◆丁曉旭 方 勇 黃 誠(chéng)

基于地理位置的網(wǎng)絡(luò)安全可視化研究與應(yīng)用

◆丁曉旭 方 勇 黃 誠(chéng)

（四川大學(xué)電子信息學(xué)院 四川 610000）

網(wǎng)絡(luò)安全技術(shù)與數(shù)據(jù)可視化的結(jié)合形成了網(wǎng)絡(luò)安全可視化這一新的熱點(diǎn)研究方向。本文主要研究了可視化結(jié)構(gòu)中的地理位置結(jié)構(gòu)在網(wǎng)絡(luò)網(wǎng)絡(luò)安全方面的實(shí)現(xiàn)與表現(xiàn)，以及針對(duì)這種結(jié)構(gòu)如何處理數(shù)據(jù)令其成為合適的視圖輸入。地理位置結(jié)構(gòu)可以展示數(shù)據(jù)所對(duì)應(yīng)的空間地理位置信息，如經(jīng)緯度、國(guó)家和城市等?？梢赃M(jìn)行基于地理坐標(biāo)的攻擊曲線、攻擊效果、動(dòng)畫光圈的繪制，在本系統(tǒng)中可以用來實(shí)時(shí)鎖定攻擊源的地理位置，以及整體攻擊狀況的地理分布情況。

網(wǎng)絡(luò)安全；數(shù)據(jù)可視化；地理位置結(jié)構(gòu)

0 前言

隨著網(wǎng)絡(luò)應(yīng)用，網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)逐漸為人們生活、工作不可缺少的一部分，其面對(duì)的安全威脅越來越大、越來越復(fù)雜。網(wǎng)絡(luò)安全問題成為人們關(guān)注的重要問題。為了應(yīng)對(duì)層出不窮的網(wǎng)絡(luò)攻擊，技術(shù)人員開發(fā)出各種網(wǎng)絡(luò)安全工具、設(shè)備，這些設(shè)備的運(yùn)行過程中會(huì)產(chǎn)生海量數(shù)據(jù)，捕獲的攻擊行為數(shù)據(jù)、日常運(yùn)行產(chǎn)生的日志信息等。

研究人員需要從海量數(shù)據(jù)中提取有效信息，從而達(dá)到及時(shí)預(yù)警甚至預(yù)判攻擊者行為的目的,傳統(tǒng)分析方法面臨認(rèn)知負(fù)擔(dān)過重、交互性不強(qiáng)等一系列問題，就需要運(yùn)用可視化技術(shù)[1]，對(duì)信息進(jìn)行分門別類，通過圖表的方式直觀、清晰的展示出來，幫助工作人員更好的掌握重點(diǎn)、提高人的分析效率。網(wǎng)絡(luò)安全和可視化技術(shù)順應(yīng)需求相結(jié)合,形成了網(wǎng)絡(luò)安全可視化[2]這一新的研究方向。

特別是自2004年始，每年召開一次的網(wǎng)絡(luò)安全可視化國(guó)際會(huì)議（The International for computer security，Viz SEC）[3]，推動(dòng)著該研究領(lǐng)域的發(fā)展。Tudum在2002年進(jìn)行了基于三維可視化系統(tǒng)來監(jiān)控和審計(jì)系統(tǒng)日志的研究[4]。Chris W 等人[5]在 2007年研發(fā)的可視化工具，通過郵件日志利用二維，三維散點(diǎn)圖，堆疊折線圖尋找垃圾郵件的發(fā)送源和中轉(zhuǎn)站。就國(guó)內(nèi)而言，2014 年中南大學(xué)趙穎等人[6]提出的可視化系統(tǒng)針對(duì)已經(jīng)過特征融合的多源日志，利用堆疊流圖和雷達(dá)圖展示出設(shè)備遭遇安全事件的整體情況，某一時(shí)間點(diǎn)發(fā)生了某一類安全事件的所有設(shè)備，并進(jìn)行端口活動(dòng)情況的監(jiān)控。

