基于可視分析的網絡異常檢測系統

張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

?

基于可視分析的網絡異常檢測系統

張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

（上海交通大學電子信息與電氣工程學院，上海 200240）

在網絡安全數據的規模和復雜度不斷攀升的今天，傳統可視化方法已不再適用。現有的網絡安全可視化系統和方法仍具有缺陷，它們無法對網絡安全數據進行時序變化上的展示，在信息展示的完備性和用戶交互性上表現較差。針對現有方法的不足，設計了一種多視圖聯動的網絡安全可視化系統，將力導向模型和階段式動畫相結合，展示網絡靜態狀態和動態變化，提供協議、IP段、端口的展示與篩選功能，為使用者展示全面豐富的網絡數據。

信息可視化；網絡安全可視化；可視化系統；交互

1 引言

隨著互聯網的不斷普及與網絡通信技術的不斷進步，越來越多的網絡應用應運而生。從最初的計算機網絡只用于發送電子郵件或共享設備，到如今的銀行系統、行政管理系統甚至軍事系統紛紛實現電子信息化管理，人們生活世界中的各個方面正逐漸通過互聯網緊密地聯系在一起。然而，互聯網應用的高速發展，不可避免地導致各種網絡安全隱患和漏洞。針對這些漏洞的攻擊，可能造成個人隱私、財產的損失，以及導致重要公共設施體系的癱瘓、國家級別機關的損害，后果極其嚴重。因此，網絡安全已成為一個不可忽視的問題。

在網絡安全領域中，預防與探查網絡攻擊的一個主要方式為分析監控設備產生的日志數據記錄。在日益復雜的網絡環境下，數據與信息呈爆炸式增長，對海量日志數據的分析提出了更大的挑戰。首先，需要分析的日志數據來源多，構成相異，數據規模成倍增長，同時日志文件多存在記錄不完整、缺乏必要字段等問題，日志的分析工作已然成為一大負擔；其次，分析人員往往局限于局部異常，難以掌握宏觀的網絡態勢；其三，網絡攻擊技術在不斷迭代更新，出現了許多新型的網絡攻擊手段，攻擊的復雜度也越來越高，導致傳統方法不再適用。

近年來，網絡安全自動化檢測技術不斷發展，減少了大量人力開支的同時也存在若干問題。一方面，訓練數據規模帶來了巨大的存儲成本以及時間成本；另一方面，復雜的網絡環境和攻擊方式的隱蔽性導致不少漏報誤報。因此，需要將人員參與分析的過程中，做出更準確的判斷。

在此過程中，如何將海量繁雜的數據進行體系化、結構化表示是一個關鍵性問題，網絡安全可視化這一交叉研究領域應運而生。運用網絡安全可視化技術將抽象繁雜的數據映射為具象簡單的圖表，輔之以友好易用的交互功能，使網絡安全分析人員可以借助可視化系統直觀地分析數據中的聯系與異常，從而更加高效準確地發現數據中隱含的信息。這樣，便進一步提高了分析人員對繁雜日志數據的處理能力，更容易感知、分析和解決網絡安全問題，從而大大促進網絡安全保障工作。將網絡安全維護與可視化結合，猶如將人類視覺觀察與程序判斷結合；人類視覺觀察分析有所局限，程序判斷的結果也未必可靠直觀。但二者的結合彌補了各自的不足之處，開創出數據識別的新思路。

網絡安全可視化還是一個非常新的領域[1,2]。它研究的主要內容為，如何通過對已有的通用型可視化方法進行調整，使之可以運用在網絡安全數據的可視化工作上。由于用戶的認知能力、偏好不盡相同，無法完全預測最終用戶將如何解讀其設計。但是通過對用戶需求和認知能力的調研，可以確定適當的展示內容和相應設計。網絡安全可視化將設計過程以用戶為核心，精心設計人機交互功能，盡可能直觀、完整地將信息傳遞給用戶。

在這一過程中，通常需要圍繞3個對象進行：網絡節點的拓撲結構、節點間的通信情況以及節點內端口的通信情況。針對這3個對象，需要解決以下4個問題：1) 如何在保持用戶心理印象的同時展示網絡拓撲結構的動態變化；2) 如何將網絡結構與通信情況緊密結合又使視圖不過于復雜；3) 在大量節點存在的情況下端口間的收發數據；4) 在直接應用圖布局算法不夠理想的情況下，如何結合網絡拓撲數據的特性改進。

本文就IP地址之間的聯系與通信狀態數據，提出了一種可視化數據分析方案。從信息可視化方面著手，通過多種視圖對通信數據進行多方面、多角度的表征；同時為了便于可視化的實時分析，將這些視圖進行聯動，從而形成一個多維度交互的數據可視化系統。系統由以下3個視圖構成：1) 基于階段式動畫的動態網絡；2) 包含IP樹和協議展示圈的協議圓周圖；3) 源?目的IP、端口散點圖。基于階段式動畫的動態網絡，在靜態時展示各個網絡節點之間的通信情況，包括節點通信相對密度，節點流量大小、輸入輸出情況等；在動態時展示各個連接的變化過程，從而有效地展現拓撲結構的動態變化。協議圓周圖實時展示當前網絡的協議分布情況、通信時間分布等信息以展現拓撲結構上的通信變化。通信雙方IP、端口散點圖展示當前網絡所有連接的IP、端口情況，通過交互詳細表現IP的異常情況。這3個視圖使用同一個時間軸對數據進行篩選，相互之間同步聯動，從而通過逐層篩選可以最終鎖定問題關鍵所在的各種信息。在主視圖的布局上，筆者在眾多力導向算法中選擇了最合適的FR（Fruchterman-Reingold）算法，并針對網絡數據的特點做了全局優化，動畫上采用了精簡后的階段式動畫；在2個輔視圖中，協議圓周圖內部的IP子樹彌補了主視圖中無法觀察節點之間、IP段關系的缺漏，外部的協議展示圈則提供該節點在一段時間的通信情況，給用戶一些綜合考慮的空間。IP端口散點圖展示了IP段之間、IP之間和端口之間的通信流量情況，采用一些針對性的優化措施使整體更加易用。最后，將系統整體串聯起來的多視圖聯動功能和時間軸篩選功能，則通過將時間序列縮略圖和時間軸相結合，使整個系統可以滿足從概覽整體到探究細節的所有需求。

