網絡安全日志可視化分析研究進展*

張 勝，趙 玨，陳榮元

1.湖南商學院 大數據與互聯網創新研究院，長沙 410205

2.中南大學 信息科學與工程學院，長沙 410083

3.國防科技大學 計算機學院，長沙 410073

1 引言

近年來，隨著計算機網絡規模不斷擴大，信息高速公路不斷提速以及網絡應用的不斷增加，網絡安全面臨著越來越嚴峻的考驗。特別是進入“大數據”時代以來，網絡攻擊呈現出大數據的“3 V”甚至“多V”特征：攻擊規模越來越大（Volume），如分布式拒絕服務（distributed denial of service，DDoS）攻擊，常常可以發動成千上萬的設備同時攻擊一臺主機；攻擊類型越來越多（Variety），新的攻擊模式和病毒木馬的變種讓人防不勝防；攻擊變化越來越快（Velocity），如一次有預謀的網絡攻擊往往包含多個步驟和多種應變的方案。縱觀我國互聯網網絡安全態勢，網絡安全問題不斷攀升，主要表現為：網絡基礎設施面臨嚴峻挑戰；網站被植入后門、網頁仿冒事件等隱蔽性攻擊事件呈增長態勢，網站用戶信息成為黑客竊取的重點；拒絕服務攻擊仍然是嚴重影響我國互聯網運行安全最主要的威脅之一，針對我國重要信息系統的高級持續性威脅（advanced persistent threat，APT）形勢嚴峻[1]。橫觀世界各國情況，以亞太地區為例，情況驚人的類似，網站的篡改、仿冒，病毒、木馬、惡意程序的感染，高等級網絡入侵、攻擊等成為主要問題[2]。國內外網絡空間安全威脅的不斷升級呼喚新型技術出現。

網絡安全問題首先是人的問題，不管是網絡威脅的發起、檢測還是制衡，人的知識和判斷始終處于主導地位，應用實例表明，在處理某些復雜的科學問題上，人類的直覺勝于機器智能，可視化、人機交互等在協同式知識傳播和科學發現中起重要作用[3]。網絡安全可視化（network security visualization）[4]是信息可視化中的一個新興研究領域，它利用人類視覺對模型和結構的獲取能力，將抽象的網絡和系統日志以圖形圖像的方式展現出來，幫助分析人員分析網絡狀況，識別網絡異常、入侵，預測網絡安全事件發展趨勢[5-6]。對網絡日志進行可視化研究不但使安全威脅看得見、摸得著，在人和技術中間架起一座良好的溝通橋梁，保護著日益重要的網絡空間，更加重要的是圖形圖像比枯燥的日志數據更容易被人識別和認同，為決策者制定網絡安全政策提供可靠而形象的數據來源。

本文主要對網絡安全日志可視化研究進展進行綜述。第2章對傳統的技術和日志分析技術進行了歸納，指出其不足；第3章通過定義網絡安全日志可視化的三要素，給出了分析流程，闡述了各種圖技術的特點和適合場景；第4章根據不同數據源特點對網絡安全日志可視化系統進行了分類，重點闡述了代表作品的功能、所采用的圖技術、具體實現方法、系統的特點和優勢等；第5章總結并指出了未來的研究方向。

2 傳統的網絡安全技術及其數據源日志分析

針對安全威脅日益加劇的網絡空間戰爭，業界開發出各種網絡安全設備監控、分析、掌控網絡環境，代表技術有：（1）防火墻（firewall），在網絡邊界對訪問流量執行控制策略，主要目的是對網絡內部資源進行保護，防止非授權或非法用戶；（2）入侵檢測和防御技術（intrusion detection system/intrusion prevention system，IDS/IPS），偵測并識別網絡系統惡意行為，發現潛在的網絡或主機攻擊行為；（3）網絡負載監控，發現、標識和分析網絡流量負載，檢測流中非正常的特征；（4）惡意代碼檢測，檢測并及時清除系統中存在的惡意程序，保護主機和網絡不受感染或減少系統所受損害；（5）主機與應用狀態檢測，致力于展示主機和應用的狀態，作用是檢查惡意應用和保證主機服務能力。

隨著當今社會網絡威脅不斷呈現出復雜化、隱蔽化、擴大化態勢，這些傳統的網絡安全技術雖然能夠在一定程度上降低網絡安全風險，但仍然無法完全滿足“看得見，防得住，管得好，應得急”的網絡安全目標。國際網絡大環境的改變，要求網絡安全制衡手段必須從過去的嚴密防控轉變為符合當代需求的實時分析加響應。加強對傳統技術的分析、改進，整合技術優勢，彌補單一技術的不足，成為人們研究的方向和目標。

傳統網絡安全技術在實際運用中會產生海量日志文件，詳見表1，網絡的保護方式，攻防的足跡、效果和不足等有效信息往往隱藏在日志中。利用日志找出有效信息，對其進行深度分析挖掘成為解決問題的關鍵，但是傳統的日志分析技術存在著諸多弊端[5,7-8]：

