基于地理位置的網絡安全可視化研究與應用

◆丁曉旭 方 勇 黃 誠

基于地理位置的網絡安全可視化研究與應用

◆丁曉旭 方 勇 黃 誠

（四川大學電子信息學院 四川 610000）

網絡安全技術與數據可視化的結合形成了網絡安全可視化這一新的熱點研究方向。本文主要研究了可視化結構中的地理位置結構在網絡網絡安全方面的實現與表現，以及針對這種結構如何處理數據令其成為合適的視圖輸入。地理位置結構可以展示數據所對應的空間地理位置信息，如經緯度、國家和城市等?？梢赃M行基于地理坐標的攻擊曲線、攻擊效果、動畫光圈的繪制，在本系統中可以用來實時鎖定攻擊源的地理位置，以及整體攻擊狀況的地理分布情況。

網絡安全；數據可視化；地理位置結構

0 前言

隨著網絡應用，網絡通信技術的高速發展，互聯網逐漸為人們生活、工作不可缺少的一部分，其面對的安全威脅越來越大、越來越復雜。網絡安全問題成為人們關注的重要問題。為了應對層出不窮的網絡攻擊，技術人員開發出各種網絡安全工具、設備，這些設備的運行過程中會產生海量數據，捕獲的攻擊行為數據、日常運行產生的日志信息等。

研究人員需要從海量數據中提取有效信息，從而達到及時預警甚至預判攻擊者行為的目的,傳統分析方法面臨認知負擔過重、交互性不強等一系列問題，就需要運用可視化技術[1]，對信息進行分門別類，通過圖表的方式直觀、清晰的展示出來，幫助工作人員更好的掌握重點、提高人的分析效率。網絡安全和可視化技術順應需求相結合,形成了網絡安全可視化[2]這一新的研究方向。

特別是自2004年始，每年召開一次的網絡安全可視化國際會議（The International for computer security，Viz SEC）[3]，推動著該研究領域的發展。Tudum在2002年進行了基于三維可視化系統來監控和審計系統日志的研究[4]。Chris W 等人[5]在 2007年研發的可視化工具，通過郵件日志利用二維，三維散點圖，堆疊折線圖尋找垃圾郵件的發送源和中轉站。就國內而言，2014 年中南大學趙穎等人[6]提出的可視化系統針對已經過特征融合的多源日志，利用堆疊流圖和雷達圖展示出設備遭遇安全事件的整體情況，某一時間點發生了某一類安全事件的所有設備，并進行端口活動情況的監控。

但是目前為止，對網絡安全數據可視化的研究，要么是對單一數據形式的深入挖掘、分析、可視化，要么雖然是基于多樣化的數據源，但使用的雷達圖，力引導圖等，雖然對數據進行了可視化展示，但是不直觀明了，當工作人員看到這些視圖時并不能第一時間把握網絡當前威脅情況，需要進行很多其他交互操作或具備相關知識儲備才能很好地獲取信息。針對以上問題，本文設計、實現了能對當前網絡安全情況一目了然、交互操作簡潔的基于地理位置的網絡安全可視化的web頁面應用。

1 相關知識

1.1 可視化結構

已知可視化結構是指設計者采用某種組織方法對原始信息進行分類、排序和控制，并采用視覺圖形化的方式將信息呈現給用戶［7］。能夠真實的展示數據，并使得數據被人正確理解，才是可用的數據化可視方法。目前，應用在網絡安全方面的數據可視化結構主要有以下幾類:列表式結構，坐標式結構，樹圖結構，地理位置結構，散列結構，形狀編碼結構，嵌套結構等。

列表式結構一般由基礎的行/列結構組成，將每條信息的詳細屬性直觀的展示出來，適用于各種場景；坐標式結構由坐標軸和數據內容在坐標軸上的映射兩部分組成，一條坐標軸可對應一個屬性維度，如果數據集較少，那么使用合適的坐標式類型可以使得在二維平面就能看到每個數據的屬性，針對大型數據，也能夠反映屬性之間的走向情況以及不同字段之間的關系；樹狀結構是表示數據體之間關系的結構，可以表示如層級關系、相互影響程度關系等；地理位置結構可以展示數據的空間地理信息，如經緯度、所屬國家、城市等。對空間數據信息的展示，是地理位置結構最明顯的特征，它可以將地理圖形與數據屬性之間建立關系。在網絡安全中，通過地理位置結構，主要可以用來快速鎖定攻擊源地理位置，把握攻擊數據地理位置分布情況等。

