袁 斌, 鄒德清, 金 海

華中科技大學(xué) 服務(wù)計(jì)算技術(shù)與系統(tǒng)教育部重點(diǎn)實(shí)驗(yàn)室 集群與網(wǎng)格計(jì)算湖北省重點(diǎn)實(shí)驗(yàn)室 武漢 中國 430074

網(wǎng)絡(luò)安全可視化綜述

袁 斌, 鄒德清, 金 海

華中科技大學(xué) 服務(wù)計(jì)算技術(shù)與系統(tǒng)教育部重點(diǎn)實(shí)驗(yàn)室 集群與網(wǎng)格計(jì)算湖北省重點(diǎn)實(shí)驗(yàn)室 武漢 中國 430074

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展, 網(wǎng)絡(luò)滲入到人們生活的方方面面。一方面, 電子商務(wù)、社交網(wǎng)絡(luò)、線上娛樂、信息化辦公等各種網(wǎng)絡(luò)應(yīng)用為人們的生活帶來了諸多便利; 另一方面, 網(wǎng)絡(luò)與人們生活的不可分割性為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪提供了可乘之機(jī)。攻擊者通過各種各樣的網(wǎng)絡(luò)攻擊獲取他人隱私, 牟取非法利益。近年來, 網(wǎng)絡(luò)攻擊的數(shù)量越來越多, 攻擊的規(guī)模越來越大, 攻擊的復(fù)雜度也越來越高。因此, 網(wǎng)絡(luò)安全比以往任何時(shí)期都顯得重要。然而傳統(tǒng)的網(wǎng)絡(luò)安全保障機(jī)制, 如入侵檢測, 防御系統(tǒng), 網(wǎng)絡(luò)防火墻等, 因其智能性、動(dòng)態(tài)性、全局性等的缺乏, 都不足以應(yīng)對越發(fā)復(fù)雜和高強(qiáng)度的網(wǎng)絡(luò)攻擊。因此, 網(wǎng)絡(luò)安全可視化應(yīng)運(yùn)而生, 成為近年來網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)。與傳統(tǒng)網(wǎng)絡(luò)安全保障機(jī)制不同, 網(wǎng)絡(luò)安全可視化技術(shù)不僅能有效處理海量網(wǎng)絡(luò)數(shù)據(jù)信息, 捕獲網(wǎng)絡(luò)的全局態(tài)勢, 而且能通過對圖形圖像模式的分析幫助網(wǎng)絡(luò)管理人員快速識別潛在的攻擊和異常事件, 即時(shí)預(yù)測安全事件, 甚至是發(fā)現(xiàn)新的攻擊類型?？梢暬夹g(shù)為網(wǎng)絡(luò)安全研究方法帶來了變革, 優(yōu)秀的網(wǎng)絡(luò)安全可視化方案層出不窮。網(wǎng)絡(luò)安全可視化建立在對網(wǎng)絡(luò)數(shù)據(jù)分析的基礎(chǔ)之上, 網(wǎng)絡(luò)數(shù)據(jù)對網(wǎng)絡(luò)安全分析十分重要, 而大數(shù)據(jù)時(shí)代的到來進(jìn)一步凸顯了數(shù)據(jù)的重要性。因此, 本文從數(shù)據(jù)角度出發(fā), 根據(jù)所處理的網(wǎng)絡(luò)數(shù)據(jù)的類型, 對網(wǎng)絡(luò)安全可視化工作進(jìn)行系統(tǒng)的整理、分類和對比。此外, 本文還深入分析網(wǎng)絡(luò)安全可視化研究面臨的挑戰(zhàn)并探討未來該領(lǐng)域的研究方向。

可視化技術(shù); 網(wǎng)絡(luò)安全; 安全可視化

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和普及, 網(wǎng)絡(luò)滲入到了人們生活的方方面面。電子商務(wù)、社交網(wǎng)絡(luò)、線上娛樂、信息化辦公等各種網(wǎng)絡(luò)應(yīng)用為人們的生活帶來了諸多便利。與此同時(shí), 網(wǎng)絡(luò)在人們?nèi)粘Ｉ畹娜鏉B透為惡意網(wǎng)絡(luò)用戶提供了可乘之機(jī)。近年來, 網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪層出不窮。攻擊者通過各種不同的攻擊方式, 獲取隱私信息、造成網(wǎng)絡(luò)公共設(shè)施癱瘓、牟取非法利益。更嚴(yán)重的是, 隨著技術(shù)的發(fā)展和普及, 網(wǎng)絡(luò)攻擊的門檻越來越低, 攻擊數(shù)量越來越多, 攻擊強(qiáng)度也越來越大。網(wǎng)絡(luò)攻擊不僅能夠造成巨大的經(jīng)濟(jì)損失, 甚至能威脅到國防安全。因此, 網(wǎng)絡(luò)安全已經(jīng)成為信息基礎(chǔ)建設(shè)的重要組成部分, 不僅關(guān)系到民眾生活, 而且關(guān)系到社會(huì)穩(wěn)定, 國家存亡。

然而, 傳統(tǒng)網(wǎng)絡(luò)安全保障機(jī)制存在諸多不足,難以應(yīng)付日趨復(fù)雜的網(wǎng)絡(luò)攻擊。如, 殺毒軟件不能抵御網(wǎng)絡(luò)攻擊; 防火墻技術(shù)缺乏動(dòng)態(tài)性, 且無法處理來自內(nèi)部網(wǎng)絡(luò)的攻擊; 入侵檢測與防御系統(tǒng)則有著高誤報(bào)率等缺陷[1]。此外, 傳統(tǒng)網(wǎng)絡(luò)安全保障機(jī)制還存在缺乏全局視角、交互性差、無法提前預(yù)測等不足。

在這種情況下, 網(wǎng)絡(luò)安全可視化應(yīng)運(yùn)而生。與傳統(tǒng)網(wǎng)絡(luò)安全保障機(jī)制不同, 網(wǎng)絡(luò)安全可視化技術(shù)不僅能有效處理海量網(wǎng)絡(luò)數(shù)據(jù)信息, 捕獲網(wǎng)絡(luò)的全局態(tài)勢, 而且能幫助網(wǎng)絡(luò)管理人員通過對圖形圖像的分析來快速識別潛在的攻擊和異常事件, 即時(shí)預(yù)測安全事件, 甚至發(fā)現(xiàn)新的攻擊類型。例如, 網(wǎng)絡(luò)入侵檢測通常會(huì)產(chǎn)生大量的警報(bào)信息, 對這些警報(bào)信息的傳統(tǒng)分析方法需要耗費(fèi)管理員大量的精力, 且容易出錯(cuò)。而可視化技術(shù)可以把不可見的抽象的警報(bào)信息轉(zhuǎn)換成直觀的便于理解的圖像信息, 極大地方便管理員對警報(bào)信息的分析, 從而快速掌握網(wǎng)絡(luò)動(dòng)態(tài), 識別網(wǎng)絡(luò)異常。

網(wǎng)絡(luò)安全可視化系統(tǒng)的處理流程通?？梢苑譃?網(wǎng)絡(luò)數(shù)據(jù)源選取; 數(shù)據(jù)分析處理; 圖形化顯示; 用戶交互等步驟。網(wǎng)絡(luò)安全可視化系統(tǒng)在選取數(shù)據(jù)源并對數(shù)據(jù)進(jìn)行分析的基礎(chǔ)上, 將抽象的網(wǎng)絡(luò)數(shù)據(jù)以圖形的方式展現(xiàn)出來, 從而幫助分析人員更直觀、準(zhǔn)確地分析網(wǎng)絡(luò)狀況, 識別網(wǎng)絡(luò)異常并預(yù)測網(wǎng)絡(luò)發(fā)展趨勢。

