面向大規(guī)模網(wǎng)絡(luò)的攻擊預(yù)測(cè)可視分析系統(tǒng)設(shè)計(jì)與研究

蔣宏宇 吳亞東 周豐凱 楊文超 趙思蕊

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 四川綿陽(yáng) 621010)

?

面向大規(guī)模網(wǎng)絡(luò)的攻擊預(yù)測(cè)可視分析系統(tǒng)設(shè)計(jì)與研究

蔣宏宇 吳亞東 周豐凱 楊文超 趙思蕊

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 四川綿陽(yáng) 621010)

由于網(wǎng)絡(luò)安全數(shù)據(jù)量龐大和愈加復(fù)雜的網(wǎng)絡(luò)入侵方式，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的攻擊預(yù)測(cè)方法已變得不再適用。通過對(duì)網(wǎng)絡(luò)流量日志的研究，提出了采用多模態(tài)可視化展示結(jié)構(gòu)和快速異構(gòu)樹查詢算法的實(shí)時(shí)網(wǎng)絡(luò)流量日志可視化方法，開發(fā)并設(shè)計(jì)了大規(guī)模網(wǎng)絡(luò)攻擊預(yù)測(cè)可視分析系統(tǒng)Monic。結(jié)果表明，利用該系統(tǒng)通過交互分析能有效識(shí)別攻擊者行為，預(yù)測(cè)網(wǎng)絡(luò)攻擊。

可視分析 攻擊預(yù)測(cè) 網(wǎng)絡(luò)安全 多模態(tài) 大規(guī)模網(wǎng)絡(luò)

隨著互聯(lián)網(wǎng)逐漸成為人們生活的一部分，網(wǎng)絡(luò)入侵給公司、組織、個(gè)人帶來的損失也越來越大，網(wǎng)絡(luò)入侵行為在數(shù)量、方式、性質(zhì)和數(shù)量方面也發(fā)生不斷的拓展，人們對(duì)網(wǎng)絡(luò)入侵行為的分析也變得越來越困難。

目前，網(wǎng)絡(luò)安全產(chǎn)品雖然在一定程度上都可以提供實(shí)時(shí)的防護(hù)，但是網(wǎng)絡(luò)分析人員需要通過監(jiān)視和分析相應(yīng)的網(wǎng)絡(luò)日志信息來進(jìn)行可疑事件判斷和分析，然后對(duì)攻擊作出回應(yīng)。網(wǎng)絡(luò)日志數(shù)據(jù)大致分為防火墻數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)和入侵檢測(cè)系統(tǒng)數(shù)據(jù)等，這些日志數(shù)據(jù)都具有規(guī)模龐大和高維、無結(jié)構(gòu)、非數(shù)值性等特點(diǎn)，并且在數(shù)據(jù)關(guān)系分析層面上具有關(guān)系隱式化、時(shí)間依賴強(qiáng)、攻擊類型復(fù)雜多變等特點(diǎn)，分析人員在分析日志信息時(shí)，面臨認(rèn)知負(fù)擔(dān)過重、交互性不強(qiáng)、難以對(duì)攻擊進(jìn)行預(yù)測(cè)等困難[1]。

網(wǎng)絡(luò)安全可視化利用人類視覺對(duì)模型和結(jié)構(gòu)的高速感知能力，將抽象的網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)以圖形圖像的方式，通過用戶與系統(tǒng)之間的交互展示出來，以幫助分析人員發(fā)現(xiàn)網(wǎng)絡(luò)異常，識(shí)別非法入侵，從而預(yù)測(cè)網(wǎng)絡(luò)安全事件發(fā)展趨勢(shì)和分析網(wǎng)絡(luò)安全態(tài)勢(shì)[2-3]，該方法不僅能夠解決傳統(tǒng)分析方法遇到的種種問題，而且能將數(shù)據(jù)具象化以發(fā)現(xiàn)隱含的模式，為揭示規(guī)律和發(fā)現(xiàn)潛在的安全威脅提供有力的支持。

網(wǎng)絡(luò)日志數(shù)據(jù)屬于非拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)，目前多數(shù)系統(tǒng)針對(duì)IDS報(bào)警日志進(jìn)行研究[4]，但I(xiàn)DS存在誤報(bào)率高、日志數(shù)量龐大、覆蓋率低等特點(diǎn)，常常會(huì)發(fā)生誤報(bào)、漏報(bào)的情況。對(duì)于網(wǎng)絡(luò)流量日志[5](Netflow)，因其屬于未處理數(shù)據(jù)，雖然必然包含網(wǎng)絡(luò)入侵者的痕跡，但其存在信息量少，潛在模式難以挖掘等困難，使得排除冗余信息變得至關(guān)重要。該工作基于Netflow數(shù)據(jù)，旨在減少IDS分析的誤差，對(duì)于提高分析結(jié)果的準(zhǔn)確性具有重要意義。

