張勝，施榮華，趙玨

?

輻狀節(jié)點(diǎn)鏈接圖在IPS日志分析中的研究與應(yīng)用

張勝1, 2，施榮華1，趙玨2

(1. 中南大學(xué)信息科學(xué)與工程學(xué)院，湖南長(zhǎng)沙，410083；2. 湖南商學(xué)院現(xiàn)代教育技術(shù)中心，湖南長(zhǎng)沙，410205)

為了提高IPS(入侵防御系統(tǒng))日志分析的效率和精準(zhǔn)度，提出一種輻狀節(jié)點(diǎn)鏈接圖可視化分析方法。針對(duì)經(jīng)典節(jié)點(diǎn)鏈接圖隨著數(shù)據(jù)量增加，節(jié)點(diǎn)變得擁擠、層次難以區(qū)分、空間利用率不高等問(wèn)題，結(jié)合節(jié)點(diǎn)鏈接圖和輻射圖的優(yōu)勢(shì)，設(shè)計(jì)一種新的可視化技術(shù)變形即輻狀節(jié)點(diǎn)鏈接圖。分析VAST 2013 Challenge比賽中IPS日志。研究結(jié)果表明：在大數(shù)據(jù)環(huán)境下，該技術(shù)能夠合理分布節(jié)點(diǎn)以區(qū)分不同維度的IPS屬性，利用可視化篩選降低圖像密度，改進(jìn)布局算法以合理利用顯示面積以及產(chǎn)生圖形的聚類(lèi)；該方法能有效地感知網(wǎng)絡(luò)安全態(tài)勢(shì)，輔助分析人員決策；該輻狀節(jié)點(diǎn)鏈接圖的數(shù)據(jù)維度表現(xiàn)能力和業(yè)務(wù)層次控制能力較強(qiáng)。

節(jié)點(diǎn)鏈接圖；輻射圖；網(wǎng)絡(luò)安全日志；入侵防御系統(tǒng)；可視化分析

網(wǎng)絡(luò)空間在國(guó)際政治和經(jīng)濟(jì)中的地位日趨重要，而全球網(wǎng)絡(luò)安全形勢(shì)卻日益復(fù)雜。為了保證網(wǎng)絡(luò)安全，各種安全設(shè)備應(yīng)運(yùn)而生，如IPS、IDS(入侵檢測(cè))、Firewall(防火墻)、AV(病毒查殺)、Netflow(流量監(jiān)控)等，這些設(shè)備不斷產(chǎn)生海量的日志數(shù)據(jù)。然而，傳統(tǒng)方法對(duì)分析現(xiàn)代網(wǎng)絡(luò)安全大數(shù)據(jù)作用有限。目前日志數(shù)據(jù)量呈級(jí)數(shù)增加，網(wǎng)絡(luò)安全分析人員認(rèn)知負(fù)擔(dān)重；新環(huán)境下的攻擊類(lèi)型和模式不斷變化，使得傳統(tǒng)的分析方法不再有效；態(tài)勢(shì)感知能力欠缺，缺乏對(duì)網(wǎng)絡(luò)全局信息的認(rèn)識(shí)，不能提前防御、預(yù)測(cè)攻擊[1?3]。如何幫助網(wǎng)絡(luò)安全分析人員更高效地分析網(wǎng)絡(luò)安全數(shù)據(jù)成為網(wǎng)絡(luò)安全領(lǐng)域中亟待解決的一個(gè)非常重要的問(wèn)題。網(wǎng)絡(luò)安全可視化作為一個(gè)新興的領(lǐng)域，涌現(xiàn)出一批可視化安全工具，在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著越來(lái)越重要的作用?？梢暬到y(tǒng)將網(wǎng)絡(luò)安全數(shù)據(jù)以圖像的方式展現(xiàn)出來(lái)，利用人類(lèi)認(rèn)知能力和判別模式強(qiáng)的特點(diǎn)對(duì)圖像進(jìn)行分析，洞察復(fù)雜數(shù)據(jù)中隱含的模式、趨勢(shì)、結(jié)構(gòu)和異常，形成高效、準(zhǔn)確的人機(jī)感知、分析、判斷和決策系統(tǒng)[4?5]。流行的網(wǎng)絡(luò)攻擊主要有 Dos(拒絕服務(wù))、Port scan (端口掃描)、Botnet(僵尸網(wǎng)絡(luò))、Brut-force-attack(暴力猜解)、病毒、木馬等[6?8]。IPS設(shè)備雖然能夠即時(shí)中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)傳輸行為，但是不能具體區(qū)分是何種攻擊，安全問(wèn)題的確認(rèn)主要依靠管理員的分析能力。為此，本文作者提出用節(jié)點(diǎn)鏈接圖來(lái)分析日志，確診安全問(wèn)題，感知網(wǎng)絡(luò)態(tài)勢(shì)。首先，對(duì)鏈接圖的節(jié)點(diǎn)布局模式進(jìn)行改進(jìn)，形成輻射環(huán)外觀，以提高可視圖形的層次感，使其可以容納更多網(wǎng)絡(luò)節(jié)點(diǎn)；然后，改進(jìn)邊的連接方式，采用貝塞爾曲線在接入點(diǎn)進(jìn)行匯聚，方便問(wèn)題分析；最后，通過(guò)利用可視化篩選技術(shù)，降低圖像閉塞性(occlusion)，突出關(guān)注對(duì)象，抓住網(wǎng)絡(luò)攻擊變化的瞬間。

