網(wǎng)絡安全數(shù)據(jù)可視化概述

網(wǎng)絡安全數(shù)據(jù)可視化概述網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第1頁。網(wǎng)絡安全數(shù)據(jù)可視化概述

網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第1頁。隨著網(wǎng)絡通信技術(shù)的進步，飛速發(fā)展的網(wǎng)絡應用對網(wǎng)絡安全提出了很高的要求.一直以來，各種網(wǎng)絡監(jiān)控設備采集的大量日志數(shù)據(jù)是人們掌握網(wǎng)絡狀態(tài)和識別網(wǎng)絡入侵的主要信息來源.網(wǎng)絡安全分析人員在處理網(wǎng)絡安全問題時，首先通過分析相應的數(shù)據(jù)來了解網(wǎng)絡狀態(tài)和發(fā)現(xiàn)異常現(xiàn)象，然后對異常事件的特征以及對網(wǎng)絡的影響進行綜合診斷，最后采取對應的響應措施.然而，隨著網(wǎng)絡安全需求的不斷提升，網(wǎng)絡安全分析人員在分析網(wǎng)絡安全數(shù)據(jù)時遇到了很多新的困難：1)異構(gòu)的數(shù)據(jù)源和持續(xù)增長的數(shù)據(jù)量給分析人員帶來了繁重的認知負擔;

2)新攻擊類型的出現(xiàn)和攻擊復雜度的提高，使得很多傳統(tǒng)的數(shù)據(jù)分析方法不再有效;

3)大量漏報和誤報是一些自動化異常檢測系統(tǒng)的弊病;

4)側(cè)重于局部異常分析的傳統(tǒng)思路，使得分析人員很難掌握宏觀網(wǎng)絡態(tài)勢.如何幫助網(wǎng)絡安全分析人員更高效地分析網(wǎng)絡安全數(shù)據(jù)，已成為網(wǎng)絡安全領域一個十分重要而且迫切的問題.

在解決網(wǎng)絡安全問題的過程中，人的認知和判斷能力始終處于主導地位，一個能幫助人們更好地分析網(wǎng)絡安全數(shù)據(jù)的實用辦法就是將數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來，并提供友好的交互手段，建立人與數(shù)據(jù)之間的圖像通信，借助人們的視覺處理能力觀察網(wǎng)絡安全數(shù)據(jù)中隱含的信息，以進一步提高分析人員的感知、分析和理解網(wǎng)絡安全問題網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第2頁。的能力.因此，許多學者提出將可視化技術(shù)引入到網(wǎng)絡安全研究領域中來，并逐步形成了網(wǎng)絡安全可視化這一新的交叉研究領域.

早在1995年Becker等就提出對網(wǎng)絡流量狀況進行可視化，之后Girardind等在1998年曾使用多種可視化技術(shù)來分析防火墻日志記錄.從2004年開始舉辦的國際網(wǎng)絡安全可視化年會[6](visualizationforcybersecurity，VizSec)，標志著該領域的正式建立，并且在2004～2006年集中涌現(xiàn)了一批高質(zhì)量的研究成果，如圖1所示.從2011年開始，國際可視分析挑戰(zhàn)賽[7](VASTchallenge)連續(xù)3年都采用了網(wǎng)絡安全數(shù)據(jù)作為競賽題目，推動著該領域呈現(xiàn)出一個新研究熱潮.國內(nèi)網(wǎng)絡安全可視化的研究起步相對較晚，哈爾濱工程大學、天津大學、北京郵電大學、吉林大學、北京大學和中南大學等研究機構(gòu)的一些團隊已開展了相關研究.經(jīng)過十多年的發(fā)展，在網(wǎng)絡安全可視化領域，學者們提出了許多新穎的可視化設計，并開發(fā)了諸多實用的交互式可視分析工具，這也為傳統(tǒng)的網(wǎng)絡安全研究方法和分析人員的工作方式注入了新的活力：

1)分析人員的認知負擔得以減輕;

2)異常檢測和特征分析變得更為直觀;

3)人們可以更自主地探索事件關聯(lián)和復雜攻擊模式，甚至發(fā)現(xiàn)新的攻擊類型;

4)網(wǎng)絡安全態(tài)勢的察覺和理解效率得以提高.