1.2 可視化工具庫

隨著數據可視化的興起，誕生了許多可視化工具庫。主要分為兩類，一是原生的可視化工具，需要使用者上傳數據，再選擇恰當的圖表；一種是基于JavaScript的WEB可視化插件庫，通過編程綁定數據，在瀏覽器上實時顯示。本系統需要實時展示攻擊數據，因此選擇第二種。

具有成熟的代碼庫以及參考示例的常用可視化插件庫有以下三種:D3.js[8]、Highcharts.js[9]、Echarts.js[10]。其中Echarts.js是基于Canvas的純Javascript圖表庫，底層依賴輕量級的Zrender庫，可以繪制生動、清晰、高交互性的的數據可視化圖表；提供豐富的自定義配置選項，能夠從全局、系列、數據三個層級去設置數據圖形的樣式。由于Echarts支持的圖表廣泛，且簡單易用，維護方便，故在本文實際應用中選擇了Echarts可視化工具。

1.3 信息可視化參考模型

為了利用可視化技術進行數據到視圖的映射，更準確的表達數據之間的關系，Card等人在1999年提出了信息可視化參考模型（Reference Model for Visualization）[11]，如圖1所示。

圖1 信息可視化模型

從左到右，即原始數據到可視化表達的整個過程。首先是對數據源進行去冗余、去無效的清洗操作，將數據解析成可以作為視圖數據輸入的形式，統一存入數據庫中。然后選取適當的表達數據的可視化結構，將第一步中處理的數據再根據相應的可視化算法模型映射到視圖中。

2 基于地理位置的威脅警報可視化的實現

2.1 可視化實現流程

結合信息可視化參考模型與本文研究的基于地理位置的威脅警報可視化的實現過程，具體的可視化實現流程圖如下所示。

圖2 可視化實現流程圖

2.2 關鍵技術

2.2.1 源數據的清洗與解析

本文研究數據基于蜜罐[10]技術的內網安全檢測預警系統,通過部署蜜罐檢測終端,模擬80端口HTTP協議、22端口SSH協議、1433端口MSSQL數據庫、3306端口MYSQL數據庫等服務協議,誘導攻擊者攻擊蜜罐終端并對攻擊者的攻擊信息進行收集。

將蜜罐傳到服務器的原始數據進行清洗與解析，這里清洗是指去掉無效數據與冗余數據，解析是根據攻擊者IP這一字段匯集相關信息定義一次攻擊為一條數據并以JSON格式用webSocket發送到前端。

表1 重要字段說明

2.2.2 可視化映射過程的算法研究

本文進行的可視化算法研究是以雷達圖的3W（what，where，when）模型[9]為基礎，將其變形、改進WWS（when，where，scale）模型，使其更適合本文的基于地理位置的實時威脅警報視圖的映射。詳細算法如下:

（1）提取一條數據的5有效字段分別對應三個維度信息，生成方程（1），選取一次記錄中的攻擊時間，攻擊源IP、目的IP、攻擊使用的協議、攻擊的端口和攻擊使用的工具，分別對應方程式中的when，where，scale；

（2）將上述公式中三種維度屬性轉換成幾何數值，才可以作為可視化的數據輸入。時間坐標表示將記錄中的攻擊時間對應到實時的動畫發生的時間，地理坐標表示將記錄中的IP地址轉換成經緯度，半徑表示將記錄中攻擊事件的威脅程度轉換成動畫光圈的半徑大小；

（3）定義兩個函數,f和g來完成方程（1）到（2）的映射，然后完成基于地理位置的威脅警報視圖的繪制。不同的攻擊行為路線的繪制時間表示在此刻有受到攻擊，攻擊路線的起點即攻擊者的地理位置,動畫光圈半徑的大小即本次攻擊的威脅程度；

方程（3）中RA表示動畫光圈的半徑；P1即hostPort，受到攻擊的端口；P2即AttackerProto，攻擊者使用的協議；C攻擊的頻次；攻擊頻次C之前設置一個系數，這個系數存在的意義是為了避免漏掉單次或低頻次但高危的攻擊行為，設置一個最低威脅閾值Xmin，若單詞攻擊的P1P2的值很大，那么盡管C值只有1或者少數次依然會得到一個較大的威脅值。這些變量的取值是動態的，根據網絡的不同需求取值。例如，若當前網絡上PC機或服務器主要用來存儲重要數據，那么當P2是數據庫相關協議如:mssqld或mysqld時顯然威脅程度更高，需取值相應設置較高；若希望動畫光圈整體都大一些、明顯一些，那么φ的取值就要大一點，Xmin的設置則需要相應減小。

