面向大規模網絡的攻擊預測可視分析系統設計與研究

蔣宏宇 吳亞東 周豐凱 楊文超 趙思蕊

(西南科技大學計算機科學與技術學院 四川綿陽 621010)

?

面向大規模網絡的攻擊預測可視分析系統設計與研究

蔣宏宇 吳亞東 周豐凱 楊文超 趙思蕊

(西南科技大學計算機科學與技術學院 四川綿陽 621010)

由于網絡安全數據量龐大和愈加復雜的網絡入侵方式，傳統的網絡安全產品的攻擊預測方法已變得不再適用。通過對網絡流量日志的研究，提出了采用多模態可視化展示結構和快速異構樹查詢算法的實時網絡流量日志可視化方法，開發并設計了大規模網絡攻擊預測可視分析系統Monic。結果表明，利用該系統通過交互分析能有效識別攻擊者行為，預測網絡攻擊。

可視分析 攻擊預測 網絡安全 多模態 大規模網絡

隨著互聯網逐漸成為人們生活的一部分，網絡入侵給公司、組織、個人帶來的損失也越來越大，網絡入侵行為在數量、方式、性質和數量方面也發生不斷的拓展，人們對網絡入侵行為的分析也變得越來越困難。

目前，網絡安全產品雖然在一定程度上都可以提供實時的防護，但是網絡分析人員需要通過監視和分析相應的網絡日志信息來進行可疑事件判斷和分析，然后對攻擊作出回應。網絡日志數據大致分為防火墻數據、網絡流量數據和入侵檢測系統數據等，這些日志數據都具有規模龐大和高維、無結構、非數值性等特點，并且在數據關系分析層面上具有關系隱式化、時間依賴強、攻擊類型復雜多變等特點，分析人員在分析日志信息時，面臨認知負擔過重、交互性不強、難以對攻擊進行預測等困難[1]。

網絡安全可視化利用人類視覺對模型和結構的高速感知能力，將抽象的網絡和系統數據以圖形圖像的方式，通過用戶與系統之間的交互展示出來，以幫助分析人員發現網絡異常，識別非法入侵，從而預測網絡安全事件發展趨勢和分析網絡安全態勢[2-3]，該方法不僅能夠解決傳統分析方法遇到的種種問題，而且能將數據具象化以發現隱含的模式，為揭示規律和發現潛在的安全威脅提供有力的支持。

網絡日志數據屬于非拓撲結構數據，目前多數系統針對IDS報警日志進行研究[4]，但IDS存在誤報率高、日志數量龐大、覆蓋率低等特點，常常會發生誤報、漏報的情況。對于網絡流量日志[5](Netflow)，因其屬于未處理數據，雖然必然包含網絡入侵者的痕跡，但其存在信息量少，潛在模式難以挖掘等困難，使得排除冗余信息變得至關重要。該工作基于Netflow數據，旨在減少IDS分析的誤差，對于提高分析結果的準確性具有重要意義。

針對網絡安全數據進行異常檢測、入侵發現、模式分析以及監控、報警的顯示繪制方法有很多，例如常見的Parallele Coordinate[6]，Color Map[7]，Scactterplot[8]等，其中Parallel Coordinate 在識別用戶模式和發現異常方面具有優越性，但是當面對龐大數據時，圖形之間重疊遮擋會給分析數據帶來困難，需要其他的方法來進行輔助。Color Map 一般用于顯示IP地址和端口信息，易檢測出異常信息和入侵模式，但同樣不適用于大規模數據。適用于大規模日志數據的有Scatterplot，但是會因其沒有數據過濾功能而造成信息重疊、丟失等情況。近年來隨著可視化的發展，逐漸出現了新穎的可視化方法，例如AlertWheel[9]利用改進的雷達圖從What,Where,When 3個維度去尋找事件關聯。趙穎等人[10]利用流式堆疊圖對于數據中的主題進行可視化，能夠直觀展示不同主題詞隨時間發展的過程。SpringRain[11]提出一種新穎的大屏幕設計思路，將不同的網絡區域看做瀑布的水流簇，通過顏色和形狀編碼展示網絡安全信息。但是目前的網絡安全可視化還面臨著一些問題：(1)隨著網絡規模的增大，網絡安全數據也急劇增長，數據分析的難度越來越大。(2)網絡安全數據種類繁多，它們之間由于相關性會存在大量的冗余，是亟待解決的問題。(3)當繪制的數據過于龐大的時候，二維平面會產生大量的圖形，它們之間會發生遮擋，從而影響用戶觀察。(4)在使用單模型進行可視分析時，會發生在同一視圖中出現大量數據，而用戶卻難以同步進行接受的情況，影響用戶分析。

