吳亞?wèn)|，蔣宏宇，趙思蕊，李 波

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 四川 綿陽(yáng) 621010)

網(wǎng)絡(luò)安全數(shù)據(jù)3D可視化方法

吳亞?wèn)|，蔣宏宇，趙思蕊，李 波

(西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 四川 綿陽(yáng) 621010)

針對(duì)大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)可視分析效率低下的問(wèn)題，提出了一種異構(gòu)樹(shù)網(wǎng)絡(luò)安全數(shù)據(jù)組織方法，提高了數(shù)據(jù)分析的實(shí)時(shí)性。為了增強(qiáng)分析系統(tǒng)的可交互性和提高對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的分析效率，設(shè)計(jì)了一種針對(duì)大規(guī)模網(wǎng)絡(luò)的三維多層球面空間可視化模型(MSVM)；開(kāi)發(fā)了基于以上技術(shù)的3D可視分析原型系統(tǒng)。實(shí)驗(yàn)結(jié)果表明，該方法針對(duì)大規(guī)模、高離散度的網(wǎng)絡(luò)安全數(shù)據(jù)具有較強(qiáng)的分析能力，能夠有效識(shí)別不同類型的入侵訪問(wèn)，便于網(wǎng)絡(luò)取證。

異常檢測(cè); 大規(guī)模網(wǎng)絡(luò); 網(wǎng)絡(luò)安全; 可視分析

隨著網(wǎng)絡(luò)復(fù)雜度的增加，網(wǎng)絡(luò)安全事件呈現(xiàn)出快速增長(zhǎng)的趨勢(shì)。為了滿足公司和機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的需求，攻擊防御系統(tǒng)、主機(jī)監(jiān)控系統(tǒng)、異常檢測(cè)系統(tǒng)和攻擊預(yù)測(cè)系統(tǒng)常被用于保護(hù)網(wǎng)絡(luò)安全。這些安全產(chǎn)品在長(zhǎng)時(shí)間的運(yùn)行中，產(chǎn)生了大量的日志信息等網(wǎng)絡(luò)安全數(shù)據(jù)，這些數(shù)據(jù)包含網(wǎng)絡(luò)用戶行為信息、網(wǎng)絡(luò)運(yùn)行狀態(tài)信息以及可能的入侵訪問(wèn)信息等，往往具有多維和非拓?fù)涞忍卣?。通過(guò)對(duì)這些網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行挖掘分析，能夠得到用戶行為模式、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)通信模式等重要信息[1]。

以往對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的分析大都采用文本分析方式來(lái)識(shí)別網(wǎng)絡(luò)活動(dòng)和模式[2]。但是，隨著網(wǎng)絡(luò)安全數(shù)據(jù)量的增加和安全數(shù)據(jù)復(fù)雜度的增高，數(shù)據(jù)分析所需的時(shí)間也越來(lái)越長(zhǎng)。目前，研究人員正在嘗試將網(wǎng)絡(luò)數(shù)據(jù)抽象為可視化形式進(jìn)行表示，以快速的發(fā)現(xiàn)和識(shí)別各種網(wǎng)絡(luò)行為[3]，并且利用可視化系統(tǒng)[4]或者可視分析系統(tǒng)[5]處理大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)，以更有效地表征網(wǎng)絡(luò)行為特征。與文本分析方法相比，可視化系統(tǒng)和可視分析系統(tǒng)能夠?qū)⒕W(wǎng)絡(luò)事件中的“Who、When、Where、Why、How”等特征更加快速呈現(xiàn)給用戶，使得用戶能夠更迅速和更準(zhǔn)確地評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。

