网络安全态势感知

1、网络安全态势感知孙林姓名:Email：态势感知(Situation Awareness) 这一概念源于航天飞行的人因研究，此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究。态势感知之所以越来越成为一项热门研究课题，是因为在动态复杂的环境中，决策者需要借助态势感知工具显示当前环境的连续变化状况，才能准确地做出决策。什么是网络态势网络态势是指由各种网络设备运行状况、网络行为以及 用户行为等因素所构成的整个网络当前状态和变化趋势。态势是一种状态，一种趋势,是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。什么是网络态势感知网络态势感知是指在大规模网络环境中，对能

2、够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。网络态势感知源于空中交通监管态势感知，是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999 年, Tim Bass首次提出了网络态势感知这个概念，并对网络态势感知与交通监管态势感知进行了类比，旨在把交通监管态势感知的成熟理论和技术借鉴到网络态势感知中去。最初的态势感知的三级模型研究网络态势感知的意义目前随着Internet 的发展普及，网络的重要性及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为Internet 及各项网络服务和应用进一步发展所亟需解决的关键问题。此外，随着网络入侵和攻

3、击行为正向着分布化、规模化、复杂化、间接化等趋势发展，势必对安全产品技术提出更高的要求。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控。基于上述原因，提出了网络态势感知的研究，旨在对网络态势状况进行实时监控，并对潜在的、恶意的网络行为变得无法控制之前进行识别，给出相应的应对策略。网络态势感知，网络威胁评估，网络态势评估三者关系态势评估态势评估和威胁评估分别是态势感知过程的一个环节，威胁评估是建立在态势评估的基础之上的。态势评估包括态势元素提取、当前态势分析和态势预测，涵盖以下几个方面：1）在一定的网络环境下，提取进行态势估计要考虑的各要素，为态势推理做准备。2）分析并确定事件发生的深

4、层次原因,例如网络流量异常；3）已知T 时刻发生的事件，预测T + 1 ，T + 2 ， ， T +n 时刻可能发生的事件；4）形成态势图，态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息。威胁评估威胁评估是关于恶意攻击的破坏能力和对整个网络威胁程度的估计，是建立在态势评估的基础之上的。威胁评估的任务是评估攻击事件出现的频度和对网络威胁程度。态势评估着重事件的出现， 威胁评估则更着重事件和态势的效果。NSAS 与IDS 比较NSAS 与现有的IDS 之间有区别也有联系。二者的区别主要体现在:(1) 系统功能不同。IDS 可以检测出网络中存在的攻击行为，保障网络和主

5、机的信息安全。而NSAS 的功能是给网络管理员显示当前网络态势状况以及提交统计分析数据，为保障网络服务的正常运行提供决策依据。这其中既包括对攻击行为的检测，也包括为提高网络性能而进行的维护。(2) 数据来源不同。IDS 通过预先安装在网络中的Agent获取分析数据，然后进行融合分析，发现网络中的攻击行为。NSAS 采用了集成化思想,融合现有IDS、VDS(Virus Detec2tionSystem) ，FireWall 、Netflow(内嵌在交换机和路由器中的流量采集器) 等工具提供的数据信息,进行态势分析与显示。(3) 处理能力不同。网络带宽的增长速度已经超过了计算能力提高的速度，尤其对

6、于IDS 而言，高速网络中的攻击行为检测仍然是有待解决的难点问题。NSAS 充分利用多种数据采集设备，提高了数据源的完备性，同时通过多维视图显示，融入人的视觉处理能力，简化了系统的计算复杂度，提高了计算处理能力。(4) 检测效率不同。IDS 不仅误报率和漏报率高，而且无法检测出未知攻击和潜在的恶意网络行为。NSAS 通过对多源异构数据的融合处理，提供动态的网络态势状况显示，为管理员分析网络攻击行为提供了有效依据。同时，NSAS 与IDS 也存在一定的联系。其中IDS 便可作为NSAS 的数据源之一，为其提供所需数据信息。通用的NSAS 框架NSAS 主要包括多源异构数据采集、数据预处理、事件关

