網(wǎng)絡(luò )安全數據可視化概述論文

　　隨著(zhù)網(wǎng)絡(luò )通信技術(shù)的進(jìn)步，飛速發(fā)展的網(wǎng)絡(luò )應用對網(wǎng)絡(luò )安全提出了很高的要求。一直以來(lái)，各種網(wǎng)絡(luò )監控設備采集的大量日志數據是人們掌握網(wǎng)絡(luò )狀態(tài)和識別網(wǎng)絡(luò )入侵的主要信息來(lái)源。網(wǎng)絡(luò )安全分析人員在處理網(wǎng)絡(luò )安全問(wèn)題時(shí)，首先通過(guò)分析相應的數據來(lái)了解網(wǎng)絡(luò )狀態(tài)和發(fā)現異�，F象，然后對異常事件的特征以及對網(wǎng)絡(luò )的影響進(jìn)行綜合診斷，最后采取對應的響應措施。然而，隨著(zhù)網(wǎng)絡(luò )安全需求的不斷提升，網(wǎng)絡(luò )安全分析人員在分析網(wǎng)絡(luò )安全數據時(shí)遇到了很多新的困難：

　　1）異構的數據源和持續增長(cháng)的數據量給分析人員帶來(lái)了繁重的認知負擔；

　　2）新攻擊類(lèi)型的出現和攻擊復雜度的提高，使得很多傳統的數據分析方法不再有效；

　　3）大量漏報和誤報是一些自動(dòng)化異常檢測系統的弊��；

　　4）側重于局部異常分析的傳統思路，使得分析人員很難掌握宏觀(guān)網(wǎng)絡(luò )態(tài)勢。如何幫助網(wǎng)絡(luò )安全分析人員更高效地分析網(wǎng)絡(luò )安全數據，已成為網(wǎng)絡(luò )安全領(lǐng)域一個(gè)十分重要而且迫切的問(wèn)題。

　　在解決網(wǎng)絡(luò )安全問(wèn)題的過(guò)程中，人的認知和判斷能力始終處于主導地位，一個(gè)能幫助人們更好地分析網(wǎng)絡(luò )安全數據的實(shí)用辦法就是將數據以圖形圖像的方式表現出來(lái)，并提供友好的交互手段，建立人與數據之間的圖像通信，借助人們的視覺(jué)處理能力觀(guān)察網(wǎng)絡(luò )安全數據中隱含的信息，以進(jìn)一步提高分析人員的感知、分析和理解網(wǎng)絡(luò )安全問(wèn)題的能力。因此，許多學(xué)者提出將可視化技術(shù)引入到網(wǎng)絡(luò )安全研究領(lǐng)域中來(lái)，并逐步形成了網(wǎng)絡(luò )安全可視化這一新的交叉研究領(lǐng)域。

　　早在1995年Becker等就提出對網(wǎng)絡(luò )流量狀況進(jìn)行可視化，之后Girardind等在1998年曾使用多種可視化技術(shù)來(lái)分析防火墻日志記錄。從2004年開(kāi)始舉辦的國際網(wǎng)絡(luò )安全可視化年會(huì )[6]（visualization for cyber security，VizSec），標志著(zhù)該領(lǐng)域的正式建立，并且在2004～2006年集中涌現了一批高質(zhì)量的研究成果，如圖1所示。從2011年開(kāi)始，國際可視分析挑戰賽[7]（VAST challenge）連續3年都采用了網(wǎng)絡(luò )安全數據作為競賽題目，推動(dòng)著(zhù)該領(lǐng)域呈現出一個(gè)新研究熱潮。國內網(wǎng)絡(luò )安全可視化的研究起步相對較晚，哈爾濱工程大學(xué)、天津大學(xué)、北京郵電大學(xué)、吉林大學(xué)、北京大學(xué)和中南大學(xué)等研究機構的一些團隊已開(kāi)展了相關(guān)研究。經(jīng)過(guò)十多年的發(fā)展，在網(wǎng)絡(luò )安全可視化領(lǐng)域，學(xué)者們提出了許多新穎的可視化設計，并開(kāi)發(fā)了諸多實(shí)用的交互式可視分析工具，這也為傳統的網(wǎng)絡(luò )安全研究方法和分析人員的工作方式注入了新的活力：

