1、網絡安全態勢感知孫林姓名:Email：態勢感知(Situation Awareness) 這一概念源于航天飛行的人因研究，此后在軍事戰場、核反應控制、空中交通監管以及醫療應急調度等領域被廣泛地研究。態勢感知之所以越來越成為一項熱門研究課題，是因為在動態復雜的環境中，決策者需要借助態勢感知工具顯示當前環境的連續變化狀況，才能準確地做出決策。什么是網絡態勢網絡態勢是指由各種網絡設備運行狀況、網絡行為以及 用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。態勢是一種狀態，一種趨勢,是一個整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。什么是網絡態勢感知網絡態勢感知是指在大規模網絡環境中，對能

2、夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。網絡態勢感知源于空中交通監管態勢感知，是一個比較新的概念，并且在這方面開展研究的個人和機構也相對較少。1999 年, Tim Bass首次提出了網絡態勢感知這個概念，并對網絡態勢感知與交通監管態勢感知進行了類比，旨在把交通監管態勢感知的成熟理論和技術借鑒到網絡態勢感知中去。最初的態勢感知的三級模型研究網絡態勢感知的意義目前隨著Internet 的發展普及，網絡的重要性及其對社會的影響越來越大，網絡安全問題也越來越突出，并逐漸成為Internet 及各項網絡服務和應用進一步發展所亟需解決的關鍵問題。此外，隨著網絡入侵和攻

3、擊行為正向著分布化、規模化、復雜化、間接化等趨勢發展，勢必對安全產品技術提出更高的要求。因此迫切需要研究一項新技術來實現大規模網絡的安全態勢監控。基于上述原因，提出了網絡態勢感知的研究，旨在對網絡態勢狀況進行實時監控，并對潛在的、惡意的網絡行為變得無法控制之前進行識別，給出相應的應對策略。網絡態勢感知，網絡威脅評估，網絡態勢評估三者關系態勢評估態勢評估和威脅評估分別是態勢感知過程的一個環節，威脅評估是建立在態勢評估的基礎之上的。態勢評估包括態勢元素提取、當前態勢分析和態勢預測，涵蓋以下幾個方面：1）在一定的網絡環境下，提取進行態勢估計要考慮的各要素，為態勢推理做準備。2）分析并確定事件發生的深

4、層次原因,例如網絡流量異常；3）已知T 時刻發生的事件，預測T + 1 ，T + 2 ， ， T +n 時刻可能發生的事件；4）形成態勢圖，態勢評估的結果是形成態勢分析報告和網絡綜合態勢圖，為網絡管理員提供輔助決策信息。威脅評估威脅評估是關于惡意攻擊的破壞能力和對整個網絡威脅程度的估計，是建立在態勢評估的基礎之上的。威脅評估的任務是評估攻擊事件出現的頻度和對網絡威脅程度。態勢評估著重事件的出現， 威脅評估則更著重事件和態勢的效果。NSAS 與IDS 比較NSAS 與現有的IDS 之間有區別也有聯系。二者的區別主要體現在:(1) 系統功能不同。IDS 可以檢測出網絡中存在的攻擊行為，保障網絡和主

5、機的信息安全。而NSAS 的功能是給網絡管理員顯示當前網絡態勢狀況以及提交統計分析數據，為保障網絡服務的正常運行提供決策依據。這其中既包括對攻擊行為的檢測，也包括為提高網絡性能而進行的維護。(2) 數據來源不同。IDS 通過預先安裝在網絡中的Agent獲取分析數據，然后進行融合分析，發現網絡中的攻擊行為。NSAS 采用了集成化思想,融合現有IDS、VDS(Virus Detec2tionSystem) ，FireWall 、Netflow(內嵌在交換機和路由器中的流量采集器) 等工具提供的數據信息,進行態勢分析與顯示。(3) 處理能力不同。網絡帶寬的增長速度已經超過了計算能力提高的速度，尤其對

6、于IDS 而言，高速網絡中的攻擊行為檢測仍然是有待解決的難點問題。NSAS 充分利用多種數據采集設備，提高了數據源的完備性，同時通過多維視圖顯示，融入人的視覺處理能力，簡化了系統的計算復雜度，提高了計算處理能力。(4) 檢測效率不同。IDS 不僅誤報率和漏報率高，而且無法檢測出未知攻擊和潛在的惡意網絡行為。NSAS 通過對多源異構數據的融合處理，提供動態的網絡態勢狀況顯示，為管理員分析網絡攻擊行為提供了有效依據。同時，NSAS 與IDS 也存在一定的聯系。其中IDS 便可作為NSAS 的數據源之一，為其提供所需數據信息。通用的NSAS 框架NSAS 主要包括多源異構數據采集、數據預處理、事件關