目前，針對(duì)多維數(shù)據(jù)集存在多種二維(2D)可視化分析技術(shù)，包括Glyph、Color maps、ParallelCoordinate、Histogram及Scatter Plots[6]等。然而，隨著數(shù)據(jù)量的增大，2D可視化方法往往出現(xiàn)圖形之間互相遮擋或者過(guò)于密集，導(dǎo)致潛在的重要數(shù)據(jù)面臨被忽略的可能[7]。此外，2D可視化技術(shù)如果處理不得當(dāng)，還會(huì)導(dǎo)致信息過(guò)載和過(guò)多無(wú)用信息過(guò)度渲染等問(wèn)題發(fā)生[7]。文獻(xiàn)[8]雖然利用過(guò)濾技術(shù)解決了上述問(wèn)題，卻仍有可能由于過(guò)濾技術(shù)引入的參數(shù)設(shè)置不準(zhǔn)確導(dǎo)致重要數(shù)據(jù)被刪除。因此，研究人員又提出了擴(kuò)展可視化渲染區(qū)域的輔助策略，例如在可視化空間中，增加Z軸以顯示更多的數(shù)據(jù)[9]。

三維(3D)可視化模型與2D可視化模型相比，能夠容納更多的圖像信息[10]。如果3D可視化模型設(shè)計(jì)合理，能夠在相同時(shí)間內(nèi)傳遞給用戶更多數(shù)據(jù)，采用更清晰的表示以減少混亂信息[11]。此外，3D可視化方法在處理大規(guī)模分層數(shù)據(jù)時(shí)能夠幫助用戶建立空間記憶信息[12]。目前，研究人員正在使用3D立體技術(shù)增強(qiáng)用戶對(duì)3D空間的可視化感知[13]。面向網(wǎng)絡(luò)安全數(shù)據(jù)的3D可視化技術(shù)，不僅能夠減少2D可視分析方法引起的誤差，而且能夠增強(qiáng)對(duì)特殊網(wǎng)絡(luò)活動(dòng)的識(shí)別能力，提高網(wǎng)絡(luò)應(yīng)急響應(yīng)速率。目前，網(wǎng)絡(luò)安全3D可視化技術(shù)在國(guó)內(nèi)應(yīng)用較少[14]。在國(guó)外，文獻(xiàn)[15]將傳統(tǒng)的Parallel Coordinate進(jìn)行了拓展，提出采用3D Parallel Coordinate方法對(duì)安全數(shù)據(jù)進(jìn)行可視化，并取得了較好的效果。但是，該方法在數(shù)據(jù)量過(guò)大時(shí)，線條之間會(huì)發(fā)生重疊，難以從中發(fā)現(xiàn)有用的信息。文獻(xiàn)[16]提出了一種3DSVAT系統(tǒng)，使用一種新的可視化抽象建模來(lái)描述安全數(shù)據(jù)，但是其可視化模型難以被用戶所理解。

針對(duì)以上不足，在分析網(wǎng)絡(luò)安全數(shù)據(jù)特性的基礎(chǔ)上，本文提出了一種異構(gòu)樹(shù)網(wǎng)絡(luò)安全數(shù)據(jù)組織方法，實(shí)現(xiàn)了用戶對(duì)感興趣信息的快速檢索，提高了用戶的交互效率。同時(shí)，為了在相同時(shí)間內(nèi)傳遞更多的信息給用戶，更好地展示網(wǎng)絡(luò)活動(dòng)特征，一種新的多層球面空間3D可視化模型(MSVM)被提出。通過(guò)該3D可視化模型，用戶能夠有效識(shí)別不同類型的入侵訪問(wèn)，并進(jìn)行網(wǎng)絡(luò)取證。

1 異構(gòu)樹(shù)網(wǎng)絡(luò)安全數(shù)據(jù)組織方法

網(wǎng)絡(luò)安全數(shù)據(jù)屬于非拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)，主要包括防火墻數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)(netflow)和入侵檢測(cè)系統(tǒng)(IDS)數(shù)據(jù)。如何對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行有效的組織和規(guī)范，是網(wǎng)絡(luò)安全數(shù)據(jù)可視分析面臨的首要問(wèn)題。因此，針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的特點(diǎn)，綜合不同安全數(shù)據(jù)的共同特征，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理顯得尤為重要。

