分布式拒絕服務(wù)的可視分析

張毅凡，董笑菊

（上海交通大學(xué)電子信息與電氣工程學(xué)院，上海 200240）

分布式拒絕服務(wù)的可視分析

張毅凡，董笑菊

（上海交通大學(xué)電子信息與電氣工程學(xué)院，上海 200240）

首先，對(duì)網(wǎng)絡(luò)日志中提取出的IP地址進(jìn)行可視分析，設(shè)計(jì)完整的可視方案，通過采取有效的可視化方法，利用網(wǎng)頁語言工具，將網(wǎng)絡(luò)日志數(shù)據(jù)以圖形的形式有效表示出來。其次，使用IP地址作為分析中心，分別以源IP、目的IP以及二者之間關(guān)聯(lián)作為各個(gè)視圖的重點(diǎn)，向用戶展現(xiàn)不同視角，進(jìn)而顯示更多細(xì)節(jié)，發(fā)現(xiàn)數(shù)據(jù)間的隱藏關(guān)聯(lián)。在此方案的可視設(shè)計(jì)中，加入了大量交互設(shè)計(jì)如聯(lián)動(dòng)等，提高了視圖的顯示效率及可用性，使各個(gè)視圖間的關(guān)系更加清晰。最后，分別采用DDoS發(fā)生后提取的實(shí)際網(wǎng)絡(luò)日志與未發(fā)生時(shí)的網(wǎng)絡(luò)日志作為源數(shù)據(jù)引入設(shè)計(jì)，通過對(duì)比，顯示設(shè)計(jì)的實(shí)用效果及實(shí)際意義。

網(wǎng)絡(luò)安全；數(shù)據(jù)可視化；分布式拒絕服務(wù)攻擊；IP地址

1 引言

可視化是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，并進(jìn)行交互處理的理論、方法和技術(shù)[1]。可視化概念的首次提出是在1987年美國國家基金會(huì)舉辦的可視化會(huì)議上[2]，它將可視化定義成一種將抽象符號(hào)轉(zhuǎn)換為具體幾何關(guān)系的計(jì)算方法，來彌補(bǔ)科學(xué)研究方法的不足。隨后的二十幾年，隨著計(jì)算機(jī)技術(shù)的發(fā)展，可視化開始與之結(jié)合起來。到近幾年，大數(shù)據(jù)的研究開始引入可視化，推動(dòng)可視化發(fā)展走向高峰。

網(wǎng)絡(luò)安全可視化是一種利用可視化技術(shù)分析網(wǎng)絡(luò)情況的應(yīng)用。由于網(wǎng)絡(luò)情況常用網(wǎng)絡(luò)日志數(shù)據(jù)來表示，該數(shù)據(jù)量大且復(fù)雜，只對(duì)數(shù)字信息進(jìn)行觀察是不可行的。如果利用可視化處理多維復(fù)雜數(shù)據(jù)的能力，將抽象的攻擊數(shù)據(jù)以圖形的方式展示出來，那么就可以幫助網(wǎng)絡(luò)管理者或研究者及時(shí)觀察該網(wǎng)絡(luò)的情況并識(shí)別異常信息，進(jìn)而對(duì)網(wǎng)絡(luò)攻擊做出有效防護(hù)。此外，利用歷史網(wǎng)絡(luò)攻擊數(shù)據(jù)還可以根據(jù)已出現(xiàn)的網(wǎng)絡(luò)攻擊情況總結(jié)規(guī)律，做出主動(dòng)的防御，如對(duì)易受攻擊的服務(wù)器或主機(jī)重點(diǎn)防御等。它不僅能將大量抽象的數(shù)據(jù)形象地轉(zhuǎn)化成普通用戶更易接受的圖形圖像，減輕了研究人員對(duì)大量數(shù)據(jù)分析的負(fù)擔(dān)，避免因缺乏部分專業(yè)知識(shí)而造成分析偏差，還幫助網(wǎng)絡(luò)管理者或研究者統(tǒng)計(jì)、分析并篩選所用數(shù)據(jù)，將一些重要細(xì)節(jié)進(jìn)行標(biāo)記，以便用戶發(fā)掘隱藏的信息，同時(shí)賦予用戶足夠的自由度，允許用戶多視角觀察選定數(shù)據(jù)。

分布式拒絕服務(wù)（DDoS, distributed denial of service）攻擊可視化是網(wǎng)絡(luò)安全可視化的應(yīng)用之一。Arbor networks在其最新的《Worldwide Infrastructure Security Report》中指出，分布式拒絕服務(wù)攻擊是最常見的攻擊方式之一，且攻擊次數(shù)逐年增長，并在2015年創(chuàng)下了單次攻擊強(qiáng)度超過500 Gbit/s的記錄，也成為了政府類網(wǎng)站的一個(gè)巨大安全隱患[3]。因此，對(duì)DDoS攻擊的可視化分析將對(duì)網(wǎng)絡(luò)安全的研究產(chǎn)生意義，并將可視化技術(shù)的應(yīng)用擴(kuò)展至網(wǎng)絡(luò)安全領(lǐng)域。在網(wǎng)絡(luò)安全方面，研究者要了解DDoS攻擊的原理與特點(diǎn)，根據(jù)所要研究的范圍或區(qū)域選取合適的數(shù)據(jù)集，并明確著重提取的數(shù)據(jù)屬性?？梢暬匾奶攸c(diǎn)之一是交互性，能夠更好地實(shí)現(xiàn)數(shù)據(jù)間的關(guān)聯(lián)與篩選。

目前，對(duì)DDoS攻擊的研究主要集中在2個(gè)方面：一是對(duì)DDoS攻擊監(jiān)測方法的研究；二是對(duì)DDoS攻擊防御方法的研究。在DDoS攻擊的監(jiān)測方法上，基于IP地址、流量、端口的監(jiān)測算法是3種最常見的方法。Zhang等[4]在論文中提出了一種基于IP行為的算法。通過比較TCP中的SYN、SYN/ACK、ACK及RST等分組，計(jì)算出客戶端與服務(wù)端表示流量行為的參數(shù)值，進(jìn)而標(biāo)定折線圖確定可疑IP地址。Mopari等[5]在論文中指出，IP欺騙經(jīng)常被DDoS攻擊者使用，因此可以利用攻擊者不能控制跳數(shù)的特點(diǎn)，生成一幅IP到條數(shù)的映像表（HCF, hop count filter）。根據(jù)該表格可以區(qū)分出攻擊者的偽IP地址，達(dá)到檢測DDoS攻擊的目的。顏若愚[6]提出一種基于流量矩陣的DDoS攻擊監(jiān)測方法，在DDoS攻擊的防御方法上，除防火墻等基礎(chǔ)防御，最有針對(duì)性的是關(guān)閉敏感端口與過濾部分可疑IP。王偉等[7]提出了基于端口監(jiān)測的防御策略，通過獲取IP分組中TCP分組頭的端口信息，判定字段狀態(tài)，進(jìn)而判定是否丟棄該分組，實(shí)現(xiàn)對(duì)敏感端口的過濾。

