李芳

摘 要： 針對傳統(tǒng)分析日志數(shù)據(jù)方法無法有效檢測出分布式拒絕服務(wù)攻擊存在的海量攻擊，對異常網(wǎng)絡(luò)數(shù)據(jù)包的檢測精度低，并且檢測效果不夠直觀的問題，研究了基于數(shù)據(jù)方塊圖的網(wǎng)絡(luò)數(shù)據(jù)包安全可視化過程，通過數(shù)據(jù)采集統(tǒng)計(jì)模塊采集并分析網(wǎng)絡(luò)中的隨機(jī)數(shù)據(jù)包，采用節(jié)點(diǎn)坐標(biāo)運(yùn)算模塊選擇合理的算法原則運(yùn)算網(wǎng)絡(luò)數(shù)據(jù)包的圖形元素的屬性，利用圖形顯示模塊呈現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的圖形元素，采用基于用戶的參數(shù)調(diào)控性能對顯示模型效果進(jìn)行調(diào)控，獲取網(wǎng)絡(luò)數(shù)據(jù)包中的詳細(xì)信息。給出數(shù)據(jù)采集統(tǒng)計(jì)模塊和圖形顯示模塊的實(shí)現(xiàn)過程，采用數(shù)據(jù)方塊圖對網(wǎng)絡(luò)數(shù)據(jù)包中的攻擊和端口進(jìn)行檢測，顯示出網(wǎng)絡(luò)中不同主機(jī)的端口、連接頻率和傳遞數(shù)據(jù)包的數(shù)量以及其中存在的攻擊，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包安全的可視化控制。實(shí)驗(yàn)結(jié)果說明，所研究方法能夠準(zhǔn)確檢測出網(wǎng)絡(luò)中存在的攻擊，準(zhǔn)確顯示異常數(shù)據(jù)包。

關(guān)鍵詞： 數(shù)據(jù)方塊圖； 網(wǎng)絡(luò)數(shù)據(jù)包； 安全； 可視化

中圖分類號： TN711?34； TP319 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）15?0083?04

Abstract： The traditional log data analysis method can′t detect the mass attacks existing in distributed denial of service attack effectively， has low detection precision of abnormal network data packet， and its detection effect is not intuitive enough. Aiming at the above problems， the data block diagram based security visualization process of network data packet is studied. The data acquisition and statistics module is used to collect and analyze the random data packet in the network. The node coordinate operation module is adopted to choose the reasonable algorithm principle to operate the attribute of graphical element of the network data packet. The graphic display module is employed to present the graphical element of network data packet. The parameter control performance based on user is used to control the effect of the display model， and get the detail information in the network data packet. The implementation processes of data acquisition and statistics module and graphic display module are given. The data block diagram is used to test the attack and port of the network data packet， display the port and connection frequency of different host computers in the network， transmit the quantity of data packet， and detect its attacks to realize the visualization control of network data packet safety. The experimental results show that the method can detect the attack existing in the network accurately， and display the abnormal data packet precisely.

Keywords： data block diagram； network data packet； safety； visualization

0 引 言

網(wǎng)絡(luò)安全可視化是當(dāng)前研究的熱門行業(yè)，其同傳統(tǒng)分析日志數(shù)據(jù)方法存在較高的差異，極大地增強(qiáng)了網(wǎng)絡(luò)安全檢測的質(zhì)量[1]。網(wǎng)絡(luò)安全可視化方法能夠?qū)W(wǎng)絡(luò)中的海量數(shù)據(jù)進(jìn)行處理和分析，采用圖形圖像模式協(xié)助網(wǎng)絡(luò)管理人員快速辨識網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)安全事故進(jìn)行準(zhǔn)確監(jiān)控，確保網(wǎng)絡(luò)數(shù)據(jù)包的有效傳遞。傳統(tǒng)分析日志數(shù)據(jù)方法無法有效地檢測出分布式拒絕服務(wù)攻擊存在的海量攻擊，對異常網(wǎng)絡(luò)數(shù)據(jù)包的檢測精度低，并且檢測效果不夠直觀[2]。因此，研究面向網(wǎng)絡(luò)數(shù)據(jù)包安全檢測的可視化技術(shù)具有重要的應(yīng)用意義。

