張 勝，趙 玨，陳榮元

1.湖南商學院 大數(shù)據(jù)與互聯(lián)網(wǎng)創(chuàng)新研究院，長沙 410205

2.中南大學 信息科學與工程學院，長沙 410083

3.國防科技大學 計算機學院，長沙 410073

1 引言

近年來，隨著計算機網(wǎng)絡(luò)規(guī)模不斷擴大，信息高速公路不斷提速以及網(wǎng)絡(luò)應(yīng)用的不斷增加，網(wǎng)絡(luò)安全面臨著越來越嚴峻的考驗。特別是進入“大數(shù)據(jù)”時代以來，網(wǎng)絡(luò)攻擊呈現(xiàn)出大數(shù)據(jù)的“3 V”甚至“多V”特征：攻擊規(guī)模越來越大（Volume），如分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊，常常可以發(fā)動成千上萬的設(shè)備同時攻擊一臺主機；攻擊類型越來越多（Variety），新的攻擊模式和病毒木馬的變種讓人防不勝防；攻擊變化越來越快（Velocity），如一次有預(yù)謀的網(wǎng)絡(luò)攻擊往往包含多個步驟和多種應(yīng)變的方案?？v觀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢，網(wǎng)絡(luò)安全問題不斷攀升，主要表現(xiàn)為：網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨嚴峻挑戰(zhàn)；網(wǎng)站被植入后門、網(wǎng)頁仿冒事件等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用戶信息成為黑客竊取的重點；拒絕服務(wù)攻擊仍然是嚴重影響我國互聯(lián)網(wǎng)運行安全最主要的威脅之一，針對我國重要信息系統(tǒng)的高級持續(xù)性威脅（advanced persistent threat，APT）形勢嚴峻[1]。橫觀世界各國情況，以亞太地區(qū)為例，情況驚人的類似，網(wǎng)站的篡改、仿冒，病毒、木馬、惡意程序的感染，高等級網(wǎng)絡(luò)入侵、攻擊等成為主要問題[2]。國內(nèi)外網(wǎng)絡(luò)空間安全威脅的不斷升級呼喚新型技術(shù)出現(xiàn)。

網(wǎng)絡(luò)安全問題首先是人的問題，不管是網(wǎng)絡(luò)威脅的發(fā)起、檢測還是制衡，人的知識和判斷始終處于主導地位，應(yīng)用實例表明，在處理某些復雜的科學問題上，人類的直覺勝于機器智能，可視化、人機交互等在協(xié)同式知識傳播和科學發(fā)現(xiàn)中起重要作用[3]。網(wǎng)絡(luò)安全可視化（network security visualization）[4]是信息可視化中的一個新興研究領(lǐng)域，它利用人類視覺對模型和結(jié)構(gòu)的獲取能力，將抽象的網(wǎng)絡(luò)和系統(tǒng)日志以圖形圖像的方式展現(xiàn)出來，幫助分析人員分析網(wǎng)絡(luò)狀況，識別網(wǎng)絡(luò)異常、入侵，預(yù)測網(wǎng)絡(luò)安全事件發(fā)展趨勢[5-6]。對網(wǎng)絡(luò)日志進行可視化研究不但使安全威脅看得見、摸得著，在人和技術(shù)中間架起一座良好的溝通橋梁，保護著日益重要的網(wǎng)絡(luò)空間，更加重要的是圖形圖像比枯燥的日志數(shù)據(jù)更容易被人識別和認同，為決策者制定網(wǎng)絡(luò)安全政策提供可靠而形象的數(shù)據(jù)來源。

本文主要對網(wǎng)絡(luò)安全日志可視化研究進展進行綜述。第2章對傳統(tǒng)的技術(shù)和日志分析技術(shù)進行了歸納，指出其不足；第3章通過定義網(wǎng)絡(luò)安全日志可視化的三要素，給出了分析流程，闡述了各種圖技術(shù)的特點和適合場景；第4章根據(jù)不同數(shù)據(jù)源特點對網(wǎng)絡(luò)安全日志可視化系統(tǒng)進行了分類，重點闡述了代表作品的功能、所采用的圖技術(shù)、具體實現(xiàn)方法、系統(tǒng)的特點和優(yōu)勢等；第5章總結(jié)并指出了未來的研究方向。

2 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)及其數(shù)據(jù)源日志分析

針對安全威脅日益加劇的網(wǎng)絡(luò)空間戰(zhàn)爭，業(yè)界開發(fā)出各種網(wǎng)絡(luò)安全設(shè)備監(jiān)控、分析、掌控網(wǎng)絡(luò)環(huán)境，代表技術(shù)有：（1）防火墻（firewall），在網(wǎng)絡(luò)邊界對訪問流量執(zhí)行控制策略，主要目的是對網(wǎng)絡(luò)內(nèi)部資源進行保護，防止非授權(quán)或非法用戶；（2）入侵檢測和防御技術(shù)（intrusion detection system/intrusion prevention system，IDS/IPS），偵測并識別網(wǎng)絡(luò)系統(tǒng)惡意行為，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)或主機攻擊行為；（3）網(wǎng)絡(luò)負載監(jiān)控，發(fā)現(xiàn)、標識和分析網(wǎng)絡(luò)流量負載，檢測流中非正常的特征；（4）惡意代碼檢測，檢測并及時清除系統(tǒng)中存在的惡意程序，保護主機和網(wǎng)絡(luò)不受感染或減少系統(tǒng)所受損害；（5）主機與應(yīng)用狀態(tài)檢測，致力于展示主機和應(yīng)用的狀態(tài)，作用是檢查惡意應(yīng)用和保證主機服務(wù)能力。

隨著當今社會網(wǎng)絡(luò)威脅不斷呈現(xiàn)出復雜化、隱蔽化、擴大化態(tài)勢，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)雖然能夠在一定程度上降低網(wǎng)絡(luò)安全風險，但仍然無法完全滿足“看得見，防得住，管得好，應(yīng)得急”的網(wǎng)絡(luò)安全目標。國際網(wǎng)絡(luò)大環(huán)境的改變，要求網(wǎng)絡(luò)安全制衡手段必須從過去的嚴密防控轉(zhuǎn)變?yōu)榉袭敶枨蟮膶崟r分析加響應(yīng)。加強對傳統(tǒng)技術(shù)的分析、改進，整合技術(shù)優(yōu)勢，彌補單一技術(shù)的不足，成為人們研究的方向和目標。

傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)在實際運用中會產(chǎn)生海量日志文件，詳見表1，網(wǎng)絡(luò)的保護方式，攻防的足跡、效果和不足等有效信息往往隱藏在日志中。利用日志找出有效信息，對其進行深度分析挖掘成為解決問題的關(guān)鍵，但是傳統(tǒng)的日志分析技術(shù)存在著諸多弊端[5,7-8]：

