隨著網路通訊技術的進步,飛速發展的網路應用對網路安全提出了很高的要求。一直以來,各種網路監控裝置採集的大量日誌資料是人們掌握網路狀態和識別網路入侵的主要資訊來源。網路安全分析人員在處理網路安全問題時,首先通過分析相應的資料來了解網路狀態和發現異常現象,然後對異常事件的特徵以及對網路的影響進行綜合診斷,最後採取對應的響應措施。然而,隨著網路安全需求的不斷提升,網路安全分析人員在分析網路安全資料時遇到了很多新的困難:
1)異構的資料來源和持續增長的資料量給分析人員帶來了繁重的認知負擔;
2)新攻擊型別的出現和攻擊複雜度的提高,使得很多傳統的資料分析方法不再有效;
3)大量漏報和誤報是一些自動化異常檢測系統的弊病;
4)側重於區域性異常分析的傳統思路,使得分析人員很難掌握巨集觀網路態勢。如何幫助網路安全分析人員更高效地分析網路安全資料,已成為網路安全領域一個十分重要而且迫切的問題。
在解決網路安全問題的過程中,人的認知和判斷能力始終處於主導地位,一個能幫助人們更好地分析網路安全資料的實用辦法就是將資料以圖形影象的方式表現出來,並提供友好的互動手段,建立人與資料之間的影象通訊,藉助人們的視覺處理能力觀察網路安全資料中隱含的資訊,以進一步提高分析人員的感知、分析和理解網路安全問題的能力。因此,許多學者提出將視覺化技術引入到網路安全研究領域中來,並逐步形成了網路安全視覺化這一新的交叉研究領域。
早在1995年Becker等就提出對網路流量狀況進行視覺化,之後Girardind等在1998年曾使用多種視覺化技術來分析防火牆日誌記錄。從2004年開始舉辦的國際網路安全視覺化年會[6](visualization for cyber security,VizSec),標誌著該領域的正式建立,並且在2004~2006年集中湧現了一批高質量的研究成果,如圖1所示。從2011年開始,國際可視分析挑戰賽[7](VAST challenge)連續3年都採用了網路安全資料作為競賽題目,推動著該領域呈現出一個新研究熱潮。國內網路安全視覺化的研究起步相對較晚,哈爾濱工程大學、天津大學、北京郵電大學、吉林大學、北京大學和中南大學等研究機構的一些團隊已開展了相關研究。經過十多年的發展,在網路安全視覺化領域,學者們提出了許多新穎的視覺化設計,並開發了諸多實用的互動式可視分析工具,這也為傳統的網路安全研究方法和分析人員的工作方式注入了新的活力:
1)分析人員的認知負擔得以減輕;
2)異常檢測和特徵分析變得更為直觀;
3)人們可以更自主地探索事件關聯和複雜攻擊模式,甚至發現新的攻擊型別;
4)網路安全態勢的察覺和理解效率得以提高。
本文首先介紹網路安全分析人員需要處理的各種網路安全資料來源,並重點從網路安全問題和網路安全視覺化方法這2個角度,對已有研究成果進行了系統的梳理,最後對網路安全視覺化的發展趨勢進行了展望。
1 網路安全資料介紹
網路安全分析人員需要處理的網路安全資料種類非常多,其中最重要資料來源來自各種網路監控裝置。根據位於不同邏輯層次和不同物理位置的各種網路監控裝置所採集資訊的特點,可以將網路監控資料分3類:流量監控資料、狀態監控資料和事件監控資料,流量監控資料主要來自包級和流級2個採集層次。包級的流量監控會記錄每個資料包的TCP?IP包頭資訊和載荷內容;流級的流量監控會將一次網路會話的`資料流聚合起來,只記錄會話資訊的方式資料量更小,也更加易於理解和管理。狀態監控資料是指網路中各種軟硬體資源的執行狀態資訊,如CPU 利用率、網路吞吐率、郵件服務是否正常等等,它們可以通過SNMP協議或者通過安裝一些專業的狀態監控產品獲得。事件監控資料又分為異常檢測日誌和日常操作記錄。