（1）缺乏對實時顯示、分析和處理大規模網絡數據有效管理的手段。海量告警或日志數據難以直接解讀，且大部分研究仍然停留在離線分析上，造成安全管理效率低下。

（2）缺乏對真實威脅的有效感知和響應能力。日志數據中充斥著大量誤報、漏報、重復報，真實威脅往往隱匿其中，安全事件應急響應無從保證。

（3）缺乏安全日志之間的協同分析。不同功能安全設備以各自方式獨立工作，產生的安全數據較全局來說是片面和孤立的，如何解決大范圍的復雜網絡問題，讓多個數據源、多種安全視圖、多個管理員共同參與網絡安全威脅分析是一個難題。

Table 1 Data source logs classification表1 數據源日志分類表

（4）網絡安全設備的易用性和實用性低，日志難以解讀。大部分網絡安全系統都需要專業知識作為支撐，即使經驗豐富的分析人員也無法全部掌握，網絡安全設備的受眾窄。

本文針對網絡安全日志可視化分析技術進行闡述，在之前趙穎[7]、袁斌[8]、向宏[9]等人分別從安全問題、系統目標、數據特征等不同角度對網絡安全可視化分析進行總結的基礎上，擬從數據源日志（表1）、圖技術（表2）、網絡安全日志可視化分析系統（表3）三方面出發，按照從單源到多源，從單圖到多圖，從常規圖到新穎圖的思路，展開網絡安全日志可視化技術與方法的研究。

3 網絡安全日志可視化特征及圖技術

本文把網絡安全日志可視化用下面公式來詮釋：

“人”包括決策層高度重視，管理層把控質量，執行層落實到位，其中安全團隊（專家）實時有效的分析和快速的響應是關鍵；“事”指網絡安全事件，主要包括事前預防，事中接管，事后處理，其中如何快速地掌握事件真相并做出響應是關鍵；“物”包括防火墻、IPS、防病毒、交換機、VPN（virtual private network）、堡壘機等網絡安全設備，其中合理配置數據、調優、聯動是關鍵。

從式（1）可以看出，網絡安全日志可視化包括三要素，“人”是關鍵，“物”是基礎，“事”是網絡安全要查找和解決的目標。網絡安全日志可視化研究首先要分析數據或日志（來自于“物”）結構，進行預處理，選擇基本的視覺模型，建立數據到可視化結構的映射，不斷改善表示方法，使之更容易視覺化并繪制視圖，最后通過人機交互功能和“人”類認知能力來檢測、識別、分類隱藏在數據中的有用信息（網絡安全“事”件），從而提高感知、分析、理解和掌控網絡安全問題的能力[10]，如圖1。

由于人類的生存環境是三維空間，作為人類感知世界的視覺系統也就很難脫離三維空間定式。同時由于人類感知模式的限制——對于多維抽象物體理解困難，人們對網絡安全數據通常采用的方法是對多維抽象信息進行降維處理，映射到二維或者三維可視空間來實現網絡信息的可視化，這些都依賴于可視化方法的不斷發展和改進。

網絡安全日志可視化最大的挑戰是如何為既定的目標和數據源去選擇合適的圖技術。國內外很多學者已經提出了相當數量的多維可視化方法，根據這些技術出現的先后順序以及應用的廣度和新穎度，把網絡安全可視圖技術分為三類：基礎圖、常規圖和新穎圖，如表2。基礎圖是大家熟知的、容易使用的圖形，包括餅圖、直方圖、線圖以及它們的3D表示方法，這些圖形簡單明了，容易理解，適合于表達網絡安全數據某些細節，經常作為補充說明圖。由于基礎圖表達數據維度寬度和廣度有限，經過不斷的發展，涌現出一批經典的常規圖技術，這些技術源于基礎圖，但表現的靈活性、適應性、擴展性要優于基礎圖。常規圖技術不再是簡單的圖形映射，而是要盡量反映多維信息及其各維度之間的聯系，目的是在人類腦海中建立多維抽象信息并對其進行認知，在低維空間中展現多維抽象信息的特征。在過去的15年里，圖技術不斷推陳出新，新穎圖其設計之精巧、表現力之豐富，令人嘆為觀止，圖中包含的信息意味深遠。研究人員通過不斷地改進圖形布局模式，結合多種圖形優勢，創新構圖方式，特別是在圖形審美和可用性相結合方面進行了深入的研究，眾多視覺元素，如文字、色彩、大小、形狀、對比度、透明度、位置、方向等自由排列組合[15]，交織組成動人的畫卷，讓人能夠在有限的顯示空間中獲得更廣的信息量、更直觀的理解力、更優美的圖形和更強的交互力。

Fig.1 Flow chart of network security logs visualization圖1 網絡安全日志可視化流程圖

Table 2 Figure technique classification表2 圖技術類型

4 網絡安全日志可視化及主要研究方法

網絡安全日志可視化分析是信息可視化中的一個新興研究領域，它能有效解決傳統分析方法在處理海量信息時面臨的認知負擔過重，缺乏全局認識，交互性不強，不能主動預測和防御等一系列問題。網絡安全日志可視化系統分類如表3。

4.1 防火墻日志可視化

防火墻作為使用最為廣泛的安全設備之一，對于阻斷外部攻擊作用明顯。其面臨的主要問題是：如何設置防火墻記錄級別，既保證記錄全面，又防止數據過于巨大；防火墻數據進出方向包括內部與外部接口的進與出4個方向，如何防止重復記錄；防火墻規則配置困難，如何驗證和審計規則的改變。防火墻可視化主要作用是簡化防火墻操作，合理調整防火墻策略，發現網絡出口的可疑日志，監控上網行為等。

