网络安全数据可视化综述_赵颖
第26卷第5期2014年5月
计算机辅助设计与图形学学报
oiurnalofComuter-AdedDesin &ComuterGrahicsJ pgpp
Vol.26No.5
Ma2014y
网络安全数据可视化综述
赵 颖1,樊晓平12,周芳芳1,汪 飞3,张加万4
1)(中南大学信息科学与工程学院
),))))
)10083 长沙 4
)10205 长沙 4)00811 长沙 4
2)(湖南财政经济学院网络化系统研究所3)(湖南师范大学数学与计算机学院4)(天津大学软件学院
)00072 天津 3
()zffsu.edu.cn@c
摘要:网络安全可视化是一个新兴的交叉研究领域,它通过提供交互式可视化工具,提升网络安全分析人员感知、
分析和理解网络安全问题的能力.通过近些年来的研究,该领域的很多研究成果已经在网络监控、异常检测、特征识别、关联分析和态势感知等方面取得了重要进展.文中介绍了网络安全可视化的必要性和发展历史,以及主要的网络安全数据源,并重点从网络安全问题和网络安全可视化方法2个角度对已有研究成果进行了系统的梳理;最后对未来的发展趋势进行了展望.
关键词:信息可视化;可视分析;网络安全;安全可视化中图法分类号:TP391
rveonNetworkSecuritDataVisualizationASu yy
1)1,2)1)3)4)
ZhFaZhaanaoYinnXiaoinouFanfannFeidZhanJiawan , g,pg,gg,Wgg
1)(2)(3)(4)(
)rmationienced neerinhool,ntraluth iversitansha 40083InoScanEniScCeSoUnCh1 g y,gfg,)LoNSsUoFC&Eboratortworked ems,Hnan iversitnanceonomicsansha 40205aetunich1 f yf yyg )CooMaanCoScuNoUnCh1lleethematicsd muterience,Hnan rmaliversitansha 40081 f gpy,g
)hoolware,anin iversitanin 30072ScoSotTiUnTi0 jy,jf f
:AAbstractsaouncommunitofnetworksecuritresearch,visualizationfornetworksecurit ygyyy rocessesbbrininercetualandconitiveowerofthehumanfocusesontakinadvantaeofthe pyggppgggp robustvisualtoolsintohandsofhumansinsolvincomuternetworksecuritroblems.Amountsof gpyp
,laedversinificantrolesinhelinnetworksecuritanalststodetectanomaliesvisualtoolshave pyygpgyy ,,,discoveratternsidentifcorrelationsandassessnetworksecuritsituation.Inthisaerweoffer pyypp
,wacomrehensivereviewofnetworksecuritvisualization.Firsteintroducethenecessitandthe pyy ;haseddevelomentofthisfieldthenwerovidetaxonomiesfromnetworksecuritvisualization pppy
;technoloandvisualalicationinnetworksecuritatlastweoutlinesomeuidelinesanddirections gyppyg forfuturestudies.
;:;;Kewordsinformationvisualizationvisualanalticsnetworksecuritsecuritvisualization yyyy 飞速发展的网络应 随着网络通信技术的进步,
用对网络安全提出了很高的要求.一直以来,各种网
络监控设备采集的大量日志数据是人们掌握网络状态和识别网络入侵的主要信息来源.网络安全分析
;基金项目:湖南省科技计划博士后专项国家自然科学基金(修回日期:收稿日期:--1414-0103108,60673196)2020610109;2-18.(););,湖南省自然科学基金(中南大学博士后专项.赵 颖(主要研究方向为可男,博士研究生,讲师,2012RS404912JJ30621980—)F会员,CC,,男,博士,教授,女,博士,副教授,视化与可视分析等;樊晓平(博士生导师,主要研究方向为网络系统与智能交通等;周芳芳(61—)80—)1919,主要研究方向为科学可视化与信息可视化等;男,硕士,讲师,汪 飞(主要研究方向为可视化和可视分析等;张加万F会员,79—)C19C
,(男,博士,教授,博士生导师,主要研究方向为图形学与可视化等.75—)19
688
计算机辅助设计与图形学学报 第26卷
人员在处理网络安全问题时,首先通过分析相应的数据来了解网络状态和发现异常现象,然后对异常事件的特征以及对网络的影响进行综合诊断,最后采取对应的响应措施.然而,随着网络安全需求的不断提升,网络安全分析人员在分析网络安全数据时遇到了很多新的困难:异构的数据源和持续增长1)的数据量给分析人员带来了繁重的认知负担;新2)攻击类型的出现和攻击复杂度的提高,使得很多传统的数据分析方法不再有效;大量漏报和误报是3)一些自动化异常检测系统的弊病;侧重于局部异4)常分析的传统思路,使得分析人员很难掌握宏观网络态势.如何帮助网络安全分析人员更高效地分析网络安全数据,已成为网络安全领域一个十分重要而且迫切的问题.
