没有合适的资源?快使用搜索试试~ 我知道了~
网络安全可视化是一个新兴的交叉研究领域,它通过提供交互式可视化工具 ,提升网络安全分析人员感知分析和理解网络安全问题的能力.通过近些年来的研究,该领域的很多研究成果已经在网络监控、异常检测、特征识别、关联分析和态势感知等方面取得了重要进展.文中介绍了网络安全可视化的必要性和发展历史,以及主要的网络安全数据源,并重点从网络安全问题和网络安全可视化方法2个角度对已有研究成果进行了系统的梳理;最后对未来的发展趋势进行了展望。
资源推荐
资源详情
资源评论
书书书
第
2
6
卷第
5
期
20
14
年
5
月
计算机辅助设计与
图形学学报
J
o
urnal
of
Com
p
uter
-
A
i
ded
Desi
g
n
& Com
p
uter
Gra
p
hics
Vol.26No.5
Ma
y
2014
收稿
日期
:
20
14
-
01
-
09
;
修 回
日 期
:
20
14
-
02
-
18
.
基 金
项 目
:
国家自然科学基金
(
61
103108
,
60673196
);
湖南省科技计划博士后专项
(
2012RS4049
);
湖南省自然科学基金
(
12JJ3062
);
中南大学博士后专项
.
赵
颖
(
1980
—)
,
男
,
博士
研究 生
,
讲师
,
CC
F
会员
,
主
要研 究 方向 为 可
视化与可视分析等
;
樊晓平
(
19
61
—)
,
男
,
博士
,
教
授
,
博士生导师
,
主要研究方向为网络系统与智能交通等
;
周芳芳
(
19
80
—)
,
女
,
博士
,
副
教授
,
C
C
F
会员
,
主要研究方向
为科学可视化与信息可视化等
;
汪
飞
(
19
79
—)
,
男
,
硕 士
,
讲
师
,
主要研究方向为可视化和可视分析等
;
张 加 万
(
19
75
—)
,
男
,
博士
,
教
授
,
博士生导师
,
主要研究方向为图形学与可视化等
.
网络安全数据可视化综述
赵
颖
1
)
,
樊晓
平
1
,
2
)
,
周芳
芳
1
)
,
汪
飞
3
)
,
张加
万
4
)
1
)
(
中南大学信息科学与工程学院
长沙
41
0083
)
2
)
(
湖南财政经济学院网络化系统研究所
长沙
41
0205
)
3
)
(
湖南师范大学数学与计算机学院
长
沙
41
0081
)
4
)
(
天津大学软件学院
天津
30
0072
)
(
zff
@
csu.edu.cn
)
摘 要
:
网络安全可视化是一个新兴的交叉研究领域
,
它通过提供交互式可视化工具
,
提升网络安全分
析人员感知
、
分析和理解网络安全问题的能力
.
通过近些年来的研究
,
该领域的很多研究成果已经在网络监控
、
异常 检 测
、
特征 识
别
、
关联分析和态势感知等方面取得了重要进展
.
文中介绍了网络安全可视化的必要性和发展历史
,
以 及 主 要 的 网
络安全数据源
,
并重点从网络安全问题和网络安全可视化方法
2
个角度对已有研究成果进行了系统的梳理
;
最后 对
未来的发展趋势进行了展望
.