針對以上問題，本文提出了利用多模態可視分析結構和異構樹數據組織結構等技術的針對大規模網絡節點進行攻擊預測的網絡流量數據可視分析方法，研究了采用可視分析方法下針對網絡攻擊行為的攻擊預測方法，確定了各種攻擊行為的模式特征，設計了多模型的展示算法，以解決目前對大規模網絡進行實時分析和使用單模態可視化結構出現的問題，在上述工作的基礎上，設計并開發了針對大規模網絡節點的攻擊預測可視分析系統。

1 多模態網絡安全可視分析方法

1.1 多模態網絡安全可視分析流程

針對流量數據進行實時的展示和分析，需要實時的獲取目標服務器的網絡流量日志數據，網絡流量日志的數據格式有多種，例如Argus的網絡流量格式、NCSA 的統一流量格式[1]。為了不遺漏任何攻擊者的行為細節和避免任何工具對用戶判斷的主觀介入，本文使用最原始的網絡流量日志進行可視化，網絡流量日志最早來源于路由器為了高效查詢而緩存的數據流信息。一個網絡流量數據流定義為在一個源 IP 地址和目的 IP 地址間傳輸的數據包流，且所有數據包具有共同的傳輸層源、目的端口號。本文獲取的網絡流量日志數據如表1。

表1 網絡流量日志數據Table 1 Netflow sample data

為實現快速地從大規模的服務器日志信息中查找需要的信息，該可視分析方法使用異構樹數據組織結構來存儲網絡流量數據。網絡流量數據在獲取時即進行異構樹結構的構建，異構樹在構建完成后將通過多模態可視化結構進行展示。用戶可以通過界面控制可視化數據，可視分析模型允許用戶通過交互改變其屬性和形態，可視化流程如圖1。

圖1 網絡流量數據可視化流程 Fig.1 Netflow Data Visualization flow

1.2 異構樹數據組織結構

針對大規模網絡節點的快速查詢問題，本文提出了綜合字典樹與多叉樹技術的異構樹形結構來組織網絡流量數據的方法。字典樹是哈希樹的變種。常被用于統計、排序和保存大量的字符串，被搜索引擎系統用于文本詞頻統計。它利用字符串的公共前綴來減少查詢時間，最大限度地減少無謂的字符串比較，查詢效率比哈希表高。該異構樹使用字典樹存儲IP地址、多叉樹存儲網絡流量數據，多叉樹將被存儲在字典樹相應的葉子節點上，進行構造時，將字典樹的葉子節點的孩子數進行統計存儲在字典樹的計數節點中。因為IP地址具有公共前綴，并且在同一網段下的IP地址具有3個相同的公共前綴，當源地址數量很多的情況下，這種異構樹形結構將提供很高的查詢效率，用戶獲得某個源地址的日志信息和日志數量，只需經過遍歷和讀取計數節點即可。

構造異構樹時，用戶先定義起始時間TS、終止時間TE和目標服務器IP域TP，以獲取需要的日志數據，該模塊將所有屬于目標域的記錄中小于起始時間、大于終止時間的部分進行收集和整理，并將其存儲為樹根節點為源地址的多叉樹形式(圖2(a))，原日志每一條記錄都有相應的源地址，該模塊將同源地址的原日志記錄放在多叉樹的同一個節點下。TP將被構造為字典樹(圖2(b))，作為異構樹的一部分。異構樹的每個葉子節點都有兩個子結點，一是用來存儲孩子數量的計數器，另一個是存有日志信息的源地址與之對應的多叉樹(圖2(c))。