網(wǎng)絡(luò)安全可視化是可視化技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用, 因其在全局性、高交互性、智能性等方面的優(yōu)勢, 迅速成為了網(wǎng)絡(luò)安全研究的熱點(diǎn)之一。然而,網(wǎng)絡(luò)安全可視化是一個(gè)新型的尚處在發(fā)展階段的研究領(lǐng)域, 在關(guān)鍵技術(shù)和基礎(chǔ)理論的研究上還有很多問題亟待解決。

因此, 本文從數(shù)據(jù)角度--網(wǎng)絡(luò)安全可視化技術(shù)的基礎(chǔ)--出發(fā), 根據(jù)所處理的網(wǎng)絡(luò)數(shù)據(jù)源的類型, 對網(wǎng)絡(luò)安全可視化工作進(jìn)行系統(tǒng)的整理、分類和對比。此外, 本文還深入分析網(wǎng)絡(luò)安全可視化研究面臨的挑戰(zhàn)并探討未來該領(lǐng)域的研究方向。筆者希望通過對現(xiàn)有工作的系統(tǒng)的整理和對未來研究方向的探討,來吸引更多的學(xué)者參與該領(lǐng)域的研究, 共同促進(jìn)網(wǎng)絡(luò)安全可視化的發(fā)展, 進(jìn)一步豐富網(wǎng)絡(luò)安全研究內(nèi)容, 強(qiáng)化網(wǎng)絡(luò)安全保障。

2 網(wǎng)絡(luò)數(shù)據(jù)源

網(wǎng)絡(luò)安全可視化的第一步是選取合適的網(wǎng)絡(luò)數(shù)據(jù)源并對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析, 在此基礎(chǔ)上, 來完成后續(xù)的圖形展示和交互操作。因此, 網(wǎng)絡(luò)數(shù)據(jù)源是網(wǎng)絡(luò)安全可視化的基礎(chǔ)。

另一方面, 目前的網(wǎng)絡(luò)安全可視化系統(tǒng)有著很多不同的目標(biāo), 如態(tài)勢感知、網(wǎng)絡(luò)取證、主機(jī)異常行為檢測、BGP異常檢測等。有著不同目標(biāo)的系統(tǒng)需要對不同的網(wǎng)絡(luò)事件、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)屬性等進(jìn)行分析。而不同類型的網(wǎng)絡(luò)數(shù)據(jù)源則為這些系統(tǒng)提供了不同的網(wǎng)絡(luò)信息。正是豐富的網(wǎng)絡(luò)數(shù)據(jù)源類型使得網(wǎng)絡(luò)安全可視化系統(tǒng)有著多方面的應(yīng)用。

目前網(wǎng)絡(luò)安全可視化系統(tǒng)中常用的網(wǎng)絡(luò)數(shù)據(jù)源可分為以下幾種:

1)網(wǎng)絡(luò)流量數(shù)據(jù)。網(wǎng)絡(luò)流量數(shù)據(jù)通常包含完整的網(wǎng)絡(luò)數(shù)據(jù)包, 可以通過TCPDUMP[3], WIRESHARK[4]等軟件進(jìn)行獲取。

2) NetFlow。NetFlow由思科提出, 能提供網(wǎng)絡(luò)流量的會(huì)話級視圖。它雖然不提供網(wǎng)絡(luò)流量的完整記錄, 但具有更有易于管理和易讀的優(yōu)勢。

3)日志。幾乎網(wǎng)絡(luò)中的所有設(shè)備都能提供日志數(shù)據(jù)。因此, 基于日志數(shù)據(jù)的分析的網(wǎng)絡(luò)安全可視化系統(tǒng)十分常見。

4)網(wǎng)絡(luò)中間設(shè)備的輸出數(shù)據(jù)。網(wǎng)絡(luò)中間設(shè)備在網(wǎng)絡(luò)中廣泛部署, 其輸出數(shù)據(jù)也是網(wǎng)絡(luò)安全可視化系統(tǒng)的重要的數(shù)據(jù)來源之一, 如入侵檢測系統(tǒng)的警報(bào)信息等。

5)其他數(shù)據(jù)。除了上述數(shù)據(jù)源外, 還有如網(wǎng)絡(luò)拓?fù)湫畔? AS屬性與關(guān)系信息, BGP/IGP信息等數(shù)據(jù)源。這些數(shù)據(jù)也常被網(wǎng)絡(luò)安全可視化系統(tǒng)使用來協(xié)助網(wǎng)絡(luò)管理員分析網(wǎng)絡(luò)。

3 網(wǎng)絡(luò)安全可視化工作分類

網(wǎng)絡(luò)安全可視化離不開網(wǎng)絡(luò)數(shù)據(jù), 沒有網(wǎng)絡(luò)數(shù)據(jù), 網(wǎng)絡(luò)安全的可視化就無法進(jìn)行。因此, 網(wǎng)絡(luò)數(shù)據(jù)源在網(wǎng)絡(luò)安全可視化的流程中, 起著基石的作用。一方面, 如第2章所述, 不同類型的網(wǎng)絡(luò)數(shù)據(jù)包含了不同的網(wǎng)絡(luò)信息, 為網(wǎng)絡(luò)安全可視化在不同方面的應(yīng)用提供了基礎(chǔ)。另一方面, 隨著大數(shù)據(jù)時(shí)代的到來,數(shù)據(jù)在信息行業(yè)顯得越來越重要。必然, 網(wǎng)絡(luò)數(shù)據(jù)在網(wǎng)絡(luò)安全可視化中也會(huì)愈發(fā)顯得重要。因此, 下文將從數(shù)據(jù)角度出發(fā), 以所使用的網(wǎng)絡(luò)數(shù)據(jù)源的類型為分類依據(jù), 來回顧現(xiàn)有網(wǎng)絡(luò)安全可視化工作, 闡述網(wǎng)絡(luò)安全可視化的研究現(xiàn)狀。

3.1 網(wǎng)絡(luò)流量數(shù)據(jù)

Keim等人[5]提出Radial Traffic Analyzer系統(tǒng)來對網(wǎng)絡(luò)流量進(jìn)行可視化分析。如圖1所示, 該系統(tǒng)通過同心圓的方式對網(wǎng)絡(luò)流量的源/目的IP地址和源/目的端口進(jìn)行可視化, 從而協(xié)助分析人員監(jiān)控網(wǎng)絡(luò)流量, 捕捉網(wǎng)絡(luò)通信模式并識別流量類型。此外, 通過使用時(shí)間軸, 該系統(tǒng)還能展示網(wǎng)絡(luò)流量隨時(shí)間變化的趨勢。

圖1 Radial Traffic Analyzer[5], 用4層同心圓對源IP地址, 目的IP地址, 源端口, 目的端口進(jìn)行可視化

VISUAL[6]系統(tǒng)被設(shè)計(jì)用來監(jiān)控內(nèi)部網(wǎng)絡(luò)。在該系統(tǒng)中, 內(nèi)部節(jié)點(diǎn)用網(wǎng)格的方式來表示, 網(wǎng)格中的每一個(gè)方格表示一個(gè)內(nèi)部主機(jī); 外部資源則在網(wǎng)格外部用方塊表示; 用連接內(nèi)部方格和外部方塊的直線表示訪問行為; 外部方塊的大小指示訪問行為的強(qiáng)度。通過這種可視化, VISUAL系統(tǒng)可以非常有效地展示當(dāng)前內(nèi)部監(jiān)控網(wǎng)絡(luò)和外部資源之間的訪問模式, 幫助分析人員快速直觀地理解所監(jiān)控網(wǎng)絡(luò)內(nèi)發(fā)生的網(wǎng)絡(luò)事件。

Xiao[7]等人把網(wǎng)絡(luò)流量可視化與陳述式知識表達(dá)法相結(jié)合, 通過迭代的方式, 來發(fā)現(xiàn)網(wǎng)絡(luò)攻擊模式。如圖2所示, 系統(tǒng)分析分為3步。首先, 用基于可視化的已知知識來發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)中的模式; 一旦發(fā)現(xiàn)了某種模式, 分析人員為該模式建立一個(gè)模型;然后把該模型添加到知識庫完成知識庫的更新以便在以后的分析中利用該新模型。