（1）缺乏對實時顯示、分析和處理大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)有效管理的手段。海量告警或日志數(shù)據(jù)難以直接解讀，且大部分研究仍然停留在離線分析上，造成安全管理效率低下。

（2）缺乏對真實威脅的有效感知和響應(yīng)能力。日志數(shù)據(jù)中充斥著大量誤報、漏報、重復報，真實威脅往往隱匿其中，安全事件應(yīng)急響應(yīng)無從保證。

（3）缺乏安全日志之間的協(xié)同分析。不同功能安全設(shè)備以各自方式獨立工作，產(chǎn)生的安全數(shù)據(jù)較全局來說是片面和孤立的，如何解決大范圍的復雜網(wǎng)絡(luò)問題，讓多個數(shù)據(jù)源、多種安全視圖、多個管理員共同參與網(wǎng)絡(luò)安全威脅分析是一個難題。

Table 1 Data source logs classification表1 數(shù)據(jù)源日志分類表

（4）網(wǎng)絡(luò)安全設(shè)備的易用性和實用性低，日志難以解讀。大部分網(wǎng)絡(luò)安全系統(tǒng)都需要專業(yè)知識作為支撐，即使經(jīng)驗豐富的分析人員也無法全部掌握，網(wǎng)絡(luò)安全設(shè)備的受眾窄。

本文針對網(wǎng)絡(luò)安全日志可視化分析技術(shù)進行闡述，在之前趙穎[7]、袁斌[8]、向宏[9]等人分別從安全問題、系統(tǒng)目標、數(shù)據(jù)特征等不同角度對網(wǎng)絡(luò)安全可視化分析進行總結(jié)的基礎(chǔ)上，擬從數(shù)據(jù)源日志（表1）、圖技術(shù)（表2）、網(wǎng)絡(luò)安全日志可視化分析系統(tǒng)（表3）三方面出發(fā)，按照從單源到多源，從單圖到多圖，從常規(guī)圖到新穎圖的思路，展開網(wǎng)絡(luò)安全日志可視化技術(shù)與方法的研究。

3 網(wǎng)絡(luò)安全日志可視化特征及圖技術(shù)

本文把網(wǎng)絡(luò)安全日志可視化用下面公式來詮釋：

“人”包括決策層高度重視，管理層把控質(zhì)量，執(zhí)行層落實到位，其中安全團隊（專家）實時有效的分析和快速的響應(yīng)是關(guān)鍵；“事”指網(wǎng)絡(luò)安全事件，主要包括事前預(yù)防，事中接管，事后處理，其中如何快速地掌握事件真相并做出響應(yīng)是關(guān)鍵；“物”包括防火墻、IPS、防病毒、交換機、VPN（virtual private network）、堡壘機等網(wǎng)絡(luò)安全設(shè)備，其中合理配置數(shù)據(jù)、調(diào)優(yōu)、聯(lián)動是關(guān)鍵。

從式（1）可以看出，網(wǎng)絡(luò)安全日志可視化包括三要素，“人”是關(guān)鍵，“物”是基礎(chǔ)，“事”是網(wǎng)絡(luò)安全要查找和解決的目標。網(wǎng)絡(luò)安全日志可視化研究首先要分析數(shù)據(jù)或日志（來自于“物”）結(jié)構(gòu)，進行預(yù)處理，選擇基本的視覺模型，建立數(shù)據(jù)到可視化結(jié)構(gòu)的映射，不斷改善表示方法，使之更容易視覺化并繪制視圖，最后通過人機交互功能和“人”類認知能力來檢測、識別、分類隱藏在數(shù)據(jù)中的有用信息（網(wǎng)絡(luò)安全“事”件），從而提高感知、分析、理解和掌控網(wǎng)絡(luò)安全問題的能力[10]，如圖1。

由于人類的生存環(huán)境是三維空間，作為人類感知世界的視覺系統(tǒng)也就很難脫離三維空間定式。同時由于人類感知模式的限制——對于多維抽象物體理解困難，人們對網(wǎng)絡(luò)安全數(shù)據(jù)通常采用的方法是對多維抽象信息進行降維處理，映射到二維或者三維可視空間來實現(xiàn)網(wǎng)絡(luò)信息的可視化，這些都依賴于可視化方法的不斷發(fā)展和改進。

網(wǎng)絡(luò)安全日志可視化最大的挑戰(zhàn)是如何為既定的目標和數(shù)據(jù)源去選擇合適的圖技術(shù)。國內(nèi)外很多學者已經(jīng)提出了相當數(shù)量的多維可視化方法，根據(jù)這些技術(shù)出現(xiàn)的先后順序以及應(yīng)用的廣度和新穎度，把網(wǎng)絡(luò)安全可視圖技術(shù)分為三類：基礎(chǔ)圖、常規(guī)圖和新穎圖，如表2。基礎(chǔ)圖是大家熟知的、容易使用的圖形，包括餅圖、直方圖、線圖以及它們的3D表示方法，這些圖形簡單明了，容易理解，適合于表達網(wǎng)絡(luò)安全數(shù)據(jù)某些細節(jié)，經(jīng)常作為補充說明圖。由于基礎(chǔ)圖表達數(shù)據(jù)維度寬度和廣度有限，經(jīng)過不斷的發(fā)展，涌現(xiàn)出一批經(jīng)典的常規(guī)圖技術(shù)，這些技術(shù)源于基礎(chǔ)圖，但表現(xiàn)的靈活性、適應(yīng)性、擴展性要優(yōu)于基礎(chǔ)圖。常規(guī)圖技術(shù)不再是簡單的圖形映射，而是要盡量反映多維信息及其各維度之間的聯(lián)系，目的是在人類腦海中建立多維抽象信息并對其進行認知，在低維空間中展現(xiàn)多維抽象信息的特征。在過去的15年里，圖技術(shù)不斷推陳出新，新穎圖其設(shè)計之精巧、表現(xiàn)力之豐富，令人嘆為觀止，圖中包含的信息意味深遠。研究人員通過不斷地改進圖形布局模式，結(jié)合多種圖形優(yōu)勢，創(chuàng)新構(gòu)圖方式，特別是在圖形審美和可用性相結(jié)合方面進行了深入的研究，眾多視覺元素，如文字、色彩、大小、形狀、對比度、透明度、位置、方向等自由排列組合[15]，交織組成動人的畫卷，讓人能夠在有限的顯示空間中獲得更廣的信息量、更直觀的理解力、更優(yōu)美的圖形和更強的交互力。

Fig.1 Flow chart of network security logs visualization圖1 網(wǎng)絡(luò)安全日志可視化流程圖