7、联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等7 个部分。多源异构数据采集是通过分布在各个企事业单位现有的Netflow 采集器、IDS、Firewall 、VDS 等来实现的。如果有特殊需要，也可在相应的关键节点布置新的采集设备。数据预处理主要完成数据筛选、数据简约、数据格式转换以及数据存储等功能。事件关联与目标识别采用数据融合技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估和威胁评估在前面已有较为详细的介绍，在这就不重复该部分内容。响应与预警主要依据事件威胁程度给出相应的响应和防御措施，再把响应预警处理后的结果反馈给态势评估，来辅

8、助态势评估。态势可视化为决策者提供态势评估结果(包括当前态势及未来态势) 、威胁评估结果等信息的显示。过程优化控制与管理主要负责从数据采集到态势可视化的全过程优化控制与管理工作，同时将响应与预警和态势可视化的结果反馈到过程优化控制与管理模块，实现整个系统的动态优化，达到网络态势监控的最佳效果。关键技术包括数据挖掘，数据融合，态势可视化，其它技术。大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为，NSAS 必须解决相应的技术

9、问题。数据挖掘数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知识的非平凡过程。所提取的知识可表示为概念、规则规律、模式等形式。数据挖掘是知识发现的核心环节。从数据挖掘应用到入侵检测领域的角度来讲,目前主要有4 种分析方法:关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则，常用算法有Apriori 算法、AprioriTid 算法等。序列模式分析和关

10、联分析相似，但侧重于分析数据间的前后(因果) 关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列，常用算法有DynamicSome 算法、AprioriSome 算法等。分类分析就是通过分析训练集中的数据为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。关联分析和序列模式分析主要用于模式发现和特征构造，而分类分析和聚类分析主要用于最后的检测模型。目前数据挖掘在网络安全领域有着很好的发展前景，但仍有一

11、些问题有待解决。如数据挖掘前期所需要的训练数据来之不易；从大量数据中进行挖掘，很费时间和资源，很难保证实时性等。如何将数据挖掘与机器学习、模式识别、归纳推理、统计学、数据库、数据可视化和高性能计算等相关领域有机结合，达到挖掘有用信息的最佳效果，还有待进一步研究。数据融合数据融合技术出现于20 世纪80 年代，真正得到发展则是在90 年代。该项技术发展之初就在军事领域得到了广泛的重视和应用。目前所说的数据融合这一概念来源于早期军事领域，主要研究在现代战场中对多源信息的快速有效处理。美国国防部从军事应用角度给出了数据融合的定义。目前数据融合的应用已拓展到图像融合、机器人传感处理、网络安全等领域。为

12、了保证网络空间的安全性，针对当前IDS 系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引入了数据融合技术。这里所研究的数据融合技术是指对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成，从而获得对当前网络状态的准确判断。Tim Bass 中首次提出将JDL 模型直接运用到网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，是该技术在此领域应用的一个起点。J ason Shifflet 运用数据融合技术构造了一个网络入侵检测模型，实现了网络空间的态势感知。国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分

13、析评估系统、入侵检测系统等。目前用于数据融合领域的典型算法有贝叶斯网络和D2S证据推理。贝叶斯网络是神经网络和贝叶斯推理的结合。它使用节点和弧来代表域知识，节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定，也可以通过样本进行学习。贝叶斯网络还使用了具有语义性的贝叶斯推理逻辑，它更能反映容易理解的推理过程，因此也在具有内在不确定性的推理和决策问题中得到了广泛的应用。作为一种知识表示和进行概率推理的框架，将贝叶斯网络应用于态势感知，具有广阔的发展前景。基于上述知识我们不难发现，设计出高效、快速的融合算法是数据融合技术快速发展的关键。这就要求我们综合运用多学科的知识，进一步设计出完善的

14、算法，将有利于数据融合技术更好地用于网络态势感知。态势可视化态势生成是依据大量数据的分析结果来显示当前状态和未来趋势，而通过传统的文本形式，无法直观地将结果呈现给用户。可视化技术正是通过将大量的、抽象的数据以图形的方式表现，实现并行的图形信息搜索，提高可视化系统信息处理的速度和效率。从计算机安全领域的角度来看，可视化技术最初是用来实现对系统日志或者IDS日志的显示。然而，基于日志数据的可视化显示受到日志本身特性的限制，实时性不好，需要较长的时间才能上报给系统，无法满足实时性要求高的网络需求，因此提出了基于数据流的可视化工具。The spinning cube of the potential