1 節(jié)點(diǎn)鏈接技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)常用的可視化技術(shù)有node-link diagrams (節(jié)點(diǎn)鏈接圖)、arc diagrams(弧圖)、 adjacency matrices (鄰接矩陣)、circular layouts(圓形布局圖)等，這些技術(shù)各有優(yōu)劣[9]。對(duì)于層次結(jié)構(gòu)的網(wǎng)絡(luò)數(shù)據(jù)，父子關(guān)系的節(jié)點(diǎn)鏈接圖是一個(gè)重要的表示形式。它將數(shù)據(jù)組織成一個(gè)類(lèi)似于樹(shù)節(jié)點(diǎn)的連接結(jié)構(gòu)，節(jié)點(diǎn)和連線表示數(shù)據(jù)維度和它們之間的關(guān)系，廣泛應(yīng)用于網(wǎng)絡(luò)取證[10]、無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)配置[11]、主機(jī)行為監(jiān)控[12]等方面。人們對(duì)該圖的布局技術(shù)進(jìn)行了改進(jìn)，如縮小交叉邊的數(shù)量、降低長(zhǎng)短邊長(zhǎng)的比率、提高對(duì)稱(chēng)性等，但是，當(dāng)節(jié)點(diǎn)和邊大量增加時(shí)，通常會(huì)遇到閉塞性問(wèn)題，也就是說(shuō)，相互交錯(cuò)重疊的節(jié)點(diǎn)和連線會(huì)使得圖像難以分析和交互，造成視覺(jué)混淆現(xiàn)象[13]。目前，研究人員從不同角度提高節(jié)點(diǎn)鏈接圖的可讀性與可用性，如：HUANG等[14]采用forceAR算法提高角分辨率(相鄰兩邊的分離角度標(biāo)準(zhǔn))，以提高圖像美觀度和方便人類(lèi)理解；WORDBRIDGE系統(tǒng)對(duì)節(jié)點(diǎn)和連接都采用標(biāo)簽云表示，用標(biāo)簽云的關(guān)鍵字突出聯(lián)系的本質(zhì)特點(diǎn)[15]；WARE等[16]采用交互手段訪問(wèn)大圖，當(dāng)鼠標(biāo)點(diǎn)擊時(shí)，相應(yīng)的子圖會(huì)被點(diǎn)亮，并認(rèn)為這種交互強(qiáng)調(diào)的辦法比靜態(tài)方法更有效；SIDEKNOT系統(tǒng)設(shè)計(jì)了一種高效算法，使邊在節(jié)點(diǎn)附近進(jìn)行捆綁和打結(jié)，以避免視覺(jué)混亂和突出連接趨勢(shì)，適合超大型網(wǎng)絡(luò)結(jié)構(gòu)[17]；李志剛等[18]提出了一種面向?qū)哟螖?shù)據(jù)的力導(dǎo)向布局算法，將不同層次的邊賦予不同初始彈簧長(zhǎng)度，以解決層次數(shù)據(jù)中結(jié)構(gòu)信息展示不清楚的問(wèn)題；NETSECRADAR系統(tǒng)結(jié)合了節(jié)點(diǎn)接圖和圓形布局圖來(lái)展現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)，以便于更好地利用圓中心面積，節(jié)點(diǎn)采用力導(dǎo)向布局在圓內(nèi)排列上千個(gè)工作站點(diǎn)而不顯擁擠[19]。節(jié)點(diǎn)鏈接圖相對(duì)于其他點(diǎn)陣表示方法最大的優(yōu)勢(shì)在于能理解內(nèi)在聯(lián)系和路徑查找直接。通過(guò)對(duì)布局模式進(jìn)行改進(jìn)，結(jié)合其他技術(shù)來(lái)展開(kāi)信息可視化，是未來(lái)節(jié)點(diǎn)鏈接圖技術(shù)發(fā)展的新方向。