Table 2 Figure technique classification表2 圖技術(shù)類型

4 網(wǎng)絡(luò)安全日志可視化及主要研究方法

網(wǎng)絡(luò)安全日志可視化分析是信息可視化中的一個新興研究領(lǐng)域，它能有效解決傳統(tǒng)分析方法在處理海量信息時面臨的認知負擔過重，缺乏全局認識，交互性不強，不能主動預(yù)測和防御等一系列問題。網(wǎng)絡(luò)安全日志可視化系統(tǒng)分類如表3。

4.1 防火墻日志可視化

防火墻作為使用最為廣泛的安全設(shè)備之一，對于阻斷外部攻擊作用明顯。其面臨的主要問題是：如何設(shè)置防火墻記錄級別，既保證記錄全面，又防止數(shù)據(jù)過于巨大；防火墻數(shù)據(jù)進出方向包括內(nèi)部與外部接口的進與出4個方向，如何防止重復記錄；防火墻規(guī)則配置困難，如何驗證和審計規(guī)則的改變。防火墻可視化主要作用是簡化防火墻操作，合理調(diào)整防火墻策略，發(fā)現(xiàn)網(wǎng)絡(luò)出口的可疑日志，監(jiān)控上網(wǎng)行為等。

Girardin等人[16]采用散點圖顯示防火墻日志，如圖3（a），有色方塊表示主機，方塊的顏色表示不同的協(xié)議類型。數(shù)據(jù)點按時間順序排列，相似的日志匯聚一起。該系統(tǒng)能清楚地顯示日志中的共性和聯(lián)系，用戶可方便地觀測出哪些進程剛被啟動，哪些請求是可疑進程。Chao等人[17]采用三層可視化結(jié)構(gòu)顯示防火墻規(guī)則以及規(guī)則之間的聯(lián)系，適合于大規(guī)模和多防火墻的超大網(wǎng)絡(luò)，特別是在多防火墻系統(tǒng)中，防火墻規(guī)則的編輯、排序、發(fā)布都必須十分謹慎，否則會導致網(wǎng)絡(luò)功能紊亂，該系統(tǒng)旨在幫助管理員事先發(fā)現(xiàn)并去除誤配置。Mansmann等人[18]采用一種稱作日照圖（Sunburst）的技術(shù)顯示防火墻規(guī)則，如圖3（b），根節(jié)點在層次結(jié)構(gòu)的中心，表示“對象組”，接下來的同心環(huán)依次排列防火墻動作（允許和拒絕）、協(xié)議（TCP、UDP）、主機地址、端口，該系統(tǒng)的主要功能是幫助管理員理解復雜的防火墻規(guī)則。FPC（firewall policy checker）[19]的主視圖采用3D技術(shù)檢查防火墻策略，如圖3（c），3D球體的顏色表示異常類型，紅色表示陰影異常，橙色表示冗余異常，暗黃色表示泛化異常，黃色表示關(guān)聯(lián)異常。通過向下鉆取球體，可以獲取該異常的詳細視圖，該系統(tǒng)用于發(fā)現(xiàn)風險服務(wù)、非法服務(wù)和進行異常檢查，具有快速處理大量規(guī)則的能力，降低了使用者的技術(shù)門坎。VAFLE（visual analytics of firewall log events）[20]采用聚類熱圖分析防火墻日志，熱圖矩陣可視采用時間×主機、時間×端口等組合用來發(fā)現(xiàn)活躍的服務(wù)或主機等，圖3（d）用深色的熱點顯示了兩天網(wǎng)絡(luò)用量最高的主機，該系統(tǒng)通過增強互動的集群可視化視圖進行異常檢測和網(wǎng)絡(luò)態(tài)勢分析。

4.2 入侵系統(tǒng)日志可視化

入侵檢測與防御系統(tǒng)主要用于發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，幫助管理人員快速識別和抵御分布式拒絕服務(wù)、網(wǎng)絡(luò)蠕蟲及木馬等攻擊行為。但是入侵系統(tǒng)檢測機制導致產(chǎn)生大量的重報、誤報，海量日志數(shù)據(jù)使得管理人員無從下手，甚至忽略重要的警報，實時的安全響應(yīng)無法保證。因此，網(wǎng)絡(luò)入侵系統(tǒng)日志可視化主要功能是幫助分析人員降低認知負擔，去除誤報，提高檢測攻擊的能力。

Table 3 Network security logs visualization system classification表3 網(wǎng)絡(luò)安全日志可視化系統(tǒng)分類

Snort View[21]采用的可視化技術(shù)是散點圖和符號標志，見圖4（a），系統(tǒng)由源地址、警報和源/目標3個面板組成，警報用不同的符號標記，顏色表示優(yōu)先級。該系統(tǒng)適合于小型網(wǎng)絡(luò)，用來幫助管理員降低誤檢測，檢測隱含攻擊和攻擊序列。IDS Rainstorm[22]采用的可視化技術(shù)是散點圖，見圖4（b），系統(tǒng)由一個主視圖（顯示整個網(wǎng)絡(luò)的表現(xiàn)）、一個縮放視圖（顯示用戶選擇的IP地址范圍）組成。主視圖由8列構(gòu)成，每一列可顯示連續(xù)的20位IP地址，整個視圖可顯示2.5個B類地址24小時的監(jiān)控數(shù)據(jù)，報警的等級采用顏色表示。用戶可以用主視圖分析整個網(wǎng)絡(luò)情況，發(fā)現(xiàn)可疑事件，用縮放視圖獲取詳細攻擊信息。系統(tǒng)用于發(fā)現(xiàn)異常的網(wǎng)絡(luò)事件、蠕蟲傳播和僵尸網(wǎng)絡(luò)。Vizalert[23]系統(tǒng)采用的可視化技術(shù)是雷達圖，見圖4（c），系統(tǒng)關(guān)注警報what、when和where三方面的特征，主視圖在中間顯示網(wǎng)絡(luò)的拓撲，而周圍的圓環(huán)用于顯示不同的警報，圓環(huán)的長度表示時間，連線從圓環(huán)指向內(nèi)部觸發(fā)警報的主機。該系統(tǒng)能夠提高檢測、分析、處理網(wǎng)絡(luò)攻擊的速度，減小攻擊影響。Avisa[24]采用的可視化技術(shù)為輻狀圖匯聚圖，見圖4（d），輻狀圖由外部環(huán)和內(nèi)部弧構(gòu)成，外環(huán)分為兩部分，較小的一邊用于顯示網(wǎng)絡(luò)警報分類，較大的一邊用于顯示子網(wǎng)或自定義的分組?；∮糜陲@示報警，一邊指向報警類型，另一邊指向有關(guān)聯(lián)的主機。該系統(tǒng)采用啟發(fā)式算法，用來洞悉攻擊模式，促進潛在數(shù)據(jù)的理解。Zhang等人[25]采用4種視圖展示IDS的日志，甘特圖顯示服務(wù)器連接的變化狀態(tài)，樹圖顯示時間窗口內(nèi)服務(wù)器報警數(shù)量，節(jié)點圖表示事件間的關(guān)聯(lián)，堆疊直方圖統(tǒng)計服務(wù)器各指標參數(shù)。作者認為在大規(guī)模的網(wǎng)絡(luò)中，通過多種可視化方法的互補，可以有效去除誤報，同時，基于Web的開放平臺能簡化管理，提高研究人員協(xié)同分析的能力。Alsaleh等人[26]同樣采用了多視圖的方式，散點圖基于日期、時間、攻擊類型展示網(wǎng)絡(luò)攻擊，節(jié)點圖基于地理位置、子網(wǎng)和IP地址展示，樹圖根據(jù)攻擊類型分布IP地址，指環(huán)圖（ring）和平行坐標用來統(tǒng)計較長時間內(nèi)攻擊源、類型、影響和數(shù)量。該系統(tǒng)用于幫助管理人員分析入侵原因和輔助決策。IDSPlanet[27]仿照天體運行，設(shè)計了空間環(huán)圖響應(yīng)警報的時間特性、受影響主機的行為模式、攻擊目標的相關(guān)性等特征，圖4（e）由空間環(huán)、警報球以及交互核心三部分組成，展示了60分鐘內(nèi)的警報細節(jié)，幫助管理員識別誤報，分析攻擊模式，理解不斷發(fā)展的網(wǎng)絡(luò)環(huán)境。Song等人[28]采用新穎的3D樹圖，運用機器學習方法從原始數(shù)據(jù)中抽取7個統(tǒng)計特征來鑒定不尋常的攻擊，降低安全操作人員的工作強度。

