網絡安全數據3D可視化方法

吳亞東，蔣宏宇，趙思蕊，李 波

(西南科技大學計算機科學與技術學院 四川 綿陽 621010)

網絡安全數據3D可視化方法

吳亞東，蔣宏宇，趙思蕊，李 波

(西南科技大學計算機科學與技術學院 四川 綿陽 621010)

針對大規模網絡安全數據可視分析效率低下的問題，提出了一種異構樹網絡安全數據組織方法，提高了數據分析的實時性。為了增強分析系統的可交互性和提高對網絡安全數據的分析效率，設計了一種針對大規模網絡的三維多層球面空間可視化模型(MSVM)；開發了基于以上技術的3D可視分析原型系統。實驗結果表明，該方法針對大規模、高離散度的網絡安全數據具有較強的分析能力，能夠有效識別不同類型的入侵訪問，便于網絡取證。

異常檢測; 大規模網絡; 網絡安全; 可視分析

隨著網絡復雜度的增加，網絡安全事件呈現出快速增長的趨勢。為了滿足公司和機構在網絡安全方面的需求，攻擊防御系統、主機監控系統、異常檢測系統和攻擊預測系統常被用于保護網絡安全。這些安全產品在長時間的運行中，產生了大量的日志信息等網絡安全數據，這些數據包含網絡用戶行為信息、網絡運行狀態信息以及可能的入侵訪問信息等，往往具有多維和非拓撲等特征。通過對這些網絡安全數據進行挖掘分析，能夠得到用戶行為模式、網絡拓撲結構以及網絡通信模式等重要信息[1]。

以往對網絡安全數據的分析大都采用文本分析方式來識別網絡活動和模式[2]。但是，隨著網絡安全數據量的增加和安全數據復雜度的增高，數據分析所需的時間也越來越長。目前，研究人員正在嘗試將網絡數據抽象為可視化形式進行表示，以快速的發現和識別各種網絡行為[3]，并且利用可視化系統[4]或者可視分析系統[5]處理大規模網絡安全數據，以更有效地表征網絡行為特征。與文本分析方法相比，可視化系統和可視分析系統能夠將網絡事件中的“Who、When、Where、Why、How”等特征更加快速呈現給用戶，使得用戶能夠更迅速和更準確地評估網絡安全態勢。

目前，針對多維數據集存在多種二維(2D)可視化分析技術，包括Glyph、Color maps、ParallelCoordinate、Histogram及Scatter Plots[6]等。然而，隨著數據量的增大，2D可視化方法往往出現圖形之間互相遮擋或者過于密集，導致潛在的重要數據面臨被忽略的可能[7]。此外，2D可視化技術如果處理不得當，還會導致信息過載和過多無用信息過度渲染等問題發生[7]。文獻[8]雖然利用過濾技術解決了上述問題，卻仍有可能由于過濾技術引入的參數設置不準確導致重要數據被刪除。因此，研究人員又提出了擴展可視化渲染區域的輔助策略，例如在可視化空間中，增加Z軸以顯示更多的數據[9]。

三維(3D)可視化模型與2D可視化模型相比，能夠容納更多的圖像信息[10]。如果3D可視化模型設計合理，能夠在相同時間內傳遞給用戶更多數據，采用更清晰的表示以減少混亂信息[11]。此外，3D可視化方法在處理大規模分層數據時能夠幫助用戶建立空間記憶信息[12]。目前，研究人員正在使用3D立體技術增強用戶對3D空間的可視化感知[13]。面向網絡安全數據的3D可視化技術，不僅能夠減少2D可視分析方法引起的誤差，而且能夠增強對特殊網絡活動的識別能力，提高網絡應急響應速率。目前，網絡安全3D可視化技術在國內應用較少[14]。在國外，文獻[15]將傳統的Parallel Coordinate進行了拓展，提出采用3D Parallel Coordinate方法對安全數據進行可視化，并取得了較好的效果。但是，該方法在數據量過大時，線條之間會發生重疊，難以從中發現有用的信息。文獻[16]提出了一種3DSVAT系統，使用一種新的可視化抽象建模來描述安全數據，但是其可視化模型難以被用戶所理解。