異常檢測日誌主要來自自動化的網路防禦裝置產生的報警事件,如防火牆和入侵檢測系統,它們是以流量資料、狀態資料等原始監控資料為基礎,通過規則匹配和演算法處理生成。日常操作記錄來自各種網路服務和應用在執行過程中獲取的使用者操作資訊,如管理伺服器的使用者登陸記錄、域名伺服器的域名解析請求記錄等等。另外,也可以將網路漏洞掃描資料和通過蜜罐獲取的攻擊者資訊看作事件監控資料。網路安全分析人員在日常工作中還需要面對一些非監控型網路安全資料,如防火牆配置檔案、網路路由表、病毒樣本等。針對這些資料的視覺化可以為分析人員提供多方面的幫助,如Nataraj等將惡意軟體樣本視覺化為灰度影象,並利用影象特徵對樣本進行分類。Mansmann等採用Sunburst圖形將防火牆配置規則樹視覺化,幫助管理員理解複雜的規則和輔助調優。
2 主要研究方法與發展現狀
網路安全視覺化的研究,首先是確定網路安全分析人員關心的問題,也就是有什麼資料,需要從資料中獲取什麼資訊;然後是設計視覺化結構來表示資料,建立資料到視覺化結構的對映;最後是設計縮放、聚焦、回放和關聯更新等人機互動功能,完成人與視覺化工具的交流,從而幫助分析人員觀察網路安全資料中隱含的資訊,進一步提高分析人員的感知、分析和理解網路安全問題的能力。無論是針對網路掃描、拒絕服務攻擊、蠕蟲傳播等具體的網路入侵事件,還是針對網路監控、特徵分析、態勢感知等抽象的網路安全需求,面對不同的網路安全問題和資料來源,設計不同的視覺化結構和互動手段、採用不同的技術路線和分析思路,便可以形成不同的網路安全視覺化研究方法。
從網路安全分析人員的角度出發,按照從簡單到複雜、從單一到整體、從低層到高層的思路,可以將人們關心的網路安全問題和網路安全視覺化在網路安全中的應用分為5類:網路監控、異常檢測、特徵分析、關聯分析和態勢感知。本節將逐類介紹主要的網路安全視覺化研究方法和發展現狀,所示為常見的網路安全問題和主要的網路安全視覺化研究方法結合情況的整體概覽。
從各種網路監控裝置獲取的資料中瞭解網路執行狀態是網路安全分析人員關注的最基本問題,也是網路優化、異常檢測、態勢感知的基礎。視覺化的網路監控主要研究是按照時間順序,如何將主機和埠等監控物件、流量和事件等監控內容使用圖形影象的方式表達出來,以幫助分析人員快速瞭解網路執行狀態。
3總結與展望
網路安全視覺化將網路安全資料分析和視覺化技術結合起來,通過提供圖形化的互動工具,提高網路安全分析人員感知、分析和理解網路安全問題的能力。從本文的介紹中可以看出,網路安全視覺化已經取得了豐碩的研究成果,但是面對越來越嚴重的網路安全威脅和越來越複雜的攻擊手段,研究者們還面臨著諸多的挑戰:
1)如何實時顯示和處理大規模網路資料。目前大部分研究仍然停留在離線資料的分析上,但是實時分析遠比離線分析重要。實時的網路安全視覺化需求對資料預處理速度、圖形繪製速度、互動響應速度都提出了更高的要求。
2)如何搭建網路安全視覺化的協同工作環境。解決大範圍的複雜網路問題往往需要多資料來源、多檢視、多人的協同分析,因此現有的資料融合和多檢視技術以及多人蔘與的網路安全協同可視分析環境都有較大的發展空間。
3)如何提高網路安全視覺化系統的易用性。對於目前大部分網路安全視覺化系統,即使是有豐富經驗的分析人員,都需要一定程度的培訓後才能熟練使用,但網路安全視覺化的受眾本應更為廣泛,因此需要加強網路安全視覺化的易用性研究。
4)如何研究出一套完整的理論體系。視覺化方法研究主觀性很強,解決網路安全問題的經驗性要求高,網路安全視覺化的有效性驗證非常困難,因此在相關數學模型、基礎理論和設計原則等方面開展深入研究勢在必行