Fig.3 Firewall logs visualization system圖3 防火墻日志可視化系統(tǒng)

Fig.4 Network intrusion logs visualization system圖4 網(wǎng)絡(luò)入侵日志可視化系統(tǒng)

4.3 網(wǎng)絡(luò)負載可視化

網(wǎng)絡(luò)負載監(jiān)控系統(tǒng)是對防火墻和入侵系統(tǒng)的一個重要補充，除了用于監(jiān)控網(wǎng)絡(luò)流量負載變化趨勢外，還有一個重要功能是特征分析。由于端口掃描、拒絕服務(wù)攻擊和惡意代碼擴散在流量方面體現(xiàn)出一對一、一對多等特征，造成流量異常，流量監(jiān)控可以幫助管理員快速準確發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)流可視化面臨的主要問題是：網(wǎng)絡(luò)負載記錄是OSI（open system interconnection）模型下層信息，缺乏應(yīng)用層面細節(jié)，很多用途僅靠猜測，負載數(shù)據(jù)量大，實時過濾和分析困難。

Portall[29]是早期可視化網(wǎng)絡(luò)數(shù)據(jù)包（packets）的系統(tǒng)，如圖5（a），采用節(jié)點鏈接圖深入挖掘與TCP連接相關(guān)的主機進程，實現(xiàn)分布進程的點對點可視化。視圖采用兩條平行節(jié)點，左邊是客戶機，右邊是服務(wù)器，連線表示TCP連接。該系統(tǒng)用于可視化網(wǎng)絡(luò)流量與主機進程的關(guān)系，善于發(fā)現(xiàn)廣告軟件與間諜軟件。Visual[30]是另一款較早的作品，可視化對象同樣是網(wǎng)絡(luò)數(shù)據(jù)包，如圖5（b），采用了散點圖技術(shù)，用于展示內(nèi)部主機與外部源的通信模式，內(nèi)部網(wǎng)絡(luò)用網(wǎng)格表示，每個網(wǎng)格表示一臺主機，外部源用外部方塊表示，方塊的大小表示活動能力。該系統(tǒng)能夠同時顯示上千臺主機的相對位置和活動，揭示端口和協(xié)議的使用情況。PortVis[46]可視化對象采用比網(wǎng)絡(luò)數(shù)據(jù)包聚合性更好的網(wǎng)絡(luò)流（netflow），使用散點圖將網(wǎng)絡(luò)活動映射到網(wǎng)格中的單元，主視圖用256×256的網(wǎng)格指代65 536個網(wǎng)絡(luò)端口號，X軸表示端口號高位，Y軸表示低位，節(jié)點的變化用顏色表示，藍色表示低水平變化，紅色表示高水平變化，而白色表示最大變化。該圖能夠用夸張的手段展示特定主機端口變化的細節(jié)信息。PCAV（parallel coordinate attack visualization）[31]采用平行坐標顯示網(wǎng)絡(luò)流，如圖5（c），系統(tǒng)使用原IP地址、目標IP地址、目標端口、包平均長度等指標繪制平行軸，流的每個特征量用直線連接，通過形狀特征分析特定的攻擊模式。該系統(tǒng)能快速區(qū)分端口掃描、蠕蟲感染、主機掃描、拒絕服務(wù)攻擊等網(wǎng)絡(luò)威脅。Flow-Inspector[32]采用了基于Java的Web應(yīng)用顯示網(wǎng)絡(luò)流數(shù)據(jù)，用堆疊直方圖進行數(shù)量統(tǒng)計，用力引導圖（force directed graph）顯示連接模式，用邊捆綁技術(shù)（edge bundle）降低邊交叉，用蜂巢（hive plot）圖顯示大規(guī)模的數(shù)據(jù)。該系統(tǒng)善于使用新穎的可視化技術(shù)展示網(wǎng)路流量，檢測網(wǎng)絡(luò)流的拓撲特征。Mikel等人[33]采用環(huán)圖顯示工業(yè)網(wǎng)絡(luò)的流負載，外圈用顏色分類設(shè)備（藍色為可編程工業(yè)控制器，綠色為控制服務(wù)器，紫色為人機界面，橙色為網(wǎng)絡(luò)設(shè)備），內(nèi)部弧顏色深淺表示攻擊強度，圖5（d）展示了正在遭受端口掃描的工業(yè)網(wǎng)絡(luò)。NetflowVis采用了新穎的輻射布局和主題流圖，如圖5（e）所示，輻射布局圖兩端表示服務(wù)器組和客戶機組，中間的流圖顯示了上傳和下載的網(wǎng)絡(luò)流，顏色表示不同的協(xié)議。該系統(tǒng)用來分析網(wǎng)絡(luò)流模式和發(fā)現(xiàn)網(wǎng)絡(luò)異常。

Fig.5 Network flow visualization system圖5 網(wǎng)絡(luò)負載可視化系統(tǒng)

