張繁，謝凡，江頡

?

網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化綜述

張繁，謝凡，江頡

（浙江工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，浙江 杭州 310023）

在網(wǎng)絡(luò)空間威脅手段日益復(fù)雜化的背景下，網(wǎng)絡(luò)安全數(shù)據(jù)分析技術(shù)亟待提高。數(shù)據(jù)可視化技術(shù)已成為各類數(shù)據(jù)分析的理論框架和應(yīng)用中的必備要素，并成為科學(xué)計(jì)算、商業(yè)智能、安全等領(lǐng)域中的普惠技術(shù)。網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化通過提供有效的信息可視化交互手段，有效提升網(wǎng)絡(luò)安全專家在分析網(wǎng)絡(luò)空間安全問題過程中的認(rèn)知能力。介紹了網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化技術(shù)的研究現(xiàn)狀和面臨的問題，并對(duì)未來的發(fā)展趨勢(shì)進(jìn)行了展望。

網(wǎng)絡(luò)空間安全；關(guān)聯(lián)分析；可視分析；人工智能

1 引言

隨著“互聯(lián)網(wǎng)+”時(shí)代的到來，網(wǎng)絡(luò)安全威脅的范圍和內(nèi)容不斷擴(kuò)大和演化，傳統(tǒng)的安全邊界逐步失效。云計(jì)算、移動(dòng)互聯(lián)網(wǎng)的普及不僅帶來APT、DDoS攻擊、叉式網(wǎng)絡(luò)釣魚、水坑式攻擊、物聯(lián)網(wǎng)攻擊等高級(jí)威脅，諸如震網(wǎng)病毒、蠕蟲病毒、僵尸網(wǎng)絡(luò)、勒索軟件、信息泄露等安全事件也迅速增加。新攻擊類型的出現(xiàn)和攻擊復(fù)雜度的提高，使很多傳統(tǒng)的分析方法和分析模型不再有效。網(wǎng)絡(luò)安全大數(shù)據(jù)的研究和開發(fā)方興未艾[1,2]。

可視化是大數(shù)據(jù)分析的重要方法，能夠有效地彌補(bǔ)自動(dòng)化分析方法的不足，整合計(jì)算機(jī)的分析能力和人類對(duì)信息的感知和判斷能力，利用人機(jī)交互技術(shù)輔助用戶更好地發(fā)現(xiàn)模式、檢測(cè)異常、識(shí)別關(guān)系和協(xié)同分析[3,4]。國(guó)內(nèi)外很早就有針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的可視化技術(shù)研究，比如IEEE舉辦的最具代表性的學(xué)術(shù)界盛會(huì)——網(wǎng)絡(luò)安全可視化研討會(huì)（VizSec, IEEE symposium on visualization for cyber security）。自2004年以來，很多研究已經(jīng)在網(wǎng)絡(luò)監(jiān)控、關(guān)聯(lián)分析、態(tài)勢(shì)感知等方面取得了重要成果[5,6]。

2 網(wǎng)絡(luò)安全數(shù)據(jù)可視化分析現(xiàn)狀

可視化具備三大功能：記錄信息、傳播交流、分析推理[7]?？梢暬谥С秩说暮暧^概覽、態(tài)勢(shì)感知、證據(jù)關(guān)聯(lián)、模糊搜索等方面展示了其天然強(qiáng)大的賦能能力[8]。由于網(wǎng)絡(luò)攻擊具有持續(xù)性和隱蔽性，將關(guān)聯(lián)融合、時(shí)間序列、流數(shù)據(jù)分類等技術(shù)運(yùn)用于大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)威脅數(shù)據(jù)分析能夠提高獲取高價(jià)值威脅特征的能力[9]，如何將多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)關(guān)聯(lián)，并將可視化技術(shù)有效應(yīng)用于網(wǎng)絡(luò)安全分析場(chǎng)景中是復(fù)雜且急需解決的問題。