針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行異常檢測(cè)、入侵發(fā)現(xiàn)、模式分析以及監(jiān)控、報(bào)警的顯示繪制方法有很多，例如常見的Parallele Coordinate[6]，Color Map[7]，Scactterplot[8]等，其中Parallel Coordinate 在識(shí)別用戶模式和發(fā)現(xiàn)異常方面具有優(yōu)越性，但是當(dāng)面對(duì)龐大數(shù)據(jù)時(shí)，圖形之間重疊遮擋會(huì)給分析數(shù)據(jù)帶來困難，需要其他的方法來進(jìn)行輔助。Color Map 一般用于顯示IP地址和端口信息，易檢測(cè)出異常信息和入侵模式，但同樣不適用于大規(guī)模數(shù)據(jù)。適用于大規(guī)模日志數(shù)據(jù)的有Scatterplot，但是會(huì)因其沒有數(shù)據(jù)過濾功能而造成信息重疊、丟失等情況。近年來隨著可視化的發(fā)展，逐漸出現(xiàn)了新穎的可視化方法，例如AlertWheel[9]利用改進(jìn)的雷達(dá)圖從What,Where,When 3個(gè)維度去尋找事件關(guān)聯(lián)。趙穎等人[10]利用流式堆疊圖對(duì)于數(shù)據(jù)中的主題進(jìn)行可視化，能夠直觀展示不同主題詞隨時(shí)間發(fā)展的過程。SpringRain[11]提出一種新穎的大屏幕設(shè)計(jì)思路，將不同的網(wǎng)絡(luò)區(qū)域看做瀑布的水流簇，通過顏色和形狀編碼展示網(wǎng)絡(luò)安全信息。但是目前的網(wǎng)絡(luò)安全可視化還面臨著一些問題：(1)隨著網(wǎng)絡(luò)規(guī)模的增大，網(wǎng)絡(luò)安全數(shù)據(jù)也急劇增長(zhǎng)，數(shù)據(jù)分析的難度越來越大。(2)網(wǎng)絡(luò)安全數(shù)據(jù)種類繁多，它們之間由于相關(guān)性會(huì)存在大量的冗余，是亟待解決的問題。(3)當(dāng)繪制的數(shù)據(jù)過于龐大的時(shí)候，二維平面會(huì)產(chǎn)生大量的圖形，它們之間會(huì)發(fā)生遮擋，從而影響用戶觀察。(4)在使用單模型進(jìn)行可視分析時(shí)，會(huì)發(fā)生在同一視圖中出現(xiàn)大量數(shù)據(jù)，而用戶卻難以同步進(jìn)行接受的情況，影響用戶分析。

針對(duì)以上問題，本文提出了利用多模態(tài)可視分析結(jié)構(gòu)和異構(gòu)樹數(shù)據(jù)組織結(jié)構(gòu)等技術(shù)的針對(duì)大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊預(yù)測(cè)的網(wǎng)絡(luò)流量數(shù)據(jù)可視分析方法，研究了采用可視分析方法下針對(duì)網(wǎng)絡(luò)攻擊行為的攻擊預(yù)測(cè)方法，確定了各種攻擊行為的模式特征，設(shè)計(jì)了多模型的展示算法，以解決目前對(duì)大規(guī)模網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)分析和使用單模態(tài)可視化結(jié)構(gòu)出現(xiàn)的問題，在上述工作的基礎(chǔ)上，設(shè)計(jì)并開發(fā)了針對(duì)大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)的攻擊預(yù)測(cè)可視分析系統(tǒng)。

1 多模態(tài)網(wǎng)絡(luò)安全可視分析方法

1.1 多模態(tài)網(wǎng)絡(luò)安全可視分析流程

針對(duì)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)的展示和分析，需要實(shí)時(shí)的獲取目標(biāo)服務(wù)器的網(wǎng)絡(luò)流量日志數(shù)據(jù)，網(wǎng)絡(luò)流量日志的數(shù)據(jù)格式有多種，例如Argus的網(wǎng)絡(luò)流量格式、NCSA 的統(tǒng)一流量格式[1]。為了不遺漏任何攻擊者的行為細(xì)節(jié)和避免任何工具對(duì)用戶判斷的主觀介入，本文使用最原始的網(wǎng)絡(luò)流量日志進(jìn)行可視化，網(wǎng)絡(luò)流量日志最早來源于路由器為了高效查詢而緩存的數(shù)據(jù)流信息。一個(gè)網(wǎng)絡(luò)流量數(shù)據(jù)流定義為在一個(gè)源 IP 地址和目的 IP 地址間傳輸?shù)臄?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。本文獲取的網(wǎng)絡(luò)流量日志數(shù)據(jù)如表1。

