網(wǎng)絡安全數(shù)據(jù)可視化研究

李星華

【摘 要】網(wǎng)絡安全數(shù)據(jù)可視化與可視分析所依賴的基礎是數(shù)據(jù)，而網(wǎng)絡安全數(shù)據(jù)時代數(shù)據(jù)的來源眾多，且多來自于異構環(huán)境。即使獲得數(shù)據(jù)源，得到的數(shù)據(jù)的完整性、一致性、準確性都難以保證，數(shù)據(jù)質(zhì)量的不確定問題將直接影響可視分析的科學性和準確性。文章基于此，重點就網(wǎng)絡安全數(shù)據(jù)可視化進行了研究和分析。

【關鍵詞】網(wǎng)絡安全；數(shù)據(jù)可視化；數(shù)據(jù)源

信息可視化領域經(jīng)過幾十年的發(fā)展，積累了大量各具特色的可視化表征，這將為網(wǎng)絡安全數(shù)據(jù)可視化提供有力的支持。然而，絕大多數(shù)在當時看來創(chuàng)新的可視化技術，只能被少部分研究人員所接收，卻難以獲得廣泛的認可和應用。原因在于大量的可視化表征的創(chuàng)造僅僅在于追求技術角度的創(chuàng)新，而忽視了可視化尤其是信息可視化領域的本源——符合人的認知規(guī)律和心理映像。針對網(wǎng)絡安全數(shù)據(jù)所固有的特點，未來仍將涌現(xiàn)更多的可視化表征。然而目前仍缺乏公認的科學評價機制，對可視化表征設計的合理性、自然性、直觀性及有效性等進行評估。

1網(wǎng)絡安全可視化面臨的問題

網(wǎng)絡規(guī)模越來越大，網(wǎng)絡安全數(shù)據(jù)量也急劇增長，網(wǎng)絡中的主機還呈現(xiàn)出動態(tài)變化的特點。網(wǎng)絡安全數(shù)據(jù)種類較多，它們之間既存在相關性和互補性，也存在冗余性，現(xiàn)有的可視化工具大多只針對單種數(shù)據(jù)源，如何借助可視化技術發(fā)揮多源安全數(shù)據(jù)的優(yōu)勢是亟待解決的問題。可視化技術可以提高人們對網(wǎng)絡異常的認知效率，但是如何幫助網(wǎng)絡管理人員快速建立對所監(jiān)管的網(wǎng)絡整體情況的有效認知，甚至是態(tài)勢評估，顯得尤為重要。為了應對這些挑戰(zhàn)，設計并實現(xiàn)了一個應對大規(guī)模動態(tài)網(wǎng)絡的多源網(wǎng)絡安全數(shù)據(jù)協(xié)同可視分析系統(tǒng)，該系統(tǒng)的特點包括：從多種異構的網(wǎng)絡安全數(shù)據(jù)中提取具有統(tǒng)一格式描述的事件信息和統(tǒng)計信息，將多源數(shù)據(jù)融合起來作為可視分析的數(shù)據(jù)輸入。構建基于網(wǎng)絡拓撲結構的自動布局方法，它能夠適應網(wǎng)絡主機的動態(tài)變化，也可以更快捷地幫助用戶定位異常。設計了基于雷達圖和對比堆疊流圖的可視化工具，幫助用戶發(fā)現(xiàn)網(wǎng)絡異常，識別攻擊模式，分析事件關聯(lián)。

2網(wǎng)絡安全可視化的發(fā)展現(xiàn)狀

網(wǎng)絡安全可視化的研究，首先是確定網(wǎng)絡安全分析人員關心的問題，也就是有什么數(shù)據(jù)，需要從數(shù)據(jù)中獲取什么信息；然后是設計可視化結構來表示數(shù)據(jù)，建立數(shù)據(jù)到可視化結構的映射；最后是設計縮放、聚焦、回放和關聯(lián)更新等人機交互功能，完成人與可視化工具的交流，從而幫助分析人員觀察網(wǎng)絡安全數(shù)據(jù)中隱含的信息，進一步提高分析人員的感知、分析和理解網(wǎng)絡安全問題的能力。無論是針對網(wǎng)絡掃描、拒絕服務攻擊、蠕蟲傳播等具體的網(wǎng)絡入侵事件，還是針對網(wǎng)絡監(jiān)控、特征分析、態(tài)勢感知等抽象的網(wǎng)絡安全需求，面對不同的網(wǎng)絡安全問題和數(shù)據(jù)源，設計不同的可視化結構和交互手段、采用不同的技術路線和分析思路，便可以形成不同的網(wǎng)絡安全可視化研究方法。從網(wǎng)絡安全分析人員的角度出發(fā)，按照從簡單到復雜、從單一到整體、從低層到高層的思路，可以將人們關心的網(wǎng)絡安全問題和網(wǎng)絡安全可視化在網(wǎng)絡安全中的應用分為5類：網(wǎng)絡監(jiān)控、異常檢測、特征分析、關聯(lián)分析和態(tài)勢感知。