3 具體實現與結果展示

3.1 可視化映射過程的實現

本文研究、實現的是基于地理位置的威脅情報可視化，關鍵點在于實時、明確的展示攻擊行為。這就需要時間的同步，在攻擊者進行攻擊、蜜罐捕獲到行為數據的第一時間，就將數據傳到前端進行可視化的展示。本文選擇使用webSocket協議建立長連接，進行實時的數據傳輸。當蜜罐捕獲到攻擊行為，會記錄攻擊時間、源IP地址、攻擊的端口、使用的協議、使用的工具等；然后按照上文中的字段格式處理數據；再利用webSocket建立的長連接，將數據及時的發送到前端。

本文的可視化實現主要是使用Canvas、HTML、CSS和Echarts可視化庫，直接創建和操作基于蜜罐數據的交互式網頁，將可視化效果展示在瀏覽器網頁上，供安全技術人員進行進一步的分析利用。

可視化的實現主要是調用了Echarts庫中能夠將數據轉換成地圖的函數BMapExt.getMap();并用timestamp字段對應本地時間作為攻擊直線繪制的時間;根據f函數將源IP字段變換成經緯度坐標,調用markLine對象根據坐標繪制攻擊直線;根據g函數將hostPort、AttackerProto和AttackerTool字段變換成半徑值,調用markPoint對象繪制攻擊目的地顯示的動畫光圈的大小.偽代碼如下:

3.2 可視化效果展示

整體視圖如圖3所示，不同的攻擊事件由不同的直線表示，直線的起點坐標表示攻擊源所在地，終止坐標表示受到攻擊設備所在地。

圖3 攻擊行為的地圖展示

時間則對應直線出現的時間，并按照需求設定持續一段時間，為了防止安全人員錯過這條信息，在視圖下面一部分有列表式結構的數據，滾動顯示當日的每條攻擊數據。而動畫光圈則代表了受到攻擊的威脅程度，光圈越大越值得引起注意。

通過此圖可以實時掌握設備的安全態勢。受到攻擊的密度，威脅程度，攻擊源的位置等信息。通過觀察還可以得出一天中哪一段時間受到攻擊的頻率最高，哪個地方發出的攻擊行為最多，以便安全人員據此及時采取應對措施。

4 結束語

網絡安全可視化技術能夠利用人類的視覺對結構和模型的獲取能力，將抽象的系統和網絡數據信息以簡單直觀的圖形圖像方式展現出來，幫助安全分析人員分析網絡狀況。為了驗證可視化設計的有效性，本文對蜜罐數據進行了可視化設計與展示，實現了研究人員從海量數據中提取有效信息、直觀明了的知道網絡“現在”正在發生什么、快速把握某個時間段受威脅的情況、掌握攻擊者的相關信息并進行針對性的防御，做到有威脅及時發現，達到主動防御的目的。

目前為止，網絡安全可視化的研究越來越豐富，但依舊存在很多問題，實時展示性永遠都是網絡安全可視化中的重要需求，本文雖然實現了攻擊行為的實時展示，但是展示的數據源不夠豐富，今后的研究重點將主要放在對更高維、更多元的海量數據進行實時可視化展示上。

[1]Visualization.[EB/OL].[2015-03-30].http://en.wikipedia. org/wiki/Visualization_（computer_graphics）.

[2]Goodall J R.Introduction to visualization for computer se-curity[C]，2008.

[3]Viz Sec Homepage.[EB/OL]. http://www.vizsec.org/，2 014．

[4]T.Takada and H.Koike.Tudumi:Information visuali -zation system for monitoring and auditing computer logs. IE EE，2002.

[5]Muelder C，Ma K L.Visualization of sanitized email lo gs for spam analysis[C]. IEEE，2007.

[6]趙穎，樊曉，平周芳等.大規模網絡安全數據協同可視分析方法研究[J].計算機學與探索，2014.

[7]李晶，薛澄岐，史銘豪等.基于信息多維屬性的信息可視化結構[J].東南大學學報:自然科學版，2012.

[8]https://d3js.org/.

[9]http://www.highcharts.com/.

[10]http://echarts.baidu.com/.

[11]Stuart Card，Jock Mackinlay，Ben Shneiderman. Rea dings in Information Visualization:Using Vision to Think .Mor gan Kaufmann，1999.

[12]張瑜.多源安全數據可視化關鍵技術研究與實現[D].重慶大學，2015.

[13]GitHub page[EB/OL].http://threatstream.github.io/mh n/.