楊卓林

(黑龍江省科學(xué)院，哈爾濱 150000)

1 可視化設(shè)計(jì)理念

本研究討論的設(shè)計(jì)理念綜合網(wǎng)絡(luò)安全態(tài)勢(shì)感知分析師工作中提出的要求，主要遵循以下6條原則：

一是心智模型?？梢暬仨氝m應(yīng)分析師用于調(diào)查問(wèn)題的心智模型，因?yàn)榉治鰩煵粫?huì)因?yàn)槭褂每梢暬ぞ叨淖兎治鎏幚韱?wèn)題的方式。

二是工作環(huán)境?？梢暬仨毮軌蛘线M(jìn)分析師現(xiàn)有的工作環(huán)境，許多分析師使用WEB瀏覽器查看以網(wǎng)絡(luò)監(jiān)控工具所定義格式儲(chǔ)存的數(shù)據(jù)。

三是可配置性。一般來(lái)說(shuō)，經(jīng)過(guò)預(yù)定義且不易改變的數(shù)據(jù)呈現(xiàn)形式無(wú)法滿足分析師的各種可視化需求，因此分析師需要根據(jù)其調(diào)查數(shù)據(jù)選擇不同的配置方式。

四是易用性。可視化方案為了方便分析師使用，應(yīng)具有學(xué)習(xí)快速且簡(jiǎn)易特性。

五是可擴(kuò)展性?？梢暬到y(tǒng)必須能夠支持從多個(gè)數(shù)據(jù)源進(jìn)行數(shù)據(jù)展示。

六是整合?？梢暬O(shè)計(jì)理念需要跟分析師解決問(wèn)題的理念達(dá)成一致，否則會(huì)造成分析師在使用過(guò)程出現(xiàn)各種問(wèn)題[1]。

2 使用WEB實(shí)現(xiàn)網(wǎng)絡(luò)態(tài)勢(shì)感知可視化的需求及意義

監(jiān)控系統(tǒng)內(nèi)的網(wǎng)絡(luò)警告是網(wǎng)絡(luò)安全分析師的一項(xiàng)常規(guī)工作，通常會(huì)按照警告的等級(jí)對(duì)警告進(jìn)行分類。警告一共分成三類，分別為低級(jí)、中級(jí)、高級(jí)。分析師會(huì)配合簡(jiǎn)短的文字概述作為標(biāo)注，并間隔幾分鐘在WEB瀏覽器刷新顯示，分析師的工作是快速?zèng)Q定對(duì)哪些警告進(jìn)行進(jìn)一步排查。當(dāng)出現(xiàn)嚴(yán)重警告時(shí)，他們會(huì)對(duì)更多的數(shù)據(jù)進(jìn)行查詢，以得到對(duì)應(yīng)的上下文環(huán)境信息及證據(jù)，作為對(duì)警告進(jìn)行處理的依據(jù)。

通常情況下，所有的數(shù)據(jù)源都會(huì)被獨(dú)立進(jìn)行管理，分析師必須手動(dòng)將各種結(jié)果進(jìn)行篩選分析后進(jìn)行關(guān)聯(lián)，對(duì)關(guān)聯(lián)過(guò)程進(jìn)行協(xié)調(diào)。通過(guò)以上分析可以總結(jié)出可視化系統(tǒng)存在以下需求：使分析師能夠更快更好地識(shí)別出上下文信息；將多個(gè)數(shù)據(jù)源的數(shù)據(jù)進(jìn)行整合處理；選擇最合適分析師的數(shù)據(jù)和任務(wù)可視化技術(shù)；為分析師提供自主選擇展現(xiàn)的手段及最需要展現(xiàn)的數(shù)據(jù)。

針對(duì)以上需求，設(shè)計(jì)方案需要具有可配置性、可用性、可擴(kuò)展性和整合性。系統(tǒng)需要能夠?qū)崿F(xiàn)靈活的用戶交互，可以將多個(gè)數(shù)據(jù)源進(jìn)行可視化處理。系統(tǒng)需要使用Mysql、PHP、HTML5和JavaScript等技術(shù)或組件，開(kāi)發(fā)基于WEB架構(gòu)的網(wǎng)絡(luò)安全可視化系統(tǒng)。

3 基于WEB實(shí)現(xiàn)可視化功能

系統(tǒng)將使用HTML5的Canvas元素開(kāi)發(fā)一個(gè)WEB應(yīng)用程序，這種技術(shù)的優(yōu)點(diǎn)是不依賴于外部插件，可以輕松適配各種瀏覽器。系統(tǒng)采用二維圖表實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的可視化，使用基本圖表具有廣泛性和易用性。分析師比較熟悉二維圖表，此形式是一種能夠有效展現(xiàn)分析師需要的數(shù)值、趨勢(shì)、模式和關(guān)系的最佳可視化方法[2]。

4 可視化功能的交互式模式

為了實(shí)現(xiàn)由分析師驅(qū)動(dòng)的圖表可視化過(guò)程，系統(tǒng)提供了一個(gè)基于Canvas元素和jQueryUI樣式的JavaScript庫(kù)，這些組件可以搭建一個(gè)具有事件處理能力的用戶界面，以滿足分析師對(duì)UI的設(shè)置及各種界面的復(fù)雜操作，依賴這些插件系統(tǒng)可以將對(duì)應(yīng)的數(shù)據(jù)正向分布到坐標(biāo)軸上。分析師可以據(jù)此制作一些定制的圖表和圖表類型，還可以對(duì)圖表中的各種數(shù)據(jù)的外觀進(jìn)行定制。