15、doom 工具是由Stephen Lau 开发的，为了能在三维空间中尽可能多地显示网络中实时存在的信息，首次采用了“点”表示连接的方法，在一定程度上消除了视觉障碍的影响,起到了比较好的效果。由Gregory Conti 和Kulsoom Abdullah 开发的可视化工具通过对网络流量的实时监控,能够提取出网络攻击行为的特征。由Sven Krasser 等人开发的SecViz 在三维的可视化视图中，以离散的、平行的点表示捕获的数据，使得一些网络攻击行为在视图中显示得十分明显，易于发现。对于大规模的网络,主机间的数据交换以及连接的建立活动非常频繁,仅依靠流量数据无法准确地判断网络态势,于是提出了

16、基于多数据源、多视图的可视化系统。随着可视化技术在安全态势领域的应用,有人提出应将可视化应用于网络态势感知的整个过程。安全态势与可视化技术的关系目前，可视化技术可以按近实时地显示多达2. 5 个B 类IP 地址空间内主机(约65532 2. 5 = 163830) 的网络行为。但随着网络规模的不断扩大，攻击行为的隐蔽性日益提高，对可视化技术又提出了许多新的要求。如何将基于主机的数据和基于网络的数据显示方法进行有机的结合，确定态势显示的统一规范，提高显示的实时性，增大系统可显示的规模，增强人机交互的可操作性等都是可视化技术需要进一步解决的问题。其它技术其它NSAS 技术包括数据校准、数据格式统一

17、、数据简约、响应与预警技术、入侵追踪等。数据校准是为了在时间和空间上将多源异构采集器校准到统一参数点。数据格式统一是为了将多源异构数据经数据格式转换，形成统一的数据格式，便于随后的事件关联、目标识别等进行高效处理。数据简约主要是去除数据中包含的冗余信息，防止大规模网络中的数据泛滥，减少数据的传输总量，提高后续数据分析的效率。响应与预警技术主要研究灵活高效的响应政策、响应机制以及防御措施等。入侵追踪的研究重点是发现攻击者的数据传输路径和真实IP地址，实现对攻击者的定位；网络入侵的追踪是对网络入侵进行正确响应的重要前提。难点问题NSAS 要达到实用化水平，监控整个网络的态势状况，还必须考虑如下难点

18、问题:(1) 跨机构的扩展性。由于很多机构组织采用不同厂商的网络设备，使得要监控整个网络的安全态势状况变得非常困难。应该建立一套机制,达到不同厂家安全产品之间的协作以及不同组织之间信息的协作。(2) 不断增长的网络复杂性。目前网络之间依赖的程度越来越大，网络体系结构日益复杂，黑客实施的攻击行为造成的后果也越来越严重。这就要求系统应该具有高度灵活性，能够适应网络结构的变化，迅速对全网的态势做出判断。(3) 多点事件关联。针对网络攻击行为分布性等特点，要求系统能够收集并关联多源异构数据，及时发现可疑事件，并准确地予以判断。(4) 态势可视化显示。在结果的可视化阶段，由于数据规模的原因，如何在全面而

19、客观地显示库中数据的前提下保证具有良好的视觉效果，是一个难点问题。(5) 降低对新攻击行为的响应时间。(6) 网络额外负荷。由于网络在不断变化壮大，网络态势感知要具有一定的实时性，并且要尽量降低所带来的额外网络负载，与探测点的数目和探测的周期有关。(7) 系统容错性。当故障存在的情况下保障系统不失效，仍然能够正常工作的特性，在网络环境中具有十分重要的意义。需进一步研究的内容(1) 能对大规模网络进行实时或者近实时的态势感知，快速准确地判断出网络安全状态，实现实时的态势可视化显示，并能利用网络安全属性的历史记录，为用户提供一个比较准确的网络安全演变趋势。(2) 具有前向预测功能。在网络安全事件发

