网络安全数据可视化概述的论文
2020-09-24 19:18:51 325
随着网络通信技术的发展,网络应用的迅猛发展对网络安全提出了很高的要求。一直以来,由各种网络监控设备收集的大量日志数据是人们对网络状态的掌握,并确定网络入侵的主要信息来源。在处理网络安全问题时,网络安全分析人员首先了解网络状态,通过分析对应的数据发现异常现象,然后综合诊断异常事件的特征及其对网络的影响。最后,采取了相应的应对措施。但是,随着网络安全要求的不断提高,网络安全分析人员在分析网络安全数据时遇到了许多新的困难:1)异构数据源,数据量不断增加,给分析人员带来沉重的认知负担; 2)新的攻击类型的出现和攻击复杂性的增加,使得许多传统的数据分析方法不再有效; 3)大量误报和误报是由于某些自动异常检测系统的缺点所致; 4)传统思想集中在局部异常分析上,这使得分析人员难以掌握宏观网络状况。如何帮助网络安全分析人员更有效地分析网络安全数据已经成为网络安全领域中一个非常重要和紧迫的问题。在解决网络安全问题的过程中,人们的认知和判断始终处于主导地位。帮助人们更好地分析网络安全数据的实际方法是以图形图像的形式表示数据,并提供友好的交互方式,建立人与数据之间的图像通信,并借助人们的视觉处理能力来观察网络安全数据。隐藏信息以进一步提高分析人员感知,分析和理解网络安全问题的能力。因此,许多学者提出将可视化技术引入网络安全研究领域,并逐步形成了新的网络安全可视化交叉研究领域。早在1995年Becker等人。提议可视化网络流量状况,和Girardind等。
在1998年使用了各种可视化技术来分析防火墙日志记录。自2004年以来的国际网络安全性Visual Annual Meeting(forcybersecurity)(VizSec),标志着该领域的正式建立,并且从中出现了一批高质量的研究成果。从2004年到2006年,如图1所示。自2011年以来,国际视觉分析挑战赛
(VASTchallenge)网络安全数据已连续三年被用作竞赛的冠军,这推动了这一领域的新研究热潮。领域。关于中国网络安全可视化的研究起步较晚。来自大学,北京大学和中南大学等研究机构的一些团队进行了相关研究。经过十多年的发展,学者们在网络安全可视化领域提出了许多新颖的可视化设计,并开发了许多实用的交互式可视化分析工具。这也为传统的网络安全研究方法和分析人员的工作方式注入了新的活力:1)减轻了分析人员的认知负担; 2)异常检测和特征分析变得更加直观; 3)人们可以更自主地探索事件相关性和复杂的攻击模式,甚至可以发现新型攻击; 4)提高了网络安全状况检测和理解的效率。本文首先介绍了网络安全分析师需要处理的各种网络安全数据源,并着重从网络安全问题和网络安全可视化方法这两个角度,对现有研究成果进行了系统回顾,最后进行了发展。展望了网络安全可视化的趋势。图1网络安全可视化领域相关研究的年度摘要表
1网络安全数据简介网络安全分析师需要处理许多类型的网络安全数据。最重要的数据源来自各种网络监视设备。根据位于不同逻辑级别和不同物理位置的各种网络监视设备,收集到的信息的特征可以分为三种类型的网络监视数据:流量监视数据,状态监视数据和事件监视数据,如表1所示。 1.表1网络安全数据分类表分类数据名称数据源示例流量监视网络数据包日志Tcpdump,WireShark网络数据流日志CiscoNetFlow状态监视状态监视日志BigBrother,vSphere事件监视入侵检测系统日志Cisco,SNORT防火墙日志Cisco,Checkpoint ,华为入侵防御系统日志Cisco,IBM,天融信网络应用操作日志Apache,Exchange,DNS漏洞扫描和监控日志Honeypots,eEye,Nessus其他数据系统流量监控数据如配置文件,病毒样本等主要来自数据包级和流级协同选择级别。数据包级别的流量监控将记录TCP?每个报文的IP头信息和有效载荷内容;将进行流量级流量监控。将聚合网络会话的数据流,并且仅记录会话信息。数据量较小,并且更易于理解和管理。状态监视数据是指网络中各种软件和硬件资源的运行状态信息,例如CPU利用率,网络吞吐率,邮件服务等。它们可以通过SNMP协议或安装某些专业的状态监视产品来获取。事件监控数据分为异常检测日志和日常操作记录。异常检测日志主要来自防火墙和入侵检测系统等自动化网络防御设备生成的警报事件,这些警报事件基于原始监控数据(例如流量数据和状态数据),并通过规则匹配和算法处理生成。日常操作记录来自在各种网络服务和应用程序运行期间获得的用户操作信息,例如用户登录记录的管理服务器,域名服务器的域名解析请求记录等。
另外,也可以扫描网络漏洞通过蜜罐获得的数据和攻击者信息被视为事件监视数据。网络安全分析师在日常工作中还需要面对一些非监视性的网络安全数据,例如防火墙配置文件,网络路由表,病毒样本等。这些数据的可视化可以在许多方面为分析人员提供帮助。例如,Nataaraj将恶意软件样本可视化为灰度图像,并使用图像功能对样本进行分类。 Mansmann和其他人使用Sunburst图形来可视化防火墙配置规则树,以帮助管理员了解复杂的规则并协助进行调整。 2主要研究方法和发展现状网络安全可视化的研究首先确定了网络安全分析师的关注点,即哪些数据可用,哪些数据需要获取。然后设计视觉结构来表示数据,并建立从数据到视觉结构的映射。最后,设计人机交互功能,如缩放,聚焦,回放和关联更新,并完成人与视觉工具之间的通信,从而帮助分析人员观察网络安全数据信息中隐藏的信息,进一步提高分析人员的感知能力。 ,分析和了解网络安全问题。