2 基于節(jié)點(diǎn)鏈接圖的輻射狀表示法

隨著大數(shù)據(jù)時(shí)代來(lái)臨，可視化分析對(duì)象變得越來(lái)越復(fù)雜。對(duì)于節(jié)點(diǎn)鏈接圖，當(dāng)節(jié)點(diǎn)數(shù)超過(guò)20到30個(gè)，邊數(shù)達(dá)到節(jié)點(diǎn)數(shù)1倍時(shí)，圖像會(huì)變得視覺(jué)混亂[16]。本研究嘗試改進(jìn)節(jié)點(diǎn)鏈接的布局技術(shù)，對(duì)整體采用輻射狀布局，擬達(dá)到以下目的：1) 將不同類(lèi)型的節(jié)點(diǎn)布局在不同半徑的圓環(huán)上，同時(shí)用符號(hào)(Glyph)進(jìn)行標(biāo)記，從圖像上可以直觀區(qū)分節(jié)點(diǎn)類(lèi)型，同時(shí)容納更多節(jié)點(diǎn)；2) 在大數(shù)據(jù)環(huán)境下，通過(guò)可視化篩選，去除非關(guān)鍵節(jié)點(diǎn)，保留問(wèn)題的主干；3) 通過(guò)邊捆綁技術(shù)，產(chǎn)生圖形聚類(lèi)，提高非專(zhuān)業(yè)人士的態(tài)勢(shì)感知能力?？梢暬蚣芤?jiàn)圖1(a)。

假設(shè)輻狀節(jié)點(diǎn)鏈接圖表示為(,)(其中，為結(jié)點(diǎn)的集合，為邊的集合)，結(jié)點(diǎn)分為{1,2, …,N}共||種類(lèi)型，第N種類(lèi)型由{N1,N2, …,N}共|N|個(gè)結(jié)點(diǎn)組成，表示指向結(jié)點(diǎn)N的上層結(jié)點(diǎn){(i?1),1,(i?1),2, …,(i?1),k}共個(gè)。N(,)表示點(diǎn)N的極坐標(biāo)定位(其中，為半徑，為角度)，則

式(1)解釋了N(,)的布置方法：若最內(nèi)層結(jié)點(diǎn)(最后1種類(lèi)型)的數(shù)量為1，則它占據(jù)圓心位置，否則它的半徑按結(jié)點(diǎn)類(lèi)型編號(hào)遞減(為層數(shù)，從外向內(nèi)分別為1, 2, 3, …；為最外層輻射圓環(huán)的半徑，可根據(jù)顯示面積決定)。最內(nèi)層結(jié)點(diǎn)的角度由節(jié)點(diǎn)數(shù)量平分2π弧度，其他層結(jié)點(diǎn)的位置由它所指向節(jié)點(diǎn)(它的下一層節(jié)點(diǎn))的位置決定，它們均勻地分布在被指向節(jié)點(diǎn)的外環(huán)兩側(cè)，保證了聚類(lèi)的需要。若1個(gè)結(jié)點(diǎn)指向多個(gè)結(jié)點(diǎn)，則它會(huì)聚類(lèi)于指向次數(shù)最多的結(jié)點(diǎn)。同時(shí)，系統(tǒng)也提供了自定義節(jié)點(diǎn)位置功能，可以通過(guò)鼠標(biāo)拖放 實(shí)現(xiàn)。

在可視化框架上，首先考慮不同類(lèi)型數(shù)據(jù)的層次區(qū)分，它們依次排列在以圓心為中心的輻射圓環(huán)上，這樣既避免了不同類(lèi)型數(shù)據(jù)節(jié)點(diǎn)擁擠，又有效地減少了邊連接時(shí)交叉的產(chǎn)生。不同的節(jié)點(diǎn)采用不同色系，方便區(qū)分。同時(shí)，考慮到色弱者或紙制印刷品的需要，節(jié)點(diǎn)還采用了符號(hào)標(biāo)記(Glyph)[20]進(jìn)行補(bǔ)充，部分符號(hào)標(biāo)記方法見(jiàn)表1。