在解决网络安全问题的过程中,人的认知和判断能力始终处于主导地位,一个能帮助人们更好地分析网络安全数据的实用办法就是将数据以图形图像的方式表现出来,并提供友好的交互手段,建立人与数据之间的图像通信,借助人们的视觉处理能力观察网络安全数据中隐含的信息,以进一步提高分析人员的感知、分析和理解网络安全问题的能力.因此,许多学者提出将可视化技术引入到网络安全研究领域中来,并逐步形成了网络安全可视化这一新
]13-的交叉研究领域[.
[]
早在1995年Becker等4就提出对网络流量状[]
况进行可视化,之后G9rardind等5在198年曾使i
)网络安全态势的察觉和理解效率得以提高.4
本文首先介绍网络安全分析人员需要处理的各种网络安全数据源,并重点从网络安全问题和网络安全可视化方法这2个角度,对已有研究成果进行了系统的梳理,最后对网络安全可视化的发展趋势进行了展望
.
图1 网络安全可视化领域相关研究年度汇总表
1 网络安全数据介绍
网络安全分析人员需要处理的网络安全数据种类非常多,其中最重要数据源来自各种网络监控设备.根据位于不同逻辑层次和不同物理位置的各种网络监控设备所采集信息的特点,可以将网络监控数据分3类:流量监控数据、状态监控数据和事件监控数据,如表1所示.
表1 网络安全数据分类表
分类流量监控状态监控
数据名称
网络数据包日志网络数据流日志状态监控日志入侵检测系统日志防火墙日志
事件监控
入侵保护系统日志网络应用操作日志弱点扫描与监控日志
其他数据
数据源举例
,WumreSharkTcdippscoNetFlowCi ,herothervSreBiBpg ,SNOscoRTCi
,,华为scoCheckointCip,天融信CiscoIBM,,,heExchaneDNSAacgp
,,ssusNeHoneotseEeypy
用多种可视化技术来分析防火墙日志记录.从2040年开始举办的国际网络安全可视化年会
[6]
(,V),标志着visualizationforcbersecuritizSec yy该领域的正式建立,并且在204~2006年集中涌现0了一批高质量的研究成果,如图1所示.从211年0
7]
()开始,国际可视分析挑战赛[连VASTchallene g
续3年都采用了网络安全数据作为竞赛题目,推动着该领域呈现出一个新研究热潮.国内网络安全可视化的研究起步相对较晚,哈尔滨工程大学、天津大学、北京邮电大学、吉林大学、北京大学和中南大学等研究机构的一些团队已开展了相关研究.
经过十多年的发展,在网络安全可视化领域,学者们提出了许多新颖的可视化设计,并开发了诸多实用的交互式可视分析工具,这也为传统的网络安全研究方法和分析人员的工作方式注入了新的活))力:分析人员的认知负担得以减轻;异常检测和12特征分析变得更为直观;人们可以更自主地探索3)事件关联和复杂攻击模式,甚至发现新的攻击类型;
病毒样本等等系统配置文件、
流量监控数据主要来自包级和流级2个采集层次.包级的流量监控会记录每个数据包的TPIPC?
包头信息和载荷内容;流级的流量监控会将一次网络会话的数据流聚合起来,只记录会话信息的方式数据量更小,也更加易于理解和管理.
状态监控数据是指网络中各种软硬件资源的运行状态信息,如C网络吞吐率、邮件服U利用率、P
第5期赵 颖,等:网络安全数据可视化综述
689
务是否正常等等,它们可以通过SNMP协议或者通过安装一些专业的状态监控产品获得.
事件监控数据又分为异常检测日志和日常操作记录.异常检测日志主要来自自动化的网络防御设备产生的报警事件,如防火墙和入侵检测系统,它们是以流量数据、状态数据等原始监控数据为基础,通过规则匹配和算法处理生成.日常操作记录来自各种网络服务和应用在运行过程中获取的用户操作信息,如管理服务器的用户登陆记录、域名服务器的域名解析请求记录等等.另外,也可以将网络漏洞扫描数据和通过蜜罐获取的攻击者信息看作事件监控数据.
网络安全分析人员在日常工作中还需要面对一些非监控型网络安全数据,如防火墙配置文件、网络路由表、病毒样本等.针对这些数据的可视化可以为
[8]
分析人员提供多方面的帮助,如Ntaraaj等将恶意软件样本可视化为灰度图像,并利用图像特征对
1 网络监控2.
从各种网络监控设备获取的数据中了解网络运行状态是网络安全分析人员关注的最基本问题,也是网络优化、异常检测、态势感知的基础.可视化的网络监控主要研究是按照时间顺序,如何将主机和端口等监控对象、流量和事件等监控内容使用图形图像的方式表达出来,以帮助分析人员快速了解网络运行状态.
主机是网络活动的主体,也是最重要的监控对象.在网络空间中,针对IP地址是主机的唯一标识,学者们尝试IP地址的非物理位置特性和分段特性,了多种方式来实现基于IP地址的网络监控.