網(wǎng)絡(luò)安全數(shù)據(jù)具有規(guī)模龐大、高維、無(wú)結(jié)構(gòu)、非數(shù)值型等特點(diǎn)，并且在數(shù)據(jù)關(guān)系分析層面上具有關(guān)系隱式化、時(shí)間依賴性強(qiáng)等困難[1]。為了提高對(duì)大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)的訪問(wèn)效率，充分利用網(wǎng)絡(luò)安全數(shù)據(jù)中的相同特征元素，如源地址、目標(biāo)地址、記錄時(shí)間等，提出了一種基于字典樹(shù)(trie tree)和多叉樹(shù)的異構(gòu)樹(shù)網(wǎng)絡(luò)安全數(shù)據(jù)組織方法。

1.1 異構(gòu)樹(shù)構(gòu)造方法

異構(gòu)樹(shù)由字典樹(shù)和多叉數(shù)兩部分組成，字典樹(shù)用于存儲(chǔ)和索引主機(jī)IP地址，多叉樹(shù)用于存儲(chǔ)和索引與主機(jī)節(jié)點(diǎn)相關(guān)的網(wǎng)絡(luò)安全數(shù)據(jù)。異構(gòu)樹(shù)的構(gòu)造如圖1所示。字典樹(shù)又稱為單詞查找樹(shù)。通常用于統(tǒng)計(jì)、排序和保存大量的字符串，常被搜索引擎系統(tǒng)用于文本詞頻的統(tǒng)計(jì)。它利用字符串的公共前綴減少查詢時(shí)間。由于十進(jìn)制的IP地址具有公共前綴，因此，在異構(gòu)樹(shù)的上部，采用字典樹(shù)對(duì)主機(jī)IP地址進(jìn)行分類，如圖1所示，建立數(shù)據(jù)索引，能夠有效提高網(wǎng)絡(luò)安全數(shù)據(jù)檢索效率。

圖1 異構(gòu)樹(shù)示意圖(圖中A表示空域，H表示多叉樹(shù)首部)

圖2 基于時(shí)間信息的多叉樹(shù)(圖中D表示時(shí)間節(jié)點(diǎn)，L表示日志信息地址)

由于網(wǎng)絡(luò)安全數(shù)據(jù)具有時(shí)序特征，并且根據(jù)用戶在檢索時(shí)通常伴隨篩選時(shí)間間隔的需求。因此，將所有的日志數(shù)據(jù)存儲(chǔ)在系統(tǒng)內(nèi)存之中，并且在異構(gòu)樹(shù)的下部，采用多叉樹(shù)進(jìn)行索引，如圖2所示，如將一天的日志數(shù)據(jù)地址存儲(chǔ)在一個(gè)節(jié)點(diǎn)之下。這樣構(gòu)建的索引樹(shù)，不僅能夠加快用戶的檢索速度，還可以加快異構(gòu)樹(shù)的構(gòu)造速度，進(jìn)一步提高檢索訪問(wèn)效率。

1.2 異構(gòu)樹(shù)的優(yōu)化策略

當(dāng)數(shù)據(jù)量過(guò)于龐大時(shí)，異構(gòu)樹(shù)下部的節(jié)點(diǎn)將無(wú)法保存在計(jì)算機(jī)的內(nèi)存中，不利于快速訪問(wèn)。為解決這個(gè)問(wèn)題，異構(gòu)樹(shù)組織結(jié)構(gòu)需要進(jìn)一步優(yōu)化。為了充分利用內(nèi)存訪問(wèn)速度快和磁盤存儲(chǔ)容量大兩者的優(yōu)勢(shì)，日志數(shù)據(jù)和異構(gòu)樹(shù)可被分離存儲(chǔ)，異構(gòu)樹(shù)被存儲(chǔ)在計(jì)算機(jī)的內(nèi)存之中，以便訪問(wèn)全局?jǐn)?shù)據(jù)。由于XML格式文件具有能夠表示數(shù)據(jù)結(jié)構(gòu)的優(yōu)點(diǎn)[17]，因此，將日志數(shù)據(jù)轉(zhuǎn)換為XML格式的文件存儲(chǔ)在計(jì)算機(jī)硬盤中。用戶檢索主機(jī)相關(guān)數(shù)據(jù)信息時(shí)，只需要從計(jì)算機(jī)內(nèi)存中匹配異構(gòu)樹(shù)，從中找到XML對(duì)應(yīng)的位置即可找到相應(yīng)的日志信息。