對(duì)于連接節(jié)點(diǎn)的邊采用邊捆綁技術(shù)，進(jìn)入同一節(jié)點(diǎn)的邊通過(guò)貝塞爾曲線進(jìn)行匯聚，這樣可進(jìn)一步避免邊的交叉，圖像構(gòu)成上也更加清晰。同時(shí)，有共同目標(biāo)的節(jié)點(diǎn)會(huì)自動(dòng)匯聚在一起，自然形成了聚類(lèi)，如圖1(b)所示。圖1(b)顯示了內(nèi)部主機(jī)(172.X)根據(jù)業(yè)務(wù)需要，成群組地訪問(wèn)(匯聚于)外部服務(wù)器(10.X)的80端口，服務(wù)器對(duì)這些連接有時(shí)建立，有時(shí)拆除(build和teardown)，整圖上像1只發(fā)光的眼睛(魔眼圖)。

表1 符號(hào)標(biāo)記說(shuō)明

3 可視化轉(zhuǎn)換與篩選

使用同一數(shù)據(jù)源的不同維度可以產(chǎn)生不同的可視化映射結(jié)構(gòu)，合理選擇數(shù)據(jù)維度是可視化轉(zhuǎn)化的關(guān)鍵。不同數(shù)據(jù)維度展示了實(shí)際場(chǎng)景的不同影響因素，設(shè)計(jì)者需要抽取出這些數(shù)據(jù)維度中的關(guān)鍵因素來(lái)為目的服務(wù)。這里，建議選擇3~4個(gè)維度來(lái)設(shè)計(jì)(若維度太多，則不適合輻狀節(jié)點(diǎn)鏈接圖表示，圖像會(huì)變得擁擠蔽塞；若維度太少，則無(wú)法充分表示場(chǎng)景細(xì)節(jié))。同時(shí)，還應(yīng)該合理改變節(jié)點(diǎn)次序，以便更加自然地形成圖像聚集。建議將數(shù)據(jù)可能(數(shù)據(jù)取值)較少的維度放在圓心處(圓心處可用于顯示的面積少)，而將數(shù)據(jù)可能(數(shù)據(jù)取值)較多的維度置于圓的外輻射圈。表2所示為一些常用的網(wǎng)絡(luò)安全數(shù)據(jù)用例，在數(shù)據(jù)映射模式中從左到右地排列轉(zhuǎn)換為節(jié)點(diǎn)鏈接圖中從外到內(nèi)布局。

表2 網(wǎng)絡(luò)安全用例的數(shù)據(jù)映射模式

作為視覺(jué)傳達(dá)的可視圖，如何讓信息更直觀清晰、剔除不確定性理解是研究重點(diǎn)。可視化篩選旨在操作中幫助用戶(hù)定位，避免不明確操作產(chǎn)生的高成本，通過(guò)對(duì)復(fù)雜圖像的進(jìn)一步挖掘，從中找出實(shí)質(zhì)性?xún)?nèi)容。當(dāng)圖像變得擁擠時(shí)，管理員可以針對(duì)性地進(jìn)行可視化篩選，如去除某些維度，或者關(guān)注某些特定對(duì)象，以降低圖像的密度，突出用例關(guān)注的重點(diǎn)。

4 用例分析

本研究選取的實(shí)驗(yàn)數(shù)據(jù)來(lái)自可視化國(guó)際會(huì)議IEEE VIS 2013舉辦的可視分析挑戰(zhàn)賽VAST Challenge。比賽數(shù)據(jù)提供了某跨國(guó)公司內(nèi)部網(wǎng)絡(luò)(主機(jī)和服務(wù)器1100臺(tái))約1 648萬(wàn)條IPS日志。

4.1 主機(jī)服務(wù)與客戶(hù)訪問(wèn)

表2中的數(shù)據(jù)映射模式1見(jiàn)圖2(a)。從圖2(a)可見(jiàn)：該時(shí)間窗口內(nèi)主機(jī)服務(wù)打開(kāi)的端口不多，有常規(guī)端口80以及高位端口3389和7080等(符號(hào)標(biāo)志為)，主機(jī)建立(Build)和拆除(Teardown)的端口服務(wù)主要是80(HTTP服務(wù))；而拒絕(Deny)的端口除了80外，還有很多高位端口，如3389端口是Windows遠(yuǎn)程登陸端口，7080端口是VMware服務(wù)端口，這些都是重要服務(wù)的端口，若被黑客和惡意程序利用，則將對(duì)內(nèi)部服務(wù)器造成無(wú)法估量的破壞和損失。IPS拒絕了對(duì)這些端口的連接是對(duì)內(nèi)部服務(wù)器安全保障的重要體現(xiàn)。