7、聯與目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等7 個部分。多源異構數據采集是通過分布在各個企事業單位現有的Netflow 采集器、IDS、Firewall 、VDS 等來實現的。如果有特殊需要，也可在相應的關鍵節點布置新的采集設備。數據預處理主要完成數據篩選、數據簡約、數據格式轉換以及數據存儲等功能。事件關聯與目標識別采用數據融合技術對多源異構數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估和威脅評估在前面已有較為詳細的介紹，在這就不重復該部分內容。響應與預警主要依據事件威脅程度給出相應的響應和防御措施，再把響應預警處理后的結果反饋給態勢評估，來輔

8、助態勢評估。態勢可視化為決策者提供態勢評估結果(包括當前態勢及未來態勢) 、威脅評估結果等信息的顯示。過程優化控制與管理主要負責從數據采集到態勢可視化的全過程優化控制與管理工作，同時將響應與預警和態勢可視化的結果反饋到過程優化控制與管理模塊，實現整個系統的動態優化，達到網絡態勢監控的最佳效果。關鍵技術包括數據挖掘，數據融合，態勢可視化，其它技術。大規模網絡節點眾多，分支復雜，數據流量大，并且包含多個網段，存在多種異構網絡環境和應用平臺。隨著網絡入侵和攻擊正在向分布化、規?；?、復雜化、間接化的趨勢發展，為了實時、準確地顯示整個網絡態勢狀況，檢測出潛在、惡意的攻擊行為，NSAS 必須解決相應的技術

9、問題。數據挖掘數據挖掘是指從大量的數據中挖掘出有用的信息，即從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的，但又有潛在用處的并且最終可理解的信息和知識的非平凡過程。所提取的知識可表示為概念、規則規律、模式等形式。數據挖掘是知識發現的核心環節。從數據挖掘應用到入侵檢測領域的角度來講,目前主要有4 種分析方法:關聯分析、序列模式分析、分類分析和聚類分析。關聯分析用于挖掘數據之間的聯系，即在給定的數據集中，挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信度的關聯規則，常用算法有Apriori 算法、AprioriTid 算法等。序列模式分析和關

10、聯分析相似，但側重于分析數據間的前后(因果) 關系，即在給定的數據集中，從用戶指定最小支持度的序列中找出最大序列，常用算法有DynamicSome 算法、AprioriSome 算法等。分類分析就是通過分析訓練集中的數據為每個類別建立分析模型，然后對其它數據庫中的記錄進行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經網絡模型等。與分類分析不同，聚類分析不依賴預先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態聚類法、基于密度的方法等。關聯分析和序列模式分析主要用于模式發現和特征構造，而分類分析和聚類分析主要用于最后的檢測模型。目前數據挖掘在網絡安全領域有著很好的發展前景，但仍有一

11、些問題有待解決。如數據挖掘前期所需要的訓練數據來之不易；從大量數據中進行挖掘，很費時間和資源，很難保證實時性等。如何將數據挖掘與機器學習、模式識別、歸納推理、統計學、數據庫、數據可視化和高性能計算等相關領域有機結合，達到挖掘有用信息的最佳效果，還有待進一步研究。數據融合數據融合技術出現于20 世紀80 年代，真正得到發展則是在90 年代。該項技術發展之初就在軍事領域得到了廣泛的重視和應用。目前所說的數據融合這一概念來源于早期軍事領域，主要研究在現代戰場中對多源信息的快速有效處理。美國國防部從軍事應用角度給出了數據融合的定義。目前數據融合的應用已拓展到圖像融合、機器人傳感處理、網絡安全等領域。為

12、了保證網絡空間的安全性，針對當前IDS 系統誤報率高和對時間及空間上分散的協同攻擊無法有效檢測的缺陷，引入了數據融合技術。這里所研究的數據融合技術是指對來自網絡環境中的具有相似或不同特征模式的多源信息進行互補集成，從而獲得對當前網絡狀態的準確判斷。Tim Bass 中首次提出將JDL 模型直接運用到網絡態勢感知領域，這為以后數據融合技術在網絡態勢感知領域的應用奠定了基礎，是該技術在此領域應用的一個起點。J ason Shifflet 運用數據融合技術構造了一個網絡入侵檢測模型，實現了網絡空間的態勢感知。國內也有一些科研機構嘗試把數據融合技術應用到網絡安全領域，提出了應用數據融合技術的網絡安全分