2 相關工作介紹

2.1 可視化在網絡安全中的應用

2.1.1 網絡監控

對主機的網絡監控即對IP地址的監控。IP地址有分段的特性，其中，當前使用最廣的IPv4規定地址長度為32 bit，通常寫作A.B.C.D，4個用小數點分開的十進制數。由于IP地址眾多，如何進行取舍以達到比較好的可視化效果一直是學者努力的方向。IP矩陣[3]監控的是某一特定AB網段下的主機事件，通過二維坐標定位。而針對端口的監控（如PortVis[4]）同樣使用矩陣和顏色來映射所有的端口的流量情況。考慮到常用的端口并不多，可以將常用端口和非常用端口做區分， PortMatrix[5]將端口號分為4類，不常用的系統動態分配的端口被縮略展示。

2.1.2 異常檢測

網絡異常的范圍很廣，包括流量異常、越權訪問、設備失效等，其中，流量是異常檢測的主要監控信息。對于流量異常的檢測方法，2.1.1節中基于IP地址和端口的監控方案就可以勝任。此外也有許多其他的流量監控方案，如文獻[5]采用基于熱力圖的流量監控可視化系統。而Abdullah[6]采用一個基于時序的端口流量分組聚合分析的堆疊圖。

除了流量異常之外，主機、設備的突然失效也值得注意。節點連接圖是監控網絡連接情況的常用可視化方案，具體實現時又分為主機位置固定和動態布局2種策略。

2.2 動態網絡中的時間編碼

對于動態網絡的表示方法，最常見的就是網格圖。任何靜態網絡可視化系統都可以用于在任意時間點生成當前網絡的快照，這些快照可以使用表格進行顯示[7~9]。

2個或者更多網絡之間的差異圖可以直接比較網絡的時間步長，但單獨一個差異圖不足以探索長時間步長的序列[10~13]。顏色也被用于展示長期的變化，如文獻[14]中用顏色表示節點和連接在一個對整個網絡的簡單聚合圖中的首次出現。然而，這種方法很難對其他時間度量進行編碼。文獻[15,16]認為值通常是聚合的，而目標是提供一個單一的度量來描述整個動態變化，因此，省略關于各個時間點的信息。然而，單個圖像對時間變化顯示編碼的增強同時也增加了網絡表示的視覺復雜度[17]。

針對子圖在特定時間步長內的連通性以及高維屬性顯示的問題，本系統提供了一致的視覺界面，結合了網格圖表的優勢，提供一個總覽，幫助用戶將時間維度中的表示方式與差異圖像的顯式編碼以及動畫轉換的靈活性相結合。

2.3 動畫與時間導航

動畫作為一種向用戶展示界面變化的手段已經在心理學[18,19]、人機交互[20]和信息可視化[21]中得到了廣泛的研究，且已被證明在統計信息圖像之間和多變量的散點圖之間[22]的切換以及突出顯示文本文檔的歷史修改記錄[23]中具有很好的效果。Heer等[22]也偏向于過程更長的動畫交互效果。Chevalier等[20]放棄分階段轉換從而縮短轉換時間，更說明動畫能夠有效利用短期記憶。

分階段的動畫也被用于可視化動態樹[24,25]，如在SpaceTree中擴展子樹時和探索樹隨時間的變化之時[26]。DOITrees[27]也因此使用動畫轉換，不同的是它并行運行不同類型的動畫（子樹擴展、布局適配）。

Eades等[28]第一次提出了動畫可以在瀏覽集群圖像時提高對變化的理解程度。Friedrich等[29,30]提出了用于可視化動態網絡中變化的若干轉化步驟。Brandes[31]則提出三階段轉換，但在實際轉換過程中很難跟蹤具體的變化。

綜上所述，動畫的許多重要方面尚未得到充分研究：步長、分階段、階段的排序，轉換圖形渲染方式等。需要更多涉及更高級任務、涵蓋更大數據集的實驗來更好地進行探索并找到有效支持動態網絡探索的交互技術。

2.4 動態網絡布局算法

動態網絡可視化的另一個關鍵是如何在每個時間步驟中布置網絡。Gephi采用的迭代布局求解器在用戶更改顯示的時間范圍時可以提供很好的連續性[32]。雖然這種方法在步驟之間提供了一些連續性，但是不夠穩定，重新訪問之前某個時間段內網絡狀態的任務很難完成。為了避免這些變化，TempoVis根據上一個時間步長的布局、步驟間節點顏色和位置的線性插值創建一個新的布局[33]。

雖然這種方法可以隨著時間推移對布局進行更大的改變，但Eades等認為它更利于全局布局的穩定性，從而更好地保護用戶的心理圖[28]。Purchase和Samra的研究[34]表明，全局穩定或局部優化應該是首選，而不是中間解決方案。Archambault等[35]比較了網格圖和動畫在保存心理圖上的優劣，表明穩定的布局不會提高性能。然而，在后來的研究中，Archambault和Purchase[36]表明，穩定的布局能夠更好地支持網絡探索，這一發現得到了Ghani等另一項研究的證實。

這些實驗結果表明，具體的布局策略應該根據用戶的具體情況進行權衡。在所有時間步驟中最穩定的布局可能不適用于這些步驟中的任一步。針對每個時間步長優化之后的布局在步驟之間可能非常不穩定。關于布局算法的決策以及要使用的動畫類型高度依賴于用戶執行的實際任務。雖然布局與本系統中的其他功能是正交的，但是所選擇的布局會強烈地影響其適當的使用，詳見3.2.1節。