表1 網(wǎng)絡(luò)流量日志數(shù)據(jù)Table 1 Netflow sample data

為實(shí)現(xiàn)快速地從大規(guī)模的服務(wù)器日志信息中查找需要的信息，該可視分析方法使用異構(gòu)樹數(shù)據(jù)組織結(jié)構(gòu)來存儲(chǔ)網(wǎng)絡(luò)流量數(shù)據(jù)。網(wǎng)絡(luò)流量數(shù)據(jù)在獲取時(shí)即進(jìn)行異構(gòu)樹結(jié)構(gòu)的構(gòu)建，異構(gòu)樹在構(gòu)建完成后將通過多模態(tài)可視化結(jié)構(gòu)進(jìn)行展示。用戶可以通過界面控制可視化數(shù)據(jù)，可視分析模型允許用戶通過交互改變其屬性和形態(tài)，可視化流程如圖1。

圖1 網(wǎng)絡(luò)流量數(shù)據(jù)可視化流程 Fig.1 Netflow Data Visualization flow

1.2 異構(gòu)樹數(shù)據(jù)組織結(jié)構(gòu)

針對(duì)大規(guī)模網(wǎng)絡(luò)節(jié)點(diǎn)的快速查詢問題，本文提出了綜合字典樹與多叉樹技術(shù)的異構(gòu)樹形結(jié)構(gòu)來組織網(wǎng)絡(luò)流量數(shù)據(jù)的方法。字典樹是哈希樹的變種。常被用于統(tǒng)計(jì)、排序和保存大量的字符串，被搜索引擎系統(tǒng)用于文本詞頻統(tǒng)計(jì)。它利用字符串的公共前綴來減少查詢時(shí)間，最大限度地減少無謂的字符串比較，查詢效率比哈希表高。該異構(gòu)樹使用字典樹存儲(chǔ)IP地址、多叉樹存儲(chǔ)網(wǎng)絡(luò)流量數(shù)據(jù)，多叉樹將被存儲(chǔ)在字典樹相應(yīng)的葉子節(jié)點(diǎn)上，進(jìn)行構(gòu)造時(shí)，將字典樹的葉子節(jié)點(diǎn)的孩子數(shù)進(jìn)行統(tǒng)計(jì)存儲(chǔ)在字典樹的計(jì)數(shù)節(jié)點(diǎn)中。因?yàn)镮P地址具有公共前綴，并且在同一網(wǎng)段下的IP地址具有3個(gè)相同的公共前綴，當(dāng)源地址數(shù)量很多的情況下，這種異構(gòu)樹形結(jié)構(gòu)將提供很高的查詢效率，用戶獲得某個(gè)源地址的日志信息和日志數(shù)量，只需經(jīng)過遍歷和讀取計(jì)數(shù)節(jié)點(diǎn)即可。

構(gòu)造異構(gòu)樹時(shí)，用戶先定義起始時(shí)間TS、終止時(shí)間TE和目標(biāo)服務(wù)器IP域TP，以獲取需要的日志數(shù)據(jù)，該模塊將所有屬于目標(biāo)域的記錄中小于起始時(shí)間、大于終止時(shí)間的部分進(jìn)行收集和整理，并將其存儲(chǔ)為樹根節(jié)點(diǎn)為源地址的多叉樹形式(圖2(a))，原日志每一條記錄都有相應(yīng)的源地址，該模塊將同源地址的原日志記錄放在多叉樹的同一個(gè)節(jié)點(diǎn)下。TP將被構(gòu)造為字典樹(圖2(b))，作為異構(gòu)樹的一部分。異構(gòu)樹的每個(gè)葉子節(jié)點(diǎn)都有兩個(gè)子結(jié)點(diǎn)，一是用來存儲(chǔ)孩子數(shù)量的計(jì)數(shù)器，另一個(gè)是存有日志信息的源地址與之對(duì)應(yīng)的多叉樹(圖2(c))。

圖2 異構(gòu)樹構(gòu)建流程Fig.2 Heterogeneous tree building process

1.3 多模態(tài)可視分析結(jié)構(gòu)設(shè)計(jì)