13、析評估系統、入侵檢測系統等。目前用于數據融合領域的典型算法有貝葉斯網絡和D2S證據推理。貝葉斯網絡是神經網絡和貝葉斯推理的結合。它使用節點和弧來代表域知識，節點之間可通過弧來傳播新的信息。網絡中保存的知識可以由專家指定，也可以通過樣本進行學習。貝葉斯網絡還使用了具有語義性的貝葉斯推理邏輯，它更能反映容易理解的推理過程，因此也在具有內在不確定性的推理和決策問題中得到了廣泛的應用。作為一種知識表示和進行概率推理的框架，將貝葉斯網絡應用于態勢感知，具有廣闊的發展前景。基于上述知識我們不難發現，設計出高效、快速的融合算法是數據融合技術快速發展的關鍵。這就要求我們綜合運用多學科的知識，進一步設計出完善的

14、算法，將有利于數據融合技術更好地用于網絡態勢感知。態勢可視化態勢生成是依據大量數據的分析結果來顯示當前狀態和未來趨勢，而通過傳統的文本形式，無法直觀地將結果呈現給用戶?？梢暬夹g正是通過將大量的、抽象的數據以圖形的方式表現，實現并行的圖形信息搜索，提高可視化系統信息處理的速度和效率。從計算機安全領域的角度來看，可視化技術最初是用來實現對系統日志或者IDS日志的顯示。然而，基于日志數據的可視化顯示受到日志本身特性的限制，實時性不好，需要較長的時間才能上報給系統，無法滿足實時性要求高的網絡需求，因此提出了基于數據流的可視化工具。The spinning cube of the potential

15、doom 工具是由Stephen Lau 開發的，為了能在三維空間中盡可能多地顯示網絡中實時存在的信息，首次采用了“點”表示連接的方法，在一定程度上消除了視覺障礙的影響,起到了比較好的效果。由Gregory Conti 和Kulsoom Abdullah 開發的可視化工具通過對網絡流量的實時監控,能夠提取出網絡攻擊行為的特征。由Sven Krasser 等人開發的SecViz 在三維的可視化視圖中，以離散的、平行的點表示捕獲的數據，使得一些網絡攻擊行為在視圖中顯示得十分明顯，易于發現。對于大規模的網絡,主機間的數據交換以及連接的建立活動非常頻繁,僅依靠流量數據無法準確地判斷網絡態勢,于是提出了

16、基于多數據源、多視圖的可視化系統。隨著可視化技術在安全態勢領域的應用,有人提出應將可視化應用于網絡態勢感知的整個過程。安全態勢與可視化技術的關系目前，可視化技術可以按近實時地顯示多達2. 5 個B 類IP 地址空間內主機(約65532 2. 5 = 163830) 的網絡行為。但隨著網絡規模的不斷擴大，攻擊行為的隱蔽性日益提高，對可視化技術又提出了許多新的要求。如何將基于主機的數據和基于網絡的數據顯示方法進行有機的結合，確定態勢顯示的統一規范，提高顯示的實時性，增大系統可顯示的規模，增強人機交互的可操作性等都是可視化技術需要進一步解決的問題。其它技術其它NSAS 技術包括數據校準、數據格式統一

17、、數據簡約、響應與預警技術、入侵追蹤等。數據校準是為了在時間和空間上將多源異構采集器校準到統一參數點。數據格式統一是為了將多源異構數據經數據格式轉換，形成統一的數據格式，便于隨后的事件關聯、目標識別等進行高效處理。數據簡約主要是去除數據中包含的冗余信息，防止大規模網絡中的數據泛濫，減少數據的傳輸總量，提高后續數據分析的效率。響應與預警技術主要研究靈活高效的響應政策、響應機制以及防御措施等。入侵追蹤的研究重點是發現攻擊者的數據傳輸路徑和真實IP地址，實現對攻擊者的定位；網絡入侵的追蹤是對網絡入侵進行正確響應的重要前提。難點問題NSAS 要達到實用化水平，監控整個網絡的態勢狀況，還必須考慮如下難點

18、問題:(1) 跨機構的擴展性。由于很多機構組織采用不同廠商的網絡設備，使得要監控整個網絡的安全態勢狀況變得非常困難。應該建立一套機制,達到不同廠家安全產品之間的協作以及不同組織之間信息的協作。(2) 不斷增長的網絡復雜性。目前網絡之間依賴的程度越來越大，網絡體系結構日益復雜，黑客實施的攻擊行為造成的后果也越來越嚴重。這就要求系統應該具有高度靈活性，能夠適應網絡結構的變化，迅速對全網的態勢做出判斷。(3) 多點事件關聯。針對網絡攻擊行為分布性等特點，要求系統能夠收集并關聯多源異構數據，及時發現可疑事件，并準確地予以判斷。(4) 態勢可視化顯示。在結果的可視化階段，由于數據規模的原因，如何在全面而