1 數(shù)據(jù)方塊圖的網(wǎng)絡(luò)數(shù)據(jù)包安全可視化設(shè)計(jì)

1.1 數(shù)據(jù)源選取

網(wǎng)絡(luò)數(shù)據(jù)包安全分析過程中進(jìn)行分析的數(shù)據(jù)包主要來自于主機(jī)的日志記錄和系統(tǒng)報警信息等。采用tcpdump抓包工具采集網(wǎng)絡(luò)數(shù)據(jù)包，并對數(shù)據(jù)包進(jìn)行降維和過濾處理[3]。用戶輸入目的IP地址能夠檢索想要分析的中心主機(jī)網(wǎng)絡(luò)狀況信息。通過目的端口能夠分析出異常網(wǎng)絡(luò)數(shù)據(jù)包，通過顏色描述端口信息。

1.2 數(shù)據(jù)方塊圖算法原則

采用可視化顯示工具——數(shù)據(jù)方塊圖對網(wǎng)絡(luò)數(shù)據(jù)包中的攻擊和端口進(jìn)行檢測，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的安全可視化監(jiān)控。其運(yùn)算原理為：

（1） 節(jié)點(diǎn)同核心節(jié)點(diǎn)間的距離同該節(jié)點(diǎn)與主機(jī)間的通信頻率一致。

（2） 主機(jī)節(jié)點(diǎn)同中心節(jié)點(diǎn)間的連線用于描述時間間隔中通信的數(shù)據(jù)包量，采用不同灰度描述數(shù)據(jù)包量，顏色越深說明通信數(shù)據(jù)包量越高。

（3） 主機(jī)節(jié)點(diǎn)包括不同的同心圓，顏色間的差異強(qiáng)度說明連接中相關(guān)的端口數(shù)量。

數(shù)據(jù)采集統(tǒng)計(jì)模塊按照合理算法規(guī)則將獲取的有價值信息進(jìn)行分類并存儲[4]；再運(yùn)算節(jié)點(diǎn)坐標(biāo)、節(jié)點(diǎn)間連線粗細(xì)和顏色組成，確保準(zhǔn)確呈現(xiàn)異常網(wǎng)絡(luò)數(shù)據(jù)包；圖形顯示模塊將網(wǎng)絡(luò)數(shù)據(jù)包呈現(xiàn)到屏幕上。若默認(rèn)參數(shù)形成的圖像內(nèi)存在異?；顒樱⑶以摶顒语@示模糊時，應(yīng)及時調(diào)整參數(shù)，繼續(xù)從數(shù)據(jù)采集統(tǒng)計(jì)模塊開始再次檢測異常網(wǎng)絡(luò)數(shù)據(jù)包[5]。系統(tǒng)的運(yùn)行流程圖如圖1所示。

通過圖1中數(shù)據(jù)方塊圖中全部模塊的處理后，顯示模塊能夠進(jìn)行不規(guī)律網(wǎng)絡(luò)數(shù)據(jù)包的可視化呈現(xiàn)，并且可直觀看到其中的異常網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的準(zhǔn)確監(jiān)控。數(shù)據(jù)方塊圖中各模塊的算法原則如下所述。

1.2.1 數(shù)據(jù)采集統(tǒng)計(jì)模塊

數(shù)據(jù)采集統(tǒng)計(jì)模塊對初始數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，結(jié)果如圖2所示?？梢钥闯?，該模塊通過哈希表保存數(shù)據(jù)包，表中的Key通過字符串方式描述數(shù)據(jù)，字符串由源IP、端口號和用戶設(shè)置的時間間隔構(gòu)成的時間簽構(gòu)成，各元素對應(yīng)于圖形化描述中的各節(jié)點(diǎn)，用于描述同對應(yīng)主機(jī)間的關(guān)系；Key對應(yīng)的值用于描述當(dāng)前連接通信過程中的全部數(shù)據(jù)包量[6]。如果用戶設(shè)置時間間隔則數(shù)據(jù)采集統(tǒng)計(jì)模塊將作為窗口，從初始數(shù)據(jù)向末尾數(shù)據(jù)進(jìn)行遍歷分析。