Girardin等人[16]采用散點圖顯示防火墻日志，如圖3（a），有色方塊表示主機，方塊的顏色表示不同的協議類型。數據點按時間順序排列，相似的日志匯聚一起。該系統能清楚地顯示日志中的共性和聯系，用戶可方便地觀測出哪些進程剛被啟動，哪些請求是可疑進程。Chao等人[17]采用三層可視化結構顯示防火墻規則以及規則之間的聯系，適合于大規模和多防火墻的超大網絡，特別是在多防火墻系統中，防火墻規則的編輯、排序、發布都必須十分謹慎，否則會導致網絡功能紊亂，該系統旨在幫助管理員事先發現并去除誤配置。Mansmann等人[18]采用一種稱作日照圖（Sunburst）的技術顯示防火墻規則，如圖3（b），根節點在層次結構的中心，表示“對象組”，接下來的同心環依次排列防火墻動作（允許和拒絕）、協議（TCP、UDP）、主機地址、端口，該系統的主要功能是幫助管理員理解復雜的防火墻規則。FPC（firewall policy checker）[19]的主視圖采用3D技術檢查防火墻策略，如圖3（c），3D球體的顏色表示異常類型，紅色表示陰影異常，橙色表示冗余異常，暗黃色表示泛化異常，黃色表示關聯異常。通過向下鉆取球體，可以獲取該異常的詳細視圖，該系統用于發現風險服務、非法服務和進行異常檢查，具有快速處理大量規則的能力，降低了使用者的技術門坎。VAFLE（visual analytics of firewall log events）[20]采用聚類熱圖分析防火墻日志，熱圖矩陣可視采用時間×主機、時間×端口等組合用來發現活躍的服務或主機等，圖3（d）用深色的熱點顯示了兩天網絡用量最高的主機，該系統通過增強互動的集群可視化視圖進行異常檢測和網絡態勢分析。

4.2 入侵系統日志可視化

入侵檢測與防御系統主要用于發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象，幫助管理人員快速識別和抵御分布式拒絕服務、網絡蠕蟲及木馬等攻擊行為。但是入侵系統檢測機制導致產生大量的重報、誤報，海量日志數據使得管理人員無從下手，甚至忽略重要的警報，實時的安全響應無法保證。因此，網絡入侵系統日志可視化主要功能是幫助分析人員降低認知負擔，去除誤報，提高檢測攻擊的能力。

Table 3 Network security logs visualization system classification表3 網絡安全日志可視化系統分類

Snort View[21]采用的可視化技術是散點圖和符號標志，見圖4（a），系統由源地址、警報和源/目標3個面板組成，警報用不同的符號標記，顏色表示優先級。該系統適合于小型網絡，用來幫助管理員降低誤檢測，檢測隱含攻擊和攻擊序列。IDS Rainstorm[22]采用的可視化技術是散點圖，見圖4（b），系統由一個主視圖（顯示整個網絡的表現）、一個縮放視圖（顯示用戶選擇的IP地址范圍）組成。主視圖由8列構成，每一列可顯示連續的20位IP地址，整個視圖可顯示2.5個B類地址24小時的監控數據，報警的等級采用顏色表示。用戶可以用主視圖分析整個網絡情況，發現可疑事件，用縮放視圖獲取詳細攻擊信息。系統用于發現異常的網絡事件、蠕蟲傳播和僵尸網絡。Vizalert[23]系統采用的可視化技術是雷達圖，見圖4（c），系統關注警報what、when和where三方面的特征，主視圖在中間顯示網絡的拓撲，而周圍的圓環用于顯示不同的警報，圓環的長度表示時間，連線從圓環指向內部觸發警報的主機。該系統能夠提高檢測、分析、處理網絡攻擊的速度，減小攻擊影響。Avisa[24]采用的可視化技術為輻狀圖匯聚圖，見圖4（d），輻狀圖由外部環和內部弧構成，外環分為兩部分，較小的一邊用于顯示網絡警報分類，較大的一邊用于顯示子網或自定義的分組。弧用于顯示報警，一邊指向報警類型，另一邊指向有關聯的主機。該系統采用啟發式算法，用來洞悉攻擊模式，促進潛在數據的理解。Zhang等人[25]采用4種視圖展示IDS的日志，甘特圖顯示服務器連接的變化狀態，樹圖顯示時間窗口內服務器報警數量，節點圖表示事件間的關聯，堆疊直方圖統計服務器各指標參數。作者認為在大規模的網絡中，通過多種可視化方法的互補，可以有效去除誤報，同時，基于Web的開放平臺能簡化管理，提高研究人員協同分析的能力。Alsaleh等人[26]同樣采用了多視圖的方式，散點圖基于日期、時間、攻擊類型展示網絡攻擊，節點圖基于地理位置、子網和IP地址展示，樹圖根據攻擊類型分布IP地址，指環圖（ring）和平行坐標用來統計較長時間內攻擊源、類型、影響和數量。該系統用于幫助管理人員分析入侵原因和輔助決策。IDSPlanet[27]仿照天體運行，設計了空間環圖響應警報的時間特性、受影響主機的行為模式、攻擊目標的相關性等特征，圖4（e）由空間環、警報球以及交互核心三部分組成，展示了60分鐘內的警報細節，幫助管理員識別誤報，分析攻擊模式，理解不斷發展的網絡環境。Song等人[28]采用新穎的3D樹圖，運用機器學習方法從原始數據中抽取7個統計特征來鑒定不尋常的攻擊，降低安全操作人員的工作強度。