19、客觀地顯示庫中數據的前提下保證具有良好的視覺效果，是一個難點問題。(5) 降低對新攻擊行為的響應時間。(6) 網絡額外負荷。由于網絡在不斷變化壯大，網絡態勢感知要具有一定的實時性，并且要盡量降低所帶來的額外網絡負載，與探測點的數目和探測的周期有關。(7) 系統容錯性。當故障存在的情況下保障系統不失效，仍然能夠正常工作的特性，在網絡環境中具有十分重要的意義。需進一步研究的內容(1) 能對大規模網絡進行實時或者近實時的態勢感知，快速準確地判斷出網絡安全狀態，實現實時的態勢可視化顯示，并能利用網絡安全屬性的歷史記錄，為用戶提供一個比較準確的網絡安全演變趨勢。(2) 具有前向預測功能。在網絡安全事件發

20、生之前進行預測，為網絡管理員制定決策和防御措施提供依據，做到防患于未然。(3) 自動響應。依靠人為干預對入侵進行反擊是不可行的，需要NSAS 自動阻止、反擊入侵，而不是僅僅報警。(4) 智能化。通過采用諸如神經網絡、遺傳算法以及專家系統，使NSAS 具有自學習和自適應能力。(5) 能檢測和防御分布式攻擊(如DDOS) ，并能很好地檢測出未知攻擊和潛在的惡意網絡行為。(6) 交互方便、易于使用。免去繁瑣的配置與安裝，便于推廣。網絡安全態勢可視化及其實現技術趙勇姓名:Email：前言網絡態勢可視化技術作為一項新技術，是網絡安全態勢感知與可視化技術的結合，將網絡中蘊涵的態勢狀況通過可視化圖形方式展示

21、給用戶，并借助于人在圖形圖像方面強大的處理能力，實現對網絡異常行為的分析和檢測。這種方式充分結合了計算機和人腦在圖像處理方面的處理能力的優勢，提高了對數據的綜合分析能力，能夠有效的降低誤報率和漏報率，提高系統檢測效率，減少反應時間。并且這種可視化方法對于有些顯示有明顯特征的異常行為，還具有一定的預測能力。安全態勢可視化系統的目的是生成網絡安全綜合態勢圖，以多視圖、多角度、多尺度的方式與用戶進行交互。為了解決網絡安全問題，人們提出了許多安全防范措施和安全檢測措施。IDS、工PS、防火墻、安全網關等安全產品的提出在一定程度上解決了相應的問題。為了滿足網絡的安全性需要，同一網絡上經常會安裝多種不同的

22、安全設備，由防火墻控制內網與外網的連接安全，IDS等檢測網絡中出現的攻擊行為，由防水墻檢測網絡內部出現的異常行為，同時還輔助以具有安全功能的安全網關和路由器等。但隨著網絡規模的擴大以及網絡攻擊復雜程度的增強，網絡安全產品出現了兩個方面的問題。一方面是網絡安全產品無法完全滿足用戶的需求，用戶還必須承擔著產品不斷升級換代的巨大成本。另一方面是現有網絡安全產品并沒有得到充分的利用，對網絡中已有網絡安全產品的維護還耗費了大量的人力和財力。為此，有了基于網絡安全態勢感知系統的研究。該系統基于網絡安全態勢的概念與體系，涵蓋了網絡中現有的多種安全設備，有融合分析多種網絡安全產品結果小的功效，同傳統的網絡安全

23、產品具有本質上的不同。網絡安全態勢感知系統能夠集中采集網絡中含有網絡安全信息的數據，如安全設備的日志、配置信息以及統計數據等進行統一的融合分析，實現對網絡異常行為的報警，并在一定程度上實現攻擊預警和網絡規劃的功能。網絡安全態勢可視化的提出當前，針對網絡安全的研究主要集中在提高分析處理速度、改進分析檢測算法、完善異常行為特征庫、健全運行管理機制和便捷的維護方式上。但是這樣做也存在著如下幾個方面的問題:1 1.事后發現現有的網絡安全產品，無論是基于異常檢測，還是基于濫用檢測，又或者是針對日志的分析，都是在攻擊行為發生之后才能發現。也就是在攻擊確實產生并已經造成一定危害的情況下，對網絡進行的一種“打

24、補丁”的行為。對于防御者來說，始終都跟隨在攻擊者行動的后面，使受保護系統給攻擊者暴露了一個可攻擊的時間窗口，第一次攻擊屢屢奏效。而這一點是大多數安全產品設計之初就存在的問題，很難從根本上得到解決。2.功能片面現有的網絡安全產品大都只針對安全領域的某一部分進行安全防護。IDS負責檢測和發現外部網絡對內網的攻擊行為，防火墻負責檢測外部網絡的訪問控制行為，防水墻負責內部網絡的異常行為監控，漏洞掃描系統負責對網絡中可能存在的明顯漏洞進行防護。每種安全產品各司其職，但缺乏產品間行為的互動。這不僅給網絡管理人員帶來維護上的困難，同時還給攻擊者留下了可乘之機。3.漏報/誤報率高隨著檢測算法的不斷改進和完善，