圖2 異構樹構建流程Fig.2 Heterogeneous tree building process

1.3 多模態可視分析結構設計

為了解決單模態可視分析結構在分析大規模數據時出現的缺陷，并且更好地表現大規模節點的特征和局部信息，本系統將采用多模態的可視分析結構，將針對網絡流量的平行軸模型和球棍網絡模型的優勢進行互補。平行軸模型將被用來呈現詳細的網絡流量數據信息，以使用戶從中發現攻擊者的行為模式。球棍網絡模型被用來表現大規模節點的訪問情況和節點之間的聯系，通過用戶對其的觀察與分析，選擇感興趣的節點高亮源地址相同的平行軸連線，達到輔助平行軸模型進行分析的目的。

1.3.1 針對網絡流量數據的平行軸模型

在多模態可視分析結構中，針對網絡流量數據的平行軸模型將被用來展示節點信息，以使用戶發現其中的行為模式，確定可疑節點，原始模型如圖3。平行軸可視化技術最早由Inselberg[12]提出，最早被用來識別網絡中的攻擊模式和行為，發現數據之間潛在聯系，從而幫助人們發現攻擊和犯罪的模式，例如S.Krasser[13]等人利用平行軸對網絡流數據進行可視化，以進行數據實時分析和網絡取證。F.B.Viegas[14]等人提出利用平行軸的方法分析電子郵箱的數據。

圖3 平行軸模型 Fig.3 Parallel coordinates model

為了更好地表現日志數據的多屬性特征和表現攻擊者的行為模式，本文將已有的平行軸展示方式進行改進，將能表征攻擊行為和預測攻擊行為的信息進行展示。在經過大量的網絡攻防實驗的探究下發現目標和源IP 地址、端口信息、收發載荷信息對于發現攻擊行為模式是相當有效的。本文將這些數據轉為具體數值映射到平行軸中，定義映射算法如下：

ai1=α·(DateNumber(Time)-

floor((DateNumber(Time)))

(1)

(2)

(3)

(4)

(5)

(6)

1.4.2 針對網絡流量數據的球棍網絡模型

圖4 球棍網絡模型 Fig.4 Stick network model

本文提出球棍網絡模型(圖4)對節點的訪問情況和節點間的關系進行展示，以彌補平行軸模型在展示大規模數據出現的缺陷。用戶可以對球棍網絡進行交互，利用不同顏色突出用戶的選擇。在球棍網絡模型中，節點的日志數量映射球棍體積，以表現節點的訪問量，并且使用IP地址對球棍進行聚類，用以表現各節點之間的關系。球棍坐標計算參數定義如下：

(7)

球棍網絡模型每個小球的三維坐標值定義如下：

(8)

坐標經過這樣定義之后，IP地址越相似的節點之間距離就越小，從而達到根據網段進行聚類的效果。為了更好地體現球棍位置的三維特征，該模型將在字典樹中處在同父節點的球棍用直線進行連接，讓原本散亂無章的點變得聯系緊密起來，以便用戶發現節點間聯系。

2 多模態網絡安全可視分析實現

2.1 Monic系統界面設計

在Monic的界面上，用戶可以選擇時間來對兩個可視化模塊進行全局控制，用戶可以查看某個節點的詳細信息，如IP地址、域名、訪問量。為了方便用戶進行查詢，面板設有檢索框以便用戶根據IP進行節點的檢索。控制面板上使用閾值滑動條控制訪問閾值以過濾訪問值大于該閾值的節點，從而使球狀模塊更加清晰。用戶還可以根據實際數據調整球棍的半徑，平行軸線條的粗細，透明度等。利用以上界面交互方式，對信息進行二次篩選，調整模型形態屬性，以發現更多信息。

2.2 異構樹數據組織結構的實現

構建異構樹組織結構需要首先根據用戶選取的目標地址域TP建立字典樹，并將TP里的地址壓入預讀棧。在網絡流量日志的讀取過程中，當讀取一個新的服務器，就會新建一個多叉樹，并且將之后所有值都非空且時間范圍在TS-TE之間的記錄都存儲在多叉樹中。當該服務器日志讀取完后，建立的多叉樹將被掛載在相應的字典樹節點上。

