計算機網絡安全可視化研究平臺設計與實現

肖萬武+向寧

摘 要： 基于當前現狀設計并實現計算機網絡安全可視化研究平臺。在對現有可視化工具包分析研究的基礎上，結合計算機網絡安全可視化研究的特點，提出計算機網絡安全可視化研究平臺的總體目標：實現安全數據整合、可視化方法整合、分析操作整合。根據插件化、集成化、可擴展性、開放性、平臺無關性和易操作性等方面的具體要求，對該研究平臺進行設計并實現了原型系統。該平臺可作為計算機網絡安全可視化研究的工具，同時也可用于教學實驗、可視化方法測試、協作交流等工作。

關鍵詞： 計算機網絡安全； 信息可視化； 網絡包； 網絡流；數據方塊圖； 研究平臺

中圖分類號： TN915.08?34； TM417 文獻標識碼： A 文章編號： 1004?373X（2017）01?0070?04

Abstract： The computer network security visualization research platform was designed and implemented aiming at the current situation. On the basis of analyzing the available visualization toolkit， the overall goal of the computer network security visualization research platform is proposed in combination with the characteristics of the computer network security visualization research， so as to implement the security data integration， visualization methods integration， analysis and operation integration. The research platform was designed according to the specifications of plug?ins， integration， scalability， openness， platform independence and easy operation. A prototype system was implemented. The platform can be regarded as the tool of the computer network security visualization research， and used in the teaching experiment， visualization method testing， and collaboration communication.

Keywords： computer network security； information visualization； network packet； network flow； data block diagram； research platform

隨著計算機網絡技術的不斷發展，網絡已成為現代生活的重要組成部分。目前，隨著網絡規模的不斷擴大，網絡安全問題也日益嚴重，安全研究正面臨新的挑戰[1]。計算機網絡安全可視化研究是信息可視化和計算機網絡安全研究結合的產物，是一個全新的研究課題。通過對該課題深入研究，可以幫助研究人員從全新的視角理解安全現象，進而揭示安全機理、發現安全規律，最終達到解決安全問題的目的[2]。

1 平臺設計

1.1 總體目標

計算機網絡安全可視化研究平臺是要建立一個可用于計算機網絡安全可視化研究的統一支撐環境，方便研究人員基于不同的分析任務、使用多種可視化手段進行相關安全問題的可視化研究。該研究平臺達到的總體目標是實現三個層次的整合，即對數據的整合、對可視化方法的整合、對分析操作的整合[3]。

數據整合是數據層面的整合，目的是提供對各種安全數據的支持，使各種數據都可以方便的在平臺中使用；可視化方法整合是方法層面的整合，目的是將眾多的可視化技術方法集成到平臺之中，為各種數據提供豐富的可視化表現形式，同時增強各種可視化方法之間的聯系，使各種方法可以相互協調、綜合運用；分析操作整合是應用層面的整合，目的是在數據整合和可視化方法整合的基礎上為使用者提供一個統一的操作環境，屏蔽由于數據異構性和可視化方法多樣性帶來的操作復雜性問題，使研究人員可以在該平臺上使用相對統一的操作過程完成各種安全可視化分析研究工作[4]。

1.2 設計要求

根據以上總體目標，對計算機網絡安全可視化研究平臺的設計提出以下要求：

（1） 插件化。該平臺的基礎結構應該是一個插件的容器，各種功能的實現由具體功能插件完成。

（2） 集成化。該平臺是一個具備綜合能力的計算機安全可視化研究環境，需要對多種數據類型、多種可視化方法提供支持。

（3） 可擴展性。考慮到未來發展的需要，該平臺應該具備良好的可擴展性。

（4） 開放性。該平臺不是一個封閉的系統，需要與其他系統進行交互。

（5） 平臺無關性。為了滿足不同研究人員對操作系統使用的習慣，實現跨平臺運行能力，該平臺采用Java語言開發。

（6） 易操作性。該平臺需要為研究人員提供風格統一的操作方式，屏蔽由于數據異構性和可視化方法多樣性帶來的操作復雜性問題。

1.3 總體結構

根據總體目標和設計要求，計算機網絡安全可視化研究平臺包括數據處理模塊、信息可視化模塊、交互模塊和平臺管理控制模塊四個模塊[4]。其中，數據處理模塊主要負責完成數據的映射，將各種安全數據轉換為最終用于可視化表達的形式；信息可視化模塊完成數據的可視化映射，將數據處理模塊輸出的數據根據不同可視化方法轉換為相應的視圖；交互模塊提供各種人機交互手段，幫助平臺使用者對可視化視圖進行交互式探索工作；平臺管理控制模塊是平臺的基礎框架，負責協調、控制其他功能模塊共同完成平臺使用者的各種分析研究任務，同時為其他功能模塊的運行提供所需環境[5]。