為了解決單模態(tài)可視分析結(jié)構(gòu)在分析大規(guī)模數(shù)據(jù)時(shí)出現(xiàn)的缺陷，并且更好地表現(xiàn)大規(guī)模節(jié)點(diǎn)的特征和局部信息，本系統(tǒng)將采用多模態(tài)的可視分析結(jié)構(gòu)，將針對(duì)網(wǎng)絡(luò)流量的平行軸模型和球棍網(wǎng)絡(luò)模型的優(yōu)勢(shì)進(jìn)行互補(bǔ)。平行軸模型將被用來呈現(xiàn)詳細(xì)的網(wǎng)絡(luò)流量數(shù)據(jù)信息，以使用戶從中發(fā)現(xiàn)攻擊者的行為模式。球棍網(wǎng)絡(luò)模型被用來表現(xiàn)大規(guī)模節(jié)點(diǎn)的訪問情況和節(jié)點(diǎn)之間的聯(lián)系，通過用戶對(duì)其的觀察與分析，選擇感興趣的節(jié)點(diǎn)高亮源地址相同的平行軸連線，達(dá)到輔助平行軸模型進(jìn)行分析的目的。

1.3.1 針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的平行軸模型

在多模態(tài)可視分析結(jié)構(gòu)中，針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的平行軸模型將被用來展示節(jié)點(diǎn)信息，以使用戶發(fā)現(xiàn)其中的行為模式，確定可疑節(jié)點(diǎn)，原始模型如圖3。平行軸可視化技術(shù)最早由Inselberg[12]提出，最早被用來識(shí)別網(wǎng)絡(luò)中的攻擊模式和行為，發(fā)現(xiàn)數(shù)據(jù)之間潛在聯(lián)系，從而幫助人們發(fā)現(xiàn)攻擊和犯罪的模式，例如S.Krasser[13]等人利用平行軸對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行可視化，以進(jìn)行數(shù)據(jù)實(shí)時(shí)分析和網(wǎng)絡(luò)取證。F.B.Viegas[14]等人提出利用平行軸的方法分析電子郵箱的數(shù)據(jù)。

圖3 平行軸模型 Fig.3 Parallel coordinates model

為了更好地表現(xiàn)日志數(shù)據(jù)的多屬性特征和表現(xiàn)攻擊者的行為模式，本文將已有的平行軸展示方式進(jìn)行改進(jìn)，將能表征攻擊行為和預(yù)測(cè)攻擊行為的信息進(jìn)行展示。在經(jīng)過大量的網(wǎng)絡(luò)攻防實(shí)驗(yàn)的探究下發(fā)現(xiàn)目標(biāo)和源IP 地址、端口信息、收發(fā)載荷信息對(duì)于發(fā)現(xiàn)攻擊行為模式是相當(dāng)有效的。本文將這些數(shù)據(jù)轉(zhuǎn)為具體數(shù)值映射到平行軸中，定義映射算法如下：

ai1=α·(DateNumber(Time)-

floor((DateNumber(Time)))

(1)

(2)

(3)

(4)

(5)

(6)

1.4.2 針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的球棍網(wǎng)絡(luò)模型

圖4 球棍網(wǎng)絡(luò)模型 Fig.4 Stick network model

本文提出球棍網(wǎng)絡(luò)模型(圖4)對(duì)節(jié)點(diǎn)的訪問情況和節(jié)點(diǎn)間的關(guān)系進(jìn)行展示，以彌補(bǔ)平行軸模型在展示大規(guī)模數(shù)據(jù)出現(xiàn)的缺陷。用戶可以對(duì)球棍網(wǎng)絡(luò)進(jìn)行交互，利用不同顏色突出用戶的選擇。在球棍網(wǎng)絡(luò)模型中，節(jié)點(diǎn)的日志數(shù)量映射球棍體積，以表現(xiàn)節(jié)點(diǎn)的訪問量，并且使用IP地址對(duì)球棍進(jìn)行聚類，用以表現(xiàn)各節(jié)點(diǎn)之間的關(guān)系。球棍坐標(biāo)計(jì)算參數(shù)定義如下：

(7)

球棍網(wǎng)絡(luò)模型每個(gè)小球的三維坐標(biāo)值定義如下：

(8)

坐標(biāo)經(jīng)過這樣定義之后，IP地址越相似的節(jié)點(diǎn)之間距離就越小，從而達(dá)到根據(jù)網(wǎng)段進(jìn)行聚類的效果。為了更好地體現(xiàn)球棍位置的三維特征，該模型將在字典樹中處在同父節(jié)點(diǎn)的球棍用直線進(jìn)行連接，讓原本散亂無章的點(diǎn)變得聯(lián)系緊密起來，以便用戶發(fā)現(xiàn)節(jié)點(diǎn)間聯(lián)系。

2 多模態(tài)網(wǎng)絡(luò)安全可視分析實(shí)現(xiàn)