2.3 針對網絡流量數據的球棍網絡模型的實現

在球棍網絡模型中，節點將用黑色小球進行表示。由于節點數量非常龐大，小球將以半透明的形態進行顯示，使之間互不遮擋。相同父節點的小球使用直線進行連接，用以展示節點之間的聚類關系，從而便于用戶推斷攻擊者的攻擊域。用戶還可以對其使用縮放和旋轉來發現更多的信息。用戶可以選擇感興趣的區域或者選擇感興趣的某個節點，前者需要在感興趣的地方繪制圓形，后者只需要點擊該節點。源地址與之相等的平行軸連線就會被高亮顯示。這樣，球棍模型就達到了過濾數據的目的，結點標注的功能被提供以方便用戶之后的對比和分析。

2.4 針對網絡流量數據的平行軸模塊的實現

用戶可以對平行軸進行點擊、滑動等動作以高亮所有屬性值與點擊值或滑過值相等的線條。通過這種交互方式，用戶通過點擊平行軸就可以很容易發現用戶行為特征(圖5)。例如，用戶點擊地址軸和目標端口軸就可以發現目標地址和目標端口的訪問情況，交互方式簡單有效。

圖5 平行軸模型數據篩選Fig.5 Screen data use parallel coordinate model

3 網絡攻擊預測方法

3.1 平行軸下攻擊行為模式

用戶可以利用網絡流量數據在平行軸的圖像模式來識別攻擊者的行為，本文選擇4種最常見的攻擊行為進行分析。圖6中展示了4種攻擊行為在平行軸的展示情況，為了找到攻擊者行為間關系以預測攻擊，該預測方法將攻擊行為分為探測行為和進攻行為。

3.1.1 探測行為

(1)主機掃描：主機掃描是網絡攻擊的前期特征之一，在黑客實施網絡攻擊或者入侵之前通常先要進行信息收集，通過對目標主機或網絡進行掃描確定目標主機系統是否在活動，確定哪些服務器在運行，檢測目標操作系統類型，試圖發現目標系統的漏洞。觀察平行軸中攻擊時段的直線時，將會發現同一源地址、不同目標地址和同一端口號之間有大量連線。(2)端口掃描：攻擊者試圖發送數據到同一源地址的不同端口，從而發現該地址中的有效端口。觀察平行軸中攻擊時段的直線時，將會發現同一源地址、同一目標地址和大量無重復端口號之間有直線連接。

圖6 平行軸下的攻擊行為模式Fig.6 Mode of different behaviors in parallel coordinates

3.1.2 進攻行為

(1)拒絕服務攻擊：攻擊者在發現有效地址和有效端口后，在短時間內對目標機器發起大量的訪問或者利用大量木馬機器向該目標發起訪問，當目標機器服務線程數超過服務器的承載的時候，就會崩潰。觀察平行軸中攻擊時段的直線時，將會發現同一源地址或者大量不同、同一目標地址和同一端口號之間有直線連接。(2)Land攻擊：此攻擊同樣是發生在攻擊者發現有效地址和有效端口后，攻擊者將自己的IP地址偽裝為目標地址，然后發送目標地址和源地址相同的數據包到目標地址中，當目標機器接收到這類數據包時，將不知道該如何處理，或者循環發送和接收該數據包，攻擊者以此來消耗目標機器大量系統資源，從而使目標宕機。觀察平行軸中攻擊時段的直線時，將會發現源地址和目標地址之間有大量平行線。

3.2 Monic系統網絡攻擊預測方法

主機掃描和端口掃描本身可能并不會對某臺主機造成致命的攻擊和大強度破壞，但對檢測并有效預防攻擊者抓取控制主機，是非常有效的方法，因為它們常常發生在攻擊事件之前。本文的網絡預測方法即利用該攻擊者探測行為和攻擊行為的關系進行預測分析，預測的根據主要基于攻擊者在攻擊前的探測行為在平行軸中的模式。用戶通過選擇時間，與利用該時間段的數據建立的可視分析模型進行交互，對比平行軸下已知的攻擊行為的圖像模式，來發現攻擊者的探測行為。根據探測行為調整服務器的防御策略或者增加防御方式來抵抗攻擊者的攻擊，從而達到預測網絡攻擊的效果。用戶在與系統的交互過程中，可以學習到新的攻擊行為模式，能夠發現更多的探測行為，不斷提高系統的分析能力。