Fig.3 Firewall logs visualization system圖3 防火墻日志可視化系統

Fig.4 Network intrusion logs visualization system圖4 網絡入侵日志可視化系統

4.3 網絡負載可視化

網絡負載監控系統是對防火墻和入侵系統的一個重要補充，除了用于監控網絡流量負載變化趨勢外，還有一個重要功能是特征分析。由于端口掃描、拒絕服務攻擊和惡意代碼擴散在流量方面體現出一對一、一對多等特征，造成流量異常，流量監控可以幫助管理員快速準確發現網絡攻擊。網絡流可視化面臨的主要問題是：網絡負載記錄是OSI（open system interconnection）模型下層信息，缺乏應用層面細節，很多用途僅靠猜測，負載數據量大，實時過濾和分析困難。

Portall[29]是早期可視化網絡數據包（packets）的系統，如圖5（a），采用節點鏈接圖深入挖掘與TCP連接相關的主機進程，實現分布進程的點對點可視化。視圖采用兩條平行節點，左邊是客戶機，右邊是服務器，連線表示TCP連接。該系統用于可視化網絡流量與主機進程的關系，善于發現廣告軟件與間諜軟件。Visual[30]是另一款較早的作品，可視化對象同樣是網絡數據包，如圖5（b），采用了散點圖技術，用于展示內部主機與外部源的通信模式，內部網絡用網格表示，每個網格表示一臺主機，外部源用外部方塊表示，方塊的大小表示活動能力。該系統能夠同時顯示上千臺主機的相對位置和活動，揭示端口和協議的使用情況。PortVis[46]可視化對象采用比網絡數據包聚合性更好的網絡流（netflow），使用散點圖將網絡活動映射到網格中的單元，主視圖用256×256的網格指代65 536個網絡端口號，X軸表示端口號高位，Y軸表示低位，節點的變化用顏色表示，藍色表示低水平變化，紅色表示高水平變化，而白色表示最大變化。該圖能夠用夸張的手段展示特定主機端口變化的細節信息。PCAV（parallel coordinate attack visualization）[31]采用平行坐標顯示網絡流，如圖5（c），系統使用原IP地址、目標IP地址、目標端口、包平均長度等指標繪制平行軸，流的每個特征量用直線連接，通過形狀特征分析特定的攻擊模式。該系統能快速區分端口掃描、蠕蟲感染、主機掃描、拒絕服務攻擊等網絡威脅。Flow-Inspector[32]采用了基于Java的Web應用顯示網絡流數據，用堆疊直方圖進行數量統計，用力引導圖（force directed graph）顯示連接模式，用邊捆綁技術（edge bundle）降低邊交叉，用蜂巢（hive plot）圖顯示大規模的數據。該系統善于使用新穎的可視化技術展示網路流量，檢測網絡流的拓撲特征。Mikel等人[33]采用環圖顯示工業網絡的流負載，外圈用顏色分類設備（藍色為可編程工業控制器，綠色為控制服務器，紫色為人機界面，橙色為網絡設備），內部弧顏色深淺表示攻擊強度，圖5（d）展示了正在遭受端口掃描的工業網絡。NetflowVis采用了新穎的輻射布局和主題流圖，如圖5（e）所示，輻射布局圖兩端表示服務器組和客戶機組，中間的流圖顯示了上傳和下載的網絡流，顏色表示不同的協議。該系統用來分析網絡流模式和發現網絡異常。

Fig.5 Network flow visualization system圖5 網絡負載可視化系統

4.4 主機狀態日志可視化

主機狀態日志可視化主要致力于展示主機和服務器的狀態，包括網絡狀態、用戶數、系統負載、異常進程等，主要作用是檢查惡意軟件和保證主機服務能力。一般由日志接收代理、數據庫、過濾分析中心等幾部分構成，由于收集代理不同，導致收集內容有所偏重；同時，信息傳輸和分析使用的數據格式不同，阻礙數據在不同平臺及系統間自由交換。主機狀態日志可視化主要解決日志格式不統一帶來的理解差異，提高管理效率和質量。