而針對(duì)網(wǎng)絡(luò)安全可視化的研究也在進(jìn)行中，如Hideki等[8]設(shè)計(jì)實(shí)現(xiàn)的SnortView系統(tǒng)。它是一種實(shí)時(shí)監(jiān)控系統(tǒng)，可以將探測到的可疑IP以IP矩陣的方式列出。矩陣的橫縱坐標(biāo)分別表示時(shí)間軸與外部地址，矩陣中的點(diǎn)代表該時(shí)刻該位置受到了攻擊。不同類型的攻擊用不同形狀的點(diǎn)表示，點(diǎn)的位置、顏色及形狀等用于描述檢測到的網(wǎng)絡(luò)攻擊細(xì)節(jié)。Chris等[9]提出獲取防火墻的日志信息作為基礎(chǔ)數(shù)據(jù)進(jìn)行可視化，并利用圖、平行坐標(biāo)、矩陣等各種基礎(chǔ)圖元對(duì)不同的網(wǎng)絡(luò)攻擊類型進(jìn)行可視化。

本文的研究目的與意義是將對(duì)單一類型網(wǎng)絡(luò)攻擊的整理分析與可視化技術(shù)結(jié)合，通過選取適當(dāng)?shù)目梢暬椒?，設(shè)計(jì)完整的用于DDoS攻擊檢測的可視化方案，大大減輕了研究者對(duì)于數(shù)據(jù)分析的工作難度；人機(jī)交互的簡易性也使研究者更易發(fā)現(xiàn)數(shù)據(jù)間的潛在關(guān)系，發(fā)掘出數(shù)據(jù)潛藏的特點(diǎn)，為對(duì)DDoS攻擊的主動(dòng)防御做好準(zhǔn)備，發(fā)揮出網(wǎng)絡(luò)安全與可視化技術(shù)結(jié)合的真正作用。

為了實(shí)現(xiàn)對(duì)DDoS攻擊的可視化分析，本文設(shè)計(jì)了一個(gè)針對(duì)DDoS攻擊的可視化系統(tǒng)，根據(jù)網(wǎng)絡(luò)日志中的IP地址等信息，檢測并分析該網(wǎng)絡(luò)是否遭受該種攻擊，有助于分析攻擊特點(diǎn)并及時(shí)采取相應(yīng)的防御措施。此外，在系統(tǒng)實(shí)現(xiàn)方面，各視圖間交互的運(yùn)用，讓各圖間的關(guān)系更清晰，在幫助用戶處理數(shù)據(jù)后，將重點(diǎn)數(shù)據(jù)與關(guān)系清楚標(biāo)出，有助于用戶的分析，還賦予了用戶較大的自由度，讓用戶可以自行選擇不同維度觀察分析數(shù)據(jù)。同時(shí)，設(shè)計(jì)的各視圖間采用多視角、多維度展示數(shù)據(jù)的特點(diǎn)，挖掘數(shù)據(jù)間的隱藏關(guān)系。

2 DDoS攻擊可視化系統(tǒng)設(shè)計(jì)

拒絕服務(wù)（DoS, denial of service）攻擊是指攻擊者利用網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)行攻擊或直接消耗被攻擊目標(biāo)的資源，使被攻擊者系統(tǒng)停止響應(yīng)，進(jìn)而無法正常使用。近年來，隨著網(wǎng)絡(luò)帶寬的提高、服務(wù)器處理速度的增長與內(nèi)存的增加，出現(xiàn)有效的DoS攻擊變得越來越困難，由此產(chǎn)生了更“高級(jí)”的攻擊方式——分布式拒絕服務(wù)攻擊。分布式拒絕服務(wù)攻擊，指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力[10]。DDoS的攻擊方法如圖1所示。

2.1 設(shè)計(jì)需求

為了設(shè)計(jì)一個(gè)完整的DDoS攻擊可視化系統(tǒng)，首先要明確該系統(tǒng)的設(shè)計(jì)目的，即用戶需求。在確定用戶需求之前，要先明確用戶的群體。對(duì)于該系統(tǒng)的使用人群，大致分為2類：一類是對(duì)網(wǎng)絡(luò)安全知識(shí)不甚了解，但想對(duì)所處網(wǎng)絡(luò)環(huán)境有簡單了解的普通用戶；另一類是當(dāng)前網(wǎng)絡(luò)的監(jiān)控者或研究者。對(duì)于普通用戶來說，他最想得知該網(wǎng)絡(luò)環(huán)境是否正常，是否出現(xiàn)DDoS攻擊，即對(duì)網(wǎng)絡(luò)環(huán)境整體情況的了解；對(duì)網(wǎng)絡(luò)監(jiān)控者來說，除了網(wǎng)絡(luò)的整體情況，他還注重該網(wǎng)絡(luò)環(huán)境下的各項(xiàng)細(xì)節(jié)，如易受攻擊位置、攻擊時(shí)刻、攻擊強(qiáng)度、攻擊位置的變化特點(diǎn)等，以便于監(jiān)控者對(duì)該網(wǎng)絡(luò)環(huán)境中受到攻擊的情況有詳細(xì)的了解，進(jìn)而制定相應(yīng)措施對(duì)網(wǎng)絡(luò)進(jìn)行防御；對(duì)網(wǎng)絡(luò)安全的研究者來說，他會(huì)更注重攻擊方的情況，如常用攻擊IP或偽IP地址、單次攻擊位置與強(qiáng)度等。

因此，根據(jù)以上情況，可以把設(shè)計(jì)框架確定為以下幾點(diǎn)：① 根據(jù)用戶需求的不同，系統(tǒng)要分別表示出網(wǎng)絡(luò)的整體與局部情況，即采用總圖與細(xì)節(jié)的展示方法；② 在細(xì)節(jié)的處理部分，需要將用戶可能感興趣的屬性維度提取出來，便于今后用戶對(duì)數(shù)據(jù)的觀測與處理；③ 各個(gè)維度間增加交互，便于發(fā)現(xiàn)數(shù)據(jù)間的隱藏關(guān)系；④ 由于在網(wǎng)絡(luò)攻擊中，IP地址提供的信息較為豐富，本文以數(shù)據(jù)的IP地址為焦點(diǎn)進(jìn)行設(shè)計(jì)。

圖1 DDoS攻擊方法

2.2 設(shè)計(jì)方案簡述

根據(jù)設(shè)計(jì)需求，首先確定了使用總圖與細(xì)節(jié)的可視化方法，將整個(gè)界面分為多個(gè)視圖?？紤]到數(shù)據(jù)集中的IP信息來源有2個(gè)部分：發(fā)動(dòng)攻擊的源IP地址與受到攻擊的目標(biāo)IP地址。將各個(gè)視圖劃分為3種類型，即分別以目標(biāo)IP、來源IP與兩者間的關(guān)系為焦點(diǎn)的3種類型。在視圖間的關(guān)系方面，將當(dāng)前網(wǎng)絡(luò)狀況，即目標(biāo)IP部分作為主視圖，將來源IP與二者關(guān)系的部分作為輔助視圖。此外，為了獲得更好的用戶體驗(yàn)，本文為各視圖間加入了較多的交互。