圖2(b)所示圖形形似2只眼睛，采用模式2，展示了內(nèi)部客戶(hù)成組訪問(wèn)外部服務(wù)器的用例。外部服務(wù)器有規(guī)律地建立和拆除連接，網(wǎng)絡(luò)運(yùn)行平穩(wěn)和正常。但存在一個(gè)奇怪現(xiàn)象，即輻狀節(jié)點(diǎn)鏈接圖由外往內(nèi)第2圈，排列了大量的端口(符號(hào)標(biāo)志為)，每臺(tái)內(nèi)部客戶(hù)機(jī)都使用1個(gè)不同的端口對(duì)外網(wǎng)服務(wù)器進(jìn)行訪問(wèn)。其原因是該公司內(nèi)部采用了網(wǎng)絡(luò)地址及端口轉(zhuǎn)換方式共享Internet連接，這是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，不僅解決了IP地址不足的問(wèn)題，而且能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)。

(a)主機(jī)服務(wù)用例；(b) 客戶(hù)機(jī)訪問(wèn)用例(雙瞳圖)

4.2 端口掃描

2016?04?10 T12:25，IPS阻止了大量針對(duì)某些內(nèi)部主機(jī)的有序連接，如圖3(a)所示(模式3)，其中外圈由DestPort構(gòu)成(符號(hào)標(biāo)志為)，外網(wǎng)主機(jī)對(duì)內(nèi)部機(jī)器的大量端口進(jìn)行了探查，如外部10.13.77.49對(duì)內(nèi)部172.10.0.2?9，外部10.138.235.111對(duì)內(nèi)部172.20.0.3?5等形成了蛙眼一樣的形狀。由于圖3(a)中端口太多，密密麻麻疊在一起，掩蓋了其他細(xì)節(jié)。在數(shù)據(jù)映射模式中進(jìn)行可視化篩選，去掉DestPort維度，所得結(jié)果見(jiàn)圖3(b)。從圖3(b)可見(jiàn)：外網(wǎng)10.13.77.49，10.6.6.7和10.138.235.111對(duì)內(nèi)部部分主機(jī)進(jìn)行了端口掃描。

4.3 拒絕服務(wù)攻擊

2016?04?11 T11:55，IPS報(bào)出了3個(gè)警報(bào)信息即ASA?6?302013，ASA?6?302014和ASA?4?106023，其中有2個(gè)6級(jí)和1個(gè)4級(jí)(警報(bào)分為7級(jí)，級(jí)數(shù)越小，危險(xiǎn)越大)，見(jiàn)圖4(a)?？梢暬成洳捎帽?中的模式4，圖4(a)中被拒絕(Deny)連接報(bào)出的警報(bào)是4級(jí)。ASA?4?106023表示ACL拒絕了對(duì)真實(shí)地址的訪問(wèn)，十分可疑，查詢(xún)內(nèi)部地址映射表，這些主機(jī)(172.20.0.2?5，172.10.0.2?9和172.30.0.2)對(duì)外提供了WEB，Email和DNS等服務(wù)，是內(nèi)部重要服務(wù)器，且都服務(wù)響應(yīng)遲緩。對(duì)圖像進(jìn)行可視化篩選，只留下ASA?4?106023相關(guān)的數(shù)據(jù)，得到圖4(b)。從圖4(b)可見(jiàn)10.12.15.152和10.6.6.7對(duì)內(nèi)網(wǎng)部分主機(jī)發(fā)動(dòng)了Dos攻擊。

4.4 僵尸網(wǎng)絡(luò)