Mansmann[8]等人提出一個(gè)可交互的具有TreeMap布局的網(wǎng)絡(luò)地圖可視化系統(tǒng)。在實(shí)際中, 往往在單個(gè)任務(wù)中無法一次查看整個(gè)IP地址空間。因此, 該系統(tǒng)對IP地址空間進(jìn)行分層處理。這種對IP地址的前綴(如AS域, 國家, 大陸等)進(jìn)行分層的處理使得大規(guī)模網(wǎng)絡(luò)的可視化成為可能, 從而可以很直觀方便地對感興趣的流量數(shù)據(jù)進(jìn)行分析。

圖2 系統(tǒng)[7]的迭代式分析步驟。

圖3 TNV[9]系統(tǒng)用7個(gè)顯示區(qū)域?qū)s90分鐘內(nèi)的50000個(gè)數(shù)據(jù)包進(jìn)行可視化

Goodall等人[9]認(rèn)為在網(wǎng)絡(luò)數(shù)據(jù)包級別進(jìn)行入侵檢測時(shí), 分析人員往往因?yàn)檫^分關(guān)注底層細(xì)節(jié)而缺少全局考慮。為了避免這種上下文信息的缺失, 系統(tǒng)TNV[9]被設(shè)計(jì)用來進(jìn)行基于時(shí)序的網(wǎng)絡(luò)流量分析。如圖3所示, TNV系統(tǒng)主要包含7個(gè)顯示區(qū)域: 1)矩形主窗口; 2)基于數(shù)據(jù)統(tǒng)計(jì)的導(dǎo)航; 3)圖中各圖標(biāo)的意義; 4)選定主機(jī)(圖中主機(jī)A)的所有數(shù)據(jù)包的列表; 5)從區(qū)域4)中選定行的數(shù)據(jù)包的細(xì)節(jié)描述; 6)過濾面板; 7)端口活動(dòng)統(tǒng)計(jì)。

Cappers等人[10]指出僅僅基于對上層網(wǎng)絡(luò)流相關(guān)屬性分析的網(wǎng)絡(luò)流量分析系統(tǒng)不足以應(yīng)付針對目標(biāo)網(wǎng)絡(luò)進(jìn)行過專門設(shè)計(jì)的攻擊, 如APT攻擊。要檢測這類攻擊, 深度數(shù)據(jù)包檢查和異常檢測必不可少。為了協(xié)助安全分析人員判斷消息層的異常是否會(huì)威脅到網(wǎng)絡(luò)層的安全, Cappers等人提出SNAPS系統(tǒng)。如圖4所示, 在該系統(tǒng)中, 安全分析人員使用總況信息圖表來對其感興趣部分進(jìn)行檢測警報(bào)。檢測到警報(bào)后, 分析人員可以根據(jù)其位置和取值來獲取更多信息?；诰瘓?bào)的取值和屬性的情況, 分析人員評估該警報(bào)的嚴(yán)重程度, 然后做出決定, 如忽略該警報(bào),重新修改分類器以不再顯示該警報(bào)等。

圖4 SNAPS[10]工作流程。

3.2 NetFlow

NVisionIP[11]系統(tǒng)使用NetFLow數(shù)據(jù)在單一屏幕上對B類網(wǎng)絡(luò)的流量進(jìn)行可視化來增強(qiáng)分析人員對網(wǎng)絡(luò)的態(tài)勢感知。該系統(tǒng)用一個(gè)256x256的矩陣來表示整個(gè)B類網(wǎng)絡(luò), 矩陣的每個(gè)單元表示相關(guān)網(wǎng)絡(luò)主機(jī)的交互。如圖5所示, 系統(tǒng)還提供放大功能, 讓用戶對感興趣的部分進(jìn)行放大, 通過柱狀圖等來進(jìn)一步提供相關(guān)信息, 如端口活動(dòng)狀態(tài)等。

NetBytes Viewer[12]系統(tǒng)利用NetFLow數(shù)據(jù)來幫助分析人員對單個(gè)主機(jī)行為進(jìn)行詳細(xì)的檢查。NetBytes Viewer系統(tǒng)通過對每個(gè)端口的流量隨時(shí)間變化情況的展示, 使得分析人員能基于非正常的端口使用或流量大小的變化等信息來判斷主機(jī)行為的變化, 進(jìn)而識別入侵行為。

圖5 NVisionIP[11]的放大功能。

VizFlowConnect[13]系統(tǒng)借助平行軸來對內(nèi)部主機(jī)和外部主機(jī)之間的流量進(jìn)行可視化。如圖6所示,系統(tǒng)中主窗口中包含3條平行軸: 中間的軸線表示內(nèi)部主機(jī); 左邊軸線表示向內(nèi)部主機(jī)發(fā)送數(shù)據(jù)的機(jī)器; 右邊軸線表示內(nèi)部主機(jī)發(fā)送數(shù)據(jù)的目的機(jī)器。軸線上的點(diǎn)表示一個(gè)主機(jī), 而點(diǎn)之間的連線表示主機(jī)之間的通訊連接。VizFlowConnect系統(tǒng)能有效地協(xié)助網(wǎng)絡(luò)管理人員發(fā)現(xiàn)內(nèi)部機(jī)器與外部機(jī)器之間的異常流量。

圖6 VizFloeConnect[13]的放大功能。

NFLowVis[14]系統(tǒng)使用一個(gè)關(guān)系數(shù)據(jù)庫系統(tǒng)來分析NetFlow數(shù)據(jù), 其設(shè)計(jì)目標(biāo)是快速對通信模式進(jìn)行可視化。NFLowVis采用TreeMap來對所監(jiān)控的網(wǎng)絡(luò)進(jìn)行映射。該系統(tǒng)能幫助安全分析人員評估警報(bào)信息之間的相關(guān)性、發(fā)現(xiàn)大規(guī)模分布式攻擊以及分析網(wǎng)絡(luò)內(nèi)部相關(guān)服務(wù)的使用情況。

PortVis[15]系統(tǒng)利用不同顏色的網(wǎng)格來把網(wǎng)絡(luò)活動(dòng)映射到對應(yīng)的方格。該系統(tǒng)用一個(gè)256x256的網(wǎng)格來表示65536個(gè)可能的端口。每個(gè)方格的顏色變化表示對應(yīng)的端口活動(dòng)的變化情況。黑色表示沒有變化, 藍(lán)色表示較小的變化, 紅色表示較大的變化而白色表示極大的變化。此外, 每個(gè)網(wǎng)格還能被放大來顯示更多的相關(guān)信息。該系統(tǒng)能很直觀地顯示端口的活動(dòng)變化情況, 然而其不足之處在于, 當(dāng)異常的端口周圍都是正常且變化較大的端口時(shí), 該異常端口將很難被發(fā)現(xiàn)。

3.3 日志

Tudumi[16]是較早的利用日志數(shù)據(jù)對網(wǎng)絡(luò)安全進(jìn)行可視化的系統(tǒng)之一。如圖7所示, Tudumi系統(tǒng)采用3D可視化技術(shù), 用3D圖符表示系統(tǒng)節(jié)點(diǎn), 用線條表示連接, 不同的線形表示不同的連接模式, 如粗虛線表示終端服務(wù)而細(xì)虛線表示文件傳輸?shù)取?/p>

圖7 Tudumi[16]系統(tǒng)的3D可視化。

Erbacher等人[17]也設(shè)計(jì)了基于日志數(shù)據(jù)的網(wǎng)絡(luò)安全可視化系統(tǒng)。在其系統(tǒng)中, 主機(jī)被5個(gè)同心圓包圍(所監(jiān)控的服務(wù)在最中間)。由不同節(jié)點(diǎn)構(gòu)成的圓環(huán)表示其與所監(jiān)控系統(tǒng)的IP地址的差異。此外, 系統(tǒng)還附加了許多其他可視化屬性來表征網(wǎng)絡(luò)信息, 如不同的線形表示不同類型的連接, 連接線的數(shù)目表示所連接的用戶數(shù)目等。

