网络安全数据可视化概述的论文
随着网络通信技术的进步,飞速发展的网络应用对网络安全提出了很高的要求.一直以来,各种网络监控设备采集的大量日志数据是人们掌握网络状态和识别网络入侵的主要信息来源.网络安全分析人员在处理网络安全问题时,首先通过分析相应的数据来了解网络状态和发现异常现象,然后对异常事件的特征以及对网络的影响进行综合诊断,最后采取对应的响应措施.然而,随着网络安全需求的不断提升,网络安全分析人员在分析网络安全数据时遇到了很多新的困难:1)异构的数据源和持续增长的数据量给分析人员带来了繁重的认知负担;2)新攻击类型的出现和攻击复杂度的提高,使得很多传统的数据分析方法不再有效;3)大量漏报和误报是一些自动化异常检测系统的弊病;4)侧重于局部异常分析的传统思路,使得分析人员很难掌握宏观网络态势.如何帮助网络安全分析人员更高效地分析网络安全数据,已成为网络安全领域一个十分重要而且迫切的问题.在解决网络安全问题的过程中,人的认知和判断能力始终处于主导地位,一个能帮助人们更好地分析网络安全数据的实用办法就是将数据以图形图像的方式表现出来,并提供友好的交互手段,建立人与数据之间的图像通信,借助人们的视觉处理能力观察网络安全数据中隐含的信息,以进一步提高分析人员的感知、分析和理解网络安全问题的能力.因此,许多学者提出将可视化技术引入到网络安全研究领域中来,并逐步形成了网络安全可视化这一新的交叉研究领域.早在1995年Becker等就提出对网络流量状况进行可视化,之后 Girardind等[5]在1998年曾使用多种可视化技术来分析防火墙日志记录.从2004年开 始 举 办 的 国 际 网 络 安 全 可 视 化 年 会(visualizationforcybersecurity,VizSec),标志着该领域的正式建立,并且在2004~2006年集中涌现了一批高质量的研究成果,如图1所示.从2011年开始,国际可视分析挑战赛[7](VASTchallenge)连续3年都采用了网络安全数据作为竞赛题目,推动着该领域呈现出一个新研究热潮.国内网络安全可视化的研究起步相对较晚,哈尔滨工程大学、天津大学、北京邮电大学、吉林大学、北京大学和中南大学等研究机构的一些团队已开展了相关研究.经过十多年的发展,在网络安全可视化领域,学者们提出了许多新颖的可视化设计,并开发了诸多实用的交互式可视分析工具,这也为传统的网络安全研究方法和分析人员的工作方式注入了新的活力:1)分析人员的认知负担得以减轻;2)异常检测和特征分析变得更为直观;3)人们可以更自主地探索事件关联和复杂攻击模式,甚至发现新的攻击类型;4)网络安全态势的察觉和理解效率得以提高.本文首先介绍网络安全分析人员需要处理的各种网络安全数据源,并重点从网络安全问题和网络安全可视化方法这2个角度,对已有研究成果进行了系统的梳理,最后对网络安全可视化的发展趋势进行了展望.图1 网络安全可视化领域相关研究年度汇总表
1网络安全数据介绍网络安全分析人员需要处理的网络安全数据种类非常多,其中最重要数据源来自各种网络监控设备.根据位于不同逻辑层次和不同物理位置的各种网络监控设备所采集信息的特点,可以将网络监控数据分3类:流量监控数据、状态监控数据和事件监控数据,如表1所示.表1网络安全数据分类表分类 数据名称 数据源举例流量监控网络数据包日志 Tcpdump,WireShark网络数据流日志 CiscoNetFlow状态监控 状态监控日志 BigBrother,vSphere事件监控入侵检测系统日志 Cisco,SNORT防火墙日志 Cisco,Checkpoint,华为入侵保护系统日志 Cisco,IBM,天融信网络应用操作日志 Apache,Exchange,DNS弱点扫描与监控日志 Honeypots,eEye,Nessus其他数据 系统配置文件、病毒样本等等流量监控数据主要来自包级和流级2个采集层次.包级的流量监控会记录每个数据包的 TCP?IP包头信息和载荷内容;流级的流量监控会将一次网络会话的数据流聚合起来,只记录会话信息的方式数据量更小,也更加易于理解和管理.状态监控数据是指网络中各种软硬件资源的运行状态信息,如 CPU 利用率、网络吞吐率、邮件服务是否正常等等,它们可以通过SNMP协议或者通过安装一些专业的状态监控产品获得.事件监控数据又分为异常检测日志和日常操作记录.异常检测日志主要来自自动化的网络防御设备产生的报警事件,如防火墙和入侵检测系统,它们是以流量数据、状态数据等原始监控数据为基础,通过规则匹配和算法处理生成.日常操作记录来自各种网络服务和应用在运行过程中获取的用户操作信息,如管理服务器的用户登陆记录、域名服务器的域名解析请求记录等等.
另外,也可以将网络漏洞扫描数据和通过蜜罐获取的攻击者信息看作事件监控数据.网络安全分析人员在日常工作中还需要面对一些非监控型网络安全数据,如防火墙配置文件、网络路由表、病毒样本等.针对这些数据的可视化可以为分析人员提供多方面的帮助,如 Nataraj将恶意软件样本可视化为灰度图像,并利用图像特征对样本进行分类.Mansmann等采用Sunburst图形将防火墙配置规则树可视化,帮助管理员理解复杂的规则和辅助调优.2主要研究方法与发展现状网络安全可视化的研究,首先是确定网络安全分析人员关心的问题,也就是有什么数据,需要从数据中获取什么信息;然后是设计可视化结构来表示数据,建立数据到可视化结构的映射;最后是设计缩放、聚焦、回放和关联更新等人机交互功能,完成人与可视化工具的交流,从而帮助分析人员观察网络安全数据中隐含的信息,进一步提高分析人员的感知、分析和理解网络安全问题的能力.