2016?04?12 T08:24，IPS報(bào)出了大量警報(bào)信息ASA?6?302013和ASA?6?302014，像2條傾瀉的河水，這2個(gè)警報(bào)分別表示建立和拆除TCP連接，雖然等級(jí)為6級(jí)，危害較低，但是大量產(chǎn)生。僵尸網(wǎng)絡(luò)感染圖見(jiàn)圖5。從圖5(a)(模式5)可見(jiàn)絕大部分連接的雙方只有一方產(chǎn)生警告(入度或出度為2)。除了1個(gè)外網(wǎng)地址10.0.3.77外，本文作者重新規(guī)劃了該主機(jī)的位置，使其獨(dú)立于圓環(huán)外，可發(fā)現(xiàn)該主機(jī)作為SrcIP和DestIP同時(shí)產(chǎn)生了警告(入度和出度都為2)。其原因是外部控制端對(duì)內(nèi)部受控主機(jī)發(fā)送大量的控制會(huì)話(huà)小包，造成IPS不斷大量地拆除和建立連接。對(duì)圖像進(jìn)行篩選，只留下與主機(jī)10.0.3.77相關(guān)的數(shù)據(jù)，見(jiàn)圖5(b)，可看到控制端10.0.3.77控制了內(nèi)網(wǎng)16臺(tái)主機(jī)。

(a) 端口掃描用例(蛙眼圖)；(b) 可視化篩選(去除DestPort維度)

(a) 拒絕服務(wù)用例；(b) 可視化篩選(關(guān)注Deny對(duì)象)

(a) 僵尸網(wǎng)絡(luò)用例(雙流圖)；(b) 可視化篩選(關(guān)注10.0.3.77對(duì)象)

5 比較與評(píng)估

為了對(duì)輻狀節(jié)點(diǎn)鏈接圖的實(shí)用性和有效性進(jìn)行評(píng)估，與VAST 2013 Challenge[21]獲獎(jiǎng)作品進(jìn)行比較分析，得出該方法在分析網(wǎng)絡(luò)安全數(shù)據(jù)上的優(yōu)勢(shì)與不足，見(jiàn)圖6和表3。

邀請(qǐng)高校網(wǎng)絡(luò)管理人員(網(wǎng)絡(luò)安全專(zhuān)業(yè)人士) 6人和高年級(jí)計(jì)算機(jī)專(zhuān)業(yè)學(xué)生(普通用戶(hù)) 24人對(duì)輻狀節(jié)點(diǎn)鏈接圖進(jìn)行試用和討論。大部分網(wǎng)絡(luò)管理人員認(rèn)為輻狀節(jié)點(diǎn)鏈接圖在檢測(cè)網(wǎng)絡(luò)安全特別是信息表達(dá)的廣度和精確度較高；對(duì)比傳統(tǒng)的日志分析，有助于快速地將安全日志中的異常通過(guò)直觀圖像表現(xiàn)出來(lái)，節(jié)省大量的時(shí)間；使用可視化篩選，可有針對(duì)性地分析攻擊場(chǎng)景。所有人員認(rèn)為輻狀節(jié)點(diǎn)鏈接圖的可視化展示能力比單一的節(jié)點(diǎn)鏈接圖和輻射圖有明顯優(yōu)勢(shì)，主要表現(xiàn)在：

1) 比傳統(tǒng)節(jié)點(diǎn)鏈接圖有更寬的數(shù)據(jù)維度表現(xiàn)能力和更強(qiáng)的層次控制能力，特別是當(dāng)數(shù)據(jù)維度較多時(shí)，用戶(hù)可以很直觀地區(qū)別數(shù)據(jù)類(lèi)型與流向。

表3 獲獎(jiǎng)作品比較

注：以上比較只針對(duì)IPS數(shù)據(jù)可視化。

2) 比輻射圖有更強(qiáng)的空間利用能力，圓中心的面積得到了較好利用。

3) 當(dāng)數(shù)據(jù)量大時(shí)，可以方便地對(duì)圖形進(jìn)行篩選和壓縮，特別是針對(duì)Dos攻擊這樣一些數(shù)據(jù)量劇增的場(chǎng)景，可以去除干擾因素，降低圖像密度，凸顯關(guān)注的對(duì)象。

4) 通過(guò)邊捆綁技術(shù)，能夠自然形成圖像聚集，便于分析和感知態(tài)勢(shì)。

同時(shí)，部分專(zhuān)業(yè)人士也提出了一些問(wèn)題，如: 用圖像布局形成聚類(lèi)有較大局限性，應(yīng)結(jié)合其他的距離算法來(lái)顯示聚類(lèi)更加有說(shuō)服力；雖然相鄰2層節(jié)點(diǎn)連線控制較好，但對(duì)于某些場(chǎng)景，還是存在邊交錯(cuò)問(wèn)題；節(jié)點(diǎn)中g(shù)lyph的顏色是否可用來(lái)展示更多的維度信息或攻擊的嚴(yán)重等級(jí)等。