本設(shè)計(jì)共分為4個(gè)視圖，整體設(shè)計(jì)方案如圖2所示。

2.2.1 視圖1：目標(biāo)IP矩陣

圖2 DDoS攻擊可視化系統(tǒng)總設(shè)計(jì)方案

圖3 DDoS攻擊可視化系統(tǒng)視圖1：目標(biāo)IP矩陣

如圖3所示，視圖1為本設(shè)計(jì)的主視圖，以目標(biāo)IP，即受害方IP為焦點(diǎn)，利用網(wǎng)絡(luò)安全可視化中最經(jīng)典的方法——IP矩陣進(jìn)行設(shè)計(jì)，輔以滑動(dòng)軸小組件進(jìn)行可視化。由于IP地址是由4個(gè)字段組成，而二維矩陣并不能把4個(gè)維度表示在同一個(gè)矩陣中，那么就需要2個(gè)矩陣或加入輔助工具實(shí)現(xiàn)該功能。

對(duì)于經(jīng)典的B類IP地址，前2個(gè)字段可以確定一個(gè)局域網(wǎng)的位置。結(jié)合用戶需求，由于網(wǎng)絡(luò)監(jiān)測常常是一個(gè)機(jī)構(gòu)、企業(yè)或?qū)W校等團(tuán)體為了保護(hù)當(dāng)下數(shù)據(jù)而進(jìn)行的，網(wǎng)絡(luò)監(jiān)測者及研究者更關(guān)心自己所處位置的網(wǎng)絡(luò)情況。而這些主機(jī)常常處于確定的局域網(wǎng)下，因此IP的前兩字段的主要目的是為選取局域網(wǎng)區(qū)域。因此，如果將4個(gè)字段簡單地拆分成2個(gè)相似的IP矩陣，是較浪費(fèi)空間的做法。既然A、B段主要為實(shí)現(xiàn)篩選的目的，那么使用2條滑動(dòng)軸作為輔助工具較為合適。這樣做節(jié)省了較大的空間留給其余視圖，可視化目的也更加明確。因此，將2條滑動(dòng)軸組件放置于矩陣圖下方相互關(guān)聯(lián)，分別為IP前2段做出選擇。

對(duì)于IP矩陣，橫縱坐標(biāo)分別代表IP地址的后2個(gè)字段。例如，如果數(shù)據(jù)集中出現(xiàn)以網(wǎng)絡(luò)地址A.B.C.D為目標(biāo)地址的信息，那么當(dāng)用戶拉動(dòng)滑塊并選定A與B后，可以觀察到在A.B局域網(wǎng)下，上方矩陣中出現(xiàn)一個(gè)坐標(biāo)點(diǎn)（C, D）。即該IP地址所對(duì)應(yīng)的主機(jī)接收到了一個(gè)分組。由于IP地址的每一字段取值范圍都是0～255間的正整數(shù)，因此將矩陣按照16×16的大小整體分塊較為合理。在圖3中，可以很清楚地看到，16×16的小矩形從白色到深灰色分別標(biāo)記。這是在計(jì)算每個(gè)小矩形內(nèi)IP地址的通信次數(shù)。若存在DDoS攻擊，那么該矩形內(nèi)的總次數(shù)就會(huì)明顯高于其他矩形，于是該矩形會(huì)呈深灰色。結(jié)合圖例中標(biāo)記的最大通信次數(shù)與矩形顏色的深淺可圈定DDoS攻擊可能發(fā)生的位置。該矩陣添加了放縮這種交互方法。用戶通過滑動(dòng)鼠標(biāo)滾輪，可以在矩陣的任意位置進(jìn)行放大或縮小，讓矩陣更清晰、各種交互功能使用更方便。

IP矩陣的左端與下端分別是2組各16個(gè)小矩形組成的柱狀圖。16個(gè)矩形代表了16行或16列，每個(gè)矩形的長度是由該行或列與外界的通信次數(shù)決定的。由于DDoS攻擊的特點(diǎn)，在連續(xù)攻擊中，攻擊者常連續(xù)攻擊IP地址相鄰的主機(jī)，這些主機(jī)顯示在矩陣中便是呈行或列連續(xù)的特點(diǎn)。即當(dāng)某一行或列收到的通信次數(shù)遠(yuǎn)遠(yuǎn)多于其他行或列時(shí)，在這行或列上出現(xiàn)DDoS攻擊的可能性較大。

此外，在矩陣上方還有一個(gè)標(biāo)記為攻擊時(shí)間（attack time）的滑動(dòng)軸，這也是該視圖的另一輔助工具。由于該系統(tǒng)的主要目的是觀察某局域網(wǎng)下DDoS攻擊的情況，并且所用的數(shù)據(jù)集全部來自網(wǎng)絡(luò)日志，它記錄了某段時(shí)間內(nèi)該局域網(wǎng)與外網(wǎng)間的全部通信情況，而視圖中的IP矩陣對(duì)所有信息都進(jìn)行了點(diǎn)的標(biāo)定，那么就要對(duì)一些不是DDoS攻擊的信息進(jìn)行過濾。根據(jù)DDoS攻擊的特點(diǎn)，在短時(shí)間內(nèi)會(huì)有大量數(shù)據(jù)分組涌向某地址，那么在該段時(shí)間內(nèi)接受到較小量數(shù)據(jù)分組的主機(jī)就一定不是被攻擊的位置，可以被排除掉。因此，本文設(shè)置該滑動(dòng)軸，主要是實(shí)現(xiàn)數(shù)據(jù)篩選的作用，讓用戶可以更清晰地觀察到可能被攻擊的位置，便于及時(shí)做出防御。用戶可拖動(dòng)該滑塊至選定值，在矩陣中過濾掉通信量小于該選定值的所有點(diǎn)。