Fig.6 Host status visualization system圖6 主機可視化系統

早期的工作有Erbacher等人[35]提出的可視系統，如圖6（a）所示，服務器繪制在圖像中間，主機以同心圓的方式環繞著服務器，同一子網的主機和服務器更靠近一些，系統用不同的符號標識表示主機不同的屬性，主機和服務器的連接類型用不同的線段表示，該系統目的是發現不確定的數據連接。Mansmann等人[36]采用了節點連接圖展示主機行為，如圖6（b），各種網絡服務被排列在力引導布局視圖上，被觀察的節點通過虛擬彈簧連接相關服務，節點大小根據傳輸數據量的對數指標計算。該系統能監視主機行為，主機狀態非正常變化被定義為可疑事件。之后，主機可視化不斷發展，形成了可商用產品，如Mocha BSM實現對多種主機以及各種操作系統關鍵資源的自動監控，Visualized Management模塊將主機實時運行情況以及多個主機參數以符號、時序圖等方式展現出來，包括多個CPU中每CPU的利用率、物理內存和虛擬內存利用率、進程運行情況、進程優先級、網卡流量等，如圖6（c），從而幫助管理員及時發現主機異常和故障隱患。CCGC（cyber command gauge cluster）[37]采用了儀表盤可視化技術，如圖6（d），儀表盤上展示了現在和過去主機和網絡狀況因子，允許管理員審查網絡狀態和定位潛在的異常問題，通過下鉆操作，還可以獲得更豐富的信息，方便進行故障分析和網絡補救。進入了云時代以后，我國阿里云、盛大云和騰訊云都推出了云可視化主機服務，采用企業級虛擬化云計算和管理平臺，給用戶提供了高性能、高可用、高安全、高彈性的云服務。同時，為了保證服務質量，系統都提供了可視化的資源使用情況監控平臺，實時監測內存、CPU、存儲、網絡帶寬的調整和變化，用戶可隨時隨地掌握云服務質量，為用戶調整、優化云服務，按需使用、按需付費提供了平臺保證。吳頔等人[38]從時間、節點號、性能指標類型3個維度出發，如圖6（e），提出了基于維度壓縮與維度切面的云主機性能數據集可視化方法，應用動態時間規劃和卷積神經網絡實現離群節點自識別。

Fig.7 Multi-source fusion visualization system圖7 多源融合可視化系統

4.5 多源大數據融合可視化

網絡安全可視化系統經過近20年的發展，安全分析人員對該技術提出更高遠的要求——對宏觀網絡態勢的掌握。早期的系統關注某一類日志或某一種技術，試圖從不同的角度發現網絡中可能存在的安全問題，但是缺乏全局統籌，只能從局部考察網絡，發現真實威脅方面不夠理想和有效[47]。現代互聯網的高復雜性帶來了安全的高風險性，“大數據”網絡呈現“3V”甚至“6V”特征，為了更全面地把握整個網絡的運行狀態和變化趨勢，急需大數據分析和決策支持方法[48]。用可視化融合技術將海量日志數據在一張或幾張高層次視圖中顯示出來，能在大數據時代有效管理和動態監控網絡。從海量的、異構的、快速變化的網絡安全日志中全面發現問題，并感知網絡態勢是當今網絡安全的重要研究課題。

NAVA（network anomaly visualization and analysis）[39]可導入多種安全監測數據，如Netflow、Syslog、Firewall、IDS等，采用節點鏈接圖、平行坐標、樹圖和甘特圖等直觀顯示各種日志，如圖7（a）所示，通過結合各種圖形優勢，為系統管理員和網絡管理員提供時效性強的網絡異常和成因分析工具。MVSec[40]對網絡流、防火墻、主機狀態日志進行分析，采用4種視圖，如圖7（b），熱圖顯示網絡拓撲和網絡交通情況，雷達視圖展示網絡安全事件之間的關聯，堆疊流視圖調查多時間維度下的隱藏信息，矩陣圖描繪端口活動特征。該系統主要用于監測整個網絡，發現海量日志中隱藏的有價值信息，把握網絡安全態勢。在 VAST Challenge 2013 中，NOCturne[41]、AnNetTe[42]和SpringRain[43]融合了Netflow、IPS和Bigbrother共3種數據，采用了新穎的可視化技術展現網絡安全態勢。NOCturne使用了時間線、熱圖矩陣和地圖，如圖7（c）；AnNetTe采用了時間線、輻狀圖和平行坐標；SpringRain采用了類似于雨水的熱圖顯示網絡安全元素。以上系統都很好地將多種數據源融合到幾張高級視圖，并提供了豐富的人機交互工具，讓分析人員一目了然地發現問題和解決問題。Banksafe[44]同樣使用多種數據源，以大數據分析為目的，使用樹圖顯示所有主機活動，使用時間線挖掘IDS警報，主要用于發現網絡運行趨勢、可疑事件和攻擊模式，是大規模網絡安全數據可視化分析的突出代表。NSVAS（network security visualization analysis system）[45]設計了大規模網絡的協同可視化方案和3D可視化模型布局算法，對于大規模、長時間跨度的網絡安全數據具有較強的分析能力，能夠有效識別不同類型的入侵訪問，幫助用戶快速發現異常行為和進行網絡取證。VIGOR[50]用以分析來自多個公司的安全大數據，訓練和識別經常被忽略的重要的（或嚴重的）安全事故，幫助公司識別安全盲點，通過相互比較解決共性問題。

5 總結與展望

由于現代網絡面臨的安全挑戰更加復雜和艱巨，網絡安全日志可視化將安全日志分析和可視化技術有效結合，充分利用人類對圖像認知能力強和機器對數據處理性能高的特點，通過提供圖形圖像等交互性工具，提高了網絡安全分析人員對網絡問題的觀測、分析、感知、理解和決策能力，有效地解決了傳統分析方法認知負擔重、缺乏全局意識、缺乏交互方式、缺乏預測和主動防御等一系列問題。前期雖然取得了一定的成績，但是如何將可視化理念傳遞給觀測者（以人為本）和有效地創建可視化原理和技術（以圖為媒）仍然是研究的本質方向。

