一種實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化技術(shù)研究及實(shí)現(xiàn)

王 琳 胡曉勤

(四川大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與安全研究所 成都 610065)

?

一種實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化技術(shù)研究及實(shí)現(xiàn)

王 琳 胡曉勤

(四川大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與安全研究所 成都 610065)

(245105947@qq.com)

現(xiàn)今網(wǎng)絡(luò)惡意行為呈爆炸性增長(zhǎng)，而傳統(tǒng)的基于文本及簡(jiǎn)單圖表的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在面對(duì)海量網(wǎng)絡(luò)數(shù)據(jù)時(shí)存在認(rèn)知負(fù)擔(dān)過重以及呈現(xiàn)不及時(shí)的問題.基于入侵檢測(cè)的實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化技術(shù)則可以將海量數(shù)據(jù)以圖形圖像的方式實(shí)時(shí)動(dòng)態(tài)直觀地表現(xiàn)出來，通過在人和網(wǎng)絡(luò)威脅流量之間建立實(shí)時(shí)的圖像通信，可以使人能夠及時(shí)理解并發(fā)現(xiàn)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)，以便于快速管理及控制當(dāng)前網(wǎng)絡(luò)安全狀況.

風(fēng)險(xiǎn)評(píng)估；網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化；實(shí)時(shí)可視化；人工免疫算法；網(wǎng)絡(luò)安全

隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)安全事件也層出不窮，為了滿足網(wǎng)絡(luò)安全需求，防火墻、流量監(jiān)控系統(tǒng)、主機(jī)狀態(tài)監(jiān)控系統(tǒng)和入侵檢測(cè)系統(tǒng)等各種網(wǎng)絡(luò)監(jiān)控和防御設(shè)備經(jīng)常被用來保護(hù)網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)運(yùn)行過程中這些安全產(chǎn)品會(huì)產(chǎn)生大量日志，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，在相關(guān)日志中會(huì)或多或少地留下攻擊的痕跡，因此，國(guó)內(nèi)外研究者一直都在不斷探索如何通過分析日志，掌握整個(gè)網(wǎng)絡(luò)的負(fù)載狀況、安全狀況以及運(yùn)行態(tài)勢(shì)[1-5].但這樣的管理及分析技術(shù)都不能在網(wǎng)絡(luò)安全事件發(fā)生時(shí)動(dòng)態(tài)地呈現(xiàn)當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況，并存在事后分析工作困難等特點(diǎn).

本文設(shè)計(jì)了一種新型的網(wǎng)絡(luò)威脅實(shí)時(shí)可視化系統(tǒng)，通過風(fēng)險(xiǎn)評(píng)估對(duì)當(dāng)前網(wǎng)絡(luò)威脅進(jìn)行實(shí)時(shí)發(fā)現(xiàn)，再通過瀏覽器動(dòng)畫實(shí)時(shí)渲染技術(shù)將網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)呈現(xiàn)，極大地方便了管理員對(duì)當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行理解和管理.

1 基礎(chǔ)技術(shù)

1.1 基于人工免疫的風(fēng)險(xiǎn)評(píng)估方法

人工免疫的原理形成主要源自于生物體自然免疫.對(duì)于計(jì)算機(jī)科學(xué)來說，人們發(fā)現(xiàn)生物體的自然免疫系統(tǒng)有很多地方值得很好的借鑒，通過不斷的研究發(fā)現(xiàn)，形成了計(jì)算機(jī)科學(xué)的一個(gè)十分重要的分支：計(jì)算機(jī)免疫系統(tǒng)(computer immune system, CIS)[6-9].而把人工免疫理論運(yùn)用于入侵檢測(cè)系統(tǒng)中，建立數(shù)學(xué)模型，從而對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行實(shí)時(shí)、定量的風(fēng)險(xiǎn)評(píng)估，不僅使獲得的風(fēng)險(xiǎn)評(píng)估值具有很好的理論基礎(chǔ)，并且也具有很好的實(shí)用價(jià)值，能夠很好反映網(wǎng)絡(luò)當(dāng)前的風(fēng)險(xiǎn)狀況.

