多種可視化技術相結合的網絡安全數據分析研究

廖雨婷

（信息工程大學 地理空間信息學院，河南 鄭州 450000）

多種可視化技術相結合的網絡安全數據分析研究

廖雨婷

（信息工程大學 地理空間信息學院，河南 鄭州 450000）

網絡安全可視化是網絡安全研究中的重要環節，它通過可視分析，為網絡安全員提供一種分析網絡結構和識別網絡異常的新方法。針對網絡監控日志數據量大、維度高等特點，對網絡安全可視化分析方法進行研究和實驗。采用網絡拓撲圖、散點圖、柱狀圖、平行坐標等可視化方法，對網絡的體系結構、異常行為、通信模式進行可視分析。使用China Vis2016挑戰賽的數據對以上可視化方法進行驗證，實驗結果表明，以上幾種可視方法都能針對不同的問題給出解決方案，其對分析網絡安全數據可行、有效。

網絡拓撲圖；散點圖；平行坐標；可視分析；網絡安全

0 引 言

計算機網絡的迅速發展，使得網絡安全事件層出不窮，網絡安全面臨著越來越嚴峻的考驗。特別是進入“大數據”時代，網絡攻擊呈現出“3V”特征，即攻擊規模越來越大（Volume），攻擊類型越來越多（Variety），攻擊變化越來越快（Velocity）[1]。為了滿足網絡安全的需求，防火墻、流量監控系統、主機狀態監控系統和入侵檢測系統等各種網絡監控和防御設備被用來保護網絡安全。在網絡運行過程中，各種監控系統會產生大量監控日志[2]。這些監控日志是網絡安全員分析網絡狀態和識別網絡入侵的主要信息來源，但是傳統網絡分析產品面對海量的監控日志，分析效果明顯不足。在這種情況下，出現了網絡安全可視化技術[3]，即用圖形圖像的方式把海量、高維的數據展示出來，同時提供一系列交互手段，使網絡分析人員能夠從大量信息中找出隱含的規律、模式，更快速地識別網絡異常事件和攻擊行為，并判斷其下一步的發展趨勢。本文試圖對網絡監控日志的分析入手，采用可視化方法表示網絡整體架構，模擬網絡通信模式，檢測網絡異常行為，使普通用戶無需預先知識也能理解網絡中的行為模式。

1 相關工作

網絡監控日志的大小與網絡規模成正比。當網絡發生異常事件時，網絡安全員很難在海量的數據中發現問題，導致后續的分析處理產生滯后。國內外研究者一直都在研究如何通過可視化技術分析海量多維的網絡監控日志，掌握整個網絡的運行情況。

現有的網絡安全可視分析技術主要有：節點鏈接圖[4]、柱狀圖[5]、雷達圖[6]、平行坐標系[7]、樹圖[8]、散點圖[9]、熱力圖[10]等方法。

基于以上可視化技術，本文以chinavis2016挑戰賽的數據為例（見表1），對主要的網絡安全可視化技術進行實驗，研究其具體的適用范圍和有效性。該數據模擬一家商業集團股份有限公司兩個月的網絡監控日志，時間跨度為兩個月，共有200多萬行記錄，包括應用層、網絡層、鏈路層的相關信息。其主要維度包括開始時間、傳輸數據總長度、源IP、目的IP、源端口、目的端口、虛擬管道標識等。該數據具有多維性、時序性特點。

表1 網絡監控日志

2 可視化技術及其應用

2.1 基于網絡拓撲圖的可視化方法

網絡拓撲圖是各種網絡設備之間的一種信息表述，包含節點IP、節點名、節點之間連接關系等多維信息，使用節點連接圖對網絡關系進行可視化時，用節點代表IP，用連線表示IP之間的連接關系，能夠真實表達網絡的整體架構。