20、生之前进行预测，为网络管理员制定决策和防御措施提供依据，做到防患于未然。(3) 自动响应。依靠人为干预对入侵进行反击是不可行的，需要NSAS 自动阻止、反击入侵，而不是仅仅报警。(4) 智能化。通过采用诸如神经网络、遗传算法以及专家系统，使NSAS 具有自学习和自适应能力。(5) 能检测和防御分布式攻击(如DDOS) ，并能很好地检测出未知攻击和潜在的恶意网络行为。(6) 交互方便、易于使用。免去繁琐的配置与安装，便于推广。网络安全态势可视化及其实现技术赵勇姓名:Email：前言网络态势可视化技术作为一项新技术，是网络安全态势感知与可视化技术的结合，将网络中蕴涵的态势状况通过可视化图形方式展示

21、给用户，并借助于人在图形图像方面强大的处理能力，实现对网络异常行为的分析和检测。这种方式充分结合了计算机和人脑在图像处理方面的处理能力的优势，提高了对数据的综合分析能力，能够有效的降低误报率和漏报率，提高系统检测效率，减少反应时间。并且这种可视化方法对于有些显示有明显特征的异常行为，还具有一定的预测能力。安全态势可视化系统的目的是生成网络安全综合态势图，以多视图、多角度、多尺度的方式与用户进行交互。为了解决网络安全问题，人们提出了许多安全防范措施和安全检测措施。IDS、工PS、防火墙、安全网关等安全产品的提出在一定程度上解决了相应的问题。为了满足网络的安全性需要，同一网络上经常会安装多种不同的

22、安全设备，由防火墙控制内网与外网的连接安全，IDS等检测网络中出现的攻击行为，由防水墙检测网络内部出现的异常行为，同时还辅助以具有安全功能的安全网关和路由器等。但随着网络规模的扩大以及网络攻击复杂程度的增强，网络安全产品出现了两个方面的问题。一方面是网络安全产品无法完全满足用户的需求，用户还必须承担着产品不断升级换代的巨大成本。另一方面是现有网络安全产品并没有得到充分的利用，对网络中已有网络安全产品的维护还耗费了大量的人力和财力。为此，有了基于网络安全态势感知系统的研究。该系统基于网络安全态势的概念与体系，涵盖了网络中现有的多种安全设备，有融合分析多种网络安全产品结果小的功效，同传统的网络安全

23、产品具有本质上的不同。网络安全态势感知系统能够集中采集网络中含有网络安全信息的数据，如安全设备的日志、配置信息以及统计数据等进行统一的融合分析，实现对网络异常行为的报警，并在一定程度上实现攻击预警和网络规划的功能。网络安全态势可视化的提出当前，针对网络安全的研究主要集中在提高分析处理速度、改进分析检测算法、完善异常行为特征库、健全运行管理机制和便捷的维护方式上。但是这样做也存在着如下几个方面的问题:1 1.事后发现现有的网络安全产品，无论是基于异常检测，还是基于滥用检测，又或者是针对日志的分析，都是在攻击行为发生之后才能发现。也就是在攻击确实产生并已经造成一定危害的情况下，对网络进行的一种“打

24、补丁”的行为。对于防御者来说，始终都跟随在攻击者行动的后面，使受保护系统给攻击者暴露了一个可攻击的时间窗口，第一次攻击屡屡奏效。而这一点是大多数安全产品设计之初就存在的问题，很难从根本上得到解决。2.功能片面现有的网络安全产品大都只针对安全领域的某一部分进行安全防护。IDS负责检测和发现外部网络对内网的攻击行为，防火墙负责检测外部网络的访问控制行为，防水墙负责内部网络的异常行为监控，漏洞扫描系统负责对网络中可能存在的明显漏洞进行防护。每种安全产品各司其职，但缺乏产品间行为的互动。这不仅给网络管理人员带来维护上的困难，同时还给攻击者留下了可乘之机。3.漏报/误报率高随着检测算法的不断改进和完善，

25、安全产品的漏报/误报率有了较大幅度的下降，但仍然是影响安全产品效能的重要因素。较高的漏报率使得安全产品形同虚设，降低了使用的价值。较高的误报率还干扰了安全产品的正常检测结果，影响了网络管理者的判断和分析，影响了正常的报警事件。同时安全产品还存在着重复报警等问题，这些都对发现网络中真正的攻击行为产生了影响。4.性能普遍不足随着网络规模的不断扩大以及网络性能的持续提高，需要处理的数据量和数据速度都在成倍的增长，这对安全产品的处理性能提出了更高的要求。安全产品也都随着网络速度的提升而己经升级到了千兆的处理速度。同时，随着攻击复杂程度的提高，大流量冲击、多工P分片等行为都可能造成工DS的瘫痪或丢包，形