1.2.2 節(jié)點(diǎn)坐標(biāo)運(yùn)算模塊

系統(tǒng)通過圖形描述網(wǎng)絡(luò)狀態(tài)，需要對節(jié)點(diǎn)坐標(biāo)進(jìn)行運(yùn)算，節(jié)點(diǎn)坐標(biāo)運(yùn)算模塊的算法設(shè)計(jì)原則是：節(jié)點(diǎn)同中心節(jié)點(diǎn)間的距離同該節(jié)點(diǎn)與中心主機(jī)間的通信頻率一致[7]。該主機(jī)同中心節(jié)點(diǎn)距離更遠(yuǎn)，將短時間內(nèi)不存在頻繁連接的主機(jī)部署在中心主機(jī)附近。

1.2.3 圖形顯示模塊

系統(tǒng)將節(jié)點(diǎn)坐標(biāo)以及其他信息保存到程序內(nèi)，同時通過圖形顯示模塊依據(jù)節(jié)點(diǎn)坐標(biāo)制作圖形。圖形顯示模塊的算法原則為：主機(jī)節(jié)點(diǎn)同中心節(jié)點(diǎn)間的連線用于描述時間間隔中全部網(wǎng)絡(luò)數(shù)據(jù)包。采用合理的系數(shù)完成映射，通過不同顏色描述網(wǎng)絡(luò)數(shù)據(jù)包量，紅色對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包量最多[8]。主機(jī)節(jié)點(diǎn)包括不同的同心圓，不同顏色對照強(qiáng)度描述了對應(yīng)連接包含的端口數(shù)量。若統(tǒng)計(jì)出的節(jié)點(diǎn)內(nèi)同一IP相關(guān)的端口數(shù)量較大，則該節(jié)點(diǎn)顏色對比度較高。而異常節(jié)點(diǎn)同主機(jī)節(jié)點(diǎn)間的連線同其他連線混合，會使得顏色模糊。

主機(jī)節(jié)點(diǎn)同中心主機(jī)節(jié)點(diǎn)間的連線描述了網(wǎng)絡(luò)的通信數(shù)據(jù)包量，采用圖形描述主機(jī)節(jié)點(diǎn)位置。端口在網(wǎng)絡(luò)前期特征以及攻擊特征檢測過程中具有重要作用，因此，應(yīng)對端口進(jìn)行可視化處理[9]。如圖3所示，將各節(jié)點(diǎn)均等劃分成個等寬的同心圓環(huán)，圓環(huán)內(nèi)的顏色會映射到對應(yīng)的色彩帶內(nèi)，不同顏色間的距離是同主機(jī)節(jié)點(diǎn)與中心主機(jī)節(jié)點(diǎn)通信過程中包含的端口數(shù)量相關(guān)。網(wǎng)絡(luò)數(shù)據(jù)包通信過程中采用的端口數(shù)量越大，不同顏色間的距離越大，顏色的對比度也越高；而端口數(shù)量越小，不同顏色間的距離越小，則顏色更為相近。

2 數(shù)據(jù)方塊圖的網(wǎng)絡(luò)數(shù)據(jù)包安全可視化實(shí)現(xiàn)

2.1 數(shù)據(jù)采集統(tǒng)計(jì)模塊實(shí)現(xiàn)

數(shù)據(jù)采集統(tǒng)計(jì)模塊的運(yùn)行流程如圖4所示。其中map1塑造在源文件的操作過程上，讀入源文件后，從文件首行開始采集數(shù)據(jù)，此時用戶輸入時間間隔在map1中的任意時刻若新元素（新源IP以及端口）的時間簽小于則會被統(tǒng)計(jì)到以“源IP、端口以及時刻t”為key的value值中，結(jié)束map1的統(tǒng)計(jì)后，將統(tǒng)計(jì)結(jié)果作為map2的初始值，map2的key為“源IP；時間簽”，map2用戶繪制節(jié)點(diǎn)，其中各元素同圖形中的節(jié)點(diǎn)相對應(yīng)。