利用這種數(shù)據(jù)預(yù)處理和存儲(chǔ)方法，用戶可以快速進(jìn)行信息檢索。由于該數(shù)據(jù)結(jié)構(gòu)的特點(diǎn)，當(dāng)網(wǎng)絡(luò)安全日志中的地址信息量越大且分布越離散時(shí)，該方法的優(yōu)勢(shì)越為明顯。

2 多層球面空間可視化模型

為了解決2D可視化方法中圖形繪制之間互相遮擋或者過(guò)于密集，導(dǎo)致忽略重要信息的問(wèn)題，提出一種基于3D技術(shù)的多層球面空間可視化模型(MSVM)對(duì)大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行可視化分析。該模型由多個(gè)球面組成，每層球面(sphere)對(duì)應(yīng)一個(gè)網(wǎng)段；鑲嵌在每層球面的球體代表相應(yīng)的網(wǎng)絡(luò)結(jié)點(diǎn)，球體的顏色映射球體在網(wǎng)絡(luò)中的角色，如Web服務(wù)器、郵件服務(wù)器等。球體在球面的坐標(biāo)使用IP地址映射算法進(jìn)行計(jì)算。球體的半徑表示結(jié)點(diǎn)的熱度，球體結(jié)點(diǎn)間的連線表示主機(jī)之間的聯(lián)系，運(yùn)動(dòng)的粒子表示數(shù)據(jù)的流動(dòng)。多層球面空間可視化模型如圖3所示，用戶能夠從該模型中清晰地識(shí)別主機(jī)結(jié)點(diǎn)所在的網(wǎng)段、多個(gè)主機(jī)結(jié)點(diǎn)之間的關(guān)系，以及主機(jī)結(jié)點(diǎn)在網(wǎng)絡(luò)中的角色等信息。

圖3 多層球面空間可視化模型

2.1 MSVM模型設(shè)計(jì)

為了直觀展示網(wǎng)絡(luò)拓?fù)渲械臐撛谛畔⒑途W(wǎng)絡(luò)節(jié)點(diǎn)之間的關(guān)系，主機(jī)IP地址映射為球體坐標(biāo)，設(shè)IPi為輸入IP地址集合S中第i個(gè)主機(jī)地址，i=1,2,,n ，則IPi在MSVM中坐標(biāo)的映射算法描述如下：

BEGIN

INPUT主機(jī)IPi地址

將輸入IPi地址按照字節(jié)長(zhǎng)度分割：

計(jì)算結(jié)點(diǎn)的球面坐標(biāo)參數(shù),αβ：

設(shè)maxR為球面最大半徑，則IPi對(duì)應(yīng)的球面半徑為：

將IPi對(duì)應(yīng)的球面坐標(biāo)轉(zhuǎn)換為三維空間坐標(biāo)：

2.2 MSVM分析設(shè)計(jì)

MSVM分析設(shè)計(jì)包括：全局分析、關(guān)系分析和細(xì)節(jié)分析3種分析模式。全局分析主要針對(duì)主機(jī)熱度進(jìn)行分析；關(guān)系分析主要針對(duì)主機(jī)間關(guān)系進(jìn)行分析；細(xì)節(jié)分析主要針對(duì)某時(shí)刻的數(shù)據(jù)進(jìn)行詳細(xì)分析。

