第七屆網絡安全可視化會議國際安全可視化發展現狀解讀

第七屆網絡安全可視化（International Symposium on Visualization for Cyber Security ，后文簡稱VizSec會議）最近在加拿大的渥太華市舉行。這是一個專注于安全領域可視化技術的小型國際會議，第一屆只是大型安全會議RAID（Recent Advance in Intrusion Detection）的一個小型討論會（Workshop），隨著這幾年的發展，已經成為和RAID一起舉辦的國際會議，并吸引了國際一流安全研究人員的投稿和關注。

傳統的VizSec主題集中在如何可視化入侵檢測系統的結果和對網絡報文的屬性進行可視化，以便通過人工發現警報，目前的VizSec的主題已擴展到更一般的網絡事件，數據源也從警報和報文擴展到流和流摘要這樣的網絡數據。本屆會議的文章主題更囊括了入侵檢測系統、流、拓撲、代碼安全、密鑰安全等多個方面，我們挑選出這次會議的兩篇文章，為大家簡單展示安全可視化在國際的發展現狀。

安全的地理可視化

通過地理視圖標注安全事件可以幫助用戶從全局把握惡意代碼的傳播痕跡和分布特點，但傳統的通過不同顏色的點來標注不同地區地理安全狀態的方法有很大的缺陷，本屆會議上，來自MIT的Tamara Yu等人發表的“EMBER: A Global Perspective on Extreme Malicious Behavio”一文，從另一個角度來展示地理安全視圖。Yu等人指出傳統的標注方法沒有考慮到擁有大量人口和網絡的大城市的安全事件的絕對數量自然要比發展中城市大，如果要對城市的安全水平有更好的了解，必須根據城市的計算機人口對安全事件進行正則化處理。

作者提出了EMBER（過度惡意行為觀測系統），該系統可以對城市的惡意行為活動等級進行觀測和分析。EMBER系統使用了名為標準事件率（SIR）的測度來評估不同城市的安全等級。直觀來看，該測度就是每個城市單位數量主機所呈現的惡意行為統計。EMBER通過以下的算法來進行SIR指數的計算：

1.首先將IP地址映射到所屬的地址城市；

2.根據第三方資源獲得該城市的人口信息；

3.根據從DShield獲得的攻擊日志統計每個城市的攻擊事件（以天為單位）；

4.根據IP地址和人口信息對攻擊事件數量進行正則化處理。

根據SIR指數的計算，同樣規模的大城市，東歐城市的SIR指數要遠高于地處東亞的韓國和日本城市。這種SIR指數的差異有多種原因，一方面說明東亞國家在網絡安全策略配置和用戶安全意識上要遠高于東歐國家，另一方面惡意代碼傳播的模型也會對SIR指數的分布有影響。Yu等人認為惡意代碼傾向于本地傳播的特性會加大SIR指數的不均勻性，導致了現實中城市的SIR指數呈現長尾分布，少數安全環境較差的城市會獲得非常高的SIR指數，而大多數城市的SIR指數則在相當長的范圍內分散。

安全事件發現

安全事件發現是安全事件可視化的傳統研究重點，隨著流量規模的不斷擴大，利用可視化計劃將流量完全展示出來讓管理員發現安全事件也變得越來越難。來自IBM的蘇黎世安全實驗室的Eduard Glatz發表的“Visualizing Host Traffic through Graphs”展示了如何在高速流量下通過可視化技術發現可疑流量。

作者提出了一種名為主機應用性質圖(HAP圖)的方法來描述主機的連接，HAP圖采用Socket機制來刻畫主機連接信息，通過本地地址、協議號、本地端口、遠程端口和遠程地址的順序將主機連接信息逐層連接成圖。通過HAP圖，作者首先對主機的性質進行描述，將主機劃分為不同種類的服務器、客戶端和P2P節點。根據主機的性質對連接中合法的流量進行剔除，那么剩下的就是可疑流量的候選。對于剩下的流量，作者舉例說明如何再從其中尋找掃描、DDoS等攻擊模式。