4.4 主機狀態(tài)日志可視化

主機狀態(tài)日志可視化主要致力于展示主機和服務(wù)器的狀態(tài)，包括網(wǎng)絡(luò)狀態(tài)、用戶數(shù)、系統(tǒng)負載、異常進程等，主要作用是檢查惡意軟件和保證主機服務(wù)能力。一般由日志接收代理、數(shù)據(jù)庫、過濾分析中心等幾部分構(gòu)成，由于收集代理不同，導致收集內(nèi)容有所偏重；同時，信息傳輸和分析使用的數(shù)據(jù)格式不同，阻礙數(shù)據(jù)在不同平臺及系統(tǒng)間自由交換。主機狀態(tài)日志可視化主要解決日志格式不統(tǒng)一帶來的理解差異，提高管理效率和質(zhì)量。

Fig.6 Host status visualization system圖6 主機可視化系統(tǒng)

早期的工作有Erbacher等人[35]提出的可視系統(tǒng)，如圖6（a）所示，服務(wù)器繪制在圖像中間，主機以同心圓的方式環(huán)繞著服務(wù)器，同一子網(wǎng)的主機和服務(wù)器更靠近一些，系統(tǒng)用不同的符號標識表示主機不同的屬性，主機和服務(wù)器的連接類型用不同的線段表示，該系統(tǒng)目的是發(fā)現(xiàn)不確定的數(shù)據(jù)連接。Mansmann等人[36]采用了節(jié)點連接圖展示主機行為，如圖6（b），各種網(wǎng)絡(luò)服務(wù)被排列在力引導布局視圖上，被觀察的節(jié)點通過虛擬彈簧連接相關(guān)服務(wù)，節(jié)點大小根據(jù)傳輸數(shù)據(jù)量的對數(shù)指標計算。該系統(tǒng)能監(jiān)視主機行為，主機狀態(tài)非正常變化被定義為可疑事件。之后，主機可視化不斷發(fā)展，形成了可商用產(chǎn)品，如Mocha BSM實現(xiàn)對多種主機以及各種操作系統(tǒng)關(guān)鍵資源的自動監(jiān)控，Visualized Management模塊將主機實時運行情況以及多個主機參數(shù)以符號、時序圖等方式展現(xiàn)出來，包括多個CPU中每CPU的利用率、物理內(nèi)存和虛擬內(nèi)存利用率、進程運行情況、進程優(yōu)先級、網(wǎng)卡流量等，如圖6（c），從而幫助管理員及時發(fā)現(xiàn)主機異常和故障隱患。CCGC（cyber command gauge cluster）[37]采用了儀表盤可視化技術(shù)，如圖6（d），儀表盤上展示了現(xiàn)在和過去主機和網(wǎng)絡(luò)狀況因子，允許管理員審查網(wǎng)絡(luò)狀態(tài)和定位潛在的異常問題，通過下鉆操作，還可以獲得更豐富的信息，方便進行故障分析和網(wǎng)絡(luò)補救。進入了云時代以后，我國阿里云、盛大云和騰訊云都推出了云可視化主機服務(wù)，采用企業(yè)級虛擬化云計算和管理平臺，給用戶提供了高性能、高可用、高安全、高彈性的云服務(wù)。同時，為了保證服務(wù)質(zhì)量，系統(tǒng)都提供了可視化的資源使用情況監(jiān)控平臺，實時監(jiān)測內(nèi)存、CPU、存儲、網(wǎng)絡(luò)帶寬的調(diào)整和變化，用戶可隨時隨地掌握云服務(wù)質(zhì)量，為用戶調(diào)整、優(yōu)化云服務(wù)，按需使用、按需付費提供了平臺保證。吳頔等人[38]從時間、節(jié)點號、性能指標類型3個維度出發(fā)，如圖6（e），提出了基于維度壓縮與維度切面的云主機性能數(shù)據(jù)集可視化方法，應(yīng)用動態(tài)時間規(guī)劃和卷積神經(jīng)網(wǎng)絡(luò)實現(xiàn)離群節(jié)點自識別。

Fig.7 Multi-source fusion visualization system圖7 多源融合可視化系統(tǒng)

4.5 多源大數(shù)據(jù)融合可視化

網(wǎng)絡(luò)安全可視化系統(tǒng)經(jīng)過近20年的發(fā)展，安全分析人員對該技術(shù)提出更高遠的要求——對宏觀網(wǎng)絡(luò)態(tài)勢的掌握。早期的系統(tǒng)關(guān)注某一類日志或某一種技術(shù)，試圖從不同的角度發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全問題，但是缺乏全局統(tǒng)籌，只能從局部考察網(wǎng)絡(luò)，發(fā)現(xiàn)真實威脅方面不夠理想和有效[47]?，F(xiàn)代互聯(lián)網(wǎng)的高復雜性帶來了安全的高風險性，“大數(shù)據(jù)”網(wǎng)絡(luò)呈現(xiàn)“3V”甚至“6V”特征，為了更全面地把握整個網(wǎng)絡(luò)的運行狀態(tài)和變化趨勢，急需大數(shù)據(jù)分析和決策支持方法[48]。用可視化融合技術(shù)將海量日志數(shù)據(jù)在一張或幾張高層次視圖中顯示出來，能在大數(shù)據(jù)時代有效管理和動態(tài)監(jiān)控網(wǎng)絡(luò)。從海量的、異構(gòu)的、快速變化的網(wǎng)絡(luò)安全日志中全面發(fā)現(xiàn)問題，并感知網(wǎng)絡(luò)態(tài)勢是當今網(wǎng)絡(luò)安全的重要研究課題。

