輻狀節點鏈接圖在IPS日志分析中的研究與應用

張勝，施榮華，趙玨

?

輻狀節點鏈接圖在IPS日志分析中的研究與應用

張勝1, 2，施榮華1，趙玨2

(1. 中南大學信息科學與工程學院，湖南長沙，410083；2. 湖南商學院現代教育技術中心，湖南長沙，410205)

為了提高IPS(入侵防御系統)日志分析的效率和精準度，提出一種輻狀節點鏈接圖可視化分析方法。針對經典節點鏈接圖隨著數據量增加，節點變得擁擠、層次難以區分、空間利用率不高等問題，結合節點鏈接圖和輻射圖的優勢，設計一種新的可視化技術變形即輻狀節點鏈接圖。分析VAST 2013 Challenge比賽中IPS日志。研究結果表明：在大數據環境下，該技術能夠合理分布節點以區分不同維度的IPS屬性，利用可視化篩選降低圖像密度，改進布局算法以合理利用顯示面積以及產生圖形的聚類；該方法能有效地感知網絡安全態勢，輔助分析人員決策；該輻狀節點鏈接圖的數據維度表現能力和業務層次控制能力較強。

節點鏈接圖；輻射圖；網絡安全日志；入侵防御系統；可視化分析

網絡空間在國際政治和經濟中的地位日趨重要，而全球網絡安全形勢卻日益復雜。為了保證網絡安全，各種安全設備應運而生，如IPS、IDS(入侵檢測)、Firewall(防火墻)、AV(病毒查殺)、Netflow(流量監控)等，這些設備不斷產生海量的日志數據。然而，傳統方法對分析現代網絡安全大數據作用有限。目前日志數據量呈級數增加，網絡安全分析人員認知負擔重；新環境下的攻擊類型和模式不斷變化，使得傳統的分析方法不再有效；態勢感知能力欠缺，缺乏對網絡全局信息的認識，不能提前防御、預測攻擊[1?3]。如何幫助網絡安全分析人員更高效地分析網絡安全數據成為網絡安全領域中亟待解決的一個非常重要的問題。網絡安全可視化作為一個新興的領域，涌現出一批可視化安全工具，在網絡安全領域發揮著越來越重要的作用。可視化系統將網絡安全數據以圖像的方式展現出來，利用人類認知能力和判別模式強的特點對圖像進行分析，洞察復雜數據中隱含的模式、趨勢、結構和異常，形成高效、準確的人機感知、分析、判斷和決策系統[4?5]。流行的網絡攻擊主要有 Dos(拒絕服務)、Port scan (端口掃描)、Botnet(僵尸網絡)、Brut-force-attack(暴力猜解)、病毒、木馬等[6?8]。IPS設備雖然能夠即時中斷、調整或隔離一些不正常或具有傷害性的網絡傳輸行為，但是不能具體區分是何種攻擊，安全問題的確認主要依靠管理員的分析能力。為此，本文作者提出用節點鏈接圖來分析日志，確診安全問題，感知網絡態勢。首先，對鏈接圖的節點布局模式進行改進，形成輻射環外觀，以提高可視圖形的層次感，使其可以容納更多網絡節點；然后，改進邊的連接方式，采用貝塞爾曲線在接入點進行匯聚，方便問題分析；最后，通過利用可視化篩選技術，降低圖像閉塞性(occlusion)，突出關注對象，抓住網絡攻擊變化的瞬間。