关键词
:
信息可视化
;
可视分析
;
网络安全
;
安全可视化
中图法分类号
:
T
P391
A
Su
rve
y
on
Network
Securit
y
Data
Visualization
Zh
ao
Yin
g
1
)
,
Fa
n
Xiao
p
in
g
1
,
2
)
,
Zh
ou
Fan
g
fan
g
1
)
,
Wa
n
g
Fei
3
)
,
an
d
Zhan
g
Jiawan
4
)
1
)
(
In
f
o
rmation
Sc
ience
an
d
En
g
i
neerin
g
Sc
hool
,
Ce
ntral
So
uth
Un
iversit
y
,
Ch
an
g
sha
41
0083
)
2
)
(
L
a
borator
y
o
f
N
e
tworked
S
y
s
t
ems
,
H
u
nan
U
n
iversit
y
o
f
F
i
nance
&
E
c
onomics
,
C
h
an
g
sha
4
1
0205
)
3
)
(
Co
lle
g
e
o
f
Ma
thematics
an
d
Co
m
p
uter
Sc
ience
,
Hu
nan
No
rmal
Un
iversit
y
,
Ch
an
g
sha
41
0081
)
4
)
(
Sc
hool
o
f
So
f
t
ware
,
Ti
an
j
in
Un
iversit
y
,
Ti
an
j
in
30
0072
)
Ab
stract
:
As
a
y
oun
g
communit
y
of
network
securit
y
research
,
visualization
for
network
securit
y
focuses
on
takin
g
advanta
g
e
of
the
p
ower
of
the
human
p
erce
p
tual
and
co
g
nitive
p
rocesses
b
y
brin
g
in
g
robust
visual
tools
into
hands
of
humans
in
solvin
g
com
p
uter
network
securit
y
p
roblems.Amounts
of
visual
tools
have
p
la
y
ed
ver
y
si
g
nificant
roles
in
hel
p
in
g
network
securit
y
anal
y
sts
to
detect
anomalies
,
discover
p
atterns
,
identif
y
correlations
,
and
assess
network
securit
y
situation.In
this
p
a
p
er
,
we
offer
a
com
p
rehensive
review
of
network
securit
y
visualization.First
,
we
introduce
the
necessit
y
and
the
p
hased
develo
p
ment
of
this
field
;
then
we
p
rovide
taxonomies
from
network
securit
y
visualization
technolo
gy
and
visual
a
pp
lication
in
network
securit
y
;
at
last
we
outline
some
g
uidelines
and
directions
for
future
studies.
Ke
y
words
:
information
visualization
;
visual
anal
y
tics
;
network
securit
y
;
securit
y
visualization
随着
网络通信 技 术的 进 步
,
飞速发展的网络应
用对网络安全提出了很高的要求
.
一直以来
,
各种网
络监控设备采集的大量日志数据是人们掌握网络状
态和识别网络入侵的主要信息来源
.
网络 安 全分 析
人员
在处理网络安 全 问 题时
,
首先通过分析相应的
数据来了解网络状态 和 发现 异常 现象
,
然后 对 异常
事件的特征以及对网络的影响进行综合诊断
,
最后
采取对应的响应措施
.
然而
,
随着网络安全需求的不
断提升
,
网络安全分析人员在分析网络安全数据时
遇到了很多新的困难
:
1
)
异构的数据源和持续增长
的数据量给分析人员带来了繁重的认知负担
;
2
)
新
攻击类型的出现和攻 击 复杂 度的 提高
,
使得 很 多传
统的数据分析方法不再 有 效
;
3
)
大量漏报和误报是
一些自动化异常检测系 统 的弊 病
;
4
)
侧重 于 局部 异
常分析的传统思路
,
使得分析人员很难掌握宏观网
络态势
.
如何帮助网络安全分析人员更高效地分析
网络安全数据
,
已成为网络安全领域一个十分重要
而且迫切的问题
.
在解 决 网 络 安 全 问 题 的 过 程 中
,
人的认知和判
断能力始终处于主导 地 位
,
一个能帮助人们更好地
分析网络安全数据的实用办法就是将数据以图形图
像的方式表现出来
,
并提供友好的交互手段
,
建立人
与数据之间的图像通 信
,
借助人们的视觉处理能力
观察网络安全数据中 隐 含的 信息
,
以进一步提高分
析人员的感知
、
分析和理解网络安全问题的能力
.
因
此
,
许多学者提出将可视化技术引入到网络安全研
究领域中来
,
并逐步形成了网络安全可视化这一新
的交叉研究领域
[
1
-
3
]
.
早在
19
95
年
Becker
等
[
4
]
就提
出对网络流 量 状
况进行可视化
,
之后
Gi
rardind
等
[
5
]
在
19
98
年曾
使
用多种可视化技术来分析防火 墙 日 志记录
.
从
20
04
年 开
始 举 办 的 国 际 网 络 安 全 可 视 化 年 会
[
6
]
(
vi
sualization
for
c
y
ber
securit
y
,
VizSec
),
标 志
着
该领域的正式建立
,
并且在
20
04
~
2006
年集
中涌现
了一批高质量的研究成果
,
如图
1
所示
.
从
20
11
年
开始
,
国际可视分析挑
战赛
[
7
]
(
VA
ST
challen
g
e
)
连
续
3
年都
采用了网络安全数据作为竞赛题目
,
推动
着该领域呈现出一个 新 研究 热潮
.
国内网络安全可
视化的研究起步相对较晚
,
哈尔滨工程大学
、
天津大
学
、
北京邮电大学
、
吉林 大 学
、
北京大学和中南大学
等研究机构的一些团队已开展了相关研究
.
