基于可視分析的網(wǎng)絡(luò)異常檢測系統(tǒng)

張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

?

基于可視分析的網(wǎng)絡(luò)異常檢測系統(tǒng)

張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

（上海交通大學(xué)電子信息與電氣工程學(xué)院，上海 200240）

在網(wǎng)絡(luò)安全數(shù)據(jù)的規(guī)模和復(fù)雜度不斷攀升的今天，傳統(tǒng)可視化方法已不再適用?，F(xiàn)有的網(wǎng)絡(luò)安全可視化系統(tǒng)和方法仍具有缺陷，它們無法對網(wǎng)絡(luò)安全數(shù)據(jù)進行時序變化上的展示，在信息展示的完備性和用戶交互性上表現(xiàn)較差。針對現(xiàn)有方法的不足，設(shè)計了一種多視圖聯(lián)動的網(wǎng)絡(luò)安全可視化系統(tǒng)，將力導(dǎo)向模型和階段式動畫相結(jié)合，展示網(wǎng)絡(luò)靜態(tài)狀態(tài)和動態(tài)變化，提供協(xié)議、IP段、端口的展示與篩選功能，為使用者展示全面豐富的網(wǎng)絡(luò)數(shù)據(jù)。

信息可視化；網(wǎng)絡(luò)安全可視化；可視化系統(tǒng)；交互

1 引言

隨著互聯(lián)網(wǎng)的不斷普及與網(wǎng)絡(luò)通信技術(shù)的不斷進步，越來越多的網(wǎng)絡(luò)應(yīng)用應(yīng)運而生。從最初的計算機網(wǎng)絡(luò)只用于發(fā)送電子郵件或共享設(shè)備，到如今的銀行系統(tǒng)、行政管理系統(tǒng)甚至軍事系統(tǒng)紛紛實現(xiàn)電子信息化管理，人們生活世界中的各個方面正逐漸通過互聯(lián)網(wǎng)緊密地聯(lián)系在一起。然而，互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展，不可避免地導(dǎo)致各種網(wǎng)絡(luò)安全隱患和漏洞。針對這些漏洞的攻擊，可能造成個人隱私、財產(chǎn)的損失，以及導(dǎo)致重要公共設(shè)施體系的癱瘓、國家級別機關(guān)的損害，后果極其嚴重。因此，網(wǎng)絡(luò)安全已成為一個不可忽視的問題。

在網(wǎng)絡(luò)安全領(lǐng)域中，預(yù)防與探查網(wǎng)絡(luò)攻擊的一個主要方式為分析監(jiān)控設(shè)備產(chǎn)生的日志數(shù)據(jù)記錄。在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)與信息呈爆炸式增長，對海量日志數(shù)據(jù)的分析提出了更大的挑戰(zhàn)。首先，需要分析的日志數(shù)據(jù)來源多，構(gòu)成相異，數(shù)據(jù)規(guī)模成倍增長，同時日志文件多存在記錄不完整、缺乏必要字段等問題，日志的分析工作已然成為一大負擔(dān)；其次，分析人員往往局限于局部異常，難以掌握宏觀的網(wǎng)絡(luò)態(tài)勢；其三，網(wǎng)絡(luò)攻擊技術(shù)在不斷迭代更新，出現(xiàn)了許多新型的網(wǎng)絡(luò)攻擊手段，攻擊的復(fù)雜度也越來越高，導(dǎo)致傳統(tǒng)方法不再適用。

近年來，網(wǎng)絡(luò)安全自動化檢測技術(shù)不斷發(fā)展，減少了大量人力開支的同時也存在若干問題。一方面，訓(xùn)練數(shù)據(jù)規(guī)模帶來了巨大的存儲成本以及時間成本；另一方面，復(fù)雜的網(wǎng)絡(luò)環(huán)境和攻擊方式的隱蔽性導(dǎo)致不少漏報誤報。因此，需要將人員參與分析的過程中，做出更準確的判斷。

在此過程中，如何將海量繁雜的數(shù)據(jù)進行體系化、結(jié)構(gòu)化表示是一個關(guān)鍵性問題，網(wǎng)絡(luò)安全可視化這一交叉研究領(lǐng)域應(yīng)運而生。運用網(wǎng)絡(luò)安全可視化技術(shù)將抽象繁雜的數(shù)據(jù)映射為具象簡單的圖表，輔之以友好易用的交互功能，使網(wǎng)絡(luò)安全分析人員可以借助可視化系統(tǒng)直觀地分析數(shù)據(jù)中的聯(lián)系與異常，從而更加高效準確地發(fā)現(xiàn)數(shù)據(jù)中隱含的信息。這樣，便進一步提高了分析人員對繁雜日志數(shù)據(jù)的處理能力，更容易感知、分析和解決網(wǎng)絡(luò)安全問題，從而大大促進網(wǎng)絡(luò)安全保障工作。將網(wǎng)絡(luò)安全維護與可視化結(jié)合，猶如將人類視覺觀察與程序判斷結(jié)合；人類視覺觀察分析有所局限，程序判斷的結(jié)果也未必可靠直觀。但二者的結(jié)合彌補了各自的不足之處，開創(chuàng)出數(shù)據(jù)識別的新思路。

網(wǎng)絡(luò)安全可視化還是一個非常新的領(lǐng)域[1,2]。它研究的主要內(nèi)容為，如何通過對已有的通用型可視化方法進行調(diào)整，使之可以運用在網(wǎng)絡(luò)安全數(shù)據(jù)的可視化工作上。由于用戶的認知能力、偏好不盡相同，無法完全預(yù)測最終用戶將如何解讀其設(shè)計。但是通過對用戶需求和認知能力的調(diào)研，可以確定適當(dāng)?shù)恼故緝?nèi)容和相應(yīng)設(shè)計。網(wǎng)絡(luò)安全可視化將設(shè)計過程以用戶為核心，精心設(shè)計人機交互功能，盡可能直觀、完整地將信息傳遞給用戶。

在這一過程中，通常需要圍繞3個對象進行：網(wǎng)絡(luò)節(jié)點的拓撲結(jié)構(gòu)、節(jié)點間的通信情況以及節(jié)點內(nèi)端口的通信情況。針對這3個對象，需要解決以下4個問題：1) 如何在保持用戶心理印象的同時展示網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)變化；2) 如何將網(wǎng)絡(luò)結(jié)構(gòu)與通信情況緊密結(jié)合又使視圖不過于復(fù)雜；3) 在大量節(jié)點存在的情況下端口間的收發(fā)數(shù)據(jù)；4) 在直接應(yīng)用圖布局算法不夠理想的情況下，如何結(jié)合網(wǎng)絡(luò)拓撲數(shù)據(jù)的特性改進。