2.1 網(wǎng)絡(luò)安全數(shù)據(jù)關(guān)聯(lián)分析模型

網(wǎng)絡(luò)威脅安全數(shù)據(jù)來源于防毒軟件、防火墻、入侵檢測(cè)系統(tǒng)、攻擊防御系統(tǒng)、主機(jī)監(jiān)控系統(tǒng)、異常檢測(cè)系統(tǒng)和攻擊預(yù)測(cè)系統(tǒng)等各種安全產(chǎn)品，不能相互融合、互相驗(yàn)證，產(chǎn)生了大量重復(fù)的警報(bào)和日志。各檢測(cè)系統(tǒng)報(bào)警信息格式不一致，各檢測(cè)系統(tǒng)的誤報(bào)率、漏報(bào)率以及重復(fù)報(bào)警率偏高，對(duì)于分步驟的攻擊，或端口掃描攻擊，檢測(cè)系統(tǒng)短時(shí)間內(nèi)會(huì)產(chǎn)生大量重復(fù)報(bào)警，給管理員帶來巨大的工作量。利用關(guān)聯(lián)分析方法研究網(wǎng)絡(luò)威脅安全數(shù)據(jù)通常包括以下工作[10]：1) 利用正則表達(dá)式匹配將多源異構(gòu)數(shù)據(jù)規(guī)范化；2) 對(duì)大量IDS告警數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)誤報(bào)與真實(shí)警報(bào)的區(qū)別特征，對(duì)警報(bào)數(shù)據(jù)進(jìn)行初篩；3) 通過相似隸屬度函數(shù)計(jì)算每條報(bào)警的源IP、目的IP、源端口、目的端口的相似度，采用模糊聚類進(jìn)行警報(bào)融合；4) 對(duì)報(bào)警信息進(jìn)行關(guān)聯(lián)分析，把雜亂的、無意義的報(bào)警信息最終變?yōu)橛幸饬x的攻擊規(guī)則，利用多步攻擊中每步攻擊之間的內(nèi)在關(guān)聯(lián)，得到完整的攻擊路徑；5) 通過殺傷鏈模型和模糊聚類生成攻擊模型。

2.2 網(wǎng)絡(luò)安全數(shù)據(jù)可視化研究現(xiàn)狀

網(wǎng)絡(luò)安全數(shù)據(jù)可視化通過交互式工具，已經(jīng)在網(wǎng)絡(luò)監(jiān)控、異常檢測(cè)、特征識(shí)別、關(guān)聯(lián)分析和態(tài)勢(shì)感知等方面取得了重要進(jìn)展[11]。趙穎等[12,13]將堆疊流圖引入網(wǎng)絡(luò)安全可視化中，并根據(jù)網(wǎng)絡(luò)安全事件的多源關(guān)聯(lián)性，研究了基于統(tǒng)一格式的事件元組和統(tǒng)計(jì)元組的數(shù)據(jù)融合模型，并提出了擅長(zhǎng)事件關(guān)聯(lián)分析的雷達(dá)圖和擅長(zhǎng)統(tǒng)計(jì)時(shí)序?qū)Ρ确治龅膶?duì)比堆疊流圖的設(shè)計(jì)方法。張勝等[14]分別采用信息熵、加權(quán)法、統(tǒng)計(jì)法等不同算法進(jìn)行特征提取，引入樹圖和符號(hào)標(biāo)志從微觀上挖掘網(wǎng)絡(luò)安全細(xì)節(jié)，引入時(shí)間序列圖從宏觀展示網(wǎng)絡(luò)運(yùn)行趨勢(shì)。趙立軍[15]等提出了基于熵的堆疊條形圖設(shè)計(jì)方法和基于平行坐標(biāo)的安全可視化方法，將總圖瀏覽和細(xì)節(jié)分析相結(jié)合，降低了分析人員的認(rèn)知困難。吳亞東等[16]提出了一種異構(gòu)樹網(wǎng)絡(luò)安全數(shù)據(jù)組織方法，在此基礎(chǔ)上設(shè)計(jì)了一種針對(duì)大規(guī)模網(wǎng)絡(luò)的三維多層球面空間可視化模型，大大增強(qiáng)了分析系統(tǒng)的可交互性，并提高了對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的分析效率。