針對以上不足，在分析網絡安全數據特性的基礎上，本文提出了一種異構樹網絡安全數據組織方法，實現了用戶對感興趣信息的快速檢索，提高了用戶的交互效率。同時，為了在相同時間內傳遞更多的信息給用戶，更好地展示網絡活動特征，一種新的多層球面空間3D可視化模型(MSVM)被提出。通過該3D可視化模型，用戶能夠有效識別不同類型的入侵訪問，并進行網絡取證。

1 異構樹網絡安全數據組織方法

網絡安全數據屬于非拓撲結構數據，主要包括防火墻數據、網絡流量數據(netflow)和入侵檢測系統(IDS)數據。如何對網絡安全數據進行有效的組織和規范，是網絡安全數據可視分析面臨的首要問題。因此，針對網絡安全數據的特點，綜合不同安全數據的共同特征，對數據進行預處理顯得尤為重要。

網絡安全數據具有規模龐大、高維、無結構、非數值型等特點，并且在數據關系分析層面上具有關系隱式化、時間依賴性強等困難[1]。為了提高對大規模網絡安全數據的訪問效率，充分利用網絡安全數據中的相同特征元素，如源地址、目標地址、記錄時間等，提出了一種基于字典樹(trie tree)和多叉樹的異構樹網絡安全數據組織方法。

1.1 異構樹構造方法

異構樹由字典樹和多叉數兩部分組成，字典樹用于存儲和索引主機IP地址，多叉樹用于存儲和索引與主機節點相關的網絡安全數據。異構樹的構造如圖1所示。字典樹又稱為單詞查找樹。通常用于統計、排序和保存大量的字符串，常被搜索引擎系統用于文本詞頻的統計。它利用字符串的公共前綴減少查詢時間。由于十進制的IP地址具有公共前綴，因此，在異構樹的上部，采用字典樹對主機IP地址進行分類，如圖1所示，建立數據索引，能夠有效提高網絡安全數據檢索效率。

圖1 異構樹示意圖(圖中A表示空域，H表示多叉樹首部)

圖2 基于時間信息的多叉樹(圖中D表示時間節點，L表示日志信息地址)

由于網絡安全數據具有時序特征，并且根據用戶在檢索時通常伴隨篩選時間間隔的需求。因此，將所有的日志數據存儲在系統內存之中，并且在異構樹的下部，采用多叉樹進行索引，如圖2所示，如將一天的日志數據地址存儲在一個節點之下。這樣構建的索引樹，不僅能夠加快用戶的檢索速度，還可以加快異構樹的構造速度，進一步提高檢索訪問效率。

1.2 異構樹的優化策略

當數據量過于龐大時，異構樹下部的節點將無法保存在計算機的內存中，不利于快速訪問。為解決這個問題，異構樹組織結構需要進一步優化。為了充分利用內存訪問速度快和磁盤存儲容量大兩者的優勢，日志數據和異構樹可被分離存儲，異構樹被存儲在計算機的內存之中，以便訪問全局數據。由于XML格式文件具有能夠表示數據結構的優點[17]，因此，將日志數據轉換為XML格式的文件存儲在計算機硬盤中。用戶檢索主機相關數據信息時，只需要從計算機內存中匹配異構樹，從中找到XML對應的位置即可找到相應的日志信息。

利用這種數據預處理和存儲方法，用戶可以快速進行信息檢索。由于該數據結構的特點，當網絡安全日志中的地址信息量越大且分布越離散時，該方法的優勢越為明顯。

2 多層球面空間可視化模型

為了解決2D可視化方法中圖形繪制之間互相遮擋或者過于密集，導致忽略重要信息的問題，提出一種基于3D技術的多層球面空間可視化模型(MSVM)對大規模網絡安全數據進行可視化分析。該模型由多個球面組成，每層球面(sphere)對應一個網段；鑲嵌在每層球面的球體代表相應的網絡結點，球體的顏色映射球體在網絡中的角色，如Web服務器、郵件服務器等。球體在球面的坐標使用IP地址映射算法進行計算。球體的半徑表示結點的熱度，球體結點間的連線表示主機之間的聯系，運動的粒子表示數據的流動。多層球面空間可視化模型如圖3所示，用戶能夠從該模型中清晰地識別主機結點所在的網段、多個主機結點之間的關系，以及主機結點在網絡中的角色等信息。