2.1 Monic系統(tǒng)界面設(shè)計(jì)

在Monic的界面上，用戶可以選擇時(shí)間來對(duì)兩個(gè)可視化模塊進(jìn)行全局控制，用戶可以查看某個(gè)節(jié)點(diǎn)的詳細(xì)信息，如IP地址、域名、訪問量。為了方便用戶進(jìn)行查詢，面板設(shè)有檢索框以便用戶根據(jù)IP進(jìn)行節(jié)點(diǎn)的檢索?？刂泼姘迳鲜褂瞄撝祷瑒?dòng)條控制訪問閾值以過濾訪問值大于該閾值的節(jié)點(diǎn)，從而使球狀模塊更加清晰。用戶還可以根據(jù)實(shí)際數(shù)據(jù)調(diào)整球棍的半徑，平行軸線條的粗細(xì)，透明度等。利用以上界面交互方式，對(duì)信息進(jìn)行二次篩選，調(diào)整模型形態(tài)屬性，以發(fā)現(xiàn)更多信息。

2.2 異構(gòu)樹數(shù)據(jù)組織結(jié)構(gòu)的實(shí)現(xiàn)

構(gòu)建異構(gòu)樹組織結(jié)構(gòu)需要首先根據(jù)用戶選取的目標(biāo)地址域TP建立字典樹，并將TP里的地址壓入預(yù)讀棧。在網(wǎng)絡(luò)流量日志的讀取過程中，當(dāng)讀取一個(gè)新的服務(wù)器，就會(huì)新建一個(gè)多叉樹，并且將之后所有值都非空且時(shí)間范圍在TS-TE之間的記錄都存儲(chǔ)在多叉樹中。當(dāng)該服務(wù)器日志讀取完后，建立的多叉樹將被掛載在相應(yīng)的字典樹節(jié)點(diǎn)上。

2.3 針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的球棍網(wǎng)絡(luò)模型的實(shí)現(xiàn)

在球棍網(wǎng)絡(luò)模型中，節(jié)點(diǎn)將用黑色小球進(jìn)行表示。由于節(jié)點(diǎn)數(shù)量非常龐大，小球?qū)⒁园胪该鞯男螒B(tài)進(jìn)行顯示，使之間互不遮擋。相同父節(jié)點(diǎn)的小球使用直線進(jìn)行連接，用以展示節(jié)點(diǎn)之間的聚類關(guān)系，從而便于用戶推斷攻擊者的攻擊域。用戶還可以對(duì)其使用縮放和旋轉(zhuǎn)來發(fā)現(xiàn)更多的信息。用戶可以選擇感興趣的區(qū)域或者選擇感興趣的某個(gè)節(jié)點(diǎn)，前者需要在感興趣的地方繪制圓形，后者只需要點(diǎn)擊該節(jié)點(diǎn)。源地址與之相等的平行軸連線就會(huì)被高亮顯示。這樣，球棍模型就達(dá)到了過濾數(shù)據(jù)的目的，結(jié)點(diǎn)標(biāo)注的功能被提供以方便用戶之后的對(duì)比和分析。

2.4 針對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的平行軸模塊的實(shí)現(xiàn)

用戶可以對(duì)平行軸進(jìn)行點(diǎn)擊、滑動(dòng)等動(dòng)作以高亮所有屬性值與點(diǎn)擊值或滑過值相等的線條。通過這種交互方式，用戶通過點(diǎn)擊平行軸就可以很容易發(fā)現(xiàn)用戶行為特征(圖5)。例如，用戶點(diǎn)擊地址軸和目標(biāo)端口軸就可以發(fā)現(xiàn)目標(biāo)地址和目標(biāo)端口的訪問情況，交互方式簡(jiǎn)單有效。

圖5 平行軸模型數(shù)據(jù)篩選Fig.5 Screen data use parallel coordinate model

3 網(wǎng)絡(luò)攻擊預(yù)測(cè)方法

3.1 平行軸下攻擊行為模式

用戶可以利用網(wǎng)絡(luò)流量數(shù)據(jù)在平行軸的圖像模式來識(shí)別攻擊者的行為，本文選擇4種最常見的攻擊行為進(jìn)行分析。圖6中展示了4種攻擊行為在平行軸的展示情況，為了找到攻擊者行為間關(guān)系以預(yù)測(cè)攻擊，該預(yù)測(cè)方法將攻擊行為分為探測(cè)行為和進(jìn)攻行為。

3.1.1 探測(cè)行為

(1)主機(jī)掃描：主機(jī)掃描是網(wǎng)絡(luò)攻擊的前期特征之一，在黑客實(shí)施網(wǎng)絡(luò)攻擊或者入侵之前通常先要進(jìn)行信息收集，通過對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)進(jìn)行掃描確定目標(biāo)主機(jī)系統(tǒng)是否在活動(dòng)，確定哪些服務(wù)器在運(yùn)行，檢測(cè)目標(biāo)操作系統(tǒng)類型，試圖發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞。觀察平行軸中攻擊時(shí)段的直線時(shí)，將會(huì)發(fā)現(xiàn)同一源地址、不同目標(biāo)地址和同一端口號(hào)之間有大量連線。(2)端口掃描：攻擊者試圖發(fā)送數(shù)據(jù)到同一源地址的不同端口，從而發(fā)現(xiàn)該地址中的有效端口。觀察平行軸中攻擊時(shí)段的直線時(shí)，將會(huì)發(fā)現(xiàn)同一源地址、同一目標(biāo)地址和大量無重復(fù)端口號(hào)之間有直線連接。