在入侵防御系統(tǒng)中的檢測(cè)規(guī)則可看作自然免疫系統(tǒng)中的抗體，而入侵的攻擊包則可表示成抗原，可以據(jù)此建立數(shù)學(xué)模型計(jì)算風(fēng)險(xiǎn)值[10-14].當(dāng)攻擊包到來時(shí)入侵防御系統(tǒng)進(jìn)行特征匹配，模擬抗體匹配到抗原，從而增加抗體濃度，當(dāng)抗原大量入侵時(shí)，作為抗體的濃度就會(huì)不斷增加，而當(dāng)正常的網(wǎng)絡(luò)數(shù)據(jù)包到來時(shí)，相應(yīng)地衰減抗體濃度值，即表示攻擊強(qiáng)度越大則相應(yīng)的該攻擊的抗體濃度值也越大，從而反映網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況.

1.2 WebSocket

本系統(tǒng)利用WebSocket API[16]，瀏覽器和服務(wù)器只需要做一個(gè)握手的動(dòng)作，瀏覽器和服務(wù)器之間就形成一條快速通道，可以將當(dāng)前網(wǎng)絡(luò)狀況實(shí)時(shí)地傳送到瀏覽器端進(jìn)行實(shí)時(shí)渲染，實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況實(shí)時(shí)展現(xiàn).

1.3 Canvas

在瀏覽器中實(shí)現(xiàn)動(dòng)畫有多種方式，現(xiàn)今比較流行的2種方式是使用Flash技術(shù)和Canvas[16-17]技術(shù).Canvas算是一個(gè)新生兒，F(xiàn)lash已經(jīng)發(fā)展得相當(dāng)成熟，可以利用GPU加速實(shí)現(xiàn)動(dòng)畫高效運(yùn)行.然而Flash當(dāng)今唯一的缺憾就是不能兼容手機(jī)端，并且瀏覽器要播放Flash動(dòng)畫必須依靠插件.新標(biāo)準(zhǔn)的Canvas不存在這樣的問題，Canvas由瀏覽器直接提供支持，兼容PC端與手機(jī)端，各大瀏覽器廠商都在積極支持，并且當(dāng)前已支持動(dòng)畫后臺(tái)掛起，以支持運(yùn)行在前臺(tái)的動(dòng)畫高效運(yùn)行.考慮到Canvas強(qiáng)大的生命力和潛力，本系統(tǒng)采用新標(biāo)準(zhǔn)中的Canvas對(duì)網(wǎng)絡(luò)攻擊流量動(dòng)畫、網(wǎng)絡(luò)與主機(jī)心跳動(dòng)畫進(jìn)行實(shí)時(shí)表現(xiàn)，使用戶更好地理解攻擊的來源與去向以及網(wǎng)絡(luò)和主機(jī)的風(fēng)險(xiǎn)值.

2 實(shí)時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化

2.1 可視化模型

系統(tǒng)主要包含風(fēng)險(xiǎn)評(píng)估、Web服務(wù)器以及風(fēng)險(xiǎn)展示3個(gè)部分.

風(fēng)險(xiǎn)評(píng)估模塊主要負(fù)責(zé)數(shù)據(jù)包的捕獲、分析以及風(fēng)險(xiǎn)值計(jì)算[10-15]，日志記錄模塊包含在風(fēng)險(xiǎn)引擎中，主要負(fù)責(zé)風(fēng)險(xiǎn)值計(jì)算后的日志記錄.服務(wù)器主要負(fù)責(zé)應(yīng)答瀏覽器請(qǐng)求.風(fēng)險(xiǎn)展示模塊主要負(fù)責(zé)動(dòng)畫的展示及與用戶的交互.

系統(tǒng)架構(gòu)設(shè)計(jì)如圖1所示.

圖1 風(fēng)險(xiǎn)可視化系統(tǒng)結(jié)構(gòu)

2.2 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估模塊根據(jù)基于免疫理論的風(fēng)險(xiǎn)評(píng)估模型把每個(gè)攻擊類別模擬成記憶細(xì)胞，然后獲取入侵防御系統(tǒng)對(duì)數(shù)據(jù)包的檢測(cè)結(jié)果來相應(yīng)地增加或衰減記憶細(xì)胞的抗體濃度值.然后獲取所有濃度值進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)值計(jì)算，完成后如果有Socket連接， 就將數(shù)據(jù)寫入Socket，然后再將數(shù)據(jù)交由日志記錄模塊進(jìn)行日志記錄，以備后期數(shù)據(jù)查詢使用.