1 節點鏈接技術

網絡數據常用的可視化技術有node-link diagrams (節點鏈接圖)、arc diagrams(弧圖)、 adjacency matrices (鄰接矩陣)、circular layouts(圓形布局圖)等，這些技術各有優劣[9]。對于層次結構的網絡數據，父子關系的節點鏈接圖是一個重要的表示形式。它將數據組織成一個類似于樹節點的連接結構，節點和連線表示數據維度和它們之間的關系，廣泛應用于網絡取證[10]、無線傳感器網絡節點配置[11]、主機行為監控[12]等方面。人們對該圖的布局技術進行了改進，如縮小交叉邊的數量、降低長短邊長的比率、提高對稱性等，但是，當節點和邊大量增加時，通常會遇到閉塞性問題，也就是說，相互交錯重疊的節點和連線會使得圖像難以分析和交互，造成視覺混淆現象[13]。目前，研究人員從不同角度提高節點鏈接圖的可讀性與可用性，如：HUANG等[14]采用forceAR算法提高角分辨率(相鄰兩邊的分離角度標準)，以提高圖像美觀度和方便人類理解；WORDBRIDGE系統對節點和連接都采用標簽云表示，用標簽云的關鍵字突出聯系的本質特點[15]；WARE等[16]采用交互手段訪問大圖，當鼠標點擊時，相應的子圖會被點亮，并認為這種交互強調的辦法比靜態方法更有效；SIDEKNOT系統設計了一種高效算法，使邊在節點附近進行捆綁和打結，以避免視覺混亂和突出連接趨勢，適合超大型網絡結構[17]；李志剛等[18]提出了一種面向層次數據的力導向布局算法，將不同層次的邊賦予不同初始彈簧長度，以解決層次數據中結構信息展示不清楚的問題；NETSECRADAR系統結合了節點接圖和圓形布局圖來展現網絡安全數據，以便于更好地利用圓中心面積，節點采用力導向布局在圓內排列上千個工作站點而不顯擁擠[19]。節點鏈接圖相對于其他點陣表示方法最大的優勢在于能理解內在聯系和路徑查找直接。通過對布局模式進行改進，結合其他技術來展開信息可視化，是未來節點鏈接圖技術發展的新方向。

2 基于節點鏈接圖的輻射狀表示法

隨著大數據時代來臨，可視化分析對象變得越來越復雜。對于節點鏈接圖，當節點數超過20到30個，邊數達到節點數1倍時，圖像會變得視覺混亂[16]。本研究嘗試改進節點鏈接的布局技術，對整體采用輻射狀布局，擬達到以下目的：1) 將不同類型的節點布局在不同半徑的圓環上，同時用符號(Glyph)進行標記，從圖像上可以直觀區分節點類型，同時容納更多節點；2) 在大數據環境下，通過可視化篩選，去除非關鍵節點，保留問題的主干；3) 通過邊捆綁技術，產生圖形聚類，提高非專業人士的態勢感知能力。可視化框架見圖1(a)。

假設輻狀節點鏈接圖表示為(,)(其中，為結點的集合，為邊的集合)，結點分為{1,2, …,N}共||種類型，第N種類型由{N1,N2, …,N}共|N|個結點組成，表示指向結點N的上層結點{(i?1),1,(i?1),2, …,(i?1),k}共個。N(,)表示點N的極坐標定位(其中，為半徑，為角度)，則

式(1)解釋了N(,)的布置方法：若最內層結點(最后1種類型)的數量為1，則它占據圓心位置，否則它的半徑按結點類型編號遞減(為層數，從外向內分別為1, 2, 3, …；為最外層輻射圓環的半徑，可根據顯示面積決定)。最內層結點的角度由節點數量平分2π弧度，其他層結點的位置由它所指向節點(它的下一層節點)的位置決定，它們均勻地分布在被指向節點的外環兩側，保證了聚類的需要。若1個結點指向多個結點，則它會聚類于指向次數最多的結點。同時，系統也提供了自定義節點位置功能，可以通過鼠標拖放 實現。

在可視化框架上，首先考慮不同類型數據的層次區分，它們依次排列在以圓心為中心的輻射圓環上，這樣既避免了不同類型數據節點擁擠，又有效地減少了邊連接時交叉的產生。不同的節點采用不同色系，方便區分。同時，考慮到色弱者或紙制印刷品的需要，節點還采用了符號標記(Glyph)[20]進行補充，部分符號標記方法見表1。

