肖萬(wàn)武+向?qū)?/p>

摘 要： 基于當(dāng)前現(xiàn)狀設(shè)計(jì)并實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)。在對(duì)現(xiàn)有可視化工具包分析研究的基礎(chǔ)上，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究的特點(diǎn)，提出計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的總體目標(biāo)：實(shí)現(xiàn)安全數(shù)據(jù)整合、可視化方法整合、分析操作整合。根據(jù)插件化、集成化、可擴(kuò)展性、開(kāi)放性、平臺(tái)無(wú)關(guān)性和易操作性等方面的具體要求，對(duì)該研究平臺(tái)進(jìn)行設(shè)計(jì)并實(shí)現(xiàn)了原型系統(tǒng)。該平臺(tái)可作為計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究的工具，同時(shí)也可用于教學(xué)實(shí)驗(yàn)、可視化方法測(cè)試、協(xié)作交流等工作。

關(guān)鍵詞： 計(jì)算機(jī)網(wǎng)絡(luò)安全； 信息可視化； 網(wǎng)絡(luò)包； 網(wǎng)絡(luò)流；數(shù)據(jù)方塊圖； 研究平臺(tái)

中圖分類號(hào)： TN915.08?34； TM417 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）01?0070?04

Abstract： The computer network security visualization research platform was designed and implemented aiming at the current situation. On the basis of analyzing the available visualization toolkit， the overall goal of the computer network security visualization research platform is proposed in combination with the characteristics of the computer network security visualization research， so as to implement the security data integration， visualization methods integration， analysis and operation integration. The research platform was designed according to the specifications of plug?ins， integration， scalability， openness， platform independence and easy operation. A prototype system was implemented. The platform can be regarded as the tool of the computer network security visualization research， and used in the teaching experiment， visualization method testing， and collaboration communication.

Keywords： computer network security； information visualization； network packet； network flow； data block diagram； research platform

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已成為現(xiàn)代生活的重要組成部分。目前，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重，安全研究正面臨新的挑戰(zhàn)[1]。計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究是信息可視化和計(jì)算機(jī)網(wǎng)絡(luò)安全研究結(jié)合的產(chǎn)物，是一個(gè)全新的研究課題。通過(guò)對(duì)該課題深入研究，可以幫助研究人員從全新的視角理解安全現(xiàn)象，進(jìn)而揭示安全機(jī)理、發(fā)現(xiàn)安全規(guī)律，最終達(dá)到解決安全問(wèn)題的目的[2]。

1 平臺(tái)設(shè)計(jì)

1.1 總體目標(biāo)

計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)是要建立一個(gè)可用于計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究的統(tǒng)一支撐環(huán)境，方便研究人員基于不同的分析任務(wù)、使用多種可視化手段進(jìn)行相關(guān)安全問(wèn)題的可視化研究。該研究平臺(tái)達(dá)到的總體目標(biāo)是實(shí)現(xiàn)三個(gè)層次的整合，即對(duì)數(shù)據(jù)的整合、對(duì)可視化方法的整合、對(duì)分析操作的整合[3]。

數(shù)據(jù)整合是數(shù)據(jù)層面的整合，目的是提供對(duì)各種安全數(shù)據(jù)的支持，使各種數(shù)據(jù)都可以方便的在平臺(tái)中使用；可視化方法整合是方法層面的整合，目的是將眾多的可視化技術(shù)方法集成到平臺(tái)之中，為各種數(shù)據(jù)提供豐富的可視化表現(xiàn)形式，同時(shí)增強(qiáng)各種可視化方法之間的聯(lián)系，使各種方法可以相互協(xié)調(diào)、綜合運(yùn)用；分析操作整合是應(yīng)用層面的整合，目的是在數(shù)據(jù)整合和可視化方法整合的基礎(chǔ)上為使用者提供一個(gè)統(tǒng)一的操作環(huán)境，屏蔽由于數(shù)據(jù)異構(gòu)性和可視化方法多樣性帶來(lái)的操作復(fù)雜性問(wèn)題，使研究人員可以在該平臺(tái)上使用相對(duì)統(tǒng)一的操作過(guò)程完成各種安全可視化分析研究工作[4]。