3 可視化系統設計與實現

3.1 系統總覽

3.1.1 數據特征

本系統針對的數據集為含有源、目的IP，源、目的端口，傳輸協議等維度，以傳輸時間為軸的網絡流量數據。

圖1 系統總覽

3.1.2 系統簡介

由于數據量較大，本系統針對引言中提出的4個問題采用3個視圖解決，以展示數據集各個維度的信息，如圖1所示（見彩插頁9）。

為有效展現拓撲結構的動態變化，主視圖采用基于階段式動畫的力導向動態網絡。靜態時展示了各個網絡節點之間的通信情況，包括節點通信相對密度，節點流量大小、輸入輸出情況等，當視圖出現變化時，使用階段式動畫高亮新增的和消失的連接。其中，對于拓撲結構的布局，本系統以Fruchterman-Reingold算法為基礎，針對網絡數據的特點做了全局優化，使整體布局更加分散、易讀。

為將拓撲結構以及通信變化聯系起來，圖1(b)采用協議圓周圖，具體展示了當前網絡的協議分布情況。內圈各個節點按照網段分布，并有線段指引到外圈。外圈切向為協議類別，徑向為協議時間分布情況，

通過節點與內圈的連線可以展示該節點的通信協議類別、通信時間分布等信息。

因普通IP矩陣在點過多時無法清晰有效地顯示端口數據而傳達的信息量不夠，圖1(c)設計采用了源?目的IP散點圖和一個源?目的端口散點圖，展示了當前網絡所有連接的IP、端口情況，并且使用顏色的深淺表示流量大小，顏色深的點流量較大。

3個視圖均使用一個時間軸對數據進行篩選，時間軸滑塊可以調整區間大小從而控制展示信息量，時間軸具有播放和暫停功能，方便瀏覽網絡動態變化。

同時，各個視圖均有交互功能且互相之間都有聯動，通過一步步篩選可以最終鎖定問題關鍵所在的各種信息。

3.2 基于階段式動畫的力導向動態網絡

3.2.1 動態網絡布局算法

1) 需求

對于一個網絡的監控，即包括主機、端口、流量和協議的監控，將對端口和協議的監控置于輔視圖中展示，因此，動態網絡這個視圖中需要展示的是主機和通信流量的情況，2.1.1節中已經提到了幾種基于主機監控的可視化系統，然而不僅要體現主機的流量，還要展示出主機之間的通信流量大小，并且不能將主機簡單地分成諸如內外網等幾類。因此，筆者決定采用節點連接圖進行展示，考慮到網絡可能分為幾個集群，最終采用了主機位置動態布局的方法，使用了力導向模型。考慮到大型網絡中難以對主機進行簡單的拓撲壓縮，筆者并未對網絡進行簡化，而是直接展示實際情況，這樣可以避免信息的遺漏。

2) 力導向模型

力導向模型的基本思想是，將圖形用一個物理系統模擬，每個節點都受到其他節點的拉力和斥力，在這種相互作用力之下整個系統達到平衡，節點不再震蕩保持靜止時，就獲得了合理的布局。

具體拉力和斥力的選擇，Eades在前人的基礎上提出了第一個力導向模型，他將網絡中的節點視作剛性的環，鏈接視作圓環間的彈簧，整個網絡就是一個彈簧系統。但是在實現上Eades并沒有遵照胡克定律，而是采用了自己的彈簧力公式。他的另一個不同于物理現實的地方在于力的作用方式：所有節點兩兩之間都有斥力，而拉力只存在于相鄰節點之間。這樣做降低了算法的復雜度，使計算拉力的復雜度降到了(||)，雖然計算斥力的復雜度依舊是(||2)。

Eades沒有采用胡克定律是因為它將節點之間的距離設置太大，Kamada和Kawai[37]則是改進了胡克定律，提出了KK模型。他們同樣將圖形視作彈簧系統，但是加入了一個理想距離的概念，2個節點的理想距離與它們之間的最短路徑長度相關。Kamada和Kawai將圖形的繪制視作一個降低整個彈簧系統總能量的過程，通過最小化系統能量，節點之間的距離會最接近與它的理想值。他們將系統能量定義為

其中，p為節點v對應剛性圓環的位置，k為p和p之間的彈力系數，l為節點v和v之間的理想距離。

系統通過解偏微分方程獲取節點的新位置，并且僅通過移動使系統能量減少的節點來減少整體能量。這一過程重復進行直到系統能量達到預設閾值。KK模型跟Eades模型很大的一個不同在于一次只移動一個節點，這使每次只要計算一個節點對系統能量的貢獻，將算法的復雜度降到了(||)。

3) Fruchterman-Reingold算法

Fruchterman和Reingold對Eades的模型進行了改進。他們受到自然中電子斥力的啟發，將模型中節點之間的斥力用電子斥力進行模擬，定義2個節點之間的電子斥力為

其中，為電子力常數，可以看出2個節點的距離越小則相互之間斥力越大，這樣就解決了節點重疊的問題。當然運動并未被完全模擬，力轉化的是速度而不是加速度，這是因為轉化加速度達到的是一個動態的平衡，而實際追求的是一個畫面上靜態的平衡。

每一個循環內都有3步，計算每個節點受到的引力，計算每個節點受到的斥力，然后通過“溫度”限制總的移動距離。這個“溫度”是受到Davidson和Harel[38]的啟發引入冷卻函數模擬退火過程的控制變量。每一次迭代都將減小節點的最大移動距離，這樣可以使系統能量快速減小，從而減少布局時間。

將設置為節點之間的理想距離，即

其中，number of vertices為節點數量，area為面積，需要通過經驗來驗證，式(1)基本的思想為希望所有的點在整個區域內廣泛分布，那么就是理想節點周圍的空曠區域的半徑。如果用f表示引力，f表示斥力，表示2個節點之間的距離，那么