對于連接節點的邊采用邊捆綁技術，進入同一節點的邊通過貝塞爾曲線進行匯聚，這樣可進一步避免邊的交叉，圖像構成上也更加清晰。同時，有共同目標的節點會自動匯聚在一起，自然形成了聚類，如圖1(b)所示。圖1(b)顯示了內部主機(172.X)根據業務需要，成群組地訪問(匯聚于)外部服務器(10.X)的80端口，服務器對這些連接有時建立，有時拆除(build和teardown)，整圖上像1只發光的眼睛(魔眼圖)。

表1 符號標記說明

3 可視化轉換與篩選

使用同一數據源的不同維度可以產生不同的可視化映射結構，合理選擇數據維度是可視化轉化的關鍵。不同數據維度展示了實際場景的不同影響因素，設計者需要抽取出這些數據維度中的關鍵因素來為目的服務。這里，建議選擇3~4個維度來設計(若維度太多，則不適合輻狀節點鏈接圖表示，圖像會變得擁擠蔽塞；若維度太少，則無法充分表示場景細節)。同時，還應該合理改變節點次序，以便更加自然地形成圖像聚集。建議將數據可能(數據取值)較少的維度放在圓心處(圓心處可用于顯示的面積少)，而將數據可能(數據取值)較多的維度置于圓的外輻射圈。表2所示為一些常用的網絡安全數據用例，在數據映射模式中從左到右地排列轉換為節點鏈接圖中從外到內布局。

表2 網絡安全用例的數據映射模式

作為視覺傳達的可視圖，如何讓信息更直觀清晰、剔除不確定性理解是研究重點。可視化篩選旨在操作中幫助用戶定位，避免不明確操作產生的高成本，通過對復雜圖像的進一步挖掘，從中找出實質性內容。當圖像變得擁擠時，管理員可以針對性地進行可視化篩選，如去除某些維度，或者關注某些特定對象，以降低圖像的密度，突出用例關注的重點。

4 用例分析

本研究選取的實驗數據來自可視化國際會議IEEE VIS 2013舉辦的可視分析挑戰賽VAST Challenge。比賽數據提供了某跨國公司內部網絡(主機和服務器1100臺)約1 648萬條IPS日志。

4.1 主機服務與客戶訪問

表2中的數據映射模式1見圖2(a)。從圖2(a)可見：該時間窗口內主機服務打開的端口不多，有常規端口80以及高位端口3389和7080等(符號標志為)，主機建立(Build)和拆除(Teardown)的端口服務主要是80(HTTP服務)；而拒絕(Deny)的端口除了80外，還有很多高位端口，如3389端口是Windows遠程登陸端口，7080端口是VMware服務端口，這些都是重要服務的端口，若被黑客和惡意程序利用，則將對內部服務器造成無法估量的破壞和損失。IPS拒絕了對這些端口的連接是對內部服務器安全保障的重要體現。

圖2(b)所示圖形形似2只眼睛，采用模式2，展示了內部客戶成組訪問外部服務器的用例。外部服務器有規律地建立和拆除連接，網絡運行平穩和正常。但存在一個奇怪現象，即輻狀節點鏈接圖由外往內第2圈，排列了大量的端口(符號標志為)，每臺內部客戶機都使用1個不同的端口對外網服務器進行訪問。其原因是該公司內部采用了網絡地址及端口轉換方式共享Internet連接，這是一種將私有(保留)地址轉化為合法IP地址的轉換技術，不僅解決了IP地址不足的問題，而且能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部計算機。

(a)主機服務用例；(b) 客戶機訪問用例(雙瞳圖)

4.2 端口掃描

2016?04?10 T12:25，IPS阻止了大量針對某些內部主機的有序連接，如圖3(a)所示(模式3)，其中外圈由DestPort構成(符號標志為)，外網主機對內部機器的大量端口進行了探查，如外部10.13.77.49對內部172.10.0.2?9，外部10.138.235.111對內部172.20.0.3?5等形成了蛙眼一樣的形狀。由于圖3(a)中端口太多，密密麻麻疊在一起，掩蓋了其他細節。在數據映射模式中進行可視化篩選，去掉DestPort維度，所得結果見圖3(b)。從圖3(b)可見：外網10.13.77.49，10.6.6.7和10.138.235.111對內部部分主機進行了端口掃描。