1.2 設(shè)計(jì)要求

根據(jù)以上總體目標(biāo)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的設(shè)計(jì)提出以下要求：

（1） 插件化。該平臺(tái)的基礎(chǔ)結(jié)構(gòu)應(yīng)該是一個(gè)插件的容器，各種功能的實(shí)現(xiàn)由具體功能插件完成。

（2） 集成化。該平臺(tái)是一個(gè)具備綜合能力的計(jì)算機(jī)安全可視化研究環(huán)境，需要對(duì)多種數(shù)據(jù)類型、多種可視化方法提供支持。

（3） 可擴(kuò)展性?？紤]到未來(lái)發(fā)展的需要，該平臺(tái)應(yīng)該具備良好的可擴(kuò)展性。

（4） 開(kāi)放性。該平臺(tái)不是一個(gè)封閉的系統(tǒng)，需要與其他系統(tǒng)進(jìn)行交互。

（5） 平臺(tái)無(wú)關(guān)性。為了滿足不同研究人員對(duì)操作系統(tǒng)使用的習(xí)慣，實(shí)現(xiàn)跨平臺(tái)運(yùn)行能力，該平臺(tái)采用Java語(yǔ)言開(kāi)發(fā)。

（6） 易操作性。該平臺(tái)需要為研究人員提供風(fēng)格統(tǒng)一的操作方式，屏蔽由于數(shù)據(jù)異構(gòu)性和可視化方法多樣性帶來(lái)的操作復(fù)雜性問(wèn)題。

1.3 總體結(jié)構(gòu)

根據(jù)總體目標(biāo)和設(shè)計(jì)要求，計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)包括數(shù)據(jù)處理模塊、信息可視化模塊、交互模塊和平臺(tái)管理控制模塊四個(gè)模塊[4]。其中，數(shù)據(jù)處理模塊主要負(fù)責(zé)完成數(shù)據(jù)的映射，將各種安全數(shù)據(jù)轉(zhuǎn)換為最終用于可視化表達(dá)的形式；信息可視化模塊完成數(shù)據(jù)的可視化映射，將數(shù)據(jù)處理模塊輸出的數(shù)據(jù)根據(jù)不同可視化方法轉(zhuǎn)換為相應(yīng)的視圖；交互模塊提供各種人機(jī)交互手段，幫助平臺(tái)使用者對(duì)可視化視圖進(jìn)行交互式探索工作；平臺(tái)管理控制模塊是平臺(tái)的基礎(chǔ)框架，負(fù)責(zé)協(xié)調(diào)、控制其他功能模塊共同完成平臺(tái)使用者的各種分析研究任務(wù)，同時(shí)為其他功能模塊的運(yùn)行提供所需環(huán)境[5]。

1.4 用戶對(duì)象

計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的使用主要針對(duì)兩類用戶：可視化算法的研究人員與基于可視化的安全分析人員。

可視化算法的研究人員通過(guò)創(chuàng)建新算法插件，將可視化方法集成到平臺(tái)中，利用平臺(tái)提供的數(shù)據(jù)處理功能，大大簡(jiǎn)化數(shù)據(jù)的處理過(guò)程，使研究重點(diǎn)更容易集中于可視化算法本身。同時(shí)，利用平臺(tái)提供的多種可視化表達(dá)形式，方便研究人員對(duì)新老方法進(jìn)行對(duì)比研究[6]。

基于可視化的安全分析人員通過(guò)該平臺(tái)進(jìn)行安全數(shù)據(jù)的處理、可視化圖形的生成以及交互式的可視化分析等工作。根據(jù)分析任務(wù)的不同，分析人員可以選用多種可視化表達(dá)形式，從不同側(cè)面全方位地展示數(shù)據(jù)的內(nèi)在信息，再通過(guò)綜合運(yùn)用各種分析手段快速發(fā)現(xiàn)數(shù)據(jù)背后隱藏的安全問(wèn)題。