2個力隨距離的變化如圖2所示[39]，可以看到當距離為理想距離時，二者正好互相抵消，引力和斥力函數是經過一些實驗得來的，有一些其他的選擇，但是很容易囿于局部最小值。

另外，冷卻函數cool() =，其中，為冷卻系數，經驗上設置為0.95可以達到比較好的效果。

圖2 引力斥力和2個節點距離函數

4) 針對網絡安全數據特性的改進

在使用FR算法布局大型網絡時發現了一些其他的問題，因為數據上顯示出網絡通信的一些特點：幾個流量特別大的節點周圍存在很多小節點，而流量特別大的節點之間通信也很頻繁，還有一些節點是脫離這些大節點而獨自存在的小點對。這就導致這些小點對被遠遠地排斥在外只留下中心節點，在展示區域有限的情況下將導致節點分布不均。為了解決這個問題，筆者給節點附加一個拉力權重W和一個斥力權重W。

其中，k和k分別為常系數，D為節點p的總連接數，max為所有節點的最大連接數。通過減少大流量節點之間的引力，加大它們之間的斥力，使大節點之間較普通節點更為分散。同時，減小孤立點對共同受到的中心節點的斥力，縮小中空區域，使整體布局更加分散、易讀。圖3（見彩插頁10）是改進前后的布局變化。

圖3 FR算法對布局的改進

3.2.2 階段式動畫

1) 需求

網絡安全數據是一個具有時序性的數據，2.3節中比較了網格圖和動畫在展示探索隨時間變化圖像的差異時的表現，雖然網格圖有準確、容易繪制等優點，但考慮到本系統是運行在一個大小受限的頁面之上而復雜網絡的靜態圖像本來就已經很大，若采用網格圖來展示變化，將會丟失很多數據上的細節，并且交互起來會非常不方便。因此本文決定用動畫展示。使用動畫展示圖形的差異也有很多設計方案可以選擇，涉及節點和邊的變化順序和變化方式等。最簡單的就是平行變換，將前后2張圖的所有差異進行一次性的轉化，這種變換方式的優點在于非常節省播放動畫所需要的時間，從而達到快速瀏覽的目的。然而這在本系統中是不適用的，首先，復雜網絡由于本身含有的元素眾多，其產生的各種變化也非常多，過快地展示所有的變化給用戶帶來認知負擔，反而降低了可視化的效果。其次，對網絡的監控不僅僅包括對當前網絡主機通信情況的掌握，還包括網絡之中產生的諸多變化，如突然增多的流量、突然失效的設備等。因此，對網絡變化的展示與對當前網絡狀態的展示同樣重要，比較之下，階段式動畫是一個很好的選擇，通過合理地分配圖像轉化階段，不僅可以使網絡狀態的變化躍然眼前，還可以維持用戶的心理圖，降低用戶的認知負擔。

2) 實現與改進

將動畫分為3個階段：

① 失效節點和邊的漸出與高亮；

②已有節點和邊的換位；

③新增節點和邊的漸進與高亮。

筆者認為這樣分配動畫較為合理，尤其對于動態網絡來說非常適用。新增節點和邊可以展示出突然增高的流量，或者新出現的掃描行為；已有節點和邊的換位展示的是已有鏈接的流量變化；失效節點和邊可以展示出突然失效的設備。這樣分開的展示可以使用戶不遺漏任何信息。

考慮到系統的實際情況，筆者最終沒有采用局部優化的布局方式，理由為：局部優化下的布局不具有整體性，對于存疑部分的網絡狀況有反復查看的需要，而局部優化的算法布局會受到歷史操作記錄的影響。因此，最終選用了全局優化的布局，前后視圖節點的位置并不會發生改變，這就不再需要動畫的第二步，并且也能夠給用戶提供良好的前后連貫性，保持心理圖。

圖4 階段式動畫

最終的動畫效果如圖4所示（見彩插頁11），分為兩步，失效的節點和邊采用藍色短暫持續的高亮邊緣漸出，短暫的間隔之后新增的節點和邊采用橙色短暫持續的高亮邊緣漸進。

3.3 協議圓周圖

3.3.1 簡述

本系統中使用的圓周圖是對文獻[40]中提到的雷達圖的實現與改進。筆者借用了其內部展現網絡結構，外部展現通信情況的思想，繪制了一個監控網絡協議的圓周圖。整個圖分為2個部分，內部為IP樹，外部為通信協議圈，如圖5所示（見彩插頁12）。

圖5 協議圓周圖

3.3.2 IP樹

圈的內部是由IP網段組成的樹，每個葉子節點都是一個IP地址，除了根節點外，其他節點都代表了某個網段，數據結構如圖6所示。

圖6 IP樹數據結構

這樣分配IP地址的優點在于，各個主機是否處在同一網段一目了然。由于主視圖采用了節點連接圖，并且連接展示的是節點之間的通信情況，沒辦法展示它們之間IP地址的關聯，所以在這里進行補充。將IP組織成這樣的網段樹，擁有相同父節點的IP都處于同一網段內，即使數據量擴大，也能夠很快識別出各個IP之間的位置關系，為用戶的判斷提供幫助。

3.3.3 協議展示圖

外圈的協議展示圈是一個100×9的環形網格圖，用于展示當前網絡通信的協議以及時間信息。圓環的切向為軸，表示的是協議的類型，最外層是具體協議類型示意，徑向為軸，表示的是通信的時間，越是靠內的方格表示通信發生的時間越接近當前選擇時間范圍的終止時間，即最靠近內圈的方格表示該通信發生的時間為所選時間軸的末尾；越是靠外的方格表示通信發生的時間越接近當前選擇時間范圍的起始時間，即最靠近最外圈的方格表示該通信發生的時間為所選時間軸的起始。通過展示通信的時間，可以發現某個IP的歷史行為而不用通過切換已選擇的時間區間長度進行觀察，從而幫助分析人員更快找到異常行為。