4.3 拒絕服務攻擊

2016?04?11 T11:55，IPS報出了3個警報信息即ASA?6?302013，ASA?6?302014和ASA?4?106023，其中有2個6級和1個4級(警報分為7級，級數越小，危險越大)，見圖4(a)。可視化映射采用表2中的模式4，圖4(a)中被拒絕(Deny)連接報出的警報是4級。ASA?4?106023表示ACL拒絕了對真實地址的訪問，十分可疑，查詢內部地址映射表，這些主機(172.20.0.2?5，172.10.0.2?9和172.30.0.2)對外提供了WEB，Email和DNS等服務，是內部重要服務器，且都服務響應遲緩。對圖像進行可視化篩選，只留下ASA?4?106023相關的數據，得到圖4(b)。從圖4(b)可見10.12.15.152和10.6.6.7對內網部分主機發動了Dos攻擊。

4.4 僵尸網絡

2016?04?12 T08:24，IPS報出了大量警報信息ASA?6?302013和ASA?6?302014，像2條傾瀉的河水，這2個警報分別表示建立和拆除TCP連接，雖然等級為6級，危害較低，但是大量產生。僵尸網絡感染圖見圖5。從圖5(a)(模式5)可見絕大部分連接的雙方只有一方產生警告(入度或出度為2)。除了1個外網地址10.0.3.77外，本文作者重新規劃了該主機的位置，使其獨立于圓環外，可發現該主機作為SrcIP和DestIP同時產生了警告(入度和出度都為2)。其原因是外部控制端對內部受控主機發送大量的控制會話小包，造成IPS不斷大量地拆除和建立連接。對圖像進行篩選，只留下與主機10.0.3.77相關的數據，見圖5(b)，可看到控制端10.0.3.77控制了內網16臺主機。

(a) 端口掃描用例(蛙眼圖)；(b) 可視化篩選(去除DestPort維度)

(a) 拒絕服務用例；(b) 可視化篩選(關注Deny對象)

(a) 僵尸網絡用例(雙流圖)；(b) 可視化篩選(關注10.0.3.77對象)

5 比較與評估

為了對輻狀節點鏈接圖的實用性和有效性進行評估，與VAST 2013 Challenge[21]獲獎作品進行比較分析，得出該方法在分析網絡安全數據上的優勢與不足，見圖6和表3。

邀請高校網絡管理人員(網絡安全專業人士) 6人和高年級計算機專業學生(普通用戶) 24人對輻狀節點鏈接圖進行試用和討論。大部分網絡管理人員認為輻狀節點鏈接圖在檢測網絡安全特別是信息表達的廣度和精確度較高；對比傳統的日志分析，有助于快速地將安全日志中的異常通過直觀圖像表現出來，節省大量的時間；使用可視化篩選，可有針對性地分析攻擊場景。所有人員認為輻狀節點鏈接圖的可視化展示能力比單一的節點鏈接圖和輻射圖有明顯優勢，主要表現在：

1) 比傳統節點鏈接圖有更寬的數據維度表現能力和更強的層次控制能力，特別是當數據維度較多時，用戶可以很直觀地區別數據類型與流向。

表3 獲獎作品比較

注：以上比較只針對IPS數據可視化。

2) 比輻射圖有更強的空間利用能力，圓中心的面積得到了較好利用。

3) 當數據量大時，可以方便地對圖形進行篩選和壓縮，特別是針對Dos攻擊這樣一些數據量劇增的場景，可以去除干擾因素，降低圖像密度，凸顯關注的對象。

4) 通過邊捆綁技術，能夠自然形成圖像聚集，便于分析和感知態勢。

同時，部分專業人士也提出了一些問題，如: 用圖像布局形成聚類有較大局限性，應結合其他的距離算法來顯示聚類更加有說服力；雖然相鄰2層節點連線控制較好，但對于某些場景，還是存在邊交錯問題；節點中glyph的顏色是否可用來展示更多的維度信息或攻擊的嚴重等級等。

