第七屆網(wǎng)絡(luò)安全可視化（International Symposium on Visualization for Cyber Security ，后文簡(jiǎn)稱VizSec會(huì)議）最近在加拿大的渥太華市舉行。這是一個(gè)專注于安全領(lǐng)域可視化技術(shù)的小型國(guó)際會(huì)議，第一屆只是大型安全會(huì)議RAID（Recent Advance in Intrusion Detection）的一個(gè)小型討論會(huì)（Workshop），隨著這幾年的發(fā)展，已經(jīng)成為和RAID一起舉辦的國(guó)際會(huì)議，并吸引了國(guó)際一流安全研究人員的投稿和關(guān)注。

傳統(tǒng)的VizSec主題集中在如何可視化入侵檢測(cè)系統(tǒng)的結(jié)果和對(duì)網(wǎng)絡(luò)報(bào)文的屬性進(jìn)行可視化，以便通過人工發(fā)現(xiàn)警報(bào)，目前的VizSec的主題已擴(kuò)展到更一般的網(wǎng)絡(luò)事件，數(shù)據(jù)源也從警報(bào)和報(bào)文擴(kuò)展到流和流摘要這樣的網(wǎng)絡(luò)數(shù)據(jù)。本屆會(huì)議的文章主題更囊括了入侵檢測(cè)系統(tǒng)、流、拓?fù)?、代碼安全、密鑰安全等多個(gè)方面，我們挑選出這次會(huì)議的兩篇文章，為大家簡(jiǎn)單展示安全可視化在國(guó)際的發(fā)展現(xiàn)狀。

安全的地理可視化

通過地理視圖標(biāo)注安全事件可以幫助用戶從全局把握惡意代碼的傳播痕跡和分布特點(diǎn)，但傳統(tǒng)的通過不同顏色的點(diǎn)來(lái)標(biāo)注不同地區(qū)地理安全狀態(tài)的方法有很大的缺陷，本屆會(huì)議上，來(lái)自MIT的Tamara Yu等人發(fā)表的“EMBER: A Global Perspective on Extreme Malicious Behavio”一文，從另一個(gè)角度來(lái)展示地理安全視圖。Yu等人指出傳統(tǒng)的標(biāo)注方法沒有考慮到擁有大量人口和網(wǎng)絡(luò)的大城市的安全事件的絕對(duì)數(shù)量自然要比發(fā)展中城市大，如果要對(duì)城市的安全水平有更好的了解，必須根據(jù)城市的計(jì)算機(jī)人口對(duì)安全事件進(jìn)行正則化處理。

作者提出了EMBER（過度惡意行為觀測(cè)系統(tǒng)），該系統(tǒng)可以對(duì)城市的惡意行為活動(dòng)等級(jí)進(jìn)行觀測(cè)和分析。EMBER系統(tǒng)使用了名為標(biāo)準(zhǔn)事件率（SIR）的測(cè)度來(lái)評(píng)估不同城市的安全等級(jí)。直觀來(lái)看，該測(cè)度就是每個(gè)城市單位數(shù)量主機(jī)所呈現(xiàn)的惡意行為統(tǒng)計(jì)。EMBER通過以下的算法來(lái)進(jìn)行SIR指數(shù)的計(jì)算：

1.首先將IP地址映射到所屬的地址城市；

2.根據(jù)第三方資源獲得該城市的人口信息；

3.根據(jù)從DShield獲得的攻擊日志統(tǒng)計(jì)每個(gè)城市的攻擊事件（以天為單位）；

4.根據(jù)IP地址和人口信息對(duì)攻擊事件數(shù)量進(jìn)行正則化處理。

根據(jù)SIR指數(shù)的計(jì)算，同樣規(guī)模的大城市，東歐城市的SIR指數(shù)要遠(yuǎn)高于地處東亞的韓國(guó)和日本城市。這種SIR指數(shù)的差異有多種原因，一方面說(shuō)明東亞國(guó)家在網(wǎng)絡(luò)安全策略配置和用戶安全意識(shí)上要遠(yuǎn)高于東歐國(guó)家，另一方面惡意代碼傳播的模型也會(huì)對(duì)SIR指數(shù)的分布有影響。Yu等人認(rèn)為惡意代碼傾向于本地傳播的特性會(huì)加大SIR指數(shù)的不均勻性，導(dǎo)致了現(xiàn)實(shí)中城市的SIR指數(shù)呈現(xiàn)長(zhǎng)尾分布，少數(shù)安全環(huán)境較差的城市會(huì)獲得非常高的SIR指數(shù)，而大多數(shù)城市的SIR指數(shù)則在相當(dāng)長(zhǎng)的范圍內(nèi)分散。

安全事件發(fā)現(xiàn)

安全事件發(fā)現(xiàn)是安全事件可視化的傳統(tǒng)研究重點(diǎn)，隨著流量規(guī)模的不斷擴(kuò)大，利用可視化計(jì)劃將流量完全展示出來(lái)讓管理員發(fā)現(xiàn)安全事件也變得越來(lái)越難。來(lái)自IBM的蘇黎世安全實(shí)驗(yàn)室的Eduard Glatz發(fā)表的“Visualizing Host Traffic through Graphs”展示了如何在高速流量下通過可視化技術(shù)發(fā)現(xiàn)可疑流量。

作者提出了一種名為主機(jī)應(yīng)用性質(zhì)圖(HAP圖)的方法來(lái)描述主機(jī)的連接，HAP圖采用Socket機(jī)制來(lái)刻畫主機(jī)連接信息，通過本地地址、協(xié)議號(hào)、本地端口、遠(yuǎn)程端口和遠(yuǎn)程地址的順序?qū)⒅鳈C(jī)連接信息逐層連接成圖。通過HAP圖，作者首先對(duì)主機(jī)的性質(zhì)進(jìn)行描述，將主機(jī)劃分為不同種類的服務(wù)器、客戶端和P2P節(jié)點(diǎn)。根據(jù)主機(jī)的性質(zhì)對(duì)連接中合法的流量進(jìn)行剔除，那么剩下的就是可疑流量的候選。對(duì)于剩下的流量，作者舉例說(shuō)明如何再?gòu)钠渲袑ふ覓呙?、DDoS等攻擊模式。