NAVA（network anomaly visualization and analysis）[39]可導入多種安全監(jiān)測數(shù)據(jù)，如Netflow、Syslog、Firewall、IDS等，采用節(jié)點鏈接圖、平行坐標、樹圖和甘特圖等直觀顯示各種日志，如圖7（a）所示，通過結(jié)合各種圖形優(yōu)勢，為系統(tǒng)管理員和網(wǎng)絡(luò)管理員提供時效性強的網(wǎng)絡(luò)異常和成因分析工具。MVSec[40]對網(wǎng)絡(luò)流、防火墻、主機狀態(tài)日志進行分析，采用4種視圖，如圖7（b），熱圖顯示網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)交通情況，雷達視圖展示網(wǎng)絡(luò)安全事件之間的關(guān)聯(lián)，堆疊流視圖調(diào)查多時間維度下的隱藏信息，矩陣圖描繪端口活動特征。該系統(tǒng)主要用于監(jiān)測整個網(wǎng)絡(luò)，發(fā)現(xiàn)海量日志中隱藏的有價值信息，把握網(wǎng)絡(luò)安全態(tài)勢。在 VAST Challenge 2013 中，NOCturne[41]、AnNetTe[42]和SpringRain[43]融合了Netflow、IPS和Bigbrother共3種數(shù)據(jù)，采用了新穎的可視化技術(shù)展現(xiàn)網(wǎng)絡(luò)安全態(tài)勢。NOCturne使用了時間線、熱圖矩陣和地圖，如圖7（c）；AnNetTe采用了時間線、輻狀圖和平行坐標；SpringRain采用了類似于雨水的熱圖顯示網(wǎng)絡(luò)安全元素。以上系統(tǒng)都很好地將多種數(shù)據(jù)源融合到幾張高級視圖，并提供了豐富的人機交互工具，讓分析人員一目了然地發(fā)現(xiàn)問題和解決問題。Banksafe[44]同樣使用多種數(shù)據(jù)源，以大數(shù)據(jù)分析為目的，使用樹圖顯示所有主機活動，使用時間線挖掘IDS警報，主要用于發(fā)現(xiàn)網(wǎng)絡(luò)運行趨勢、可疑事件和攻擊模式，是大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)可視化分析的突出代表。NSVAS（network security visualization analysis system）[45]設(shè)計了大規(guī)模網(wǎng)絡(luò)的協(xié)同可視化方案和3D可視化模型布局算法，對于大規(guī)模、長時間跨度的網(wǎng)絡(luò)安全數(shù)據(jù)具有較強的分析能力，能夠有效識別不同類型的入侵訪問，幫助用戶快速發(fā)現(xiàn)異常行為和進行網(wǎng)絡(luò)取證。VIGOR[50]用以分析來自多個公司的安全大數(shù)據(jù)，訓練和識別經(jīng)常被忽略的重要的（或嚴重的）安全事故，幫助公司識別安全盲點，通過相互比較解決共性問題。

5 總結(jié)與展望

由于現(xiàn)代網(wǎng)絡(luò)面臨的安全挑戰(zhàn)更加復雜和艱巨，網(wǎng)絡(luò)安全日志可視化將安全日志分析和可視化技術(shù)有效結(jié)合，充分利用人類對圖像認知能力強和機器對數(shù)據(jù)處理性能高的特點，通過提供圖形圖像等交互性工具，提高了網(wǎng)絡(luò)安全分析人員對網(wǎng)絡(luò)問題的觀測、分析、感知、理解和決策能力，有效地解決了傳統(tǒng)分析方法認知負擔重、缺乏全局意識、缺乏交互方式、缺乏預(yù)測和主動防御等一系列問題。前期雖然取得了一定的成績，但是如何將可視化理念傳遞給觀測者（以人為本）和有效地創(chuàng)建可視化原理和技術(shù)（以圖為媒）仍然是研究的本質(zhì)方向。

（1）如何實時處理大數(shù)據(jù)并發(fā)現(xiàn)知識。在大數(shù)據(jù)時代，具備處理海量復雜數(shù)據(jù)的可擴展性始終是可視化分析系統(tǒng)關(guān)注的中心議題，由于計算能力受到有限的時間和空間的制約，如何面向大數(shù)據(jù)進行數(shù)據(jù)清洗、轉(zhuǎn)換，提高處理效率和速度仍然有許多發(fā)展空間。特別是網(wǎng)絡(luò)瞬息萬變，實時可視化對采集和預(yù)處理日志、圖形繪制速度和人機交互響應(yīng)提出了更高的要求。因此，應(yīng)該以大數(shù)據(jù)存儲、傳輸、治理為研究基礎(chǔ)，針對網(wǎng)絡(luò)安全大數(shù)據(jù)研究設(shè)計一體化收集、存儲、整合數(shù)據(jù)平臺。同時，發(fā)現(xiàn)知識感知網(wǎng)絡(luò)態(tài)勢，涉及態(tài)勢的提取、理解和預(yù)測等方面，需要對正確合理的數(shù)據(jù)融合算法和關(guān)聯(lián)算法、高速度高效率的并行計算和異步計算算法、基于因果關(guān)系和模式識別的預(yù)測算法繼續(xù)進行分析和驗證。

（2）如何提高感知和認知能力。人類的記憶容量、判斷力、注意力和警覺性都是寶貴而有限的資源。盡管可視化可以充分利用人類視覺的認知能力，但人類大腦對事物的記憶終究是短暫有限的，迅速變換的畫面場景并不適合于人類記憶的搜索，同時人類前幾分鐘的警覺性要遠超于以后的時間段，執(zhí)行視覺搜索只能維持數(shù)分鐘時間。因此，設(shè)計出新穎的、易于感知的、以人為中心的探索式可視化分析系統(tǒng)尤為重要。在設(shè)計網(wǎng)絡(luò)安全日志可視化分析系統(tǒng)時，應(yīng)充分考慮人類行為，如人機交互習慣、認知心理學等問題，搭配文字、色彩、大小、形狀、紋理、對比度、透明度、位置、方向等多元素，以提高人眼的感知和避免視覺疲勞。同時，搭建多數(shù)據(jù)源、多視圖和多人的協(xié)同分析環(huán)境，促進解決單個體環(huán)境感知和認知能力不足的問題。

（3）如何降低顯示能力的局限性?？梢暬O(shè)計者往往在屏幕顯示之外要承擔大量的工作，屏幕分辨率限制了想要表達信息的豐富度。龐大數(shù)據(jù)量的網(wǎng)絡(luò)安全日志不但導致了可視化系統(tǒng)的可伸展性問題，甚至會導致顯示出現(xiàn)閉塞和擁擠現(xiàn)象。而一切企圖全方位顯示數(shù)據(jù)集的方法更是遠離現(xiàn)實的，它將弱化可視化的力量，從而降低人類視覺系統(tǒng)感知潛在數(shù)據(jù)模式和趨勢的能力?？梢暬O(shè)計者首先要降低圖像閉塞性（occlusion），專注于開發(fā)新穎的圖技術(shù)和模式，如力引導算法（force directed algorithm）、徑向布局（radial layout）等，提高圖像自身的有序性和自控性，以人眼易接受的方式解決視覺混亂；其次，大力發(fā)展新的顯示技術(shù)，如虛擬現(xiàn)實、3D投影技術(shù)，充分利用人類可感知的媒介，在三維空間中容納安全大數(shù)據(jù)多維特征。