本文就IP地址之間的聯(lián)系與通信狀態(tài)數(shù)據(jù)，提出了一種可視化數(shù)據(jù)分析方案。從信息可視化方面著手，通過多種視圖對通信數(shù)據(jù)進行多方面、多角度的表征；同時為了便于可視化的實時分析，將這些視圖進行聯(lián)動，從而形成一個多維度交互的數(shù)據(jù)可視化系統(tǒng)。系統(tǒng)由以下3個視圖構(gòu)成：1) 基于階段式動畫的動態(tài)網(wǎng)絡(luò)；2) 包含IP樹和協(xié)議展示圈的協(xié)議圓周圖；3) 源?目的IP、端口散點圖。基于階段式動畫的動態(tài)網(wǎng)絡(luò)，在靜態(tài)時展示各個網(wǎng)絡(luò)節(jié)點之間的通信情況，包括節(jié)點通信相對密度，節(jié)點流量大小、輸入輸出情況等；在動態(tài)時展示各個連接的變化過程，從而有效地展現(xiàn)拓撲結(jié)構(gòu)的動態(tài)變化。協(xié)議圓周圖實時展示當(dāng)前網(wǎng)絡(luò)的協(xié)議分布情況、通信時間分布等信息以展現(xiàn)拓撲結(jié)構(gòu)上的通信變化。通信雙方IP、端口散點圖展示當(dāng)前網(wǎng)絡(luò)所有連接的IP、端口情況，通過交互詳細表現(xiàn)IP的異常情況。這3個視圖使用同一個時間軸對數(shù)據(jù)進行篩選，相互之間同步聯(lián)動，從而通過逐層篩選可以最終鎖定問題關(guān)鍵所在的各種信息。在主視圖的布局上，筆者在眾多力導(dǎo)向算法中選擇了最合適的FR（Fruchterman-Reingold）算法，并針對網(wǎng)絡(luò)數(shù)據(jù)的特點做了全局優(yōu)化，動畫上采用了精簡后的階段式動畫；在2個輔視圖中，協(xié)議圓周圖內(nèi)部的IP子樹彌補了主視圖中無法觀察節(jié)點之間、IP段關(guān)系的缺漏，外部的協(xié)議展示圈則提供該節(jié)點在一段時間的通信情況，給用戶一些綜合考慮的空間。IP端口散點圖展示了IP段之間、IP之間和端口之間的通信流量情況，采用一些針對性的優(yōu)化措施使整體更加易用。最后，將系統(tǒng)整體串聯(lián)起來的多視圖聯(lián)動功能和時間軸篩選功能，則通過將時間序列縮略圖和時間軸相結(jié)合，使整個系統(tǒng)可以滿足從概覽整體到探究細節(jié)的所有需求。

2 相關(guān)工作介紹

2.1 可視化在網(wǎng)絡(luò)安全中的應(yīng)用

2.1.1 網(wǎng)絡(luò)監(jiān)控

對主機的網(wǎng)絡(luò)監(jiān)控即對IP地址的監(jiān)控。IP地址有分段的特性，其中，當(dāng)前使用最廣的IPv4規(guī)定地址長度為32 bit，通常寫作A.B.C.D，4個用小數(shù)點分開的十進制數(shù)。由于IP地址眾多，如何進行取舍以達到比較好的可視化效果一直是學(xué)者努力的方向。IP矩陣[3]監(jiān)控的是某一特定AB網(wǎng)段下的主機事件，通過二維坐標定位。而針對端口的監(jiān)控（如PortVis[4]）同樣使用矩陣和顏色來映射所有的端口的流量情況。考慮到常用的端口并不多，可以將常用端口和非常用端口做區(qū)分， PortMatrix[5]將端口號分為4類，不常用的系統(tǒng)動態(tài)分配的端口被縮略展示。

2.1.2 異常檢測

網(wǎng)絡(luò)異常的范圍很廣，包括流量異常、越權(quán)訪問、設(shè)備失效等，其中，流量是異常檢測的主要監(jiān)控信息。對于流量異常的檢測方法，2.1.1節(jié)中基于IP地址和端口的監(jiān)控方案就可以勝任。此外也有許多其他的流量監(jiān)控方案，如文獻[5]采用基于熱力圖的流量監(jiān)控可視化系統(tǒng)。而Abdullah[6]采用一個基于時序的端口流量分組聚合分析的堆疊圖。

除了流量異常之外，主機、設(shè)備的突然失效也值得注意。節(jié)點連接圖是監(jiān)控網(wǎng)絡(luò)連接情況的常用可視化方案，具體實現(xiàn)時又分為主機位置固定和動態(tài)布局2種策略。

2.2 動態(tài)網(wǎng)絡(luò)中的時間編碼

對于動態(tài)網(wǎng)絡(luò)的表示方法，最常見的就是網(wǎng)格圖。任何靜態(tài)網(wǎng)絡(luò)可視化系統(tǒng)都可以用于在任意時間點生成當(dāng)前網(wǎng)絡(luò)的快照，這些快照可以使用表格進行顯示[7~9]。

2個或者更多網(wǎng)絡(luò)之間的差異圖可以直接比較網(wǎng)絡(luò)的時間步長，但單獨一個差異圖不足以探索長時間步長的序列[10~13]。顏色也被用于展示長期的變化，如文獻[14]中用顏色表示節(jié)點和連接在一個對整個網(wǎng)絡(luò)的簡單聚合圖中的首次出現(xiàn)。然而，這種方法很難對其他時間度量進行編碼。文獻[15,16]認為值通常是聚合的，而目標是提供一個單一的度量來描述整個動態(tài)變化，因此，省略關(guān)于各個時間點的信息。然而，單個圖像對時間變化顯示編碼的增強同時也增加了網(wǎng)絡(luò)表示的視覺復(fù)雜度[17]。

針對子圖在特定時間步長內(nèi)的連通性以及高維屬性顯示的問題，本系統(tǒng)提供了一致的視覺界面，結(jié)合了網(wǎng)格圖表的優(yōu)勢，提供一個總覽，幫助用戶將時間維度中的表示方式與差異圖像的顯式編碼以及動畫轉(zhuǎn)換的靈活性相結(jié)合。

2.3 動畫與時間導(dǎo)航

動畫作為一種向用戶展示界面變化的手段已經(jīng)在心理學(xué)[18,19]、人機交互[20]和信息可視化[21]中得到了廣泛的研究，且已被證明在統(tǒng)計信息圖像之間和多變量的散點圖之間[22]的切換以及突出顯示文本文檔的歷史修改記錄[23]中具有很好的效果。Heer等[22]也偏向于過程更長的動畫交互效果。Chevalier等[20]放棄分階段轉(zhuǎn)換從而縮短轉(zhuǎn)換時間，更說明動畫能夠有效利用短期記憶。

分階段的動畫也被用于可視化動態(tài)樹[24,25]，如在SpaceTree中擴展子樹時和探索樹隨時間的變化之時[26]。DOITrees[27]也因此使用動畫轉(zhuǎn)換，不同的是它并行運行不同類型的動畫（子樹擴展、布局適配）。

Eades等[28]第一次提出了動畫可以在瀏覽集群圖像時提高對變化的理解程度。Friedrich等[29,30]提出了用于可視化動態(tài)網(wǎng)絡(luò)中變化的若干轉(zhuǎn)化步驟。Brandes[31]則提出三階段轉(zhuǎn)換，但在實際轉(zhuǎn)換過程中很難跟蹤具體的變化。

綜上所述，動畫的許多重要方面尚未得到充分研究：步長、分階段、階段的排序，轉(zhuǎn)換圖形渲染方式等。需要更多涉及更高級任務(wù)、涵蓋更大數(shù)據(jù)集的實驗來更好地進行探索并找到有效支持動態(tài)網(wǎng)絡(luò)探索的交互技術(shù)。

2.4 動態(tài)網(wǎng)絡(luò)布局算法

動態(tài)網(wǎng)絡(luò)可視化的另一個關(guān)鍵是如何在每個時間步驟中布置網(wǎng)絡(luò)。Gephi采用的迭代布局求解器在用戶更改顯示的時間范圍時可以提供很好的連續(xù)性[32]。雖然這種方法在步驟之間提供了一些連續(xù)性，但是不夠穩(wěn)定，重新訪問之前某個時間段內(nèi)網(wǎng)絡(luò)狀態(tài)的任務(wù)很難完成。為了避免這些變化，TempoVis根據(jù)上一個時間步長的布局、步驟間節(jié)點顏色和位置的線性插值創(chuàng)建一個新的布局[33]。

