多種可視化技術(shù)相結(jié)合的網(wǎng)絡(luò)安全數(shù)據(jù)分析研究

廖雨婷

（信息工程大學(xué) 地理空間信息學(xué)院，河南 鄭州 450000）

多種可視化技術(shù)相結(jié)合的網(wǎng)絡(luò)安全數(shù)據(jù)分析研究

廖雨婷

（信息工程大學(xué) 地理空間信息學(xué)院，河南 鄭州 450000）

網(wǎng)絡(luò)安全可視化是網(wǎng)絡(luò)安全研究中的重要環(huán)節(jié)，它通過可視分析，為網(wǎng)絡(luò)安全員提供一種分析網(wǎng)絡(luò)結(jié)構(gòu)和識(shí)別網(wǎng)絡(luò)異常的新方法。針對(duì)網(wǎng)絡(luò)監(jiān)控日志數(shù)據(jù)量大、維度高等特點(diǎn)，對(duì)網(wǎng)絡(luò)安全可視化分析方法進(jìn)行研究和實(shí)驗(yàn)。采用網(wǎng)絡(luò)拓?fù)鋱D、散點(diǎn)圖、柱狀圖、平行坐標(biāo)等可視化方法，對(duì)網(wǎng)絡(luò)的體系結(jié)構(gòu)、異常行為、通信模式進(jìn)行可視分析。使用China Vis2016挑戰(zhàn)賽的數(shù)據(jù)對(duì)以上可視化方法進(jìn)行驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，以上幾種可視方法都能針對(duì)不同的問題給出解決方案，其對(duì)分析網(wǎng)絡(luò)安全數(shù)據(jù)可行、有效。

網(wǎng)絡(luò)拓?fù)鋱D；散點(diǎn)圖；平行坐標(biāo)；可視分析；網(wǎng)絡(luò)安全

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，使得網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全面臨著越來越嚴(yán)峻的考驗(yàn)。特別是進(jìn)入“大數(shù)據(jù)”時(shí)代，網(wǎng)絡(luò)攻擊呈現(xiàn)出“3V”特征，即攻擊規(guī)模越來越大（Volume），攻擊類型越來越多（Variety），攻擊變化越來越快（Velocity）[1]。為了滿足網(wǎng)絡(luò)安全的需求，防火墻、流量監(jiān)控系統(tǒng)、主機(jī)狀態(tài)監(jiān)控系統(tǒng)和入侵檢測(cè)系統(tǒng)等各種網(wǎng)絡(luò)監(jiān)控和防御設(shè)備被用來保護(hù)網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)運(yùn)行過程中，各種監(jiān)控系統(tǒng)會(huì)產(chǎn)生大量監(jiān)控日志[2]。這些監(jiān)控日志是網(wǎng)絡(luò)安全員分析網(wǎng)絡(luò)狀態(tài)和識(shí)別網(wǎng)絡(luò)入侵的主要信息來源，但是傳統(tǒng)網(wǎng)絡(luò)分析產(chǎn)品面對(duì)海量的監(jiān)控日志，分析效果明顯不足。在這種情況下，出現(xiàn)了網(wǎng)絡(luò)安全可視化技術(shù)[3]，即用圖形圖像的方式把海量、高維的數(shù)據(jù)展示出來，同時(shí)提供一系列交互手段，使網(wǎng)絡(luò)分析人員能夠從大量信息中找出隱含的規(guī)律、模式，更快速地識(shí)別網(wǎng)絡(luò)異常事件和攻擊行為，并判斷其下一步的發(fā)展趨勢(shì)。本文試圖對(duì)網(wǎng)絡(luò)監(jiān)控日志的分析入手，采用可視化方法表示網(wǎng)絡(luò)整體架構(gòu)，模擬網(wǎng)絡(luò)通信模式，檢測(cè)網(wǎng)絡(luò)異常行為，使普通用戶無需預(yù)先知識(shí)也能理解網(wǎng)絡(luò)中的行為模式。

