《网络安全态势可视化研究评述》由会员分享,可在线阅读,更多相关《网络安全态势可视化研究评述(7页珍藏版)》请在金锄头文库上搜索。
1、http:/ 网络安全态势可视化研究评述1朱亮,王慧强,郑丽君 哈尔滨工程大学计算机科学与技术学院(150001) E-mail: 摘 要 : 网络安全态势可视化是安全研究的一个新领域。将网络中的事件通过态势图显示出来,借助于人类视觉对图形的感知处理能力,能够很好的实现对安全状态的监控和预测。本文介绍了可视化技术基本概念,综述了网络安全态势可视化技术在国内外的研究现状,分析了几种典型的可视化系统。探讨了关键技术,并详细阐述了待解决的问题,最后描述了网络安全可视化技术的发展趋势。 关键词:网络安全 态势感知 态势可视化 可视化系统 1引言 随着网络规模的扩大以及网络攻击复杂程度的增强,现有网络安
2、全产品已无法满足用户需求。在处理结果上,主要体现在传统安全产品的处理结果通常以文本形式或简单图形表示出来,使得寻找有用的、关键的信息非常困难。于是提出对网络安全态势感知系统的研究,旨在通过可视化方法,实现对网络安全态势的实时监控。 态势感知(Situation Awareness)概念源于航天飞行的人因(Human Factors )研究1,广泛应用于航天飞行,军事战场,核反应控制,空中交通监管以及医疗应急调度等领域2-4。态势感知的定义由Endsley 于 1985 年提出,指出态势感知是在特定的时间和空间条件下,对环境中各种要素的觉察、理解以及对未来状态的预测5。态势感知的结果最终要经由图
3、形的方式展现。因此,可视化技术作为态势感知系统中的一项重要技术受到了国内外学者的关注,并在近几年得到了迅速的发展。 2安全态势可视化研究现状 计算机安全领域的角度来看,可视化技术最初被用来实现对系统日志或者IDS日志的显示。然而,基于日志数据的可视化显示受到日志本身特性的限制,实时性差,无法满足高实时性的网络需求。据此提出了基于数据流的可视化工具。最有代表性的是Stephen Lau 开发的Spinning Cube of Potential Doom工具6,该工具在实时性方面具有非常好的性能,同时为了能在三维空间中尽可能多的显示网络中实时存在的信息,首次采用了“点”表示连接的方法,在一定程度
4、上消除了视觉障碍的影响,取得了较好的效果。由 Gregory Conti和 Kulsoom Abdullah开发的可视化工具7通过对网络流量的实时监控,能够提取出网络攻击行为的特征。在Sven Krasser 等人开发的SecViz8在三维的可视化视图中,以离散的、平行的点表示捕获到的数据,使一些网络攻击行为在视图中显示的十分明显,易于发现。 对于大规模的网络,主机间的数据交换以及连接的建立活动非常频繁,仅依靠流量数据1基金项目:博士学科点专项科研基金项目(20050217007) 。 - 1 -http:/ 无法准确的判断网络态势,于是提出了基于多数据源、多视图的可视化系统。C. P.Lee
5、等人提出的Visual Firewal 系统9基于Model View Controller(MVC)的事件驱动结构,有两个数据源, IDS警报以及防火墙事件数据。系统使用Java 语言实现,借助于JOGL 和JFreechart 实现图形的可视化。系统中采用了real-time traffic view , visual signature view, statistic view, IDS alarm view等四种视图,为网络的整体态势提供了一个全面的显示。 NCSA的SIFT(Security Incident Fusion Tools)研究组也着重安全信息可视化的研究工作,相继开发了
