全可视化年会6(visualization for cyber security,VizSec),标志着该领域的正式建立,并且在20042006年集中涌现了一批高质量的研究成果,如图1所示从2011年开始,国际可视分析挑战赛口(VAST challenge)连续3年都采用了网络安全数据作为竞赛题目,推动着该领域呈现出一个新研究热潮国
11、内网络安全可视化的研究起步相对较晚,哈尔滨工程大学、天津大学、北京邮电大学、吉林大学、北京大学和中南大学等研究机构的一些团队已开展了相关研究经过十多年的发展,在网络安全可视化领域,学者们提出了许多新颖的可视化设计,并开发了诸多实用的交互式可视分析工具,这也为传统的网络安全研究方法和分析人员的工作方式注入了新的活力:1)分析人员的认知负担得以减轻;2)异常检测和特征分析变得更为直观;3)人们可以更自主地探索事件关联和复杂攻击模式,甚至发现新的攻击类型;4)网络安全态势的察觉和理解效率得以提高本文首先介绍网络安全分析人员需要处理的各种网络安全数据源,并重点从网络安全问题和网络安全可视化方法这2个角
12、度,对已有研究成果进行了系统的梳理,最后对网络安全可视化的发展趋势进行了展望攫日卿籁钗恕J斗廿廿廿廿廿持廿廿廿好廿廿j斗廿廿廿器蓦昌8 g罟鲁g昌害g詈害2=鹫暑璺署当品昌昌蠹舄昌昌品器蠹蠹舄鑫昌l相关论文数量 相关论文总引用次数1 4001 200l 000鼍800 赣黜i|2000图1 网络安全可视化领域相关研究年度汇总表1 网络安全数据介绍网络安全分析人员需要处理的网络安全数据种类非常多,其中最重要数据源来自各种网络监控设备根据位于不同逻辑层次和不同物理位置的各种网络监控设备所采集信息的特点,可以将网络监控数据分3类:流量监控数据、状态监控数据和事件监控数据,如表1所示表1 网络安全数据
13、分类表其他数据 系统配置文件、病毒样本等等流量监控数据主要来自包级和流级2个采集层次包级的流量监控会记录每个数据包的TCPIP包头信息和载荷内容;流级的流量监控会将一次网络会话的数据流聚合起来,只记录会话信息的方式数据量更小,也更加易于理解和管理状态监控数据是指网络中各种软硬件资源的运行状态信息,如CPU利用率、网络吞吐率、邮件服万方数据第5期 赵颖,等:网络安全数据可视化综述 689务是否正常等等,它们可以通过SNMP协议或者通过安装一些专业的状态监控产品获得事件监控数据又分为异常检测日志和日常操作记录异常检测日志主要来自自动化的网络防御设备产生的报警事件,如防火墙和入侵检测系统,它们是以流
14、量数据、状态数据等原始监控数据为基础,通过规则匹配和算法处理生成日常操作记录来自各种网络服务和应用在运行过程中获取的用户操作信息,如管理服务器的用户登陆记录、域名服务器的域名解析请求记录等等另外,也可以将网络漏洞扫描数据和通过蜜罐获取的攻击者信息看作事件监控数据网络安全分析人员在日常工作中还需要面对一些非监控型网络安全数据,如防火墙配置文件、网络路由表、病毒样本等针对这些数据的可视化可以为分析人员提供多方面的帮助,如Nataraj等口1将恶意软件样本可视化为灰度图像,并利用图像特征对样本进行分类Mansmann等91采用Sunburst图形将防火墙配置规则树可视化,帮助管理员理解复杂的规则和辅
15、助调优2主要研究方法与发展现状网络安全可视化的研究,首先是确定网络安全分析人员关心的问题,也就是有什么数据,需要从数据中获取什么信息;然后是设计可视化结构来表示数据,建立数据到可视化结构的映射;最后是设计缩放、聚焦、回放和关联更新等人机交互功能,完成人与可视化工具的交流,从而帮助分析人员观察网络安全数据中隐含的信息,进一步提高分析人员的感知、分析和理解网络安全问题的能力无论是针对网络扫描、拒绝服务攻击、蠕虫传播等具体的网络入侵事件,还是针对网络监控、特征分析、态势感知等抽象的网络安全需求,面对不同的网络安全问题和数据源,设计不同的可视化结构和交互手段、采用不同的技术路线和分析思路,便可以形成不
16、同的网络安全可视化研究方法从网络安全分析人员的角度出发,按照从简单到复杂、从单一到整体、从低层到高层的思路,可以将人们关心的网络安全问题和网络安全可视化在网络安全中的应用分为5类:网络监控、异常检测、特征分析、关联分析和态势感知本节将逐类介绍主要的网络安全可视化研究方法和发展现状,表2所示为常见的网络安全问题和主要的网络安全可视化研究方法结合情况的整体概览21网络监控从各种网络监控设备获取的数据中了解网络运行状态是网络安全分析人员关注的最基本问题,也是网络优化、异常检测、态势感知的基础可视化的网络监控主要研究是按照时间顺序,如何将主机和端口等监控对象、流量和事件等监控内容使用图形图像的方式表达