1 相關(guān)工作

網(wǎng)絡(luò)監(jiān)控日志的大小與網(wǎng)絡(luò)規(guī)模成正比。當(dāng)網(wǎng)絡(luò)發(fā)生異常事件時(shí)，網(wǎng)絡(luò)安全員很難在海量的數(shù)據(jù)中發(fā)現(xiàn)問題，導(dǎo)致后續(xù)的分析處理產(chǎn)生滯后。國內(nèi)外研究者一直都在研究如何通過可視化技術(shù)分析海量多維的網(wǎng)絡(luò)監(jiān)控日志，掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。

現(xiàn)有的網(wǎng)絡(luò)安全可視分析技術(shù)主要有：節(jié)點(diǎn)鏈接圖[4]、柱狀圖[5]、雷達(dá)圖[6]、平行坐標(biāo)系[7]、樹圖[8]、散點(diǎn)圖[9]、熱力圖[10]等方法。

基于以上可視化技術(shù)，本文以chinavis2016挑戰(zhàn)賽的數(shù)據(jù)為例（見表1），對(duì)主要的網(wǎng)絡(luò)安全可視化技術(shù)進(jìn)行實(shí)驗(yàn)，研究其具體的適用范圍和有效性。該數(shù)據(jù)模擬一家商業(yè)集團(tuán)股份有限公司兩個(gè)月的網(wǎng)絡(luò)監(jiān)控日志，時(shí)間跨度為兩個(gè)月，共有200多萬行記錄，包括應(yīng)用層、網(wǎng)絡(luò)層、鏈路層的相關(guān)信息。其主要維度包括開始時(shí)間、傳輸數(shù)據(jù)總長度、源IP、目的IP、源端口、目的端口、虛擬管道標(biāo)識(shí)等。該數(shù)據(jù)具有多維性、時(shí)序性特點(diǎn)。

表1 網(wǎng)絡(luò)監(jiān)控日志

2 可視化技術(shù)及其應(yīng)用

2.1 基于網(wǎng)絡(luò)拓?fù)鋱D的可視化方法

網(wǎng)絡(luò)拓?fù)鋱D是各種網(wǎng)絡(luò)設(shè)備之間的一種信息表述，包含節(jié)點(diǎn)IP、節(jié)點(diǎn)名、節(jié)點(diǎn)之間連接關(guān)系等多維信息，使用節(jié)點(diǎn)連接圖對(duì)網(wǎng)絡(luò)關(guān)系進(jìn)行可視化時(shí)，用節(jié)點(diǎn)代表IP，用連線表示IP之間的連接關(guān)系，能夠真實(shí)表達(dá)網(wǎng)絡(luò)的整體架構(gòu)。

從網(wǎng)絡(luò)日志中尋找客戶端和服務(wù)器時(shí)，可用節(jié)點(diǎn)連接圖來表示內(nèi)網(wǎng)之間的通信關(guān)系，如圖1所示。

圖1 內(nèi)網(wǎng)之間的網(wǎng)絡(luò)連接情況

每一個(gè)節(jié)點(diǎn)代表一臺(tái)主機(jī)，用連線表示兩臺(tái)主機(jī)之間有通信，節(jié)點(diǎn)的大小和顏色的深淺表示與其有通信關(guān)系的主機(jī)數(shù)量。如圖1框內(nèi)所示，節(jié)點(diǎn)較大的代表這些主機(jī)與很多臺(tái)主機(jī)都有通信關(guān)系，那么就可以初步認(rèn)為該主機(jī)可能為服務(wù)器。圖2為過濾掉較小的節(jié)點(diǎn)和去掉孤立節(jié)點(diǎn)后，判定為服務(wù)器的節(jié)點(diǎn)連接圖。由圖2可知，IP地址為10.18.112.246的節(jié)點(diǎn)最大，說明與該節(jié)點(diǎn)通信的主機(jī)非常多，可以認(rèn)為這是該公司的一臺(tái)服務(wù)器。