3網(wǎng)絡安全數(shù)據(jù)可視化技術

3.1文本可視化

文本信息是網(wǎng)絡安全數(shù)據(jù)時代非結構化數(shù)據(jù)類型的典型代表，是互聯(lián)網(wǎng)中最主要的信息類型，也是物聯(lián)網(wǎng)各種傳感器采集后生成的主要信息類型，人們?nèi)粘９ぷ骱蜕钪薪佑|最多的電子文檔也是以文本形式存在。文本可視化的意義在于，能夠將文本中蘊含的語義特征（例如詞頻與重要度、邏輯結構、主題聚類、動態(tài)演化規(guī)律等）直觀地展示出來。典型的文本可視化技術是標簽云（wordclouds或tagclouds），將關鍵詞根據(jù)詞頻或其他規(guī)則進行排序，按照一定規(guī)律進行布局排列，用大小、顏色、字體等圖形屬性對關鍵詞進行可視化。目前，大多用字體大小代表該關鍵詞的重要性，在互聯(lián)網(wǎng)應用中，多用于快速識別網(wǎng)絡媒體的主題熱度。當關鍵詞數(shù)量規(guī)模不斷增大時，若不設置閾值，將出現(xiàn)布局密集和重疊覆蓋問題，此時需提供交互接口允許用戶對關鍵詞進行操作，通常蘊含著邏輯層次結構和一定的敘述模式，為了對結構語義進行可視化，研究者提出了文本的語義結構可視化技術。基于主題的文本聚類是文本數(shù)據(jù)挖掘的重要研究內(nèi)容，為了可視化展示文本聚類效果，通常將一維的文本信息投射到二維空間中，以便于對聚類中的關系予以展示。

3.2網(wǎng)絡可視化

網(wǎng)絡關聯(lián)關系是網(wǎng)絡安全數(shù)據(jù)中最常見的關系，例如互聯(lián)網(wǎng)與社交網(wǎng)絡。層次結構數(shù)據(jù)也屬于網(wǎng)絡信息的一種特殊情況。基于網(wǎng)絡節(jié)點和連接的拓撲關系，直觀地展示網(wǎng)絡中潛在的模式關系，例如節(jié)點或邊聚集性，是網(wǎng)絡可視化的主要內(nèi)容之一。對于具有海量節(jié)點和邊的大規(guī)模網(wǎng)絡，如何在有限的屏幕空間中進行可視化，將是網(wǎng)絡安全數(shù)據(jù)時代面臨的難點和重點。除了對靜態(tài)的網(wǎng)絡拓撲關系進行可視化，網(wǎng)絡安全數(shù)據(jù)相關的網(wǎng)絡往往具有動態(tài)演化性，因此，如何對動態(tài)網(wǎng)絡的特征進行可視化，也是不可或缺的研究內(nèi)容。研究者提出了大量網(wǎng)絡可視化或圖可視化技術。經(jīng)典的基于節(jié)點和邊可視化，是圖可視化的主要形式。圖中主要展示了具有層次特征的圖可視化的典型技術，例如H狀樹H-Tree、圓錐樹ConeTree、氣球圖BalloonView、放射圖RadialGraph、三維放射圖3DRadial、雙曲樹HyperbolicTree等。對于具有層次特征的圖，空間填充法也是常采用的可視化方法，例如樹圖技術Treemaps及其改進技術。這些圖可視化方法技術的特點是直觀表達了圖節(jié)點之間的關系，但算法難以支撐大規(guī)模圖的可視化，并且只有當圖的規(guī)模在界面像素總數(shù)規(guī)模范圍以內(nèi)時效果才較好，因此面臨網(wǎng)絡安全數(shù)據(jù)中的圖，需要對這些方法進行改進，例如計算并行化、圖聚簇簡化可視化、多尺度交互等。

4結束語

網(wǎng)絡安全可視化技術是網(wǎng)絡安全領域一個新的研究熱點，本文面向網(wǎng)絡安全數(shù)據(jù)可視化技術做了探討和分析，同時探討了支持可視分析的人機交互技術，包括支持可視分析過程的界面隱喻與交互組件、多尺度/多焦點/多側面交互技術、面向 Post-WIMP 的自然交互技術，最后，指出了網(wǎng)絡安全數(shù)據(jù)可視分析領域面臨的瓶頸問題與技術挑戰(zhàn)。

參考文獻：

[1]郭山清，多態(tài)蠕蟲的研究與進展[J].計算機科學與探索，2015

[2]劉斌，分布式拒絕服務攻擊研究新進展綜述[J].電子學報，2016