從網絡日志中尋找客戶端和服務器時，可用節點連接圖來表示內網之間的通信關系，如圖1所示。

圖1 內網之間的網絡連接情況

每一個節點代表一臺主機，用連線表示兩臺主機之間有通信，節點的大小和顏色的深淺表示與其有通信關系的主機數量。如圖1框內所示，節點較大的代表這些主機與很多臺主機都有通信關系，那么就可以初步認為該主機可能為服務器。圖2為過濾掉較小的節點和去掉孤立節點后，判定為服務器的節點連接圖。由圖2可知，IP地址為10.18.112.246的節點最大，說明與該節點通信的主機非常多，可以認為這是該公司的一臺服務器。

圖2 服務器連接情況

2.2 基于散點圖的可視化方法

散點圖將數據以點的形式布局于二維直角笛卡爾坐標或極坐標，每個點對應的橫縱坐標編碼兩個數值型數據，也可以采用尺寸、形狀和顏色等視覺通道來編碼數據點的其他信息。散點圖矩陣是散點圖的高維擴展，用來展現高維（大于二維）數據屬性分布，對不同屬性進行兩兩組合，生成一組散點圖，緊湊地表達屬性之間的關系。

使用散點圖的方法來可視每臺服務器及其所使用的具體協議。首先，統計每臺服務器的端口信息以及其與多少臺不同的客戶端之間有通信，根據端口（Port）信息判斷服務器大概都有哪些協議。如圖3所示，用橫軸表示所有服務器的IP地址，縱軸表示每臺服務器使用的協議。其中，每個小矩形都對應一臺服務器和所使用的協議，顏色表示對應的服務器通過對應協議與客戶端的通信數量。顏色越深，表示與之通信的客戶端數量越多；顏色越淺，表示對應的服務器通過對應的協議與客戶端通信數量比較少。從圖3可以看出，大多數服務器都使用了CIFS協議，可以推斷這些服務器大都是文件服務器。對于一些服務器，它的主要通信協議并不唯一，如圖中10.18.112.26和10.67.220.221這兩臺主機，主要是通過CIFS、Nirvana、FTP、unknow、HTTP、LDAP等協議通信，由此推斷這兩臺服務器提供多種服務，可以認為是有特殊用途的服務器。

圖3 服務器功能分類

使用散點圖可視化該公司每天網絡中主要傳輸的文件類型以及傳輸量。首先，統計該公司每一天所傳輸的文件類型及其傳輸量，可視化效果如圖4所示。橫坐標代表日期，縱坐標代表傳輸的文件類型。視圖中的圓代表對應的某一天傳輸的文件類型。圓越大，表示該天傳輸的某種類型的文件越多；圓越小，代表該天傳輸的此類文件較少；空白則代表該天沒有傳輸此類文件。由圖4可知，該公司在近兩個月時間內，大部分時間網絡中主要傳輸.rpc類型的文件和.unk類型的文件。其中，7月25日-8月1日期間出現巨量.unk未知類型的文件傳輸，異于平時的傳輸規律。此外，從圖中還可以發現，.rpc文件與.unk類型文件或許是伴隨傳輸，即傳輸.rpc文件的同時也會傳輸.unk文件。但是，在7月29日和30日兩天出現異于平時傳輸的規律，由此可知，網絡中出現了異常事件。

圖4 網絡傳輸文件

2.3 基于柱狀圖和折線圖的可視化方法

柱狀圖基于二維笛卡爾坐標系或極坐標系比較不同類型的屬性（采用柱形和顏色編碼）：一個軸編碼自變量（類別型或有序性數據）；一個軸編碼因變量（數值型）。柱狀圖能夠比較清晰地區分個體數據的大小，一般用于分析個體變量之間的差異，分析比較時一般只有一個維度的比較，其高度反映數據之間的差異。若在柱狀圖的每根直柱上嵌套對應另一個維度的直柱，就會演變為堆疊圖；對柱狀圖的橫縱坐標進行轉換能夠得到條形圖。折線圖亦可以顯示隨時間而變化的連續數據，因此非常適于顯示在相等時間間隔下數據的趨勢。

