摘要:信息可视化与可视化分析是近年来新兴的一种多学科融合学科,是社会关注的的热点领域。为了更好的应对大规模网络安全协同可视化分析需求,本文从当前网络安全可视化研究的必要性入手,对大规模网络安全数据协同可视化设计进行了简要分析,主要包括雷达图和对比堆叠流图两部分。期望通过本文研究分析,为网络安全可视化分析技术发展提供有益借鉴。
关键词:可视化设计;网络安全;雷达图;对比堆叠流图
网络安全可视化,是通过提供有效的信息可视化工具,使网络安全分析师在解决网络安全问题过程中的感知能力、认知能力得以提升,从而发现并识别出网络运行中异常情况,对其趋势进行把握,以此为依据制定网络安全策略。从中可以看出,可视化是发现、识别和把握网络异常的工具,在网络安全管理占据重要地位。鉴于网络安全可视化的重要性,下面基于大规模网络安全需求对网络安全数据协同可视化设计问题进行了分析。
一、大规模网络安全数据协同可视分析系统构建的必要性
网络安全可视化是网络安全与可视化技术相结合的一个领域,它利用图形图像形式表达海量的高维数据,增强了网络安全分析师在网络安全数据分析中的感知能力、认知能力,更快速、可靠的发现隐藏在海量数据背后的异常、规律、发展趋势等,可为安全网络管理提供可靠的数据。作为21世纪发展起来的一个新领域,备受国际社会的高度重视,研究工作如火如荼。就目前来看,网络安全可视化发展遇到了不少困境,主要包括:网络规模日益扩大,相关的网络安全数据规模也不断扩大,且网络主机还表现出动态变化特点,加大了可视化分析难度;第二,网络安全数据种类繁多,相互之间存在一定的关联性、互补性、冗余性。现阶段的可视化工具一般只能进行单种数据源分析,面对多种数据源的可视化工具还有待进一步分析;第三,可视化工具确实可以增强网络安全数据分析师的感知和认知能力,然而如何对所有网络整体情况建立有效的认知、评估已然值得深入分析。面对一系列困境,建立面对大规模网络安全数据协同可视分析系统是必要的,而且该系统必须具备以下特点:
第一,能够从多种不同结构和种类的网络安全数据中提取出统一格式的信息,将这些信息结合起来,作为可视化分析的数据源;第二,基于网络拓扑结构建立网络安全数据自动布局方式,适用于网络主机的动态变化,同时帮助网络安全分析师实现快速的网路异常定位;第三,利用雷达图和对比堆叠流图建立大规模网络安全数据协同可视分析系统,充分发挥两种图形的积极作用,为网络安全分析师提供攻击模式识别、关联事件分析等工具,满足网路安全管理要求。
二、大规模网络安全数据协同可视分析系统设计
(一)数据处理
在大规模网络条件下,面对存储方式不同、记录结构不同的数据源,为了进行网络安全数据协同可视化分析,首要工作是清洗数据。清洗数据的主要工作包括;第一,对时间格式和完成时间进行处理,要求时间格式统一、完成时间同步;第二,对无效值、缺失值进行处理,对需要的字段进行提取;第三,处理后的数据要统一存储在数据库中,构建可视化分析的原始数据源。数据清洗后,按照需要对网络安全数据进行分析。当日志记录结构不一致时,还要对数据进行融合处理,方便后续的多源协同可视化分析工作顺利展开。
(二)雷达图设计
作为一种可视化图形,雷达图具备布局紧凑、易交互、易读、表现力优美等优点,是大规模网络安全数据可视分析的常用图形。面对大规模的网络安全数据,为了实现协同可视化分析,利用力导引算法设计了网络逻辑拓扑结构,同时采用曲线连接方式,使网络安全数据自动布局得以实现。基于这样的设想,对网络安全数据协同可视化分析的雷达图进行了整体设计,如图1所示。
根据图1所示,图中外环的圆弧表示不同的事件类型,内部的直方图表示时间。顺时针方向绘制直方图,通过直方图高度表示单位时间内的该时间类型发生次数。雷达图的中心区域为网络主机。直方图与主机之间的连接采用曲线方式,通过曲线线条的粗细来表示事件的危险程度。此外,高亮主机的大小也能够表示事件的危险程度。所以,判别事件危险程度时要充分观察连线的粗细和高量主机的大小。由于事件的目的IP与源IP 之间没有采用直线连接方式,过多的曲线连接可能造成操作界面混乱。为了避免出现这样的情况,用户可以对目的IP、源IP 进行交互查看。
当某一时段内的某一时间发生频次过多,且主机分布分散时,为了防止直方图顶端直线分布过于混乱,利用曲线将同一个时段内的同一个事件的曲线固定在直方图顶端,能明显改善雷达图连线分布的伞状辐射的混乱程度。
(三)对比堆叠流图设计
堆叠流图主要用于对多组网络主机端口活动的可视化分析,通过对堆叠流图的对比分析,观察多组主机端口的流量变化情况,以便从中发现网络数据异常情况。为了满足网络安全数据分析中的不同“主题”时序的对比分析要求,可充分利用堆叠流图的特点和优势建立对比堆叠流图,如图2所示。时间操作中,用户从诸多的网络完全数据中选取两组不同主题的时序,两组时序以显示区域中心线为基准,分别的向上和向下堆叠,使两组时序的发展变化情况清楚的显现出来,方便网络安全分析师查看、分析,发现异常情况。同时,这种对比堆叠流图易读、美观。
三、结论
综上所述,进入大数据时代以后,网络数据安全问题十分突出,对网络安全管理提出了巨大挑战。为了适应大数据背景下的网络数据安全管理工作需求,可以利用雷达图和对比堆叠流图建立大规模网络安全数据协同可视分析系统,加强对网络数据异常的发现、识别,并制定相应的管理策略,加强网络安全管理。
参考文献:
[1]蒋宏宇,吴亚东,孙蒙新,王笑,张雨薇.多源网络安全日志数据融合与可视分析方法研究[J].西南科技大学学报,2017,32(01):70-77.
[2]陈兴蜀,曾雪梅,王文贤,邵国林.基于大数据的网络安全与情报分析[J].工程科学与技术,2017,49(03):1-12.
[3]吴亚东,蒋宏宇,赵思蕊,李波.网络安全数据3D可视化方法[J].电子科技大学学报,2015,44(04):
论文作者:姚 莉
论文发表刊物:《科技中国》2017年11期
论文发表时间:2018/5/2
标签:网络安全论文; 数据论文; 网络论文; 直方图论文; 可视论文; 主机论文; 分析师论文; 《科技中国》2017年11期论文;