本文首先介紹網(wǎng)絡安全分析人員需要處理的各種網(wǎng)絡安全數(shù)據(jù)源，并重點從網(wǎng)絡安全問題和網(wǎng)絡安全可視化方法這2個角度，對已有研網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第3頁。究成果進行了系統(tǒng)的梳理，最后對網(wǎng)絡安全可視化的發(fā)展趨勢進行了展望.

1網(wǎng)絡安全數(shù)據(jù)介紹

網(wǎng)絡安全分析人員需要處理的網(wǎng)絡安全數(shù)據(jù)種類非常多，其中最重要數(shù)據(jù)源來自各種網(wǎng)絡監(jiān)控設備.根據(jù)位于不同邏輯層次和不同物理位置的各種網(wǎng)絡監(jiān)控設備所采集信息的特點，可以將網(wǎng)絡監(jiān)控數(shù)據(jù)分3類：流量監(jiān)控數(shù)據(jù)、狀態(tài)監(jiān)控數(shù)據(jù)和事件監(jiān)控數(shù)據(jù)，流量監(jiān)控數(shù)據(jù)主要來自包級和流級2個采集層次.包級的流量監(jiān)控會記錄每個數(shù)據(jù)包的TCP?IP包頭信息和載荷內(nèi)容;流級的流量監(jiān)控會將一次網(wǎng)絡會話的數(shù)據(jù)流聚合起來，只記錄會話信息的方式數(shù)據(jù)量更小，也更加易于理解和管理.狀態(tài)監(jiān)控數(shù)據(jù)是指網(wǎng)絡中各種軟硬件資源的運行狀態(tài)信息，如CPU利用率、網(wǎng)絡吞吐率、郵件服務是否正常等等，它們可以通過SNMP協(xié)議或者通過安裝一些專業(yè)的狀態(tài)監(jiān)控產(chǎn)品獲得.事件監(jiān)控數(shù)據(jù)又分為異常檢測日志和日常操作記錄.異常檢測日志主要來自自動化的網(wǎng)絡防御設備產(chǎn)生的報警事件，如防火墻和入侵檢測系統(tǒng)，它們是以流量數(shù)據(jù)、狀態(tài)數(shù)據(jù)等原始監(jiān)控數(shù)據(jù)為基礎，通過規(guī)則匹配和算法處理生成.日常操作記錄來自各種網(wǎng)絡服務和應用在運行過程中獲取的用戶操作信息，如管理服務器的用戶登陸記錄、域名服務器的域名解析請求記錄等等.另外，也可以將網(wǎng)絡漏洞掃描數(shù)據(jù)和通過蜜罐獲取的攻擊者信息看作事件監(jiān)控數(shù)據(jù).網(wǎng)絡安全分析人員在日常工作中還需要面對一些非監(jiān)控型網(wǎng)絡安全數(shù)據(jù)，如防火墻配置文件、網(wǎng)絡路由表、病毒樣本等.針對這些數(shù)據(jù)的可視化可以為分析人網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第4頁。員提供多方面的幫助，如Nataraj等將惡意軟件樣本可視化為灰度圖像，并利用圖像特征對樣本進行分類.Mansmann等采用Sunburst圖形將防火墻配置規(guī)則樹可視化，幫助管理員理解復雜的規(guī)則和輔助調(diào)優(yōu).