25、安全產品的漏報/誤報率有了較大幅度的下降，但仍然是影響安全產品效能的重要因素。較高的漏報率使得安全產品形同虛設，降低了使用的價值。較高的誤報率還干擾了安全產品的正常檢測結果，影響了網絡管理者的判斷和分析，影響了正常的報警事件。同時安全產品還存在著重復報警等問題，這些都對發現網絡中真正的攻擊行為產生了影響。4.性能普遍不足隨著網絡規模的不斷擴大以及網絡性能的持續提高，需要處理的數據量和數據速度都在成倍的增長，這對安全產品的處理性能提出了更高的要求。安全產品也都隨著網絡速度的提升而己經升級到了千兆的處理速度。同時，隨著攻擊復雜程度的提高，大流量沖擊、多工P分片等行為都可能造成工DS的癱瘓或丟包，形

26、成針對IDS的DoS攻擊。這些都是由工DS本身性能不足引起的問題。針對安全產品存在的種種問題，人們紛紛提出了各種方法來解決和完善。分布式技術、智能技術、數據挖掘技術以及實時入侵響應等技術都在一定程度上改善了安全產品某方面的性能，但卻無法完全解決上述問題。為此，提出了網絡安全態勢可視化的研究。希望從不同的角度實現對綜合安全防護能力的提升。網絡安全態勢可視化提出的意義網絡安全態勢可視化是將網絡的安全態勢狀況以圖形圖象的方式呈現給用戶。通過該項技術的深入研究，使網絡安全產品分析處理能力在多個指標有較大幅度的提高。1.顯示結果清晰現有的網絡安全系統，只重視對于數據的分析發現能力，將研究的重點放在處理速

27、度以及處理能力上。對于數據以及結果的顯示則投入的精力不多，造成最終處理數據不直觀，從而影響了最終的分析結果。安全態勢可視化系統底層使用數據融合處理后的數據，是對分析后的數據的深層融合，著重于圖形圖象的顯示方法，側重于對數據的最終顯示效果和系統與軟件間的交互，強調顯示的直觀性和顯示的最終效果。該系統的研究有助于提高現有網絡安全產品在圖形顯示方面的能力，提升整體系統的安全分析處理水平。2.提升發現能力雖然己有網絡安全產品對與算法的改進和處理速度的提升，但是無法解決其固有矛盾。無論是基于異常檢測，還是基于誤用檢測，都不能解決漏報、誤報的問題。網絡安全態勢可視化系統，通過將分析數據的圖形化顯示，結合原

28、始數據，實現對網絡數據的可視化分析，借助于人類強大的圖形圖像處理能力以及分析能力以及分析能力，大大提升該系統對于異常行為的發現能力降低系統的漏報與誤報能力并可對有較明顯特征的攻擊行有一定的預先發現能力，做到“有備無患”，打造安全的網絡系統。3.協同分析能力網絡安全態勢可視化系統的使用，能夠提升現有網絡安全產的性能，增強了一網絡的綜合防護能力。安全可視化分析的數據大都來自現有網絡安全產品，獲取不同層次的處理信息，形成全方位的安全數據，通過可視化的數據融合，綜合考慮各方面因素，可以得到更加準確的網絡信息。同時各安全系統間的協同分析，還可以做到“監”、“管”、“控”于一體的網絡安全系統，簡化網絡安全

29、的處理環節，提升網絡安全防護等級。而網絡安全態勢可視化軟件是網絡安全態勢感知系統的一個主要模塊?？梢暬到y是順應網絡安全產品集成化趨勢，為了解決網絡安全產品處理能力不足，提高網絡安全防范能力而提出來的。可視化系統主要完成對數據融合結果的可視化，生成網絡的綜合安全態勢圖，并對網絡分析功能提供支持。網絡安全態勢感知與可視化網絡安全態勢是一個整體、宏觀的概念，描述了網絡的整體安全狀況;同時，網絡安全態勢還是一個泛指的、虛擬的概念，網絡的安全態勢只是對網絡當前狀況的一個概述，并不能完全、直觀反映網絡的安全狀況。因此，需要借助可視化的方法，將網絡的安全態勢狀況以圖形圖像的方式，結合數據融合對網絡安全狀態