內外圈通過與協議提示顏色相同的連線將IP樹中的節點與外圈方格相連，這樣，顏色的一致性也方便觀察某些節點通信協議的規律。

需要注意的是，由于展示的空間有限，當數據規模過大時可能無法容納，為了解決這個問題將展示的數據進行了預處理。受到外圈規模限制，傳入的數據較多時預處理程序將根據通信量、發生時間、該協議的占用情況等自動篩選出一部分數據進行展示，因此一些數據可能會被遺漏。若是不想程序進行篩選，可以將時間篩選長度減小，從而減少需要展示的數據。

3.3.4 交互

筆者通過給線段和方格賦予不同的顏色來區分通信的協議，這么做有一個缺陷，即數據量增多的時候，畫面中會出現大量的連線和方格，降低可視效果。同時，多視圖聯動的意義在于可以對數據進行篩選，因此本視圖中的交互也是必不可少的。

首先，為了讓使用者能夠在信息繁多的情況下定位到自己需要的IP、通信情況等數據，本文在對線段、節點、方塊的交互上添加了以下功能。

1) 當用戶的鼠標移經某個IP地址的節點時，將該節點以及與該節點相連的通信信息高亮，并同時淡化其他所有數據。

2) 當用戶的鼠標移經某個連線或方格時，僅高亮該條通信的信息而淡化其他所有數據。

3) 考慮到用戶可能希望保留若干條自己已經看過的數據，保持它們的高亮，也增加了對于鼠標單擊事件的響應：當用戶鼠標單擊圖上的數據時，鎖定該數據的高亮，鼠標移開也不會被淡化，同樣按住ctrl鍵單擊為多選，shift單擊為取消選擇。當用戶選中需要的數據后，其他用戶不關心的“無用”數據都將淡化融入背景中，只顯示需要的數據。

本視圖主要展示了通信數據中的協議信息，同時具有對通信數據的協議篩選功能。通過單擊最外圈的協議標注圓環，可以通過單擊選中某個協議，同樣也是按住ctrl單擊進行多選，按住shift單擊取消選擇，如圖7所示（見彩插頁12）。

圖7 協議篩選

通過篩選出用戶需要的協議再加上與其他視圖的聯動可以幫助發現某些特定的網絡異常，如判斷洪泛的類型等。通過過濾噪聲，也能夠更好地分析數據特征。

3.4 IP、端口散點圖

3.4.1 源?目的IP散點圖

用戶往往并不關心全局的通信情況，他們大多只想知道特定網段的情況，而其他網段的IP地址及其通信情況與他們無關。因此筆者決定分網段展示散點圖，這樣橫縱坐標軸的范圍就能縮減到0~255。IP地址寫作a.b.c.d這4段的話，散點圖的初始界面展示的是a段的通信情況，在(,)位置有藍點則說明在以為首段的IP地址和以為首段的IP地址之間存在通信。用戶要是想查看特定a網段之間的通信數據，在單擊之后可以看到b網段的對應情況，以此類推，最終可以看到任意IP網段或地址之間的通信情況。

僅僅這樣處理只是解決了點過多的問題，但是整張圖的信息量太少了，只是知道此處有通信，流量多少卻毫無概念。為了完善這一視圖，使之達到更好的效果，將每個點的流量情況用透明度進行反饋，展示的是IP網段之間的通信時，顏色深淺是統計好的數據。這樣，用戶能夠輕松在散點圖上獲知網段流量，而且流量熱點之處非常醒目，如圖8所示（見彩插頁12）。

圖8 IP散點圖

3.4.2 源?目的端口散點圖

計算機網絡共有65 535個端口，因此將其一次性展示也不會過于麻煩，筆者依舊對端口流量進行了統計，使用顏色的深淺表示流量的大小。不過端口需要注意的一點是，平時經常使用的端口在10000以下，比較有監聽意義的大多在1000以下，因此需要更多地關注較小的端口號，而那些超過10000的端口被認為是系統自動分配的一些隨機端口，可以少一點關注。

3.5 多視圖聯動

3.5.1 各視圖交互方式

主視圖提供的交互方式包括：用戶自定義篩選節點，縮放、拖動平移畫面。其中，篩選節點會對另外2個視圖產生影響。

協議圓周圖提供的交互方式包括用戶自定義篩選某一則通信數據和篩選某些協議的通信數據，均會對另外2個視圖產生影響。

IP/端口散點圖提供的交互方式包括用戶自定義篩選IP網段內通信和用戶自定義篩選對應端口通信，同樣均會對另外2個視圖產生影響。

3.5.2 多視圖的篩選與聯動

3個視圖同時既有信息展示、傳達的功能，又有篩選、探索的功能，不管對哪一個視圖進行操作，都將獲得統一一個整體的展示，這使信息的獲取沒有延遲，不需要額外的操作確認信息是否一致，更加便于分析網絡狀態，檢測網絡異常。

3.5.3 時間軸

對于一份時序的數據來說，時間軸是一個非常重要的部分，2.2節探討了一些動態網絡中的時間編碼問題，時間序列圖依舊有非常大的局限性，但是可以將它補充完整。本文最終使用了帶有縮略圖預覽的時間軸，如圖9所示（見彩插頁12）。

圖9中上部為時間軸，具有一個可以調節時間間隔的播放滑塊，當前展現的網絡狀態即為該滑塊所確定的起止時間下的網絡狀態。下部為由縮略圖組成的時間序列圖，這些給定時間段內的布局很好地展示了網絡的變化過程，筆者用橙藍兩色分別表示消失和新增的節點與邊，使前后時間片段的網絡差異更加明顯。當然，時間序列圖支持交互，它與時間軸是完全同步的，高亮的那一幀即為距離當前所選最近的一幀。也可以通過單擊時間序列圖進行跳轉。縮略圖顯示的內容也可以選擇，用戶可以只看新增的部分或只看消失的部分。