雖然這種方法可以隨著時間推移對布局進行更大的改變，但Eades等認為它更利于全局布局的穩(wěn)定性，從而更好地保護用戶的心理圖[28]。Purchase和Samra的研究[34]表明，全局穩(wěn)定或局部優(yōu)化應(yīng)該是首選，而不是中間解決方案。Archambault等[35]比較了網(wǎng)格圖和動畫在保存心理圖上的優(yōu)劣，表明穩(wěn)定的布局不會提高性能。然而，在后來的研究中，Archambault和Purchase[36]表明，穩(wěn)定的布局能夠更好地支持網(wǎng)絡(luò)探索，這一發(fā)現(xiàn)得到了Ghani等另一項研究的證實。

這些實驗結(jié)果表明，具體的布局策略應(yīng)該根據(jù)用戶的具體情況進行權(quán)衡。在所有時間步驟中最穩(wěn)定的布局可能不適用于這些步驟中的任一步。針對每個時間步長優(yōu)化之后的布局在步驟之間可能非常不穩(wěn)定。關(guān)于布局算法的決策以及要使用的動畫類型高度依賴于用戶執(zhí)行的實際任務(wù)。雖然布局與本系統(tǒng)中的其他功能是正交的，但是所選擇的布局會強烈地影響其適當(dāng)?shù)氖褂茫斠?.2.1節(jié)。

3 可視化系統(tǒng)設(shè)計與實現(xiàn)

3.1 系統(tǒng)總覽

3.1.1 數(shù)據(jù)特征

本系統(tǒng)針對的數(shù)據(jù)集為含有源、目的IP，源、目的端口，傳輸協(xié)議等維度，以傳輸時間為軸的網(wǎng)絡(luò)流量數(shù)據(jù)。

圖1 系統(tǒng)總覽

3.1.2 系統(tǒng)簡介

由于數(shù)據(jù)量較大，本系統(tǒng)針對引言中提出的4個問題采用3個視圖解決，以展示數(shù)據(jù)集各個維度的信息，如圖1所示（見彩插頁9）。

為有效展現(xiàn)拓撲結(jié)構(gòu)的動態(tài)變化，主視圖采用基于階段式動畫的力導(dǎo)向動態(tài)網(wǎng)絡(luò)。靜態(tài)時展示了各個網(wǎng)絡(luò)節(jié)點之間的通信情況，包括節(jié)點通信相對密度，節(jié)點流量大小、輸入輸出情況等，當(dāng)視圖出現(xiàn)變化時，使用階段式動畫高亮新增的和消失的連接。其中，對于拓撲結(jié)構(gòu)的布局，本系統(tǒng)以Fruchterman-Reingold算法為基礎(chǔ)，針對網(wǎng)絡(luò)數(shù)據(jù)的特點做了全局優(yōu)化，使整體布局更加分散、易讀。

為將拓撲結(jié)構(gòu)以及通信變化聯(lián)系起來，圖1(b)采用協(xié)議圓周圖，具體展示了當(dāng)前網(wǎng)絡(luò)的協(xié)議分布情況。內(nèi)圈各個節(jié)點按照網(wǎng)段分布，并有線段指引到外圈。外圈切向為協(xié)議類別，徑向為協(xié)議時間分布情況，

通過節(jié)點與內(nèi)圈的連線可以展示該節(jié)點的通信協(xié)議類別、通信時間分布等信息。

因普通IP矩陣在點過多時無法清晰有效地顯示端口數(shù)據(jù)而傳達的信息量不夠，圖1(c)設(shè)計采用了源?目的IP散點圖和一個源?目的端口散點圖，展示了當(dāng)前網(wǎng)絡(luò)所有連接的IP、端口情況，并且使用顏色的深淺表示流量大小，顏色深的點流量較大。

3個視圖均使用一個時間軸對數(shù)據(jù)進行篩選，時間軸滑塊可以調(diào)整區(qū)間大小從而控制展示信息量，時間軸具有播放和暫停功能，方便瀏覽網(wǎng)絡(luò)動態(tài)變化。

同時，各個視圖均有交互功能且互相之間都有聯(lián)動，通過一步步篩選可以最終鎖定問題關(guān)鍵所在的各種信息。

3.2 基于階段式動畫的力導(dǎo)向動態(tài)網(wǎng)絡(luò)

3.2.1 動態(tài)網(wǎng)絡(luò)布局算法

1) 需求

對于一個網(wǎng)絡(luò)的監(jiān)控，即包括主機、端口、流量和協(xié)議的監(jiān)控，將對端口和協(xié)議的監(jiān)控置于輔視圖中展示，因此，動態(tài)網(wǎng)絡(luò)這個視圖中需要展示的是主機和通信流量的情況，2.1.1節(jié)中已經(jīng)提到了幾種基于主機監(jiān)控的可視化系統(tǒng)，然而不僅要體現(xiàn)主機的流量，還要展示出主機之間的通信流量大小，并且不能將主機簡單地分成諸如內(nèi)外網(wǎng)等幾類。因此，筆者決定采用節(jié)點連接圖進行展示，考慮到網(wǎng)絡(luò)可能分為幾個集群，最終采用了主機位置動態(tài)布局的方法，使用了力導(dǎo)向模型。考慮到大型網(wǎng)絡(luò)中難以對主機進行簡單的拓撲壓縮，筆者并未對網(wǎng)絡(luò)進行簡化，而是直接展示實際情況，這樣可以避免信息的遺漏。

2) 力導(dǎo)向模型

力導(dǎo)向模型的基本思想是，將圖形用一個物理系統(tǒng)模擬，每個節(jié)點都受到其他節(jié)點的拉力和斥力，在這種相互作用力之下整個系統(tǒng)達到平衡，節(jié)點不再震蕩保持靜止時，就獲得了合理的布局。

具體拉力和斥力的選擇，Eades在前人的基礎(chǔ)上提出了第一個力導(dǎo)向模型，他將網(wǎng)絡(luò)中的節(jié)點視作剛性的環(huán)，鏈接視作圓環(huán)間的彈簧，整個網(wǎng)絡(luò)就是一個彈簧系統(tǒng)。但是在實現(xiàn)上Eades并沒有遵照胡克定律，而是采用了自己的彈簧力公式。他的另一個不同于物理現(xiàn)實的地方在于力的作用方式：所有節(jié)點兩兩之間都有斥力，而拉力只存在于相鄰節(jié)點之間。這樣做降低了算法的復(fù)雜度，使計算拉力的復(fù)雜度降到了(||)，雖然計算斥力的復(fù)雜度依舊是(||2)。

Eades沒有采用胡克定律是因為它將節(jié)點之間的距離設(shè)置太大，Kamada和Kawai[37]則是改進了胡克定律，提出了KK模型。他們同樣將圖形視作彈簧系統(tǒng)，但是加入了一個理想距離的概念，2個節(jié)點的理想距離與它們之間的最短路徑長度相關(guān)。Kamada和Kawai將圖形的繪制視作一個降低整個彈簧系統(tǒng)總能量的過程，通過最小化系統(tǒng)能量，節(jié)點之間的距離會最接近與它的理想值。他們將系統(tǒng)能量定義為

其中，p為節(jié)點v對應(yīng)剛性圓環(huán)的位置，k為p和p之間的彈力系數(shù)，l為節(jié)點v和v之間的理想距離。

系統(tǒng)通過解偏微分方程獲取節(jié)點的新位置，并且僅通過移動使系統(tǒng)能量減少的節(jié)點來減少整體能量。這一過程重復(fù)進行直到系統(tǒng)能量達到預(yù)設(shè)閾值。KK模型跟Eades模型很大的一個不同在于一次只移動一個節(jié)點，這使每次只要計算一個節(jié)點對系統(tǒng)能量的貢獻，將算法的復(fù)雜度降到了(||)。