30、的定量分析，綜合顯示網絡的當前安全態勢?，F有可視化工具的分類1.根據其所顯示效果，可以分為動態可視化工具和靜態可視化工具。(1)動態可視化工具：動態可視化工具是指隨時間變化而不斷變化的視圖，是一種實時動態變化的視圖。能夠明顯的顯示網絡中變化比較大的數據狀況，了解并掌握數據變化的趨勢。比較典型的有網絡實時流量狀況圖。(2)靜態可視化工具:靜態可視化工具是一種相對靜止，沒有顯著變化的視圖。這種視圖適宜顯示網絡中相對固定的屬性，還可以被用作其它視圖的基礎，使用靜態視圖作為底層圖層，可以在其上加載其它數據屬性，使其表示不同的含義。比較典型的靜態視圖如網絡拓撲視圖等。2.根據顯示數據緯度，可以分為二維、

31、三維以及多維可視化工具。(1)二維可視化工具:顯示圖形為平面圖形。顯示數據清晰明確，實現簡單。早期的可視化工具多為二維可視化工具，使用范圍廣。(2)三維可視化工具:顯示為三維立體圖形。圖形數據直觀，能顯示相互之間的關系，實現相對復雜。多用于對地形地貌等真實空間數據的可視化顯示。(3)多維可視化工具:在三維圖形的基礎上增加其它維度信息。顯示數據信息豐富，能夠全面展現數據的相關屬性，實現比較復雜。較常見的是在三維視圖中加入時間維度屬性，構成四維空間視圖顯示。3.根據顯示數據內容，可以分為內容可視化、行為可視化和結構可視化。(1)內容可視化:對數據中包含的內容進行可視化，反映了數據的真實信息，是數據

32、的內在表現。(2)行為可視化:對數據所產生的行為進行可視化，反映了數據所造成的影響，是數據的外在表現。(3)結構可視化:對數據之間的結構進行可視化，反映了數據間的相互關系，是數據的關聯表現。安全態勢可視化工具評價標準1.可視化模型適合于所求解的問題，能夠從顯示的圖形中找尋出需要的數據，并且具有良好的可擴展性;2.圖形色彩運用得當，具有較好的可識別性，實現對關鍵圖形的強調顯示，增加顯示的信息量;3.顯示圖形與用戶之間具有良好的可交互性，可以實現不同角度、不同尺度的可視化圖形顯示;4 4.能夠提供有價值的圖標顯示;5.提供缺省顯示功能;6 6.減少圖形間的重疊、交錯，實現圖形的清晰化顯示;7.可視

33、化界面的控制簡單易用?？梢暬ぞ叩膶Ρ确治?.實時性對于安全態勢工具，實時性是一個關鍵的指標。非實時數據對于網絡安全分析員來說，只不過是對過去狀況的一個重現，對于發生的攻擊以及入侵行為無法做出及時的響應，無法實現軟件設計的初衷。目前的實現還停留在日志數據中，實時性的問題仍然是個技術難點。2.可交互性與系統的交互是獲取用戶反饋信息，優化視圖顯示的技術關鍵。但是這一點在早期的可視化工具中很難實現。3 3.視覺混亂視覺混亂的問題是在處理大量數據時都會遇到的一個棘手問題，目前還沒有比較好的解決方法。一般說來，三維可視化圖形比二維可視化圖形產生的信息豐富、視圖交錯概率低。但當投影到二維平面進行顯示時，仍

34、然會產生視覺上的混亂。在三維空間中，當用戶不斷地進行縮放、旋轉等操作時，用戶容易迷失方向感，無法對狀態進行確切判斷。因此，應當加強一些輔助說明，對用戶進行明示。4.攻擊識別目前幾種工具都能有效的檢測到分布式攻擊和針對端口的掃描攻擊，對于慢掃描也有一定的檢測能力。但是上面幾種網絡安全工具都是針對某幾種攻擊行為而設計的，存在適用范圍狹窄等缺陷。可以看出，為了適應網絡的飛速發展，現在的可視化系統正沿著實時性、高可交互性、清晰化的方向發展。網絡安全態勢可視化軟件的發展主要集中在以下幾個方面1.顯示實時數據目前的網絡安全可視化工具，其可視化的數據大都是靜態數據，數據來源大都是日志類的文件，在數據處理上很

35、少考慮到數據處理問題。隨著可視化技術在網絡安全分析和網絡管理上的普遍應用，己經出現了對可視化實時性的需求，這要對可視化系統進行較大的改進。最主要的是可視化的數據對象要具有實時性。日志類等傳統的數據的生成與記錄都發生在事件產生之后，不具有實時性的特點。就目前網絡中的數據而言，只有“流”數據和網絡管理信息類數據的相對實時性能夠滿足實時性分析的需求。“流”數據是對網絡中定向持續傳輸數據的統稱，較為普遍的有媒體流數據，統計流數據等等。2.數據多維顯示隨著圖形圖像技術的發展，三維數據顯示的難度不斷降低，許多可視化軟件也開始轉向三維顯示技術的探索。三維顯示對于可視化軟件來說，有很強的優勢。三維圖像在顯示上