26、成针对IDS的DoS攻击。这些都是由工DS本身性能不足引起的问题。针对安全产品存在的种种问题，人们纷纷提出了各种方法来解决和完善。分布式技术、智能技术、数据挖掘技术以及实时入侵响应等技术都在一定程度上改善了安全产品某方面的性能，但却无法完全解决上述问题。为此，提出了网络安全态势可视化的研究。希望从不同的角度实现对综合安全防护能力的提升。网络安全态势可视化提出的意义网络安全态势可视化是将网络的安全态势状况以图形图象的方式呈现给用户。通过该项技术的深入研究，使网络安全产品分析处理能力在多个指标有较大幅度的提高。1.显示结果清晰现有的网络安全系统，只重视对于数据的分析发现能力，将研究的重点放在处理速

27、度以及处理能力上。对于数据以及结果的显示则投入的精力不多，造成最终处理数据不直观，从而影响了最终的分析结果。安全态势可视化系统底层使用数据融合处理后的数据，是对分析后的数据的深层融合，着重于图形图象的显示方法，侧重于对数据的最终显示效果和系统与软件间的交互，强调显示的直观性和显示的最终效果。该系统的研究有助于提高现有网络安全产品在图形显示方面的能力，提升整体系统的安全分析处理水平。2.提升发现能力虽然己有网络安全产品对与算法的改进和处理速度的提升，但是无法解决其固有矛盾。无论是基于异常检测，还是基于误用检测，都不能解决漏报、误报的问题。网络安全态势可视化系统，通过将分析数据的图形化显示，结合原

28、始数据，实现对网络数据的可视化分析，借助于人类强大的图形图像处理能力以及分析能力以及分析能力，大大提升该系统对于异常行为的发现能力降低系统的漏报与误报能力并可对有较明显特征的攻击行有一定的预先发现能力，做到“有备无患”，打造安全的网络系统。3.协同分析能力网络安全态势可视化系统的使用，能够提升现有网络安全产的性能，增强了一网络的综合防护能力。安全可视化分析的数据大都来自现有网络安全产品，获取不同层次的处理信息，形成全方位的安全数据，通过可视化的数据融合，综合考虑各方面因素，可以得到更加准确的网络信息。同时各安全系统间的协同分析，还可以做到“监”、“管”、“控”于一体的网络安全系统，简化网络安全

29、的处理环节，提升网络安全防护等级。而网络安全态势可视化软件是网络安全态势感知系统的一个主要模块。可视化系统是顺应网络安全产品集成化趋势，为了解决网络安全产品处理能力不足，提高网络安全防范能力而提出来的。可视化系统主要完成对数据融合结果的可视化，生成网络的综合安全态势图，并对网络分析功能提供支持。网络安全态势感知与可视化网络安全态势是一个整体、宏观的概念，描述了网络的整体安全状况;同时，网络安全态势还是一个泛指的、虚拟的概念，网络的安全态势只是对网络当前状况的一个概述，并不能完全、直观反映网络的安全状况。因此，需要借助可视化的方法，将网络的安全态势状况以图形图像的方式，结合数据融合对网络安全状态

30、的定量分析，综合显示网络的当前安全态势。现有可视化工具的分类1.根据其所显示效果，可以分为动态可视化工具和静态可视化工具。(1)动态可视化工具：动态可视化工具是指随时间变化而不断变化的视图，是一种实时动态变化的视图。能够明显的显示网络中变化比较大的数据状况，了解并掌握数据变化的趋势。比较典型的有网络实时流量状况图。(2)静态可视化工具:静态可视化工具是一种相对静止，没有显著变化的视图。这种视图适宜显示网络中相对固定的属性，还可以被用作其它视图的基础，使用静态视图作为底层图层，可以在其上加载其它数据属性，使其表示不同的含义。比较典型的静态视图如网络拓扑视图等。2.根据显示数据纬度，可以分为二维、