3) Fruchterman-Reingold算法

Fruchterman和Reingold對Eades的模型進行了改進。他們受到自然中電子斥力的啟發(fā)，將模型中節(jié)點之間的斥力用電子斥力進行模擬，定義2個節(jié)點之間的電子斥力為

其中，為電子力常數(shù)，可以看出2個節(jié)點的距離越小則相互之間斥力越大，這樣就解決了節(jié)點重疊的問題。當(dāng)然運動并未被完全模擬，力轉(zhuǎn)化的是速度而不是加速度，這是因為轉(zhuǎn)化加速度達到的是一個動態(tài)的平衡，而實際追求的是一個畫面上靜態(tài)的平衡。

每一個循環(huán)內(nèi)都有3步，計算每個節(jié)點受到的引力，計算每個節(jié)點受到的斥力，然后通過“溫度”限制總的移動距離。這個“溫度”是受到Davidson和Harel[38]的啟發(fā)引入冷卻函數(shù)模擬退火過程的控制變量。每一次迭代都將減小節(jié)點的最大移動距離，這樣可以使系統(tǒng)能量快速減小，從而減少布局時間。

將設(shè)置為節(jié)點之間的理想距離，即

其中，number of vertices為節(jié)點數(shù)量，area為面積，需要通過經(jīng)驗來驗證，式(1)基本的思想為希望所有的點在整個區(qū)域內(nèi)廣泛分布，那么就是理想節(jié)點周圍的空曠區(qū)域的半徑。如果用f表示引力，f表示斥力，表示2個節(jié)點之間的距離，那么

2個力隨距離的變化如圖2所示[39]，可以看到當(dāng)距離為理想距離時，二者正好互相抵消，引力和斥力函數(shù)是經(jīng)過一些實驗得來的，有一些其他的選擇，但是很容易囿于局部最小值。

另外，冷卻函數(shù)cool() =，其中，為冷卻系數(shù)，經(jīng)驗上設(shè)置為0.95可以達到比較好的效果。

圖2 引力斥力和2個節(jié)點距離函數(shù)

4) 針對網(wǎng)絡(luò)安全數(shù)據(jù)特性的改進

在使用FR算法布局大型網(wǎng)絡(luò)時發(fā)現(xiàn)了一些其他的問題，因為數(shù)據(jù)上顯示出網(wǎng)絡(luò)通信的一些特點：幾個流量特別大的節(jié)點周圍存在很多小節(jié)點，而流量特別大的節(jié)點之間通信也很頻繁，還有一些節(jié)點是脫離這些大節(jié)點而獨自存在的小點對。這就導(dǎo)致這些小點對被遠遠地排斥在外只留下中心節(jié)點，在展示區(qū)域有限的情況下將導(dǎo)致節(jié)點分布不均。為了解決這個問題，筆者給節(jié)點附加一個拉力權(quán)重W和一個斥力權(quán)重W。

其中，k和k分別為常系數(shù)，D為節(jié)點p的總連接數(shù)，max為所有節(jié)點的最大連接數(shù)。通過減少大流量節(jié)點之間的引力，加大它們之間的斥力，使大節(jié)點之間較普通節(jié)點更為分散。同時，減小孤立點對共同受到的中心節(jié)點的斥力，縮小中空區(qū)域，使整體布局更加分散、易讀。圖3（見彩插頁10）是改進前后的布局變化。

圖3 FR算法對布局的改進

3.2.2 階段式動畫

1) 需求

網(wǎng)絡(luò)安全數(shù)據(jù)是一個具有時序性的數(shù)據(jù)，2.3節(jié)中比較了網(wǎng)格圖和動畫在展示探索隨時間變化圖像的差異時的表現(xiàn)，雖然網(wǎng)格圖有準確、容易繪制等優(yōu)點，但考慮到本系統(tǒng)是運行在一個大小受限的頁面之上而復(fù)雜網(wǎng)絡(luò)的靜態(tài)圖像本來就已經(jīng)很大，若采用網(wǎng)格圖來展示變化，將會丟失很多數(shù)據(jù)上的細節(jié)，并且交互起來會非常不方便。因此本文決定用動畫展示。使用動畫展示圖形的差異也有很多設(shè)計方案可以選擇，涉及節(jié)點和邊的變化順序和變化方式等。最簡單的就是平行變換，將前后2張圖的所有差異進行一次性的轉(zhuǎn)化，這種變換方式的優(yōu)點在于非常節(jié)省播放動畫所需要的時間，從而達到快速瀏覽的目的。然而這在本系統(tǒng)中是不適用的，首先，復(fù)雜網(wǎng)絡(luò)由于本身含有的元素眾多，其產(chǎn)生的各種變化也非常多，過快地展示所有的變化給用戶帶來認知負擔(dān)，反而降低了可視化的效果。其次，對網(wǎng)絡(luò)的監(jiān)控不僅僅包括對當(dāng)前網(wǎng)絡(luò)主機通信情況的掌握，還包括網(wǎng)絡(luò)之中產(chǎn)生的諸多變化，如突然增多的流量、突然失效的設(shè)備等。因此，對網(wǎng)絡(luò)變化的展示與對當(dāng)前網(wǎng)絡(luò)狀態(tài)的展示同樣重要，比較之下，階段式動畫是一個很好的選擇，通過合理地分配圖像轉(zhuǎn)化階段，不僅可以使網(wǎng)絡(luò)狀態(tài)的變化躍然眼前，還可以維持用戶的心理圖，降低用戶的認知負擔(dān)。

2) 實現(xiàn)與改進

將動畫分為3個階段：

① 失效節(jié)點和邊的漸出與高亮；

②已有節(jié)點和邊的換位；

③新增節(jié)點和邊的漸進與高亮。

筆者認為這樣分配動畫較為合理，尤其對于動態(tài)網(wǎng)絡(luò)來說非常適用。新增節(jié)點和邊可以展示出突然增高的流量，或者新出現(xiàn)的掃描行為；已有節(jié)點和邊的換位展示的是已有鏈接的流量變化；失效節(jié)點和邊可以展示出突然失效的設(shè)備。這樣分開的展示可以使用戶不遺漏任何信息。

考慮到系統(tǒng)的實際情況，筆者最終沒有采用局部優(yōu)化的布局方式，理由為：局部優(yōu)化下的布局不具有整體性，對于存疑部分的網(wǎng)絡(luò)狀況有反復(fù)查看的需要，而局部優(yōu)化的算法布局會受到歷史操作記錄的影響。因此，最終選用了全局優(yōu)化的布局，前后視圖節(jié)點的位置并不會發(fā)生改變，這就不再需要動畫的第二步，并且也能夠給用戶提供良好的前后連貫性，保持心理圖。

圖4 階段式動畫

最終的動畫效果如圖4所示（見彩插頁11），分為兩步，失效的節(jié)點和邊采用藍色短暫持續(xù)的高亮邊緣漸出，短暫的間隔之后新增的節(jié)點和邊采用橙色短暫持續(xù)的高亮邊緣漸進。

3.3 協(xié)議圓周圖

3.3.1 簡述

本系統(tǒng)中使用的圓周圖是對文獻[40]中提到的雷達圖的實現(xiàn)與改進。筆者借用了其內(nèi)部展現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)，外部展現(xiàn)通信情況的思想，繪制了一個監(jiān)控網(wǎng)絡(luò)協(xié)議的圓周圖。整個圖分為2個部分，內(nèi)部為IP樹，外部為通信協(xié)議圈，如圖5所示（見彩插頁12）。