2.3 Web助理

當(dāng)用戶打開瀏覽器進(jìn)入系統(tǒng)時(shí)，瀏覽器先將基本頁(yè)面請(qǐng)求下來進(jìn)行渲染，接著，瀏覽器發(fā)起一個(gè)帶有WebSocket連接請(qǐng)求的HTTP請(qǐng)求，服務(wù)器處理請(qǐng)求時(shí)發(fā)現(xiàn)這是一個(gè)升級(jí)的WebSocket請(qǐng)求，于是將請(qǐng)求交由Web助理，Web助理發(fā)送驗(yàn)證信息后與瀏覽器握手成功，建立WebSocket數(shù)據(jù)快速通道.

Web助理是一個(gè)一直存在于系統(tǒng)中的守護(hù)進(jìn)程，作為瀏覽器與風(fēng)險(xiǎn)評(píng)估引擎的數(shù)據(jù)中介，在系統(tǒng)啟動(dòng)時(shí)就會(huì)主動(dòng)與風(fēng)險(xiǎn)評(píng)估引擎建立Socket連接，當(dāng)風(fēng)險(xiǎn)評(píng)估引擎產(chǎn)生數(shù)據(jù)后就向Socket中寫入數(shù)據(jù)，當(dāng)Web助理接收到數(shù)據(jù)后，如果有WebSocket連接，進(jìn)行IP地址物理位置查詢，然后就分別向每個(gè)連接中寫入數(shù)據(jù)；如果沒有連接就什么也不做，Web助理并不會(huì)將數(shù)據(jù)進(jìn)行保存.

2.4 風(fēng)險(xiǎn)可視化

傳統(tǒng)入侵檢測(cè)系統(tǒng)利用文本和簡(jiǎn)單圖表對(duì)日志進(jìn)行信息展示[1-5]，這樣的文本信息在傳達(dá)攻擊事件時(shí)會(huì)給出攻擊源IP地址、攻擊目標(biāo)IP地址以及事件發(fā)生的其他一些文本描述信息.這種簡(jiǎn)單的表達(dá)方式缺陷是管理員不能宏觀地判斷攻擊從哪里來到哪兒去、攻擊強(qiáng)度如何以及攻擊的危害程度如何等信息，這給管理員的分析工作造成相當(dāng)大的壓力.本系統(tǒng)采用動(dòng)畫技術(shù)來描述攻擊事件，攻擊類型、攻擊強(qiáng)度以及對(duì)攻擊目標(biāo)的危害程度經(jīng)過人工免疫的風(fēng)險(xiǎn)評(píng)估已得出一個(gè)綜合值，即攻擊事件的風(fēng)險(xiǎn)值[10]，風(fēng)險(xiǎn)值范圍0～1.攻擊強(qiáng)度越大對(duì)目標(biāo)危害程度越大，風(fēng)險(xiǎn)值越大.

動(dòng)畫為在地圖上從源IP到目標(biāo)IP行走的光束，并且顏色各異.當(dāng)有數(shù)據(jù)從WebSocket流入瀏覽器，瀏覽器根據(jù)獲取到的風(fēng)險(xiǎn)值對(duì)數(shù)據(jù)進(jìn)行整理，接著計(jì)算相應(yīng)的動(dòng)畫并在瀏覽器中渲染[16-18].攻擊事件的源IP和目標(biāo)IP映射為在地圖上的起始位置，將事件的強(qiáng)度映射為攻擊的行走速度，將事件的危害程度映射為不同顏色的動(dòng)畫.

2.4.1 動(dòng)畫起始位置計(jì)算

本系統(tǒng)根據(jù)事件的源IP地址和目標(biāo)IP地址在數(shù)據(jù)庫(kù)中找出其攻擊源以及攻擊目標(biāo)的物理位置(經(jīng)緯度)，再根據(jù)其經(jīng)緯度算出動(dòng)畫在屏幕上的起始位置(相對(duì)于屏幕左上角的像素值)即得到動(dòng)畫在地圖上的起始位置.

在計(jì)算起始位置時(shí)存在一些已知的參數(shù)，分別為屏幕的像素寬度w和屏幕的高度h，屏幕左上角對(duì)應(yīng)的經(jīng)緯度(x1,y1)和屏幕右下角對(duì)應(yīng)經(jīng)緯度(x2,y2)，以及攻擊目標(biāo)的經(jīng)緯度(x3,y3)和攻擊源的經(jīng)緯度(x4,y4).