(a) 力引導節點鏈接圖；(b) 輻射面板；(c) 圓形節點鏈接圖

6 結論

1) 本文將節點鏈接圖和輻狀圖相結合，著力解決傳統節點鏈接圖層次不清和輻狀圖中心空間浪費的問題，通過維度分層設計擴大可視化的數據容納量；通過改變鏈接圖的節點映射順序挖掘隱蔽信息和攻擊模式，通過可視化篩選降低圖像密度。

2) 提出將輻狀節點鏈接圖用于IPS網絡安全日志的可視化分析，針對IPS中數據大、維度多、變化快、信息隱蔽等特點，該圖能夠方便地展示寬數據維度，跟蹤數據流向，降低圖像密度，突出攻擊本質，輔助管理員快速取證和決策。

3) 今后，應繼續改進節點鏈接圖布局模式和聚合算法，使該可視化技術更具活力。

[1] 韋勇, 連一峰, 馮登國. 基于信息融合的網絡安全態勢評估模型[J]. 計算機研究與發展, 2009, 46(3): 353?362. WEI Yong, LIAN Yifeng, FENG Dengguo. A network security situational awareness model based on information fusion[J]. Journal of Computer Research and Development, 2009, 46(3): 353?362.

[2] ZHAO Ying, LIANG Xing, FAN Xiaoping, et al. MVSec: multi-perspective and deductive visual analytics on heterogeneous network security data[J]. Journal of Visualization, 2014, 17(3): 181?196.

[3] 趙穎, 樊曉平, 周芳芳, 等. 網絡安全數據可視化綜述[J]. 計算機輔助設計與圖形學學報, 2014, 26(5): 687?697. ZHAO Ying, FAN Xiaoping, ZHOU Fangfang, et al. A survey on network security data visualization[J]. Journal of Computer- Aided Design & Computer Graphics, 2014, 26(5): 687?697.

[4] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2011, 1(1): 1?19.

[5] HARRISON L, LU Aidong. The future of security visualization: lessons from network visualization[J]. IEEE Network, 2012, 26(6): 6?11.

[6] 王天佐, 王懷民, 劉波, 等. 僵尸網絡中的關鍵問題[J]. 計算機學報, 2012, 35(6): 1192?1208.WANG Tianzuo, WANG Huaimin, LIU Bo, et al. Some critical problems of botnets[J]. Chinese Journal of Computers, 2012, 35(6): 1192?1208.

[7] 葉云, 徐錫山, 齊治昌, 等. 大規模網絡中攻擊圖自動構建算法研究[J]. 計算機研究與發展, 2013, 50(10): 2133?2139. YE Yun, XU Xishan, QI Zhichang, et al. Attack graph generation algorithm for large-scale network system[J]. Journal of Computer Research and Development, 2013, 50(10): 2133?2139.

[8] 鄭皓, 陳石, 梁友. 關于“數字大炮”網絡攻擊方式及其防御措施的探討[J]. 計算機研究與發展, 2012(S2): 69?73. ZHENG Hao, CHEN Shi, LIANG You. How the cyber weapon “digital ordnance” works and its precautionary measures[J]. Journal of Computer Research and Development, 2012(S2): 69?73.

[9] MCGUFFIN M J. Simple algorithms for network visualization:a tutorial[J]. Tsinghua Science and Technology, 2012, 17(4): 383?398.

[10] TIAN Zhihong, JIANG Wei, LI Yan. A transductive scheme based inference techniques for network forensic analysis[J]. China Communications, 2015, 12(2): 167?176.

[11] HE Qinbin, CHEN Fangyue, CAI Shuiming, et al. An efficient range-free localization algorithm for wireless sensor networks[J]. Science China Technological Sciences, 2011, 54(5): 1053?1060.

[12] MANSMAN F, MEIER L, KEIM D A. Visualization of host behavior for network security[R]. VizSEC2007. Berlin, Heidelberg: Springer, 2008: 187?202.