圖5 協(xié)議圓周圖

3.3.2 IP樹

圈的內(nèi)部是由IP網(wǎng)段組成的樹，每個葉子節(jié)點都是一個IP地址，除了根節(jié)點外，其他節(jié)點都代表了某個網(wǎng)段，數(shù)據(jù)結(jié)構(gòu)如圖6所示。

圖6 IP樹數(shù)據(jù)結(jié)構(gòu)

這樣分配IP地址的優(yōu)點在于，各個主機是否處在同一網(wǎng)段一目了然。由于主視圖采用了節(jié)點連接圖，并且連接展示的是節(jié)點之間的通信情況，沒辦法展示它們之間IP地址的關(guān)聯(lián)，所以在這里進行補充。將IP組織成這樣的網(wǎng)段樹，擁有相同父節(jié)點的IP都處于同一網(wǎng)段內(nèi)，即使數(shù)據(jù)量擴大，也能夠很快識別出各個IP之間的位置關(guān)系，為用戶的判斷提供幫助。

3.3.3 協(xié)議展示圖

外圈的協(xié)議展示圈是一個100×9的環(huán)形網(wǎng)格圖，用于展示當(dāng)前網(wǎng)絡(luò)通信的協(xié)議以及時間信息。圓環(huán)的切向為軸，表示的是協(xié)議的類型，最外層是具體協(xié)議類型示意，徑向為軸，表示的是通信的時間，越是靠內(nèi)的方格表示通信發(fā)生的時間越接近當(dāng)前選擇時間范圍的終止時間，即最靠近內(nèi)圈的方格表示該通信發(fā)生的時間為所選時間軸的末尾；越是靠外的方格表示通信發(fā)生的時間越接近當(dāng)前選擇時間范圍的起始時間，即最靠近最外圈的方格表示該通信發(fā)生的時間為所選時間軸的起始。通過展示通信的時間，可以發(fā)現(xiàn)某個IP的歷史行為而不用通過切換已選擇的時間區(qū)間長度進行觀察，從而幫助分析人員更快找到異常行為。

內(nèi)外圈通過與協(xié)議提示顏色相同的連線將IP樹中的節(jié)點與外圈方格相連，這樣，顏色的一致性也方便觀察某些節(jié)點通信協(xié)議的規(guī)律。

需要注意的是，由于展示的空間有限，當(dāng)數(shù)據(jù)規(guī)模過大時可能無法容納，為了解決這個問題將展示的數(shù)據(jù)進行了預(yù)處理。受到外圈規(guī)模限制，傳入的數(shù)據(jù)較多時預(yù)處理程序?qū)⒏鶕?jù)通信量、發(fā)生時間、該協(xié)議的占用情況等自動篩選出一部分數(shù)據(jù)進行展示，因此一些數(shù)據(jù)可能會被遺漏。若是不想程序進行篩選，可以將時間篩選長度減小，從而減少需要展示的數(shù)據(jù)。

3.3.4 交互

筆者通過給線段和方格賦予不同的顏色來區(qū)分通信的協(xié)議，這么做有一個缺陷，即數(shù)據(jù)量增多的時候，畫面中會出現(xiàn)大量的連線和方格，降低可視效果。同時，多視圖聯(lián)動的意義在于可以對數(shù)據(jù)進行篩選，因此本視圖中的交互也是必不可少的。

首先，為了讓使用者能夠在信息繁多的情況下定位到自己需要的IP、通信情況等數(shù)據(jù)，本文在對線段、節(jié)點、方塊的交互上添加了以下功能。

1) 當(dāng)用戶的鼠標移經(jīng)某個IP地址的節(jié)點時，將該節(jié)點以及與該節(jié)點相連的通信信息高亮，并同時淡化其他所有數(shù)據(jù)。

2) 當(dāng)用戶的鼠標移經(jīng)某個連線或方格時，僅高亮該條通信的信息而淡化其他所有數(shù)據(jù)。

3) 考慮到用戶可能希望保留若干條自己已經(jīng)看過的數(shù)據(jù)，保持它們的高亮，也增加了對于鼠標單擊事件的響應(yīng)：當(dāng)用戶鼠標單擊圖上的數(shù)據(jù)時，鎖定該數(shù)據(jù)的高亮，鼠標移開也不會被淡化，同樣按住ctrl鍵單擊為多選，shift單擊為取消選擇。當(dāng)用戶選中需要的數(shù)據(jù)后，其他用戶不關(guān)心的“無用”數(shù)據(jù)都將淡化融入背景中，只顯示需要的數(shù)據(jù)。

本視圖主要展示了通信數(shù)據(jù)中的協(xié)議信息，同時具有對通信數(shù)據(jù)的協(xié)議篩選功能。通過單擊最外圈的協(xié)議標注圓環(huán)，可以通過單擊選中某個協(xié)議，同樣也是按住ctrl單擊進行多選，按住shift單擊取消選擇，如圖7所示（見彩插頁12）。

圖7 協(xié)議篩選

通過篩選出用戶需要的協(xié)議再加上與其他視圖的聯(lián)動可以幫助發(fā)現(xiàn)某些特定的網(wǎng)絡(luò)異常，如判斷洪泛的類型等。通過過濾噪聲，也能夠更好地分析數(shù)據(jù)特征。

3.4 IP、端口散點圖

3.4.1 源?目的IP散點圖

用戶往往并不關(guān)心全局的通信情況，他們大多只想知道特定網(wǎng)段的情況，而其他網(wǎng)段的IP地址及其通信情況與他們無關(guān)。因此筆者決定分網(wǎng)段展示散點圖，這樣橫縱坐標軸的范圍就能縮減到0~255。IP地址寫作a.b.c.d這4段的話，散點圖的初始界面展示的是a段的通信情況，在(,)位置有藍點則說明在以為首段的IP地址和以為首段的IP地址之間存在通信。用戶要是想查看特定a網(wǎng)段之間的通信數(shù)據(jù)，在單擊之后可以看到b網(wǎng)段的對應(yīng)情況，以此類推，最終可以看到任意IP網(wǎng)段或地址之間的通信情況。

僅僅這樣處理只是解決了點過多的問題，但是整張圖的信息量太少了，只是知道此處有通信，流量多少卻毫無概念。為了完善這一視圖，使之達到更好的效果，將每個點的流量情況用透明度進行反饋，展示的是IP網(wǎng)段之間的通信時，顏色深淺是統(tǒng)計好的數(shù)據(jù)。這樣，用戶能夠輕松在散點圖上獲知網(wǎng)段流量，而且流量熱點之處非常醒目，如圖8所示（見彩插頁12）。

圖8 IP散點圖

3.4.2 源?目的端口散點圖

計算機網(wǎng)絡(luò)共有65 535個端口，因此將其一次性展示也不會過于麻煩，筆者依舊對端口流量進行了統(tǒng)計，使用顏色的深淺表示流量的大小。不過端口需要注意的一點是，平時經(jīng)常使用的端口在10000以下，比較有監(jiān)聽意義的大多在1000以下，因此需要更多地關(guān)注較小的端口號，而那些超過10000的端口被認為是系統(tǒng)自動分配的一些隨機端口，可以少一點關(guān)注。

3.5 多視圖聯(lián)動

3.5.1 各視圖交互方式

主視圖提供的交互方式包括：用戶自定義篩選節(jié)點，縮放、拖動平移畫面。其中，篩選節(jié)點會對另外2個視圖產(chǎn)生影響。

協(xié)議圓周圖提供的交互方式包括用戶自定義篩選某一則通信數(shù)據(jù)和篩選某些協(xié)議的通信數(shù)據(jù)，均會對另外2個視圖產(chǎn)生影響。