31、三维以及多维可视化工具。(1)二维可视化工具:显示图形为平面图形。显示数据清晰明确，实现简单。早期的可视化工具多为二维可视化工具，使用范围广。(2)三维可视化工具:显示为三维立体图形。图形数据直观，能显示相互之间的关系，实现相对复杂。多用于对地形地貌等真实空间数据的可视化显示。(3)多维可视化工具:在三维图形的基础上增加其它维度信息。显示数据信息丰富，能够全面展现数据的相关属性，实现比较复杂。较常见的是在三维视图中加入时间维度属性，构成四维空间视图显示。3.根据显示数据内容，可以分为内容可视化、行为可视化和结构可视化。(1)内容可视化:对数据中包含的内容进行可视化，反映了数据的真实信息，是数据

32、的内在表现。(2)行为可视化:对数据所产生的行为进行可视化，反映了数据所造成的影响，是数据的外在表现。(3)结构可视化:对数据之间的结构进行可视化，反映了数据间的相互关系，是数据的关联表现。安全态势可视化工具评价标准1.可视化模型适合于所求解的问题，能够从显示的图形中找寻出需要的数据，并且具有良好的可扩展性;2.图形色彩运用得当，具有较好的可识别性，实现对关键图形的强调显示，增加显示的信息量;3.显示图形与用户之间具有良好的可交互性，可以实现不同角度、不同尺度的可视化图形显示;4 4.能够提供有价值的图标显示;5.提供缺省显示功能;6 6.减少图形间的重叠、交错，实现图形的清晰化显示;7.可视

33、化界面的控制简单易用。可视化工具的对比分析1.实时性对于安全态势工具，实时性是一个关键的指标。非实时数据对于网络安全分析员来说，只不过是对过去状况的一个重现，对于发生的攻击以及入侵行为无法做出及时的响应，无法实现软件设计的初衷。目前的实现还停留在日志数据中，实时性的问题仍然是个技术难点。2.可交互性与系统的交互是获取用户反馈信息，优化视图显示的技术关键。但是这一点在早期的可视化工具中很难实现。3 3.视觉混乱视觉混乱的问题是在处理大量数据时都会遇到的一个棘手问题，目前还没有比较好的解决方法。一般说来，三维可视化图形比二维可视化图形产生的信息丰富、视图交错概率低。但当投影到二维平面进行显示时，仍

34、然会产生视觉上的混乱。在三维空间中，当用户不断地进行缩放、旋转等操作时，用户容易迷失方向感，无法对状态进行确切判断。因此，应当加强一些辅助说明，对用户进行明示。4.攻击识别目前几种工具都能有效的检测到分布式攻击和针对端口的扫描攻击，对于慢扫描也有一定的检测能力。但是上面几种网络安全工具都是针对某几种攻击行为而设计的，存在适用范围狭窄等缺陷。可以看出，为了适应网络的飞速发展，现在的可视化系统正沿着实时性、高可交互性、清晰化的方向发展。网络安全态势可视化软件的发展主要集中在以下几个方面1.显示实时数据目前的网络安全可视化工具，其可视化的数据大都是静态数据，数据来源大都是日志类的文件，在数据处理上很

35、少考虑到数据处理问题。随着可视化技术在网络安全分析和网络管理上的普遍应用，己经出现了对可视化实时性的需求，这要对可视化系统进行较大的改进。最主要的是可视化的数据对象要具有实时性。日志类等传统的数据的生成与记录都发生在事件产生之后，不具有实时性的特点。就目前网络中的数据而言，只有“流”数据和网络管理信息类数据的相对实时性能够满足实时性分析的需求。“流”数据是对网络中定向持续传输数据的统称，较为普遍的有媒体流数据，统计流数据等等。2.数据多维显示随着图形图像技术的发展，三维数据显示的难度不断降低，许多可视化软件也开始转向三维显示技术的探索。三维显示对于可视化软件来说，有很强的优势。三维图像在显示上