17、出来,以帮助分析人员快速了解网络运行状态主机是网络活动的主体,也是最重要的监控对象在网络空间中,IP地址是主机的唯一标识,针对IP地址的非物理位置特性和分段特性,学者们尝试了多种方式来实现基于IP地址的网络监控IPmatriX103采用了二维坐标定位和颜色映射的方法监控某B类网络中发生的事件,如图2 a1阳所示,x和y值构成的坐标确定IP地址,不同事件类型映射为不同的颜色,但是这种方法表示的IP地址空间有限Quantree11。123技术将正方形进行多次四分后形成的512512矩阵来表示4个字节的IPv4地址空间,图2 b1妇显示了基于该方法的IPv4全地址空间的流量监控,流量大小使用颜色编码
18、;但其缺点是点阵太密集,不便于交互Treemap13在表示IP地址的分层特性时具有更好的交互性,如图2 c1胡所示,用户可以通过交互自由地查看分级汇总或细节信息,还能将其扩展到IPv6地址的表示1“IP地址标识了主机,端口则标识了不同的网络应用,因此端口监控和主机监控有着同等重要的地位PortVis1 43用一个256256的网格矩阵和颜色映射方法表示65 536个端口的流量情况,如图2 d1 4所示,为防止过密的数据点的交互困难,系统还提供了区域选择和放大观察的交互方式考虑到不同端口号区段的重要程度不同,可以将不太重要的端口号用较小的图元表示;如PortMatrix1印将网络端口号分为如图2
19、 e1 5所示4类,其中100个连续的动态端口使用同一个方格表示网络监控数据都具有时序特点,线条图、柱状图、堆叠图等适合时序数据表示的基本统计图形在网络安全可视化中应用很广,图2 fEl63显示了FlowScan161使用堆叠图可视化某校园网流量的时序变化情况,不同网络协议的流量用不同颜色编码,在进行统计时还区分了流人和流出的流量为了实现整体和细节的统一,设计者通常会结合统计分析方法,将描述网络整体状态变化的时序图形与描述某时段网络具体状态的监控图形联动起来因此,传统统计图形和统计方法一定程度上成为了各种新颖的可视化系统中不可或缺的标准配件E17-18万方数据690计算机辅助设计与图形学学报第
20、26卷删籍妖器水桀礤芒。_器强硇U、_匠颦旺媒陵m掣匝IlIIIl营蜒一米K俅求lIIIIIIII求囊羹囊尉IlIllII鼗长辎蓑羹龚斟IIIlIg崮艇S疑髦匿塔翻襄蚺姆鑫求lll目娴察$求蛙II-I奠舷蚺圈匣”恕匿籁骧稚怄如辍赛冈燃IIIIIIIII暖嘏辖足扑如拳$燃蠕螺求恹一一-一一I圃RIIIIIIII一;圈IIlIIIl翻团一来KlIIIIIlII求箍龄圃囤IIIIm蕊窭州g船蜷。IlIll-旺剥媾眯莲曩囤圃匝詹趔匠篓I一lllII甜18堪茛稍瓣娶器娶m一II-屡划掣圆匦囤蜒世世I一一IIIl匿凛咂菲辇匝mmIII$辖辖求求辖求衄圈耀求碹蛰屡霹龆嚣倏蜒恐辖辖踊剞烈嚣辖嚣口婚督求求盘求求
21、U蛙*籍厘签暴*匿H匿剿士K匿昧瓣世鳃悄蚓掣求求琶四匿餐迎日瓣婢牡岿誊霖口翊、顺日呔匿匿呔冀米怕磐掣趔龋蠖趔匿婚悄州厦嘲求粼舡E囤岛f剥咏跫匿婚懈剞厦嗣僻硼崩林求蠼恹跃吝毗州基鞋詹钏怅姆医岬罐厘剞懈姆区N懈万方数据第5期 赵颖,等:网络安全数据可视化综述 691。二,Visualizafion ofthe Network(Local Level)、,E一一CD ra IP地址的二维矩阵表示法 b IP地址的Quadtree表示法GroJl:usolc世酱_吐e!监Group 2:wellknown ports一 l。一 “一期_一”c lP地址的Treemap表示法c-lWeL I0y廿Pr吡
22、o1n_-一_1 广t o r 1o + B_r u uJ _t u t- - -一。“w-ke PortMatrix f FlowScan图2可视化的网络监控22异常检测网络异常包括的范围很广,如流量的突变、设备的失效、越权的资源访问、可疑的主机行为等有的异常是由于恶意攻击产生,而有的则是由于普通网络故障或者用户操作不当造成检测和定位各种网络异常是网络安全分析人员的日常工作,也是进一步诊断异常原因、识别网络攻击类型的基础可视化的异常检测经常与网络监控联系在一起,主要方法是通过对网络状态和网络访问等信息的图形化表示,帮助分析人员从“正常状态”中快速准确地发现“异常情况”,而不是像传统的自动化检