6、 NVisionIP10、VisFlowConnect11等工具。NVisionIP 和 VisFlowConnect是基于 NetFlow数据设计的,在具体实现时使用了两种数据源,一个是由路由器上得到的NetFlow ,另一个是从tcpdump 数据中得到的Argus NetFlow。在显示结果上,二者都针对整体态势的显示。最大的区别是NVisionIP提供的是基于主机的视图,而VisFlowConnect 提供的是基于连接的视图。 在国内,清华、北大、国防科大等单位相继开展了可视化技术的研究,其研究领域包括可视化算法的研究以及可视化工具的开发。但是这些研究都侧重于空间信息的可视化,而对于网
7、络安全态势可视化方面的研究未见相关报道。 3安全可视化系统分析 随着可视化研究的深入,研究人员开发了各种各样的网络可视化系统,在一定程度上实现了对安全态势的感知。下面简要介绍几种比较有代表性的安全态势可视化系统。 3.1 AS Internet Graph AS网络图12是由CAIDA 研究组在 2005 年开发的网络可视化工具,该工具能够实现对于网络中连接状态的显示,如图 1 所示。 AS网络图使用的数据是路由器上的BGP 信息,并且目前可以支持IPv4 以及IPv6 的网络显示。 图 1 主干网络链接状态图 每一个 AS 的结点都是以极坐标方式算法放置的,结点坐标(半径,夹角)为结点的坐标
8、形式,这两个值的计算方法为: )11ASlog(1radius+=节点的最大扇出度节点扇出度(1) (在 whois 记录中相对于 AS 总部的精度值) (2) - 2 -http:/ AS 结点扇出度是指下一跳结点在 AS 内部的链接。链接线条的颜色反应了其扇出度的大小,其中蓝色表示最低,黄色表示最高。在接近中间位置结点的颜色已经通过手工的方式标示出来。 通过该图形可以较好的观察到网络中的链接状况,而且能够实现对于大规模网络的监控,具有显著的优点。但同时该工具在功能上还存在一定的局限性: (1 )每个 AS 节点反应的只是自己上层节点的状态,不支持对于地理信息的显示; (2 )在每一个 AS
9、 和网络架构中仅有一个映射; (3 )目前还不支持实时的状态显示,显示的状态为静态图形。 3.2 NVisionIP 图 2 基于网络的链接状态图 NVisionIPP10也是一种新颖的可视化工具,由SIFT 项目组开发研制,可以在单屏内实现全局网络安全态势的显示。软件使用NetFlow 审计日志作为数据源。 NetFlow数据是由路由器生成的,在其日志中主要包括有以下信息:源地址IP,目的地址IP,源端口,目的端口,协议类型,数据报传输速度,时间戳以及字节统计信息。NetFlow 数据具有较好的网络统计分析功能,并已经成为大多数路由器厂商的事实标准,而且IETF 的RTFM 正准备将其实现过
10、程标准化。如图 2 所示。 NVisionIP在设计时主要制定了 3 个目标,分别是准确简明显示出整个网络的状态;提供对特定主机相信信息的显示;能够处理来自不同源的输入数据。 3.3 VisFlowConnect 该工具也是由SIFT 研究组开发研制,使用的源数据为 Argus NetFlow。这种流数据是由网络节点中特定主机对网络流量进行处理后得到的日志数据,如图 3 所示。VisFlowConnect11具有以下显著的特点: (1 )能够动态显示网络流量。此处所指流量不仅包括了在局域网同广域网传输的数据,还包括了仅在局域网中传输的数据。 (2 )具有一定的数据过滤能力。能够只显示具有特定属
11、性值的数据,如特定数据端口或协议,又或是仅显示数据包数据大于一定标准的数据流。 - 3 -http:/ (3 )多尺度数据显示。为了能够对累积的数据进行显示,VisFlowConnect 为用户提供了可调节显示时间尺度的窗口,可以对数据在屏幕上的显示时间进行控制。 图 3 基于主机的链接状态图 (4 )使用了高效率的处理算法。可以在较长时间内运行,并且使用了连续存储方法,因此能够适应大型数据集以及高速流数据的可视化环境。 3.4 Spinning cube of potential doom 该软件6是由 Stephen Lau设计的一种三维网络流量检测工具。使用OpenGL 开发语言进行设计