2.2.2 視圖2：IP通信關(guān)系總圖

如圖4所示，視圖2位于整個(gè)系統(tǒng)的左半部分。從大小看，視圖2要遠(yuǎn)大于其他3個(gè)視圖，因?yàn)樗菑恼w上對(duì)數(shù)據(jù)集的總結(jié)。無論用戶如何篩選數(shù)據(jù)，本視圖總默認(rèn)顯示全部數(shù)據(jù)集。視圖2利用了可視化方法中經(jīng)典的平行坐標(biāo)軸方法，將數(shù)據(jù)集中的源IP與目的IP分列在左右兩邊，分別以正灰和正黑色的圓圈表示。一灰色圓圈與一黑色圓圈的連線代表2個(gè)IP間存在通信。源IP地址的分布按從左到右字段倒序分布，方便用戶順利找到某個(gè)可能存在的攻擊者IP，并了解該IP的攻擊情況。圓圈的大小代表所采集數(shù)據(jù)集內(nèi)該IP成為目的IP或源IP的次數(shù)多少。值得注意的是，由于發(fā)生DDoS攻擊后，部分IP的通信次數(shù)增多到較大值，受到網(wǎng)頁大小的限制，圓圈大小不能僅憑通信次數(shù)線性增長，于是系統(tǒng)中設(shè)定了一個(gè)閾值。到達(dá)該閾值后，為保持視圖的美觀性，圓圈的大小停止增長保持不變。然而，該視圖的重要功能之一是通過IP通信量對(duì)是否發(fā)生DDoS攻擊、攻擊者與被攻擊者的IP信息等有整體的了解，閾值的設(shè)定會(huì)為判斷帶來一定的麻煩。為克服由此帶來的缺點(diǎn)，將超過閾值一定比例的點(diǎn)以顏色表示，即將原有的正灰色或正黑色變成深灰色或深黑色。這樣改變后，就可以將數(shù)據(jù)集中通信量較大的點(diǎn)清晰地標(biāo)識(shí)出來。

在本視圖的細(xì)節(jié)方面，該視圖共有3項(xiàng)交互。1) 當(dāng)用戶單擊某個(gè)圓圈時(shí)，鼠標(biāo)旁顯示關(guān)于該圓IP的詳細(xì)信息，包括具體IP地址與通信次數(shù)。2) 由于一份數(shù)據(jù)集中IP地址較多，在有限的區(qū)域內(nèi)不能將全部信息顯示出來，于是在該視圖中加入放縮與平移的方法。當(dāng)用戶想查看未進(jìn)入視野的信息時(shí)，只需將鼠標(biāo)向上或下方拖動(dòng)視圖即可。當(dāng)由于數(shù)據(jù)較多影響查看效果時(shí)，只需放大該視圖即可。3) 視圖1與視圖2之間的交互。當(dāng)用戶單擊視圖1矩陣上的某一16×16的小矩形區(qū)域時(shí)，被點(diǎn)中的矩陣區(qū)域邊緣高亮，同時(shí)視圖2中與所選區(qū)域包含的目標(biāo)IP地址有關(guān)的數(shù)據(jù)信息全部高亮，其余信息被弱化，如圖5所示。通過高亮信息，可以發(fā)現(xiàn)與該區(qū)域有關(guān)的源IP的情況。通過對(duì)視圖1、視圖2的共同分析，結(jié)合DDoS攻擊次數(shù)多、流量大的特點(diǎn)，可以判定該區(qū)域內(nèi)是否發(fā)生了DDoS攻擊以及攻擊者的具體IP地址或者使用了哪些偽IP地址等信息。

圖4 DDoS攻擊可視化系統(tǒng)視圖2：IP通信關(guān)系總圖

圖5 IP通信關(guān)系總圖部分信息高亮效果

2.2.3 視圖3：通信次數(shù)圖

如圖6所示，視圖3位于整個(gè)系統(tǒng)的右上部分，屬于視圖1的輔助視圖。由于視圖1是根據(jù)目的IP后2個(gè)字段的數(shù)字轉(zhuǎn)換成坐標(biāo)來標(biāo)記位置的，如果不同源IP地址都對(duì)應(yīng)同一個(gè)目標(biāo)IP，那也只會(huì)在視圖1內(nèi)顯示出同一個(gè)點(diǎn)。即使視圖1中的每個(gè)小矩形用顏色表示出了各自通信次數(shù)的大小，但也只是說明該區(qū)域而不是某個(gè)點(diǎn)的具體情況。一個(gè)深色的區(qū)域往往可能有2種情況：一是某個(gè)點(diǎn)的通信次數(shù)很高而其他點(diǎn)較低，在這種情況下發(fā)生了DDoS攻擊的可能性較高；二是區(qū)域內(nèi)的點(diǎn)較多，但是每點(diǎn)次數(shù)較平均，這種情況下發(fā)生DDoS攻擊的可能性相對(duì)較低。因此，要想確定是否真正發(fā)生DDoS攻擊，還要結(jié)合單個(gè)點(diǎn)的情況，這便是視圖3存在的原因。

作為輔助視圖，視圖1、視圖3間必然會(huì)加入交互。當(dāng)用戶單擊視圖1中某個(gè)16×16小矩形區(qū)域后，在視圖3中顯示將選定區(qū)域等比例放大后的視圖。視圖3中左上、左下與右下角標(biāo)記了視圖1中選定區(qū)域邊界的橫縱坐標(biāo)，起到一個(gè)提示的作用。區(qū)域中的點(diǎn)根據(jù)自身的通信次數(shù)多少用深淺不同的灰色標(biāo)定，顏色選取與視圖1中灰色的漸進(jìn)方式相同。此外，該視圖還加入另外2種交互：一是當(dāng)鼠標(biāo)移到某點(diǎn)上，顯示該點(diǎn)具體的通信次數(shù)；二是為防止相鄰兩點(diǎn)重復(fù)部分過多，通過鼠標(biāo)滾動(dòng)將該視圖放大，進(jìn)而便于查看所有點(diǎn)。

圖6 DDoS攻擊可視化系統(tǒng)視圖3：通信次數(shù)

2.2.4 視圖4：單目標(biāo)IP通信關(guān)系圖

如圖7所示，視圖4位于視圖3的下方，屬于視圖1與視圖3的輔助視圖。視圖3主要用可視化中力導(dǎo)向圖的方法實(shí)現(xiàn)。其中，三角形代表目標(biāo)IP地址，圓點(diǎn)代表源IP地址。兩點(diǎn)間的連線表示二者有通信關(guān)聯(lián)。該視圖中的交互有3種：1) 當(dāng)用戶鼠標(biāo)劃過任意線，會(huì)顯示對(duì)應(yīng)兩點(diǎn)間的通信次數(shù)，滑過點(diǎn)會(huì)顯示具體的IP地址與點(diǎn)的編號(hào)；2) 當(dāng)用戶單擊視圖1中某一16×16的小矩陣后，視圖4中顯示該區(qū)域內(nèi)通信次數(shù)最高點(diǎn)的力導(dǎo)向圖；3) 當(dāng)用戶單擊視圖3中顯示的某點(diǎn)，視圖4中會(huì)顯示該點(diǎn)的力導(dǎo)向圖，即該點(diǎn)和該點(diǎn)有關(guān)的所有源IP地址。之所以會(huì)選擇力導(dǎo)向圖這種可視化方法，是因?yàn)楫?dāng)某區(qū)域涉及的點(diǎn)較多時(shí)，用戶可以手動(dòng)改變點(diǎn)的位置，將其拖動(dòng)到適合觀察的區(qū)域使用鼠標(biāo)滑動(dòng)顯示細(xì)節(jié)。