[0]
采用了二维坐标定位和颜色映射的方matrix1IP
[0]
所示,法监控某B类网络中发生的事件,如图2a1
不同事件类型X和Y值构成的坐标确定IP地址,
映射为不同的颜色,但是这种方法表示的IP地址空
[1]12-
技术将正方形进行多次四分间有限.uantree1Q
样本进行分类.ansmann等M的规则和辅助调优.
[9]
采用Sunburst图形
将防火墙配置规则树可视化,帮助管理员理解复杂
后形成的52×512矩阵来表示4个字节的Iv4地1P
[1]
显示了基于该方法的I址空间,图2v4全地址b1P
空间的流量监控,流量大小使用颜色编码;但其缺点
[13]
是点阵太密集,不便于交互.reemaTPp在表示I[3]
所地址的分层特性时具有更好的交互性,如图2c1
2 主要研究方法与发展现状
网络安全可视化的研究,首先是确定网络安全分析人员关心的问题,也就是有什么数据,需要从数据中获取什么信息;然后是设计可视化结构来表示数据,建立数据到可视化结构的映射;最后是设计缩放、聚焦、回放和关联更新等人机交互功能,完成人与可视化工具的交流,从而帮助分析人员观察网络安全数据中隐含的信息,进一步提高分析人员的感知、分析和理解网络安全问题的能力.无论是针对网络扫描、拒绝服务攻击、蠕虫传播等具体的网络入侵事件,还是针对网络监控、特征分析、态势感知等抽象的网络安全需求,面对不同的网络安全问题和数据源,设计不同的可视化结构和交互手段、采用不同的技术路线和分析思路,便可以形成不同的网络安全可视化研究方法.
从网络安全分析人员的角度出发,按照从简单到复杂、从单一到整体、从低层到高层的思路,可以将人们关心的网络安全问题和网络安全可视化在网络安全中的应用分为5类:网络监控、异常检测、特征分析、关联分析和态势感知.本节将逐类介绍主要的网络安全可视化研究方法和发展现状,表2所示为常见的网络安全问题和主要的网络安全可视化研究方法结合情况的整体概览.
示,用户可以通过交互自由地查看分级汇总或细节
[4]
信息,还能将其扩展到I.v6地址的表示1P
端口则标识了不同的网络IP地址标识了主机,应用,因此端口监控和主机监控有着同等重要的地
[4]
用一个2位.ortVis16×256的网格矩阵和颜色P5
映射方法表示636个端口的流量情况,如55
[4]
所示,为防止过密的数据点的交互困难,图2系d1统还提供了区域选择和放大观察的交互方式.考虑到不同端口号区段的重要程度不同,可以将不太重
[5]
将要的端口号用较小的图元表示;如PrtMatrix1o[5]
网络端口号分为如图2所示4类,其中10个连e10
续的动态端口使用同一个方格表示.
网络监控数据都具有时序特点,线条图、柱状图、堆叠图等适合时序数据表示的基本统计图形在
[16]
显示了网络安全可视化中应用很广,图2f
[6]
使用堆叠图可视化某校园网流量的时owScan1Fl
序变化情况,不同网络协议的流量用不同颜色编码,在进行统计时还区分了流入和流出的流量.为了实现整体和细节的统一,设计者通常会结合统计分析方法,将描述网络整体状态变化的时序图形与描述某时段网络具体状态的监控图形联动起来.因此,传统统计图形和统计方法一定程度上成为了各种新颖
]1718-
的可视化系统中不可或缺的标准配件[.
690
计算机辅助设计与图形学学报 第26卷
第5期赵 颖,等:网络安全数据可视化综述
691
图2 可视化的网络监控
2.2 异常检测
网络异常包括的范围很广,如流量的突变、设备的失效、越权的资源访问、可疑的主机行为等.有的异常是由于恶意攻击产生,而有的则是由于普通网络故障或者用户操作不当造成.检测和定位各种网络异常是网络安全分析人员的日常工作,也是进一步诊断异常原因、识别网络攻击类型的基础.可视化的异常检测经常与网络监控联系在一起,主要方法是通过对网络状态和网络访问等信息的图形化表示,帮助分析人员从“正常状态”中快速准确地发现“,异常情况”而不是像传统的自动化检测方法那样只抛出异常检测结果.
流量是主要的网络状态之一,拒绝服务攻击和蠕虫传播等网络入侵行为发生时,往往首先会在网络流量上出现明显的变化.网格矩阵图和颜色编码是最常见的以主机和端口为对象的可视化流量异常检测方法,因此2.1节中介绍的多个可视化监控系统也都能胜任流量异常检测.除此之外,学者们也提出了很多其他行之有效的可视化流量异常检测方
[5]
显示的是一个采用热力图技术的流法,如图3a1
口的流量通过堆叠柱状图表示,图中明显的峰值时而这2个端口和蠕段是由端口45和2552产生的,4 虫传播有较大关系.