4 實驗結果與分析

根據前述思想，本文使用Qt作為框架工具，C++為開發語言，使用OpenGL作為繪圖工具，設計與開發出Monic系統。主界面如圖7。圖7中A區域為球狀模塊，用以展示大規模網絡訪問情況，B為平行軸模塊，用以展示局部信息，C，D，E區域為控制模塊，用以控制可視化系統中的數據。

圖7 Monic系統概覽Fig.7 Monic system overview

實驗使用該系統收集到的1 200個服務器為時14天的數據進行測試，該數據集有3×106條紀錄，經過對數據預處理后，通過時間選擇面板選擇時間在2014年6月27日，在球狀模型處選擇地址為170.10.23.121的節點，并對平行軸中的信息進行分析，發現平行軸線中存在可疑行為特征，在同一源地址、同目標地址和不同端口之間有很多連線，符合前文分析的端口掃描行為模式。

圖8A為170.10.23.121機器在6月27日被掃描端口，圖8B為170.10.23.121機器在7月1日被Ddos攻擊。使用系統查看2014年6月27日以后170.10.23.121節點的詳細信息(圖8A)，從數據中發現在7月1日有被攻擊的可疑跡象(圖8B)，在平行軸中不同源地址和同一目標地址的同一目標端口有大量連線，符合前文分析的Ddos圖像模式。在查看IDS日志之后，發現7月1日該機器遭到了來自不同地區的機器的攻擊，在這些攻擊者中，發現170.10.23.121也在其中。接著查看該170.10.23.121的系統日志，發現該服務器在被攻擊后系統宕機了56 min。根據以上的驗證工作，證實實驗中系統分析結果和日志信息吻合。聯系6月27日的攻擊者行為，根據以上信息可以推斷出，6月27日的異常行為可能正是此次攻擊前的探測活動。如果在6月27日網絡安全人員使用Monic系統進行檢測，就能夠發現這次探測行為。安全人員根據行為特點調整防火墻的防御策略、增大防御強度，就能夠抵抗7月1日的攻擊，避免服務器的宕機。憑借這次的實驗結果，證實了本系統在用戶的交互和分析下能夠預測網絡攻擊。

圖8 攻擊行為發現Fig.8 Attack behavior founding

前面介紹的4種攻擊方式使用平行軸進行表示可以總結成幾種圖形模式(圖9)，從主機掃描行為來看，攻擊者在一段時間內向一個目標地址的子網發送少量數據以探測主機是否存在，所以該行為在平行軸中的圖像是先發散再聚攏再發散又聚攏最后成為一條線段的形態，同理可以推理出其他3種行為的圖像模式。對比PCAV模型，在模型的識別度方面，PCAV[15]方法中主機掃描只有大范圍的目標地址和同一目標端口兩個特征，而在本文模型中，主機掃描有時間連續和大范圍目標地址和同一端口3個特征點。在模型的正確率方面，PCAV模型中沒有時間特征，無法區分出Ddos攻擊和普通訪問行為，所以很難識別攻擊行為。相比之下，本文提出的模型更容易識別攻擊行為并且能夠識別更多的攻擊者行為模式。

圖9 Monic和PCAV中攻擊者行為圖像特征Fig.9 The image pattern of attacker behaviors in Monic and PCAV respectively

5 結論

本文在分析網絡流量數據的基礎上，提出了利用多模態互補和異構樹數據組織結構的可視分析方法，通過該方法實現了針對大規模網絡的攻擊預測可視分析，并開發出了Monic系統進行驗證。實驗結果表明了該方法能夠有效預測網絡攻擊，并且該系統在發現攻擊者行為模式上有很大的優勢，用戶可以利用該系統并行的進行學習與分析。接下來我們的工作將會基于更多類型的日志數據進行分析，并且優化現有的模型展示方式，提高系統的交互性。在攻擊者模式的發現上，我們會提供一些引導，讓用戶達到所見即所得的效果。

[1] 呂良福. DDoS攻擊的檢測及網絡安全可視化研究[D]. 天津: 天津大學, 2008.