（4）如何進一步完善可視化理論體系?？梢暬碚擉w系較廣，包括可視化基礎(chǔ)理論、可視化應(yīng)用、可視化研究等。由于網(wǎng)絡(luò)安全可視化理論缺乏成熟的數(shù)學模型，其中一些環(huán)節(jié)并不成熟，如可視化測評，由于可視化分析主觀性較強，僅靠少量用戶的評價，難以進行有效性驗證和評估。因此，可視化測評指標應(yīng)該包括功能、有效性、效率、交互界面、可擴展性、計算能力等，需一步完善現(xiàn)場測試、案例研究和專家評估等方法。同時，物聯(lián)網(wǎng)、云計算和軟件定義網(wǎng)絡(luò)（software defined network，SDN）的出現(xiàn)，給網(wǎng)絡(luò)安全可視化帶來了新的挑戰(zhàn)和機遇，如物聯(lián)網(wǎng)拓撲的展示、物體實時監(jiān)控以及個人隱私安全問題，云計算的虛擬機遷徙和按需索取問題，軟件定義網(wǎng)絡(luò)的配置控制信息可視化以及多控制器問題等。新的時代呼吁新理論來指導實際，下一步將面向安全大數(shù)據(jù)開展新的數(shù)據(jù)組織、計算理論、大規(guī)模圖理論、可視分析等標準化研究，并圍繞實際的網(wǎng)絡(luò)安全威脅問題求解出新的工作流程和研究范式，從而為網(wǎng)絡(luò)大數(shù)據(jù)時代筑起“安全大門”。

[1]Cncert/Cc.A survey on Chinese Internet network security situation in 2011-2015[EB/OL].(2016-04-01)[2016-07-01].http://www.cert.org.cn.

[2]APCERT.APCERT annual report 2015[EB/OL].(2016-05-10)[2016-07-01].http://www.apcert.org.

[3]Chen Wei,Shen Zeqian,Tao Yubo.Data visualization[M].Beijin:Publishing House of Electronics Industry,2013.

[4]Becker R A,Eick S G,Wilks A R.Visualizing network data[J].IEEE Transactions on Visualization and Computer Graphic,1995,1(1):16-28.

[5]Lv Liangfu,Zhang Jiawan,Sun Jizhou,et al.Survey of network security visualization techniques[J].Journal of ComputerApplications,2008,28(8):1924-1927.

[6]Shiravi H,Shiravi A,Ghorbani A A.A survey of visualization systems for network security[J].IEEE Transactions on Visualization and Computer Graphics,2012,18(8):1313-1329.[7]Zhao Ying,Fan Xiaoping,Zhou Fangfang,et al.A survey on network security data visualization[J].Journal of Computer-Aided Design&Computer Graphics,2014,26(5):687-697.

[8]Yuan Bin,Zou Deqing,Jin Hai.Network security visualization:a survey[J].Journal of Cyber Security,2016,1(3):10-20.

[9]Xiang Hong,Zhang Yu,Hu Haibo.Big data and security visualization[J].Journal of Chongqing University,2016,39(2):71-81.

[10]Zhang Tianye,Wang Xumeng,Li Zongzhuang,et al.A survey of network anomaly visualization[J].Science China:Information Sciences,2017,60(12):121101.

[11]Zhao Ying,Fan Xiaoping,Zhou Fangfang,et al.Study on collaborative visual analysis of large scale network security data[J].Journal of Frontiers of Computer Science and Technology,2014,8(7):848-857.

[12]Sanchez G.Arc diagrams in R:Les Miserables[EB/OL].(2016-10-20).https://www.r-bloggers.com/arc-diagrams-inr-les-miserables/.

[13]Zhang Sheng,Shi Ronghua,Zhou Fangfang.A visualization scheme based on radial panel in intrusion detection system[J].Computer Engineering,2014,40(1):15-19.

[14]Bohnacker H,Gross B,Laub J,et al.Generative design:visualize,program,and create with processing[M].Princeton:PrincetonArchitectural Press,2012.

[15]Manuel L.Visual complexity:mapping patterns of information[M].Princeton:PrincetonArchitectural Press,2011.

[16]Girardin L,Brodbeck D.A visual approach for monitoring logs[C]//Proceedings of the 12th Conference on Systems Administration,Boston,Dec 6-11,1998.Berkeley:USENIX Association,1998:299-308.

[17]Chao C S,Yang S J H.A novel three-tiered visualization approach for firewall rule validation[J].Journal of Visual Languages&Computing,2011,22(6):401-414.

[18]Mansmann F,G?bel T,Cheswick W R.Visual analysis of complex firewall configurations[C]//Proceedings of the 9th International Symposium on Visualization for Cyber Security,Seattle,Oct 15,2102.New York:ACM,2012:1-8.

[19]Kim U H,Kang J M,Lee J S,et al.Practical firewall policy inspection using anomaly detection and its visualization[J].Multimedia Tools&Applications,2014,71(2):627-641.

[20]Ghoniem M,Shurkhovetskyy G,Bahey A,et al.VAFLE:visual analytics of firewall log events[C]//Proceedings of the Visualization and Data Analysis,San Francisco,Feb 3-5,2014.Bellingham:SPIE,2014:164-167.

[21]Koike H,Ohno K.SnortView:visualization system of Snort logs[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washing-ton,Oct 29,2004.New York:ACM,2004:143-147.

[22]Abdullah K,Lee C P,Conti G J,et al.IDS RainStorm:visualizing IDS alarms[C]//Proceedings of the 2nd International Workshop on Visualization for Cyber Security,Minneapolis,Oct26,2005.Washington:IEEEComputerSociety,2005:1-10.

[23]Livnat Y,Agutter J,Moon S,et al.A visualization paradigm for network intrusion detection[C]//Proceedings of the 6th Annual IEEE SMC Information Assurance Workshop,New York,Jun 15-17,2005.Piscataway:IEEE,2005:92-99.

[24]Shiravi H,Shirav A,Ghorbani A A.IDS alert visualization and monitoring through heuristic host selection[C]//LNCS 6476:Proceedings of the 12th International Conference on Information and Communications Security,Barcelona,Dec 15-17,2010.Berlin,Heidelberg:Springer,2010:445-458.

[25]Zhang Tao,Liao Qi,Shi Lei.Bridging the gap of network management and anomaly detection through interactive visualization[C]//Proceedings of the 2014 IEEE Pacific Visualization Symposium,Yokohama,Mar 4-7,2014.Washington:IEEE Computer Society,2014:253-257.

[26]Alsaleh M,Alarifi A,Alqahtani A,et al.Visualizing Web server attacks:patterns in PHPIDS logs[J].Security&Communication Networks,2015,8(11):1991-2003.

[27]Shi Yang,Zhang Yaoxue,Zhou Fangfang,et al.IDSPlanet:a novel radial visualization of intrusion detection alerts[C]//Proceedings of the 9th International Symposium on Visual Information Communication and Interaction,Dallas,Sep 24-26,2016.New York:ACM,2016:25-29.

