基于WEB的網絡態勢感知系統的可視化實現

楊卓林

(黑龍江省科學院，哈爾濱 150000)

1 可視化設計理念

本研究討論的設計理念綜合網絡安全態勢感知分析師工作中提出的要求，主要遵循以下6條原則：

一是心智模型?？梢暬仨氝m應分析師用于調查問題的心智模型，因為分析師不會因為使用可視化工具而改變分析處理問題的方式。

二是工作環境?？梢暬仨毮軌蛘线M分析師現有的工作環境，許多分析師使用WEB瀏覽器查看以網絡監控工具所定義格式儲存的數據。

三是可配置性。一般來說，經過預定義且不易改變的數據呈現形式無法滿足分析師的各種可視化需求，因此分析師需要根據其調查數據選擇不同的配置方式。

四是易用性?？梢暬桨笧榱朔奖惴治鰩熓褂茫瑧哂袑W習快速且簡易特性。

五是可擴展性?？梢暬到y必須能夠支持從多個數據源進行數據展示。

六是整合。可視化設計理念需要跟分析師解決問題的理念達成一致，否則會造成分析師在使用過程出現各種問題[1]。

2 使用WEB實現網絡態勢感知可視化的需求及意義

監控系統內的網絡警告是網絡安全分析師的一項常規工作，通常會按照警告的等級對警告進行分類。警告一共分成三類，分別為低級、中級、高級。分析師會配合簡短的文字概述作為標注，并間隔幾分鐘在WEB瀏覽器刷新顯示，分析師的工作是快速決定對哪些警告進行進一步排查。當出現嚴重警告時，他們會對更多的數據進行查詢，以得到對應的上下文環境信息及證據，作為對警告進行處理的依據。

通常情況下，所有的數據源都會被獨立進行管理，分析師必須手動將各種結果進行篩選分析后進行關聯，對關聯過程進行協調。通過以上分析可以總結出可視化系統存在以下需求：使分析師能夠更快更好地識別出上下文信息；將多個數據源的數據進行整合處理；選擇最合適分析師的數據和任務可視化技術；為分析師提供自主選擇展現的手段及最需要展現的數據。

針對以上需求，設計方案需要具有可配置性、可用性、可擴展性和整合性。系統需要能夠實現靈活的用戶交互，可以將多個數據源進行可視化處理。系統需要使用Mysql、PHP、HTML5和JavaScript等技術或組件，開發基于WEB架構的網絡安全可視化系統。

3 基于WEB實現可視化功能

系統將使用HTML5的Canvas元素開發一個WEB應用程序，這種技術的優點是不依賴于外部插件，可以輕松適配各種瀏覽器。系統采用二維圖表實現網絡數據的可視化，使用基本圖表具有廣泛性和易用性。分析師比較熟悉二維圖表，此形式是一種能夠有效展現分析師需要的數值、趨勢、模式和關系的最佳可視化方法[2]。

4 可視化功能的交互式模式

為了實現由分析師驅動的圖表可視化過程，系統提供了一個基于Canvas元素和jQueryUI樣式的JavaScript庫，這些組件可以搭建一個具有事件處理能力的用戶界面，以滿足分析師對UI的設置及各種界面的復雜操作，依賴這些插件系統可以將對應的數據正向分布到坐標軸上。分析師可以據此制作一些定制的圖表和圖表類型，還可以對圖表中的各種數據的外觀進行定制。

5 針對分析師需求的可視化圖表

一般信息可視化工具中，查看者通常會精確地定義他們所需要的可視化方法。本研究定義的可視化系統基于以下兩項規則，自動選擇可視化初始圖表類型：一是不同類型圖表的優點、用途。二是分析師需要分析的數據。

例如：如果分析師需要查看某個單一數據屬性的取值分布情況，系統會建議使用餅圖或柱狀圖。如果分析師要求查看兩個數據屬性之間的關系，系統會建議使用散點圖或甘特圖。

圖表的坐標軸是根據數據屬性的特點確定位置，如柱狀圖x軸代表屬性分類；柱狀圖y軸代表聚合的計數情況。如果確定選取類似于數據屬性集A={A1：source IP(源IP地址)，A2：destination IP (目的IP地址)}的兩個分類屬性，則數據屬性就被映射到散點圖的坐標軸上面，對應的視覺特征集合為T={T1：x，T2：y}，而散點圖上的標記則代表某一對IP地址之間的網絡流(圖1)。

圖1 散點圖Fig.1 Scatter diagram

6 可視化圖表概覽與細節

設計的可視化系統為分析師提供過濾功能，或經過操作對現有圖表的子區域進行放大，從而聚焦于特定的數據子集。一般的可視化工具若需要滿足某一子集的可視化，需要重新生成這一子集圖表。本系統則包含縮放功能，能夠將分析師選定的區域進行單獨顯示。

7 關聯的視圖

分析師工作中會開展一系列的調查分析，通過關聯多個數據源并在多個詳細的層面進行數據搜索?？梢暬到y需要提供多個視圖及靈活的用戶交互，系統通過產生關聯的SQL查詢語句[3]，擴展RGraph庫以支持不同圖表之間的依賴關系，從而實現多個數據源的關聯。

當分析師研究數據圖表時，他們對態勢感知的判斷會發生變化，會對網絡活動成因或效應提出新的假設。將現有圖表進行關聯，可以使分析師能夠立即從當前視圖中生成新的可視化圖，從而對此假設做出探索。通過此方式，分析師能夠展開下一步的分析步驟，每個分析步驟都建立在之前的基礎之上，并按需產生新的可視化視圖，來完成當前的調查分析。

與縮放操作類似，分析師可以通過選定區域并請求建立子畫板(canvas)，從而為關注的數據創建相關聯的多個圖表。系統生成一個約束條件，據此在單獨的窗口中提取關注的數據。選擇需要包含的新數據屬性，或選擇新的表格或約束條件以添加至新的圖表。

8 結語

數據可視化能夠將原始數據轉換為圖像，使分析師和使用者能夠直觀地查看數據的取值及其所形成的關系。目前，許多態勢感知工具已經使用了可視化技術，如圖表、地圖和流程圖等，為分析師呈現了所需要的各種信息。

研究選取了一種將可視化技術應用于網絡態勢感知領域的方法，使用了多種常見的信息可視化方法，根據不同的需求提供細節展示。將可視化技術與分析師的需求相結合，充分考慮了分析師平時的工作習慣及策略，同時支持多個自定義數據源的查詢與獲取，為網絡態勢分析提供了一個可靠的網絡安全態勢告警平臺。