圖2 服務(wù)器連接情況

2.2 基于散點(diǎn)圖的可視化方法

散點(diǎn)圖將數(shù)據(jù)以點(diǎn)的形式布局于二維直角笛卡爾坐標(biāo)或極坐標(biāo)，每個(gè)點(diǎn)對(duì)應(yīng)的橫縱坐標(biāo)編碼兩個(gè)數(shù)值型數(shù)據(jù)，也可以采用尺寸、形狀和顏色等視覺通道來編碼數(shù)據(jù)點(diǎn)的其他信息。散點(diǎn)圖矩陣是散點(diǎn)圖的高維擴(kuò)展，用來展現(xiàn)高維（大于二維）數(shù)據(jù)屬性分布，對(duì)不同屬性進(jìn)行兩兩組合，生成一組散點(diǎn)圖，緊湊地表達(dá)屬性之間的關(guān)系。

使用散點(diǎn)圖的方法來可視每臺(tái)服務(wù)器及其所使用的具體協(xié)議。首先，統(tǒng)計(jì)每臺(tái)服務(wù)器的端口信息以及其與多少臺(tái)不同的客戶端之間有通信，根據(jù)端口（Port）信息判斷服務(wù)器大概都有哪些協(xié)議。如圖3所示，用橫軸表示所有服務(wù)器的IP地址，縱軸表示每臺(tái)服務(wù)器使用的協(xié)議。其中，每個(gè)小矩形都對(duì)應(yīng)一臺(tái)服務(wù)器和所使用的協(xié)議，顏色表示對(duì)應(yīng)的服務(wù)器通過對(duì)應(yīng)協(xié)議與客戶端的通信數(shù)量。顏色越深，表示與之通信的客戶端數(shù)量越多；顏色越淺，表示對(duì)應(yīng)的服務(wù)器通過對(duì)應(yīng)的協(xié)議與客戶端通信數(shù)量比較少。從圖3可以看出，大多數(shù)服務(wù)器都使用了CIFS協(xié)議，可以推斷這些服務(wù)器大都是文件服務(wù)器。對(duì)于一些服務(wù)器，它的主要通信協(xié)議并不唯一，如圖中10.18.112.26和10.67.220.221這兩臺(tái)主機(jī)，主要是通過CIFS、Nirvana、FTP、unknow、HTTP、LDAP等協(xié)議通信，由此推斷這兩臺(tái)服務(wù)器提供多種服務(wù)，可以認(rèn)為是有特殊用途的服務(wù)器。

圖3 服務(wù)器功能分類

使用散點(diǎn)圖可視化該公司每天網(wǎng)絡(luò)中主要傳輸?shù)奈募愋鸵约皞鬏斄?。首先，統(tǒng)計(jì)該公司每一天所傳輸?shù)奈募愋图捌鋫鬏斄?，可視化效果如圖4所示。橫坐標(biāo)代表日期，縱坐標(biāo)代表傳輸?shù)奈募愋?。視圖中的圓代表對(duì)應(yīng)的某一天傳輸?shù)奈募愋汀A越大，表示該天傳輸?shù)哪撤N類型的文件越多；圓越小，代表該天傳輸?shù)拇祟愇募^少；空白則代表該天沒有傳輸此類文件。由圖4可知，該公司在近兩個(gè)月時(shí)間內(nèi)，大部分時(shí)間網(wǎng)絡(luò)中主要傳輸.rpc類型的文件和.unk類型的文件。其中，7月25日-8月1日期間出現(xiàn)巨量.unk未知類型的文件傳輸，異于平時(shí)的傳輸規(guī)律。此外，從圖中還可以發(fā)現(xiàn)，.rpc文件與.unk類型文件或許是伴隨傳輸，即傳輸.rpc文件的同時(shí)也會(huì)傳輸.unk文件。但是，在7月29日和30日兩天出現(xiàn)異于平時(shí)傳輸?shù)囊?guī)律，由此可知，網(wǎng)絡(luò)中出現(xiàn)了異常事件。