圖7 DDoS攻擊可視化系統(tǒng)視圖4：單目標(biāo)IP通信關(guān)系

圖8 DDoS攻擊可視化系統(tǒng)時(shí)間軸模塊

2.2.5 其他

在4個(gè)視圖之下還有一個(gè)區(qū)域，如圖8和圖9所示，該區(qū)域主要用來顯示數(shù)據(jù)細(xì)節(jié)與時(shí)間軸。由于網(wǎng)頁的空間有限，因此采取了區(qū)域復(fù)用，即鼠標(biāo)滑過轉(zhuǎn)換標(biāo)簽的方法。當(dāng)用戶打開網(wǎng)頁后，該區(qū)域默認(rèn)顯示時(shí)間軸模塊，鼠標(biāo)滑過后可以轉(zhuǎn)換為細(xì)節(jié)模塊。時(shí)間軸的主要作用是對(duì)原數(shù)據(jù)集的篩選。時(shí)間軸共分為3個(gè)部分，從上到下依次為月份、日期與小時(shí)，用戶可以自行滑動(dòng)滑塊對(duì)時(shí)間進(jìn)行選擇。時(shí)間軸模塊與視圖1中的矩陣有交互。當(dāng)時(shí)間滑塊停止后，視圖1矩陣中會(huì)標(biāo)記在目前選定的時(shí)間段內(nèi)與外界IP有通信情況的由具體IP地址后兩段字節(jié)組成的坐標(biāo)點(diǎn)。

每個(gè)軸上有一個(gè)小型可視化交互柱狀圖：對(duì)于上方月份軸，顯示了數(shù)據(jù)集中每月通信次數(shù)的多少，一直保持不變；中間日期軸顯示了選定月份中每天通信次數(shù)的多少，當(dāng)選定的月份區(qū)間變化時(shí)，日期軸上方柱狀圖跟隨變化；下方小時(shí)軸同理，當(dāng)選定的月份區(qū)間或日期區(qū)間變化時(shí)，小時(shí)軸上方的柱狀圖也跟隨變化。用戶可以根據(jù)柱狀圖的提示清楚得知哪些時(shí)間段內(nèi)的通信次數(shù)較多，更易發(fā)生DDoS攻擊，進(jìn)而將時(shí)間段選定在此區(qū)間內(nèi)，排除了正常通信的干擾。

該區(qū)域的另一模塊為細(xì)節(jié)模塊，該模塊與視圖1、3有交互。當(dāng)用戶單擊視圖1或3中的某個(gè)點(diǎn)后，可以在細(xì)節(jié)模塊中顯示該目標(biāo)IP在數(shù)據(jù)集中的所有數(shù)據(jù)信息，包括通信時(shí)間、源IP地址、通信端口、網(wǎng)址等。所用數(shù)據(jù)集不同，顯示的細(xì)節(jié)也不盡相同，每條數(shù)據(jù)之間用矩形框區(qū)分，使顯示更加清晰。當(dāng)用戶再次單擊其他點(diǎn)后，會(huì)覆蓋前一點(diǎn)的所有細(xì)節(jié)信息，不保留歷史記錄。視圖1中加入的放縮功能也是為該模塊服務(wù)。當(dāng)視圖1中的點(diǎn)較密集時(shí)，用戶可以通過放大矩陣，從而更易單擊其中的特定點(diǎn)。

此外，在整體設(shè)計(jì)的右上角有幫助圖標(biāo)，當(dāng)用戶單擊后，顯示該系統(tǒng)的使用說明，指導(dǎo)用戶進(jìn)行操作。

綜上，時(shí)間軸與細(xì)節(jié)模塊也是視圖1的輔助視圖，通過較多交互讓視圖1作為主視圖的功能更加完善。較多的交互是本系統(tǒng)設(shè)計(jì)的創(chuàng)新之處，也是各視圖間聯(lián)系、各數(shù)據(jù)間關(guān)系的重要表現(xiàn)手段。它凸顯了可視化的實(shí)際意義，也讓整個(gè)系統(tǒng)間的聯(lián)系更加緊密。

圖9 DDoS攻擊可視化系統(tǒng)細(xì)節(jié)模塊

3 系統(tǒng)應(yīng)用

3.1 數(shù)據(jù)來源與處理

為了檢驗(yàn)該DDoS可視化系統(tǒng)的實(shí)際效果，采用了3份實(shí)際數(shù)據(jù)集加載入該系統(tǒng)中。其中，有一份選取自中國可視化與可視分析大會(huì)（ChinaVis）2016挑戰(zhàn)賽的網(wǎng)絡(luò)日志數(shù)據(jù)集；另2份選取自某高校某實(shí)驗(yàn)室的真實(shí)網(wǎng)絡(luò)日志，包含一周確定遭受DDoS攻擊的日志以及一周未遭受DDoS攻擊的日志。引入某高校的真實(shí)數(shù)據(jù)，是為了在已知是否存在DDoS攻擊的情況下觀察系統(tǒng)的實(shí)現(xiàn)效果，總結(jié)與分析系統(tǒng)的實(shí)現(xiàn)情況；引入ChinaVis的數(shù)據(jù)集，是為了觀察在引入普通數(shù)據(jù)后，系統(tǒng)對(duì)DDoS攻擊的敏感度，用戶是否能較明顯地發(fā)現(xiàn)可能存在的攻擊情況。

在對(duì)日志數(shù)據(jù)的處理上，對(duì)源IP地址進(jìn)行了分字段倒序排序，為了減少在代碼運(yùn)行時(shí)的運(yùn)算復(fù)雜度，加快了系統(tǒng)處理大型數(shù)據(jù)的速度。

3.2 應(yīng)用效果

3.2.1 效果1

本次應(yīng)用采用某高校某實(shí)驗(yàn)室受到DDoS攻擊的特定周的網(wǎng)絡(luò)日志數(shù)據(jù)集，效果如圖10所示。

通過效果圖可以清晰地看出，此時(shí)在選定的IP區(qū)域發(fā)生了DDoS攻擊。因?yàn)楦鶕?jù)DDoS攻擊的特點(diǎn)，攻擊者喜歡利用傀儡機(jī)對(duì)受害方連續(xù)IP地址的區(qū)域發(fā)動(dòng)攻擊。在視圖1的矩陣中，可以明顯看到，在橫軸x=162處的縱軸上有連續(xù)的通信量出現(xiàn)，且根據(jù)視圖3每點(diǎn)顯示的細(xì)節(jié)，觀測到每點(diǎn)的通信量都在千次以上，這是典型的DDoS攻擊的特點(diǎn)。此外，根據(jù)下方時(shí)間軸的輔助柱狀圖信息，可以得知DDoS攻擊即有可能發(fā)生在4月14與4月15日2天，因?yàn)檫@2天的通信量要遠(yuǎn)大于其他日期。