1.4 用戶對象

計算機網絡安全可視化研究平臺的使用主要針對兩類用戶：可視化算法的研究人員與基于可視化的安全分析人員。

可視化算法的研究人員通過創建新算法插件，將可視化方法集成到平臺中，利用平臺提供的數據處理功能，大大簡化數據的處理過程，使研究重點更容易集中于可視化算法本身。同時，利用平臺提供的多種可視化表達形式，方便研究人員對新老方法進行對比研究[6]。

基于可視化的安全分析人員通過該平臺進行安全數據的處理、可視化圖形的生成以及交互式的可視化分析等工作。根據分析任務的不同，分析人員可以選用多種可視化表達形式，從不同側面全方位地展示數據的內在信息，再通過綜合運用各種分析手段快速發現數據背后隱藏的安全問題。

2 平臺實現

2.1 基礎平臺介紹

通過基礎平臺為其他各功能模塊的運行提供所需的支撐環境，同時負責協調、控制其他功能模塊共同完成平臺使用者的各種分析研究任務。基礎平臺對應總體結構中的平臺管理控制模塊。經過調研對比，選擇KNIME（The Konstanz Information Miner，康斯坦茨信息挖掘器）作為計算機網絡安全可視化研究平臺原型系統的基礎平臺[7]。KNIME的主要特點如下：

（1） 使用工作流（Workflow）技術，可視化地展示了數據處理、分析、挖掘的全過程，并可以對各個處理步驟進行交互式操作設置。

（2） 使用節點（Node）處理單元，封裝各種處理功能，降低彼此間的耦合性，方便使用者進行功能擴展。

（3） 提供種類繁多的節點庫，根據具體的挖掘任務需要，選擇不同功能節點，將輸入輸出端口相互連接組成各種數據挖掘工作流。

對KNIME的數據結構、節點和工作流進行簡要介紹，用于指導原型系統其他各功能模塊的開發。

2.1.1 數據結構

在KNIME中使用DataTable類封裝節點之間流動的數據。DataTable包含數據的元信息和數據本身，其中每行數據都是DataRow對象，可以通過對DataRow實例的迭代，訪問數據表中的數據。每個DataRow中都包含一個惟一的標識和一定數量的DataCell對象，該對象中保存著實際數據。

DataTable，DataRow和DataCell等主要類的相互依賴關系如圖1所示。

2.1.2 節點

節點是KNIME中最主要的處理單元，它通常會被組裝到一個工作流中。Node類封裝了節點的所有功能，用戶可以通過擴展NodeModel，NodeDialog和NodeView三個抽象類來開發自己的功能節點。NodeModel類主要承擔計算任務；NodeDialog類用來實現節點的配置對話框，用戶根據需要調整節點的相關參數，從而影響節點的執行；NodeView類可以被重寫多次以實現在同一數據模型上顯示不同視圖。如果自定義的功能節點無需配置對話框和視圖窗體，可以不實現NodeDialog和NodeView類。節點的這種設計遵循了MVC設計模式[8]。另外，為了實現數據或模型在節點中的傳輸，每個節點都具有輸入輸出端口。節點及主要類的依賴關系如圖2所示。

2.1.3 工作流

在KNIME中，工作流就是由節點相互連接構成的有向圖。在兩個節點間允許插入新節點和有向邊，而且工作流可以保存節點的狀態，需要時能夠進行返回。這種圖形化的表達方式使用戶可以按需定制所需的處理流程，并可以從宏觀上了解整個處理步驟。

通過上述介紹，KNIME系統作為基礎平臺基本滿足計算機網絡安全可視化研究平臺管理控制功能的設計需要。但是，就計算機網絡安全可視化研究這種具體應用而言，缺少對安全數據的支持，缺少專用的安全可視化方法，所以無法支撐安全可視化方面的研究，還需要有針對性的開發相應功能以滿足平臺的總體設計需求。