ELVIS系統(tǒng)[18]是一個(gè)能支持多種日志類型的網(wǎng)絡(luò)安全可視化系統(tǒng)。如圖8所示, ELVIS系統(tǒng)能導(dǎo)入多個(gè)不同類型的日志數(shù)據(jù)文件, 為安全分析人員提供充分的信息展示。即使是沒有任何可視化技術(shù)背景的分析人員, 也能很好地利用該系統(tǒng)進(jìn)行安全性分析。

圖8 基于所選字段, ELVIS [18]自動(dòng)選取多種表征。

為了更好的了解針對Web服務(wù)器的攻擊, Alsaleh等人[19]設(shè)計(jì)了一個(gè)開源的對基于PHP的Web應(yīng)用進(jìn)行入侵檢測和保護(hù)的系統(tǒng)。該系統(tǒng)把PHPIDS日志與相應(yīng)的Web服務(wù)器的日志聯(lián)合起來,對網(wǎng)絡(luò)安全事件進(jìn)行可視化。系統(tǒng)利用多種視圖,如樹形視圖, 環(huán)狀視圖以及條形視圖等, 從不同角度對安全事件進(jìn)行可視化展示, 向網(wǎng)絡(luò)管理人員提供細(xì)粒度的可視化查詢功能, 以協(xié)助其發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。

CORGI[20]是一個(gè)面向安全的日志可視化工具。使用該工具, 安全分析人員可以通過相關(guān)性表述和全局過濾來把多個(gè)或多種日志數(shù)據(jù)連接在一起進(jìn)而發(fā)現(xiàn)安全事件。通過在一個(gè)日志文件中指定感興趣的內(nèi)容, 該工具能協(xié)助分析人員在其他日志文件中檢查相關(guān)內(nèi)容, 使得分析人員能更好的了解攻擊事件的相關(guān)性甚至是重構(gòu)攻擊場景。

CORGI系統(tǒng)[21]通過處理多種網(wǎng)絡(luò)日志文件(如IPS日志, 主機(jī)狀態(tài)日志等)來幫助網(wǎng)絡(luò)安全分析人員快速獲取網(wǎng)絡(luò)狀態(tài)信息。導(dǎo)入數(shù)據(jù)后, CORGI系統(tǒng)能在多維度上進(jìn)行網(wǎng)絡(luò)狀態(tài)的可視化展示, 如瞬時(shí)網(wǎng)絡(luò)狀態(tài), IP連接狀態(tài)等。此外, 如圖9所示, 分析人員能利用該系統(tǒng)獲取其他分析人員發(fā)現(xiàn)的結(jié)論或上傳自己發(fā)現(xiàn)的結(jié)論。系統(tǒng)所提供的相互協(xié)作的功能可以幫助安全分析人員有效的發(fā)現(xiàn)微小的網(wǎng)絡(luò)安全事件以及多步驟的網(wǎng)絡(luò)安全攻擊。

圖9 CORGI[21]系統(tǒng)工作流程。

網(wǎng)絡(luò)日志文件往往包含很多行數(shù), 這使得查看網(wǎng)絡(luò)日志時(shí)候的導(dǎo)航、概況描述以及快速進(jìn)行模式識別變得十分復(fù)雜, 尤其是人工處理時(shí)。因此, Stange等人提出Visual Filter系統(tǒng)。如圖10所示,該系統(tǒng)能對整個(gè)網(wǎng)絡(luò)日志文件進(jìn)行總況展示, 同時(shí)提供可視化過濾接口和導(dǎo)航, 從而幫助安全分析人員快速過濾和定位感興趣的網(wǎng)絡(luò)事件, 進(jìn)而快速識別網(wǎng)絡(luò)模式和網(wǎng)絡(luò)異常事件。

3.4 網(wǎng)絡(luò)中間設(shè)備的輸出數(shù)據(jù)

網(wǎng)絡(luò)入侵檢測設(shè)備被廣泛應(yīng)用在網(wǎng)絡(luò)中, 其檢測結(jié)果能被用來分析網(wǎng)絡(luò)安全狀態(tài)。NIVA[23]系統(tǒng)就通過對多個(gè)入侵檢測設(shè)備的檢測結(jié)果數(shù)據(jù)進(jìn)行分析,利用不同顏色和連接線來對網(wǎng)絡(luò)攻擊進(jìn)行可視化。如圖11所示, NIVA系統(tǒng)由一個(gè)3D渲染窗口和圖形交互界面組成。3D渲染窗口中, 根據(jù)IP地址決定圖元的位置, 而其連線的不同顏色表示不同的強(qiáng)度的攻擊。

圖10 Visual Filter[22]: 選定IP的所有出現(xiàn)情況。

圖11 NIVA[23]: 3D渲染窗口與交互界面。

為了展示網(wǎng)絡(luò)攻擊中攻擊者的IP地址, Koike等人設(shè)計(jì)了IP Matrix[24]系統(tǒng)。在該系統(tǒng)中, 作者使用兩個(gè)256x256的矩陣來(分別在Internet級和本地級)表示攻擊者的IP地址。通過讀取入侵檢測器的檢測結(jié)果, 把每一個(gè)警報(bào)信息都映射到矩陣中對應(yīng)方格的像素, 再對像素進(jìn)行顏色編碼來表示攻擊的不同屬性。

在大型網(wǎng)絡(luò)中, 入侵檢測系統(tǒng)往往會(huì)產(chǎn)生超大量的警報(bào)信息。網(wǎng)絡(luò)管理員在人工分析這些信息時(shí)往往會(huì)漏掉某些重要的細(xì)節(jié)或是難以從全局角度獲取網(wǎng)絡(luò)的狀態(tài)信息。為了解決該問題, Abdullah等人設(shè)計(jì)了IDS RainStorm[25]系統(tǒng)。該系統(tǒng)把警報(bào)信息以總況表的方式進(jìn)行可視化展示, 使得網(wǎng)絡(luò)管理員能很好地掌握網(wǎng)絡(luò)的全局狀態(tài)并發(fā)現(xiàn)攻擊。此外, 系統(tǒng)提供的縮放功能, 可以讓網(wǎng)絡(luò)管理人員進(jìn)一步獲取相關(guān)網(wǎng)絡(luò)事件的詳盡信息。

Livnat[26]等人認(rèn)為網(wǎng)絡(luò)警報(bào)信息包含3個(gè)方面的屬性: 何種, 何時(shí), 何地。作者從這3個(gè)屬性出發(fā), 對網(wǎng)絡(luò)警報(bào)進(jìn)行可視化展示和對比。在該可視化系統(tǒng)中, 本地網(wǎng)絡(luò)拓?fù)淇梢暬瘏^(qū)域的中間進(jìn)行展示, 外圍的同心圓表示各種不同的警報(bào)。同心圓的深度表示不同的時(shí)間, 不同的類型的警報(bào)用不同的顏色標(biāo)記, 警報(bào)與本地主機(jī)之間的連線表示該主機(jī)上觸發(fā)了該警報(bào), 較細(xì)的線表示較多數(shù)量的同類型的警報(bào),而內(nèi)部節(jié)點(diǎn)越大則表示該節(jié)點(diǎn)上觸發(fā)了與其他節(jié)點(diǎn)不同的類型的警報(bào)。圖12是用該系統(tǒng)對多個(gè)主機(jī)遭受多種攻擊的情況的可視化結(jié)果。

圖12 對警報(bào)信息的可視化[26]