网络应用主要通过主机之间的互访实现,当主机遭到误用、滥用和病毒感染时,常常会出现网络访问的异常.节点连接图是检测网络访问异常的重要可视化方法,它又分2种不同的处理策略:主机位置
[7][0]
,相对固定和主机位置动态布局.VINV1SUAL2T[1]
和N是典型的使用主机位置固定策略的flowVis2[0]
显示了V可视化系统,图3SUAL可视化的内c2I
外网主机通信情况,内网主机的网格矩阵在中心区域,外网主机分布在四周,从连线的多少和外网主机方块大小可以很直观地发现一些异常活跃的内外网主机.主机位置固定策略便于保持主机的逻辑拓扑关系,而主机位置动态变化策略可以实现聚类效果,
[2]
是使用力导引布局的网络访问图,图3图中几d2
个明显的中心点将网络中的主机分成了几个区域,而这几个中心很可能是由于存在异常的网络扫描行为而形成的.针对大型网络的节点连接图难免会出现连线混杂的问题,代表性的解决方法包括边绑定
]2221]3]2、,抽象图技术[或者改用和图压缩技术[技术[
][2]24
表示网络访问.所示为通过基于邻接矩阵[图3e2
量监控系统,从中可以很直观地观察到在当前时刻有一些流量热点主机出现,友好的拓扑布局还可以帮助分析人员迅速定位热点主机和观察子网分布特
[9]
显示了一个根据端口流量进行分组聚点;图3b1
网络拓扑信息的图压缩方法对图3d简化后效果,它大大简化了连接复杂度,并且凸显了关键主机.
合分析的可视化系统,横轴表示时间,每个时段各端
692
计算机辅助设计与图形学学报 第26卷
对于具有动态性、随机性和隐蔽性的复杂网络异常,为了达到更好的异常检测效果,需要将多种可视化方法结合起来,以支持不同粒度和角度的选择,提供多层次和多维度的交互,形成多视图的合作分
[8][5][6]
,和V都析.NViralView1isionIP2sTracer2Sip
[5]
所示,是多视图工具的代表,如图3NVisionIPf2
通过3级交互视图,将主机监控和端口监控以及全局概览和局部分析有机地结合了起来
.
图3 可视化的网络异常检测
2.3 特征分析
网络安全中的特征分析和异常检测相辅相成,一方面分析人员需要对检测到的网络异常进行进一步的特征分析,从而达到识别网络攻击类型和选择防范措施的目的;另一方面,特征分析也可以帮助分析人员更好地进行异常检测.可视化技术将复杂的特征描述转化为图形模式,通过人类视觉对图形模式的强大识别能力,帮助分析人员快速完成特征发现和模式匹配.网络安全中的特征分析对象主要包括流量、行为和事件.
流量监控数据包含时间、协议、源I目的IP、P、源端口、目的端口、包大小等多个维度的信息,很多网络攻击都会引发流量大小的异变,同时还会在其
[7]
等使用散他维度上表现出更多的攻击特征.iao2X
些攻击类型在平行坐标轴上图形模式,如端口扫描源产生的流量记录在平行坐标上会出现1:M:1(1:目的I目的端口:包大小)图形区域,这是因为IP:P:端口扫描通常是从单源IP发出大量相同大小的探测数据包,以检测目的IP的可访问端口.
以主机和网络服务为对象的监控记录中隐含了它们的行为模式,通过对行为模式的分析,可以帮助分析人员更好地区分正常和异常的网络活动.
[0]
通过对数据包的时序可视化,揭示了iht等3Wrg
[0]
所示,横轴表不同网络服务的行为模式.如图4c3
示时间,纵轴正值和负值分别表示服务请求方发出和收到的数据包字节数,图例反映了主机在请求TP服务时收到的包大小要大于发出的包大小,HT
而在请求SP服务时发出的包大小要大于收到MT
[1]
提出了一种主机行为分的包大小.ansmann等3M
点图对多种网络攻击的流量特征进行了两两维度的
[7]
显示了S橙色)和网络组合分析,图4H攻击(Sa2
析方法,如图4它将各种网络服务分布在四d所示,周,根据主机在不同时间对各种网络服务的访问顺序绘制出相应的路径,具有相同行为模式的主机路径将会呈现出形态的相似性和位置聚集效果,异常的主机行为路径得以凸显.