下面利用折線圖、柱狀圖、堆疊圖分析網絡中可能存在的異常通信模式。因在找服務器過程中發現與10.18.112.246服務器通信的主機有很多，所以選擇此臺服務器作為研究對象，分析其在整個網絡監控時間段內的活躍時段變化情況。如圖5所示，折線圖上部分為與服務器交互的總次數，中部圖為服務器回應客戶端的總次數，下部圖為客戶端請求服務器的總次數。從圖中可以分析，該服務器模式為客戶端對其進行訪問，服務器會相應應答客戶端，但從7月22日至8月13日，該服務器只被別的客戶端訪問，沒有應答客戶端。由此可推斷，該服務器在這段時期內并沒有工作，可能存在異常。

圖5 某一服務器活躍時段變化

對26.24.x.x子網段兩個月來的訪問量進行統計，利用柱狀圖可視化其訪問量-時間關系圖，對其進行分析，結果如圖6所示。由圖6發現，該網段每一天的訪問量大都在2～20左右，但在第六周的周二即8月25日，出現了80+的訪問量。由此推斷，該天的網絡可能存在異常情況。

圖6 子網訪問量

圖7是利用堆疊圖對整個網絡的訪問量進行可視化。首先可以發現第一個異常在第五周的周一和周三，即8月17、19日出現了大量的訪問量；第二個異常出現在第二周的周三和第七周的周三，即7月29日和9月2日訪問量極少，甚至沒有。從此圖還能看出，第三周相較于其他周，整體訪問量偏少。可以直觀看出，第三周和第五周的總體訪問量形成鮮明對比，說明該公司出現網絡異常的時間也在這兩周。

圖7 訪問量（堆疊圖）

2.4 基于平行坐標的可視化方法

平行坐標能把多維數據屬性空間通過距離相等的豎直軸線映射到二維空間。每一條軸線代表一個維度，軸線之間相互平行，在軸線上刻畫各個維度從小到大的數值，并用折線把這些數值對應的坐標點連接起來，從而在二維空間內展示多維數據。美國超級計算機應用中心SIFT（Security Incident Fusion Tools）研究小組開發了VisFlowConnect[11]，利用三條平行坐標來展示主機之間的連接關系，同時可以動態顯示網絡內部之間的流量。

本文利用平行坐標對經同一虛擬管道進行通信的源IP和目的IP的連接模式進行可視化。首先統計出經同一虛擬管道（虛擬管道標識相同）的源IP和目的IP。因其數據較多，全部繪制不現實，所以統計其IP段，用平行坐標系對其分布進行可視化，如圖8（a）所示。圖中左邊坐標軸表示源IP段，中間表示所使用的虛擬通道，右邊坐標軸表示目的IP段。根據其通信模式，對有連接關系的源IP和目的IP通過虛擬通道進行連接。

因通過0/1174虛擬管道的源IP和目的IP較多，所以選取0/1174虛擬管道作為分析對象。分析經過其管道內部IP的規律，如圖8（b）所示。該虛擬管道的IP段分布超過了一半的IP范圍，因圖（b）中黑框部分IP段分布密集，所以再以此處IP段為研究對象，發現此IP段只經過了三個虛擬通道，且大部分還是經過0/1174虛擬管道，如圖8（c）所示。同時，選定此處IP段和所經過的0/1174虛擬管道，發現其源IP對應的目的IP分布較為分散。圖8（e）為選擇較為集中的一段源IP后，發現其經過的虛擬管道數量相對較多，其目的IP分布較為平均。

圖8 虛擬管道中源IP和目的IP的分布

3 結 語

本文研究現有網絡安全可視化技術，并將其應用于實際網絡安全數據分析，利用節點連接圖探索網絡結構；利用散點圖對服務器進行分類，并對公司的傳輸文件類型和傳輸量進行可視化；利用柱狀圖、折線圖、堆疊圖對網絡行為進行可視化，分析其異常行為模式；利用平行坐標模擬虛擬管道連接模式。實驗結果表明，以上幾種可視化方法都能幫助安全員探索規律和發現異常。后續工作將著重開發一套網絡安全態勢可視化系統，融合更多可視化技術，幫助網絡分析員有效認知和評估整個網絡，為快速應對網絡安全問題奠定基礎。

[1] 張勝,施榮華,趙穎.基于多元異構網絡安全數據可視化融合分析方法[J].計算機應用,2015,35(05):1379-1384,1416. ZHANG Sheng,SHI Rong-hua,ZHAO Ying.Visual Fusion Analysis Method based on Multi Heterogeneous Network Security Data[J].Computer Application,2015,35(05): 1379-1384,1416.