但是目前為止，對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)可視化的研究，要么是對(duì)單一數(shù)據(jù)形式的深入挖掘、分析、可視化，要么雖然是基于多樣化的數(shù)據(jù)源，但使用的雷達(dá)圖，力引導(dǎo)圖等，雖然對(duì)數(shù)據(jù)進(jìn)行了可視化展示，但是不直觀明了，當(dāng)工作人員看到這些視圖時(shí)并不能第一時(shí)間把握網(wǎng)絡(luò)當(dāng)前威脅情況，需要進(jìn)行很多其他交互操作或具備相關(guān)知識(shí)儲(chǔ)備才能很好地獲取信息。針對(duì)以上問題，本文設(shè)計(jì)、實(shí)現(xiàn)了能對(duì)當(dāng)前網(wǎng)絡(luò)安全情況一目了然、交互操作簡(jiǎn)潔的基于地理位置的網(wǎng)絡(luò)安全可視化的web頁面應(yīng)用。

1 相關(guān)知識(shí)

1.1 可視化結(jié)構(gòu)

已知可視化結(jié)構(gòu)是指設(shè)計(jì)者采用某種組織方法對(duì)原始信息進(jìn)行分類、排序和控制，并采用視覺圖形化的方式將信息呈現(xiàn)給用戶［7］。能夠真實(shí)的展示數(shù)據(jù)，并使得數(shù)據(jù)被人正確理解，才是可用的數(shù)據(jù)化可視方法。目前，應(yīng)用在網(wǎng)絡(luò)安全方面的數(shù)據(jù)可視化結(jié)構(gòu)主要有以下幾類:列表式結(jié)構(gòu)，坐標(biāo)式結(jié)構(gòu)，樹圖結(jié)構(gòu)，地理位置結(jié)構(gòu)，散列結(jié)構(gòu)，形狀編碼結(jié)構(gòu)，嵌套結(jié)構(gòu)等。

列表式結(jié)構(gòu)一般由基礎(chǔ)的行/列結(jié)構(gòu)組成，將每條信息的詳細(xì)屬性直觀的展示出來，適用于各種場(chǎng)景；坐標(biāo)式結(jié)構(gòu)由坐標(biāo)軸和數(shù)據(jù)內(nèi)容在坐標(biāo)軸上的映射兩部分組成，一條坐標(biāo)軸可對(duì)應(yīng)一個(gè)屬性維度，如果數(shù)據(jù)集較少，那么使用合適的坐標(biāo)式類型可以使得在二維平面就能看到每個(gè)數(shù)據(jù)的屬性，針對(duì)大型數(shù)據(jù)，也能夠反映屬性之間的走向情況以及不同字段之間的關(guān)系；樹狀結(jié)構(gòu)是表示數(shù)據(jù)體之間關(guān)系的結(jié)構(gòu)，可以表示如層級(jí)關(guān)系、相互影響程度關(guān)系等；地理位置結(jié)構(gòu)可以展示數(shù)據(jù)的空間地理信息，如經(jīng)緯度、所屬國(guó)家、城市等。對(duì)空間數(shù)據(jù)信息的展示，是地理位置結(jié)構(gòu)最明顯的特征，它可以將地理圖形與數(shù)據(jù)屬性之間建立關(guān)系。在網(wǎng)絡(luò)安全中，通過地理位置結(jié)構(gòu)，主要可以用來快速鎖定攻擊源地理位置，把握攻擊數(shù)據(jù)地理位置分布情況等。

1.2 可視化工具庫

隨著數(shù)據(jù)可視化的興起，誕生了許多可視化工具庫。主要分為兩類，一是原生的可視化工具，需要使用者上傳數(shù)據(jù)，再選擇恰當(dāng)?shù)膱D表；一種是基于JavaScript的WEB可視化插件庫，通過編程綁定數(shù)據(jù)，在瀏覽器上實(shí)時(shí)顯示。本系統(tǒng)需要實(shí)時(shí)展示攻擊數(shù)據(jù)，因此選擇第二種。