[13] 楊彥波, 劉濱, 祁明月. 信息可視化研究綜述[J]. 河北科技大學學報, 2014, 35(1): 91?102.YANG Yanbo, LIU Bin, QI Mingyue. Review of information visualization[J]. Journal of Hebei University of Science and Technology, 2014, 35(1): 91?102.

[14] HUANG Weidong, HUANG Maolin, LIN Chuncheng. Aesthetic of angular resolution for node-link diagrams: validation and algorithm[C]// 2011 IEEE Symposium on Visual Languages and Human-Centric Computing (VL/HCC). Pittsburgh, PA, USA, 2011: 213?216.

[15] KIM K T, KO S, ELMQVIST N, et al. WordBridge: using composite tag clouds in node-link diagrams for visualizing content and relations in text corpora[C]// the 44th Hawaii International Conference on System Sciences. Kauai, Hawaii, USA, 2011: 1?8.

[16] WARE C, BOBROW R. Motion to support rapid interactive queries on node-link diagrams[J]. ACM Transactions on Applied Perception, 2004, 1(1): 3?18.

[17] PENG Dichao, LU Neng, CHEN Guangyu, et al. SideKnot: Edge bundling for uncovering relation patterns in graphs[J]. Tsinghua Science and Technology, 2012, 17(4): 399?408.

[18] 李志剛, 陳誼, 張鑫躍, 等. 一種基于力導向布局的層次結構可視化方法[J]. 計算機仿真, 2014, 3(3): 283?288. LI Zhigang, CHEN Yi, ZHANG Xinyue, et al. Hierarchical structure visualization methods research[J]. Computer Simulation, 2014, 3(3): 283?288.

[19] ZHOU Fangfang, SHI Ronghua, ZHAO Ying. NetSecRadar: a visualization system for network security situational awareness[C]// IEEE Conference on Visual Analytics Science and Technology (VAST 2012). Seattle, WA, USA: Springer International Publishing, 2013: 403?416.

[20] ROPINSKI T, OELTZE S, PREIM B. Survey of glyph-based visualization techniques for spatial multivariate medical data[J]. Computers & Graphics, 2011, 35(2): 392?401.

[21] HCIL.VAST challenge 2013 [EB/OL]. [2013?09?01]. http:// hcil2.cs.umd.edu/newvarepository/VASTChallenge2013/challenges/ MC3-Big Marketing/.

(編輯 陳燦華)

Research and application of radial node-link diagram in IPS log analysis

ZHANG Sheng1, 2, SHI Ronghua1, ZHAO Jue2

(1. School of Information Science and Engineering, Central South University, Changsha 410083, China;2. Modern Educational Technology Center, Hunan University of Commerce, Changsha 410205, China)

In order to improve the efficiency and accuracy of the intrusion prevention system (IPS) log analysis, a visualization analysis method was proposed based on node-link diagram. Aiming at solving the problems of node congestion, hierarchy confusion and wasted space in conventional node-link diagrams caused by the growth of data volume, a new visualization technique, i.e. radial node-link diagram was designed. The advantages of node-link diagram and radial diagram were integrated, in the environment of very large data, this technique can rationally arrange nodes to distinguish data dimensions, use visual filter to reduce image occlusion, improve the layout algorithm to make the best of the display area, and generate graph clustering. The VAST Challenge2013 competition data were analyzed. The results show that this new technology is useful to understand network situation and make according decisions. Compared with the award-winning programs, this visualization technology of radical node-link diagram also demonstrates better performance in displaying data dimensions and controlling the levels of operations.

node-link diagram; radial diagram; network security log; intrusion prevention system (IPS); visual analysis

10.11817/j.issn.1672-7207.2017.07.013

TP391

A

1672?7207(2017)07?1774?08

2016?09?10；

2016?11?20

國家自然科學基金資助項目(61402540) (Project(61402540) supported by the National Natural Science Foundation of China)

趙玨，副教授，從事網絡信息安全、計算機支持的協作學習、網絡軟件應用等研究；E-mail: 48209088@qq.com