[2] 趙穎,樊曉平,周芳芳等.多源網絡安全數據時序可視分析方法研究[J].小型微型計算機系統,2014, 35(04):906-910. ZHAO Ying,FAN Xiao-ping,ZHOU Fang-fang,et al.Research on Visual Analysis Method of Multi Source Network Security Data Sequence[J].Journal of Chinese Computer Systems,2014,35(04):906-910.

[3] Goodall J R.Introduction to Visualization for Computer Security[C].Proceedings of the Workshop on Visualization for Computer Security(VizSEC 07),2008:1-17.

[4] Liao Q,Shi L,Wang C.Visual Analysis of Large-scale Network Anomalies[J].IBM Journal of Research and Dev elopment,2013,57(03/04):1-13.

[5] Kulsoom Abdullah,Chris Lee,Gregory Conti,et al.Visualizing Network Data for Intrusion Detection[M].Los Alamitos:IEEE Computer Society Press,2005:100-108.

[6] 趙穎,樊曉平,周芳芳等.大規模網絡安全數據協同可視分析方法研究[J].計算機科學與探索,2014,8(07):848-857. ZHAO Ying,FAN Xiao-ping,ZHOU Fang-fang,et al.Research on The Collaborative Visual Analysis Method for Large Scale Network Security Data[J].Journal of Frontiers of Computer Science and Technology,2014,8(07):848-857.

[7] 姚鑫,宣蕾.基于平行坐標的網絡安全態勢可視化[J].信息安全與通信保密,2011,9(08):67-71. YAO Xin,XUAN Lei.Visualization of Network Security Situation based on Parallel Coordinates[J].Information Security and Communications Privacy,2011,9(08):67-71.

[8] Mansmann F,Keim D A,North S C,et al.Visual Analysis of Network Traffic for Resource Planning, Interactive Monitoring,and Interpretation of Security Threats[J]. IEEE Transactions on Visualization and Computer Graphics,2007,13(06):1105-1112.

[9] Xiao L,Gerth J,Hanrahan P.Enhancing Visual Analysis of Network Traffic Using a Knowledge Representation[M].Los Alamitos:IEEE Computer Society Press,2006:107-114.

[10] Zhao Y,Liang X,Wang Y,et al.MVSec:A Novel Multiview Visualization System for Network Security[M].Los Alamitos:IEEE Computer Society Press,2013:7-8.

[11] YIN Xian-xin,YUREIK William,SLAGELL Adam.The Design of VisFlowConnect-IP:A Link Analysis System for IP Security Situational Awareness[C].IWIA,2005:212-223.

Network-Security-Data Analysis and Research Implemented by Combining Multiple Visulization Technologies

LIAO Yu-ting
(Geographic Spatial Information Institute of PLA Information Engineering University, Zhengzhou Henan 450000, China)

Network security visualization, as an important part of network security reaearch, could provide a new method for network security officer to visually analyze the network structure and identify the abnormity of network security. In view of large amount of log data for network monitoring and high dimension, the visualization of network security analysis method is studied and verified. With network topology, scatter diagram, histogram, parallel coordinate and other visualization methods, the visual analysis could be done on network architecture, abnormal behavior, and communication mode. The experiment with the data of China Vis2016 challenge verifies the above visualization methods, and also indicates that the above several visual methods can give solutions for different problems, and thus are feasible and effective for visual analysis of network security data.

network topology; scatter diagram; parallel coordinate; visualization analysis; network security

TP393.08

A

1002-0802(2016)-12-1680-06

10.3969/j.issn.1002-0802.2016.12.020

2016-08-22

2016-11-19 Received date:2016-08-22;Revised date:2016-11-19

國家自然科學基金（No.41371383）

Foundation Item:National Natural Science Foundation of China(No.41371383)

廖雨婷（1988—），女，碩士，助教，主要研究方向為網絡態勢可視化。