這樣的設計主要有2個考慮：一是完全使用時間序列圖并不能滿足探索細節的需求，而且在數據量大時要顯示所有時間序列圖較為困難；二是只有時間軸也是不夠的，通過播放動畫來了解整體的變化有時并不是用戶需要的，在任務簡單易行需要快速完成的時候，一個縮略圖就可以達到很好的效果。綜上所述，二者相輔相成，組合在一起提供了非常友好的體驗。

4 案例分析

圖9 時間軸

4.1 數據集

本次案例分析使用的數據集為上海市城域網運行安全實時監測元數據樣本，數據截取時間為2016年5月，數據經過了范式化處理后記錄的數據。

數據總共含有3 000條，每一條包含源、目的IP，源、目的端口，協議和接收時間等信息。協議大體上分為IMAP、SMB、ARP、ICMP、TCP、UDP、HTTP這7類，一些只出現了一兩次的協議并未被展示出來。

4.2 網絡監控

本系統的第一個應用場景即為對網絡狀態的實時監控，通過將各種網絡監控設備生成的日志文件導入可以將當前設備所捕捉到的網絡通信進行可視化處理，對當前網絡的運行狀況、流量情況、通信協議情況都能很好地掌握。

筆者用上海市城域網運行安全實時監測元數據樣本進行模擬分析。數據載入時系統顯示的是最初始一段時長間隔的網絡狀態，可以從歷史記錄框中知道這是2016年5月3日09時14分44秒到53秒的通信數據。在這數秒之中，從圖10（見彩插頁13）中可以觀察到這個網絡的幾個特征：首先，圖中有十余個半徑較大的綠色圓點，這些流量較大的原點很可能是某些服務器或者正在掃描網絡的可疑主機；其次，綠色圓點互相之間也有通信，部分甚至在進行了特殊處理之后也相隔很近，這些節點可能是某些郵件服務器，也可能是一些聊天軟件的緩存服務器，如果需要進一步地判斷，可以單擊之后觀察分析通信協議。余下的一些兩兩之間的通信散布在畫面的邊緣，這些流量較小的節點可以不用太在意，通常是一些正常連接。

除了主視圖外，對于輔視圖的觀察也能補充一些信息，通過協議圓周圖可以發現此時網絡中的協議分布情況。這一時間段中一共出現了6種主要協議，其中大部分是HTTP。這也符合人們日常使用的情況，絕大部分網頁訪問都是通過HTTP達成的。如果需要觀察某協議的網絡通信情況，可以在協議圓周圖中進行篩選，這樣就可以在主視圖中進行進一步的觀察。

在IP、端口散點圖中，也能獲取一些關于網絡狀態的信息。IP散點圖中，源IP的規律非常明顯，散點構成的幾條豎線在首部為10、58、100、120、180、200、220附近聚集，橫向的坐標受空間限制不太容易觀察，按照推測也應該在這些值附近聚集。由此可知，這份數據包含的a網段主要就是這些。端口散點圖中有大量深色點聚集在坐標軸附近，將鼠標懸停在點上可以獲得具體端口號。簡單查看之后發現聚集在坐標軸上的點其源端口或目的端口多為80、135、445等值。同時也能發現聚集在軸靠右的點較聚集在軸靠上的點顏色深，這意味著以30000以后的端口號作源端口號的較以之為目的端口號的更多，這也符合大于30000的端口號多是系統自動生成的猜想。大量系統自動生成的端口號向某一固定端口發送報文，這很像是對某服務器的大量訪問產生的模式特征。

圖10 系統初始界面

接下來，可以開始觀察網絡狀態隨時間變化的情況，首先可以通過時間軸下的縮略圖進行概覽，有些非常明顯的變化有時可以直接從縮略圖中獲得。如圖10中的時間軸縮略圖表所示，藍色的點線為與上一縮略圖相比失效的節點和連接，大量失效的連接伴隨著的失效節點可以很容易地被發現，直接單擊縮略圖就可以直接查看當時的網絡變化情況。圖11（見彩插頁14）為圖10的縮略圖列表中的第三張，其中出現了與同一節點相連的大量連接，而在下一張縮略圖中隨即消失，單擊之后就能切換到該時間片段，如果需要返回當前訪問，可以通過右上角的歷史記錄框返回之前的時間片段。

圖11 可疑節點

如果需要系統地瀏覽網絡變化，可以按下播放鍵，時間軸上的滑塊會自動向右移動，一步一步展示網絡狀態的變化。通過階段式動畫，失效的連接和節點與新增的連接和節點被分開展示，失效主機和需要重視的大量新增連接都得到突出顯示。在發現感興趣的部分時，單擊暫停鍵，再進行進一步的分析。

4.3 異常檢測

圖10中有一個綠色節點周圍有非常緊密的僅接收信息的主機，由此可以單擊該點進行進一步的觀察，如圖12(a)所示（見彩插頁14）。單擊該綠色節點之后出現了一個非常有意思的現象，通過圖12(b)所示的協議圓周圖發現該主機發出的通信全部都是UDP的，這對一般的主機并不常見，因為正常的網絡訪問多是使用TCP/HTTP，同時從IP樹中發現大多數通信目的IP都非常靠近，這意味著它們IP地址的a、b、c段都完全相同，即它們很可能處在同一個子網中。

把目光移向另一個輔視圖（如圖12(c)所示），IP、端口散點圖，在這里看到相關IP的分布。散點圖中有2個點，它們目的IP的a段完全相同，只是源IP的a段有差異，可以看到左邊的點顏色較深，統計下一階段的流量較大，而右邊的點顏色較淺，流量較小，再注意到圖中不僅有一個數據收發方，可以猜測右邊的點是由除選中點之外的2個綠色節點發出的。通過進一步單擊左邊這個點，可以一步步探索具體通信發生的源、目的IP的分布。鎖定這一網絡異常涉及的網段和IP。再觀察源、目的端口圖，發現源端口在30000附近密集分布，而目的端口均為445。