IP/端口散點圖提供的交互方式包括用戶自定義篩選IP網(wǎng)段內(nèi)通信和用戶自定義篩選對應(yīng)端口通信，同樣均會對另外2個視圖產(chǎn)生影響。

3.5.2 多視圖的篩選與聯(lián)動

3個視圖同時既有信息展示、傳達的功能，又有篩選、探索的功能，不管對哪一個視圖進行操作，都將獲得統(tǒng)一一個整體的展示，這使信息的獲取沒有延遲，不需要額外的操作確認信息是否一致，更加便于分析網(wǎng)絡(luò)狀態(tài)，檢測網(wǎng)絡(luò)異常。

3.5.3 時間軸

對于一份時序的數(shù)據(jù)來說，時間軸是一個非常重要的部分，2.2節(jié)探討了一些動態(tài)網(wǎng)絡(luò)中的時間編碼問題，時間序列圖依舊有非常大的局限性，但是可以將它補充完整。本文最終使用了帶有縮略圖預(yù)覽的時間軸，如圖9所示（見彩插頁12）。

圖9中上部為時間軸，具有一個可以調(diào)節(jié)時間間隔的播放滑塊，當(dāng)前展現(xiàn)的網(wǎng)絡(luò)狀態(tài)即為該滑塊所確定的起止時間下的網(wǎng)絡(luò)狀態(tài)。下部為由縮略圖組成的時間序列圖，這些給定時間段內(nèi)的布局很好地展示了網(wǎng)絡(luò)的變化過程，筆者用橙藍兩色分別表示消失和新增的節(jié)點與邊，使前后時間片段的網(wǎng)絡(luò)差異更加明顯。當(dāng)然，時間序列圖支持交互，它與時間軸是完全同步的，高亮的那一幀即為距離當(dāng)前所選最近的一幀。也可以通過單擊時間序列圖進行跳轉(zhuǎn)。縮略圖顯示的內(nèi)容也可以選擇，用戶可以只看新增的部分或只看消失的部分。

這樣的設(shè)計主要有2個考慮：一是完全使用時間序列圖并不能滿足探索細節(jié)的需求，而且在數(shù)據(jù)量大時要顯示所有時間序列圖較為困難；二是只有時間軸也是不夠的，通過播放動畫來了解整體的變化有時并不是用戶需要的，在任務(wù)簡單易行需要快速完成的時候，一個縮略圖就可以達到很好的效果。綜上所述，二者相輔相成，組合在一起提供了非常友好的體驗。

4 案例分析

圖9 時間軸

4.1 數(shù)據(jù)集

本次案例分析使用的數(shù)據(jù)集為上海市城域網(wǎng)運行安全實時監(jiān)測元數(shù)據(jù)樣本，數(shù)據(jù)截取時間為2016年5月，數(shù)據(jù)經(jīng)過了范式化處理后記錄的數(shù)據(jù)。

數(shù)據(jù)總共含有3 000條，每一條包含源、目的IP，源、目的端口，協(xié)議和接收時間等信息。協(xié)議大體上分為IMAP、SMB、ARP、ICMP、TCP、UDP、HTTP這7類，一些只出現(xiàn)了一兩次的協(xié)議并未被展示出來。

4.2 網(wǎng)絡(luò)監(jiān)控

本系統(tǒng)的第一個應(yīng)用場景即為對網(wǎng)絡(luò)狀態(tài)的實時監(jiān)控，通過將各種網(wǎng)絡(luò)監(jiān)控設(shè)備生成的日志文件導(dǎo)入可以將當(dāng)前設(shè)備所捕捉到的網(wǎng)絡(luò)通信進行可視化處理，對當(dāng)前網(wǎng)絡(luò)的運行狀況、流量情況、通信協(xié)議情況都能很好地掌握。

筆者用上海市城域網(wǎng)運行安全實時監(jiān)測元數(shù)據(jù)樣本進行模擬分析。數(shù)據(jù)載入時系統(tǒng)顯示的是最初始一段時長間隔的網(wǎng)絡(luò)狀態(tài)，可以從歷史記錄框中知道這是2016年5月3日09時14分44秒到53秒的通信數(shù)據(jù)。在這數(shù)秒之中，從圖10（見彩插頁13）中可以觀察到這個網(wǎng)絡(luò)的幾個特征：首先，圖中有十余個半徑較大的綠色圓點，這些流量較大的原點很可能是某些服務(wù)器或者正在掃描網(wǎng)絡(luò)的可疑主機；其次，綠色圓點互相之間也有通信，部分甚至在進行了特殊處理之后也相隔很近，這些節(jié)點可能是某些郵件服務(wù)器，也可能是一些聊天軟件的緩存服務(wù)器，如果需要進一步地判斷，可以單擊之后觀察分析通信協(xié)議。余下的一些兩兩之間的通信散布在畫面的邊緣，這些流量較小的節(jié)點可以不用太在意，通常是一些正常連接。

除了主視圖外，對于輔視圖的觀察也能補充一些信息，通過協(xié)議圓周圖可以發(fā)現(xiàn)此時網(wǎng)絡(luò)中的協(xié)議分布情況。這一時間段中一共出現(xiàn)了6種主要協(xié)議，其中大部分是HTTP。這也符合人們?nèi)粘Ｊ褂玫那闆r，絕大部分網(wǎng)頁訪問都是通過HTTP達成的。如果需要觀察某協(xié)議的網(wǎng)絡(luò)通信情況，可以在協(xié)議圓周圖中進行篩選，這樣就可以在主視圖中進行進一步的觀察。

在IP、端口散點圖中，也能獲取一些關(guān)于網(wǎng)絡(luò)狀態(tài)的信息。IP散點圖中，源IP的規(guī)律非常明顯，散點構(gòu)成的幾條豎線在首部為10、58、100、120、180、200、220附近聚集，橫向的坐標受空間限制不太容易觀察，按照推測也應(yīng)該在這些值附近聚集。由此可知，這份數(shù)據(jù)包含的a網(wǎng)段主要就是這些。端口散點圖中有大量深色點聚集在坐標軸附近，將鼠標懸停在點上可以獲得具體端口號。簡單查看之后發(fā)現(xiàn)聚集在坐標軸上的點其源端口或目的端口多為80、135、445等值。同時也能發(fā)現(xiàn)聚集在軸靠右的點較聚集在軸靠上的點顏色深，這意味著以30000以后的端口號作源端口號的較以之為目的端口號的更多，這也符合大于30000的端口號多是系統(tǒng)自動生成的猜想。大量系統(tǒng)自動生成的端口號向某一固定端口發(fā)送報文，這很像是對某服務(wù)器的大量訪問產(chǎn)生的模式特征。

圖10 系統(tǒng)初始界面

接下來，可以開始觀察網(wǎng)絡(luò)狀態(tài)隨時間變化的情況，首先可以通過時間軸下的縮略圖進行概覽，有些非常明顯的變化有時可以直接從縮略圖中獲得。如圖10中的時間軸縮略圖表所示，藍色的點線為與上一縮略圖相比失效的節(jié)點和連接，大量失效的連接伴隨著的失效節(jié)點可以很容易地被發(fā)現(xiàn)，直接單擊縮略圖就可以直接查看當(dāng)時的網(wǎng)絡(luò)變化情況。圖11（見彩插頁14）為圖10的縮略圖列表中的第三張，其中出現(xiàn)了與同一節(jié)點相連的大量連接，而在下一張縮略圖中隨即消失，單擊之后就能切換到該時間片段，如果需要返回當(dāng)前訪問，可以通過右上角的歷史記錄框返回之前的時間片段。