2.2.1 全局分析

定義ti時(shí)刻k結(jié)點(diǎn)的熱度函數(shù)為：

式中，t1,t2,ti,ti+1,ti+2,,tn,ti+1>ti為等間隔的離散時(shí)間點(diǎn)。熱度函數(shù)描述了主機(jī)結(jié)點(diǎn)接收或者發(fā)送的數(shù)據(jù)量。

設(shè)時(shí)間區(qū)域的開(kāi)始時(shí)刻為ts，截止時(shí)刻為te，則第k個(gè)結(jié)點(diǎn)，繪制的球體半徑定義為：

式中，T(ts,te)為用戶感興趣時(shí)間段；λscale為全局可視化空間的比例調(diào)整參數(shù)。在全局分析模式中，球體繪制的半徑反映了網(wǎng)絡(luò)結(jié)點(diǎn)的熱度大小。

2.2.2 關(guān)系分析

采用球體之間的連線表示結(jié)點(diǎn)之間的聯(lián)系，用不同的顏色表示當(dāng)前主機(jī)是偏向于發(fā)起連接還是接收數(shù)據(jù)。結(jié)點(diǎn)之間的關(guān)系映射為結(jié)點(diǎn)連線寬度，定義為：

式中，Ni,j(T(ts,te))表示在時(shí)間段T(ts,te)，網(wǎng)絡(luò)結(jié)點(diǎn)i和網(wǎng)絡(luò)結(jié)點(diǎn)j的日志數(shù)量。

2.2.3 細(xì)節(jié)分析

細(xì)節(jié)分析中，使用粒子軌跡來(lái)描述網(wǎng)絡(luò)結(jié)點(diǎn)之間數(shù)據(jù)的交互，粒子軌跡的起點(diǎn)和終點(diǎn)分別對(duì)應(yīng)安全數(shù)據(jù)記錄中的發(fā)起者和接受者。粒子軌跡的計(jì)算采用文獻(xiàn)[18]提出的球體插值算法，從發(fā)送網(wǎng)絡(luò)結(jié)點(diǎn)地址到接收網(wǎng)絡(luò)結(jié)點(diǎn)地址，采用時(shí)間作為參數(shù)進(jìn)行插值計(jì)算。粒子軌跡插值函數(shù)定義如下：式中，q0、q1分別是發(fā)送和接收主機(jī)空間坐標(biāo)的四元數(shù)；為向量之間夾角；μ∈[0,1]為繪制調(diào)節(jié)參數(shù)。

在細(xì)節(jié)分析中，采用粒子軌跡插值能夠減少繪制遮擋，并在粒子繪制終止位置產(chǎn)生匯聚的效果，能夠?yàn)橛脩糁庇^展示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)活動(dòng)信息，達(dá)到網(wǎng)絡(luò)安全評(píng)估的作用。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 原型系統(tǒng)實(shí)現(xiàn)

采用C++開(kāi)發(fā)語(yǔ)言，OpenGL圖形API，本文設(shè)計(jì)并開(kāi)發(fā)了基于多層球面空間結(jié)構(gòu)的可視分析系統(tǒng)，系統(tǒng)界面可分為3個(gè)部分，如圖4所示。

圖4 MSVM原型系統(tǒng)界面

圖中，左上區(qū)域?yàn)榭刂泼姘鍏^(qū)域，為用戶提供了分析模式選擇，球面空間半徑、球體顏色透明度等參數(shù)控制，以及參數(shù)配置文件保存和讀取功能。中間區(qū)域?yàn)橹骼L制區(qū)，為用戶提供了MSVM模型的顯示和交互。該區(qū)域包含全局分析模式、關(guān)系分析模式及細(xì)節(jié)分析模式。右上區(qū)域?yàn)樵敿?xì)信息區(qū)域，該區(qū)域顯示當(dāng)前焦點(diǎn)網(wǎng)絡(luò)結(jié)點(diǎn)的信息，同時(shí)，為用戶提供了可拖曳信息欄，方便用戶跟蹤觀察特定網(wǎng)絡(luò)結(jié)點(diǎn)。下部區(qū)域?yàn)闀r(shí)間線區(qū)域。在該區(qū)域，用戶可通過(guò)Focus+Contex交互方式，選擇時(shí)間線內(nèi)任何時(shí)段范圍的網(wǎng)絡(luò)安全數(shù)據(jù)，以便觀察數(shù)據(jù)在較長(zhǎng)時(shí)間跨度的時(shí)序變化情況。