[2] BECKER R A, EICK S G, WILKS A R. Visualizing network data[J]. Visualization and Computer Graphics, IEEE Transactions on, 1995, 1(1): 16-28.

[3] FORTIER S C, SHOMBERT L A. Network profiling and data visualization[C]. Proceedings of the 2000 IEEE Workshop on Information Assurance and Security. 2000.

[4] 趙穎, 樊曉平, 周芳芳,等. 網絡安全數據可視化綜述[J]. 計算機輔助設計與圖形學學報, 2014, 26(5):687-697.

[5] PAPADOPOULOS C, KYRIAKAKIS C, SAWCHUK A, et al. CyberSeer: 3D Audio-visual Immersion for Net Work Security and Management[C]. Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security. ACM, 2004: 90-98.

[6] AXELSSON S, SANDS D. Visualization for intrusion detection-hooking the worm[J]. Understanding Intrusion Detection Through Visualization, 2006: 111-127.

[7] COLOMBE J B, STEPHENS G. Statistical profiling and visualization for detection of malicious insider attacks on computer networks[C]. Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security. ACM, 2004: 138-142.

[8] GIRARDIN L, BRODBECK D. A Visual Approach for Monitoring Logs[C]. LISA. 1998, (98): 299-308.

[9] DUMAS M, ROBERT J, MCGUFFIN M J, et al. Alertwheel: radial bipartite graph visualization applied to intrusion detection system alerts[J]. Network, IEEE, 2012, 26(6):12 - 18.

[10] 趙穎, 樊曉平, 周芳芳,等. 多源網絡安全數據時序可視分析方法研究[J]. 網絡安全技術與應用, 2014, (9):122-122.

[11] PROMANN M, MA Y A, WEI S, et al. Spring Rain: an ambient information display[J]. Proceedings of Visual Analyties Science and Technology. Los Alamitos: IEEE Computer Society Press, 2013: 5-6.

[12] INSELBERG A.Multidimensional Detective[C]//Information Visualization, 1997. Proceedings., IEEE Symposium on. IEEE, 1997: 100-107.

[13] KRASSER S, CONTI G, GRIZZARD J, et al. Real-time and Forensic Network Data Analysis Using Animated and Coordinated Visualization[C]. Information Assurance Workshop, 2005. IAW'05. Proceedings from the Sixth Annual IEEE SMC. IEEE, 2005: 42-49.

[14] VIéGAS F B, BOYD D, NGUYEN D H, et al. Digital Artifacts for Remembering and Storytelling: Posthistory and Social Network Fragments[C]. System Sciences, 2004. Proceedings of the 37th Annual Hawaii International Conference on. IEEE, 2004: 10.

[15] CHOI H, LEE H, KIM H. Fast detection and visualization of network attacks on parallel coordinates[J]. computers & security, 2009, 28(5): 276-288.

Design and Research on Visual Analysis System of Prediction Attack for Large Scale Network

JIANG Hong-yu, WU Ya-dong, ZHOU Feng-kai, YANG Wen-chao, ZHAO Si-rui

(SchoolofComputerScienceandTechnology，SouthwestUniversityofScienceandTechnology，Mianyang621010，Sichuan，China)

Traditional methods depends security products to prediction attack are no longer applied due to the large scale of network security data because the network intrusion mode become more and more Huge and complex. Through the studied of netflow data,a new method to real-time visual analysis netflow log with multi-modal display structure and heterogeneous tree netflow data organization structure was proposed and a visual analysis system of prediction attack for large-scale network named Monic is designed and researched. The ability of system to recognize attacker behavior and prediction network attack use this system through interaction analysis were indicated by results.

Visual analysis; Attack prediction; Network security; Multi-modal; Large-scale network

2014-03-10

國家自然科學基金(61303127)；核廢物與環境安全國防重點學科實驗室(13zxnk12)；四川省教育廳重點項目(13ZA0169)；四川省科技創新苗子工程資助項目基金(2014-044)。

蔣宏宇(1994—)，男，本科，主要研究方向為信息安全、可視分析。通訊作者：吳亞東(1979—)，男，教授，博士，主要研究方向為圖像圖形處理、可視化。E-mail:wuyadong@swust.edu.cn

TP393.08

A

1671-8755(2015)02-0074-07