圖12 大量UDP 445端口連接

445端口是一個特殊的端口，Windows開啟這個端口的本意是在局域網中提供共享本地文件、操作打印機等正常功能。然而由于空會話的存在，445成為了一個經典的病毒入侵的端口，大量發往445端口的通信請求很可能是蠕蟲病毒正在傳播。因此這個端口值得關注。

鎖定UDP下的這些異常后再確認一下這個節點有沒有“同伙”，即同樣在傳播蠕蟲病毒的主機，這時候取消當前的節點選擇，改為只選擇UDP。如圖13所示（見彩插頁15），再通過查找端口散點圖中目的端口為445的點就可以確定圖中高亮的節點是否是異常點。

5 結束語

在信息技術和計算機網絡不斷發展的今天，網絡安全數據的規模和復雜度不斷攀升，傳統的可視化系統和方法已不再適用于網絡安全大數據。在此背景下，網絡安全可視化成為了一個新興的研究領域，它對現有方法進行改造和重組，使之能適應網絡安全領域，并針對網絡安全分析的特點設計交互功能，輔助網絡安全分析人員的研究分析工作。現有的網絡安全可視化系統和方法仍具有缺陷，它們無法對網絡安全數據進行時序變化上的展示，在信息展示的完備性和用戶交互性上表現較差。針對現有方法的不足，本文設計了一種多視圖聯動的網絡安全可視化系統，將力導向模型和階段式動畫相結合，如圖14所示（見彩插頁16），展示網絡靜態狀態和動態變化，提供協議、IP段、端口的展示與篩選的功能，為使用者展示全面豐富的網絡數據，實現用戶友好的交互功能。本文使用上海市城域網數據集進行實驗，通過案例分析展示系統功能。

圖13 篩選UDP

圖14 網絡動態變化的異常檢測

本文工作雖然已經可以很好地滿足網絡分析的需求，但是還有很多方向可以進行優化。在未來的研究工作中，將從以下幾個方面著手。

1) 優化布局算法，降低算法復雜度，以滿足實時生成的流式數據規模。

2) 實現復現功能。全局統一的力導向布局可能不適用于某些場景，需要引入新的帶有復現能力的局部優化算法。為了完善優化系統在更大數據量的數據集下的表現，可以綜合運用一些簡化圖像的辦法，如實現通過交互可以束攏展開的圖壓縮節點連接圖。

3) 用戶體驗優化。將時間序列圖隱藏在時間軸之中，當鼠標移到時間軸上的呈現“放大鏡”效果。

[1] CONTI G. Security data visualization[M]. No Starch Press, 2007.

[2] MARTY R. Applied security visualization[M]. Addison-Wesley Professional, 2009.

[3] KOIKE H, OHNO K, KOIZUMI K. Visualizing cyber attacks using IP Matrix[C]// IEEE,Visualization for Computer Security. 2005: 91-98.

[4] MCPHERSON J, MA K L, KRYSTOSK P, et al. PortVis: a tool for port-based detection of security events[C]//ACM Workshop on Visualization and Data Mining for Computer Security. 2004:73-81.

[5] ZHAO Y. MVSec: a novel multi-view visualization system for network security[D] Changsha: Central South University, 2013.

[6] ABDULLAH K, LEE C P, CONTI G, et al. Visualizing network data for intrusion detection[C]//The Sixth IEEE SMC Information Assurance Workshop. 2005:100-108.

[7] POHL M, REITZ F, BIRKE P. As time goes by: integrated visualization and analysis of dynamic networks[C]//ACM Working Conference on Advanced Visual Interfaces. 2008:372-375.

[8] FEDERICO P, AIGNER W, MIKSCH S, et al. A visual analytics approach to dynamic social networks[C]//The International Conference on Knowledge Management and Knowledge Technologies. 2011:1-8.

[9] FARRUGIA M, HURLEY N, QUIGLEY A. Exploring temporal ego networks using small multiples and treering layouts[C]//The Fourth International Conference on Advances in Computer-Human Interactions. 2011:79-88.

[10] ANDREWS K, WOHLFAHRT M, WURZINGER G. Visual graph comparison[C]//IEEE International Conference on Information Visualisation. 2009:62-67.

[11] ALPER B, BACH B, RICHE N H, et al. Weighted graph comparison techniques for brain connectivity analysis[C]//Sigchi Conference on Human Factors in Computing Systems. 2013:483-492.

[12] DRAGICEVIC P. Interactive graph matching and visual comparison of graphs and clustered graphs[C]//The International Working Conference on Advanced Visual Interfaces. 2012:522-529.

[13] COLLBERG C, KOBOUROV S, NAGRA J, et al. A system for graph-based visualization of the evolution of software[C]//ACM Symposium on Software Visualization. ACM, 2003:77-ff.

[14] LERMAN K, GHOSH R, KANG J H. Centrality metric for dynamic networks[C]//KDD Workshop on Mining and Learning with Graphs. 2010:70-77.

[15] FEDERICO P, PFEFFER J, AIGNER W, et al. Visual analysis of dynamic networks using change centrality[C]//The International Conference on Advances in Social Networks Analysis and Mining. 2012:179-183.

[16] DWYER T, EADES P. Visualising a fund manager flow graph with columns and worms[C]//The International Conference on Information Visualisation. 2002:147-152.

[17] BRANDES U, CORMAN S R. Visual unrolling of network evolution and the analysis of dynamic discourse[C]// IEEE Symposium on Information Visualization. 2002:145-151.

[18] TVERSKY B, MORRISON J B, BETRANCOURT M. Animation: can it facilitate?[J]. International Journal of Human-Computer Studies, 2002, 57(4):247-262.

[19] SHANMUGASUNDARAM M, IRANI P. The effect of animated transitions in zooming interfaces[C]// ACM Working Conference on Advanced Visual Interfaces. 2008:396-399.