23、测方法那样只抛出异常检测结果流量是主要的网络状态之一,拒绝服务攻击和蠕虫传播等网络入侵行为发生时,往往首先会在网络流量上出现明显的变化网格矩阵图和颜色编码是最常见的以主机和端口为对象的可视化流量异常检测方法,因此21节中介绍的多个可视化监控系统也都能胜任流量异常检测除此之外,学者们也提出了很多其他行之有效的可视化流量异常检测方法,如图3 a1 5显示的是一个采用热力图技术的流量监控系统,从中可以很直观地观察到在当前时刻有一些流量热点主机出现,友好的拓扑布局还可以帮助分析人员迅速定位热点主机和观察子网分布特点;图3 b1明显示了一个根据端口流量进行分组聚合分析的可视化系统,横轴表示时间,每个时段
24、各端口的流量通过堆叠柱状图表示,图中明显的峰值时段是由端口445和2 552产生的,而这2个端口和蠕虫传播有较大关系网络应用主要通过主机之间的互访实现,当主机遭到误用、滥用和病毒感染时,常常会出现网络访问的异常节点连接图是检测网络访问异常的重要可视化方法,它又分2种不同的处理策略:主机位置相对固定和主机位置动态布局TNU”,VISUALE20和Nflowvis2妇是典型的使用主机位置固定策略的可视化系统,图3 c2阳显示了VISUAL可视化的内外网主机通信情况,内网主机的网格矩阵在中心区域,外网主机分布在四周,从连线的多少和外网主机方块大小可以很直观地发现一些异常活跃的内外网主机主机位置固定策
25、略便于保持主机的逻辑拓扑关系,而主机位置动态变化策略可以实现聚类效果,图3 d2纠是使用力导引布局的网络访问图,图中几个明显的中心点将网络中的主机分成了几个区域,而这几个中心很可能是由于存在异常的网络扫描行为而形成的针对大型网络的节点连接图难免会出现连线混杂的问题,代表性的解决方法包括边绑定技术21|、抽象图技术口胡和图压缩技术口2。,或者改用邻接矩阵心41表示网络访问图3 e221所示为通过基于网络拓扑信息的图压缩方法对图3 d简化后效果,它大大简化了连接复杂度,并且凸显了关键主机己一万方数据692 计算机辅助设计与图形学学报 第26卷对于具有动态性、随机性和隐蔽性的复杂网络异常,为了达到更
26、好的异常检测效果,需要将多种可视化方法结合起来,以支持不同粒度和角度的选择,提供多层次和多维度的交互,形成多视图的合作分析SpiralView,NVisionlPE253和VisTracerE261都是多视图工具的代表,如图3 fE251所示,NVisionlP通过3级交互视图,将主机监控和端口监控以及全局概览和局部分析有机地结合了起来_-二II葛a用基于热力图的主机流量异常检测 b基于堆叠直方图的端口流量异常检测1I鬻等 l-_-k kd大型网络访问关系的节点连接图 e压缩图4d后的节点连接图 f NVisionIP的三级交互视图图3可视化的网络异常检测23特征分析网络安全中的特征分析和异常
27、检测相辅相成,一方面分析人员需要对检测到的网络异常进行进一步的特征分析,从而达到识别网络攻击类型和选择防范措施的目的;另一方面,特征分析也可以帮助分析人员更好地进行异常检测可视化技术将复杂的特征描述转化为图形模式,通过人类视觉对图形模式的强大识别能力,帮助分析人员快速完成特征发现和模式匹配网络安全中的特征分析对象主要包括流量、行为和事件流量监控数据包含时问、协议、源IP、目的IP、源端口、目的端口、包大小等多个维度的信息,很多网络攻击都会引发流量大小的异变,同时还会在其他维度上表现出更多的攻击特征Xiao271等使用散点图对多种网络攻击的流量特征进行了两两维度的组合分析,图4 a273显示了S
28、SH攻击(橙色)和网络扫描(红色)产生的网络流量在时间(X轴)和端口(y轴)2个维度上的特征为了实现更多维度的特征同步分析,平行坐标轴技术5281被广泛采用,代表性的例子是Choi等2 9对网络扫描、DDoS攻击等多种网络攻击的流量特征的分析图4 b2 9|总结了这些攻击类型在平行坐标轴上图形模式,如端口扫描产生的流量记录在平行坐标上会出现1:1:M:1(源IP:目的IP:目的端口:包大小)图形区域,这是因为端口扫描通常是从单源IP发出大量相同大小的探测数据包,以检测目的IP的可访问端口以主机和网络服务为对象的监控记录中隐含了它们的行为模式,通过对行为模式的分析,可以帮助分析人员更好地区分正常
29、和异常的网络活动Wright等口0通过对数据包的时序可视化,揭示了不同网络服务的行为模式如图4 C3叩所示,横轴表示时间,纵轴正值和负值分别表示服务请求方发出和收到的数据包字节数,图例反映了主机在请求HTTP服务时收到的包大小要大于发出的包大小,而在请求SMTP服务时发出的包大小要大于收到的包大小Mansmann等口1提出了一种主机行为分析方法,如图4 d所示,它将各种网络服务分布在四周,根据主机在不同时间对各种网络服务的访问顺序绘制出相应的路径,具有相同行为模式的主机路径将会呈现出形态的相似性和位置聚集效果,异常的主机行为路径得以凸显入侵检测系统是重要的网络安全工具,它将网辨一一。吵:谰孑=