具有成熟的代碼庫以及參考示例的常用可視化插件庫有以下三種:D3.js[8]、Highcharts.js[9]、Echarts.js[10]。其中Echarts.js是基于Canvas的純Javascript圖表庫，底層依賴輕量級(jí)的Zrender庫，可以繪制生動(dòng)、清晰、高交互性的的數(shù)據(jù)可視化圖表；提供豐富的自定義配置選項(xiàng)，能夠從全局、系列、數(shù)據(jù)三個(gè)層級(jí)去設(shè)置數(shù)據(jù)圖形的樣式。由于Echarts支持的圖表廣泛，且簡(jiǎn)單易用，維護(hù)方便，故在本文實(shí)際應(yīng)用中選擇了Echarts可視化工具。

1.3 信息可視化參考模型

為了利用可視化技術(shù)進(jìn)行數(shù)據(jù)到視圖的映射，更準(zhǔn)確的表達(dá)數(shù)據(jù)之間的關(guān)系，Card等人在1999年提出了信息可視化參考模型（Reference Model for Visualization）[11]，如圖1所示。

圖1 信息可視化模型

從左到右，即原始數(shù)據(jù)到可視化表達(dá)的整個(gè)過程。首先是對(duì)數(shù)據(jù)源進(jìn)行去冗余、去無效的清洗操作，將數(shù)據(jù)解析成可以作為視圖數(shù)據(jù)輸入的形式，統(tǒng)一存入數(shù)據(jù)庫中。然后選取適當(dāng)?shù)谋磉_(dá)數(shù)據(jù)的可視化結(jié)構(gòu)，將第一步中處理的數(shù)據(jù)再根據(jù)相應(yīng)的可視化算法模型映射到視圖中。

2 基于地理位置的威脅警報(bào)可視化的實(shí)現(xiàn)

2.1 可視化實(shí)現(xiàn)流程

結(jié)合信息可視化參考模型與本文研究的基于地理位置的威脅警報(bào)可視化的實(shí)現(xiàn)過程，具體的可視化實(shí)現(xiàn)流程圖如下所示。

圖2 可視化實(shí)現(xiàn)流程圖

2.2 關(guān)鍵技術(shù)

2.2.1 源數(shù)據(jù)的清洗與解析

本文研究數(shù)據(jù)基于蜜罐[10]技術(shù)的內(nèi)網(wǎng)安全檢測(cè)預(yù)警系統(tǒng),通過部署蜜罐檢測(cè)終端,模擬80端口HTTP協(xié)議、22端口SSH協(xié)議、1433端口MSSQL數(shù)據(jù)庫、3306端口MYSQL數(shù)據(jù)庫等服務(wù)協(xié)議,誘導(dǎo)攻擊者攻擊蜜罐終端并對(duì)攻擊者的攻擊信息進(jìn)行收集。

將蜜罐傳到服務(wù)器的原始數(shù)據(jù)進(jìn)行清洗與解析，這里清洗是指去掉無效數(shù)據(jù)與冗余數(shù)據(jù)，解析是根據(jù)攻擊者IP這一字段匯集相關(guān)信息定義一次攻擊為一條數(shù)據(jù)并以JSON格式用webSocket發(fā)送到前端。

表1 重要字段說明

2.2.2 可視化映射過程的算法研究

本文進(jìn)行的可視化算法研究是以雷達(dá)圖的3W（what，where，when）模型[9]為基礎(chǔ)，將其變形、改進(jìn)WWS（when，where，scale）模型，使其更適合本文的基于地理位置的實(shí)時(shí)威脅警報(bào)視圖的映射。詳細(xì)算法如下:

（1）提取一條數(shù)據(jù)的5有效字段分別對(duì)應(yīng)三個(gè)維度信息，生成方程（1），選取一次記錄中的攻擊時(shí)間，攻擊源IP、目的IP、攻擊使用的協(xié)議、攻擊的端口和攻擊使用的工具，分別對(duì)應(yīng)方程式中的when，where，scale；

（2）將上述公式中三種維度屬性轉(zhuǎn)換成幾何數(shù)值，才可以作為可視化的數(shù)據(jù)輸入。時(shí)間坐標(biāo)表示將記錄中的攻擊時(shí)間對(duì)應(yīng)到實(shí)時(shí)的動(dòng)畫發(fā)生的時(shí)間，地理坐標(biāo)表示將記錄中的IP地址轉(zhuǎn)換成經(jīng)緯度，半徑表示將記錄中攻擊事件的威脅程度轉(zhuǎn)換成動(dòng)畫光圈的半徑大??；