36、更具有真實感，更符合人類的視覺習慣;三維顯示包含有更多的信息量，可以在同樣大小的界面中顯示更多的數據。根據人們對數據的分析需求，也出現了對于多維數據的顯示，從而使可視化圖形顯示的信息量成指數級增長，方便了人們對于信息的觀察分析。3.多源數據可視化僅僅針對某一種數據的可視化，其包含的信息量畢竟是有限的，具有很強的片面性，對所發現的網絡行為具有較強的針對性。因此，出現了多源數據可視化，如Visual Firewall使用防火墻和IDS兩種數據源，在顯示的內容上相互補充，更加全面的反映了網絡的安全狀況。4.更加直觀且具有交互性網絡安全可視化工具實質就是通過可視化方法實現對網絡安全的分析管理，因此顯示

37、的直觀性和可分析程度將直接影響到最后的分析結果。各種各樣的可視化工具在顯示方式方法上進行了不斷的探索，出現了基于不同開發平臺、不同顯示方式、不同顯示重點的可視化模型，可視化的分析也更加具有針對性和有效性。與可視化軟件的交互是軟件使用者對網絡安全數據進行分析的過程。用戶通過與可視化界面的交互，調整可視化的重點與關注的區域，放大異常行為產生的影響，使其形成的圖形更加明顯。由此可見，可交互性的好壞直接影響到軟件的可操作性與分析的難易程度。5.預測功能隨著可視化技術在安全態勢領域的應用，有人提出應將可視化應用于網絡態勢感知的整個過程，以便充分發揮可視化技術具有的優勢，提高網絡可視化系統的感知能力?？梢?/p>

38、化系統數據處理模塊:負責接收數據，并對接受到的態勢數據進行處理，保留其中的可視化信息，并根據其中的時間屬性，以隊列的形式保存到顯示列表中，等待顯示。視圖管理模塊:負責將數據紛發到相應的可視化視圖中，實現相應的圖形化顯示。同時還負責實現對視圖的各種操作，包括視圖切換、視圖旋轉、顏色更改、視圖縮放、數據拾取等。視圖模塊:負責對數據的可視化顯示，視圖模塊包括有多種可視化視圖。每一種可視化視圖將傳送來的數據依據相應算法，顯示在視圖模型中，通過數據圖像的聚合，實現對網絡安全態勢的顯示。圖形用戶接口模塊:負責提供每一種視圖的具體配置，數據的配置由用戶完成。該模塊提供對用戶配置參數合法性、有效性的檢查，并提

39、供默認配置信息。用戶接口管理模塊:負責接收對視圖的配置數據，檢查配置信息的合法性，同時將圖形數據傳遞給視圖管理模塊。交互管理模塊:用戶直接在視圖上進行的操作，如視圖切換、視圖關聯、視圖旋轉以及視圖縮放等等，將用戶操作的數據傳遞給數據處理模塊和視圖管理模塊，以滿足用戶的需求。視圖交互響應機制多個視圖間的無縫交互，能夠為數據分析帶來很大的便捷，提高系統分析數據的能力。安全態勢可視化系統中的交互主要指:用戶在一個視圖對某范圍內的信息進行顯示時，可以相應的在其它視圖中顯示該數據;用戶在其中一個視圖進行信息查詢時，能夠在其它視圖中進行高亮顯示;用戶能夠直接跳轉到其它視圖中進行信息的查詢。網絡安全態勢三維

40、可視化數據過濾模塊:實現對用戶制定規則的數據過濾，僅對過濾規則外的數據進行顯示。數據過濾規則主要有基于源IP地址的過濾、基于目的IP地址的過濾、基于目的端口的過濾以及基于安全態勢級別數據的過濾。過濾規則之間可以實現組合，確保規則制定的最大自由化。圖形繪制模塊:對需要顯示的安全態勢數據，根據其屬性信息，依據網絡安全態勢等級，進行相應的顏色處理，并對數據的顯示時間等信息進行初始化。三維可視化模型模塊:搭建網絡安全態勢顯示的基本框架，為數據的顯示提供平臺。該模塊在程序運行是始終存在，并可以同用戶進行交互，實現對三維模型的交互操作。視圖顯示模塊:將經過圖形繪制的模塊，經過圖像處理后，顯示在三維可視化模

41、型中。網絡中的數據經過處理都顯示在視圖中，“點”聚集成相應的形狀，從而顯示網絡的當前態勢狀況。人機界面與用戶交互模塊:用戶通過對視圖的觀察，將進一步的觀測需求反饋給可視化系統。從用戶的角度看，實現視圖“沉浸”和“瀏覽”。數據流圖可以很明前的看到，整個軟件的核心是用戶交互模塊。圖形在顯示過程中不斷與用戶進行交互，根據用戶的需求進行數據顯示的變化，從而使得用戶很好的分析網絡的安全狀況。可視化實驗通過在實驗室一臺主機上安裝Netflow生成工具，產生局域網環境下的流量統計數據，生成Netflow日志信息。然后通過讀取Netflow的日志信息，繼而實現對網絡數據的可視化處理。在該視圖中，橫坐標為目標網