網(wǎng)絡(luò)中間設(shè)備被廣泛部署在網(wǎng)絡(luò)中, 完成網(wǎng)絡(luò)監(jiān)控、狀態(tài)管理、功能實(shí)現(xiàn)等不同功能。因此, 其輸出數(shù)據(jù)包含了網(wǎng)絡(luò)的很多方面的信息。故其在網(wǎng)絡(luò)安全分析中起著非常重要的作用。正因如此, 網(wǎng)絡(luò)中間設(shè)備數(shù)據(jù)被廣泛應(yīng)用在網(wǎng)絡(luò)安全可視化系統(tǒng)中,如Avisa[27], SnortView[28], Spiralview[29]等。網(wǎng)絡(luò)管理員利用這些系統(tǒng)能更方便快速得完成獲取網(wǎng)絡(luò)狀態(tài),分析網(wǎng)絡(luò)安全威脅, 識別網(wǎng)絡(luò)異常等任務(wù)。

3.5 其他數(shù)據(jù)源

除了上述4種典型網(wǎng)絡(luò)數(shù)據(jù)源之外, 許多其他網(wǎng)絡(luò)數(shù)據(jù)也被網(wǎng)絡(luò)安全可視化系統(tǒng)使用, 來從不同角度對網(wǎng)絡(luò)安全進(jìn)行可視化分析。

Ren[30]等人主要關(guān)注DNS協(xié)議相關(guān)的網(wǎng)絡(luò)攻擊,因此在其設(shè)計(jì)的系統(tǒng)中, DNS流量數(shù)據(jù)被用來進(jìn)行可視化和網(wǎng)絡(luò)安全分析。

網(wǎng)絡(luò)的路由行為是網(wǎng)絡(luò)事件分析的重點(diǎn)之一。在路由行為的可視化分析中, BGP相關(guān)的數(shù)據(jù)被廣泛采用, 如BGPlay[31], BGP Eye[32], LinkRank[33], BGPfuse[36]等。

此外, AS屬性與關(guān)系信息數(shù)據(jù)、網(wǎng)絡(luò)拓?fù)湫畔?shù)據(jù)、電子商務(wù)數(shù)據(jù)以及互聯(lián)網(wǎng)路由注冊信息數(shù)據(jù)等也在諸多網(wǎng)絡(luò)安全可視化系統(tǒng)[34],[35],[37]中被應(yīng)用。

3.6 多數(shù)據(jù)源

網(wǎng)絡(luò)是一個(gè)包含各種各樣不同設(shè)備的復(fù)雜系統(tǒng),不同的設(shè)備能提供不同的網(wǎng)絡(luò)數(shù)據(jù)。因此, 越來越多的網(wǎng)絡(luò)安全可視化系統(tǒng)不再僅僅使用單一的數(shù)據(jù)源來進(jìn)行分析, 使用多數(shù)據(jù)源的系統(tǒng)越來越多。利用多數(shù)據(jù)源, 能有效發(fā)現(xiàn)不同設(shè)備之間行為的相關(guān)性,這對發(fā)現(xiàn)復(fù)雜的, 多步驟的, 長潛伏期的網(wǎng)絡(luò)攻擊,如APT攻擊, 十分有用。

Ocelot[38]系統(tǒng)使用NetFlow、警報(bào)數(shù)據(jù)以及健康狀態(tài)數(shù)據(jù)來幫助安全分析人員進(jìn)行快速有效的決策制定和評估網(wǎng)絡(luò)威脅; PERCIVAL[39]系統(tǒng)綜合利用系統(tǒng)事件記錄數(shù)據(jù)、日志以及警報(bào)信息數(shù)據(jù)等評估系統(tǒng)應(yīng)對安全攻擊的能力; Legg[40]則利用用戶行為記錄數(shù)據(jù)、檢測結(jié)果等來進(jìn)行內(nèi)部威脅的檢測; NStreamAware[41]通過對NetFlow、數(shù)據(jù)流、系統(tǒng)日志消息等分析來協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)態(tài)勢感知; Hao[42]也通過對NetFlow、Snort警報(bào)數(shù)據(jù)等的分析來幫助網(wǎng)絡(luò)管理員進(jìn)行安全事件的調(diào)查。

4 網(wǎng)絡(luò)安全可視化面臨的挑戰(zhàn)與未來研究方向

網(wǎng)絡(luò)安全可視化將網(wǎng)絡(luò)安全分析與可視化技術(shù)結(jié)合起來, 將不可見的抽象的網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式展現(xiàn)出來, 并提供交互操作接口, 從而協(xié)助網(wǎng)絡(luò)安全分析員更直觀快速且準(zhǔn)確地獲取網(wǎng)絡(luò)狀態(tài)信息并識別網(wǎng)絡(luò)異常事件。網(wǎng)絡(luò)安全可視化是一個(gè)新型的尚處在發(fā)展階段的研究方向, 雖然目前已經(jīng)取得了不錯(cuò)的研究成果, 但是面對越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境, 越來越龐大的網(wǎng)絡(luò)數(shù)據(jù)和越來越高明的攻擊手段, 其在關(guān)鍵技術(shù)和基礎(chǔ)理論的研究上還有很多問題亟待解決。下文將從理論基礎(chǔ)、數(shù)據(jù)處理、應(yīng)用多樣性、概念延伸等四個(gè)方面分析網(wǎng)絡(luò)安全可視化研究面臨的挑戰(zhàn)并探討未來研究方向。

4.1 設(shè)計(jì)規(guī)范與理論基礎(chǔ)

目前, 網(wǎng)絡(luò)安全可視化系統(tǒng)缺乏統(tǒng)一的設(shè)計(jì)指導(dǎo)規(guī)范和理論基礎(chǔ)。不同系統(tǒng)的設(shè)計(jì)者僅僅是根據(jù)自己對網(wǎng)絡(luò)安全可視化需求的理解進(jìn)行系統(tǒng)的設(shè)計(jì),這就導(dǎo)致了五花八門的網(wǎng)絡(luò)安全可視化系統(tǒng)。對網(wǎng)絡(luò)安全可視化系統(tǒng)的整體設(shè)計(jì)而言, 這種系統(tǒng)的雜亂性會(huì)帶來諸多問題:

1)易用性。網(wǎng)絡(luò)安全可視化系統(tǒng)需要在網(wǎng)絡(luò)數(shù)據(jù)的各種屬性與圖形元素之間建立映射關(guān)系, 且圖形元素的不同屬性, 如顏色、大小、位置等, 還需要表達(dá)對應(yīng)網(wǎng)絡(luò)數(shù)據(jù)屬性的不同特征。由于缺乏設(shè)計(jì)規(guī)范, 不同系統(tǒng)采用了不同映射關(guān)系以及屬性表達(dá)方式, 這就使得用戶在不同系統(tǒng)之間的切換變得十分困難。用戶往往需要很長時(shí)間才能熟悉和掌握一個(gè)新系統(tǒng)的使用。亦即, 目前網(wǎng)絡(luò)安全可視化系統(tǒng)的易用性不佳, 需要提高。

2)擴(kuò)展性。網(wǎng)絡(luò)安全可視化系統(tǒng)需要在有限的區(qū)域內(nèi)(如顯示屏范圍內(nèi))進(jìn)行圖形圖像的展示。通常而言, 顯示范圍是有限且相對固定的, 而網(wǎng)絡(luò)規(guī)模以及要展示的網(wǎng)絡(luò)數(shù)據(jù)屬性的數(shù)量則是動(dòng)態(tài)變化的。目前的網(wǎng)絡(luò)安全可視化系統(tǒng)的可擴(kuò)展性較差: 當(dāng)需要展示的圖形元素增多時(shí), 往往會(huì)造成圖像擁擠,層疊甚至是無法完全顯示的后果。這不僅會(huì)嚴(yán)重影響用戶體驗(yàn), 而且會(huì)增加分析人員獲取相關(guān)網(wǎng)絡(luò)信息的耗時(shí), 不便于網(wǎng)絡(luò)狀態(tài)的即時(shí)獲取。因此, 建立設(shè)計(jì)規(guī)范和理論來指導(dǎo)網(wǎng)絡(luò)安全可視化系統(tǒng)的設(shè)計(jì)來解決可擴(kuò)展性問題也十分重要。