（1）如何實時處理大數據并發現知識。在大數據時代，具備處理海量復雜數據的可擴展性始終是可視化分析系統關注的中心議題，由于計算能力受到有限的時間和空間的制約，如何面向大數據進行數據清洗、轉換，提高處理效率和速度仍然有許多發展空間。特別是網絡瞬息萬變，實時可視化對采集和預處理日志、圖形繪制速度和人機交互響應提出了更高的要求。因此，應該以大數據存儲、傳輸、治理為研究基礎，針對網絡安全大數據研究設計一體化收集、存儲、整合數據平臺。同時，發現知識感知網絡態勢，涉及態勢的提取、理解和預測等方面，需要對正確合理的數據融合算法和關聯算法、高速度高效率的并行計算和異步計算算法、基于因果關系和模式識別的預測算法繼續進行分析和驗證。

（2）如何提高感知和認知能力。人類的記憶容量、判斷力、注意力和警覺性都是寶貴而有限的資源。盡管可視化可以充分利用人類視覺的認知能力，但人類大腦對事物的記憶終究是短暫有限的，迅速變換的畫面場景并不適合于人類記憶的搜索，同時人類前幾分鐘的警覺性要遠超于以后的時間段，執行視覺搜索只能維持數分鐘時間。因此，設計出新穎的、易于感知的、以人為中心的探索式可視化分析系統尤為重要。在設計網絡安全日志可視化分析系統時，應充分考慮人類行為，如人機交互習慣、認知心理學等問題，搭配文字、色彩、大小、形狀、紋理、對比度、透明度、位置、方向等多元素，以提高人眼的感知和避免視覺疲勞。同時，搭建多數據源、多視圖和多人的協同分析環境，促進解決單個體環境感知和認知能力不足的問題。

（3）如何降低顯示能力的局限性。可視化設計者往往在屏幕顯示之外要承擔大量的工作，屏幕分辨率限制了想要表達信息的豐富度。龐大數據量的網絡安全日志不但導致了可視化系統的可伸展性問題，甚至會導致顯示出現閉塞和擁擠現象。而一切企圖全方位顯示數據集的方法更是遠離現實的，它將弱化可視化的力量，從而降低人類視覺系統感知潛在數據模式和趨勢的能力。可視化設計者首先要降低圖像閉塞性（occlusion），專注于開發新穎的圖技術和模式，如力引導算法（force directed algorithm）、徑向布局（radial layout）等，提高圖像自身的有序性和自控性，以人眼易接受的方式解決視覺混亂；其次，大力發展新的顯示技術，如虛擬現實、3D投影技術，充分利用人類可感知的媒介，在三維空間中容納安全大數據多維特征。

（4）如何進一步完善可視化理論體系。可視化理論體系較廣，包括可視化基礎理論、可視化應用、可視化研究等。由于網絡安全可視化理論缺乏成熟的數學模型，其中一些環節并不成熟，如可視化測評，由于可視化分析主觀性較強，僅靠少量用戶的評價，難以進行有效性驗證和評估。因此，可視化測評指標應該包括功能、有效性、效率、交互界面、可擴展性、計算能力等，需一步完善現場測試、案例研究和專家評估等方法。同時，物聯網、云計算和軟件定義網絡（software defined network，SDN）的出現，給網絡安全可視化帶來了新的挑戰和機遇，如物聯網拓撲的展示、物體實時監控以及個人隱私安全問題，云計算的虛擬機遷徙和按需索取問題，軟件定義網絡的配置控制信息可視化以及多控制器問題等。新的時代呼吁新理論來指導實際，下一步將面向安全大數據開展新的數據組織、計算理論、大規模圖理論、可視分析等標準化研究，并圍繞實際的網絡安全威脅問題求解出新的工作流程和研究范式，從而為網絡大數據時代筑起“安全大門”。

[1]Cncert/Cc.A survey on Chinese Internet network security situation in 2011-2015[EB/OL].(2016-04-01)[2016-07-01].http://www.cert.org.cn.

[2]APCERT.APCERT annual report 2015[EB/OL].(2016-05-10)[2016-07-01].http://www.apcert.org.

[3]Chen Wei,Shen Zeqian,Tao Yubo.Data visualization[M].Beijin:Publishing House of Electronics Industry,2013.

[4]Becker R A,Eick S G,Wilks A R.Visualizing network data[J].IEEE Transactions on Visualization and Computer Graphic,1995,1(1):16-28.

[5]Lv Liangfu,Zhang Jiawan,Sun Jizhou,et al.Survey of network security visualization techniques[J].Journal of ComputerApplications,2008,28(8):1924-1927.

[6]Shiravi H,Shiravi A,Ghorbani A A.A survey of visualization systems for network security[J].IEEE Transactions on Visualization and Computer Graphics,2012,18(8):1313-1329.[7]Zhao Ying,Fan Xiaoping,Zhou Fangfang,et al.A survey on network security data visualization[J].Journal of Computer-Aided Design&Computer Graphics,2014,26(5):687-697.

[8]Yuan Bin,Zou Deqing,Jin Hai.Network security visualization:a survey[J].Journal of Cyber Security,2016,1(3):10-20.

[9]Xiang Hong,Zhang Yu,Hu Haibo.Big data and security visualization[J].Journal of Chongqing University,2016,39(2):71-81.