2主要研究方法與發(fā)展現(xiàn)狀

網(wǎng)絡安全可視化的研究，首先是確定網(wǎng)絡安全分析人員關心的問題，也就是有什么數(shù)據(jù)，需要從數(shù)據(jù)中獲取什么信息;然后是設計可視化結(jié)構(gòu)來表示數(shù)據(jù)，建立數(shù)據(jù)到可視化結(jié)構(gòu)的映射;最后是設計縮放、聚焦、回放和關聯(lián)更新等人機交互功能，完成人與可視化工具的交流，從而幫助分析人員觀察網(wǎng)絡安全數(shù)據(jù)中隱含的信息，進一步提高分析人員的感知、分析和理解網(wǎng)絡安全問題的能力.無論是針對網(wǎng)絡掃描、拒絕服務攻擊、蠕蟲傳播等具體的網(wǎng)絡入侵事件，還是針對網(wǎng)絡監(jiān)控、特征分析、態(tài)勢感知等抽象的網(wǎng)絡安全需求，面對不同的網(wǎng)絡安全問題和數(shù)據(jù)源，設計不同的可視化結(jié)構(gòu)和交互手段、采用不同的技術(shù)路線和分析思路，便可以形成不同的網(wǎng)絡安全可視化研究方法.

從網(wǎng)絡安全分析人員的角度出發(fā)，按照從簡單到復雜、從單一到整體、從低層到高層的思路，可以將人們關心的網(wǎng)絡安全問題和網(wǎng)絡安全可視化在網(wǎng)絡安全中的應用分為5類：網(wǎng)絡監(jiān)控、異常檢測、特征分析、關聯(lián)分析和態(tài)勢感知.本節(jié)將逐類介紹主要的網(wǎng)絡安全可視化研究方法和發(fā)展現(xiàn)狀，所示為常見的網(wǎng)絡安全問題和主要的網(wǎng)絡安全可視化研究方法結(jié)合情況的整體概覽.

從各種網(wǎng)絡監(jiān)控設備獲取的數(shù)據(jù)中了解網(wǎng)絡運行狀態(tài)是網(wǎng)絡安全分網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第5頁。析人員關注的最基本問題，也是網(wǎng)絡優(yōu)化、異常檢測、態(tài)勢感知的基礎.可視化的網(wǎng)絡監(jiān)控主要研究是按照時間順序，如何將主機和端口等監(jiān)控對象、流量和事件等監(jiān)控內(nèi)容使用圖形圖像的方式表達出來，以幫助分析人員快速了解網(wǎng)絡運行狀態(tài).

3總結(jié)與展望

網(wǎng)絡安全可視化將網(wǎng)絡安全數(shù)據(jù)分析和可視化技術(shù)結(jié)合起來，通過提供圖形化的交互工具，提高網(wǎng)絡安全分析人員感知、分析和理解網(wǎng)絡安全問題的能力.從本文的介紹中可以看出，網(wǎng)絡安全可視化已經(jīng)取得了豐碩的研究成果，但是面對越來越嚴重的網(wǎng)絡安全威脅和越來越復雜的攻擊手段，研究者們還面臨著諸多的挑戰(zhàn)：

1)如何實時顯示和處理大規(guī)模網(wǎng)絡數(shù)據(jù).目前大部分研究仍然停留在離線數(shù)據(jù)的分析上，但是實時分析遠比離線分析重要.實時的網(wǎng)絡安全可視化需求對數(shù)據(jù)預處理速度、圖形繪制速度、交互響應速度都提出了更高的要求.

2)如何搭建網(wǎng)絡安全可視化的協(xié)同工作環(huán)境.解決大范圍的復雜網(wǎng)絡問題往往需要多數(shù)據(jù)源、多視圖、多人的協(xié)同分析，因此現(xiàn)有的數(shù)據(jù)融合和多視圖技術(shù)以及多人參與的網(wǎng)絡安全協(xié)同可視分析環(huán)境都有較大的發(fā)展空間.

3)如何提高網(wǎng)絡安全可視化系統(tǒng)的易用性.對于目前大部分網(wǎng)絡安全可視化系統(tǒng)，即使是有豐富經(jīng)驗的分析人員，都需要一定程度的培訓后才能熟練使用，但網(wǎng)絡安全可視化的受眾本應更為廣泛，因此需要加強網(wǎng)絡安全可視化的易用性研究.

網(wǎng)絡安全數(shù)據(jù)可視化概述全文共6頁，當前為第6頁。4)如何研究出一套完整的理論體系.可視化方法研究主觀性很強，解決網(wǎng)絡安全問題的經(jīng)驗性要求高，