入侵检测系统是重要的网络安全工具,它将网
和端口扫描(红色)产生的网络流量在时间(X轴)(为了实现更多维度的特2个维度上的特征.Y轴)
5,28]
被广泛采用,征同步分析,平行坐标轴技术[代表
[9]
对网络扫描、性的例子是Coi等2oS攻击等多hDD[29]
总结了这种网络攻击的流量特征的分析.图4b
第5期赵 颖,等:网络安全数据可视化综述
693
络数据包和事件规则库进行比对,如果匹配成功就会发出相应报警记录,它可以部分代替分析人员从原始数据中寻找异常并分析特征的入侵检测过程,但其弊端是规则设置技巧性高、不能检测未知事件和大量产生的误报漏报.很多学者使用可视化技术管理入侵检测日志和分析事件特征,帮助分析人员优化规则设置、鉴别误报漏报和发现可能存在的新攻击类型,提高入侵监测系统的实用性.早期的
[2]
可以帮助人们鉴别误报和漏报,但它ortView3Sn
[3]
针对大规模只适合小规模网络.DSRainStorm3I
网络采用了两级视图的设计方式:使用分层网格矩阵和颜色编码的概览视图和对选定时段和IP段进
[3]
所示.图4行事件特征分析的细节视图,如图4fe3[4]
将I所示S分P矩阵与地图结合起来,TARMINE3
析Ssser蠕虫爆发事件在网络空间和地理空间中a
[5]
开发了P的传播特征.lsaleh等3IDS的扩展AHP
组件,该组件在Wb环境下提供了近1e0种可视化
图形,用来管理入侵检测日志和分析事件特征
.
图4 可视化的特征分析
2.4 关联分析
复杂的网络攻击都具有多步性和协作性的特点,如攻击者首先会通过端口和主机扫描寻找网络中的漏洞,然后利用漏洞注入木马、僵尸或其他恶意软件;当对网络有一定的控制能力后就会进行文件窃取、广告推送,甚至将网络中主机当作傀儡机,共同发起对其他网络资源的蛮力攻击.因此,将现有的事件信息合理地组织起来,建立基于上下文关系的可视分析,可以帮助分析人员发现网络安全事件之间的关联,理解当前的网络安全形势,尽量将网络危机化解在早期阶段.
事件之间的关联一般存在于类型、位置和时间,,模型.雷达称为3W(hatwherewhen)3个维度,w
图在描述3W模型时具有很好的图形表现力和多样的交互空间,是事件关联可视化的主要研究方法.
[6]
首先采用3W模型和雷达图来分析事件sAlert3Vi
关联,如图5圆的内部是主机布局,圆周上a所示,每段圆弧代表一种事件类型,时间维度从内到外用多个圆环表示,通过交互选择,用户就可以轻松地组,,合WhatWhereWhen3个维度去寻找事件关联. 随后有许多相关研究对VsAlert进行了改进和应i
[7][8]
和A调整了用拓展,如NltSecRadar3ertWheel3e
[9]
探讨了雷达图的主机布局和连线方式,SRadar3ID
某企业网络中僵尸病毒感染事件和文件窃取事件可
[0]
使用雷达图分析了复杂网能存在的关联,isa4Av
络入侵的多步攻击过程.
分析网络漏洞造成的关联影响也非常重要,因为攻击者经常利用有漏洞的主机作为跳板来到达攻击目标,网络中任意一台有漏洞的主机都会引来连锁反应.网络攻击图是一种可视化漏洞关联影响的技术,它以现存的网络安全漏洞为基础,找出攻击者能够在网络中走通的所有攻击路径,从而达到评估
694
计算机辅助设计与图形学学报 第26卷
图5 可视化的关联分析
[1]网络安全性的目的.就显示了一幅使用树形图5c4
助人们更快地察觉和理解网络安全态势、缩短决策时间.早期对网络安全态势可视化相关研究相对较少,但随着数据融合、态势评估、大规模数据处理和大屏幕等技术的发展,近几年涌现了一批优秀成果.
多数据源的融合与协同是网络安全态势感知的特点之一,也是网络安全可视化常见的分析策略.
5
使用TrNKSAFE4eemaClockmalertTimelineBAp,p和A分别将网络状态、入侵检测日志和Frewall3种图形,i
[]
[5]
所示,从而日志用3个屏幕可视化出来,如图6a4[6]
融实现大规模网络的可视化态势感知.nNetTe4A
结构来绘制的网络攻击图,其中各种形状的节点代表源主机、目的主机和漏洞类型,每条边就代表一次漏洞利用.传统的树形图在表现大型网络攻击图时
[2]
使用T空间利用率不高,rNET4eemaGARp改进
了攻击图的表示方法,该方法具有更好的空间利用率和交互性
.2.5 态势感知
在大规模网络环境中,网络安全分析人员往往更倾向于首先掌握宏观的网络态势,即网络整体的运行状态和变化趋势,然后由整及分、由急到缓地解决网络安全问题.针对这一重要的网络安全需求,
3
在20ss400年首先提出了网络安全态势感知的Ba
概念:通过融合各种网络安全设备收集的状态记录
[]
合了N通过提etFlow,IPS和BiBrother3种数据, g供描绘健康指标、报警数量、流量、IP和端口活跃度等网络状态变化的一组时间线来刻画网络安全态势,如图6它还通过提供分层的弦图与平行b所示;坐标轴,交互分析用户选中时段的细节信息.