圖11 可疑節(jié)點

如果需要系統(tǒng)地瀏覽網(wǎng)絡(luò)變化，可以按下播放鍵，時間軸上的滑塊會自動向右移動，一步一步展示網(wǎng)絡(luò)狀態(tài)的變化。通過階段式動畫，失效的連接和節(jié)點與新增的連接和節(jié)點被分開展示，失效主機和需要重視的大量新增連接都得到突出顯示。在發(fā)現(xiàn)感興趣的部分時，單擊暫停鍵，再進行進一步的分析。

4.3 異常檢測

圖10中有一個綠色節(jié)點周圍有非常緊密的僅接收信息的主機，由此可以單擊該點進行進一步的觀察，如圖12(a)所示（見彩插頁14）。單擊該綠色節(jié)點之后出現(xiàn)了一個非常有意思的現(xiàn)象，通過圖12(b)所示的協(xié)議圓周圖發(fā)現(xiàn)該主機發(fā)出的通信全部都是UDP的，這對一般的主機并不常見，因為正常的網(wǎng)絡(luò)訪問多是使用TCP/HTTP，同時從IP樹中發(fā)現(xiàn)大多數(shù)通信目的IP都非?？拷?，這意味著它們IP地址的a、b、c段都完全相同，即它們很可能處在同一個子網(wǎng)中。

把目光移向另一個輔視圖（如圖12(c)所示），IP、端口散點圖，在這里看到相關(guān)IP的分布。散點圖中有2個點，它們目的IP的a段完全相同，只是源IP的a段有差異，可以看到左邊的點顏色較深，統(tǒng)計下一階段的流量較大，而右邊的點顏色較淺，流量較小，再注意到圖中不僅有一個數(shù)據(jù)收發(fā)方，可以猜測右邊的點是由除選中點之外的2個綠色節(jié)點發(fā)出的。通過進一步單擊左邊這個點，可以一步步探索具體通信發(fā)生的源、目的IP的分布。鎖定這一網(wǎng)絡(luò)異常涉及的網(wǎng)段和IP。再觀察源、目的端口圖，發(fā)現(xiàn)源端口在30000附近密集分布，而目的端口均為445。

圖12 大量UDP 445端口連接

445端口是一個特殊的端口，Windows開啟這個端口的本意是在局域網(wǎng)中提供共享本地文件、操作打印機等正常功能。然而由于空會話的存在，445成為了一個經(jīng)典的病毒入侵的端口，大量發(fā)往445端口的通信請求很可能是蠕蟲病毒正在傳播。因此這個端口值得關(guān)注。

鎖定UDP下的這些異常后再確認一下這個節(jié)點有沒有“同伙”，即同樣在傳播蠕蟲病毒的主機，這時候取消當(dāng)前的節(jié)點選擇，改為只選擇UDP。如圖13所示（見彩插頁15），再通過查找端口散點圖中目的端口為445的點就可以確定圖中高亮的節(jié)點是否是異常點。

5 結(jié)束語

在信息技術(shù)和計算機網(wǎng)絡(luò)不斷發(fā)展的今天，網(wǎng)絡(luò)安全數(shù)據(jù)的規(guī)模和復(fù)雜度不斷攀升，傳統(tǒng)的可視化系統(tǒng)和方法已不再適用于網(wǎng)絡(luò)安全大數(shù)據(jù)。在此背景下，網(wǎng)絡(luò)安全可視化成為了一個新興的研究領(lǐng)域，它對現(xiàn)有方法進行改造和重組，使之能適應(yīng)網(wǎng)絡(luò)安全領(lǐng)域，并針對網(wǎng)絡(luò)安全分析的特點設(shè)計交互功能，輔助網(wǎng)絡(luò)安全分析人員的研究分析工作?，F(xiàn)有的網(wǎng)絡(luò)安全可視化系統(tǒng)和方法仍具有缺陷，它們無法對網(wǎng)絡(luò)安全數(shù)據(jù)進行時序變化上的展示，在信息展示的完備性和用戶交互性上表現(xiàn)較差。針對現(xiàn)有方法的不足，本文設(shè)計了一種多視圖聯(lián)動的網(wǎng)絡(luò)安全可視化系統(tǒng)，將力導(dǎo)向模型和階段式動畫相結(jié)合，如圖14所示（見彩插頁16），展示網(wǎng)絡(luò)靜態(tài)狀態(tài)和動態(tài)變化，提供協(xié)議、IP段、端口的展示與篩選的功能，為使用者展示全面豐富的網(wǎng)絡(luò)數(shù)據(jù)，實現(xiàn)用戶友好的交互功能。本文使用上海市城域網(wǎng)數(shù)據(jù)集進行實驗，通過案例分析展示系統(tǒng)功能。

圖13 篩選UDP

圖14 網(wǎng)絡(luò)動態(tài)變化的異常檢測

本文工作雖然已經(jīng)可以很好地滿足網(wǎng)絡(luò)分析的需求，但是還有很多方向可以進行優(yōu)化。在未來的研究工作中，將從以下幾個方面著手。

1) 優(yōu)化布局算法，降低算法復(fù)雜度，以滿足實時生成的流式數(shù)據(jù)規(guī)模。

2) 實現(xiàn)復(fù)現(xiàn)功能。全局統(tǒng)一的力導(dǎo)向布局可能不適用于某些場景，需要引入新的帶有復(fù)現(xiàn)能力的局部優(yōu)化算法。為了完善優(yōu)化系統(tǒng)在更大數(shù)據(jù)量的數(shù)據(jù)集下的表現(xiàn)，可以綜合運用一些簡化圖像的辦法，如實現(xiàn)通過交互可以束攏展開的圖壓縮節(jié)點連接圖。

3) 用戶體驗優(yōu)化。將時間序列圖隱藏在時間軸之中，當(dāng)鼠標移到時間軸上的呈現(xiàn)“放大鏡”效果。

[1] CONTI G. Security data visualization[M]. No Starch Press, 2007.

[2] MARTY R. Applied security visualization[M]. Addison-Wesley Professional, 2009.

[3] KOIKE H, OHNO K, KOIZUMI K. Visualizing cyber attacks using IP Matrix[C]// IEEE,Visualization for Computer Security. 2005: 91-98.

[4] MCPHERSON J, MA K L, KRYSTOSK P, et al. PortVis: a tool for port-based detection of security events[C]//ACM Workshop on Visualization and Data Mining for Computer Security. 2004:73-81.

[5] ZHAO Y. MVSec: a novel multi-view visualization system for network security[D] Changsha: Central South University, 2013.

[6] ABDULLAH K, LEE C P, CONTI G, et al. Visualizing network data for intrusion detection[C]//The Sixth IEEE SMC Information Assurance Workshop. 2005:100-108.

[7] POHL M, REITZ F, BIRKE P. As time goes by: integrated visualization and analysis of dynamic networks[C]//ACM Working Conference on Advanced Visual Interfaces. 2008:372-375.

[8] FEDERICO P, AIGNER W, MIKSCH S, et al. A visual analytics approach to dynamic social networks[C]//The International Conference on Knowledge Management and Knowledge Technologies. 2011:1-8.

[9] FARRUGIA M, HURLEY N, QUIGLEY A. Exploring temporal ego networks using small multiples and treering layouts[C]//The Fourth International Conference on Advances in Computer-Human Interactions. 2011:79-88.