30、靠箩键万方数据第5期 赵颖,等:网络安全数据可视化综述 693络数据包和事件规则库进行比对,如果匹配成功就会发出相应报警记录,它可以部分代替分析人员从原始数据中寻找异常并分析特征的入侵检测过程,但其弊端是规则设置技巧性高、不能检测未知事件和大量产生的误报漏报很多学者使用可视化技术管理入侵检测日志和分析事件特征,帮助分析人员优化规则设置、鉴别误报漏报和发现可能存在的新攻击类型,提高入侵监测系统的实用性早期的SnortView3 2可以帮助人们鉴别误报和漏报,但它,”孓:-。o。;盘翻罾堪疆_暖三一:。、。 萨。埔_ 。0s_ 口IMp剧烹国f。一 0d主机行为特征分析只适合小规模网络IDS Ra
31、inStorm3 3针对大规模网络采用了两级视图的设计方式:使用分层网格矩阵和颜色编码的概览视图和对选定时段和IP段进行事件特征分析的细节视图,如图4 e33所示图4 f所示STARMINE343将IP矩阵与地图结合起来,分析Sasser蠕虫爆发事件在网络空间和地理空间中的传播特征Alsaleh等口5开发了PHPIDS的扩展组件,该组件在Web环境下提供了近10种可视化图形,用来管理入侵检测日志和分析事件特征羹|?I变-盈变。奠三1oll”曩。矗i:慧。:=: :=ij。i嚣:= :目互b基于平行坐标轴的流量特征分析 c网络服务行为特征分析e IDS RainStorm网4可视化的特征分析24
32、关联分析复杂的网络攻击都具有多步性和协作性的特点,如攻击者首先会通过端口和主机扫描寻找网络中的漏洞,然后利用漏洞注入木马、僵尸或其他恶意软件;当对网络有一定的控制能力后就会进行文件窃取、广告推送,甚至将网络中主机当作傀儡机,共同发起对其他网络资源的蛮力攻击因此,将现有的事件信息合理地组织起来,建立基于上下文关系的可视分析,可以帮助分析人员发现网络安全事件之间的关联,理解当前的网络安全形势,尽量将网络危机化解在早期阶段事件之间的关联一般存在于类型、位置和时间3个维度,称为3W(what,where,when)模型雷达图在描述3W模型时具有很好的图形表现力和多样的交互空间,是事件关联可视化的主要研
33、究方法VisAlert3 6首先采用3W模型和雷达图来分析事件关联,如图5 a所示,圆的内部是主机布局,圆周上每段圆弧代表一种事件类型,时间维度从内到外用多个圆环表示,通过交互选择,用户就可以轻松地组合What,Where,When 3个维度去寻找事件关联随后有许多相关研究对VisAlert进行了改进和应用拓展,如NetSecRadar和A1ertWheel38调整了雷达图的主机布局和连线方式,IDSRadar3 9探讨了某企业网络中僵尸病毒感染事件和文件窃取事件可能存在的关联,Avisa4叩使用雷达图分析了复杂网络入侵的多步攻击过程分析网络漏洞造成的关联影响也非常重要,因为攻击者经常利用有漏
34、洞的主机作为跳板来到达攻击目标,网络中任意一台有漏洞的主机都会引来连锁反应网络攻击图是一种可视化漏洞关联影响的技术,它以现存的网络安全漏洞为基础,找出攻击者能够在网络中走通的所有攻击路径,从而达到评估万方数据694 计算机辅助设计与图形学学报 第26卷a VisAlerr b NetSecRadar C网络攻击图罔5可视化的关联分析网络安全性的目的图5 e4妇就显示了一幅使用树形结构来绘制的网络攻击图,其中各种形状的节点代表源主机、目的主机和漏洞类型,每条边就代表一次漏洞利用传统的树形图在表现大型网络攻击图时空间利用率不高,GARNET423使用Treemap改进了攻击图的表示方法,该方法具有
35、更好的空间利用率和交互性25态势感知在大规模网络环境中,网络安全分析人员往往更倾向于首先掌握宏观的网络态势,即网络整体的运行状态和变化趋势,然后由整及分、由急到缓地解决网络安全问题针对这一重要的网络安全需求,Bass433在2000年首先提出了网络安全态势感知的概念:通过融合各种网络安全设备收集的状态记录和报警记录,评估当前网络整体运行状态,并预测变化趋势可视化的网络安全态势感知首先由VisFlowConnect443在2004年提出来,它通过提供描绘大规模网络状态和海量事件的高层次视图,帮助人们更快地察觉和理解网络安全态势、缩短决策时间早期对网络安全态势可视化相关研究相对较少,但随着数据融合