[20] CHEVALIER F, DRAGICEVIC P, BEZERIANOS A, et al. Using text animated transitions to support navigation in document histories[C]//The International Conference on Human Factors in Computing Systems. 2010:683-692.

[21] HEER J, ROBERTSON G G. Animated transitions in statistical data graphics[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(6):1240-1247.

[22] BEZERIANOS A, CHEVALIER F, DRAGICEVIC P, et al. GraphDice: a system for exploring multivariate social networks[J]. Computer Graphics Forum, 2010, 29(3):863–872.

[23] HEER, JEFFREY, STUART K, et al. Prefuse: a toolkit for interactive in-formation visualization[J]. Proc Chi, 2015, 37(4):421-430.

[24] YEE, PING K, Animated exploration of dynamic graphs with radial layout[C]//IEEE Symposium on Information Visualization. 2002: 43-50.

[25] GUILMAINE D, VIAU C, MCGUFFIN M J. Hierarchically animated transitions in visualizations of tree structures[C]//The 2012 International Conference on Advanced Visual Interfaces. 2012: 514-521.

[26] CARD S K, SUH B, PENDLETON B A, et al. Time tree: exploring time changing hierarchies[C]//2006 IEEE Symposium On Visual Analytics Science And Technology. 2006:3-10.

[27] HEER J, CARD S K. DOITrees revisited:scalable, space-constrained visualization of hierarchical data[C]//Working Conference on Advanced Visual Interfaces(AVI 2004). 2004: 421-424.

[28] EADES P, HUANG M L. Navigating clustered graphs using force-directed methods[M]// Graph Algorithms And Applications 2. 2000:191-215.

[29] FRIEDRICH C, EADES P. The marey graph animation tool demo[J]. Lecture Notes in Computer Science, 2001, 1984(1984): 396-406.

[30] FRIEDRICH C, HOULE M E. Graph drawing in motion[C]//The International Symposium on Graph Drawing. 2001:220-231.

[31] BRANDES U, WAGNER D. Analysis and visualization of social networks[M]// Drawing Software, Mathematics and Visualization. Berlin: Springer. 2004: 321-340.

[32] BASTIAN M, HEYMANN S, JACOMY M. Gephi: an open source software for exploring and manipulating networks[C]//The Third International Aaai Conference On Weblogs And Social Media. 2009.

[33] AHN J W, TAIEB-MAIMON M, SOPAN A, et al. Temporal visualization of social network dynamics: prototypes for nation of neighbors[C]//The International Conference on Social Computing, Behavioral-Cultural Modeling and Prediction. 2008:309-316.

[34] PURCHASE H C, SAMRA A. Extremes are better: investigating mental map preservation in dynamic graphs[C]//The International Conference on Theory and Application of Diagrams. 2008:60-73.

[35] ARCHAMBAULT D, MUNZNER T, AUBER D. TopoLayout: multilevel graph layout by topological features[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(2):305.

[36] ARCHAMBAULT D, PURCHASE H, PINAUD B. Animation, small multiples, and the effect of mental map preservation in dynamic graphs[J]. IEEE Transactions on Visualization & Computer Graphics, 2011, 17(4):539-552.

[37] KAMADA T, KAWAI S. An algorithm for drawing general undirected graphs[J]. Information Processing Letters, 1989, 31(1):7-15.

[38] DAVIDSON R, HAREL D. Drawing graphs nicely using simulated an-nealing[J]. ACM Trans Graphics, 1996, 15(4):301-331.

[39] FRUCHTERMAN T M J, REINGOLD E M. Graph drawing by force-directed placement[J]. Software Practice & Experience, 1991, 21(11):1129-1164.

[40] FORESTI S, AGUTTER J, LIVNAT Y, et al. Visual correlation of network alerts[J]. IEEE Computer Graphics & Applications, 2006, 26(2):48-59.

System detecting network anomaly with visualization techniques

ZHANG Haocheng, WU Xiaojie, TANG Xiang, SHU Runxuan, DING Tianchen, DONG Xiaoju

School of Electronic Information and Electrical Engineering, Shanghai Jiaotong University, Shanghai 200240, China

With the fast development of information technology and computer network, the scale and complexity of network security data grows rapidly. Traditional visualization techniques are no longer suitable. In addition, it designs interactive functions based on the feature of network security analysis, in order to assist the network security analyst. The existing approaches for network security visualization have some defects, which fail to provide a good indication of network security data in terms of timing and also fail to display information completely and realize user-friendly interaction. A multi-view network security visualization system was proposed, which provided the analysts of both the static status and dynamic changes of the network by combining the force-oriented model and the staged animation. It provides comprehensive information with display and filter of protocols, IP segment and port. The system on Shanghai Network database were evaluated.

information visualization, network security visualization, visualization system, interaction

TP393.08

A

10.11959/j.issn.2096-109x.2018015

張浩城（1993-），男，上海人，上海交通大學碩士生，主要研究方向為可視化與可視分析。

吳曉潔（1995-），女，江西信豐人，上海交通大學本科生，主要研究方向為可視化與可視分析。

唐翔（1992-），男，江蘇揚州人，上海交通大學碩士生，主要研究方向為可視化與可視分析。

舒潤萱（1997-），男，吉林吉林人，上海交通大學本科生，主要研究方向為可視化與可視分析。

丁天琛（1996-），男，上海人，上海交通大學本科生，主要研究方向為可視化與可視分析。

董笑菊（1975-），女，吉林公主嶺人，博士，上海交通大學副教授，主要研究方向為可視化與可視分析、形式化方法。

2017-12-26；

2018-01-30

董笑菊，xjdong@sjtu.edu.cn

國家自然科學基金資助項目（No.61472238, No.61772336, No.61572318）

The National Nature Science Foundation of China (No.61472238, No.61772336, No.61572318)