经过十多年的发展
,
在网络安全可视化领域
,
学
者们提出了许多新颖 的 可视 化设 计
,
并开 发 了诸 多
实用的交互式可视分 析 工具
,
这也为传统的网络安
全研究方法和分析人员的工作方式注入了新的活
力
:
1
)
分析人员的认知负担得以减轻
;
2
)
异常检测和
特征分析变得更为直观
;
3
)
人们可以更自主地探索
事件关联和复杂攻击模式
,
甚至发现新的攻击类型
;
4
)
网络安全态势的察觉和理解效率得以提高
.
本文首先介绍网络安全分析人员需要处理的各
种网络安全数据源
,
并重点从网络安全问题和网络
安全可视化方法这
2
个角 度
,
对已有研究成果进行
了系统的梳理
,
最后对网络安全可视化的发展趋势
进行了展望
.
图
1
网络安全可视化领域相关研究年度汇总表
1
网络安全数据介绍
网络安全分析人员需要处
理的网络安全数据种
类非常多
,
其中最重要数据源来自各种网络监控设
备
.
根据位于不同逻辑层次和不同物理位置的各种
网络监控设备所采集信息的特点
,
可以将网络监控
数据分
3
类
:
流量监控数据
、
状态监控数据和事件监
控数据
,
如表
1
所示
.
表
1
网络安全数据分类表
分类 数
据名称 数据源举例
流量监控
网络数据包日志
Tc
p
d
um
p
,
W
i
reShark
网络数据流日志
Ci
sco
NetFlow
状态
监控 状态监控日志
Bi
g
B
rother
,
vS
p
he
re
事件
监控
入侵检测系统日志
Ci
sco
,
SN
ORT
防
火
墙日志
Ci
sco
,
Check
p
oint
,
华为
入侵保护系统日志
Cisco
,
IBM
,
天融
信
网络应用操作日志
A
p
ac
he
,
Exchan
g
e
,
DNS
弱点扫描与监控日志
Hone
yp
ots
,
eE
y
e
,
Ne
ssus
其他
数据 系统配置文件
、
病毒
样本等等
流量监控数据主要来自包
级和流级
2
个采集层
次
.
包级的流量监控会记录每个数据包的
TC
P
?
IP
包头
信息和载荷内 容
;
流级的流量监控会将一次网
络会话的数据流聚合 起 来
,
只记录会话信息的方式
数据量更小
,
也更加易于理解和管理
.
状态监控数据是指网络中各种软硬件资源的运
行状态信息
,
如
CP
U
利 用
率
、
网 络 吞 吐 率
、
邮 件 服
88
6
计算机辅助设计与图形学学报
第
26
卷
务是
否正常等等
,
它们可以通过
SN
MP
协议
或者通
过安装一些专业的状态监控产品获得
.
事件监控数据又分为异常检测日志和日常操作
记录
.
异常检测日志主要来自自动化的网络防御设备
产生的报警事件
,
如防火墙和入侵检测系统
,
它们是
以流量数据
、
状态数据等原始监控数据为基础
,
通过
规则匹配和算法处理生成
.
日常操作记录来自各种网
络服务和应用在运行过程中获取的用户操作信息
,
如
管理服务器的用户登 陆 记录
、
域 名 服务 器的 域 名解
析请求记录等等
.
另外
,
也可以将网络漏洞扫描数据
和通过蜜罐获取的攻击者信息看作事件监控数据
.
网络安全分析人员在日常工作中还需要面对一
些非监控型网络安全数据
,
如防火墙配置文件
、
网络
路由表
、
病毒样本等
.
针对这些数据的可视化可以为
分析人员提 供 多 方 面 的 帮 助
,
如
Na
tara
j
等
[
8
]
将 恶
意
软件样本可视化 为 灰 度图 像
,
并利用图像特征对
样本进行分类
.M
ansmann
等
[
9
]
采用
Su
nburst
图形
将
防火墙配置规则 树 可 视化
,
帮助管理员理解复杂
的规则和辅助调优
.
2
主要研究方法与发展现状
网络
安全可视化的研究
,
首先是确定网络安全
分析人员关心的问题
,
也就是有什么数据
,
需要从数
据中获取什么信息
;
然后是设计可视化结构来表示
数据
,
建立数据到可视化结构的映射
;
最后是设计缩
放
、
聚焦
、
回放和关 联 更新 等 人机 交互 功能
,
完成 人
与可视化工具的交流
,
从而帮助分析人员观察网络
安全数据中隐含的信 息
,
进一步提高分析人员的感
知
、
分析和理解网络安全问题的能力
.