2 平臺(tái)實(shí)現(xiàn)

2.1 基礎(chǔ)平臺(tái)介紹

通過(guò)基礎(chǔ)平臺(tái)為其他各功能模塊的運(yùn)行提供所需的支撐環(huán)境，同時(shí)負(fù)責(zé)協(xié)調(diào)、控制其他功能模塊共同完成平臺(tái)使用者的各種分析研究任務(wù)?；A(chǔ)平臺(tái)對(duì)應(yīng)總體結(jié)構(gòu)中的平臺(tái)管理控制模塊。經(jīng)過(guò)調(diào)研對(duì)比，選擇KNIME（The Konstanz Information Miner，康斯坦茨信息挖掘器）作為計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)原型系統(tǒng)的基礎(chǔ)平臺(tái)[7]。KNIME的主要特點(diǎn)如下：

（1） 使用工作流（Workflow）技術(shù)，可視化地展示了數(shù)據(jù)處理、分析、挖掘的全過(guò)程，并可以對(duì)各個(gè)處理步驟進(jìn)行交互式操作設(shè)置。

（2） 使用節(jié)點(diǎn)（Node）處理單元，封裝各種處理功能，降低彼此間的耦合性，方便使用者進(jìn)行功能擴(kuò)展。

（3） 提供種類繁多的節(jié)點(diǎn)庫(kù)，根據(jù)具體的挖掘任務(wù)需要，選擇不同功能節(jié)點(diǎn)，將輸入輸出端口相互連接組成各種數(shù)據(jù)挖掘工作流。

對(duì)KNIME的數(shù)據(jù)結(jié)構(gòu)、節(jié)點(diǎn)和工作流進(jìn)行簡(jiǎn)要介紹，用于指導(dǎo)原型系統(tǒng)其他各功能模塊的開(kāi)發(fā)。

2.1.1 數(shù)據(jù)結(jié)構(gòu)

在KNIME中使用DataTable類封裝節(jié)點(diǎn)之間流動(dòng)的數(shù)據(jù)。DataTable包含數(shù)據(jù)的元信息和數(shù)據(jù)本身，其中每行數(shù)據(jù)都是DataRow對(duì)象，可以通過(guò)對(duì)DataRow實(shí)例的迭代，訪問(wèn)數(shù)據(jù)表中的數(shù)據(jù)。每個(gè)DataRow中都包含一個(gè)惟一的標(biāo)識(shí)和一定數(shù)量的DataCell對(duì)象，該對(duì)象中保存著實(shí)際數(shù)據(jù)。

DataTable，DataRow和DataCell等主要類的相互依賴關(guān)系如圖1所示。

2.1.2 節(jié)點(diǎn)

節(jié)點(diǎn)是KNIME中最主要的處理單元，它通常會(huì)被組裝到一個(gè)工作流中。Node類封裝了節(jié)點(diǎn)的所有功能，用戶可以通過(guò)擴(kuò)展NodeModel，NodeDialog和NodeView三個(gè)抽象類來(lái)開(kāi)發(fā)自己的功能節(jié)點(diǎn)。NodeModel類主要承擔(dān)計(jì)算任務(wù)；NodeDialog類用來(lái)實(shí)現(xiàn)節(jié)點(diǎn)的配置對(duì)話框，用戶根據(jù)需要調(diào)整節(jié)點(diǎn)的相關(guān)參數(shù)，從而影響節(jié)點(diǎn)的執(zhí)行；NodeView類可以被重寫多次以實(shí)現(xiàn)在同一數(shù)據(jù)模型上顯示不同視圖。如果自定義的功能節(jié)點(diǎn)無(wú)需配置對(duì)話框和視圖窗體，可以不實(shí)現(xiàn)NodeDialog和NodeView類。節(jié)點(diǎn)的這種設(shè)計(jì)遵循了MVC設(shè)計(jì)模式[8]。另外，為了實(shí)現(xiàn)數(shù)據(jù)或模型在節(jié)點(diǎn)中的傳輸，每個(gè)節(jié)點(diǎn)都具有輸入輸出端口。節(jié)點(diǎn)及主要類的依賴關(guān)系如圖2所示。