3.2 實(shí)驗(yàn)結(jié)果

為了驗(yàn)證本文可視化方法的有效性，在Intel i7 (3.5 GHz)處理器，8 GB內(nèi)存，MacOS 10.10(64 bit)平臺(tái)上對(duì)原型系統(tǒng)進(jìn)行了實(shí)驗(yàn)。測(cè)試數(shù)據(jù)采用VAST Challenge 2013[19]中的網(wǎng)絡(luò)安全數(shù)據(jù)集，數(shù)據(jù)詳細(xì)信息如表1所示。

表1 實(shí)驗(yàn)數(shù)據(jù)集

可視化結(jié)果如圖5所示。首先采用全局分析方式，使用時(shí)間線搜索4月7日～4月15日所有的Netflow日志數(shù)據(jù)，對(duì)該數(shù)據(jù)特點(diǎn)進(jìn)行可視化分析。圖5a顯示了MSVM模型的接收數(shù)據(jù)量狀態(tài)。通過(guò)對(duì)時(shí)間線的觀察，發(fā)現(xiàn)在4月11日12點(diǎn)及4月15日15點(diǎn)Netflow日志數(shù)據(jù)出現(xiàn)了兩次極大峰值，特別是在4月11日12點(diǎn)左右，數(shù)據(jù)峰值最為明顯。接著移動(dòng)時(shí)間線，選擇時(shí)間在4月11日12點(diǎn)～13點(diǎn)，觀察MSVM模型，發(fā)現(xiàn)有3個(gè)結(jié)點(diǎn)半徑遠(yuǎn)大于其他結(jié)點(diǎn)，這代表著該結(jié)點(diǎn)的接收數(shù)據(jù)量遠(yuǎn)高于其他結(jié)點(diǎn)。在對(duì)這些結(jié)點(diǎn)的屬性進(jìn)行詳細(xì)觀察后，發(fā)現(xiàn)這些結(jié)點(diǎn)都是Web服務(wù)器，并且都在同一個(gè)網(wǎng)段。為了觀察結(jié)點(diǎn)發(fā)送數(shù)據(jù)情況，如圖5b給出了MSVM模型發(fā)送數(shù)據(jù)量的狀態(tài)。通過(guò)對(duì)MSVM模型的詳細(xì)觀察，發(fā)現(xiàn)有20臺(tái)左右的外網(wǎng)主機(jī)數(shù)據(jù)發(fā)送量異常巨大，將其加入關(guān)注列表對(duì)其重點(diǎn)關(guān)注。接著使用關(guān)系分析方式，從圖5c中可以發(fā)現(xiàn)，3臺(tái)Web服務(wù)器都和先前列入關(guān)注列表的20臺(tái)外網(wǎng)主機(jī)有大量的數(shù)據(jù)交互。最后使用細(xì)節(jié)分析方式，如圖5d所示，使用時(shí)間線搜索4月7日～4月15日所有的FireWall日志數(shù)據(jù)。在面板上選擇4月11日12點(diǎn)～4月11日13點(diǎn)的FireWall警報(bào)數(shù)據(jù)，進(jìn)行動(dòng)態(tài)可視化顯示。通過(guò)對(duì)MSVM模型進(jìn)行一段時(shí)間的觀察，可以發(fā)現(xiàn)，3臺(tái)內(nèi)網(wǎng)服務(wù)器和20余臺(tái)外網(wǎng)服務(wù)器之間有長(zhǎng)時(shí)間且數(shù)量龐大的警報(bào)信息，表現(xiàn)出很明顯的Ddos攻擊特征。