本系統(tǒng)只展示攻擊目標(biāo)在屏幕內(nèi)的動(dòng)畫，所以計(jì)算攻擊事件動(dòng)畫的起始點(diǎn)存在2種情況：1)攻擊源在屏幕內(nèi)的情況；2)攻擊源在屏幕外的情況.

當(dāng)攻擊目標(biāo)和攻擊源都在屏幕內(nèi)，即x1≤x3≤x2,y1≤y3≤y2,x1≤x4≤x2，y1≤y4≤y2，則計(jì)算坐標(biāo)(x3,y3), (x4,y4)到屏幕左上角的像素(w3,h3), (w4,h4)公式為

(1)

(2)

其中,x′分別可為x3,x4，y′分別可為y3,y4，帶入即可得(w3,h3),(w4,h4).

當(dāng)攻擊源不在屏幕范圍內(nèi)時(shí)，則動(dòng)畫的展示效果為從屏幕外經(jīng)屏幕邊緣到達(dá)屏幕內(nèi)的攻擊目標(biāo)，但我們并不能展現(xiàn)屏幕外的內(nèi)容，因此動(dòng)畫的起點(diǎn)為攻擊流經(jīng)過屏幕邊緣時(shí)跟屏幕邊緣的交點(diǎn)(w5,h5)，則我們計(jì)算出交點(diǎn)的經(jīng)緯度(x5,y5)便可根據(jù)式(1)(2)得到(w5,h5)，如圖2所示，我們的目標(biāo)是求圖中的紅色交點(diǎn).

我國(guó)氣電裝機(jī)以5大發(fā)電集團(tuán)為主，其氣電發(fā)電量占全國(guó)的50%，其中華電集團(tuán)、華能集團(tuán)氣電裝機(jī)規(guī)模較大，2017年分別達(dá)到1432萬千瓦和1042萬千瓦。中國(guó)海油依托上游天然氣產(chǎn)業(yè)的優(yōu)勢(shì)，開發(fā)建設(shè)了較多氣電項(xiàng)目，裝機(jī)總量達(dá)到846萬千瓦。另外，京能、深能源、浙能和粵電等地方發(fā)電企業(yè)的氣電裝機(jī)總量也分別達(dá)到478、318、236和234萬千瓦。國(guó)電、神華合并后，氣電裝機(jī)總量達(dá)到199萬千瓦（見圖3）。

圖2 攻擊源在屏幕外的動(dòng)畫起點(diǎn)計(jì)算

首先根據(jù)(x3,y3), (x4,y4)可得直線公式：

(3)

當(dāng)x4=x3時(shí)，直線為x=x3.

(4)

圖3 攻擊流量速度與風(fēng)險(xiǎn)值關(guān)系曲線

2.4.2 動(dòng)畫速度計(jì)算

攻擊事件的攻擊強(qiáng)度越強(qiáng)動(dòng)畫行走速度越快，本系統(tǒng)設(shè)計(jì)的攻擊動(dòng)畫的速度與風(fēng)險(xiǎn)值的關(guān)系如圖3所示，其中速度單位ps表示每秒移動(dòng)的像素點(diǎn)數(shù).

2.4.3 攻擊流顏色計(jì)算

本系統(tǒng)中的風(fēng)險(xiǎn)值顏色表示如圖7所示，風(fēng)險(xiǎn)值由低到高顏色由綠色漸變到紅色.顏色值采用RGB表示法計(jì)算[19-20]，其計(jì)算函數(shù)如圖4至圖6所示:

圖4 顏色中的R值與風(fēng)險(xiǎn)值關(guān)系曲線

圖5 顏色中的G值與風(fēng)險(xiǎn)值的關(guān)系曲線

圖6 顏色中的B值與風(fēng)險(xiǎn)值的關(guān)系曲線

圖7 風(fēng)險(xiǎn)值色譜

2.4.4 主機(jī)及網(wǎng)絡(luò)心跳

隨著攻擊的進(jìn)行，主機(jī)及網(wǎng)絡(luò)的抗體濃度值也隨之變化，風(fēng)險(xiǎn)值不停地變化，為了表征這種網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化，本系統(tǒng)為主機(jī)及網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)了心跳動(dòng)畫，心跳動(dòng)畫為每隔固定的時(shí)間，節(jié)點(diǎn)閃爍一次.當(dāng)主機(jī)處于低風(fēng)險(xiǎn)或者安全狀態(tài)時(shí)，其心跳節(jié)奏緩慢，顏色為表征安全的綠色，亮度較低；當(dāng)主機(jī)處于高風(fēng)險(xiǎn)時(shí)其心跳節(jié)奏加快，顏色變成鮮紅，亮度增高.