36、、态势评估、大规模数据处理和大屏幕等技术的发展,近几年涌现了一批优秀成果多数据源的融合与协同是网络安全态势感知的特点之一,也是网络安全可视化常见的分析策略BANKSAFEE453使用Treemap,Clockmap和AJertTimeline3种图形,分别将网络状态、人侵检测日志和Firewall日志用3个屏幕可视化出来,如图6 a45所示,从而实现大规模网络的可视化态势感知AnNetTel46融合了NetFlow,IPS和BigBrother 3种数据,通过提供描绘健康指标、报警数量、流量、IP和端口活跃度等网络状态变化的一组时间线来刻画网络安全态势,如图6 b所示;它还通过提供分层的弦图与
37、平行坐标轴,交互分析用户选中时段的细节信息大屏幕为态势感知中需要表达的众多信息元素带来了更广阔的展示空间如图6 c所示,NOCturne47在大屏幕上的设计思路是使用时间线、连接矩阵、地丽;图6可视化的网络安全态势感知d SpringRain飞万方数据第5期 赵颖,等:网络安全数据可视化综述 695图等多种图形将多源信息有机地组织在一起,但这种方式缺乏整体感如图6 d所示,SpringRain48提出了一种新颖的大屏幕设计思路,它将不同网络区域看作是大型瀑布的水流簇,每个簇内从上至下充满了通过颜色和形状编码的网络安全信息元素,整体和细节很好地融合在了这一可视隐喻之中;另外它还提供与Google
38、 Glasses的连接,从而加强了人与画和人与人的协同交互3总结与展望网络安全可视化将网络安全数据分析和可视化技术结合起来,通过提供图形化的交互工具,提高网络安全分析人员感知、分析和理解网络安全问题的能力从本文的介绍中可以看出,网络安全可视化已经取得了丰硕的研究成果,但是面对越来越严重的网络安全威胁和越来越复杂的攻击手段,研究者们还面临着诸多的挑战:1)如何实时显示和处理大规模网络数据目前大部分研究仍然停留在离线数据的分析上,但是实时分析远比离线分析重要实时的网络安全可视化需求对数据预处理速度、图形绘制速度、交互响应速度都提出了更高的要求2)如何搭建网络安全可视化的协同工作环境解决大范围的复杂
39、网络问题往往需要多数据源、多视图、多人的协同分析,因此现有的数据融合和多视图技术以及多人参与的网络安全协同可视分析环境都有较大的发展空间3)如何提高网络安全可视化系统的易用性对于目前大部分网络安全可视化系统,即使是有丰富经验的分析人员,都需要一定程度的培训后才能熟练使用,但网络安全可视化的受众本应更为广泛,因此需要加强网络安全可视化的易用性研究4)如何研究出一套完整的理论体系可视化方法研究主观性很强,解决网络安全问题的经验性要求高,网络安全可视化的有效性验证非常困难,因此在相关数学模型、基础理论和设计原则等方面开展深入研究势在必行参考文献(References):1 Lu Liangfu,Zh
40、ang Jiawan,Sun Jizhou,et a1Survey ofnetwork security visualization techniquesJJournal ofComputer Applications,2008,28(8):19241927(inChinese)2343E5678E91011121314(吕良福,张加万,孙济洲,等网络安全可视化研究综述J计算机应用,2008,28(8):19241927)Shiravi H,Shiravi A,Ghorbani A AA survey ofvisualization systems for network securityJ
41、IEEETransactions on Visualization and Computer Graphics,20 1 2,18(8):13131329Harrison L,Lu AThe future of security visualization:lessons from network visualization EJIEEE Network,2012,26(6):6-11Becker R A,Eick S G,Wilks A RVisualizing network dataEJIEEE Transactions on Visualization and ComputerGrap