圖3 多層球面空間可視化模型

2.1 MSVM模型設計

為了直觀展示網絡拓撲中的潛在信息和網絡節點之間的關系，主機IP地址映射為球體坐標，設IPi為輸入IP地址集合S中第i個主機地址，i=1,2,,n ，則IPi在MSVM中坐標的映射算法描述如下：

BEGIN

INPUT主機IPi地址

將輸入IPi地址按照字節長度分割：

計算結點的球面坐標參數,αβ：

設maxR為球面最大半徑，則IPi對應的球面半徑為：

將IPi對應的球面坐標轉換為三維空間坐標：

2.2 MSVM分析設計

MSVM分析設計包括：全局分析、關系分析和細節分析3種分析模式。全局分析主要針對主機熱度進行分析；關系分析主要針對主機間關系進行分析；細節分析主要針對某時刻的數據進行詳細分析。

2.2.1 全局分析

定義ti時刻k結點的熱度函數為：

式中，t1,t2,ti,ti+1,ti+2,,tn,ti+1>ti為等間隔的離散時間點。熱度函數描述了主機結點接收或者發送的數據量。

設時間區域的開始時刻為ts，截止時刻為te，則第k個結點，繪制的球體半徑定義為：

式中，T(ts,te)為用戶感興趣時間段；λscale為全局可視化空間的比例調整參數。在全局分析模式中，球體繪制的半徑反映了網絡結點的熱度大小。

2.2.2 關系分析

采用球體之間的連線表示結點之間的聯系，用不同的顏色表示當前主機是偏向于發起連接還是接收數據。結點之間的關系映射為結點連線寬度，定義為：

式中，Ni,j(T(ts,te))表示在時間段T(ts,te)，網絡結點i和網絡結點j的日志數量。

2.2.3 細節分析

細節分析中，使用粒子軌跡來描述網絡結點之間數據的交互，粒子軌跡的起點和終點分別對應安全數據記錄中的發起者和接受者。粒子軌跡的計算采用文獻[18]提出的球體插值算法，從發送網絡結點地址到接收網絡結點地址，采用時間作為參數進行插值計算。粒子軌跡插值函數定義如下：式中，q0、q1分別是發送和接收主機空間坐標的四元數；為向量之間夾角；μ∈[0,1]為繪制調節參數。

在細節分析中，采用粒子軌跡插值能夠減少繪制遮擋，并在粒子繪制終止位置產生匯聚的效果，能夠為用戶直觀展示網絡拓撲結構和網絡活動信息，達到網絡安全評估的作用。

3 實驗結果與分析

3.1 原型系統實現

采用C++開發語言，OpenGL圖形API，本文設計并開發了基于多層球面空間結構的可視分析系統，系統界面可分為3個部分，如圖4所示。

圖4 MSVM原型系統界面

圖中，左上區域為控制面板區域，為用戶提供了分析模式選擇，球面空間半徑、球體顏色透明度等參數控制，以及參數配置文件保存和讀取功能。中間區域為主繪制區，為用戶提供了MSVM模型的顯示和交互。該區域包含全局分析模式、關系分析模式及細節分析模式。右上區域為詳細信息區域，該區域顯示當前焦點網絡結點的信息，同時，為用戶提供了可拖曳信息欄，方便用戶跟蹤觀察特定網絡結點。下部區域為時間線區域。在該區域，用戶可通過Focus+Contex交互方式，選擇時間線內任何時段范圍的網絡安全數據，以便觀察數據在較長時間跨度的時序變化情況。

3.2 實驗結果

為了驗證本文可視化方法的有效性，在Intel i7 (3.5 GHz)處理器，8 GB內存，MacOS 10.10(64 bit)平臺上對原型系統進行了實驗。測試數據采用VAST Challenge 2013[19]中的網絡安全數據集，數據詳細信息如表1所示。