36、更具有真实感，更符合人类的视觉习惯;三维显示包含有更多的信息量，可以在同样大小的界面中显示更多的数据。根据人们对数据的分析需求，也出现了对于多维数据的显示，从而使可视化图形显示的信息量成指数级增长，方便了人们对于信息的观察分析。3.多源数据可视化仅仅针对某一种数据的可视化，其包含的信息量毕竟是有限的，具有很强的片面性，对所发现的网络行为具有较强的针对性。因此，出现了多源数据可视化，如Visual Firewall使用防火墙和IDS两种数据源，在显示的内容上相互补充，更加全面的反映了网络的安全状况。4.更加直观且具有交互性网络安全可视化工具实质就是通过可视化方法实现对网络安全的分析管理，因此显示

37、的直观性和可分析程度将直接影响到最后的分析结果。各种各样的可视化工具在显示方式方法上进行了不断的探索，出现了基于不同开发平台、不同显示方式、不同显示重点的可视化模型，可视化的分析也更加具有针对性和有效性。与可视化软件的交互是软件使用者对网络安全数据进行分析的过程。用户通过与可视化界面的交互，调整可视化的重点与关注的区域，放大异常行为产生的影响，使其形成的图形更加明显。由此可见，可交互性的好坏直接影响到软件的可操作性与分析的难易程度。5.预测功能随着可视化技术在安全态势领域的应用，有人提出应将可视化应用于网络态势感知的整个过程，以便充分发挥可视化技术具有的优势，提高网络可视化系统的感知能力。可视

38、化系统数据处理模块:负责接收数据，并对接受到的态势数据进行处理，保留其中的可视化信息，并根据其中的时间属性，以队列的形式保存到显示列表中，等待显示。视图管理模块:负责将数据纷发到相应的可视化视图中，实现相应的图形化显示。同时还负责实现对视图的各种操作，包括视图切换、视图旋转、颜色更改、视图缩放、数据拾取等。视图模块:负责对数据的可视化显示，视图模块包括有多种可视化视图。每一种可视化视图将传送来的数据依据相应算法，显示在视图模型中，通过数据图像的聚合，实现对网络安全态势的显示。图形用户接口模块:负责提供每一种视图的具体配置，数据的配置由用户完成。该模块提供对用户配置参数合法性、有效性的检查，并提

39、供默认配置信息。用户接口管理模块:负责接收对视图的配置数据，检查配置信息的合法性，同时将图形数据传递给视图管理模块。交互管理模块:用户直接在视图上进行的操作，如视图切换、视图关联、视图旋转以及视图缩放等等，将用户操作的数据传递给数据处理模块和视图管理模块，以满足用户的需求。视图交互响应机制多个视图间的无缝交互，能够为数据分析带来很大的便捷，提高系统分析数据的能力。安全态势可视化系统中的交互主要指:用户在一个视图对某范围内的信息进行显示时，可以相应的在其它视图中显示该数据;用户在其中一个视图进行信息查询时，能够在其它视图中进行高亮显示;用户能够直接跳转到其它视图中进行信息的查询。网络安全态势三维

40、可视化数据过滤模块:实现对用户制定规则的数据过滤，仅对过滤规则外的数据进行显示。数据过滤规则主要有基于源IP地址的过滤、基于目的IP地址的过滤、基于目的端口的过滤以及基于安全态势级别数据的过滤。过滤规则之间可以实现组合，确保规则制定的最大自由化。图形绘制模块:对需要显示的安全态势数据，根据其属性信息，依据网络安全态势等级，进行相应的颜色处理，并对数据的显示时间等信息进行初始化。三维可视化模型模块:搭建网络安全态势显示的基本框架，为数据的显示提供平台。该模块在程序运行是始终存在，并可以同用户进行交互，实现对三维模型的交互操作。视图显示模块:将经过图形绘制的模块，经过图像处理后，显示在三维可视化模

41、型中。网络中的数据经过处理都显示在视图中，“点”聚集成相应的形状，从而显示网络的当前态势状况。人机界面与用户交互模块:用户通过对视图的观察，将进一步的观测需求反馈给可视化系统。从用户的角度看，实现视图“沉浸”和“浏览”。数据流图可以很明前的看到，整个软件的核心是用户交互模块。图形在显示过程中不断与用户进行交互，根据用户的需求进行数据显示的变化，从而使得用户很好的分析网络的安全状况。可视化实验通过在实验室一台主机上安装Netflow生成工具，产生局域网环境下的流量统计数据，生成Netflow日志信息。然后通过读取Netflow的日志信息，继而实现对网络数据的可视化处理。在该视图中，横坐标为目标网

