网络安全数据可视化研究

李星华

【摘 要】网络安全数据可视化与可视分析所依赖的基础是数据，而网络安全数据时代数据的来源众多，且多来自于异构环境。即使获得数据源，得到的数据的完整性、一致性、准确性都难以保证，数据质量的不确定问题将直接影响可视分析的科学性和准确性。文章基于此，重点就网络安全数据可视化进行了研究和分析。

【关键词】网络安全；数据可视化；数据源

信息可视化领域经过几十年的发展，积累了大量各具特色的可视化表征，这将为网络安全数据可视化提供有力的支持。然而，绝大多数在当时看来创新的可视化技术，只能被少部分研究人员所接收，却难以获得广泛的认可和应用。原因在于大量的可视化表征的创造仅仅在于追求技术角度的创新，而忽视了可视化尤其是信息可视化领域的本源——符合人的认知规律和心理映像。针对网络安全数据所固有的特点，未来仍将涌现更多的可视化表征。然而目前仍缺乏公认的科学评价机制，对可视化表征设计的合理性、自然性、直观性及有效性等进行评估。

1网络安全可视化面临的问题

网络规模越来越大，网络安全数据量也急剧增长，网络中的主机还呈现出动态变化的特点。网络安全数据种类较多，它们之间既存在相关性和互补性，也存在冗余性，现有的可视化工具大多只针对单种数据源，如何借助可视化技术发挥多源安全数据的优势是亟待解决的问题。可视化技术可以提高人们对网络异常的认知效率，但是如何帮助网络管理人员快速建立对所监管的网络整体情况的有效认知，甚至是态势评估，显得尤为重要。为了应对这些挑战，设计并实现了一个应对大规模动态网络的多源网络安全数据协同可视分析系统，该系统的特点包括：从多种异构的网络安全数据中提取具有统一格式描述的事件信息和统计信息，将多源数据融合起来作为可视分析的数据输入。构建基于网络拓扑结构的自动布局方法，它能够适应网络主机的动态变化，也可以更快捷地帮助用户定位异常。设计了基于雷达图和对比堆叠流图的可视化工具，帮助用户发现网络异常，识别攻击模式，分析事件关联。

2网络安全可视化的发展现状

网络安全可视化的研究，首先是确定网络安全分析人员关心的问题，也就是有什么数据，需要从数据中获取什么信息；然后是设计可视化结构来表示数据，建立数据到可视化结构的映射；最后是设计缩放、聚焦、回放和关联更新等人机交互功能，完成人与可视化工具的交流，从而帮助分析人员观察网络安全数据中隐含的信息，进一步提高分析人员的感知、分析和理解网络安全问题的能力。无论是针对网络扫描、拒绝服务攻击、蠕虫传播等具体的网络入侵事件，还是针对网络监控、特征分析、态势感知等抽象的网络安全需求，面对不同的网络安全问题和数据源，设计不同的可视化结构和交互手段、采用不同的技术路线和分析思路，便可以形成不同的网络安全可视化研究方法。从网络安全分析人员的角度出发，按照从简单到复杂、从单一到整体、从低层到高层的思路，可以将人们关心的网络安全问题和网络安全可视化在网络安全中的应用分为5类：网络监控、异常检测、特征分析、关联分析和态势感知。

3网络安全数据可视化技术

3.1文本可视化

文本信息是网络安全数据时代非结构化数据类型的典型代表，是互联网中最主要的信息类型，也是物联网各种传感器采集后生成的主要信息类型，人们日常工作和生活中接触最多的电子文档也是以文本形式存在。文本可视化的意义在于，能够将文本中蕴含的语义特征（例如词频与重要度、逻辑结构、主题聚类、动态演化规律等）直观地展示出来。典型的文本可视化技术是标签云（wordclouds或tagclouds），将关键词根据词频或其他规则进行排序，按照一定规律进行布局排列，用大小、颜色、字体等图形属性对关键词进行可视化。目前，大多用字体大小代表该关键词的重要性，在互联网应用中，多用于快速识别网络媒体的主题热度。当关键词数量规模不断增大时，若不设置阈值，将出现布局密集和重叠覆盖问题，此时需提供交互接口允许用户对关键词进行操作，通常蕴含着逻辑层次结构和一定的叙述模式，为了对结构语义进行可视化，研究者提出了文本的语义结构可视化技术。基于主题的文本聚类是文本数据挖掘的重要研究内容，为了可视化展示文本聚类效果，通常将一维的文本信息投射到二维空间中，以便于对聚类中的关系予以展示。

3.2网络可视化

网络关联关系是网络安全数据中最常见的关系，例如互联网与社交网络。层次结构数据也属于网络信息的一种特殊情况。基于网络节点和连接的拓扑关系，直观地展示网络中潜在的模式关系，例如节点或边聚集性，是网络可视化的主要内容之一。对于具有海量节点和边的大规模网络，如何在有限的屏幕空间中进行可视化，将是网络安全数据时代面临的难点和重点。除了对静态的网络拓扑关系进行可视化，网络安全数据相关的网络往往具有动态演化性，因此，如何对动态网络的特征进行可视化，也是不可或缺的研究内容。研究者提出了大量网络可视化或图可视化技术。经典的基于节点和边可视化，是图可视化的主要形式。图中主要展示了具有层次特征的图可视化的典型技术，例如H状树H-Tree、圆锥树ConeTree、气球图BalloonView、放射图RadialGraph、三维放射图3DRadial、双曲树HyperbolicTree等。对于具有层次特征的图，空间填充法也是常采用的可视化方法，例如树图技术Treemaps及其改进技术。这些图可视化方法技术的特点是直观表达了图节点之间的关系，但算法难以支撑大规模图的可视化，并且只有当图的规模在界面像素总数规模范围以内时效果才较好，因此面临网络安全数据中的图，需要对这些方法进行改进，例如计算并行化、图聚簇简化可视化、多尺度交互等。

4结束语

网络安全可视化技术是网络安全领域一个新的研究热点，本文面向网络安全数据可视化技术做了探讨和分析，同时探讨了支持可视分析的人机交互技术，包括支持可视分析过程的界面隐喻与交互组件、多尺度/多焦点/多侧面交互技术、面向 Post-WIMP 的自然交互技术，最后，指出了网络安全数据可视分析领域面临的瓶颈问题与技术挑战。

参考文献：

[1]郭山清，多态蠕虫的研究与进展[J].计算机科学与探索，2015

[2]刘斌，分布式拒绝服务攻击研究新进展综述[J].电子学报，2016