2.1.3 工作流

在KNIME中，工作流就是由節(jié)點(diǎn)相互連接構(gòu)成的有向圖。在兩個(gè)節(jié)點(diǎn)間允許插入新節(jié)點(diǎn)和有向邊，而且工作流可以保存節(jié)點(diǎn)的狀態(tài)，需要時(shí)能夠進(jìn)行返回。這種圖形化的表達(dá)方式使用戶可以按需定制所需的處理流程，并可以從宏觀上了解整個(gè)處理步驟。

通過(guò)上述介紹，KNIME系統(tǒng)作為基礎(chǔ)平臺(tái)基本滿足計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)管理控制功能的設(shè)計(jì)需要。但是，就計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究這種具體應(yīng)用而言，缺少對(duì)安全數(shù)據(jù)的支持，缺少專用的安全可視化方法，所以無(wú)法支撐安全可視化方面的研究，還需要有針對(duì)性的開(kāi)發(fā)相應(yīng)功能以滿足平臺(tái)的總體設(shè)計(jì)需求。

2.2 數(shù)據(jù)處理模塊實(shí)現(xiàn)

在計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的原型系統(tǒng)中，數(shù)據(jù)處理模塊主要提供對(duì)安全數(shù)據(jù)的支持能力，目前，已支持網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)（PCAP格式文件）和NetFlow網(wǎng)絡(luò)流數(shù)據(jù)（CSV格式文件）兩種安全數(shù)據(jù)類型。通過(guò)不同的功能節(jié)點(diǎn)可以完成數(shù)據(jù)的解析、格式的變換、內(nèi)部數(shù)據(jù)的生成及轉(zhuǎn)換等操作。此處以MatrixConverter節(jié)點(diǎn)實(shí)現(xiàn)為例，說(shuō)明數(shù)據(jù)轉(zhuǎn)換構(gòu)件中功能節(jié)點(diǎn)的實(shí)現(xiàn)方法，其他數(shù)據(jù)解析構(gòu)件、數(shù)據(jù)映射構(gòu)件中功能節(jié)點(diǎn)的實(shí)現(xiàn)可以參考此例進(jìn)行。

MatrixConverter節(jié)點(diǎn)主要負(fù)責(zé)對(duì)內(nèi)部數(shù)據(jù)進(jìn)行轉(zhuǎn)換，具體功能是將NetFlow網(wǎng)絡(luò)流數(shù)據(jù)中以“源地址，目的地址，連接權(quán)值（某種連接屬性值）”形式存在的內(nèi)部數(shù)據(jù)轉(zhuǎn)換為以鄰接矩陣形式存在的內(nèi)部數(shù)據(jù)，為后續(xù)可視化節(jié)點(diǎn)的使用提供適合的數(shù)據(jù)表達(dá)形式。在execute（）方法中首先從節(jié)點(diǎn)的輸入端獲取數(shù)據(jù)；其次對(duì)該數(shù)據(jù)進(jìn)行處理得到對(duì)應(yīng)的鄰接矩陣形式數(shù)據(jù)；最后將鄰接矩陣形式的數(shù)據(jù)送至節(jié)點(diǎn)的輸出端。

節(jié)點(diǎn)功能開(kāi)發(fā)完成后，還需修改插件的入口文件plugin.xml，平臺(tái)將根據(jù)這個(gè)文件的設(shè)置加載插件。通過(guò)設(shè)置，MatrixConverter節(jié)點(diǎn)將會(huì)出現(xiàn)在節(jié)點(diǎn)庫(kù)的SecViz類別文件夾下，并可以提供相應(yīng)的處理功能。

2.3 信息可視化模塊實(shí)現(xiàn)

在計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的原型系統(tǒng)中，信息可視化模塊主要提供各種安全可視化方法。目前，已集成了網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)方塊水平布局圖、堆疊布局圖和網(wǎng)絡(luò)流數(shù)據(jù)的鄰接矩陣圖等三種專用安全可視化方法。