[10]Zhang Tianye,Wang Xumeng,Li Zongzhuang,et al.A survey of network anomaly visualization[J].Science China:Information Sciences,2017,60(12):121101.

[11]Zhao Ying,Fan Xiaoping,Zhou Fangfang,et al.Study on collaborative visual analysis of large scale network security data[J].Journal of Frontiers of Computer Science and Technology,2014,8(7):848-857.

[12]Sanchez G.Arc diagrams in R:Les Miserables[EB/OL].(2016-10-20).https://www.r-bloggers.com/arc-diagrams-inr-les-miserables/.

[13]Zhang Sheng,Shi Ronghua,Zhou Fangfang.A visualization scheme based on radial panel in intrusion detection system[J].Computer Engineering,2014,40(1):15-19.

[14]Bohnacker H,Gross B,Laub J,et al.Generative design:visualize,program,and create with processing[M].Princeton:PrincetonArchitectural Press,2012.

[15]Manuel L.Visual complexity:mapping patterns of information[M].Princeton:PrincetonArchitectural Press,2011.

[16]Girardin L,Brodbeck D.A visual approach for monitoring logs[C]//Proceedings of the 12th Conference on Systems Administration,Boston,Dec 6-11,1998.Berkeley:USENIX Association,1998:299-308.

[17]Chao C S,Yang S J H.A novel three-tiered visualization approach for firewall rule validation[J].Journal of Visual Languages&Computing,2011,22(6):401-414.

[18]Mansmann F,G?bel T,Cheswick W R.Visual analysis of complex firewall configurations[C]//Proceedings of the 9th International Symposium on Visualization for Cyber Security,Seattle,Oct 15,2102.New York:ACM,2012:1-8.

[19]Kim U H,Kang J M,Lee J S,et al.Practical firewall policy inspection using anomaly detection and its visualization[J].Multimedia Tools&Applications,2014,71(2):627-641.

[20]Ghoniem M,Shurkhovetskyy G,Bahey A,et al.VAFLE:visual analytics of firewall log events[C]//Proceedings of the Visualization and Data Analysis,San Francisco,Feb 3-5,2014.Bellingham:SPIE,2014:164-167.

[21]Koike H,Ohno K.SnortView:visualization system of Snort logs[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washing-ton,Oct 29,2004.New York:ACM,2004:143-147.

[22]Abdullah K,Lee C P,Conti G J,et al.IDS RainStorm:visualizing IDS alarms[C]//Proceedings of the 2nd International Workshop on Visualization for Cyber Security,Minneapolis,Oct26,2005.Washington:IEEEComputerSociety,2005:1-10.

[23]Livnat Y,Agutter J,Moon S,et al.A visualization paradigm for network intrusion detection[C]//Proceedings of the 6th Annual IEEE SMC Information Assurance Workshop,New York,Jun 15-17,2005.Piscataway:IEEE,2005:92-99.

[24]Shiravi H,Shirav A,Ghorbani A A.IDS alert visualization and monitoring through heuristic host selection[C]//LNCS 6476:Proceedings of the 12th International Conference on Information and Communications Security,Barcelona,Dec 15-17,2010.Berlin,Heidelberg:Springer,2010:445-458.

[25]Zhang Tao,Liao Qi,Shi Lei.Bridging the gap of network management and anomaly detection through interactive visualization[C]//Proceedings of the 2014 IEEE Pacific Visualization Symposium,Yokohama,Mar 4-7,2014.Washington:IEEE Computer Society,2014:253-257.

[26]Alsaleh M,Alarifi A,Alqahtani A,et al.Visualizing Web server attacks:patterns in PHPIDS logs[J].Security&Communication Networks,2015,8(11):1991-2003.

[27]Shi Yang,Zhang Yaoxue,Zhou Fangfang,et al.IDSPlanet:a novel radial visualization of intrusion detection alerts[C]//Proceedings of the 9th International Symposium on Visual Information Communication and Interaction,Dallas,Sep 24-26,2016.New York:ACM,2016:25-29.

[28]Song J,Itoh T,Park G,et al.An advanced security event visualization method for identifying real cyber attacks[J].Applied Mathematics&Information Sciences,2017,11(2):353-361.

[29]Fink G A,Muessig P,North C.Visual correlation of host processes and network traffic[C]//Proceedings of the 2005 IEEE Workshop on Visualization for Computer Security,Minneapolis,Oct 26,2005.Washington:IEEE Computer Society,2005:11-19.

[30]Ball R,Fink G A,North C.Home-centric visualization of network traffic for security administration[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washington,Oct 29,2004.New York:ACM,2004:55-64.

[31]Choi H,Lee H,Kim H.Fast detection and visualization of network attacks on parallel coordinates[J].Computers&Security,2009,28(5):276-288.

[32]Braun L,Volke M,Schlamp J,et al.Flow-inspector:a framework for visualizing network flow data using current Web technologies[J].Computing,2014,96(1):15-26.

[33]Iturbe M,Garitano I,Zurutuza U,et al.Visualizing network flows and related anomalies in industrial networks using chord diagrams and whitelisting[C]//Proceedings of the 11th Joint Conference on Computer Vision,Imaging and Computer Graphics Theory and Applications,Rome,Feb 27-29,2016.Setúbal:SciTePress,2016:101-108.