大屏幕为态势感知中需要表达的众多信息元素带
[7]
来了更广阔的展示空间.如图6Cturne4c所示,NO
和报警记录,评估当前网络整体运行状态,并预测变化趋势.可视化的网络安全态势感知首先由
[4]
在2它通过提供0sFlowConnect404年提出来,Vi
描绘大规模网络状态和海量事件的高层次视图,帮
在大屏幕上的设计思路是使用时间线、连接矩阵、地
图6 可视化的网络安全态势感知
第5期赵 颖,等:网络安全数据可视化综述
695
图等多种图形将多源信息有机地组织在一起,但这
[8]
提种方式缺乏整体感.如图6nRain4d所示,Srigp
(吕良福,张加万,孙济洲,等.网络安全可视化研究综述():)[]1908,288192427J.计算机应用,20-
[]S2hiravihiravihorbaniurvef H,S A,G A A.A sy o
]visualizationstemsoretworkecuritJ.IEEE s f n syy[,TransactionsonVisualizationandComuterGrahics2012, pp():18813131329-
[]H:3arrisonL,LuA.Thefutureofsecuritvisualization y
],lessonsfromnetworkisualization[J.IEEEetwork v N():2012,266116-
[]B4eckerR A,EickSG,WilksA R.Visualizinnetworkdata g
出了一种新颖的大屏幕设计思路,它将不同网络区域看作是大型瀑布的水流簇,每个簇内从上至下充满了通过颜色和形状编码的网络安全信息元素,整体和细节很好地融合在了这一可视隐喻之中;另外它还提供与G从而加强了人oleGlasses的连接,o g与画和人与人的协同交互.
3 总结与展望
网络安全可视化将网络安全数据分析和可视化技术结合起来,通过提供图形化的交互工具,提高网络安全分析人员感知、分析和理解网络安全问题的能力.从本文的介绍中可以看出,网络安全可视化已经取得了丰硕的研究成果,但是面对越来越严重的网络安全威胁和越来越复杂的攻击手段,研究者们还面临着诸多的挑战:
)如何实时显示和处理大规模网络数据.目前1
大部分研究仍然停留在离线数据的分析上,但是实时分析远比离线分析重要.实时的网络安全可视化需求对数据预处理速度、图形绘制速度、交互响应速度都提出了更高的要求.
)如何搭建网络安全可视化的协同工作环境.2
解决大范围的复杂网络问题往往需要多数据源、多视图、多人的协同分析,因此现有的数据融合和多视图技术以及多人参与的网络安全协同可视分析环境都有较大的发展空间.
)如何提高网络安全可视化系统的易用性.对3
于目前大部分网络安全可视化系统,即使是有丰富经验的分析人员,都需要一定程度的培训后才能熟练使用,但网络安全可视化的受众本应更为广泛,因此需要加强网络安全可视化的易用性研究.)如何研究出一套完整的理论体系.可视化方4
法研究主观性很强,解决网络安全问题的经验性要求高,网络安全可视化的有效性验证非常困难,因此在相关数学模型、基础理论和设计原则等方面开展深入研究势在必行.):参考文献(ferencesRe
[]L,S1üLetal.Sianfu,ZhanJiawanunJizhou,urveof ggy
]networksecuritvisualizationtechniues[J.Journalof yq ,2:1Comuterlications008,28(8)1992427(in A-ppp)Chinese
[]J.IEEEransactionsnisualizationndomuter T o V a Cp,():Grahics1995,111628-p
[]GirardinL,BrodbeckD.Avisualaroachformonitorin5 ppg
los[C]? Proceedinsfarenstallationstem? o L I Sgggy,AdministrationConference.New York:ACM Press1998: 299830-
[]V:6izSecHomeae[EBOL].[201400ttwww.19]h ? --? ? pgp
vizsec.or.2013g
[]VA7SThalleneomeaenacommunitEBOL]. C H i v? gpgy[
[:201400ttwww.vacommunit.orVAST+19]h--? ? ? pygChallene+2013.2013g
:[]Netal.Malwareimaes8ataraL,KarthikeanS,JacobG, jyg
visualizationandautomaticclassification[C]Proceedinsof ? ? gthe8thInternationalSmosiumonVisualizationforCber ypy,Securit.New York:ACM Press2011:411-y
[]M9ansmannF,G belT,Cheswick W.Visualanalsisof y
comlexfirewallconfiurations[C]Proceedinsofthe9th ? ? pggInternationalSmosiumonVisualizationforCberSecurit. ypyy,New York:ACM Press2012:18-
[]K1acberoikeH,OhnoK,KoizumiK.Visualizintacks0t- yg
usinIPatrix[C]? Proceedinsfisualizationor m? o V fgg :ComuterSecurit.LosAlamitosIEEEComuterSociet pypy,Press2005:9198-
:]A[tal.C1tkisonT,PensicholasC,easestud1 yy K,N
visualizationandinformationretrievaltechniuesfornetwork q:intrusiondetection[M]? Dataisualization.Hedelber ? Vg,29Sriner2001:2830-pg
[]Letal.Icombinin12eMalE,KoharaM,HoriY,nteractivel yg
2Dand3DvisualizationfornetworktrafficmonitorinC] ? ? g[Proceedinsfherdnternationalorkshon o t 3 I Wgp o:,VisualizationforComuterSecurit.New YorkACM Press py2006:123712-
[]M13ansmannF,Keim D A,NorthSC,etal.Visualanalsisof y
,,networktrafficforresourcelannininteractivemonitorin pgg]andinterretationofsecuritthreats[J.IEEETransactions py ,():onVisualizationandComuterGrahics2007,1361105 -pp1112
[]M,M:14cPhersonJaKL,KrstoskP,ortvisatoolforetal.P y