圖4 網(wǎng)絡(luò)傳輸文件

2.3 基于柱狀圖和折線圖的可視化方法

柱狀圖基于二維笛卡爾坐標(biāo)系或極坐標(biāo)系比較不同類型的屬性（采用柱形和顏色編碼）：一個(gè)軸編碼自變量（類別型或有序性數(shù)據(jù)）；一個(gè)軸編碼因變量（數(shù)值型）。柱狀圖能夠比較清晰地區(qū)分個(gè)體數(shù)據(jù)的大小，一般用于分析個(gè)體變量之間的差異，分析比較時(shí)一般只有一個(gè)維度的比較，其高度反映數(shù)據(jù)之間的差異。若在柱狀圖的每根直柱上嵌套對(duì)應(yīng)另一個(gè)維度的直柱，就會(huì)演變?yōu)槎询B圖；對(duì)柱狀圖的橫縱坐標(biāo)進(jìn)行轉(zhuǎn)換能夠得到條形圖。折線圖亦可以顯示隨時(shí)間而變化的連續(xù)數(shù)據(jù)，因此非常適于顯示在相等時(shí)間間隔下數(shù)據(jù)的趨勢(shì)。

下面利用折線圖、柱狀圖、堆疊圖分析網(wǎng)絡(luò)中可能存在的異常通信模式。因在找服務(wù)器過程中發(fā)現(xiàn)與10.18.112.246服務(wù)器通信的主機(jī)有很多，所以選擇此臺(tái)服務(wù)器作為研究對(duì)象，分析其在整個(gè)網(wǎng)絡(luò)監(jiān)控時(shí)間段內(nèi)的活躍時(shí)段變化情況。如圖5所示，折線圖上部分為與服務(wù)器交互的總次數(shù)，中部圖為服務(wù)器回應(yīng)客戶端的總次數(shù)，下部圖為客戶端請(qǐng)求服務(wù)器的總次數(shù)。從圖中可以分析，該服務(wù)器模式為客戶端對(duì)其進(jìn)行訪問，服務(wù)器會(huì)相應(yīng)應(yīng)答客戶端，但從7月22日至8月13日，該服務(wù)器只被別的客戶端訪問，沒有應(yīng)答客戶端。由此可推斷，該服務(wù)器在這段時(shí)期內(nèi)并沒有工作，可能存在異常。

圖5 某一服務(wù)器活躍時(shí)段變化

對(duì)26.24.x.x子網(wǎng)段兩個(gè)月來的訪問量進(jìn)行統(tǒng)計(jì)，利用柱狀圖可視化其訪問量-時(shí)間關(guān)系圖，對(duì)其進(jìn)行分析，結(jié)果如圖6所示。由圖6發(fā)現(xiàn)，該網(wǎng)段每一天的訪問量大都在2～20左右，但在第六周的周二即8月25日，出現(xiàn)了80+的訪問量。由此推斷，該天的網(wǎng)絡(luò)可能存在異常情況。

圖6 子網(wǎng)訪問量

圖7是利用堆疊圖對(duì)整個(gè)網(wǎng)絡(luò)的訪問量進(jìn)行可視化。首先可以發(fā)現(xiàn)第一個(gè)異常在第五周的周一和周三，即8月17、19日出現(xiàn)了大量的訪問量；第二個(gè)異常出現(xiàn)在第二周的周三和第七周的周三，即7月29日和9月2日訪問量極少，甚至沒有。從此圖還能看出，第三周相較于其他周，整體訪問量偏少?？梢灾庇^看出，第三周和第五周的總體訪問量形成鮮明對(duì)比，說明該公司出現(xiàn)網(wǎng)絡(luò)異常的時(shí)間也在這兩周。