2.2 圖形顯示模塊實(shí)現(xiàn)

圖形顯示模塊包括節(jié)點(diǎn)繪制、主機(jī)節(jié)點(diǎn)和中心主機(jī)節(jié)點(diǎn)連線繪制以及鼠標(biāo)事件。該模塊調(diào)用節(jié)點(diǎn)函數(shù)Draw（）存儲節(jié)點(diǎn)位置，如果端口數(shù)量高于1，則繼續(xù)繪制，節(jié)點(diǎn)端口數(shù)量同其他節(jié)點(diǎn)中相關(guān)度最低的端口數(shù)量間的差距越高，level也越大[10]。采用不同的灰度繪制主機(jī)節(jié)點(diǎn)同中心主機(jī)節(jié)點(diǎn)間的連線，用于描述二者間進(jìn)行通信的網(wǎng)絡(luò)數(shù)據(jù)包，各節(jié)點(diǎn)乘以該單位值能夠獲取灰度值。鼠標(biāo)事件是用戶采用鼠標(biāo)點(diǎn)擊節(jié)點(diǎn)過程中顯示節(jié)點(diǎn)各端口產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包量以及連接頻率。系統(tǒng)采用GraphicsPanel類實(shí)現(xiàn)鼠標(biāo)事件。如果鼠標(biāo)點(diǎn)擊的位置同圖形中任何節(jié)點(diǎn)的距離低于節(jié)點(diǎn)半徑，則驅(qū)動鼠標(biāo)事件，并通過迭代器從map1中采集相關(guān)的節(jié)點(diǎn)信息，存儲在ArrayList 中，將ArrayList輸入到JScrollPane對象中進(jìn)行顯示，再繪制表格，最終獲取的節(jié)點(diǎn)顯示效果見表1，其中的各行是當(dāng)前節(jié)點(diǎn)同主機(jī)間通信所需的端口、間隔時間中連接頻率以及數(shù)據(jù)量。

3 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)采用某大學(xué)圖形圖像研究所中局域網(wǎng)捕獲的網(wǎng)絡(luò)數(shù)據(jù)，對本文系統(tǒng)的性能進(jìn)行檢測。本文系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)中的Sumrf類攻擊的檢測結(jié)果如圖5所示?？梢钥闯觯疚南到y(tǒng)很容易檢測到一個網(wǎng)絡(luò)攻擊，中心主機(jī)外存在三個獨(dú)立節(jié)點(diǎn)，節(jié)點(diǎn)3與中心主機(jī)的連線顏色深于節(jié)點(diǎn)1和節(jié)點(diǎn)2與中心主機(jī)的連線，說明該用戶通過端口同主機(jī)間進(jìn)行更多的信息交互。中心主機(jī)附近排列著很密的節(jié)點(diǎn)，節(jié)點(diǎn)都具有一致的IP，都是在短時間內(nèi)產(chǎn)生的小數(shù)量的網(wǎng)絡(luò)數(shù)據(jù)包，依據(jù)經(jīng)驗(yàn)判斷其是Echo信息，屬于Smurf 類攻擊類型。而本文系統(tǒng)準(zhǔn)確檢測并顯示了這些在極短時間中形成了大規(guī)模IP進(jìn)行連接的攻擊類型。