圖8 風(fēng)險(xiǎn)展示模塊實(shí)現(xiàn)效果圖

心跳動(dòng)畫的顏色選擇如圖8所示，心跳動(dòng)畫的節(jié)奏如表1所示，最慢5 s跳動(dòng)一次，最快1 s跳動(dòng)2次.

表1 心跳動(dòng)畫的節(jié)奏

3 實(shí) 現(xiàn)

本系統(tǒng)由于涉及新標(biāo)準(zhǔn)的WebSocket，其對(duì)實(shí)驗(yàn)環(huán)境有一定要求.我們選擇的實(shí)驗(yàn)測(cè)試環(huán)境為Apache2.4服務(wù)器以及谷歌Chrome瀏覽器.

本系統(tǒng)的風(fēng)險(xiǎn)展示模塊實(shí)現(xiàn)效果如圖8所示.

本系統(tǒng)的攻擊事件動(dòng)畫是重點(diǎn)，除了該工作內(nèi)容，系統(tǒng)還包含其他的統(tǒng)計(jì)信息，如最新攻擊源排名、最新受攻擊目標(biāo)、最新攻擊類別排名、最近安全事件.

用戶一進(jìn)入系統(tǒng)，最新攻擊源排名、最新受攻擊目標(biāo)、最新攻擊類別排名面板的信息就開始進(jìn)行次數(shù)累加統(tǒng)計(jì)，并且最新安全事件以事件滾動(dòng)的方式進(jìn)行信息呈現(xiàn).當(dāng)有新的攻擊事件發(fā)生時(shí)，最近安全事件面板向上翻滾出一條記錄，同時(shí)最新攻擊源排名、最新受攻擊目標(biāo)、最新攻擊類別排名面板面板上的次數(shù)各增加一次.由于本系統(tǒng)是實(shí)時(shí)更新這些信息，所以當(dāng)網(wǎng)絡(luò)攻擊事件強(qiáng)度加強(qiáng)時(shí)，次數(shù)的增加就會(huì)加快，信息滾動(dòng)加快，當(dāng)攻擊事件強(qiáng)度減弱時(shí)次數(shù)累積就會(huì)變慢，信息滾動(dòng)也變慢，這樣可以讓用戶感知到網(wǎng)絡(luò)流量的變化節(jié)奏.同時(shí)，事件的呈現(xiàn)會(huì)根據(jù)事件的風(fēng)險(xiǎn)值采用不同的顏色進(jìn)行渲染，風(fēng)險(xiǎn)值高的事件呈現(xiàn)為鮮紅，低風(fēng)險(xiǎn)的事件呈現(xiàn)為淺綠，顏色值的選取參照?qǐng)D4至圖7.

4 總 結(jié)

本系統(tǒng)把基于人工免疫的風(fēng)險(xiǎn)評(píng)估模型引入到入侵檢測(cè)系統(tǒng)中加以實(shí)現(xiàn)，它根據(jù)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)檢測(cè)結(jié)果，實(shí)時(shí)地對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)中各主機(jī)面臨的風(fēng)險(xiǎn)情況進(jìn)行定量評(píng)估，利用最新的WebSocket技術(shù)對(duì)評(píng)估及控制結(jié)果進(jìn)行實(shí)時(shí)傳送，并利用動(dòng)畫技術(shù)對(duì)網(wǎng)絡(luò)威脅狀況進(jìn)行實(shí)時(shí)渲染，方便管理員對(duì)當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行人工評(píng)估，相比傳統(tǒng)的入侵檢測(cè)系統(tǒng)，具有呈現(xiàn)及時(shí)、用戶感知強(qiáng)等特點(diǎn).