(a) 力引導(dǎo)節(jié)點(diǎn)鏈接圖；(b) 輻射面板；(c) 圓形節(jié)點(diǎn)鏈接圖

6 結(jié)論

1) 本文將節(jié)點(diǎn)鏈接圖和輻狀圖相結(jié)合，著力解決傳統(tǒng)節(jié)點(diǎn)鏈接圖層次不清和輻狀圖中心空間浪費(fèi)的問(wèn)題，通過(guò)維度分層設(shè)計(jì)擴(kuò)大可視化的數(shù)據(jù)容納量；通過(guò)改變鏈接圖的節(jié)點(diǎn)映射順序挖掘隱蔽信息和攻擊模式，通過(guò)可視化篩選降低圖像密度。

2) 提出將輻狀節(jié)點(diǎn)鏈接圖用于IPS網(wǎng)絡(luò)安全日志的可視化分析，針對(duì)IPS中數(shù)據(jù)大、維度多、變化快、信息隱蔽等特點(diǎn)，該圖能夠方便地展示寬數(shù)據(jù)維度，跟蹤數(shù)據(jù)流向，降低圖像密度，突出攻擊本質(zhì)，輔助管理員快速取證和決策。

3) 今后，應(yīng)繼續(xù)改進(jìn)節(jié)點(diǎn)鏈接圖布局模式和聚合算法，使該可視化技術(shù)更具活力。

[1] 韋勇, 連一峰, 馮登國(guó). 基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2009, 46(3): 353?362. WEI Yong, LIAN Yifeng, FENG Dengguo. A network security situational awareness model based on information fusion[J]. Journal of Computer Research and Development, 2009, 46(3): 353?362.

[2] ZHAO Ying, LIANG Xing, FAN Xiaoping, et al. MVSec: multi-perspective and deductive visual analytics on heterogeneous network security data[J]. Journal of Visualization, 2014, 17(3): 181?196.

[3] 趙穎, 樊曉平, 周芳芳, 等. 網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J]. 計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào), 2014, 26(5): 687?697. ZHAO Ying, FAN Xiaoping, ZHOU Fangfang, et al. A survey on network security data visualization[J]. Journal of Computer- Aided Design & Computer Graphics, 2014, 26(5): 687?697.

[4] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2011, 1(1): 1?19.

[5] HARRISON L, LU Aidong. The future of security visualization: lessons from network visualization[J]. IEEE Network, 2012, 26(6): 6?11.

[6] 王天佐, 王懷民, 劉波, 等. 僵尸網(wǎng)絡(luò)中的關(guān)鍵問(wèn)題[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(6): 1192?1208.WANG Tianzuo, WANG Huaimin, LIU Bo, et al. Some critical problems of botnets[J]. Chinese Journal of Computers, 2012, 35(6): 1192?1208.

[7] 葉云, 徐錫山, 齊治昌, 等. 大規(guī)模網(wǎng)絡(luò)中攻擊圖自動(dòng)構(gòu)建算法研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2013, 50(10): 2133?2139. YE Yun, XU Xishan, QI Zhichang, et al. Attack graph generation algorithm for large-scale network system[J]. Journal of Computer Research and Development, 2013, 50(10): 2133?2139.

[8] 鄭皓, 陳石, 梁友. 關(guān)于“數(shù)字大炮”網(wǎng)絡(luò)攻擊方式及其防御措施的探討[J]. 計(jì)算機(jī)研究與發(fā)展, 2012(S2): 69?73. ZHENG Hao, CHEN Shi, LIANG You. How the cyber weapon “digital ordnance” works and its precautionary measures[J]. Journal of Computer Research and Development, 2012(S2): 69?73.

[9] MCGUFFIN M J. Simple algorithms for network visualization:a tutorial[J]. Tsinghua Science and Technology, 2012, 17(4): 383?398.

[10] TIAN Zhihong, JIANG Wei, LI Yan. A transductive scheme based inference techniques for network forensic analysis[J]. China Communications, 2015, 12(2): 167?176.

[11] HE Qinbin, CHEN Fangyue, CAI Shuiming, et al. An efficient range-free localization algorithm for wireless sensor networks[J]. Science China Technological Sciences, 2011, 54(5): 1053?1060.