本文系統(tǒng)能夠準(zhǔn)確檢測到網(wǎng)絡(luò)數(shù)據(jù)包存在的端口掃描攻擊，檢測結(jié)果如圖6所示。從中可以看出，節(jié)點(diǎn)1和節(jié)點(diǎn)2是兩個異常節(jié)點(diǎn)，這兩個節(jié)點(diǎn)距離中心主機(jī)較遠(yuǎn)，節(jié)點(diǎn)顏色層次較多，同中心主機(jī)節(jié)點(diǎn)存在較高的連接網(wǎng)絡(luò)數(shù)據(jù)包量。從圖6中還可以看出不同節(jié)點(diǎn)同中心主機(jī)間的連線較深，而過多的端口連接會導(dǎo)致節(jié)點(diǎn)顏色混亂。依據(jù)這些特征，本文方法檢測出了網(wǎng)絡(luò)數(shù)據(jù)包存在端口掃描攻擊。

本文系統(tǒng)面向大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)可以更好地顯示異常網(wǎng)絡(luò)數(shù)據(jù)包，從圖7可以看出，節(jié)點(diǎn)1進(jìn)行了文件傳遞，使用了較多的帶寬，導(dǎo)致傳遞的網(wǎng)絡(luò)數(shù)據(jù)包量較高，不是網(wǎng)絡(luò)攻擊。而本文系統(tǒng)檢測出的異常是節(jié)點(diǎn)2、節(jié)點(diǎn)3以及節(jié)點(diǎn)群可以看出，本文系統(tǒng)能夠準(zhǔn)確將網(wǎng)絡(luò)異常數(shù)據(jù)包和正常數(shù)據(jù)包分開，確保用戶更容易對網(wǎng)絡(luò)異常數(shù)據(jù)包進(jìn)行觀測，具有較高的網(wǎng)絡(luò)異常數(shù)據(jù)包檢測精度。

4 結(jié) 語

本文研究了基于數(shù)據(jù)方塊圖的網(wǎng)絡(luò)數(shù)據(jù)包安全可視化過程，實(shí)驗(yàn)結(jié)果說明，所研究方法能夠準(zhǔn)確檢測網(wǎng)絡(luò)異常數(shù)據(jù)包，并具有較高的交互性。

參考文獻(xiàn)

[1] 趙穎，樊曉平，周芳芳，等.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報，2014，26（5）：687?697.

[2] 范開元，米西峰.網(wǎng)絡(luò)數(shù)據(jù)包安全指標(biāo)關(guān)聯(lián)規(guī)則挖掘應(yīng)用與研究[J].科學(xué)技術(shù)與工程，2014，14（7）：216?218.

[3] 彭國金，劉嫚婷，韓璐.基于飛行試驗(yàn)采集的FC數(shù)據(jù)檢測分析技術(shù)[J].現(xiàn)代電子技術(shù)，2016，39（2）：92?94.

[4] 劉真，吳向陽，鄭秋華.動態(tài)網(wǎng)絡(luò)可視化與可視分析綜述[J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報，2016，28（5）：693?701.

[5] 陳紅倩，李慧，方藝，等.一種農(nóng)殘檢測數(shù)據(jù)的融合對比可視化方法[J].系統(tǒng)仿真學(xué)報，2016，28（2）：354?360.

[6] 黃國兵，金勇，賈榮興，等.某電能量遠(yuǎn)方終端雙平面網(wǎng)絡(luò)接口設(shè)計(jì)[J].西安工程大學(xué)學(xué)報，2016，30（1）：102?106.

[7] 翟永杰，李冰，常啟誠.風(fēng)機(jī)滑動偏航系統(tǒng)的在線監(jiān)測系統(tǒng)數(shù)據(jù)分析[J].現(xiàn)代電子技術(shù)，2015，38（21）：123?126.

[8] 胡華全，吳玲達(dá)，楊超，等.衛(wèi)星時變拓?fù)渚W(wǎng)絡(luò)多視圖可視化分析框架[J].系統(tǒng)工程與電子技術(shù)，2014，36（2）：312?316.

[9] 董重，魏迎梅.運(yùn)用平行坐標(biāo)系的多變元時序數(shù)據(jù)可視化方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2015，36（10）：2408?2411.

[10] 韓丹，王勁松，宋密.基于Snort的多視圖網(wǎng)絡(luò)流量可視化系統(tǒng)[J].天津理工大學(xué)學(xué)報，2014，30（2）：42?45.