MatrixViz功能節(jié)點(diǎn)的實(shí)現(xiàn)主要涉及三類：MatrixVizNodeModel類，MatrixVizNodeView類和MatrixVizViewPanel類。MatrixVizNodeModel類繼承了NodeModel抽象類，主要用于獲得待可視化的內(nèi)部數(shù)據(jù)；MatrixVizNodeView類繼承了NodeView抽象類，用于管理控制可視化視圖，它是完成可視化方法集成的關(guān)鍵類；MatrixVizViewPanel類繼承了Swing的JPanel類，用于創(chuàng)建顯示面板進(jìn)行可視化繪制。首先定義MatrixVizViewPanel類型的成員變量m_viewPanel，用于繪制可視化視圖；其次在構(gòu)造函數(shù)中對(duì)MatrixVizViewPanel類進(jìn)行實(shí)例化；最后顯示繪圖面板。MatrixVizNodeView類將數(shù)據(jù)對(duì)象和繪圖對(duì)象關(guān)聯(lián)在一起，共同完成特定的可視化功能。

2.4 交互模塊實(shí)現(xiàn)

交互功能的實(shí)現(xiàn)，可以利用AWT/Swing自身機(jī)制捕獲鼠標(biāo)、鍵盤等事件，并通過(guò)相應(yīng)的事件處理器完成對(duì)特定事件的響應(yīng)及處理。首先，通過(guò)addXxxListener（）方法將某類事件監(jiān)聽(tīng)器或適配器注冊(cè)給指定的組件，當(dāng)該組件發(fā)生特定事件時(shí)，被注冊(cè)到該組件的事件監(jiān)聽(tīng)器或適配器中對(duì)應(yīng)的事件處理器將被觸發(fā)，從而完成對(duì)該事件的響應(yīng)及處理。使用addMouseListener（）方法給繪圖面板m_viewPanel注冊(cè)鼠標(biāo)事件的適配器，用于監(jiān)聽(tīng)鼠標(biāo)事件。同時(shí)，重寫mouseReleased（）和mousePressed（）方法，實(shí)現(xiàn)對(duì)鼠標(biāo)鍵松開(kāi)、按下事件的處理。

3 平臺(tái)應(yīng)用實(shí)驗(yàn)

3.1 展示性任務(wù)實(shí)驗(yàn)

該實(shí)驗(yàn)的目的是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)生成待分析數(shù)據(jù)的可視化視圖。實(shí)驗(yàn)使用的數(shù)據(jù)是一個(gè)CSV格式的NetFlow網(wǎng)絡(luò)流數(shù)據(jù)文件（文件名為DisplayTest_NetFlow.csv），并使用鄰接矩陣圖作為最終的可視化表達(dá)形式。通常，進(jìn)行這種展示性任務(wù)一般包括三個(gè)步驟：

第一步，構(gòu)建任務(wù)工作流；

第二步，對(duì)各功能節(jié)點(diǎn)進(jìn)行必要配置（某些節(jié)點(diǎn)無(wú)需配置）；

第三步，依次執(zhí)行工作流中的各節(jié)點(diǎn)，得到最終的可視化結(jié)果。

在第一步中構(gòu)建的任務(wù)工作流，使用了四個(gè)功能節(jié)點(diǎn)：CSV文件讀取節(jié)點(diǎn)（CSVReader）、列過(guò)濾器節(jié)點(diǎn)（ColumnFilter）、矩陣轉(zhuǎn)換器節(jié)點(diǎn)（MatrixConverter）和矩陣圖可視化節(jié)點(diǎn)（MatrixViz）。CSVReader節(jié)點(diǎn)負(fù)責(zé)數(shù)據(jù)文件的讀??；ColumnFilter節(jié)點(diǎn)和MatrixConverter節(jié)點(diǎn)負(fù)責(zé)內(nèi)部數(shù)據(jù)格式的轉(zhuǎn)換；MatrixViz節(jié)點(diǎn)負(fù)責(zé)視圖的繪制與顯示。