圖6 平行軸下的攻擊行為模式Fig.6 Mode of different behaviors in parallel coordinates

3.1.2 進(jìn)攻行為

(1)拒絕服務(wù)攻擊：攻擊者在發(fā)現(xiàn)有效地址和有效端口后，在短時(shí)間內(nèi)對(duì)目標(biāo)機(jī)器發(fā)起大量的訪問或者利用大量木馬機(jī)器向該目標(biāo)發(fā)起訪問，當(dāng)目標(biāo)機(jī)器服務(wù)線程數(shù)超過服務(wù)器的承載的時(shí)候，就會(huì)崩潰。觀察平行軸中攻擊時(shí)段的直線時(shí)，將會(huì)發(fā)現(xiàn)同一源地址或者大量不同、同一目標(biāo)地址和同一端口號(hào)之間有直線連接。(2)Land攻擊：此攻擊同樣是發(fā)生在攻擊者發(fā)現(xiàn)有效地址和有效端口后，攻擊者將自己的IP地址偽裝為目標(biāo)地址，然后發(fā)送目標(biāo)地址和源地址相同的數(shù)據(jù)包到目標(biāo)地址中，當(dāng)目標(biāo)機(jī)器接收到這類數(shù)據(jù)包時(shí)，將不知道該如何處理，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，攻擊者以此來消耗目標(biāo)機(jī)器大量系統(tǒng)資源，從而使目標(biāo)宕機(jī)。觀察平行軸中攻擊時(shí)段的直線時(shí)，將會(huì)發(fā)現(xiàn)源地址和目標(biāo)地址之間有大量平行線。

3.2 Monic系統(tǒng)網(wǎng)絡(luò)攻擊預(yù)測(cè)方法

主機(jī)掃描和端口掃描本身可能并不會(huì)對(duì)某臺(tái)主機(jī)造成致命的攻擊和大強(qiáng)度破壞，但對(duì)檢測(cè)并有效預(yù)防攻擊者抓取控制主機(jī)，是非常有效的方法，因?yàn)樗鼈兂３０l(fā)生在攻擊事件之前。本文的網(wǎng)絡(luò)預(yù)測(cè)方法即利用該攻擊者探測(cè)行為和攻擊行為的關(guān)系進(jìn)行預(yù)測(cè)分析，預(yù)測(cè)的根據(jù)主要基于攻擊者在攻擊前的探測(cè)行為在平行軸中的模式。用戶通過選擇時(shí)間，與利用該時(shí)間段的數(shù)據(jù)建立的可視分析模型進(jìn)行交互，對(duì)比平行軸下已知的攻擊行為的圖像模式，來發(fā)現(xiàn)攻擊者的探測(cè)行為。根據(jù)探測(cè)行為調(diào)整服務(wù)器的防御策略或者增加防御方式來抵抗攻擊者的攻擊，從而達(dá)到預(yù)測(cè)網(wǎng)絡(luò)攻擊的效果。用戶在與系統(tǒng)的交互過程中，可以學(xué)習(xí)到新的攻擊行為模式，能夠發(fā)現(xiàn)更多的探測(cè)行為，不斷提高系統(tǒng)的分析能力。

4 實(shí)驗(yàn)結(jié)果與分析

根據(jù)前述思想，本文使用Qt作為框架工具，C++為開發(fā)語(yǔ)言，使用OpenGL作為繪圖工具，設(shè)計(jì)與開發(fā)出Monic系統(tǒng)。主界面如圖7。圖7中A區(qū)域?yàn)榍驙钅K，用以展示大規(guī)模網(wǎng)絡(luò)訪問情況，B為平行軸模塊，用以展示局部信息，C，D，E區(qū)域?yàn)榭刂颇K，用以控制可視化系統(tǒng)中的數(shù)據(jù)。

圖7 Monic系統(tǒng)概覽Fig.7 Monic system overview

實(shí)驗(yàn)使用該系統(tǒng)收集到的1 200個(gè)服務(wù)器為時(shí)14天的數(shù)據(jù)進(jìn)行測(cè)試，該數(shù)據(jù)集有3×106條紀(jì)錄，經(jīng)過對(duì)數(shù)據(jù)預(yù)處理后，通過時(shí)間選擇面板選擇時(shí)間在2014年6月27日，在球狀模型處選擇地址為170.10.23.121的節(jié)點(diǎn)，并對(duì)平行軸中的信息進(jìn)行分析，發(fā)現(xiàn)平行軸線中存在可疑行為特征，在同一源地址、同目標(biāo)地址和不同端口之間有很多連線，符合前文分析的端口掃描行為模式。