3.2.2 效果2

本次應(yīng)用采用某高校實(shí)驗(yàn)室未受到DDoS攻擊的某一周的網(wǎng)絡(luò)日志數(shù)據(jù)集，效果如圖11所示。通過效果圖可以清晰地看出，該周數(shù)據(jù)的通信量較小且比較分散，許多IP地址的通信量都控制在10以下，無論從視圖1矩陣，還是從視圖3通信次數(shù)與視圖2整體數(shù)據(jù)集的情況來看，都沒有發(fā)現(xiàn)出現(xiàn)DDoS攻擊的典型特點(diǎn)，因此可以基本判定，該周未發(fā)生DDoS攻擊。

3.2.3 效果3

本次應(yīng)用采用ChinaVis2016的部分網(wǎng)絡(luò)日志數(shù)據(jù)集，效果如圖12所示。通過效果圖可以看到，視圖2中有一目標(biāo)IP呈深灰色，即受到了大量目標(biāo)IP的攻擊，這點(diǎn)也可從視圖2的連線情況中得出。該視圖狀況符合DDoS攻擊的規(guī)律。視圖1中，用戶選定了172.20區(qū)域，該局域網(wǎng)內(nèi)只有某一小矩陣區(qū)域呈現(xiàn)了深灰色，而其他區(qū)域雖然也存在坐標(biāo)點(diǎn)，但只采用了白色，說明深色區(qū)域的通信量極大，遠(yuǎn)大于其他區(qū)域，該視圖狀況符合DDoS攻擊的規(guī)律。當(dāng)用戶單擊深色小矩形區(qū)域后，輔助視圖3中可以看到顏色最深的點(diǎn)具有上千的通信量。同時(shí)，在下方視圖4中，可以清晰地看到選定區(qū)域內(nèi)通信量最多的點(diǎn)的力導(dǎo)向圖。這種典型的花朵似的圖形更清晰地說明了該IP地址發(fā)生了DDoS攻擊。

綜上所述，基本可以確定在2015年7月26日左右，位于172.20的局域網(wǎng)內(nèi)發(fā)生了DDoS攻擊。在用前2份數(shù)據(jù)在已知結(jié)論的情況下對(duì)系統(tǒng)進(jìn)行了有效性檢測后，該數(shù)據(jù)的加載效果更說明了該系統(tǒng)基本實(shí)現(xiàn)了設(shè)計(jì)目的，即用戶能通過簡單觀察各個(gè)視圖，發(fā)現(xiàn)是否存在DDoS攻擊的情況。

3.3 效果分析與比較

3.3.1 系統(tǒng)優(yōu)點(diǎn)

根據(jù)系統(tǒng)的實(shí)現(xiàn)情況來看，該系統(tǒng)具有以下優(yōu)點(diǎn)。

1) 該系統(tǒng)相對(duì)于其他已存在的分析DDoS攻擊的方法，使用了可視化技術(shù)，避免了大量繁瑣的計(jì)算。區(qū)別于其他網(wǎng)絡(luò)安全可視化系統(tǒng)，該系統(tǒng)主要針對(duì)DDoS攻擊，且采用多視圖多視角的方式進(jìn)行可視化。

2) 從3.2節(jié)討論的系統(tǒng)應(yīng)用效果來看，該系統(tǒng)實(shí)現(xiàn)了判斷DDoS攻擊是否出現(xiàn)的功能，滿足了用戶的基本需求。用戶通過閱讀系統(tǒng)說明可以簡單學(xué)會(huì)對(duì)系統(tǒng)的使用。

圖10 某網(wǎng)絡(luò)受到DDoS攻擊的系統(tǒng)效果

圖11 某網(wǎng)絡(luò)未受到DDoS攻擊的系統(tǒng)效果

圖12 引入ChinaVis數(shù)據(jù)集的系統(tǒng)效果

3) 從設(shè)計(jì)的角度來看，各視圖功能各有側(cè)重，視圖間排布較為合理，有側(cè)重點(diǎn)之分，讓人一目了然。

4) 從可視化的角度來看，可視化的基本方法使用得當(dāng)，既保證了數(shù)據(jù)能完整、真實(shí)地顯示在系統(tǒng)中，不使數(shù)據(jù)冗余，也不引入虛假關(guān)系，又讓數(shù)據(jù)清晰地表示出來。

5) 從交互設(shè)計(jì)的角度來看，本系統(tǒng)將交互功能作為系統(tǒng)設(shè)計(jì)的重點(diǎn)，增強(qiáng)了用戶的體驗(yàn)。在主視圖方面，視圖1分別與視圖2、3、4各有交互，也與時(shí)間軸、細(xì)節(jié)、IP選擇等模塊有直接交互，賦予了用戶較高的自由度，讓用戶可以自行選擇不同維度觀察分析數(shù)據(jù)。對(duì)于其他視圖，相互間也有一些交互。例如，視圖4可以由視圖3通過鼠標(biāo)單擊控制，每個(gè)視圖都有鼠標(biāo)單擊或滑過顯示提示框交互等。通過較多交互，不僅增強(qiáng)了用戶體驗(yàn)，強(qiáng)化了各視圖間的關(guān)系，更利于用戶發(fā)現(xiàn)新問題，進(jìn)而發(fā)掘數(shù)據(jù)間的隱藏關(guān)系。

3.3.2 系統(tǒng)局限性

由于時(shí)間、技術(shù)等多種原因，該系統(tǒng)依然具有一定的局限性。

1) 該設(shè)計(jì)作為一項(xiàng)系統(tǒng)應(yīng)用，并沒有讓數(shù)據(jù)由用戶直接裝載，這大大降低了系統(tǒng)的實(shí)用性，是下一步亟待解決的問題。

2) 當(dāng)數(shù)據(jù)集超過百兆時(shí)，系統(tǒng)的運(yùn)算速度將大大減慢，影響了用戶體驗(yàn)。

3) 系統(tǒng)設(shè)計(jì)的細(xì)節(jié)問題。當(dāng)加載的數(shù)據(jù)集較大時(shí)，視圖2的長度將變得很大，雖然加入了拖拽交互與倒序排列，但是也一定程度上影響了用戶體驗(yàn)。同時(shí)，若對(duì)某目標(biāo)IP攻擊的源IP數(shù)目過多，在視圖4力導(dǎo)向圖上顯示出的點(diǎn)數(shù)目過密，影響了用戶使用的便捷性與美觀性。

4) 系統(tǒng)采用已導(dǎo)出的數(shù)據(jù)作為源數(shù)據(jù)集進(jìn)行可視化，缺少實(shí)時(shí)監(jiān)測的能力。

3.3.3 系統(tǒng)可行性分析

1) 技術(shù)方面的可行性

本系統(tǒng)利用網(wǎng)頁進(jìn)行開發(fā)，主要使用的語言是JavaScript、HTML與CSS，使用的庫為JavaScript中的D3庫，均屬于常見的語言，具有大量資料。通過查閱學(xué)習(xí)相關(guān)教程與官方文檔，開發(fā)人員可以基本熟悉所用語言。因此，對(duì)于該系統(tǒng)的開發(fā)人員沒有太多技術(shù)上的困難。這3種語言對(duì)于開發(fā)環(huán)境的要求也不高，只需在計(jì)算機(jī)上搭建小型服務(wù)器，一般計(jì)算機(jī)都可順利配置。