2.2 數據處理模塊實現

在計算機網絡安全可視化研究平臺的原型系統中，數據處理模塊主要提供對安全數據的支持能力，目前，已支持網絡數據包數據（PCAP格式文件）和NetFlow網絡流數據（CSV格式文件）兩種安全數據類型。通過不同的功能節點可以完成數據的解析、格式的變換、內部數據的生成及轉換等操作。此處以MatrixConverter節點實現為例，說明數據轉換構件中功能節點的實現方法，其他數據解析構件、數據映射構件中功能節點的實現可以參考此例進行。

MatrixConverter節點主要負責對內部數據進行轉換，具體功能是將NetFlow網絡流數據中以“源地址，目的地址，連接權值（某種連接屬性值）”形式存在的內部數據轉換為以鄰接矩陣形式存在的內部數據，為后續可視化節點的使用提供適合的數據表達形式。在execute（）方法中首先從節點的輸入端獲取數據；其次對該數據進行處理得到對應的鄰接矩陣形式數據；最后將鄰接矩陣形式的數據送至節點的輸出端。

節點功能開發完成后，還需修改插件的入口文件plugin.xml，平臺將根據這個文件的設置加載插件。通過設置，MatrixConverter節點將會出現在節點庫的SecViz類別文件夾下，并可以提供相應的處理功能。

2.3 信息可視化模塊實現

在計算機網絡安全可視化研究平臺的原型系統中，信息可視化模塊主要提供各種安全可視化方法。目前，已集成了網絡數據包數據方塊水平布局圖、堆疊布局圖和網絡流數據的鄰接矩陣圖等三種專用安全可視化方法。

MatrixViz功能節點的實現主要涉及三類：MatrixVizNodeModel類，MatrixVizNodeView類和MatrixVizViewPanel類。MatrixVizNodeModel類繼承了NodeModel抽象類，主要用于獲得待可視化的內部數據；MatrixVizNodeView類繼承了NodeView抽象類，用于管理控制可視化視圖，它是完成可視化方法集成的關鍵類；MatrixVizViewPanel類繼承了Swing的JPanel類，用于創建顯示面板進行可視化繪制。首先定義MatrixVizViewPanel類型的成員變量m_viewPanel，用于繪制可視化視圖；其次在構造函數中對MatrixVizViewPanel類進行實例化；最后顯示繪圖面板。MatrixVizNodeView類將數據對象和繪圖對象關聯在一起，共同完成特定的可視化功能。

2.4 交互模塊實現

交互功能的實現，可以利用AWT/Swing自身機制捕獲鼠標、鍵盤等事件，并通過相應的事件處理器完成對特定事件的響應及處理。首先，通過addXxxListener（）方法將某類事件監聽器或適配器注冊給指定的組件，當該組件發生特定事件時，被注冊到該組件的事件監聽器或適配器中對應的事件處理器將被觸發，從而完成對該事件的響應及處理。使用addMouseListener（）方法給繪圖面板m_viewPanel注冊鼠標事件的適配器，用于監聽鼠標事件。同時，重寫mouseReleased（）和mousePressed（）方法，實現對鼠標鍵松開、按下事件的處理。

3 平臺應用實驗

3.1 展示性任務實驗

該實驗的目的是通過計算機網絡安全可視化研究平臺生成待分析數據的可視化視圖。實驗使用的數據是一個CSV格式的NetFlow網絡流數據文件（文件名為DisplayTest_NetFlow.csv），并使用鄰接矩陣圖作為最終的可視化表達形式。通常，進行這種展示性任務一般包括三個步驟：

第一步，構建任務工作流；

第二步，對各功能節點進行必要配置（某些節點無需配置）；

第三步，依次執行工作流中的各節點，得到最終的可視化結果。

在第一步中構建的任務工作流，使用了四個功能節點：CSV文件讀取節點（CSVReader）、列過濾器節點（ColumnFilter）、矩陣轉換器節點（MatrixConverter）和矩陣圖可視化節點（MatrixViz）。CSVReader節點負責數據文件的讀取；ColumnFilter節點和MatrixConverter節點負責內部數據格式的轉換；MatrixViz節點負責視圖的繪制與顯示。

第二步是對各功能節點進行必要配置，此任務中需要在CSVReader節點中指定DisplayTest_NetFlow.csv文件的路徑，同時通過Column Filter節點選擇后續處理所需的數據列，MatrixConverter和MatrixViz節點無需配置。最后，依次運行各節點，執行相應的節點功能，得到NetFlow網絡流數據的鄰接矩陣圖，如圖3所示。