圖8A為170.10.23.121機(jī)器在6月27日被掃描端口，圖8B為170.10.23.121機(jī)器在7月1日被Ddos攻擊。使用系統(tǒng)查看2014年6月27日以后170.10.23.121節(jié)點(diǎn)的詳細(xì)信息(圖8A)，從數(shù)據(jù)中發(fā)現(xiàn)在7月1日有被攻擊的可疑跡象(圖8B)，在平行軸中不同源地址和同一目標(biāo)地址的同一目標(biāo)端口有大量連線，符合前文分析的Ddos圖像模式。在查看IDS日志之后，發(fā)現(xiàn)7月1日該機(jī)器遭到了來自不同地區(qū)的機(jī)器的攻擊，在這些攻擊者中，發(fā)現(xiàn)170.10.23.121也在其中。接著查看該170.10.23.121的系統(tǒng)日志，發(fā)現(xiàn)該服務(wù)器在被攻擊后系統(tǒng)宕機(jī)了56 min。根據(jù)以上的驗(yàn)證工作，證實(shí)實(shí)驗(yàn)中系統(tǒng)分析結(jié)果和日志信息吻合。聯(lián)系6月27日的攻擊者行為，根據(jù)以上信息可以推斷出，6月27日的異常行為可能正是此次攻擊前的探測(cè)活動(dòng)。如果在6月27日網(wǎng)絡(luò)安全人員使用Monic系統(tǒng)進(jìn)行檢測(cè)，就能夠發(fā)現(xiàn)這次探測(cè)行為。安全人員根據(jù)行為特點(diǎn)調(diào)整防火墻的防御策略、增大防御強(qiáng)度，就能夠抵抗7月1日的攻擊，避免服務(wù)器的宕機(jī)。憑借這次的實(shí)驗(yàn)結(jié)果，證實(shí)了本系統(tǒng)在用戶的交互和分析下能夠預(yù)測(cè)網(wǎng)絡(luò)攻擊。

圖8 攻擊行為發(fā)現(xiàn)Fig.8 Attack behavior founding

前面介紹的4種攻擊方式使用平行軸進(jìn)行表示可以總結(jié)成幾種圖形模式(圖9)，從主機(jī)掃描行為來看，攻擊者在一段時(shí)間內(nèi)向一個(gè)目標(biāo)地址的子網(wǎng)發(fā)送少量數(shù)據(jù)以探測(cè)主機(jī)是否存在，所以該行為在平行軸中的圖像是先發(fā)散再聚攏再發(fā)散又聚攏最后成為一條線段的形態(tài)，同理可以推理出其他3種行為的圖像模式。對(duì)比PCAV模型，在模型的識(shí)別度方面，PCAV[15]方法中主機(jī)掃描只有大范圍的目標(biāo)地址和同一目標(biāo)端口兩個(gè)特征，而在本文模型中，主機(jī)掃描有時(shí)間連續(xù)和大范圍目標(biāo)地址和同一端口3個(gè)特征點(diǎn)。在模型的正確率方面，PCAV模型中沒有時(shí)間特征，無法區(qū)分出Ddos攻擊和普通訪問行為，所以很難識(shí)別攻擊行為。相比之下，本文提出的模型更容易識(shí)別攻擊行為并且能夠識(shí)別更多的攻擊者行為模式。

圖9 Monic和PCAV中攻擊者行為圖像特征Fig.9 The image pattern of attacker behaviors in Monic and PCAV respectively

5 結(jié)論

本文在分析網(wǎng)絡(luò)流量數(shù)據(jù)的基礎(chǔ)上，提出了利用多模態(tài)互補(bǔ)和異構(gòu)樹數(shù)據(jù)組織結(jié)構(gòu)的可視分析方法，通過該方法實(shí)現(xiàn)了針對(duì)大規(guī)模網(wǎng)絡(luò)的攻擊預(yù)測(cè)可視分析，并開發(fā)出了Monic系統(tǒng)進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明了該方法能夠有效預(yù)測(cè)網(wǎng)絡(luò)攻擊，并且該系統(tǒng)在發(fā)現(xiàn)攻擊者行為模式上有很大的優(yōu)勢(shì)，用戶可以利用該系統(tǒng)并行的進(jìn)行學(xué)習(xí)與分析。接下來我們的工作將會(huì)基于更多類型的日志數(shù)據(jù)進(jìn)行分析，并且優(yōu)化現(xiàn)有的模型展示方式，提高系統(tǒng)的交互性。在攻擊者模式的發(fā)現(xiàn)上，我們會(huì)提供一些引導(dǎo)，讓用戶達(dá)到所見即所得的效果。

[1] 呂良福. DDoS攻擊的檢測(cè)及網(wǎng)絡(luò)安全可視化研究[D]. 天津: 天津大學(xué), 2008.