表1 實驗數據集

可視化結果如圖5所示。首先采用全局分析方式，使用時間線搜索4月7日～4月15日所有的Netflow日志數據，對該數據特點進行可視化分析。圖5a顯示了MSVM模型的接收數據量狀態。通過對時間線的觀察，發現在4月11日12點及4月15日15點Netflow日志數據出現了兩次極大峰值，特別是在4月11日12點左右，數據峰值最為明顯。接著移動時間線，選擇時間在4月11日12點～13點，觀察MSVM模型，發現有3個結點半徑遠大于其他結點，這代表著該結點的接收數據量遠高于其他結點。在對這些結點的屬性進行詳細觀察后，發現這些結點都是Web服務器，并且都在同一個網段。為了觀察結點發送數據情況，如圖5b給出了MSVM模型發送數據量的狀態。通過對MSVM模型的詳細觀察，發現有20臺左右的外網主機數據發送量異常巨大，將其加入關注列表對其重點關注。接著使用關系分析方式，從圖5c中可以發現，3臺Web服務器都和先前列入關注列表的20臺外網主機有大量的數據交互。最后使用細節分析方式，如圖5d所示，使用時間線搜索4月7日～4月15日所有的FireWall日志數據。在面板上選擇4月11日12點～4月11日13點的FireWall警報數據，進行動態可視化顯示。通過對MSVM模型進行一段時間的觀察，可以發現，3臺內網服務器和20余臺外網服務器之間有長時間且數量龐大的警報信息，表現出很明顯的Ddos攻擊特征。

3.3 用戶分析

為了得到用戶對MSVM系統的反饋評價，對21名志愿者根據個人喜好對不同的表現方式的選擇進行了統計。各選取了3個具有代表性的2D和3D可視化系統，2D系統來自文獻[21]的網站實例，分別為Color Maps，Parallel Coordinate和Scatter Plots ，3D系統來自文獻[15-16,21]，并且選擇了6個可視化系統常用評價指標對其進行評估。其中對方法的選擇均為不定項選擇，對于不同的2D或3D可視化系統，在表格中將其統一為2D或3D可視化方法，統計結果如表2所示。從表2可以發現，本文提出的3D可視化方法相比于其他可視化方法。具有更好的交互性，能夠更好地表現網絡活動，體現網絡拓撲結構，具有較優的異常行為識別能力，更能引起用戶的興趣。

圖5 VAST Challenge 2013網絡安全數據集實驗結果

表2 原型系統用戶反饋列表

4 結 論

本文在分析網絡安全數據特點的基礎上，提出了利用異構樹結構進行數據組織，并提出了一種多層球面空間可視化模型。實驗結果表明，與傳統可視化方法相比，該3D可視化方法在網絡拓撲結構表現和異常行為識別上具有很大的優勢。今后工作將進一步深化本文研究課題，主要研究基于草圖的網絡安全數據可視分析方法。

[1] 呂良福, 張加萬, 孫濟洲, 等. 網絡安全可視化研究綜述[J]. 計算機應用, 2008, 28(8): 1924-1927. Lü Liang-fu, ZHANG Jia-wang, SUN Ji-zhou, et al. Review on the research of network security visualization[J]. Journal of Computer Application, 2008, 28(8): 1924-1927.

[2] KAKURU S. Behavior based network traffic analysis tool[C]//2011 IEEE 3rd International Conference on Communication Software and Networks (ICCSN). Xi’an: IEEE, 2011: 649-652.

[3] GOODALL J R. Visualization is better! a comparative evaluation[C]//6th International Workshop on Visualization for Cyber Security. Atlantic City, NJ: IEEE, 2009: 57-68.

[4] SESTAK K, HAVLICE Z. Visualization of critical properties of databases of information systems[C]//2015 IEEE 13th International Symposium on Applied Machine Intelligence and Informatics(SAMI). Herl'any: IEEE, 2015: 123-128.

[5] REN D, ZHANG X, WANG Z, et al. WeiboEvents: a crowd sourcing Weibo visual analytic system[C]//Pacific Visualization Symposium (PacificVis). Yokohama, Japan: IEEE, 2014: 330-334.

