基于多元异构网络安全数据可视化融合分析方法_张胜

收稿日期：2014-12-05；修回日期：2015-01-12。

基金项目：国家自然科学基金资助项目（61402540）。作者简介：张胜（1975－），男，湖南株洲人，博士研究生，CCF 会员，主要研究方向：网络信息安全、计算机支持的协作学习、网络软件；施荣

华（1963－），男，湖南长沙人，教授，博士，主要研究方向：计算机通信保密、网络信息安全；赵颖（1980－），男，湖南长沙人，讲师，博士，主要研究方向：信息可视化、可视分析。

文章编号：1001-9081（2015）05-1379-06

doi ：10．11772/j．issn．1001-9081．2015．05．1379

基于多元异构网络安全数据可视化融合分析方法

张

胜

1，2*

，施荣华1，赵

颖

1

(1．中南大学信息科学与工程学院，长沙410083;2．湖南商学院现代教育技术中心，长沙410205)

(*通信作者电子邮箱48209088@qq．com)

摘要：随着现代网络安全设备日益丰富，安全日志呈现多元异构趋势。针对日志数据量大、类型丰富、

变化快等特点，提出了利用可视化方法来融合网络安全日志，感知网络安全态势。首先，选取了异构安全日志中有代表性的8个维度，分别采用信息熵、加权法、统计法等不同算法进行特征提取；然后，引入树图和符号标志从微观上挖掘网络安全细节，引入时间序列图从宏观展示网络运行趋势；最后，系统归纳图像特征，直观分析攻击模式。通过对VAST Challenge 2013竞赛数据进行分析，实验结果表明，该方法在帮助网络分析人员感知网络安全态势、识别异常、发现攻击模式、去除误报等方面有较大的优势。

关键词：网络安全可视化；多元异构数据；特征提取；树图和符号标志；时间序列图

中图分类号：TP391文献标志码：A

Visual fusion and analysis for multivariate heterogeneous network security data

ZHANG Sheng 1，2*

，SHI Ｒonghua 1，ZHAO Ying 1

(1．School of Information Science and Engineering，Central South University，Changsha Hunan 410083，China ;

2．Modern Educational Technology Center，Hunan University of Commerce，Changsha Hunan 410205，China )

Abstract:With the growing richness of modern network security devices，network security logs show a trend of multiple heterogeneity．In order to solve the problem of large-scale，heterogeneous，rapid changing network logs，a visual method was proposed for fusing network security logs and understanding network security situation．Firstly，according to the eight selected characteristics of heterogeneous security logs，information entropy，weighted method and statistical method were used respectively to pre-process network characteristics．Secondly，treemap and glyph were used to dig into the security details from micro level，and time-series chart was used to show the development trend of the network from macro level．Finally，the system also created graphical features to visually analyze network attack patterns．By analyzing network security datasets from VAST Challenge 2013，the experimental results show substantial advantages of this proposal in understanding network security situation，identifying anomalies，discovering attack patterns and removing false positives，etc．

Key words:network security visualization;multiple heterogeneous data;feature extraction;treemap and glyph;time-series chart

0引言

近年来，

随着计算机网络规模不断扩大、信息高速公路不断提速以及网络应用的不断增加，网络安全面临着越来越严峻的考验。特别是进入“大数据”时代以来，网络攻击呈现出

大数据的“3V ”特征，即攻击规模越来越大（Volume ），如分布式拒绝服务（Distributed Denial of Service ，DDoS ）攻击，常常

可以发动成千上万的设备同时攻击一台主机；攻击类型越来越多（Variety ），新的攻击模式和病毒木马的变种叫人防不胜防；攻击变化越来越快（Velocity ），如一次有预谋的网络攻击往往包含多个步骤和多种应变的方案。

为了保证网络安全需求，技术人员开发出各种网络安全设备，如：流量监控系统、防火墙系统（Firewall ）、入侵防御系

统（Intrusion Detection System ，

IDS ）和主机状态监控系统等。这些设备运行过程中都会产生海量的日志文件，因为来自不

同的传感器，所以格式、指标等各不相同，记录着各自应用领域发生的安全事件，如果割裂看待每种设备的安全事件，只能发现片面的、零散的安全问题，如何在大数据时代有效管理和动态监控网络，从海量的、异构的、快速变化的网络安全日志中全面发现问题，感知网络态势是当今网络安全的重要研究课题。

1网络安全可视化与多元融合系统

网络安全可视化分析技术是一个新兴多学科融合的研究

领域，它利用人类视觉对模型和结构的获取能力，将抽象的网络和海量高维数据以图形图像的方式展现出来，从而快速地发现网络安全数据中隐含的规律、模式以及发展趋势，帮助分析人员提高认知，把握、预测和解决网络安全问题的能力。

自从2004年召开网络安全可视化国际会议（Visualization

for Cyber Security ）以来，越来越多的可视化工具涌现出来［1］

，

Journal of Computer Applications

计算机应用，2015，35(5):1379－1384，1416ISSN 1001-9081CODEN JYIIDU 2015-05-10

http://www．joca．cn