網絡安全數據可視化研究

李星華

【摘 要】網絡安全數據可視化與可視分析所依賴的基礎是數據，而網絡安全數據時代數據的來源眾多，且多來自于異構環境。即使獲得數據源，得到的數據的完整性、一致性、準確性都難以保證，數據質量的不確定問題將直接影響可視分析的科學性和準確性。文章基于此，重點就網絡安全數據可視化進行了研究和分析。

【關鍵詞】網絡安全；數據可視化；數據源

信息可視化領域經過幾十年的發展，積累了大量各具特色的可視化表征，這將為網絡安全數據可視化提供有力的支持。然而，絕大多數在當時看來創新的可視化技術，只能被少部分研究人員所接收，卻難以獲得廣泛的認可和應用。原因在于大量的可視化表征的創造僅僅在于追求技術角度的創新，而忽視了可視化尤其是信息可視化領域的本源——符合人的認知規律和心理映像。針對網絡安全數據所固有的特點，未來仍將涌現更多的可視化表征。然而目前仍缺乏公認的科學評價機制，對可視化表征設計的合理性、自然性、直觀性及有效性等進行評估。

1網絡安全可視化面臨的問題

網絡規模越來越大，網絡安全數據量也急劇增長，網絡中的主機還呈現出動態變化的特點。網絡安全數據種類較多，它們之間既存在相關性和互補性，也存在冗余性，現有的可視化工具大多只針對單種數據源，如何借助可視化技術發揮多源安全數據的優勢是亟待解決的問題。可視化技術可以提高人們對網絡異常的認知效率，但是如何幫助網絡管理人員快速建立對所監管的網絡整體情況的有效認知，甚至是態勢評估，顯得尤為重要。為了應對這些挑戰，設計并實現了一個應對大規模動態網絡的多源網絡安全數據協同可視分析系統，該系統的特點包括：從多種異構的網絡安全數據中提取具有統一格式描述的事件信息和統計信息，將多源數據融合起來作為可視分析的數據輸入。構建基于網絡拓撲結構的自動布局方法，它能夠適應網絡主機的動態變化，也可以更快捷地幫助用戶定位異常。設計了基于雷達圖和對比堆疊流圖的可視化工具，幫助用戶發現網絡異常，識別攻擊模式，分析事件關聯。

2網絡安全可視化的發展現狀

網絡安全可視化的研究，首先是確定網絡安全分析人員關心的問題，也就是有什么數據，需要從數據中獲取什么信息；然后是設計可視化結構來表示數據，建立數據到可視化結構的映射；最后是設計縮放、聚焦、回放和關聯更新等人機交互功能，完成人與可視化工具的交流，從而幫助分析人員觀察網絡安全數據中隱含的信息，進一步提高分析人員的感知、分析和理解網絡安全問題的能力。無論是針對網絡掃描、拒絕服務攻擊、蠕蟲傳播等具體的網絡入侵事件，還是針對網絡監控、特征分析、態勢感知等抽象的網絡安全需求，面對不同的網絡安全問題和數據源，設計不同的可視化結構和交互手段、采用不同的技術路線和分析思路，便可以形成不同的網絡安全可視化研究方法。從網絡安全分析人員的角度出發，按照從簡單到復雜、從單一到整體、從低層到高層的思路，可以將人們關心的網絡安全問題和網絡安全可視化在網絡安全中的應用分為5類：網絡監控、異常檢測、特征分析、關聯分析和態勢感知。

3網絡安全數據可視化技術

3.1文本可視化

文本信息是網絡安全數據時代非結構化數據類型的典型代表，是互聯網中最主要的信息類型，也是物聯網各種傳感器采集后生成的主要信息類型，人們日常工作和生活中接觸最多的電子文檔也是以文本形式存在。文本可視化的意義在于，能夠將文本中蘊含的語義特征（例如詞頻與重要度、邏輯結構、主題聚類、動態演化規律等）直觀地展示出來。典型的文本可視化技術是標簽云（wordclouds或tagclouds），將關鍵詞根據詞頻或其他規則進行排序，按照一定規律進行布局排列，用大小、顏色、字體等圖形屬性對關鍵詞進行可視化。目前，大多用字體大小代表該關鍵詞的重要性，在互聯網應用中，多用于快速識別網絡媒體的主題熱度。當關鍵詞數量規模不斷增大時，若不設置閾值，將出現布局密集和重疊覆蓋問題，此時需提供交互接口允許用戶對關鍵詞進行操作，通常蘊含著邏輯層次結構和一定的敘述模式，為了對結構語義進行可視化，研究者提出了文本的語義結構可視化技術。基于主題的文本聚類是文本數據挖掘的重要研究內容，為了可視化展示文本聚類效果，通常將一維的文本信息投射到二維空間中，以便于對聚類中的關系予以展示。

3.2網絡可視化

網絡關聯關系是網絡安全數據中最常見的關系，例如互聯網與社交網絡。層次結構數據也屬于網絡信息的一種特殊情況。基于網絡節點和連接的拓撲關系，直觀地展示網絡中潛在的模式關系，例如節點或邊聚集性，是網絡可視化的主要內容之一。對于具有海量節點和邊的大規模網絡，如何在有限的屏幕空間中進行可視化，將是網絡安全數據時代面臨的難點和重點。除了對靜態的網絡拓撲關系進行可視化，網絡安全數據相關的網絡往往具有動態演化性，因此，如何對動態網絡的特征進行可視化，也是不可或缺的研究內容。研究者提出了大量網絡可視化或圖可視化技術。經典的基于節點和邊可視化，是圖可視化的主要形式。圖中主要展示了具有層次特征的圖可視化的典型技術，例如H狀樹H-Tree、圓錐樹ConeTree、氣球圖BalloonView、放射圖RadialGraph、三維放射圖3DRadial、雙曲樹HyperbolicTree等。對于具有層次特征的圖，空間填充法也是常采用的可視化方法，例如樹圖技術Treemaps及其改進技術。這些圖可視化方法技術的特點是直觀表達了圖節點之間的關系，但算法難以支撐大規模圖的可視化，并且只有當圖的規模在界面像素總數規模范圍以內時效果才較好，因此面臨網絡安全數據中的圖，需要對這些方法進行改進，例如計算并行化、圖聚簇簡化可視化、多尺度交互等。

4結束語

網絡安全可視化技術是網絡安全領域一個新的研究熱點，本文面向網絡安全數據可視化技術做了探討和分析，同時探討了支持可視分析的人機交互技術，包括支持可視分析過程的界面隱喻與交互組件、多尺度/多焦點/多側面交互技術、面向 Post-WIMP 的自然交互技術，最后，指出了網絡安全數據可視分析領域面臨的瓶頸問題與技術挑戰。

參考文獻：

[1]郭山清，多態蠕蟲的研究與進展[J].計算機科學與探索，2015

[2]劉斌，分布式拒絕服務攻擊研究新進展綜述[J].電子學報，2016