无论是针对网
络扫描
、
拒绝服务攻击
、
蠕虫传播等具体的网络入侵
事件
,
还是针对网络 监 控
、
特征 分 析
、
态势 感 知等 抽
象的网络安全需求
,
面对不同的网络安全问题和数
据源
,
设计不同的可视化结构和交互手段
、
采用不同
的技术路线和分析思 路
,
便可以形成不同的网络安
全可视化研究方法
.
从网 络 安 全 分 析 人 员 的 角 度 出 发
,
按照从简单
到复杂
、
从单一到整 体
、
从低 层 到高 层的 思路
,
可以
将人们关心的网络安全问题和网络安全可视化在网
络安全中的应用分为
5
类
:
网络 监 控
、
异常 检 测
、
特
征分析
、
关联分析和态势感知
.
本节将逐类介绍主要
的网络安全可视化研究方法和发展现状
,
表
2
所示
为常见的网络安全问题和主要的网络安全可视化研
究方法结合情况的整体概览
.
2.
1
网络
监控
从各种网络监控设备获取的数据中了解网络运
行状态是网络安全分析人员关注的最基本问题
,
也
是网络优化
、
异常检 测
、
态势感知的基础
.
可视 化 的
网络监控主要研究是按照时间顺序
,
如何 将 主机 和
端口等监控对象
、
流量和事件等监控内容使用图形
图像的方式表达出来
,
以帮助分析人员快速了解网
络运行状态
.
主机 是 网 络 活 动 的 主 体
,
也是最重要的监控对
象
.
在网络空间中
,
IP
地址是主机的唯一标识
,
针对
IP
地址的非物理位置特性和分段特性
,
学者们尝试
了 多 种 方 式 来 实 现 基 于
IP
地 址 的 网 络 监 控
.
IP
matrix
[
10
]
采用
了二维坐标定位和颜色映射的方
法监控某
B
类网
络中发生的事件
,
如图
2a
[
10
]
所示
,
X
和
Y
值构
成 的 坐 标 确 定
IP
地 址
,
不 同事 件 类 型
映射为不同的颜色
,
但是这种方法表示的
IP
地址空
间有限
.Q
uantree
[
1
1
-
1
2
]
技术将正方形进行多次四分
后形
成的
51
2×512
矩阵
来表示
4
个字节的
IP
v4
地
址空
间
,
图
2b
[
11
]
显示
了基于该方法的
IP
v4
全地
址
空间的流量监控
,
流量大小使用颜色编码
;
但其缺点
是点阵 太密 集
,
不 便 于交 互
.T
reema
p
[
13
]
在 表
示
IP
地址的分层特性时具有更好的交互性
,
如图
2c
[
13
]
所
示
,
用户
可以通过交互自由地查看分级汇总或细节
信息
,
还能将其扩展到
IP
v6
地址
的表示
[
1
4
]
.
IP
地址
标识了主机
,
端口则标识了不同的网络
应用
,
因此端口监控和主机监控有着同等重要的地
位
.P
ortVis
[
14
]
用一
个
25
6×256
的网格矩阵和颜色
映 射
方 法 表 示
65
5
36
个端口的流量情况
,
如
图
2d
[
1
4
]
所示
,
为
防止过密的数据点的交互困难
,
系
统还提供了区域选择和放大观察的交互方式
.
考虑
到不同端口号区段的重要程度不同
,
可以 将 不太 重
要的端口号用较小的图元表示
;
如
Po
rtMatrix
[
15
]
将
网络
端口号分为如图
2e
[
15
]
所示
4
类
,
其
中
10
0
个连
续
的动态端口使用同一个方格表示
.
网络监控 数 据 都 具 有 时 序 特 点
,
线 条 图
、
柱 状
图
、
堆叠图等适合时序数据表示的基本统计图形在
网络 安 全 可 视 化 中 应 用 很 广
,
图
2f
[
16
]
显 示
了
Fl
owScan
[
16
]
使用
堆叠 图 可视 化某 校园 网流 量的 时
序变化情况
,
不同网络协议的流量用不同颜色编码
,
在进行统计时还区分了流入和流出的流量
.
为了 实
现整体和细节的统一
,
设计者通常会结合统计分析
方法
,
将描述网络整体状态变化的时序图形与描述
某时段网络具体状态的监控图形联动起来
.
因此
,
传
统统计图形和统计方法一定程度上成为了各种新颖
的可视化系统中不可或缺的标准配件
[
17
-
18
]
.
98
6
第
5
期 赵
颖
,
等
:
网络安全数据可视化综述
剩余10页未读,继续阅读
资源评论
hoff9787
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功