圖7 訪問量（堆疊圖）

2.4 基于平行坐標(biāo)的可視化方法

平行坐標(biāo)能把多維數(shù)據(jù)屬性空間通過距離相等的豎直軸線映射到二維空間。每一條軸線代表一個(gè)維度，軸線之間相互平行，在軸線上刻畫各個(gè)維度從小到大的數(shù)值，并用折線把這些數(shù)值對(duì)應(yīng)的坐標(biāo)點(diǎn)連接起來，從而在二維空間內(nèi)展示多維數(shù)據(jù)。美國超級(jí)計(jì)算機(jī)應(yīng)用中心SIFT（Security Incident Fusion Tools）研究小組開發(fā)了VisFlowConnect[11]，利用三條平行坐標(biāo)來展示主機(jī)之間的連接關(guān)系，同時(shí)可以動(dòng)態(tài)顯示網(wǎng)絡(luò)內(nèi)部之間的流量。

本文利用平行坐標(biāo)對(duì)經(jīng)同一虛擬管道進(jìn)行通信的源IP和目的IP的連接模式進(jìn)行可視化。首先統(tǒng)計(jì)出經(jīng)同一虛擬管道（虛擬管道標(biāo)識(shí)相同）的源IP和目的IP。因其數(shù)據(jù)較多，全部繪制不現(xiàn)實(shí)，所以統(tǒng)計(jì)其IP段，用平行坐標(biāo)系對(duì)其分布進(jìn)行可視化，如圖8（a）所示。圖中左邊坐標(biāo)軸表示源IP段，中間表示所使用的虛擬通道，右邊坐標(biāo)軸表示目的IP段。根據(jù)其通信模式，對(duì)有連接關(guān)系的源IP和目的IP通過虛擬通道進(jìn)行連接。

因通過0/1174虛擬管道的源IP和目的IP較多，所以選取0/1174虛擬管道作為分析對(duì)象。分析經(jīng)過其管道內(nèi)部IP的規(guī)律，如圖8（b）所示。該虛擬管道的IP段分布超過了一半的IP范圍，因圖（b）中黑框部分IP段分布密集，所以再以此處IP段為研究對(duì)象，發(fā)現(xiàn)此IP段只經(jīng)過了三個(gè)虛擬通道，且大部分還是經(jīng)過0/1174虛擬管道，如圖8（c）所示。同時(shí)，選定此處IP段和所經(jīng)過的0/1174虛擬管道，發(fā)現(xiàn)其源IP對(duì)應(yīng)的目的IP分布較為分散。圖8（e）為選擇較為集中的一段源IP后，發(fā)現(xiàn)其經(jīng)過的虛擬管道數(shù)量相對(duì)較多，其目的IP分布較為平均。

圖8 虛擬管道中源IP和目的IP的分布

3 結(jié) 語

本文研究現(xiàn)有網(wǎng)絡(luò)安全可視化技術(shù)，并將其應(yīng)用于實(shí)際網(wǎng)絡(luò)安全數(shù)據(jù)分析，利用節(jié)點(diǎn)連接圖探索網(wǎng)絡(luò)結(jié)構(gòu)；利用散點(diǎn)圖對(duì)服務(wù)器進(jìn)行分類，并對(duì)公司的傳輸文件類型和傳輸量進(jìn)行可視化；利用柱狀圖、折線圖、堆疊圖對(duì)網(wǎng)絡(luò)行為進(jìn)行可視化，分析其異常行為模式；利用平行坐標(biāo)模擬虛擬管道連接模式。實(shí)驗(yàn)結(jié)果表明，以上幾種可視化方法都能幫助安全員探索規(guī)律和發(fā)現(xiàn)異常。后續(xù)工作將著重開發(fā)一套網(wǎng)絡(luò)安全態(tài)勢(shì)可視化系統(tǒng)，融合更多可視化技術(shù)，幫助網(wǎng)絡(luò)分析員有效認(rèn)知和評(píng)估整個(gè)網(wǎng)絡(luò)，為快速應(yīng)對(duì)網(wǎng)絡(luò)安全問題奠定基礎(chǔ)。

[1] 張勝,施榮華,趙穎.基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合分析方法[J].計(jì)算機(jī)應(yīng)用,2015,35(05):1379-1384,1416. ZHANG Sheng,SHI Rong-hua,ZHAO Ying.Visual Fusion Analysis Method based on Multi Heterogeneous Network Security Data[J].Computer Application,2015,35(05): 1379-1384,1416.