3)交互性。設(shè)計(jì)規(guī)范的缺失使得不同網(wǎng)絡(luò)安全可視化系統(tǒng)的交互設(shè)計(jì)也不盡相同。不同的交互設(shè)計(jì)同樣會(huì)帶來易用性不佳的問題, 更重要的是, 網(wǎng)絡(luò)安全分析員通過與系統(tǒng)的交互來完成對網(wǎng)絡(luò)數(shù)據(jù)的理解和分析, 交互性差的系統(tǒng)將嚴(yán)重影響安全分析員的工作效率。而現(xiàn)階段的網(wǎng)絡(luò)安全可視化系統(tǒng)往往是根據(jù)系統(tǒng)設(shè)計(jì)者的理解進(jìn)行交互操作設(shè)計(jì),缺乏對用戶需求的全面了解。不同的用戶對網(wǎng)絡(luò)安全有不同的側(cè)重點(diǎn), 這就意味著需要不同的交互操作來調(diào)取不同的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析。因此, 規(guī)范化且全面的交互設(shè)計(jì)在網(wǎng)絡(luò)安全可視化系統(tǒng)的設(shè)計(jì)中也是必不可少的。

4)評估方法。目前為止, 網(wǎng)絡(luò)安全可視化系統(tǒng)的評估方法僅僅靠少量用戶的使用反饋來進(jìn)行。這樣的評估方法具有極強(qiáng)的主觀性, 其可信度和可靠性都不高。網(wǎng)絡(luò)安全可視化要繼續(xù)發(fā)展, 就必須要有系統(tǒng)的統(tǒng)一的評估方法和衡量指標(biāo)。只有這樣, 才能對網(wǎng)絡(luò)安全可視化系統(tǒng)進(jìn)行客觀的評價(jià), 有了客觀的評估結(jié)果, 才能推動(dòng)系統(tǒng)設(shè)計(jì)朝著更好的方向發(fā)展。

設(shè)計(jì)規(guī)范和理論基礎(chǔ)的缺失導(dǎo)致了網(wǎng)絡(luò)安全可視化系統(tǒng)在易用性、擴(kuò)展性、交互設(shè)計(jì)和評估方法等方面的諸多不足。這些不足使得網(wǎng)絡(luò)安全可視化系統(tǒng)還不足以在真實(shí)環(huán)境中廣泛部署和使用。因此,網(wǎng)絡(luò)安全可視化要繼續(xù)發(fā)展, 在未來的研究工作中就必須要探討如何建立設(shè)計(jì)規(guī)范和理論基礎(chǔ)。

4.2 數(shù)據(jù)處理

網(wǎng)絡(luò)安全可視化以分析網(wǎng)絡(luò)數(shù)據(jù)為基礎(chǔ)。因此,數(shù)據(jù)的處理在網(wǎng)絡(luò)安全可視化中顯得至關(guān)重要。網(wǎng)絡(luò)安全可視化系統(tǒng)的不同目標(biāo)對數(shù)據(jù)的處理提出了不同的要求, 而大數(shù)據(jù)時(shí)代的到來又對數(shù)據(jù)的高效處理提出了新的挑戰(zhàn)。因此, 在網(wǎng)絡(luò)安全可視化系統(tǒng)中, 一個(gè)綜合的數(shù)據(jù)處理平臺(tái)(負(fù)責(zé)數(shù)據(jù)的采集、存儲(chǔ)、傳輸以及分析等工作)十分必要。下文將從數(shù)據(jù)的預(yù)處理、數(shù)據(jù)的正確性、數(shù)據(jù)處理與可視化的耦合度等幾方面進(jìn)行討論。

1)數(shù)據(jù)預(yù)處理。如前文所述(第2章), 網(wǎng)絡(luò)安全可視化需要處理許多不同種類的網(wǎng)絡(luò)數(shù)據(jù)。目前的系統(tǒng)通常只能處理某一個(gè)或某一類網(wǎng)絡(luò)數(shù)據(jù)。然而,網(wǎng)絡(luò)安全可視化系統(tǒng)要想在實(shí)際生產(chǎn)環(huán)境中得到廣泛部署和應(yīng)用就必須能處理各種不同種類的網(wǎng)絡(luò)數(shù)據(jù)。亦即需要對數(shù)據(jù)進(jìn)行預(yù)處理, 實(shí)現(xiàn)對各種數(shù)據(jù)的格式轉(zhuǎn)換、降低維度等處理, 以便于后續(xù)分析和可視化呈現(xiàn)。

2)數(shù)據(jù)的正確性。目前, 幾乎所有的研究工作都沒有考慮其所使用的網(wǎng)絡(luò)數(shù)據(jù)源是否正確可靠的問題。一旦所使用的數(shù)據(jù)源是錯(cuò)誤的, 那么之后的安全分析以及可視化結(jié)果都將是錯(cuò)誤的。而攻擊者完全有能力對網(wǎng)絡(luò)數(shù)據(jù)源進(jìn)行篡改, 如數(shù)據(jù)包截獲與修改、回滾攻擊、篡改審計(jì)日志等等[2]。因此, 在未來研究中, 必須對網(wǎng)絡(luò)數(shù)據(jù)源的正確性進(jìn)行驗(yàn)證和保護(hù)。

3)數(shù)據(jù)處理與可視化的耦合度。目前的網(wǎng)絡(luò)安全可視化系統(tǒng)中, 數(shù)據(jù)處理和可視化過程沒有明顯的界限, 耦合度較高。為了提高數(shù)據(jù)處理效率, 便于系統(tǒng)更新, 一種更高效的處理方式是對數(shù)據(jù)處理和可視化進(jìn)行解耦。由數(shù)據(jù)處理平臺(tái)統(tǒng)一進(jìn)行數(shù)據(jù)的處理, 再向可視化過程提供標(biāo)準(zhǔn)接口以完成圖形顯示和交互操作。這種解耦操作能帶來高效處理的同時(shí), 還可以讓網(wǎng)絡(luò)安全人員更關(guān)注安全數(shù)據(jù)處理而讓可視化技術(shù)人員更關(guān)注可視化設(shè)計(jì), 充分發(fā)揮各自的優(yōu)勢。

網(wǎng)絡(luò)數(shù)據(jù)處理是網(wǎng)絡(luò)安全可視化的第一步, 也是其基礎(chǔ)。而不同的數(shù)據(jù)類型、不同的應(yīng)用環(huán)境以及數(shù)據(jù)本身的高維度等特性對數(shù)據(jù)網(wǎng)絡(luò)安全可視化中的數(shù)據(jù)處理提出了很多挑戰(zhàn)。尤其是在大數(shù)據(jù)時(shí)代到來后, 數(shù)據(jù)和數(shù)據(jù)的有效處理愈顯重要。因此,搭建統(tǒng)一高效的、可解耦的數(shù)據(jù)處理平臺(tái)(如, 把大數(shù)據(jù)處理平臺(tái)整合到網(wǎng)絡(luò)安全可視化系統(tǒng)中)是提高網(wǎng)絡(luò)安全可視化系統(tǒng)能力的有效手段之一。

4.3 應(yīng)用多樣性

網(wǎng)絡(luò)的復(fù)雜性以及其在人們?nèi)粘Ｉ钪械娜鏉B透使得網(wǎng)絡(luò)安全可視化有著很多方面的應(yīng)用。目前, 各個(gè)獨(dú)立的系統(tǒng)往往有著明確的子應(yīng)用。而不同應(yīng)用對網(wǎng)絡(luò)安全可視化系統(tǒng)提出了不同的要求。