42、段的IP地址，在實驗的局域網內為192. 168. 32. 1 195.168. 32. 255。縱向坐標為目的端口，顯示為0655350縱深坐標為源IP地址，在實驗局域網內也顯示為192. 168. 32. 1 192. 168. 32. 255。同時可以看到，在該視圖內，水平截面視圖為固定端口的源IP與目的IP視圖，橫街面為源IP的發往目的端口發送數據顯示視圖，切面為目的工P接受數據的具體情況視圖。網絡端口掃描攻擊在實驗室局域網內，使用端口掃描軟件Xscan V3. 3對網段內1臺主機進行了端口掃描。主要攻擊過程參數為:在源主機192. 168. 32. 1對目的主機192. 168. 3

43、2.21進行了全端口掃描。清晰的看到掃描攻擊在端口坐標軸上留下了明顯的痕跡。IP掃描攻擊在實驗室局域網內，使用Xscan V3.3對網段內所有主機的80端口進行掃描。主要參數為:使用源主機對162. 168. 32. 21對192. 168. 32. 0/24網段內的所有主機的80端口進行掃描檢測?？梢钥吹剑粼谀康腎P的坐標軸上留下了明顯圖像。根據以上實驗，可以看到網絡安全態勢三維可視化軟件較好的完成了預定功能，針對端口掃描攻擊和IP掃描攻擊，都能產生明顯的態勢圖，易于識別。突出了網絡三維可視化方法的優勢。進一步完善的方面1.在保證底層數據格式相同的基礎上，依據設計的網絡安全態勢可視化系統

44、，實現多種視圖的可視化軟件，實現多種態勢視圖的生成。通過多視圖間預留的控制接口和數據接口，實現多視圖間的交互，提高可視化系統對網絡安全問題的分析能力。2.完善數據融合平臺的研究設計和開發工作，完成對數據態勢的量化和級工作，為安全態勢的可視化提供數據支持。3.進一步深入對網絡三維可視化技術的研究，增強三維視圖對安全態勢的顯示能力，尤其是加強對非特征性異常行為的檢測能力，使得視圖能廣泛適用于多種網絡異常行為的檢測與分析。網絡安全態勢感知系統實現研究姓名:紀乃丹Email：在分析網絡安全態勢感知系統國內外研究現狀的基礎上，結合所提出的系統體系結構及所建立網絡安全態勢感知模型，本章重點探討基于Netf

45、low的網絡安全態勢感知系統實現研究。Netflow不僅能實時地提供詳盡網絡流量信息和統計預分析功能，而且能很好地避免資源過載，為網絡安全態勢感知系統提供必要的數據和服務支持。Net flow簡介NetFlow技術是由Cisco公司的Darren Kerr和Barry Bruins在1996年開發的一套網絡流量監測技術，得到了主流廠商如Juniper, Extreme等的支持，目前己內嵌在大部分Cisco路由器上，正逐漸成為業界標準。Net flow工作原理Netflow工作原理如圖所示。即在到達的數據包中按照流量采樣間隔采集數據包，把所采集到的所有數據包過濾并匯聚成很多數據流，然后把這些數據

46、流按照流記錄(Flow Record)格式存入緩存中，滿足導出條件后再把它們通過UDP協議導出。這里所說的流記錄被定義為“一段時間內的某個觀測點所通過的一系列分組(Packet)。從觀測點的角度看，所有同屬于一個特定流一記錄的分組具有一些共同屬性，這些特性是由分組中所包含的數據信息和對這些分組的處理方式來決定的Net flow數據格式根據傳輸UDP數據包格式的不同，NetFlow目前分為V1,V5, V7, V9等版本，版本之間差異主要表現在對流采用的匯聚方法不同，但無論哪個版本，Netflow報文都是由報文頭和多個流信息記錄兩部分構成。報文頭主要由版本號、流一記錄個數、用于判斷Netflow報文是否有丟失的序列號等字段組成;流記錄中存放有詳細的流信息，主要字段有源和目的IP地址、源和目的TCP/UDP端口、服務類型、包和字節計數、起始和結束時間戳、路由信息(下一跳地址、源AS、目的AS等等)等。因為Netfl、版本5所采集到的流數據可以支持不同維度的統計分析，因而廣泛應用于網絡安全分析和監控中。其報頭格式如圖所示。由于NetFlow采用UDP協議來輸出數據報