- 相關推薦
網絡安全數據可視化概述論文
隨著網絡通信技術的進步,飛速發展的網絡應用對網絡安全提出了很高的要求。一直以來,各種網絡監控設備采集的大量日志數據是人們掌握網絡狀態和識別網絡入侵的主要信息來源。網絡安全分析人員在處理網絡安全問題時,首先通過分析相應的數據來了解網絡狀態和發現異常現象,然后對異常事件的特征以及對網絡的影響進行綜合診斷,最后采取對應的響應措施。然而,隨著網絡安全需求的不斷提升,網絡安全分析人員在分析網絡安全數據時遇到了很多新的困難:
1)異構的數據源和持續增長的數據量給分析人員帶來了繁重的認知負擔;
2)新攻擊類型的出現和攻擊復雜度的提高,使得很多傳統的數據分析方法不再有效;
3)大量漏報和誤報是一些自動化異常檢測系統的弊病;
4)側重于局部異常分析的傳統思路,使得分析人員很難掌握宏觀網絡態勢。如何幫助網絡安全分析人員更高效地分析網絡安全數據,已成為網絡安全領域一個十分重要而且迫切的問題。
在解決網絡安全問題的過程中,人的認知和判斷能力始終處于主導地位,一個能幫助人們更好地分析網絡安全數據的實用辦法就是將數據以圖形圖像的方式表現出來,并提供友好的交互手段,建立人與數據之間的圖像通信,借助人們的視覺處理能力觀察網絡安全數據中隱含的信息,以進一步提高分析人員的感知、分析和理解網絡安全問題的能力。因此,許多學者提出將可視化技術引入到網絡安全研究領域中來,并逐步形成了網絡安全可視化這一新的交叉研究領域。
早在1995年Becker等就提出對網絡流量狀況進行可視化,之后Girardind等在1998年曾使用多種可視化技術來分析防火墻日志記錄。從2004年開始舉辦的國際網絡安全可視化年會[6](visualization for cyber security,VizSec),標志著該領域的正式建立,并且在2004~2006年集中涌現了一批高質量的研究成果,如圖1所示。從2011年開始,國際可視分析挑戰賽[7](VAST challenge)連續3年都采用了網絡安全數據作為競賽題目,推動著該領域呈現出一個新研究熱潮。國內網絡安全可視化的研究起步相對較晚,哈爾濱工程大學、天津大學、北京郵電大學、吉林大學、北京大學和中南大學等研究機構的一些團隊已開展了相關研究。經過十多年的發展,在網絡安全可視化領域,學者們提出了許多新穎的可視化設計,并開發了諸多實用的交互式可視分析工具,這也為傳統的網絡安全研究方法和分析人員的工作方式注入了新的活力:
1)分析人員的認知負擔得以減輕;
2)異常檢測和特征分析變得更為直觀;
3)人們可以更自主地探索事件關聯和復雜攻擊模式,甚至發現新的攻擊類型;
4)網絡安全態勢的察覺和理解效率得以提高。
本文首先介紹網絡安全分析人員需要處理的各種網絡安全數據源,并重點從網絡安全問題和網絡安全可視化方法這2個角度,對已有研究成果進行了系統的梳理,最后對網絡安全可視化的發展趨勢進行了展望。
1 網絡安全數據介紹
網絡安全分析人員需要處理的網絡安全數據種類非常多,其中最重要數據源來自各種網絡監控設備。根據位于不同邏輯層次和不同物理位置的各種網絡監控設備所采集信息的特點,可以將網絡監控數據分3類:流量監控數據、狀態監控數據和事件監控數據,流量監控數據主要來自包級和流級2個采集層次。包級的流量監控會記錄每個數據包的TCP?IP包頭信息和載荷內容;流級的流量監控會將一次網絡會話的數據流聚合起來,只記錄會話信息的方式數據量更小,也更加易于理解和管理。狀態監控數據是指網絡中各種軟硬件資源的運行狀態信息,如CPU 利用率、網絡吞吐率、郵件服務是否正常等等,它們可以通過SNMP協議或者通過安裝一些專業的狀態監控產品獲得。事件監控數據又分為異常檢測日志和日常操作記錄。異常檢測日志主要來自自動化的網絡防御設備產生的報警事件,如防火墻和入侵檢測系統,它們是以流量數據、狀態數據等原始監控數據為基礎,通過規則匹配和算法處理生成。