具體而言, 以網(wǎng)絡(luò)態(tài)勢感知為目標(biāo)的應(yīng)用要求網(wǎng)絡(luò)安全可視化系統(tǒng)具有極高的實(shí)時(shí)性; 當(dāng)網(wǎng)絡(luò)安全可視化被用于犯罪取證時(shí), 分析結(jié)果的正確性取代了實(shí)時(shí)性成為最為重要的要求; 當(dāng)在特定類型的網(wǎng)絡(luò)(如智能電網(wǎng), 無線傳感網(wǎng)絡(luò)等)里進(jìn)行安全可視化時(shí), 則必須要滿足該特性類型的網(wǎng)絡(luò)的要求, 如無線傳感網(wǎng)絡(luò)的各節(jié)點(diǎn)的處理能力有限等; 此外,幾乎目前所有的網(wǎng)絡(luò)安全可視化系統(tǒng)都需要人工介入, 這與信息產(chǎn)業(yè)的自動(dòng)化趨勢相違背。因此, 如何解決該矛盾也對網(wǎng)絡(luò)安全可視化提出了新要求。

應(yīng)用的多樣性必然導(dǎo)致對網(wǎng)絡(luò)安全可視化系統(tǒng)的要求多樣性和復(fù)雜性。如何滿足各種不同要求, 整合多種應(yīng)用, 是網(wǎng)絡(luò)安全可視化研究的必不可少的環(huán)節(jié)。

4.4 網(wǎng)絡(luò)安全可視化的概念延伸

目前的網(wǎng)絡(luò)安全可視化研究工作大都關(guān)注如何協(xié)助網(wǎng)絡(luò)安全分析人員更快速地識別網(wǎng)絡(luò)攻擊。因此, 系統(tǒng)往往是對與安全相關(guān)的事件的屬性, 如端口訪問記錄、IP地址、警告類型等, 進(jìn)行可視化展示。然后, 對于沒有專業(yè)背景知識的普通用戶而言, 這樣的可視化程度還不夠, 他們不足以從中感知到當(dāng)前自己所處網(wǎng)絡(luò)的安全態(tài)勢。

因此, 網(wǎng)絡(luò)安全可視化的概念可以延伸到可感知的網(wǎng)絡(luò)安全。即, 既為網(wǎng)絡(luò)安全分析人員進(jìn)行相關(guān)數(shù)據(jù)的圖形展示, 協(xié)助其分析網(wǎng)絡(luò), 又能使普通用戶感知到自己所處的網(wǎng)絡(luò)面臨什么樣的網(wǎng)絡(luò)威脅和受到了哪些安全保障服務(wù)。

可感知的網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)安全可視化概念的進(jìn)一步延伸, 除了應(yīng)該涵蓋現(xiàn)有網(wǎng)絡(luò)安全可視化系統(tǒng)的功能外, 還包括網(wǎng)絡(luò)脆弱性評估、網(wǎng)絡(luò)整體安全保障服務(wù)展示、網(wǎng)絡(luò)中軟件的安全性評估等功能?？筛兄木W(wǎng)絡(luò)安全將進(jìn)一步提升用戶(包括網(wǎng)絡(luò)安全分析人員和普通用戶)對網(wǎng)絡(luò)安全狀態(tài)的認(rèn)知,是對目前網(wǎng)絡(luò)安全可視化工作的一個(gè)很好的擴(kuò)展和補(bǔ)充。

5 結(jié)語

網(wǎng)絡(luò)安全可視化將可視化技術(shù)整合到網(wǎng)絡(luò)安全研究中來, 把高維度的不可見的抽象的網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式展示出來, 協(xié)助網(wǎng)絡(luò)安全分析人員感知網(wǎng)絡(luò)狀態(tài), 發(fā)現(xiàn)網(wǎng)絡(luò)異常。本文從數(shù)據(jù)角度出發(fā),

以所使用的網(wǎng)絡(luò)數(shù)據(jù)源的類型為分類依據(jù), 回顧現(xiàn)有網(wǎng)絡(luò)安全可視化工作。在此基礎(chǔ)上, 對網(wǎng)絡(luò)安全可視化研究的挑戰(zhàn)進(jìn)行分析, 并展望未來研究方向。

[1] 呂良福. DDoS攻擊的檢測及網(wǎng)絡(luò)安全可視化研究.[博士學(xué)位論文]. 天津大學(xué), 2008.

[2] B.R. Waters, D. Balfanz, G. Durfee and D.K. Smetters, “Building an Encrypted and Searchable Audit Log,” in Proc. ISOC Network and Distributed System Security Symposium (NDSS’04), pp. 5-6, 2004.

[3] “TCPDUMP”, http://www.tcpdump.org

[4] “WIRESHARK”, https://www.wireshark.org

[5] D. A. Keim, F. Mansmann, J. Schneidewind and T. Schreck, “Monitoring Network Traffic with Radial Traffic Analyzer,” in Proc. IEEE Symposium. Visual Analytics Science and Technology, pp. 123-128, 2006.

[6] R. Ball, G.A. Fink, and C. North, “Home-Centric Visualization of Network Traffic for Security Administration,” in Proc. ACM Workshop Visualization and Data Mining for Computer Security, pp. 55-64, 2004.

[7] L. Xiao, J. Gerth, and P. Hanrahan, “Enhancing Visual Analysis of Network Traffic Using a Knowledge Representation,” in Proc. IEEE Symp. Visual Analytics Science and Technology, pp. 107-114, 2006.

[8] F. Mansmann, D. Keim, S. North, B. Rexroad, and D. Sheleheda,“Visual Analysis of Network Traffic for Resource Planning, Interactive Monitoring, and Interpretation of Security Threats,” IEEE Trans. Visualization and Computer Graphics, vol. 13, no. 6, pp. 1105-1112, Nov./Dec. 2007.

[9] K. Lakkaraju, W. Yurcik, and A. Lee, “NVisionIP: Netflow Visualizations of System State for Security Situational Awareness,” in Proc. ACM Workshop Visualization and Data Mining for Computer Security, vol. 29, pp. 65-72, 2004.

[10] B. C. M. Cappers and J.J. van Wijk, “SNAPS: Semantic Network traffic Analysis through Projection and Selection,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’15), pp. 1-8, 2015.

[11] K. Lakkaraju, W. Yurcik, and A. Lee, “NVisionIP: Netflow Visualizations of System State for Security Situational Awareness,” in Proc. ACM Workshop Visualization and Data Mining for Com-puter Security, vol. 29, pp. 65-72, 2004.

[12] T. Taylor, S. Brooks, and J. McHugh, “Netbytes Viewer: An Entitybased Netflow Visualization Utility for Identifying Intrusive Behavior,” in Proc. Workshop Visualization for Computer Security (VizSEC ’07), pp. 101-114, 2008.

[13] X. Yin, W. Yurcik, M. Treaster, Y. Li, and K. Lakkaraju, “Visflowconnect: Netflow Visualizations of Link Relationships for Security Situational Awareness,” in Proc. ACM Workshop Visualization and Data Mining for Computer Security, pp. 26-34, 2004.

[14] F. Fischer, F. Mansmann, D.A. Keim, S. Pietzko, and M. Waldvogel, “Large-Scale Network Monitoring for Visual Analysis of Attacks,” in Proc. Workshop Visualization for Computer Security (VizSEC ’08), pp. 111-118, 2008.

[15] J. McPherson, K. Ma, P. Krystosk, T. Bartoletti, and M. Christensen, “PortVis: A Tool for Port-Based Detection of Security Events,” in Proc. the ACM Workshop Visualization and Data Mining for Computer Security, pp. 73-81, 2004.

[16] T. Takada and H. Koike, “Tudumi: Information Visualization System for Monitoring and Auditing Computer Logs,” in Proc. Int’l Conf. Information Visualization, pp. 570-576, 2002.

[17] R. Erbacher, “Intrusion Behavior Detection through Visualization,” in Proc. IEEE Int’l Conf. Systems, Man and Cybernetics, pp. 2507-2513, 2003.