[12] MANSMAN F, MEIER L, KEIM D A. Visualization of host behavior for network security[R]. VizSEC2007. Berlin, Heidelberg: Springer, 2008: 187?202.

[13] 楊彥波, 劉濱, 祁明月. 信息可視化研究綜述[J]. 河北科技大學(xué)學(xué)報(bào), 2014, 35(1): 91?102.YANG Yanbo, LIU Bin, QI Mingyue. Review of information visualization[J]. Journal of Hebei University of Science and Technology, 2014, 35(1): 91?102.

[14] HUANG Weidong, HUANG Maolin, LIN Chuncheng. Aesthetic of angular resolution for node-link diagrams: validation and algorithm[C]// 2011 IEEE Symposium on Visual Languages and Human-Centric Computing (VL/HCC). Pittsburgh, PA, USA, 2011: 213?216.

[15] KIM K T, KO S, ELMQVIST N, et al. WordBridge: using composite tag clouds in node-link diagrams for visualizing content and relations in text corpora[C]// the 44th Hawaii International Conference on System Sciences. Kauai, Hawaii, USA, 2011: 1?8.

[16] WARE C, BOBROW R. Motion to support rapid interactive queries on node-link diagrams[J]. ACM Transactions on Applied Perception, 2004, 1(1): 3?18.

[17] PENG Dichao, LU Neng, CHEN Guangyu, et al. SideKnot: Edge bundling for uncovering relation patterns in graphs[J]. Tsinghua Science and Technology, 2012, 17(4): 399?408.

[18] 李志剛, 陳誼, 張?chǎng)诬S, 等. 一種基于力導(dǎo)向布局的層次結(jié)構(gòu)可視化方法[J]. 計(jì)算機(jī)仿真, 2014, 3(3): 283?288. LI Zhigang, CHEN Yi, ZHANG Xinyue, et al. Hierarchical structure visualization methods research[J]. Computer Simulation, 2014, 3(3): 283?288.

[19] ZHOU Fangfang, SHI Ronghua, ZHAO Ying. NetSecRadar: a visualization system for network security situational awareness[C]// IEEE Conference on Visual Analytics Science and Technology (VAST 2012). Seattle, WA, USA: Springer International Publishing, 2013: 403?416.

[20] ROPINSKI T, OELTZE S, PREIM B. Survey of glyph-based visualization techniques for spatial multivariate medical data[J]. Computers & Graphics, 2011, 35(2): 392?401.

[21] HCIL.VAST challenge 2013 [EB/OL]. [2013?09?01]. http:// hcil2.cs.umd.edu/newvarepository/VASTChallenge2013/challenges/ MC3-Big Marketing/.

(編輯 陳燦華)

Research and application of radial node-link diagram in IPS log analysis

ZHANG Sheng1, 2, SHI Ronghua1, ZHAO Jue2

(1. School of Information Science and Engineering, Central South University, Changsha 410083, China;2. Modern Educational Technology Center, Hunan University of Commerce, Changsha 410205, China)

In order to improve the efficiency and accuracy of the intrusion prevention system (IPS) log analysis, a visualization analysis method was proposed based on node-link diagram. Aiming at solving the problems of node congestion, hierarchy confusion and wasted space in conventional node-link diagrams caused by the growth of data volume, a new visualization technique, i.e. radial node-link diagram was designed. The advantages of node-link diagram and radial diagram were integrated, in the environment of very large data, this technique can rationally arrange nodes to distinguish data dimensions, use visual filter to reduce image occlusion, improve the layout algorithm to make the best of the display area, and generate graph clustering. The VAST Challenge2013 competition data were analyzed. The results show that this new technology is useful to understand network situation and make according decisions. Compared with the award-winning programs, this visualization technology of radical node-link diagram also demonstrates better performance in displaying data dimensions and controlling the levels of operations.

node-link diagram; radial diagram; network security log; intrusion prevention system (IPS); visual analysis

10.11817/j.issn.1672-7207.2017.07.013

TP391

A

1672?7207(2017)07?1774?08

2016?09?10；

2016?11?20

國(guó)家自然科學(xué)基金資助項(xiàng)目(61402540) (Project(61402540) supported by the National Natural Science Foundation of China)

趙玨，副教授，從事網(wǎng)絡(luò)信息安全、計(jì)算機(jī)支持的協(xié)作學(xué)習(xí)、網(wǎng)絡(luò)軟件應(yīng)用等研究；E-mail: 48209088@qq.com