3.3 用戶分析

為了得到用戶對(duì)MSVM系統(tǒng)的反饋評(píng)價(jià)，對(duì)21名志愿者根據(jù)個(gè)人喜好對(duì)不同的表現(xiàn)方式的選擇進(jìn)行了統(tǒng)計(jì)。各選取了3個(gè)具有代表性的2D和3D可視化系統(tǒng)，2D系統(tǒng)來(lái)自文獻(xiàn)[21]的網(wǎng)站實(shí)例，分別為Color Maps，Parallel Coordinate和Scatter Plots ，3D系統(tǒng)來(lái)自文獻(xiàn)[15-16,21]，并且選擇了6個(gè)可視化系統(tǒng)常用評(píng)價(jià)指標(biāo)對(duì)其進(jìn)行評(píng)估。其中對(duì)方法的選擇均為不定項(xiàng)選擇，對(duì)于不同的2D或3D可視化系統(tǒng)，在表格中將其統(tǒng)一為2D或3D可視化方法，統(tǒng)計(jì)結(jié)果如表2所示。從表2可以發(fā)現(xiàn)，本文提出的3D可視化方法相比于其他可視化方法。具有更好的交互性，能夠更好地表現(xiàn)網(wǎng)絡(luò)活動(dòng)，體現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具有較優(yōu)的異常行為識(shí)別能力，更能引起用戶的興趣。

圖5 VAST Challenge 2013網(wǎng)絡(luò)安全數(shù)據(jù)集實(shí)驗(yàn)結(jié)果

表2 原型系統(tǒng)用戶反饋列表

4 結(jié) 論

本文在分析網(wǎng)絡(luò)安全數(shù)據(jù)特點(diǎn)的基礎(chǔ)上，提出了利用異構(gòu)樹(shù)結(jié)構(gòu)進(jìn)行數(shù)據(jù)組織，并提出了一種多層球面空間可視化模型。實(shí)驗(yàn)結(jié)果表明，與傳統(tǒng)可視化方法相比，該3D可視化方法在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)表現(xiàn)和異常行為識(shí)別上具有很大的優(yōu)勢(shì)。今后工作將進(jìn)一步深化本文研究課題，主要研究基于草圖的網(wǎng)絡(luò)安全數(shù)據(jù)可視分析方法。

[1] 呂良福, 張加萬(wàn), 孫濟(jì)洲, 等. 網(wǎng)絡(luò)安全可視化研究綜述[J]. 計(jì)算機(jī)應(yīng)用, 2008, 28(8): 1924-1927. Lü Liang-fu, ZHANG Jia-wang, SUN Ji-zhou, et al. Review on the research of network security visualization[J]. Journal of Computer Application, 2008, 28(8): 1924-1927.

[2] KAKURU S. Behavior based network traffic analysis tool[C]//2011 IEEE 3rd International Conference on Communication Software and Networks (ICCSN). Xi’an: IEEE, 2011: 649-652.

[3] GOODALL J R. Visualization is better! a comparative evaluation[C]//6th International Workshop on Visualization for Cyber Security. Atlantic City, NJ: IEEE, 2009: 57-68.

[4] SESTAK K, HAVLICE Z. Visualization of critical properties of databases of information systems[C]//2015 IEEE 13th International Symposium on Applied Machine Intelligence and Informatics(SAMI). Herl'any: IEEE, 2015: 123-128.

[5] REN D, ZHANG X, WANG Z, et al. WeiboEvents: a crowd sourcing Weibo visual analytic system[C]//Pacific Visualization Symposium (PacificVis). Yokohama, Japan: IEEE, 2014: 330-334.

[6] KEIM D A. Information visualization and visual data mining[J]. IEEE Transactions on Visualization and Computer Graphics , 2002, 8(1): 1-8.

[7] CARVAJAL A. Quantitative comparison between the use of 3D vs 2D visualization tools to present building design proposals to non-spatial skilled end users[C]//9th International Conference on Information Visualisation. Washington DC, USA: IEEE Computer Society, 2005: 291-294.