[18] C. Humphries, N. Prigent, C. Bidan and F. Majorczyk, “ELVIS: Extensible Log VISualization,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’13), pp. 9-16, 2013.

[19] M. Alsaleh, A. Alqahtani, A. Alarifi and A. Al-Salman, “Visualizing PHPIDS Log Files for Better Understanding of Web Server Attacks,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’13), pp. 1-8, 2013.

[20] C. Humphries, N. Prigent, C. Bidan and F. Majorczyk, “CORGI: combination, organization and reconstruction through graphical interactions,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’14), pp. 57-64, 2014.

[21] S. Chen, C. Guo, X. Yuan, F. Merkle, H. Schaefer and T. Ertl,“OCEANS: online collaborative explorative analysis on network security,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’14), pp. 1-8, 2014.

[22] J. Stange, M. D?rk, J. Landstorfer and R. Wettach, “Visual filter: graphical exploration of network security log files,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’14), pp. 41-48, 2014.

[23] K. Nyarko, T. Capers, C. Scott, and K. Ladeji-Osias, “Network Intrusion Visualization with niva, an Intrusion Detection Visual Analyzer with Haptic Integration,” in Proc. Symposium on Haptic Interfaces for Virtual Environment and Teleoperator Systems (HAPTICS’02), pp. 277 -284, 2002.

[24] H. Koike, K. Ohno, and K. Koizumi, “Visualizing Cyber Attacks Using ip Matrix,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’05), pp. 91-98, 2005.

[25] K. Abdullah, C. Lee, G. Conti, J. Copeland, and J. Stasko, “Ids Rainstorm: Visualizing ids Alarms,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’05), pp. 1-10, 2005.

[26] S. Foresti, J. Agutter, Y. Livnat, S. Moon, and R. Erbacher, “Visual Correlation of Network Alerts,” IEEE Computer Graphics and Applications, vol. 26, no. 2, pp. 48-59, Mar./Apr. 2006.

[27] H. Shiravi, A. Shiravi, and A. Ghorbani, “IDS Alert Visualization and Monitoring through Heuristic Host Selection,” in Proc. Int’l Conf. Information and Comm. Security(ICICS’10), pp. 445-458, 2010.

[28] H. Koike and K. Ohno, “SnortView: Visualization System of Snort Logs,” in Proc. ACM Workshop Visualization and Data Mining for Computer Security, vol. 29, pp. 143-147, 2004.

[29] E. Bertini, P. Hertzog, and D. Lalanne, “Spiralview: Towards Security Policies Assessment through Visual Correlation of Network Resources with Evolution of Alarms,” in Proc. IEEE Symp. Visual Analytics Science and Technology, pp. 139-146, 2007.

[30] P. Ren, J. Kristoff, and B. Gooch, “Visualizing DNS Traffic,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’06), pp. 23-30, 2006.

[31] L. Colitti, G. Di Battista, F. Mariani, M. Patrignani, and M. Pizzonia, “Visualizing Interdomain Routing with BGPlay,” Journal of Graph Algorithms and Applications, vol. 9, pp. 117-148, 2005.

[32] S.T. Teoh, S. Ranjan, A. Nucci, and C.-N. Chuah, “BGP Eye: A New Visualization Tool for Real-Time Detection and Analysis of bgp Anomalies,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’06), pp. 81-90, 2006.

[33] M. Lad, D. Massey, and L. Zhang, “Visualizing Internet Routing Changes,” IEEE Trans. Visualization and Computer Graphics, vol. 12, no. 6, pp. 1450-1460, Nov./Dec. 2006.

[34] J. J. Fowler, T. Johnson and P. Simonetto, “IMap: Visualizing Network Activity over Internet Maps,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’14), pp. 80-87 , 2014.

[35] C. C. Gray, P. D. Ritsos and J. C. Roberts, “Contextual network navigation to provide situational awareness for network administrators,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’15), pp. 1-8, 2015.

[36] S. Papadopoulos, G. Theodoridis and D. Tzovaras, “CBGPfuse: Using visual feature fusion for the detection and attribution of BGP anomalies,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’13), pp. 57-64, 2013.

[37] K. Webga and A. Lu, “Discovery of rating fraud with real-time streaming visual analytics,” in Proc. IEEE Workshop Visualizationfor Computer Security (VizSEC’15), pp. 1-8, 2015.

[38] D. L. Arendt, R. Burtner, D. M. Best and M. D. Bos, “Ocelot: User-Centered Design of a Decision Support Visualization for Network Quarantine,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’15), pp. 1-8, 2015.

[39] M. Angelini, N. Prigent and G. Santucci, “PERCIVAL: Proactive and rEactive attack and Response assessment for Cyber Incidents using Visual AnaLytics,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’15), pp. 1-8, 2015.

[40] P. A. Legg, “Visualizing the Insider Threat: Challenges and tools for identifying malicious user activity,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’15), pp. 1-8, 2015.

[41] F. Fischer and D. A. Keim, “NStreamAware: real-time visual analytics for data streams to enhance situational awareness,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’14), pp. 65-72, 2014.

[42] L. Hao, C. G. Healey and S. E. Hutchinson, “Flexible web visualization for alert-based network security analytics,” in Proc. IEEE Workshop Visualization for Computer Security (VizSEC’13), pp. , 2013.

袁斌于2013年在華中科技大學(xué)獲得計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)學(xué)士學(xué)位。現(xiàn)在華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院攻讀博士學(xué)位。研究領(lǐng)域包括: 網(wǎng)絡(luò)安全、軟件定義網(wǎng)絡(luò)、大數(shù)據(jù)隱私保護(hù)等。Email: yuanbin@hust.edu.cn

鄒德清于2004年在華中科技大學(xué)獲得博士學(xué)位?，F(xiàn)任華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院教授。主要研究領(lǐng)域?yàn)樘摂M化技術(shù), 可信計(jì)算, 系統(tǒng)安全, 安全評估, 網(wǎng)格計(jì)算以及集群與高性能計(jì)算。Email: deqingzou@hust.edu.cn

金海于1994年在華中科技大學(xué)獲得博士學(xué)位?，F(xiàn)任華中科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院教授。主要研究領(lǐng)域?yàn)橛?jì)算機(jī)系統(tǒng)結(jié)構(gòu), 虛擬化技術(shù), 集群計(jì)算, 網(wǎng)格計(jì)算, 并行與分布式計(jì)算, 對等計(jì)算,普適計(jì)算, 語義網(wǎng), 存儲(chǔ)與安全。Email: hjin@hust.edu.cn

Network Security Visualization: A Survey

YUAN Bin, ZOU Deqing, JIN Hai

Cluster and Grid Computing Lab, Services Computing Technology and System Lab, Huazhong University of Science and Technology, Wuhan, 430074, China

The developing of Internet techniques has brought many convenience into our daily life, such as on-line shopping, on-line entertainment, social network, etc. However, cyber-attack and cyber-crime have also become more and more common since Internet provides so many potential profits, which makes cyber security more and more important. Unfortunately, traditional cyber security approaches, such as firewall, IDS and IPS, are not efficient because they lack the feature of intelligence, dynamic nature and global view. As such, network security visualization is proposed. Visualization is not only efficient but also very effective at communicating information. Based on the analysis of network data, network security visualization transfers the invisible, unexpressed and abstract network data into visual images to provide a high-level view of security events to analysts for more timely and informed decisions. Visualization brings revolution to the network security research area and has developed very fast. In this paper, we provide a thorough survey of network security visualization, categorizing the related work based on the type of network data (since network data is the basis of network security visualization). Further, we analyze the issues and challenges regarding network security visualization and provide guidelines and directions for future work.

visualization techniques; network security; security visualization

TN915.08 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.03.002

金海, 博士, 華中科技大學(xué)教授, Email: hjin@hust.edu.cn。

本課題得到973國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(2014CB340600)資助。

2016-06-21; 修改日期: 2016-06-29; 定稿日期: 2016-07-01