baortseddetectionofsecuritevents[C]Proceedinsof- ? ? pyg theACM WorkshoonVisualizationandDataMininfor pg ,ComuterSecurit.New York:ACM Press2004:7381 -py
696
计算机辅助设计与图形学学报 第26卷
[]Z:15etal.MVhaoY,LianX,WanY,Secanovelmulti - gg
vewisualizationstemoretworkecuritC]? i v s f n s? yy[roceedinsofVisualAnalticsScienceandTechnolo.LosP gygy:,8AlamitosIEEEComuterSocietPress2013:7- py
[]P:a16lonkaD.FlowScannetworktrafficflowreortinand pg
visualizationtool[C]? Proceedinsfarenstallation ? o L Igg:A,Sstem AdministrationConference.New YorkCM Press y
3172000:305-
[]Getal.P17oodallJR,LuttersW G,RheinansP,reservin gg
:thebiicturevisualnetworktrafficanalsiswithtnv[C] ? ? gpy roceedinsofVisualizationforComuterSecurit.LosP gpy:,54AlamitosIEEEComuterSocietPress2005:47- py []B18ertiniE,HertzoP,LalanneD.SiralView:towards gp
securitoliciesassessmentthrouhvisualcorrelationof ypg Proceedinsnetworkresourceswithevolutionofalarms[C]? ? g:ofVisualAnalticsScienceandTechnolo.LosAlamitos ygy,614IEEEComuterSocietPress2007:139- py
[]Aetal.V19bdullahK,LeeC,ContiG,isualizinnetworkdata g
forntrusionetection[C]? Proceedinsfnformation i d? o Ig:AssuranceWorksho.LosAlamitosIEEEComuterSociet ppy,10Press2005:1008-
[]Bcntricvisualizationof20allR,FinkG A,NorthC.Homee-
Proceedinsadministration[C]networktrafficforsecurit? ? gy onVisualizationandDataMininforoftheACM Worksho gp :A,6ComuterSecurit.New YorkCM Press2004:554- py]F[arealetal.Lsc1ischerF,MansmannF,Keim D A,e2 - g
orisualnalsisfttacks[M].networkmonitorin v a o ayg f:,Sriner2008Heidelbergpg
[]Lalesc22iaoQ,ShiL,WanC.Visualanalsisoflare- gyg
]networknomalies[J.IBMournalfesearchnd a J o R a,():1Develoment2013,573413:13-? p
]T[3sikasO,ThonnardO,TzovarasD.Visualsamcamains2 gppg
analsissinbstractrahseresentation[C]? ? g r uppyg aProceedinsfhethnternationalmosiumn o t 9 I S ogyp:A,VisualizationforCberSecurit.New YorkCM Press yy712012:64-
[]Ytal.I24uT H,FullerB W,BannickJH,enterated g
Environmentanaementornformationerations M f I OgpVisualizationoromuterecurit.Testbeds[M]? ? f C Spy:,83HeidelberSriner2008:67-gpg
[]L25akkarauK,Yurcik W,LeeAJ.NVisionIP:netflow j
visualizationsfstemtateorecuritituational o s s f syy sProceedinsoftheACM Workshonawareness[C]? ? gp oVisualizationandDataMininforComuterSecurit.New gpy :A,72YorkCM Press2004:65-
[]F,V:etal.V26ischerF,FuchsJervierPA,isTraceravisual
analticstooltoinvestiateroutinanomaliesintraceroutes ygg [Proceedinsofthe9thInternationalSmosiumonC]? ? gyp:A,VisualizationforCberSecurit.New YorkCM Press yy872012:80-
]X,H[7iaoL,GerthJanrahanP.Enhancinvisualanalsisof2 gy
networktrafficusinaknowledereresentation[C]? ? ggp ProceedinsofIEEESmosium OnVisualAnalticsScience gypy:IAndTechnolo.LosAlamitosEEEComuterSociet gypy,11Press2006:1074-
:[]L,etal.Vtiisualfirewallrealme28eeCP,TrostJGibbsN, -
networkecuritonitor[C]? ProceedinsfEEE s? o Iyg mWorkshoonisualizationoromuterecurit.Los V f C Sppy :,136AlamitosIEEEComuterSocietPress2005:129- py
[]C29hoiH,LeeH,Kim H.Fastdetectionandvisualizationof
]networkattacksonarallelcoordinates[J.Comuters& pp,():Securit2009,285282768-y[]W30rihtCV,MonroseF,MassonG M.Usinvisualmotifs gg
toclassifencrtedtraffic[C]? Proceedinsofthe3rd ? yypg Internationalorkshonisualizationoromuter W V f Cpp o,Securit.New York:ACM Press2006:4150-y