2) 經(jīng)濟(jì)方面的可行性

本系統(tǒng)開發(fā)成本由開發(fā)人員的時(shí)間精力與生活消耗組成?？紤]到該系統(tǒng)的實(shí)用性較強(qiáng)，可以給公司帶來良好收益，經(jīng)濟(jì)方面是可行的。

3) 后續(xù)維護(hù)方面的可行性

對(duì)于該系統(tǒng)的后續(xù)維護(hù)是較容易的。由于基本功能都已實(shí)現(xiàn)，維護(hù)主要集中在未探測到的錯(cuò)誤修護(hù)，界面的UI設(shè)計(jì)與算法復(fù)雜度的降低方面，這對(duì)熟悉該編程語言的開發(fā)人員是較容易的。

4) 用戶操作可行性

除了系統(tǒng)開發(fā)方面的可行性，用戶使用方面的可行性也非常重要。一個(gè)良好的系統(tǒng)設(shè)計(jì)需要讓用戶簡單、順暢地使用。對(duì)于本系統(tǒng)來說，主要用網(wǎng)頁進(jìn)行實(shí)現(xiàn)，不需用戶自行下載安裝軟件。現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)的普及率很高，所以對(duì)任意用戶來說，都可以簡單地通過互聯(lián)網(wǎng)進(jìn)入系統(tǒng)，簡化了對(duì)軟件的安裝操作。在系統(tǒng)的使用方面，操作簡單，只需用戶操作鼠標(biāo)單擊與滑動(dòng)即可使用。系統(tǒng)右上角有詳細(xì)的使用說明，用戶可以隨時(shí)查看。

綜上所述，該系統(tǒng)在各方面具有良好的可行性，具備實(shí)際使用的價(jià)值。

3.3.4 系統(tǒng)前景與改進(jìn)

目前，該系統(tǒng)的基本功能都已實(shí)現(xiàn)，但仍存在一些局限性。減少現(xiàn)有缺陷成為完善該系統(tǒng)的首要目標(biāo)。

在3.3.2節(jié)中已提到過，目前亟待解決的問題是數(shù)據(jù)的裝載問題。對(duì)于任意實(shí)用系統(tǒng)來說，系統(tǒng)需實(shí)現(xiàn)對(duì)數(shù)據(jù)集的選取功能。該問題的解決方法有2種：一是當(dāng)該系統(tǒng)運(yùn)用于企業(yè)等團(tuán)體機(jī)構(gòu)后，可以直接與該機(jī)構(gòu)的網(wǎng)絡(luò)日志系統(tǒng)連接，將數(shù)據(jù)直接輸入到該系統(tǒng)中，不需人工加載處理；二是對(duì)想要觀察不同網(wǎng)絡(luò)情況的研究者來說，可以在系統(tǒng)中設(shè)置加載功能，讓用戶自行上傳想查看的數(shù)據(jù)到該系統(tǒng)中。解決了數(shù)據(jù)的裝載問題，可以大大提高系統(tǒng)的實(shí)用性與用戶的自由度。

其次，由于設(shè)計(jì)時(shí)間的局限性，系統(tǒng)的細(xì)節(jié)部分還有待提高。例如，系統(tǒng)的UI設(shè)計(jì)還比較粗糙，不夠精美。為了吸引用戶的使用，系統(tǒng)還需要加強(qiáng)對(duì)細(xì)節(jié)部分的處理，如加入合適的圖片提示、加入效果動(dòng)畫等。

再次，該系統(tǒng)在大數(shù)據(jù)方面表現(xiàn)還不夠突出，今后在數(shù)據(jù)的篩選與計(jì)算方面應(yīng)多做改進(jìn)，降低系統(tǒng)的響應(yīng)時(shí)間。

最后，該系統(tǒng)不應(yīng)滿足于已有的功能，在今后應(yīng)多多開發(fā)新功能，為DDoS攻擊可視化增添新的助力。例如，該數(shù)據(jù)集來源于網(wǎng)絡(luò)日志中已統(tǒng)計(jì)過的數(shù)據(jù)，并沒有對(duì)實(shí)時(shí)網(wǎng)絡(luò)情況進(jìn)行監(jiān)控與分析，這就讓使用者面對(duì)當(dāng)下的DDoS攻擊不能及時(shí)做出反應(yīng)。因此，將網(wǎng)絡(luò)日志中的實(shí)時(shí)數(shù)據(jù)直接導(dǎo)入系統(tǒng)可以大大增加系統(tǒng)的實(shí)用性，擴(kuò)大用戶范圍。同時(shí)，對(duì)于實(shí)時(shí)監(jiān)測到的DDoS攻擊，該系統(tǒng)可以直接采取有效的防御措施，進(jìn)行主動(dòng)防御，大大減少了網(wǎng)絡(luò)監(jiān)控者的工作量。

以上幾點(diǎn)改進(jìn)都會(huì)大大增加系統(tǒng)的實(shí)用性與有效性，增加用戶群體，增強(qiáng)用戶體驗(yàn)，有利于系統(tǒng)的推廣。由于網(wǎng)絡(luò)安全與可視化結(jié)合本身就是新興的研究方向，若能實(shí)現(xiàn)一個(gè)獨(dú)立的具有獨(dú)特創(chuàng)新性的系統(tǒng)，將會(huì)具有良好的發(fā)展前景，為可視化技術(shù)在網(wǎng)絡(luò)安全方面的實(shí)踐增添了助力。對(duì)分布式拒絕服務(wù)攻擊進(jìn)行可視化，是網(wǎng)絡(luò)安全可視化的一個(gè)詳細(xì)分支，也為今后的可視化研究提供了另一種方向，即對(duì)現(xiàn)有的可視化方向再細(xì)化，并設(shè)計(jì)出具體應(yīng)用用于處理實(shí)際問題。相信這個(gè)方向也會(huì)是可視化技術(shù)由研究走向?qū)嶋H的必經(jīng)之路。

4 結(jié)束語

在網(wǎng)絡(luò)愈發(fā)重要的時(shí)期，用戶對(duì)網(wǎng)絡(luò)安全的要求就越高，那么對(duì)網(wǎng)絡(luò)狀態(tài)的監(jiān)控就越必不可少。近年來，大數(shù)據(jù)的興起帶動(dòng)了可視化的發(fā)展，將可視化技術(shù)帶進(jìn)了人們的視野中，衍生出了網(wǎng)絡(luò)安全可視化這種新型研究方向。目前，網(wǎng)絡(luò)安全可視化處于迅速發(fā)展的時(shí)期，研究者開發(fā)出了一系列新型的網(wǎng)絡(luò)安全可視化工具，如SnortView、NVisionIP等，對(duì)可視化的應(yīng)用以及網(wǎng)絡(luò)安全的分析做出了較大的貢獻(xiàn)。