42、hics,1995,1(1):1628Girardin L,Brodbeek DA visual approach for monitoringlogsc Proceedings of Large Installation SystemAdministration ConferenceNew York:ACM Press,1 998:299-308VizSec Homepage inBOL2014-0109http:wwwvizsecorg2013VAST Challenge Homepage in vacommunityEBOL2014一0109http:wwwvacommunityorgV
43、AST+Challenge+20132013Nataraj LKarthikeyan S,Jacob G,et a1Malware images:visualization and automatic classificationcProceedings ofthe 8th International Symposium on Visualization for CyberSecurityNew York:ACM Press,2011:411Mansmann F,GObel T,Cheswick WVisual analysis ofcomplex firewall configuration
44、scProceedings of the 9thInternational Symposium on Visualization for Cyber SecurityNew York:ACM Press,2012:18Koike H,Ohno K,Koizumi KVisualizing cyber attacksusing IP matrixcProceedings of Visualization forComputer SecurityLos Alamitos:IEEE Computer SocietyPress,2005:91-98Atkison T,Pensy K,Nicholas
45、C,et a1Case study:visualization and information retrieval techniques for networkintrusion detectionMData VisualizationHedelberg:Springer,2001:283290Le Mal E,Kohara M,Hori Y,et a1Interactively combining2D and 3D visualization for network traffic monitoringCProceedings of the 3rd International Worksho
46、p onVisualization for Computer SecurityNew York:ACM Press,2006:123-127Mansmann F,Keim D A,North S C,et a1Visual analysis ofnetwork traffic for resource planning,interactive monitoring,and interpretation of security threatsJIEEE Transactionson Visualization and Computer Graphics2007,13(6):11051112MeP
47、herson J,Ma K L,Krystosk P,et a1Portvis:a tool forportbased detection of security eventsCProceedings ofthe ACM Workshop on Visualization and Data Mining forComputer SecurityNew York:ACM Press,2004:7381万方数据696 计算机辅助设计与图形学学报 第26卷1516E173E18319E2032122E23JE24325EB6Zhao Y,Liang X,Wang Y,et a1MVSec:a novel multiview visualization system for network securitycIIProceedings of Visual Analytics Science and TechnologyLosAlamitos:IEEE Computer Society Press,2013:7-8Plonka DFlowScan:a network traffic flow reporting andvisualization toolcProceedings of Large Instal