42、段的IP地址，在实验的局域网内为192. 168. 32. 1 195.168. 32. 255。纵向坐标为目的端口，显示为0655350纵深坐标为源IP地址，在实验局域网内也显示为192. 168. 32. 1 192. 168. 32. 255。同时可以看到，在该视图内，水平截面视图为固定端口的源IP与目的IP视图，横街面为源IP的发往目的端口发送数据显示视图，切面为目的工P接受数据的具体情况视图。网络端口扫描攻击在实验室局域网内，使用端口扫描软件Xscan V3. 3对网段内1台主机进行了端口扫描。主要攻击过程参数为:在源主机192. 168. 32. 1对目的主机192. 168. 3

43、2.21进行了全端口扫描。清晰的看到扫描攻击在端口坐标轴上留下了明显的痕迹。IP扫描攻击在实验室局域网内，使用Xscan V3.3对网段内所有主机的80端口进行扫描。主要参数为:使用源主机对162. 168. 32. 21对192. 168. 32. 0/24网段内的所有主机的80端口进行扫描检测。可以看到，攻击在目的IP的坐标轴上留下了明显图像。根据以上实验，可以看到网络安全态势三维可视化软件较好的完成了预定功能，针对端口扫描攻击和IP扫描攻击，都能产生明显的态势图，易于识别。突出了网络三维可视化方法的优势。进一步完善的方面1.在保证底层数据格式相同的基础上，依据设计的网络安全态势可视化系统

44、，实现多种视图的可视化软件，实现多种态势视图的生成。通过多视图间预留的控制接口和数据接口，实现多视图间的交互，提高可视化系统对网络安全问题的分析能力。2.完善数据融合平台的研究设计和开发工作，完成对数据态势的量化和级工作，为安全态势的可视化提供数据支持。3.进一步深入对网络三维可视化技术的研究，增强三维视图对安全态势的显示能力，尤其是加强对非特征性异常行为的检测能力，使得视图能广泛适用于多种网络异常行为的检测与分析。网络安全态势感知系统实现研究姓名:纪乃丹Email：在分析网络安全态势感知系统国内外研究现状的基础上，结合所提出的系统体系结构及所建立网络安全态势感知模型，本章重点探讨基于Netf

45、low的网络安全态势感知系统实现研究。Netflow不仅能实时地提供详尽网络流量信息和统计预分析功能，而且能很好地避免资源过载，为网络安全态势感知系统提供必要的数据和服务支持。Net flow简介NetFlow技术是由Cisco公司的Darren Kerr和Barry Bruins在1996年开发的一套网络流量监测技术，得到了主流厂商如Juniper, Extreme等的支持，目前己内嵌在大部分Cisco路由器上，正逐渐成为业界标准。Net flow工作原理Netflow工作原理如图所示。即在到达的数据包中按照流量采样间隔采集数据包，把所采集到的所有数据包过滤并汇聚成很多数据流，然后把这些数据

46、流按照流记录(Flow Record)格式存入缓存中，满足导出条件后再把它们通过UDP协议导出。这里所说的流记录被定义为“一段时间内的某个观测点所通过的一系列分组(Packet)。从观测点的角度看，所有同属于一个特定流一记录的分组具有一些共同属性，这些特性是由分组中所包含的数据信息和对这些分组的处理方式来决定的Net flow数据格式根据传输UDP数据包格式的不同，NetFlow目前分为V1,V5, V7, V9等版本，版本之间差异主要表现在对流采用的汇聚方法不同，但无论哪个版本，Netflow报文都是由报文头和多个流信息记录两部分构成。报文头主要由版本号、流一记录个数、用于判断Netflow报文是否有丢失的序列号等字段组成;流记录中存放有详细的流信息，主要字段有源和目的IP地址、源和目的TCP/UDP端口、服务类型、包和字节计数、起始和结束时间戳、路由信息(下一跳地址、源AS、目的AS等等)等。因为Netfl、版本5所采集到的流数据可以支持不同维度的统计分析，因而广泛应用于网络安全分析和监控中。其报头格式如图所示。由于NetFlow采用UDP协议来输出数据报