第二步是對(duì)各功能節(jié)點(diǎn)進(jìn)行必要配置，此任務(wù)中需要在CSVReader節(jié)點(diǎn)中指定DisplayTest_NetFlow.csv文件的路徑，同時(shí)通過(guò)Column Filter節(jié)點(diǎn)選擇后續(xù)處理所需的數(shù)據(jù)列，MatrixConverter和MatrixViz節(jié)點(diǎn)無(wú)需配置。最后，依次運(yùn)行各節(jié)點(diǎn)，執(zhí)行相應(yīng)的節(jié)點(diǎn)功能，得到NetFlow網(wǎng)絡(luò)流數(shù)據(jù)的鄰接矩陣圖，如圖3所示。

3.2 探索性任務(wù)實(shí)驗(yàn)

該實(shí)驗(yàn)的目的是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)分析安全數(shù)據(jù)、發(fā)現(xiàn)數(shù)據(jù)中存在的異?，F(xiàn)象。實(shí)驗(yàn)使用了兩類安全數(shù)據(jù)：一類是PCAP格式的網(wǎng)絡(luò)包數(shù)據(jù)（文件名為ExploreTest.pcap）；另一類是由網(wǎng)絡(luò)包數(shù)據(jù)處理得到的CSV格式的NetFlow網(wǎng)絡(luò)流數(shù)據(jù)（文件名為ExploreTest_NetFlow.csv）。與展示性任務(wù)不同，探索性任務(wù)通常需要綜合使用多種可視化手段和分析方法，經(jīng)過(guò)不斷地迭代探索過(guò)程才能得到最終的結(jié)論。

在對(duì)安全數(shù)據(jù)進(jìn)行探索性分析時(shí)，一般的思路是“從整體到細(xì)節(jié)”，即先從數(shù)據(jù)的整體特征上分析有無(wú)異常現(xiàn)象，然后再進(jìn)一步分析數(shù)據(jù)的細(xì)節(jié)特征。根據(jù)這一思路，最終完成該探索性任務(wù)的工作。

（1） 網(wǎng)絡(luò)流數(shù)據(jù)處理子工作流。包括兩個(gè)處理分支：鄰接矩陣圖繪制和平行坐標(biāo)圖繪制，用于從不同側(cè)面展示數(shù)據(jù)特征。同展示性任務(wù)的工作流相比，該工作流多了行過(guò)濾器節(jié)點(diǎn)（Row Filter）和平行坐標(biāo)圖可視化節(jié)點(diǎn)（Parallel Coordinates）。Row Filter節(jié)點(diǎn)負(fù)責(zé)對(duì)數(shù)據(jù)行進(jìn)行過(guò)濾；Parallel Coordinates節(jié)點(diǎn)負(fù)責(zé)繪制平行坐標(biāo)可視化圖形，該功能節(jié)點(diǎn)是基礎(chǔ)平臺(tái)提供的一種經(jīng)典可視化方法。

（2） 網(wǎng)絡(luò)數(shù)據(jù)包處理子工作流。使用了兩個(gè)功能節(jié)點(diǎn)：PCAP文件讀取節(jié)點(diǎn)（PCAP Reader）和數(shù)據(jù)方塊圖可視化節(jié)點(diǎn)（PacketViz）。其中，PCAP Reader節(jié)點(diǎn)負(fù)責(zé)讀取PCAP格式的網(wǎng)絡(luò)數(shù)據(jù)包；PacketViz節(jié)點(diǎn)負(fù)責(zé)繪制網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)方塊圖。

在進(jìn)行探索性分析時(shí)，首先對(duì)網(wǎng)絡(luò)流數(shù)據(jù)進(jìn)行分析，獲取對(duì)網(wǎng)絡(luò)中數(shù)據(jù)傳輸關(guān)系的全面理解。接下來(lái)，利用平行坐標(biāo)圖對(duì)135.2.1.2節(jié)點(diǎn)進(jìn)行有針對(duì)性的可視化分析。最后，為了進(jìn)一步挖掘掃描攻擊的細(xì)節(jié)信息，選用網(wǎng)絡(luò)流數(shù)據(jù)對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包，該數(shù)據(jù)中記錄了網(wǎng)絡(luò)通信中最原始的信息。