5 針對(duì)分析師需求的可視化圖表

一般信息可視化工具中，查看者通常會(huì)精確地定義他們所需要的可視化方法。本研究定義的可視化系統(tǒng)基于以下兩項(xiàng)規(guī)則，自動(dòng)選擇可視化初始圖表類型：一是不同類型圖表的優(yōu)點(diǎn)、用途。二是分析師需要分析的數(shù)據(jù)。

例如：如果分析師需要查看某個(gè)單一數(shù)據(jù)屬性的取值分布情況，系統(tǒng)會(huì)建議使用餅圖或柱狀圖。如果分析師要求查看兩個(gè)數(shù)據(jù)屬性之間的關(guān)系，系統(tǒng)會(huì)建議使用散點(diǎn)圖或甘特圖。

圖表的坐標(biāo)軸是根據(jù)數(shù)據(jù)屬性的特點(diǎn)確定位置，如柱狀圖x軸代表屬性分類；柱狀圖y軸代表聚合的計(jì)數(shù)情況。如果確定選取類似于數(shù)據(jù)屬性集A={A1：source IP(源IP地址)，A2：destination IP (目的IP地址)}的兩個(gè)分類屬性，則數(shù)據(jù)屬性就被映射到散點(diǎn)圖的坐標(biāo)軸上面，對(duì)應(yīng)的視覺(jué)特征集合為T(mén)={T1：x，T2：y}，而散點(diǎn)圖上的標(biāo)記則代表某一對(duì)IP地址之間的網(wǎng)絡(luò)流(圖1)。

圖1 散點(diǎn)圖Fig.1 Scatter diagram

6 可視化圖表概覽與細(xì)節(jié)

設(shè)計(jì)的可視化系統(tǒng)為分析師提供過(guò)濾功能，或經(jīng)過(guò)操作對(duì)現(xiàn)有圖表的子區(qū)域進(jìn)行放大，從而聚焦于特定的數(shù)據(jù)子集。一般的可視化工具若需要滿足某一子集的可視化，需要重新生成這一子集圖表。本系統(tǒng)則包含縮放功能，能夠?qū)⒎治鰩熯x定的區(qū)域進(jìn)行單獨(dú)顯示。

7 關(guān)聯(lián)的視圖

分析師工作中會(huì)開(kāi)展一系列的調(diào)查分析，通過(guò)關(guān)聯(lián)多個(gè)數(shù)據(jù)源并在多個(gè)詳細(xì)的層面進(jìn)行數(shù)據(jù)搜索?？梢暬到y(tǒng)需要提供多個(gè)視圖及靈活的用戶交互，系統(tǒng)通過(guò)產(chǎn)生關(guān)聯(lián)的SQL查詢語(yǔ)句[3]，擴(kuò)展RGraph庫(kù)以支持不同圖表之間的依賴關(guān)系，從而實(shí)現(xiàn)多個(gè)數(shù)據(jù)源的關(guān)聯(lián)。

當(dāng)分析師研究數(shù)據(jù)圖表時(shí)，他們對(duì)態(tài)勢(shì)感知的判斷會(huì)發(fā)生變化，會(huì)對(duì)網(wǎng)絡(luò)活動(dòng)成因或效應(yīng)提出新的假設(shè)。將現(xiàn)有圖表進(jìn)行關(guān)聯(lián)，可以使分析師能夠立即從當(dāng)前視圖中生成新的可視化圖，從而對(duì)此假設(shè)做出探索。通過(guò)此方式，分析師能夠展開(kāi)下一步的分析步驟，每個(gè)分析步驟都建立在之前的基礎(chǔ)之上，并按需產(chǎn)生新的可視化視圖，來(lái)完成當(dāng)前的調(diào)查分析。

與縮放操作類似，分析師可以通過(guò)選定區(qū)域并請(qǐng)求建立子畫(huà)板(canvas)，從而為關(guān)注的數(shù)據(jù)創(chuàng)建相關(guān)聯(lián)的多個(gè)圖表。系統(tǒng)生成一個(gè)約束條件，據(jù)此在單獨(dú)的窗口中提取關(guān)注的數(shù)據(jù)。選擇需要包含的新數(shù)據(jù)屬性，或選擇新的表格或約束條件以添加至新的圖表。

8 結(jié)語(yǔ)

數(shù)據(jù)可視化能夠?qū)⒃紨?shù)據(jù)轉(zhuǎn)換為圖像，使分析師和使用者能夠直觀地查看數(shù)據(jù)的取值及其所形成的關(guān)系。目前，許多態(tài)勢(shì)感知工具已經(jīng)使用了可視化技術(shù)，如圖表、地圖和流程圖等，為分析師呈現(xiàn)了所需要的各種信息。

研究選取了一種將可視化技術(shù)應(yīng)用于網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域的方法，使用了多種常見(jiàn)的信息可視化方法，根據(jù)不同的需求提供細(xì)節(jié)展示。將可視化技術(shù)與分析師的需求相結(jié)合，充分考慮了分析師平時(shí)的工作習(xí)慣及策略，同時(shí)支持多個(gè)自定義數(shù)據(jù)源的查詢與獲取，為網(wǎng)絡(luò)態(tài)勢(shì)分析提供了一個(gè)可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)告警平臺(tái)。