[34]He Likun,Tang Binbin,Zhu Min,et al.NetflowVis:a temporal visualization system for netflow logs analysis[C]//LNCS 9929:Proceedings of the 13th International Conference on Cooperative Design,Visualization and Engineering,Sydney,Oct 24-27,2016.Berlin,Heidelberg:Springer,2016:202-209.

[35]Erbacher R F,Walker K L,Frincke D A.Intrusion and misuse detection in large-scale systems[J].IEEE Computer Graphics andApplications,2002,22(1):38-48.

[36]Mansmann F,Meier L,Keim DA.Visualization of host behavior for network security[C]//Proceedings of the 2007 Workshop on Visualization for Computer Security,Sacramento,Oct 29,2007.Berlin,Heidelberg:Springer,2008:187-202.

[37]Erbacher R F.Visualization design for immediate high-level situational assessment[C]//Proceedings of the 9th International Symposium on Visualization for Cyber Security,Seattle,Oct 15,2012.New York:ACM,2012:17-24.

[38]Wu Di,Wang Lina,Yu Rongwei,et al.Multidimensional data visualization in cloud platform security monitoring[J].Journal of Shandong University:Natural Science,2017,52(6):56-63.

[39]Liao Qi,Li Ting.Effective network management via dynamic network anomaly visualization[J].International Journal of Network Management,2016,26(6):461-491.

[40]Zhao Ying,Liang Xing,Fan Xiaoping,et al.MVSec:multiperspective and deductive visual analytics on heterogeneous network security data[J].Journal of Visualization,2014,17(3):181-196.

[41]Benson J R,Ramarajan R.NOCturne:a scalable large format visualization for network operations[C]//Proceedings of the IEEE VAST Challenge:Mini Challenge 2,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:1-2.

[42]Chen Siming,Merkle F,Schaefer H,et al.AnNetTe collaboration oriented visualization of network data[C]//Proceedings of the IEEE VAST Challenge:Mini Challenge 3,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:1-2.

[43]Promann M,Ma YA,Wei Shuang,et al.SpringRain:an ambient information display[C]//Proceedings of the 2013 IEEE VAST Challenge:Mini Challenge 2,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:5-6.

[44]Fischer F,Fuchs J,Mansmann F,et al.BANKSAFE:visualanalytics for big data in large-scale computer networks[J].Information Visualization,2015,14(1):51-61.

[45]Jiang Hongyu,Wu Yadong,Sun Mengxin,et al.Research on fusion and visual analytic method of multi-source network security data logs[J].Journal of Southwest University of Science and Technology:Natural Science Edition,2017,32(1):70-77.

[46]McPherson J,Ma K L,Krystosk P,et al.PortVis:a tool for port-based detection of security events[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washington,Oct 29,2004.New York:ACM,2004:73-81.

[47]Gong Jian,Zang Xiaodong,Su Qi,et al.Survey of network security situation awareness[J].Journal of Software,2017,28(4):1010-1026.

[48]Carrascosa I P,Kalutarage H K,Huang Y.Data analytics and decision support for cybersecurity[M].Berlin,Heidelberg:Springer,2017.

[49]Humphries C,Prigent N,Bidan C,et al.ELVIS:extensible log visualization[C]//Proceedings of the 10th Workshop on Visualization for Cyber Security,Atlanta,Oct 14,2013.New York:ACM,2013:9-16.

[50]Pienta R,Hohman F,Endert A,et al.VIGOR:interactive visual exploration of graph query results[J].IEEE Transactions on Visualization and Computer Graphics,2018,24(1):215-225.

附中文參考文獻:

[1]Cncert/Cc.2015年我國互聯網網絡安全態勢綜述[EB/OL].(2016-04-01)[2016-07-01].http://www.cert.org.cn.

[3]陳為,沈則潛,陶煜波.數據可視化[M].北京:電子工業出版社,2013.

[5]呂良福,張加萬,孫濟洲,等.網絡安全可視化研究綜述[J].計算機應用,2008,28(8):1924-1927.

[7]趙穎,樊曉平,周芳芳,等.網絡安全數據可視化綜述[J].計算機輔助設計與圖形學學報,2014,26(5):687-697.

[8]袁斌,鄒德清,金海.網絡安全可視化綜述[J].信息安全學報,2016,1(3):10-20.

[9]向宏,張瑜,胡海波.大數據與安全可視化[J].重慶大學學報,2016,39(2):71-81.

[11]趙穎,樊曉平,周芳芳,等.大規模網絡安全數據協同可視分析方法研究[J].計算機科學與探索,2014,8(7):848-857.

[13]張勝,施榮華,周芳芳.入侵檢測系統中基于輻射狀面板的可視化方法[J].計算機工程,2014,40(1):15-19.

[38]吳頔,王麗娜,余榮威,等.面向云平臺安全監控多維數據的離群節點自識別可視化技術[J].山東大學學報:理學版,2017,52(6):56-63.

[45]蔣宏宇,吳亞東,孫蒙新,等.多源網絡安全日志數據融合與可視分析方法研究[J].西南科技大學學報:自然科學版,2017,32(1):70-77.

[47]龔儉,臧小東,蘇琪,等.網絡安全態勢感知綜述[J].軟件學報,2017,28(4):1010-1026.