[6] KEIM D A. Information visualization and visual data mining[J]. IEEE Transactions on Visualization and Computer Graphics , 2002, 8(1): 1-8.

[7] CARVAJAL A. Quantitative comparison between the use of 3D vs 2D visualization tools to present building design proposals to non-spatial skilled end users[C]//9th International Conference on Information Visualisation. Washington DC, USA: IEEE Computer Society, 2005: 291-294.

[8] STOTT D T, GREENWALD L G, KREIDL O P, et al. Tolerating adversaries in the estimation of network parameters from noisy data: a nonlinear filtering approach[C]//Military Communications Conference, 2009. Boston, MA, USA: IEEE, 2009: 1-7.

[9] LAU S, RED C, NIMDA B, et al. The magazine archive includes every article published in communications of the ACM for over the past 50 years[J]. Communications of the ACM, 2004, 47(6): 25-26.

[10] WARE C. Information visualization: Perception for design[M]. Waltham, MA: Elsevier, 2013.

[11] KOIKE H, OHNO K. SnortView: Visualization system of snort logs[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. New York, USA: ACM, 2004: 143-147.

[12] COCKBURN A. Revisiting 2D vs 3D implications on spatial memory[C]//Proceedings of the 5th Conference on Australasian User Interface. Sydney, Australia: Australian Computer Society Inc, 2004: 25-31.

[13] HUBONA G S, WHEELER P N, SHIRAH G W, et al. The relative contributions of stereo, lighting, and background scenes in promoting 3D depth visualization[J]. ACM Transactions on Computer-Human Interaction (TOCHI), 1999, 6(3): 214-242.

[14] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(8): 1313-1329.

[15] NUNNALLY T, CHI P, ABDULLAHK, et al. P3D: a parallel 3D coordinate visualization for advanced network scans[C]//2013 IEEE International Conference on Communications (ICC). Budapest, Hungary: IEEE, 2013: 2052- 2057.

[16] NUNNALLY T, ULUAGAC A S, COPELAND J A, et al. 3DSVAT: a 3D stereoscopic vulnerability assessment tool for network security[C]//2012 IEEE 37th conference on Local Computer. FL: IEEE. 2012: 111- 118.

[17] NAEDELE M. Standards for XML and Web services security[J]. Computer, 2003, 36(4): 96-98.

[18] SHOEMAKE K. Animating rotation with quaternion curves[C]//ACM SIGGRAPH computer graphics. New York, USA: ACM, 1985, 19(3): 245-254.

[19] Vacommunity.VAST challenge homepage in vacommuity [EB/OL]. [2014-10-11]. http://www. vacommuity.org/ VAST, 2013.

[20] BOSTOCK M. D3 Example[EB/OL]. [2014-10-11]. https://github.com/mbostock/d3/wiki/Gallery

[21] BODUROV V. VectorVisualizer[EB/OL]. [2014-10- 11]. http://www.bodurov.com/VectorVisualizer/.

編輯蔣 曉

3D Visualization Method for Network Security Data

WU Ya-dong, JIANG Hong-yu, ZHAO Si-rui, and LI Bo
(School of Computer Science and Technology, Southwest University of Science and Technology Mianyang Sichuan 621010)

To improve the efficiency of large-scale network security data visual analysis, a network security data organization method based on heterogeneous tree is proposed. A three-dimension multi-sphere visualization model(MSVM) which aims at large-scale network visualization is designed to enhance interactivity and efficiency of visualization system. Finally, a visual analytic prototype system based on MSVM is developed. Experiment results show that the proposed visualization method is very effective in analyzing large-scale and discrete network security data.

abnormal intrusion; large-scale network; network security; visual analytic

TP393.08

A doi:10.3969/j.issn.1001-0548.2015.04.020

2014 ? 11 ? 07；

2015 ? 05 ? 13

國家自然科學基金(61303127)；核廢物與環境安全國防重點學科實驗室(13zxnk12)；四川省科技廳科技支撐計劃項目(2014SZ0223)；四川省教育廳重點項目(13ZA0169)；四川省科技創新苗子工程資助項目基金(2014-043)

吳亞東(1979 ? )，男，教授，主要從事圖像圖形處理、可視化方面的研究.