　　1）分析人員的認知負擔得以減輕；

　　2）異常檢測和特征分析變得更為直觀(guān)；

　　3）人們可以更自主地探索事件關(guān)聯(lián)和復雜攻擊模式，甚至發(fā)現新的攻擊類(lèi)型；

　　4）網(wǎng)絡(luò )安全態(tài)勢的察覺(jué)和理解效率得以提高。

　　本文首先介紹網(wǎng)絡(luò )安全分析人員需要處理的各種網(wǎng)絡(luò )安全數據源，并重點(diǎn)從網(wǎng)絡(luò )安全問(wèn)題和網(wǎng)絡(luò )安全可視化方法這2個(gè)角度，對已有研究成果進(jìn)行了系統的梳理，最后對網(wǎng)絡(luò )安全可視化的發(fā)展趨勢進(jìn)行了展望。

　　1 網(wǎng)絡(luò )安全數據介紹

　　網(wǎng)絡(luò )安全分析人員需要處理的網(wǎng)絡(luò )安全數據種類(lèi)非常多，其中最重要數據源來(lái)自各種網(wǎng)絡(luò )監控設備。根據位于不同邏輯層次和不同物理位置的各種網(wǎng)絡(luò )監控設備所采集信息的特點(diǎn)，可以將網(wǎng)絡(luò )監控數據分3類(lèi)：流量監控數據、狀態(tài)監控數據和事件監控數據，流量監控數據主要來(lái)自包級和流級2個(gè)采集層次。包級的流量監控會(huì )記錄每個(gè)數據包的TCP？IP包頭信息和載荷內容；流級的流量監控會(huì )將一次網(wǎng)絡(luò )會(huì )話(huà)的數據流聚合起來(lái)，只記錄會(huì )話(huà)信息的方式數據量更小，也更加易于理解和管理。狀態(tài)監控數據是指網(wǎng)絡(luò )中各種軟硬件資源的運行狀態(tài)信息，如CPU 利用率、網(wǎng)絡(luò )吞吐率、郵件服務(wù)是否正常等等，它們可以通過(guò)SNMP協(xié)議或者通過(guò)安裝一些專(zhuān)業(yè)的狀態(tài)監控產(chǎn)品獲得。事件監控數據又分為異常檢測日志和日常操作記錄。異常檢測日志主要來(lái)自自動(dòng)化的網(wǎng)絡(luò )防御設備產(chǎn)生的報警事件，如防火墻和入侵檢測系統，它們是以流量數據、狀態(tài)數據等原始監控數據為基礎，通過(guò)規則匹配和算法處理生成。日常操作記錄來(lái)自各種網(wǎng)絡(luò )服務(wù)和應用在運行過(guò)程中獲取的用戶(hù)操作信息，如管理服務(wù)器的用戶(hù)登陸記錄、域名服務(wù)器的域名解析請求記錄等等。另外，也可以將網(wǎng)絡(luò )漏洞掃描數據和通過(guò)蜜罐獲取的攻擊者信息看作事件監控數據。網(wǎng)絡(luò )安全分析人員在日常工作中還需要面對一些非監控型網(wǎng)絡(luò )安全數據，如防火墻配置文件、網(wǎng)絡(luò )路由表、病毒樣本等。針對這些數據的可視化可以為分析人員提供多方面的幫助，如Nataraj等將惡意軟件樣本可視化為灰度圖像，并利用圖像特征對樣本進(jìn)行分類(lèi)。Mansmann等采用Sunburst圖形將防火墻配置規則樹(shù)可視化，幫助管理員理解復雜的規則和輔助調優(yōu)。

　　2 主要研究方法與發(fā)展現狀

　　網(wǎng)絡(luò )安全可視化的研究，首先是確定網(wǎng)絡(luò )安全分析人員關(guān)心的問(wèn)題，也就是有什么數據，需要從數據中獲取什么信息；然后是設計可視化結構來(lái)表示數據，建立數據到可視化結構的映射；最后是設計縮放、聚焦、回放和關(guān)聯(lián)更新等人機交互功能，完成人與可視化工具的交流，從而幫助分析人員觀(guān)察網(wǎng)絡(luò )安全數據中隱含的信息，進(jìn)一步提高分析人員的感知、分析和理解網(wǎng)絡(luò )安全問(wèn)題的能力。無(wú)論是針對網(wǎng)絡(luò )掃描、拒絕服務(wù)攻擊、蠕蟲(chóng)傳播等具體的網(wǎng)絡(luò )入侵事件，還是針對網(wǎng)絡(luò )監控、特征分析、態(tài)勢感知等抽象的網(wǎng)絡(luò )安全需求，面對不同的網(wǎng)絡(luò )安全問(wèn)題和數據源，設計不同的可視化結構和交互手段、采用不同的技術(shù)路線(xiàn)和分析思路，便可以形成不同的網(wǎng)絡(luò )安全可視化研究方法。