[8] STOTT D T, GREENWALD L G, KREIDL O P, et al. Tolerating adversaries in the estimation of network parameters from noisy data: a nonlinear filtering approach[C]//Military Communications Conference, 2009. Boston, MA, USA: IEEE, 2009: 1-7.

[9] LAU S, RED C, NIMDA B, et al. The magazine archive includes every article published in communications of the ACM for over the past 50 years[J]. Communications of the ACM, 2004, 47(6): 25-26.

[10] WARE C. Information visualization: Perception for design[M]. Waltham, MA: Elsevier, 2013.

[11] KOIKE H, OHNO K. SnortView: Visualization system of snort logs[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security. New York, USA: ACM, 2004: 143-147.

[12] COCKBURN A. Revisiting 2D vs 3D implications on spatial memory[C]//Proceedings of the 5th Conference on Australasian User Interface. Sydney, Australia: Australian Computer Society Inc, 2004: 25-31.

[13] HUBONA G S, WHEELER P N, SHIRAH G W, et al. The relative contributions of stereo, lighting, and background scenes in promoting 3D depth visualization[J]. ACM Transactions on Computer-Human Interaction (TOCHI), 1999, 6(3): 214-242.

[14] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(8): 1313-1329.

[15] NUNNALLY T, CHI P, ABDULLAHK, et al. P3D: a parallel 3D coordinate visualization for advanced network scans[C]//2013 IEEE International Conference on Communications (ICC). Budapest, Hungary: IEEE, 2013: 2052- 2057.

[16] NUNNALLY T, ULUAGAC A S, COPELAND J A, et al. 3DSVAT: a 3D stereoscopic vulnerability assessment tool for network security[C]//2012 IEEE 37th conference on Local Computer. FL: IEEE. 2012: 111- 118.

[17] NAEDELE M. Standards for XML and Web services security[J]. Computer, 2003, 36(4): 96-98.

[18] SHOEMAKE K. Animating rotation with quaternion curves[C]//ACM SIGGRAPH computer graphics. New York, USA: ACM, 1985, 19(3): 245-254.

[19] Vacommunity.VAST challenge homepage in vacommuity [EB/OL]. [2014-10-11]. http://www. vacommuity.org/ VAST, 2013.

[20] BOSTOCK M. D3 Example[EB/OL]. [2014-10-11]. https://github.com/mbostock/d3/wiki/Gallery

[21] BODUROV V. VectorVisualizer[EB/OL]. [2014-10- 11]. http://www.bodurov.com/VectorVisualizer/.

編輯蔣 曉

3D Visualization Method for Network Security Data

WU Ya-dong, JIANG Hong-yu, ZHAO Si-rui, and LI Bo
(School of Computer Science and Technology, Southwest University of Science and Technology Mianyang Sichuan 621010)

To improve the efficiency of large-scale network security data visual analysis, a network security data organization method based on heterogeneous tree is proposed. A three-dimension multi-sphere visualization model(MSVM) which aims at large-scale network visualization is designed to enhance interactivity and efficiency of visualization system. Finally, a visual analytic prototype system based on MSVM is developed. Experiment results show that the proposed visualization method is very effective in analyzing large-scale and discrete network security data.

abnormal intrusion; large-scale network; network security; visual analytic

TP393.08

A doi:10.3969/j.issn.1001-0548.2015.04.020

2014 ? 11 ? 07；

2015 ? 05 ? 13

國(guó)家自然科學(xué)基金(61303127)；核廢物與環(huán)境安全國(guó)防重點(diǎn)學(xué)科實(shí)驗(yàn)室(13zxnk12)；四川省科技廳科技支撐計(jì)劃項(xiàng)目(2014SZ0223)；四川省教育廳重點(diǎn)項(xiàng)目(13ZA0169)；四川省科技創(chuàng)新苗子工程資助項(xiàng)目基金(2014-043)

吳亞?wèn)|(1979 ? )，男，教授，主要從事圖像圖形處理、可視化方面的研究.