无论是针对网络扫描、拒绝服务攻击、蠕虫传播等具体的网络入侵事件,还是针对网络监控、特征分析、态势感知等抽象的网络安全需求,面对不同的.网络安全问题和数据源,设计不同的可视化结构和交互手段、采用不同的技术路线和分析思路,便可以形成不同的网络安全可视化研究方法.从网络安全分析人员的角度出发,按照从简单到复杂、从单一到整体、从低层到高层的思路,可以将人们关心的网络安全问题和网络安全可视化在网络安全中的应用分为5类:网络监控、异常检测、特征分析、关联分析和态势感知.本节将逐类介绍主要的网络安全可视化研究方法和发展现状,表2所示为常见的网络安全问题和主要的网络安全可视化研究方法结合情况的整体概览.2.1网络监控从各种网络监控设备获取的数据中了解网络运行状态是网络安全分析人员关注的最基本问题,也是网络优化、异常检测、态势感知的基础.可视化的网络监控主要研究是按照时间顺序,如何将主机和端口等监控对象、流量和事件等监控内容使用图形图像的方式表达出来,以帮助分析人员快速了解网络运行状态.主机是网络活动的主体,也是最重要的监控对象.在网络空间中,IP地址是主机的唯一标识,针对IP地址的非物理位置特性和分段特性,学者们尝试了多 种 方 式 来 实 现 基 于 IP 地 址 的 网 络 监 控.IPmatrix采用了二维坐标定位和颜色映射的方法监控某B类网络中发生的事件,如图2a所示,X 和Y 值构成的坐标确定IP地址,不同事件类型映射为不同的颜色,但是这种方法表示的IP地址空间有限.Quantree技术将正方形进行多次四分后形成的512×512矩阵来表示4个字节的IPv4地址空间,图2b显示了基于该方法的IPv4全地址空间的流量监控,流量大小使用颜色编码;但其缺点是点阵太密集,不便于交互.Treemap在表示IP地址的分层特性时具有更好的交互性,如图2c所示,用户可以通过交互自由地查看分级汇总或细节信息,还能将其扩展到IPv6地址的表示.IP地址标识了主机,端口则标识了不同的网络应用,因此端口监控和主机监控有着同等重要的地位.PortVis用一个256×256的网格矩阵和颜色映射 方 法 表 示 65536个 端 口 的 流 量 情 况,如图2d所示,为防止过密的数据点的交互困难,系统还提供了区域选择和放大观察的交互方式.考虑到不同端口号区段的重要程度不同,可以将不太重要的端口号用较小的图元表示;如PortMatrix将网络端口号分为如图2e所示4类,其中100个连续的动态端口使用同一个方格表示.网络监控数据都具有时序特点,线条图、柱状图、堆叠图等适合时序数据表示的基本统计图形在网络安 全 可 视 化 中 应 用 很 广,图 2f显 示 了FlowScan[16]使用堆叠图可视化某校园网流量的时序变化情况,不同网络协议的流量用不同颜色编码,在进行统计时还区分了流入和流出的流量.为了实现整体和细节的统一,设计者通常会结合统计分析方法,将描述网络整体状态变化的时序图形与描述某时段网络具体状态的监控图形联动起来.因此,传统统计图形和统计方法一定程度上成为了各种新颖的可视化系统中不可或缺的标准配件.
3.总结与展望网络安全可视化将网络安全数据分析和可视化技术结合起来,通过提供图形化的交互工具,提高网络安全分析人员感知、分析和理解网络安全问题的能力.从本文的介绍中可以看出,网络安全可视化已经取得了丰硕的研究成果,但是面对越来越严重的网络安全威胁和越来越复杂的攻击手段,研究者们还面临着诸多的挑战:1)如何实时显示和处理大规模网络数据.目前大部分研究仍然停留在离线数据的分析上,但是实时分析远比离线分析重要.实时的网络安全可视化需求对数据预处理速度、图形绘制速度、交互响应速度都提出了更高的要求.2)如何搭建网络安全可视化的协同工作环境.解决大范围的复杂网络问题往往需要多数据源、多视图、多人的协同分析,因此现有的数据融合和多视图技术以及多人参与的网络安全协同可视分析环境都有较大的发展空间.3)如何提高网络安全可视化系统的易用性.对于目前大部分网络安全可视化系统,即使是有丰富经验的分析人员,都需要一定程度的培训后才能熟练使用,但网络安全可视化的受众本应更为广泛,因此需要加强网络安全可视化的易用性研究.4)如何研究出一套完整的理论体系.可视化方法研究主观性很强,解决网络安全问题的经验性要求高,网络安全可视化的有效性验证非常困难,因此在相关数学模型、基础理论和设计原则等方面开展深入研究势在必行.
【网络安全数据可视化概述的论文】相关文章:
网络安全与大数据的关系论文01-22
IP数据广播概述01-20
大数据时代网络安全研究论文01-21
大数据下网络安全与隐私保护研究论文01-23
大数据时代下网络安全与隐私保护论文03-23
网络安全分析的大数据技术实践解析论文12-03
数据可视化6步法01-17