3.2 探索性任務實驗

該實驗的目的是通過計算機網絡安全可視化研究平臺分析安全數據、發現數據中存在的異常現象。實驗使用了兩類安全數據：一類是PCAP格式的網絡包數據（文件名為ExploreTest.pcap）；另一類是由網絡包數據處理得到的CSV格式的NetFlow網絡流數據（文件名為ExploreTest_NetFlow.csv）。與展示性任務不同，探索性任務通常需要綜合使用多種可視化手段和分析方法，經過不斷地迭代探索過程才能得到最終的結論。

在對安全數據進行探索性分析時，一般的思路是“從整體到細節”，即先從數據的整體特征上分析有無異常現象，然后再進一步分析數據的細節特征。根據這一思路，最終完成該探索性任務的工作。

（1） 網絡流數據處理子工作流。包括兩個處理分支：鄰接矩陣圖繪制和平行坐標圖繪制，用于從不同側面展示數據特征。同展示性任務的工作流相比，該工作流多了行過濾器節點（Row Filter）和平行坐標圖可視化節點（Parallel Coordinates）。Row Filter節點負責對數據行進行過濾；Parallel Coordinates節點負責繪制平行坐標可視化圖形，該功能節點是基礎平臺提供的一種經典可視化方法。

（2） 網絡數據包處理子工作流。使用了兩個功能節點：PCAP文件讀取節點（PCAP Reader）和數據方塊圖可視化節點（PacketViz）。其中，PCAP Reader節點負責讀取PCAP格式的網絡數據包；PacketViz節點負責繪制網絡數據包的數據方塊圖。

在進行探索性分析時，首先對網絡流數據進行分析，獲取對網絡中數據傳輸關系的全面理解。接下來，利用平行坐標圖對135.2.1.2節點進行有針對性的可視化分析。最后，為了進一步挖掘掃描攻擊的細節信息，選用網絡流數據對應的網絡數據包，該數據中記錄了網絡通信中最原始的信息。

通過以上使用不同的安全數據，采用各種可視化手段進行綜合分析，得出如下結論：網絡中主機135.2.1.2正在對網絡進行掃描攻擊，且攻擊類型為TCPSYN端口掃描攻擊。

通過應用實驗，討論計算機網絡安全可視化研究平臺在可視化展示和可視化探索中的應用。該安全可視化研究平臺綜合使用各種可視化方法（如鄰接矩陣圖、平行坐標圖、數據方塊圖等），針對多種安全數據（如網絡包數據、網絡流數據等）進行集中統一的處理，基本達到平臺的總體目標，能夠為安全可視化研究提供整合的支持環境。另外，使用工作流方式進行安全可視化分析，方便建立標準規范的分析步驟，為安全可視化分析研究提供指導和幫助。

4 結 論

本文在對現有可視化工具包（或整合系統）分析研究的基礎上，結合計算機網絡安全可視化研究的特點，提出計算機網絡安全可視化研究平臺的總體目標：實現安全可視化研究三個層次的整合，即數據整合、可視化方法整合、分析操作整合。根據插件化、集成化、可擴展性、開放性、平臺無關性和易操作性等方面的具體要求，對該研究平臺進行設計，并實現原型系統。針對可視化展示和可視化探索兩種不同的任務類型，對該研究平臺的原型系統進行應用實驗。

參考文獻

[1] 靖培棟.信息可視化—情報學研究的新領域[J].情報科學，2003，21（7）：685?687.

[2] 郭陟，萬海，顧明.可視化安全審計模型與系統框架研究[C]//全國網絡與信息安全技術研討會2004論文集.北京：中國通信學會，2004：433?437.

[3] 周寧.信息可視化技術在端口掃描檢測中的應用研究[D].天津：天津大學，2007.

[4] 李忠武，陳麗清.計算機網絡安全評價中神經網絡的應用研究[J].現代電子技術，2014，37（10）：80?82.

[5] 任磊，王威信，周明駿，等.一種模型驅動的交互式信息可視化開發方法[J].軟件學報，2008，19（8）：1947?1964.

[6] SHIRAVI A， SHIRAVI H， TAVALLAEE M， et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers & security， 2012， 31（3）： 357?374.

[7] 葉云，徐錫山，賈焰，等.基于攻擊圖的風險鄰接矩陣研究[J].通信學報，2011，32（5）：112?120.

[8] 占俊.基于自適應BP神經網絡的計算機網絡安全評價[J].現代電子技術，2015，38（23）：85?88.