[2] 趙穎,樊曉平,周芳芳等.多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J].小型微型計(jì)算機(jī)系統(tǒng),2014, 35(04):906-910. ZHAO Ying,FAN Xiao-ping,ZHOU Fang-fang,et al.Research on Visual Analysis Method of Multi Source Network Security Data Sequence[J].Journal of Chinese Computer Systems,2014,35(04):906-910.

[3] Goodall J R.Introduction to Visualization for Computer Security[C].Proceedings of the Workshop on Visualization for Computer Security(VizSEC 07),2008:1-17.

[4] Liao Q,Shi L,Wang C.Visual Analysis of Large-scale Network Anomalies[J].IBM Journal of Research and Dev elopment,2013,57(03/04):1-13.

[5] Kulsoom Abdullah,Chris Lee,Gregory Conti,et al.Visualizing Network Data for Intrusion Detection[M].Los Alamitos:IEEE Computer Society Press,2005:100-108.

[6] 趙穎,樊曉平,周芳芳等.大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J].計(jì)算機(jī)科學(xué)與探索,2014,8(07):848-857. ZHAO Ying,FAN Xiao-ping,ZHOU Fang-fang,et al.Research on The Collaborative Visual Analysis Method for Large Scale Network Security Data[J].Journal of Frontiers of Computer Science and Technology,2014,8(07):848-857.

[7] 姚鑫,宣蕾.基于平行坐標(biāo)的網(wǎng)絡(luò)安全態(tài)勢(shì)可視化[J].信息安全與通信保密,2011,9(08):67-71. YAO Xin,XUAN Lei.Visualization of Network Security Situation based on Parallel Coordinates[J].Information Security and Communications Privacy,2011,9(08):67-71.

[8] Mansmann F,Keim D A,North S C,et al.Visual Analysis of Network Traffic for Resource Planning, Interactive Monitoring,and Interpretation of Security Threats[J]. IEEE Transactions on Visualization and Computer Graphics,2007,13(06):1105-1112.

[9] Xiao L,Gerth J,Hanrahan P.Enhancing Visual Analysis of Network Traffic Using a Knowledge Representation[M].Los Alamitos:IEEE Computer Society Press,2006:107-114.

[10] Zhao Y,Liang X,Wang Y,et al.MVSec:A Novel Multiview Visualization System for Network Security[M].Los Alamitos:IEEE Computer Society Press,2013:7-8.

[11] YIN Xian-xin,YUREIK William,SLAGELL Adam.The Design of VisFlowConnect-IP:A Link Analysis System for IP Security Situational Awareness[C].IWIA,2005:212-223.

Network-Security-Data Analysis and Research Implemented by Combining Multiple Visulization Technologies

LIAO Yu-ting
(Geographic Spatial Information Institute of PLA Information Engineering University, Zhengzhou Henan 450000, China)

Network security visualization, as an important part of network security reaearch, could provide a new method for network security officer to visually analyze the network structure and identify the abnormity of network security. In view of large amount of log data for network monitoring and high dimension, the visualization of network security analysis method is studied and verified. With network topology, scatter diagram, histogram, parallel coordinate and other visualization methods, the visual analysis could be done on network architecture, abnormal behavior, and communication mode. The experiment with the data of China Vis2016 challenge verifies the above visualization methods, and also indicates that the above several visual methods can give solutions for different problems, and thus are feasible and effective for visual analysis of network security data.

network topology; scatter diagram; parallel coordinate; visualization analysis; network security

TP393.08

A

1002-0802(2016)-12-1680-06

10.3969/j.issn.1002-0802.2016.12.020

2016-08-22

2016-11-19 Received date:2016-08-22;Revised date:2016-11-19

國家自然科學(xué)基金（No.41371383）

Foundation Item:National Natural Science Foundation of China(No.41371383)

廖雨婷（1988—），女，碩士，助教，主要研究方向?yàn)榫W(wǎng)絡(luò)態(tài)勢(shì)可視化。