[2] BECKER R A, EICK S G, WILKS A R. Visualizing network data[J]. Visualization and Computer Graphics, IEEE Transactions on, 1995, 1(1): 16-28.

[3] FORTIER S C, SHOMBERT L A. Network profiling and data visualization[C]. Proceedings of the 2000 IEEE Workshop on Information Assurance and Security. 2000.

[4] 趙穎, 樊曉平, 周芳芳,等. 網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J]. 計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào), 2014, 26(5):687-697.

[5] PAPADOPOULOS C, KYRIAKAKIS C, SAWCHUK A, et al. CyberSeer: 3D Audio-visual Immersion for Net Work Security and Management[C]. Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security. ACM, 2004: 90-98.

[6] AXELSSON S, SANDS D. Visualization for intrusion detection-hooking the worm[J]. Understanding Intrusion Detection Through Visualization, 2006: 111-127.

[7] COLOMBE J B, STEPHENS G. Statistical profiling and visualization for detection of malicious insider attacks on computer networks[C]. Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security. ACM, 2004: 138-142.

[8] GIRARDIN L, BRODBECK D. A Visual Approach for Monitoring Logs[C]. LISA. 1998, (98): 299-308.

[9] DUMAS M, ROBERT J, MCGUFFIN M J, et al. Alertwheel: radial bipartite graph visualization applied to intrusion detection system alerts[J]. Network, IEEE, 2012, 26(6):12 - 18.

[10] 趙穎, 樊曉平, 周芳芳,等. 多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014, (9):122-122.

[11] PROMANN M, MA Y A, WEI S, et al. Spring Rain: an ambient information display[J]. Proceedings of Visual Analyties Science and Technology. Los Alamitos: IEEE Computer Society Press, 2013: 5-6.

[12] INSELBERG A.Multidimensional Detective[C]//Information Visualization, 1997. Proceedings., IEEE Symposium on. IEEE, 1997: 100-107.

[13] KRASSER S, CONTI G, GRIZZARD J, et al. Real-time and Forensic Network Data Analysis Using Animated and Coordinated Visualization[C]. Information Assurance Workshop, 2005. IAW'05. Proceedings from the Sixth Annual IEEE SMC. IEEE, 2005: 42-49.

[14] VIéGAS F B, BOYD D, NGUYEN D H, et al. Digital Artifacts for Remembering and Storytelling: Posthistory and Social Network Fragments[C]. System Sciences, 2004. Proceedings of the 37th Annual Hawaii International Conference on. IEEE, 2004: 10.

[15] CHOI H, LEE H, KIM H. Fast detection and visualization of network attacks on parallel coordinates[J]. computers & security, 2009, 28(5): 276-288.

Design and Research on Visual Analysis System of Prediction Attack for Large Scale Network

JIANG Hong-yu, WU Ya-dong, ZHOU Feng-kai, YANG Wen-chao, ZHAO Si-rui

(SchoolofComputerScienceandTechnology，SouthwestUniversityofScienceandTechnology，Mianyang621010，Sichuan，China)

Traditional methods depends security products to prediction attack are no longer applied due to the large scale of network security data because the network intrusion mode become more and more Huge and complex. Through the studied of netflow data,a new method to real-time visual analysis netflow log with multi-modal display structure and heterogeneous tree netflow data organization structure was proposed and a visual analysis system of prediction attack for large-scale network named Monic is designed and researched. The ability of system to recognize attacker behavior and prediction network attack use this system through interaction analysis were indicated by results.

Visual analysis; Attack prediction; Network security; Multi-modal; Large-scale network

2014-03-10

國(guó)家自然科學(xué)基金(61303127)；核廢物與環(huán)境安全國(guó)防重點(diǎn)學(xué)科實(shí)驗(yàn)室(13zxnk12)；四川省教育廳重點(diǎn)項(xiàng)目(13ZA0169)；四川省科技創(chuàng)新苗子工程資助項(xiàng)目基金(2014-044)。

蔣宏宇(1994—)，男，本科，主要研究方向?yàn)樾畔踩?、可視分析。通訊作者：吳亞東(1979—)，男，教授，博士，主要研究方向?yàn)閳D像圖形處理、可視化。E-mail:wuyadong@swust.edu.cn

TP393.08

A

1671-8755(2015)02-0074-07