12、开发,数据源使用了BRO-IDS 中的TCP/IP日志数据。 图 4 网络链接的三维空间表示图 如图 4 所示,该工具以 3D 立方体显示整个网络空间。空间的三维坐标分别是源地址 IP、目的地址 IP 以及端口号。对于网络中的链接,以点的形式映射到该三维空间中,并根据显示时间的长短以及数据危险的程度,以不同的颜色进行显示,增加了图形中包含的信息量。 该软件首次提出了使用点的形式对链接进行显示,在一定程度上减少了视觉混乱产生的概率,并可以实现对网络的实时检测功能。该工具对于特定的攻击,如快速端口扫描等在短时间产生大量连接行为的攻击方式具有较好的图形显示效果。 该工具在同用户的交换方面,仅提供了对
13、 3D 视图旋转以及视图放大缩小的功能,具有一定的局限性。同时由于 3D 图形最终是通过 2D 的屏幕显示,因此用户无法观察整个空间。- 4 -http:/ 而当用户进行旋转和缩放的操作时,很容易迷失方位,无法做出准确判断。同时由于该工具对数据的处理较少,当网络中连接过多时,图形中的交互现象非常严重,将无法继续观测。 3.5 可视化工具对比分析 基于上述网络安全可视化系统的分析发现,现有各可视化系统虽然在一定程度上实现了对于网络安全态势的现实,但是在显示过程以及显示效果上还都存在着一定的问题。 (1 )实时性 对于安全态势工具,实时性是一个关键性的指标。非实时的数据对于网络安全分析员来说,只不
14、过是对过去状况的一个重现,对于发生的攻击以及入侵行为无法做出及时响应,无法满足软件设计时制定的指标。 AS Internet Graph 目前还是一款无法对实时数据进行处理的软件,用途也被限定在网络分析。其它几种软件在一定程度上支持实时数据的处理,其中Spinning cube of potential doom 由于对数据进行了很少的处理,实时性程度最高。 (2 )可交互性 与系统的交互是能够实现 closing-the-loop 反馈路径的关键。但是这一点在早期的可视化工具中很难实现。AS Internet Graph 以及 Spinning cube of potential doom
15、就缺少了与用户的交互功能。其它两种软件则在设计时注重了与用户在视图转换、数据过滤以及视图显示方面的交互,基本上可以满足用户的不同需求。 (3 )视觉混乱 视觉混乱的问题是在处理大量数据时都会遇到的一个棘手问题,目前还没有比较好的解决方法。一般说来,三维可视化图形比二维可视化图形产生视图交错的概率要低。但当投影到二维平面进行显示时,仍然会产生视觉上的混乱。Spinning cube of potential doom 中首次使用点链接,在一定程度上降低了视觉混乱,取得了不错的效果。同时还应该注意三维图形中的用户迷失问题。在三维空间中,当用户不断地进行缩放、旋转等操作时,用户容易迷失方向感,无法对
16、状态进行确切判断。因此,应当加强一些辅助说明,对用户进行明示。 (4 )攻击识别 以上几种工具在发现有攻击行为时,均采用颜色标示法,对连接行为进行颜色标识(一般采用红色等醒目颜色)。这样可以使网络安全管理员快速的对攻击行为进行定位。但是上面几种网络安全工具都是针对某几种攻击行为而设计的,存在着适用范围狭窄等缺陷。目前这几种工具都能有效的检测到分布式攻击和针对端口的扫描攻击,对于慢扫描也有一定的检测能力。 4总结 随着安全态势可视化技术的研究与发展,未来的发展方向可以归结为以下几个方面: (1 )可读性强 现有的可视化系统在一定程度上可以反映网络的当前态势,但与最终的要求还有很大的- 5 -http:/www.paper.e