日常操作記錄來自各種網絡服務和應用在運行過程中獲取的用戶操作信息,如管理服務器的用戶登陸記錄、域名服務器的域名解析請求記錄等等。另外,也可以將網絡漏洞掃描數據和通過蜜罐獲取的攻擊者信息看作事件監控數據。網絡安全分析人員在日常工作中還需要面對一些非監控型網絡安全數據,如防火墻配置文件、網絡路由表、病毒樣本等。針對這些數據的可視化可以為分析人員提供多方面的幫助,如Nataraj等將惡意軟件樣本可視化為灰度圖像,并利用圖像特征對樣本進行分類。Mansmann等采用Sunburst圖形將防火墻配置規則樹可視化,幫助管理員理解復雜的規則和輔助調優。
2 主要研究方法與發展現狀
網絡安全可視化的研究,首先是確定網絡安全分析人員關心的問題,也就是有什么數據,需要從數據中獲取什么信息;然后是設計可視化結構來表示數據,建立數據到可視化結構的映射;最后是設計縮放、聚焦、回放和關聯更新等人機交互功能,完成人與可視化工具的交流,從而幫助分析人員觀察網絡安全數據中隱含的信息,進一步提高分析人員的感知、分析和理解網絡安全問題的能力。無論是針對網絡掃描、拒絕服務攻擊、蠕蟲傳播等具體的網絡入侵事件,還是針對網絡監控、特征分析、態勢感知等抽象的網絡安全需求,面對不同的網絡安全問題和數據源,設計不同的可視化結構和交互手段、采用不同的技術路線和分析思路,便可以形成不同的網絡安全可視化研究方法。
從網絡安全分析人員的角度出發,按照從簡單到復雜、從單一到整體、從低層到高層的思路,可以將人們關心的網絡安全問題和網絡安全可視化在網絡安全中的應用分為5類:網絡監控、異常檢測、特征分析、關聯分析和態勢感知。本節將逐類介紹主要的網絡安全可視化研究方法和發展現狀,所示為常見的網絡安全問題和主要的網絡安全可視化研究方法結合情況的整體概覽。
從各種網絡監控設備獲取的數據中了解網絡運行狀態是網絡安全分析人員關注的最基本問題,也是網絡優化、異常檢測、態勢感知的基礎。可視化的網絡監控主要研究是按照時間順序,如何將主機和端口等監控對象、流量和事件等監控內容使用圖形圖像的方式表達出來,以幫助分析人員快速了解網絡運行狀態。
3總結與展望
網絡安全可視化將網絡安全數據分析和可視化技術結合起來,通過提供圖形化的交互工具,提高網絡安全分析人員感知、分析和理解網絡安全問題的能力。從本文的介紹中可以看出,網絡安全可視化已經取得了豐碩的研究成果,但是面對越來越嚴重的網絡安全威脅和越來越復雜的攻擊手段,研究者們還面臨著諸多的挑戰:
1)如何實時顯示和處理大規模網絡數據。目前大部分研究仍然停留在離線數據的分析上,但是實時分析遠比離線分析重要。實時的網絡安全可視化需求對數據預處理速度、圖形繪制速度、交互響應速度都提出了更高的要求。
2)如何搭建網絡安全可視化的協同工作環境。解決大范圍的復雜網絡問題往往需要多數據源、多視圖、多人的協同分析,因此現有的數據融合和多視圖技術以及多人參與的網絡安全協同可視分析環境都有較大的發展空間。
3)如何提高網絡安全可視化系統的易用性。對于目前大部分網絡安全可視化系統,即使是有豐富經驗的分析人員,都需要一定程度的培訓后才能熟練使用,但網絡安全可視化的受眾本應更為廣泛,因此需要加強網絡安全可視化的易用性研究。
4)如何研究出一套完整的理論體系。可視化方法研究主觀性很強,解決網絡安全問題的經驗性要求高,網絡安全可視化的有效性驗證非常困難,因此在相關數學模型、基礎理論和設計原則等方面開展深入研究勢在必行
【網絡安全數據可視化概述論文】相關文章:
試論新媒體時代數據新聞的可視化傳播論文08-15
數據通信網絡維護與網絡安全分析論文10-29
提高數據通信網絡安全的對策論文09-10
學位論文寫作方法概述08-26
網絡廣告研究概述論文06-10
數據建模論文格式06-29
可視化系統物資管理論文04-27
數據新聞畢業論文07-24
對要約收購的概述-法律論文范文05-03