本文對(duì)分布式拒絕服務(wù)攻擊可視化進(jìn)行了研究與系統(tǒng)設(shè)計(jì)。首先，介紹了網(wǎng)絡(luò)安全與可視化的研究背景，闡明了DDoS攻擊可視化的研究意義。其次，介紹了DDoS攻擊的基本概念，包括攻擊原理、特點(diǎn)與防御方法等，讓讀者對(duì)該類型的網(wǎng)絡(luò)攻擊有一定的了解。接著，介紹了可視化在網(wǎng)絡(luò)安全方面常用的一些基本方法，包括IP矩陣、平行坐標(biāo)軸、環(huán)狀圖等，并重點(diǎn)闡述了可視化中的交互方法及其對(duì)可視化的重要意義，讓讀者了解了可視化技術(shù)中的一些方法。通過對(duì)基礎(chǔ)知識(shí)的闡述以及研究背景的簡介，引出了用于分析DDoS攻擊的可視化系統(tǒng)的設(shè)計(jì)，并對(duì)該系統(tǒng)的整體設(shè)計(jì)情況、設(shè)計(jì)過程、各視圖功能與視圖間關(guān)系進(jìn)行了詳細(xì)的分析，包含各視圖所運(yùn)用的可視化方法以及交互在設(shè)計(jì)中的使用情況。最后，本文將3組實(shí)際網(wǎng)絡(luò)日志數(shù)據(jù)，包括確定有攻擊、確定無攻擊以及一般的數(shù)據(jù)，引入了DDoS攻擊可視化系統(tǒng)中，由前2組數(shù)據(jù)確定該系統(tǒng)在不同情況下的不同效果，并由一般數(shù)據(jù)檢測了當(dāng)系統(tǒng)應(yīng)用于實(shí)際中的效果。根據(jù)系統(tǒng)的實(shí)際效果，本文提出了該設(shè)計(jì)存在的局限性，并有針對(duì)性地提出了改進(jìn)方法。

可視化技術(shù)作為近年來新興的研究領(lǐng)域，還有許多方向有待挖掘。而網(wǎng)絡(luò)安全可視化作為可視化應(yīng)用的一個(gè)重要分支，也會(huì)快速向前發(fā)展。分布式拒絕服務(wù)的可視分析系統(tǒng)連接了兩大研究方向，是網(wǎng)絡(luò)安全可視化的一個(gè)具體應(yīng)用。更加具體的研究內(nèi)容帶來了更加豐富的實(shí)際意義，這也是研究最終走向?qū)嵺`的必經(jīng)之路?？傊?，在可視化技術(shù)飛速發(fā)展的當(dāng)下，還會(huì)出現(xiàn)很多新生的理論研究。相信這些研究可以在大數(shù)據(jù)時(shí)代中，為可視化領(lǐng)域的發(fā)展、多領(lǐng)域間的交流做出重大貢獻(xiàn)，為國家科技的發(fā)展帶來良好的助力。

[1] 陶傳義. 科學(xué)計(jì)算可視化在物理光學(xué)教學(xué)中的應(yīng)用[J]. 科教文匯旬刊, 2013(22):57. TAO C Y. Application of visualization in scientific computing in physical optics teaching[J]. The Science Education Article Collects, 2013(22): 57.

[2] 劉波, 馬紅妹, 徐學(xué)文. 20年可視化發(fā)展歷程對(duì)情報(bào)學(xué)的影響[J].情報(bào)理論與實(shí)踐, 2008(1): 15-17. LIU B, MA H M, XU X W. Impact of 20 years’ development of visualization on information science[J]. Information Studies: Theort & Application, 2008(1): 15-17.

[3] DARREN A, PAUL B, CHUI C F, et al. Worldwide infrastructure security report[R]. Arbor Networks, 2016.

[4] ZHANG Y, LIU Q, ZHAO G F. A real-time ddos attack detection and prevention system based on per-IP traffic behavioral analysis[C]//IEEE International Conference on Computer Science & Information Technology. 2010(2): 163-167.

[5] INDRAJEEET B M, PUKALE S G, DHORE M L. Detection of DDoS attack and defense against IP spoofing[C]//International Conference on Advances in Computing, Communication and Control. 2009: 489-493.

[6] 顏若愚. 基于流量矩陣和Kalman濾波的DDoS攻擊檢測方法[J].計(jì)算機(jī)科學(xué), 2014(3): 176-180. YAN R Y. DDoS attacks detection method based on traffic matrix and kalman filter[J]. Computer Science, 2014(3): 176-180.

[7] 王偉. 基于端口監(jiān)測的DDoS攻擊防御策略研究[J]. 安徽水利水電職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2010, 10(2): 62-64. WANG W. A research on the attack of DDoS based on the port detection[J]. Journal of Anhui Technical College of Water Resources and Hydroelectric Power, 2010, 10(2): 62-64.

[8] HIDEKI K, KAZUHIRO O. SnortView: visualization system of snort logs[J]. Workshop on Visualization & Data Mining for Coumpter Security, 2004: 143-147.

[9] CHRIS P L, JASON T, NICHOLAS G, et al. Visual firewall: real-time network security monitor[J]. IEEE Workshop on Visualization for Computer Security, 2005: 129-136.

[10] 張志國. 防止DDoS攻擊的五個(gè)“大招”[J]. 計(jì)算機(jī)與網(wǎng)絡(luò), 2016(2): 53-53. ZHANG Z G. Five methods to prevent DDoS attack[J]. Computer & Network, 2016(2): 53.

張毅凡（1993-），女，天津人，上海交通大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全可視化。

董笑菊（1975-），女，吉林公主嶺人，博士，上海交通大學(xué)副教授，主要研究方向?yàn)樾畔⒖梢暬c可視分析、形式化方法。

Visualization analysis and design of DDoS attack

ZHANG Yi-fan, DONG Xiao-ju

(School of Electronic Information and Electrical Engineering, Shanghai Jiaotong University, Shanghai 200240, China)

Firstly, the IP address of the Web log were visualized, and an integral system was presented by using proper visualization methods. Secondly, the whole system was related to the IP address, containing source IP address, target IP address and their relationship respectively. It provided users with different views of data, which could show more details and undetected relations among massive data. Besides, some interactions were added into the system, which made it more effective and useful. Finally, it ended up with the comparison of the systems when loading data with the DDoS attack and without it. It made much sense in the application field.

network security, data visualization, DDoS attack, IP address

TP311

A

10.11959/j.issn.2096-109x.2017.00135

2016-12-03；

2017-01-05。通信作者：董笑菊，xjdong@sjtu.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.61100053）

Foundation Item: The National Natural Science Foundation of China (No.61100053)