通過(guò)以上使用不同的安全數(shù)據(jù)，采用各種可視化手段進(jìn)行綜合分析，得出如下結(jié)論：網(wǎng)絡(luò)中主機(jī)135.2.1.2正在對(duì)網(wǎng)絡(luò)進(jìn)行掃描攻擊，且攻擊類型為TCPSYN端口掃描攻擊。

通過(guò)應(yīng)用實(shí)驗(yàn)，討論計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)在可視化展示和可視化探索中的應(yīng)用。該安全可視化研究平臺(tái)綜合使用各種可視化方法（如鄰接矩陣圖、平行坐標(biāo)圖、數(shù)據(jù)方塊圖等），針對(duì)多種安全數(shù)據(jù)（如網(wǎng)絡(luò)包數(shù)據(jù)、網(wǎng)絡(luò)流數(shù)據(jù)等）進(jìn)行集中統(tǒng)一的處理，基本達(dá)到平臺(tái)的總體目標(biāo)，能夠?yàn)榘踩梢暬芯刻峁┱系闹С汁h(huán)境。另外，使用工作流方式進(jìn)行安全可視化分析，方便建立標(biāo)準(zhǔn)規(guī)范的分析步驟，為安全可視化分析研究提供指導(dǎo)和幫助。

4 結(jié) 論

本文在對(duì)現(xiàn)有可視化工具包（或整合系統(tǒng)）分析研究的基礎(chǔ)上，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究的特點(diǎn)，提出計(jì)算機(jī)網(wǎng)絡(luò)安全可視化研究平臺(tái)的總體目標(biāo)：實(shí)現(xiàn)安全可視化研究三個(gè)層次的整合，即數(shù)據(jù)整合、可視化方法整合、分析操作整合。根據(jù)插件化、集成化、可擴(kuò)展性、開(kāi)放性、平臺(tái)無(wú)關(guān)性和易操作性等方面的具體要求，對(duì)該研究平臺(tái)進(jìn)行設(shè)計(jì)，并實(shí)現(xiàn)原型系統(tǒng)。針對(duì)可視化展示和可視化探索兩種不同的任務(wù)類型，對(duì)該研究平臺(tái)的原型系統(tǒng)進(jìn)行應(yīng)用實(shí)驗(yàn)。

參考文獻(xiàn)

[1] 靖培棟.信息可視化—情報(bào)學(xué)研究的新領(lǐng)域[J].情報(bào)科學(xué)，2003，21（7）：685?687.

[2] 郭陟，萬(wàn)海，顧明.可視化安全審計(jì)模型與系統(tǒng)框架研究[C]//全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)2004論文集.北京：中國(guó)通信學(xué)會(huì)，2004：433?437.

[3] 周寧.信息可視化技術(shù)在端口掃描檢測(cè)中的應(yīng)用研究[D].天津：天津大學(xué)，2007.

[4] 李忠武，陳麗清.計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中神經(jīng)網(wǎng)絡(luò)的應(yīng)用研究[J].現(xiàn)代電子技術(shù)，2014，37（10）：80?82.

[5] 任磊，王威信，周明駿，等.一種模型驅(qū)動(dòng)的交互式信息可視化開(kāi)發(fā)方法[J].軟件學(xué)報(bào)，2008，19（8）：1947?1964.

[6] SHIRAVI A， SHIRAVI H， TAVALLAEE M， et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers & security， 2012， 31（3）： 357?374.

[7] 葉云，徐錫山，賈焰，等.基于攻擊圖的風(fēng)險(xiǎn)鄰接矩陣研究[J].通信學(xué)報(bào)，2011，32（5）：112?120.

[8] 占俊.基于自適應(yīng)BP神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)[J].現(xiàn)代電子技術(shù)，2015，38（23）：85?88.