[28]Song J,Itoh T,Park G,et al.An advanced security event visualization method for identifying real cyber attacks[J].Applied Mathematics&Information Sciences,2017,11(2):353-361.

[29]Fink G A,Muessig P,North C.Visual correlation of host processes and network traffic[C]//Proceedings of the 2005 IEEE Workshop on Visualization for Computer Security,Minneapolis,Oct 26,2005.Washington:IEEE Computer Society,2005:11-19.

[30]Ball R,Fink G A,North C.Home-centric visualization of network traffic for security administration[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washington,Oct 29,2004.New York:ACM,2004:55-64.

[31]Choi H,Lee H,Kim H.Fast detection and visualization of network attacks on parallel coordinates[J].Computers&Security,2009,28(5):276-288.

[32]Braun L,Volke M,Schlamp J,et al.Flow-inspector:a framework for visualizing network flow data using current Web technologies[J].Computing,2014,96(1):15-26.

[33]Iturbe M,Garitano I,Zurutuza U,et al.Visualizing network flows and related anomalies in industrial networks using chord diagrams and whitelisting[C]//Proceedings of the 11th Joint Conference on Computer Vision,Imaging and Computer Graphics Theory and Applications,Rome,Feb 27-29,2016.Setúbal:SciTePress,2016:101-108.

[34]He Likun,Tang Binbin,Zhu Min,et al.NetflowVis:a temporal visualization system for netflow logs analysis[C]//LNCS 9929:Proceedings of the 13th International Conference on Cooperative Design,Visualization and Engineering,Sydney,Oct 24-27,2016.Berlin,Heidelberg:Springer,2016:202-209.

[35]Erbacher R F,Walker K L,Frincke D A.Intrusion and misuse detection in large-scale systems[J].IEEE Computer Graphics andApplications,2002,22(1):38-48.

[36]Mansmann F,Meier L,Keim DA.Visualization of host behavior for network security[C]//Proceedings of the 2007 Workshop on Visualization for Computer Security,Sacramento,Oct 29,2007.Berlin,Heidelberg:Springer,2008:187-202.

[37]Erbacher R F.Visualization design for immediate high-level situational assessment[C]//Proceedings of the 9th International Symposium on Visualization for Cyber Security,Seattle,Oct 15,2012.New York:ACM,2012:17-24.

[38]Wu Di,Wang Lina,Yu Rongwei,et al.Multidimensional data visualization in cloud platform security monitoring[J].Journal of Shandong University:Natural Science,2017,52(6):56-63.

[39]Liao Qi,Li Ting.Effective network management via dynamic network anomaly visualization[J].International Journal of Network Management,2016,26(6):461-491.

[40]Zhao Ying,Liang Xing,Fan Xiaoping,et al.MVSec:multiperspective and deductive visual analytics on heterogeneous network security data[J].Journal of Visualization,2014,17(3):181-196.

[41]Benson J R,Ramarajan R.NOCturne:a scalable large format visualization for network operations[C]//Proceedings of the IEEE VAST Challenge:Mini Challenge 2,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:1-2.

[42]Chen Siming,Merkle F,Schaefer H,et al.AnNetTe collaboration oriented visualization of network data[C]//Proceedings of the IEEE VAST Challenge:Mini Challenge 3,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:1-2.

[43]Promann M,Ma YA,Wei Shuang,et al.SpringRain:an ambient information display[C]//Proceedings of the 2013 IEEE VAST Challenge:Mini Challenge 2,Atlanta,Jul 11,2013.Piscataway:IEEE,2013:5-6.

[44]Fischer F,Fuchs J,Mansmann F,et al.BANKSAFE:visualanalytics for big data in large-scale computer networks[J].Information Visualization,2015,14(1):51-61.

[45]Jiang Hongyu,Wu Yadong,Sun Mengxin,et al.Research on fusion and visual analytic method of multi-source network security data logs[J].Journal of Southwest University of Science and Technology:Natural Science Edition,2017,32(1):70-77.

[46]McPherson J,Ma K L,Krystosk P,et al.PortVis:a tool for port-based detection of security events[C]//Proceedings of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security,Washington,Oct 29,2004.New York:ACM,2004:73-81.

[47]Gong Jian,Zang Xiaodong,Su Qi,et al.Survey of network security situation awareness[J].Journal of Software,2017,28(4):1010-1026.

[48]Carrascosa I P,Kalutarage H K,Huang Y.Data analytics and decision support for cybersecurity[M].Berlin,Heidelberg:Springer,2017.

[49]Humphries C,Prigent N,Bidan C,et al.ELVIS:extensible log visualization[C]//Proceedings of the 10th Workshop on Visualization for Cyber Security,Atlanta,Oct 14,2013.New York:ACM,2013:9-16.

[50]Pienta R,Hohman F,Endert A,et al.VIGOR:interactive visual exploration of graph query results[J].IEEE Transactions on Visualization and Computer Graphics,2018,24(1):215-225.

附中文參考文獻:

[1]Cncert/Cc.2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL].(2016-04-01)[2016-07-01].http://www.cert.org.cn.

[3]陳為,沈則潛,陶煜波.數(shù)據(jù)可視化[M].北京:電子工業(yè)出版社,2013.

[5]呂良福,張加萬,孫濟洲,等.網(wǎng)絡(luò)安全可視化研究綜述[J].計算機應(yīng)用,2008,28(8):1924-1927.

[7]趙穎,樊曉平,周芳芳,等.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J].計算機輔助設(shè)計與圖形學學報,2014,26(5):687-697.

[8]袁斌,鄒德清,金海.網(wǎng)絡(luò)安全可視化綜述[J].信息安全學報,2016,1(3):10-20.

[9]向宏,張瑜,胡海波.大數(shù)據(jù)與安全可視化[J].重慶大學學報,2016,39(2):71-81.

[11]趙穎,樊曉平,周芳芳,等.大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J].計算機科學與探索,2014,8(7):848-857.

[13]張勝,施榮華,周芳芳.入侵檢測系統(tǒng)中基于輻射狀面板的可視化方法[J].計算機工程,2014,40(1):15-19.

[38]吳頔,王麗娜,余榮威,等.面向云平臺安全監(jiān)控多維數(shù)據(jù)的離群節(jié)點自識別可視化技術(shù)[J].山東大學學報:理學版,2017,52(6):56-63.

[45]蔣宏宇,吳亞東,孫蒙新,等.多源網(wǎng)絡(luò)安全日志數(shù)據(jù)融合與可視分析方法研究[J].西南科技大學學報:自然科學版,2017,32(1):70-77.

[47]龔儉,臧小東,蘇琪,等.網(wǎng)絡(luò)安全態(tài)勢感知綜述[J].軟件學報,2017,28(4):1010-1026.