]M[1ansmanF,MeierL,Keim D A.Visualizationofhost3
:S,behaviorfornetworksecuritM].Heidelberriner y[gpg2008[]K32oikeH,OhnoK.SnortView:visualizationsstemofsnort y
los[C]ProceedinsoftheACM WorkshoonVisualization? ? ggp andDataMininforComuterSecurit.New York:ACM gpy ,Press2004:143147-[]A,eaDSRainStorm:33bdullahK,LeeCP,ContiGJtl.I
IDSAlarms[C]VisualizinProceedinsofIEEE Worksho ? ? ggp :onVisualizationforComuterSecurit.LosAlamitosIEEE py,Press2005:1ComuterSociet8 -py []H3ideshimaY,KoikeH.STARMINE:avisualizationsstem4 y
atPatacks[C]? cificforberProceedinsfhesia-- c? o t Ayg:SmosiumonInformationVisualisation-Vlume60.Sdneo ypyy,,Inc.2006:131AustralianComuterSociet183 -py[]Aisualizintal.V35lsalehM,AlahtaniA,AlarifiA,e gq
ofwebserverfilesforbetterunderstandinPHPIDSlo gg attacks[C]? Proceedinsfhe0th Workshon? o t 1gp o:A,VisualizationforCberSecurit.New YorkCM Press yy2013:18-[,M]L3etal.VivnatY,AutterJoonS,isualcorrelationfor6 g
situationalawareness[C]ProceedinsofIEEESmosium ? ? gyp:onInformationVisualization.LosAlamitosIEEEComuter p,Press2005:95Societ102-y
:[]ZetSecRadaravisualizationetal.N37houF,ShiR,ZhaoY,
situationalawareness[M]? sstemfornetworksecurit ? yy Cbersaceafetndecurit.New York:Sriner S Sypyypg a,InternationalPublishin2013:403641 -g
[]D:38umasM,RobertJM,McGuffinMJ.Alertwheelradial
biartiterahvisualizationaliedtointrusiondetection pgppp],():sstemalerts[J.IEEENetwork2012,2661812 -y[]Z:etal.Iti39haoY,ZhouFF,FanXP,DSRadararealme -
]visualizationframeworkforIDSalerts[J.ScienceChina ,():InformationSciences2013,568112 -
]S[0hiraviH,ShiraviA,GhorbaniA A.Situationalassessment4
:ofintrusionalertsamultiattackscenarioevaluation[M] ? ? :Informationndommunicationsecurit.Heidelber a C Syg,41Sriner2011:3993-pg
第5期赵 颖,等:网络安全数据可视化综述
697
[]N41etal.MoelS,JacobsM,KalaaP,ultilecoordinated pp
viewsfornetworkattackrahs[C]ProceedinsofIEEE ? ? gpgWorkshoonisualizationoromuterecurit.Los V f C Sppy :,AlamitosIEEEComuterSocietPress2005:99106 -py []W42illiamsL,LimannR,InolsK.GARNET:agrahical ppgp
attackrahandreachabilitnetworkevaluationtool[M]. gpy :,HeidelberSriner2008gpg
[]B43assT.Intrusiondetectionsstemsandmultisensordata y
]:fusion[J.CommunicationsoftheACM,2000,43(4)99 -105
[]Y:44inX,Yurcik W,TreasterM,eisFlowConnecttal.V
netflowisualizationsfinkelationshisorecurit v o l r f spysituationalwareness[C]? ProceedinsfheCM a? o t AgWorkshoonVisualizationandDataMininforComuter pgp :A,Securit.New YorkCM Press2004:2634-y
]F,M[etal.B5ischerF,FuchsJansmannF,ANKSAFE:visual4
]scanalticsforbidatainlarealecomuternetworks[J.- yggp ,InformationVisualizationJournal2013,6:110 -
]C[etal.A6henS,MerkleF,SchaeferH,nNetTecollaboration4
orientedvisualizationofnetworkdata[C]? Proceedinsof ? g:VisualAnalticsScienceandTechnolo.LosAlamitos ygy,IEEEComuterSocietPress2013:12 -py
[]B:47ensonJR,RamaraanJ.NOCturneascalablelareformat jg
visualizationfornetworkoerations[C]? Proceedinsof ? pg:VisualAnalticsScienceandTechnolo.LosAlamitos ygy,IEEEComuterSocietPress2013:34 -py
[:]P4earomannM,MaY A,WeiS,inRainanambient8tl.Sr gp
informationdislaC]? ProceedinsofVisualAnaltics ? py[gy:IScienceandTechnolo.LosAlamitosEEEComuter gyp,SocietPress2013:56-y