（3）定義兩個(gè)函數(shù),f和g來完成方程（1）到（2）的映射，然后完成基于地理位置的威脅警報(bào)視圖的繪制。不同的攻擊行為路線的繪制時(shí)間表示在此刻有受到攻擊，攻擊路線的起點(diǎn)即攻擊者的地理位置,動(dòng)畫光圈半徑的大小即本次攻擊的威脅程度；

方程（3）中RA表示動(dòng)畫光圈的半徑；P1即hostPort，受到攻擊的端口；P2即AttackerProto，攻擊者使用的協(xié)議；C攻擊的頻次；攻擊頻次C之前設(shè)置一個(gè)系數(shù)，這個(gè)系數(shù)存在的意義是為了避免漏掉單次或低頻次但高危的攻擊行為，設(shè)置一個(gè)最低威脅閾值Xmin，若單詞攻擊的P1P2的值很大，那么盡管C值只有1或者少數(shù)次依然會(huì)得到一個(gè)較大的威脅值。這些變量的取值是動(dòng)態(tài)的，根據(jù)網(wǎng)絡(luò)的不同需求取值。例如，若當(dāng)前網(wǎng)絡(luò)上PC機(jī)或服務(wù)器主要用來存儲(chǔ)重要數(shù)據(jù)，那么當(dāng)P2是數(shù)據(jù)庫相關(guān)協(xié)議如:mssqld或mysqld時(shí)顯然威脅程度更高，需取值相應(yīng)設(shè)置較高；若希望動(dòng)畫光圈整體都大一些、明顯一些，那么φ的取值就要大一點(diǎn)，Xmin的設(shè)置則需要相應(yīng)減小。

3 具體實(shí)現(xiàn)與結(jié)果展示

3.1 可視化映射過程的實(shí)現(xiàn)

本文研究、實(shí)現(xiàn)的是基于地理位置的威脅情報(bào)可視化，關(guān)鍵點(diǎn)在于實(shí)時(shí)、明確的展示攻擊行為。這就需要時(shí)間的同步，在攻擊者進(jìn)行攻擊、蜜罐捕獲到行為數(shù)據(jù)的第一時(shí)間，就將數(shù)據(jù)傳到前端進(jìn)行可視化的展示。本文選擇使用webSocket協(xié)議建立長(zhǎng)連接，進(jìn)行實(shí)時(shí)的數(shù)據(jù)傳輸。當(dāng)蜜罐捕獲到攻擊行為，會(huì)記錄攻擊時(shí)間、源IP地址、攻擊的端口、使用的協(xié)議、使用的工具等；然后按照上文中的字段格式處理數(shù)據(jù)；再利用webSocket建立的長(zhǎng)連接，將數(shù)據(jù)及時(shí)的發(fā)送到前端。

本文的可視化實(shí)現(xiàn)主要是使用Canvas、HTML、CSS和Echarts可視化庫，直接創(chuàng)建和操作基于蜜罐數(shù)據(jù)的交互式網(wǎng)頁，將可視化效果展示在瀏覽器網(wǎng)頁上，供安全技術(shù)人員進(jìn)行進(jìn)一步的分析利用。

可視化的實(shí)現(xiàn)主要是調(diào)用了Echarts庫中能夠?qū)?shù)據(jù)轉(zhuǎn)換成地圖的函數(shù)BMapExt.getMap();并用timestamp字段對(duì)應(yīng)本地時(shí)間作為攻擊直線繪制的時(shí)間;根據(jù)f函數(shù)將源IP字段變換成經(jīng)緯度坐標(biāo),調(diào)用markLine對(duì)象根據(jù)坐標(biāo)繪制攻擊直線;根據(jù)g函數(shù)將hostPort、AttackerProto和AttackerTool字段變換成半徑值,調(diào)用markPoint對(duì)象繪制攻擊目的地顯示的動(dòng)畫光圈的大小.偽代碼如下:

3.2 可視化效果展示

整體視圖如圖3所示，不同的攻擊事件由不同的直線表示，直線的起點(diǎn)坐標(biāo)表示攻擊源所在地，終止坐標(biāo)表示受到攻擊設(shè)備所在地。

圖3 攻擊行為的地圖展示

時(shí)間則對(duì)應(yīng)直線出現(xiàn)的時(shí)間，并按照需求設(shè)定持續(xù)一段時(shí)間，為了防止安全人員錯(cuò)過這條信息，在視圖下面一部分有列表式結(jié)構(gòu)的數(shù)據(jù)，滾動(dòng)顯示當(dāng)日的每條攻擊數(shù)據(jù)。而動(dòng)畫光圈則代表了受到攻擊的威脅程度，光圈越大越值得引起注意。

通過此圖可以實(shí)時(shí)掌握設(shè)備的安全態(tài)勢(shì)。受到攻擊的密度，威脅程度，攻擊源的位置等信息。通過觀察還可以得出一天中哪一段時(shí)間受到攻擊的頻率最高，哪個(gè)地方發(fā)出的攻擊行為最多，以便安全人員據(jù)此及時(shí)采取應(yīng)對(duì)措施。

4 結(jié)束語

網(wǎng)絡(luò)安全可視化技術(shù)能夠利用人類的視覺對(duì)結(jié)構(gòu)和模型的獲取能力，將抽象的系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)信息以簡(jiǎn)單直觀的圖形圖像方式展現(xiàn)出來，幫助安全分析人員分析網(wǎng)絡(luò)狀況。為了驗(yàn)證可視化設(shè)計(jì)的有效性，本文對(duì)蜜罐數(shù)據(jù)進(jìn)行了可視化設(shè)計(jì)與展示，實(shí)現(xiàn)了研究人員從海量數(shù)據(jù)中提取有效信息、直觀明了的知道網(wǎng)絡(luò)“現(xiàn)在”正在發(fā)生什么、快速把握某個(gè)時(shí)間段受威脅的情況、掌握攻擊者的相關(guān)信息并進(jìn)行針對(duì)性的防御，做到有威脅及時(shí)發(fā)現(xiàn)，達(dá)到主動(dòng)防御的目的。

目前為止，網(wǎng)絡(luò)安全可視化的研究越來越豐富，但依舊存在很多問題，實(shí)時(shí)展示性永遠(yuǎn)都是網(wǎng)絡(luò)安全可視化中的重要需求，本文雖然實(shí)現(xiàn)了攻擊行為的實(shí)時(shí)展示，但是展示的數(shù)據(jù)源不夠豐富，今后的研究重點(diǎn)將主要放在對(duì)更高維、更多元的海量數(shù)據(jù)進(jìn)行實(shí)時(shí)可視化展示上。

[1]Visualization.[EB/OL].[2015-03-30].http://en.wikipedia. org/wiki/Visualization_（computer_graphics）.

[2]Goodall J R.Introduction to visualization for computer se-curity[C]，2008.

[3]Viz Sec Homepage.[EB/OL]. http://www.vizsec.org/，2 014．

[4]T.Takada and H.Koike.Tudumi:Information visuali -zation system for monitoring and auditing computer logs. IE EE，2002.

[5]Muelder C，Ma K L.Visualization of sanitized email lo gs for spam analysis[C]. IEEE，2007.

[6]趙穎，樊曉，平周芳等.大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J].計(jì)算機(jī)學(xué)與探索，2014.

[7]李晶，薛澄岐，史銘豪等.基于信息多維屬性的信息可視化結(jié)構(gòu)[J].東南大學(xué)學(xué)報(bào):自然科學(xué)版，2012.

[8]https://d3js.org/.

[9]http://www.highcharts.com/.

[10]http://echarts.baidu.com/.

[11]Stuart Card，Jock Mackinlay，Ben Shneiderman. Rea dings in Information Visualization:Using Vision to Think .Mor gan Kaufmann，1999.

[12]張瑜.多源安全數(shù)據(jù)可視化關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].重慶大學(xué)，2015.

[13]GitHub page[EB/OL].http://threatstream.github.io/mh n/.