[1]Koike H, Ohno K, Koizumi K. Visualizing Cyber Attacks using IP Matrix[C]Visualization for Computer Security. Los Alamitos, CA: IEEE Computer Society, 2005: 91-98

[2]Haslum K, Abraham A, Knapskog S. Fuzzy online risk assessment for distributed intrusion prediction and prevention systems[C]Proc of Computer Modeling and Simulation. Piscataway, NJ: IEEE, 2008: 216-223

[3]韓丹, 王勁松, 宋密. 基于Snort的多視圖網(wǎng)絡(luò)流量可視化系統(tǒng)[J]. 天津理工大學(xué)學(xué)報(bào), 2014, 31(2): 42-45

[4]張生, 施榮華, 趙穎. 基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合分析方法[J]. 計(jì)算機(jī)應(yīng)用, 2015, 35(5): 1379-1384

[5]趙穎, 樊曉平, 周芳芳, 等. 多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2014, 35(4): 906-910

[6]de Castro L N, Timmis J I. Artificial immune systems as a novel soft computing paradigm[J]. Soft Computing, 2003, 7(8): 526-544

[7]Spears W M, De Jong K A. An overview of evolutionary computation[C]Proc of the European Conf on Machine Learning. Berlin: Springer, 1993: 442-459

[8]de Castro L N, Timmis J I. Artificial Immune Systems: A New Computational Intelligence Approach[M]. Berlin: Springer, 2002

[9]李濤. 網(wǎng)絡(luò)安全概論[M]. 北京: 電子工業(yè)出版社, 2004

[10]李濤. 基于免疫的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)[J]. 中國(guó)科學(xué)E輯: 信息科學(xué), 2005, 35(8): 798-816

[11]王電鋼. 基于免疫的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)及趨勢(shì)分析研究[D]. 成都: 四川大學(xué), 2009

[12]彭凌西, 謝冬青, 付穎芳, 等. 基于危險(xiǎn)理論的自動(dòng)入侵響應(yīng)系統(tǒng)模型[J]. 通信學(xué)報(bào), 2012, 33(1): 136-144

[13]何慧, 張宏莉, 王星, 等. 網(wǎng)絡(luò)安全事件危害度的量化評(píng)估[J]. 哈爾濱工業(yè)大學(xué)學(xué)報(bào), 2012, 44(5): 66-70

[14]艾磊. 一種實(shí)時(shí)動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估與控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 成都: 四川大學(xué)，2014

[15]Snort manual[EBOL]. [2015-12-21]. http:manual.snort.org

[16]Peter Lubbers. Frank Salim, Brian Albers. HTML5高級(jí)程序設(shè)計(jì)[M]. 北京: 人民郵電出版社, 2011

[17]Geary D. HTML5 Canvas核心技術(shù): 圖形、動(dòng)畫與游戲開發(fā)[M]. 北京: 機(jī)械機(jī)械工業(yè)出版社, 2013

[18]Zakas N C. JavaScript高級(jí)程序設(shè)計(jì)[M]. 李松峰, 曹力譯. 3版. 北京: 人民郵電出版社, 2012

[19]關(guān)文濤. 選擇的藝術(shù): Photoshop CS圖像處理深度剖析[M]. 北京: 人民郵電出版社, 2005

[20]關(guān)文濤. 選擇的藝術(shù): Photoshop圖層通道深席剖[M]. 2版. 北京: 人民郵電出版社, 2013

王 琳

碩士研究生，主要研究方向?yàn)樾畔踩?

245105947@qq.com

胡曉勤

博士，碩士研究生導(dǎo)師，主要研究方向?yàn)槿轂?zāi)抗毀.

517236336@qq.com

The Research and Implementation of a Real-Time Network Risk Visualization Technology

Wang Lin and Hu Xiaoqin

(InstituteofComputerNetworks&InformationSecurity,SichuanUniversity,Chengdu610065)

Today, the network malicious behavior goes into the explosive growth. And the traditional text based or simple chart based network intrusion detection systems are hard to use in the face of massive network data. Intrusion-detection-based real-time network risk visualization technology can transfer massive data to graphics and images dynamically in time. Then, we can build real-time imaged communication between human and cyber threat flow. So that we can quickly understand and figure out the current cyber security trend. That can be a good convenience for people to manage and control current cyber security.

risk evaluation; cyber risk visualization; real-time visualization; artificial immune algorithm; cyber security

2015-12-24

國(guó)家自然科學(xué)基金項(xiàng)目(61173159，61572334)

TP393.08