[10] ANDREWS K, WOHLFAHRT M, WURZINGER G. Visual graph comparison[C]//IEEE International Conference on Information Visualisation. 2009:62-67.

[11] ALPER B, BACH B, RICHE N H, et al. Weighted graph comparison techniques for brain connectivity analysis[C]//Sigchi Conference on Human Factors in Computing Systems. 2013:483-492.

[12] DRAGICEVIC P. Interactive graph matching and visual comparison of graphs and clustered graphs[C]//The International Working Conference on Advanced Visual Interfaces. 2012:522-529.

[13] COLLBERG C, KOBOUROV S, NAGRA J, et al. A system for graph-based visualization of the evolution of software[C]//ACM Symposium on Software Visualization. ACM, 2003:77-ff.

[14] LERMAN K, GHOSH R, KANG J H. Centrality metric for dynamic networks[C]//KDD Workshop on Mining and Learning with Graphs. 2010:70-77.

[15] FEDERICO P, PFEFFER J, AIGNER W, et al. Visual analysis of dynamic networks using change centrality[C]//The International Conference on Advances in Social Networks Analysis and Mining. 2012:179-183.

[16] DWYER T, EADES P. Visualising a fund manager flow graph with columns and worms[C]//The International Conference on Information Visualisation. 2002:147-152.

[17] BRANDES U, CORMAN S R. Visual unrolling of network evolution and the analysis of dynamic discourse[C]// IEEE Symposium on Information Visualization. 2002:145-151.

[18] TVERSKY B, MORRISON J B, BETRANCOURT M. Animation: can it facilitate?[J]. International Journal of Human-Computer Studies, 2002, 57(4):247-262.

[19] SHANMUGASUNDARAM M, IRANI P. The effect of animated transitions in zooming interfaces[C]// ACM Working Conference on Advanced Visual Interfaces. 2008:396-399.

[20] CHEVALIER F, DRAGICEVIC P, BEZERIANOS A, et al. Using text animated transitions to support navigation in document histories[C]//The International Conference on Human Factors in Computing Systems. 2010:683-692.

[21] HEER J, ROBERTSON G G. Animated transitions in statistical data graphics[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(6):1240-1247.

[22] BEZERIANOS A, CHEVALIER F, DRAGICEVIC P, et al. GraphDice: a system for exploring multivariate social networks[J]. Computer Graphics Forum, 2010, 29(3):863–872.

[23] HEER, JEFFREY, STUART K, et al. Prefuse: a toolkit for interactive in-formation visualization[J]. Proc Chi, 2015, 37(4):421-430.

[24] YEE, PING K, Animated exploration of dynamic graphs with radial layout[C]//IEEE Symposium on Information Visualization. 2002: 43-50.

[25] GUILMAINE D, VIAU C, MCGUFFIN M J. Hierarchically animated transitions in visualizations of tree structures[C]//The 2012 International Conference on Advanced Visual Interfaces. 2012: 514-521.

[26] CARD S K, SUH B, PENDLETON B A, et al. Time tree: exploring time changing hierarchies[C]//2006 IEEE Symposium On Visual Analytics Science And Technology. 2006:3-10.

[27] HEER J, CARD S K. DOITrees revisited:scalable, space-constrained visualization of hierarchical data[C]//Working Conference on Advanced Visual Interfaces(AVI 2004). 2004: 421-424.

[28] EADES P, HUANG M L. Navigating clustered graphs using force-directed methods[M]// Graph Algorithms And Applications 2. 2000:191-215.

[29] FRIEDRICH C, EADES P. The marey graph animation tool demo[J]. Lecture Notes in Computer Science, 2001, 1984(1984): 396-406.

[30] FRIEDRICH C, HOULE M E. Graph drawing in motion[C]//The International Symposium on Graph Drawing. 2001:220-231.

[31] BRANDES U, WAGNER D. Analysis and visualization of social networks[M]// Drawing Software, Mathematics and Visualization. Berlin: Springer. 2004: 321-340.

[32] BASTIAN M, HEYMANN S, JACOMY M. Gephi: an open source software for exploring and manipulating networks[C]//The Third International Aaai Conference On Weblogs And Social Media. 2009.

[33] AHN J W, TAIEB-MAIMON M, SOPAN A, et al. Temporal visualization of social network dynamics: prototypes for nation of neighbors[C]//The International Conference on Social Computing, Behavioral-Cultural Modeling and Prediction. 2008:309-316.

[34] PURCHASE H C, SAMRA A. Extremes are better: investigating mental map preservation in dynamic graphs[C]//The International Conference on Theory and Application of Diagrams. 2008:60-73.

[35] ARCHAMBAULT D, MUNZNER T, AUBER D. TopoLayout: multilevel graph layout by topological features[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(2):305.

[36] ARCHAMBAULT D, PURCHASE H, PINAUD B. Animation, small multiples, and the effect of mental map preservation in dynamic graphs[J]. IEEE Transactions on Visualization & Computer Graphics, 2011, 17(4):539-552.

[37] KAMADA T, KAWAI S. An algorithm for drawing general undirected graphs[J]. Information Processing Letters, 1989, 31(1):7-15.

[38] DAVIDSON R, HAREL D. Drawing graphs nicely using simulated an-nealing[J]. ACM Trans Graphics, 1996, 15(4):301-331.

[39] FRUCHTERMAN T M J, REINGOLD E M. Graph drawing by force-directed placement[J]. Software Practice & Experience, 1991, 21(11):1129-1164.

[40] FORESTI S, AGUTTER J, LIVNAT Y, et al. Visual correlation of network alerts[J]. IEEE Computer Graphics & Applications, 2006, 26(2):48-59.

System detecting network anomaly with visualization techniques

ZHANG Haocheng, WU Xiaojie, TANG Xiang, SHU Runxuan, DING Tianchen, DONG Xiaoju

School of Electronic Information and Electrical Engineering, Shanghai Jiaotong University, Shanghai 200240, China

With the fast development of information technology and computer network, the scale and complexity of network security data grows rapidly. Traditional visualization techniques are no longer suitable. In addition, it designs interactive functions based on the feature of network security analysis, in order to assist the network security analyst. The existing approaches for network security visualization have some defects, which fail to provide a good indication of network security data in terms of timing and also fail to display information completely and realize user-friendly interaction. A multi-view network security visualization system was proposed, which provided the analysts of both the static status and dynamic changes of the network by combining the force-oriented model and the staged animation. It provides comprehensive information with display and filter of protocols, IP segment and port. The system on Shanghai Network database were evaluated.

information visualization, network security visualization, visualization system, interaction

TP393.08

A

10.11959/j.issn.2096-109x.2018015

張浩城（1993-），男，上海人，上海交通大學(xué)碩士生，主要研究方向為可視化與可視分析。

吳曉潔（1995-），女，江西信豐人，上海交通大學(xué)本科生，主要研究方向為可視化與可視分析。

唐翔（1992-），男，江蘇揚州人，上海交通大學(xué)碩士生，主要研究方向為可視化與可視分析。

舒潤萱（1997-），男，吉林吉林人，上海交通大學(xué)本科生，主要研究方向為可視化與可視分析。

丁天琛（1996-），男，上海人，上海交通大學(xué)本科生，主要研究方向為可視化與可視分析。

董笑菊（1975-），女，吉林公主嶺人，博士，上海交通大學(xué)副教授，主要研究方向為可視化與可視分析、形式化方法。

2017-12-26；

2018-01-30

董笑菊，xjdong@sjtu.edu.cn

國家自然科學(xué)基金資助項目（No.61472238, No.61772336, No.61572318）

The National Nature Science Foundation of China (No.61472238, No.61772336, No.61572318)