　　從網(wǎng)絡(luò )安全分析人員的角度出發(fā)，按照從簡(jiǎn)單到復雜、從單一到整體、從低層到高層的思路，可以將人們關(guān)心的網(wǎng)絡(luò )安全問(wèn)題和網(wǎng)絡(luò )安全可視化在網(wǎng)絡(luò )安全中的應用分為5類(lèi)：網(wǎng)絡(luò )監控、異常檢測、特征分析、關(guān)聯(lián)分析和態(tài)勢感知。本節將逐類(lèi)介紹主要的網(wǎng)絡(luò )安全可視化研究方法和發(fā)展現狀，所示為常見(jiàn)的網(wǎng)絡(luò )安全問(wèn)題和主要的網(wǎng)絡(luò )安全可視化研究方法結合情況的整體概覽。

　　從各種網(wǎng)絡(luò )監控設備獲取的數據中了解網(wǎng)絡(luò )運行狀態(tài)是網(wǎng)絡(luò )安全分析人員關(guān)注的最基本問(wèn)題，也是網(wǎng)絡(luò )優(yōu)化、異常檢測、態(tài)勢感知的基礎�？梢暬�的網(wǎng)絡(luò )監控主要研究是按照時(shí)間順序，如何將主機和端口等監控對象、流量和事件等監控內容使用圖形圖像的方式表達出來(lái)，以幫助分析人員快速了解網(wǎng)絡(luò )運行狀態(tài)。

　　3總結與展望

　　網(wǎng)絡(luò )安全可視化將網(wǎng)絡(luò )安全數據分析和可視化技術(shù)結合起來(lái)，通過(guò)提供圖形化的交互工具，提高網(wǎng)絡(luò )安全分析人員感知、分析和理解網(wǎng)絡(luò )安全問(wèn)題的能力。從本文的介紹中可以看出，網(wǎng)絡(luò )安全可視化已經(jīng)取得了豐碩的研究成果，但是面對越來(lái)越嚴重的網(wǎng)絡(luò )安全威脅和越來(lái)越復雜的攻擊手段，研究者們還面臨著(zhù)諸多的挑戰：

　　1）如何實(shí)時(shí)顯示和處理大規模網(wǎng)絡(luò )數據。目前大部分研究仍然停留在離線(xiàn)數據的分析上，但是實(shí)時(shí)分析遠比離線(xiàn)分析重要。實(shí)時(shí)的網(wǎng)絡(luò )安全可視化需求對數據預處理速度、圖形繪制速度、交互響應速度都提出了更高的要求。

　　2）如何搭建網(wǎng)絡(luò )安全可視化的協(xié)同工作環(huán)境。解決大范圍的復雜網(wǎng)絡(luò )問(wèn)題往往需要多數據源、多視圖、多人的協(xié)同分析，因此現有的數據融合和多視圖技術(shù)以及多人參與的網(wǎng)絡(luò )安全協(xié)同可視分析環(huán)境都有較大的發(fā)展空間。

　　3）如何提高網(wǎng)絡(luò )安全可視化系統的易用性。對于目前大部分網(wǎng)絡(luò )安全可視化系統，即使是有豐富經(jīng)驗的分析人員，都需要一定程度的培訓后才能熟練使用，但網(wǎng)絡(luò )安全可視化的受眾本應更為廣泛，因此需要加強網(wǎng)絡(luò )安全可視化的易用性研究。

　　4）如何研究出一套完整的理論體系�？梢暬�方法研究主觀(guān)性很強，解決網(wǎng)絡(luò )安全問(wèn)題的經(jīng)驗性要求高，網(wǎng)絡(luò )安全可視化的有效性驗證非常困難，因此在相關(guān)數學(xué)模型、基礎理論和設計原則等方面開(kāi)展深入研究勢在必行

【網(wǎng)絡(luò )安全數據可視化概述論文】相關(guān)文章：

試論新媒體時(shí)代數據新聞的可視化傳播論文08-15

關(guān)于基于大數據的分布網(wǎng)絡(luò )安全管理系統構建的論文05-07

數據通信網(wǎng)絡(luò )維護與網(wǎng)絡(luò )安全分析論文10-29

提高數據通信網(wǎng)絡(luò )安全的對策論文09-10

學(xué)位論文寫(xiě)作方法概述08-26

網(wǎng)絡(luò )廣告研究概述論文06-10

數據建模論文格式06-29

可視化系統物資管理論文04-27

數據新聞畢業(yè)論文07-24

對要約收購的概述-法律論文范文05-03