2.3 已有商業(yè)軟件和開源軟件

近年來，出現(xiàn)了一大批新穎的商用和開源數(shù)據(jù)可視化系統(tǒng)和工具，如Maltego、Palantir、Tableau、LabVIEW等。Maltego是一款針對(duì)網(wǎng)絡(luò)信息的互聯(lián)網(wǎng)情報(bào)聚合可視化工具，面向所有基于網(wǎng)絡(luò)和資源的實(shí)體組織，將這些組織發(fā)布在互聯(lián)網(wǎng)的信息進(jìn)行聚合，提供一個(gè)能夠清晰展示某個(gè)組織經(jīng)營(yíng)環(huán)境安全隱患的平臺(tái)。Palantir是一款情報(bào)分析軟件，其核心要素是采用動(dòng)態(tài)本體管理器的思想，用于對(duì)領(lǐng)域相關(guān)的事物進(jìn)行基于本體的建模、操作、管理、關(guān)聯(lián)、分析、推理和可視化。Tableau是一個(gè)商業(yè)智能分析軟件，以可視的形式動(dòng)態(tài)呈現(xiàn)關(guān)系型數(shù)據(jù)之間的關(guān)聯(lián)，并允許用戶以所見即所得的方式完成數(shù)據(jù)分析、可視圖表與報(bào)告的創(chuàng)建。LabVIEW開發(fā)環(huán)境集成了工程師和科學(xué)家快速、方便地構(gòu)建各種應(yīng)用所需的所有工具，旨在幫助工程師和科學(xué)家解決問題、提高生產(chǎn)力和不斷創(chuàng)新。通過對(duì)比不難發(fā)現(xiàn)，有些系統(tǒng)工具專注于處理結(jié)構(gòu)化數(shù)據(jù)，如Excel表格等。進(jìn)一步考慮在受到中斷、截獲、修改或偽造等形式的網(wǎng)絡(luò)攻擊時(shí)，網(wǎng)絡(luò)安全數(shù)據(jù)會(huì)不完整、缺失、不真實(shí)，面向結(jié)構(gòu)化數(shù)據(jù)開發(fā)的系統(tǒng)和工具很難直接應(yīng)用于復(fù)雜網(wǎng)絡(luò)威脅安全事件分析專業(yè)領(lǐng)域。

3 網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化研究存在的問題

盡管數(shù)據(jù)可視化技術(shù)取得了很大的進(jìn)步，但是由于網(wǎng)絡(luò)安全事件數(shù)據(jù)量大、類型豐富、變化快等特點(diǎn)，網(wǎng)絡(luò)安全數(shù)據(jù)可視化在實(shí)際應(yīng)用中還存在許多困難。

1) 網(wǎng)絡(luò)威脅安全數(shù)據(jù)聯(lián)動(dòng)分析模型有待完善

網(wǎng)絡(luò)威脅安全數(shù)據(jù)底層數(shù)據(jù)實(shí)體之間缺乏交叉參考，仍然缺乏有效手段來整合多源、異構(gòu)、高維網(wǎng)絡(luò)數(shù)據(jù)。早期基于數(shù)據(jù)分組和數(shù)據(jù)流的可視化研究工作[17]和工具PortVis[18]、NVisionIP[19]、TNV[20]、RUMINT[21]等集中用于網(wǎng)絡(luò)監(jiān)控與異常檢測(cè)，大量利用直方圖、線圖、柱狀圖、矩陣圖和散點(diǎn)圖等方法展示不同網(wǎng)絡(luò)端口的請(qǐng)求和響應(yīng)次數(shù)。當(dāng)攻擊導(dǎo)致網(wǎng)絡(luò)端口流量發(fā)生異常變化時(shí)，這些方法可以幫忙分析人員快速定位異常網(wǎng)絡(luò)行為。自動(dòng)化入侵檢測(cè)系統(tǒng)以及防火墻技術(shù)出現(xiàn)以后，人們開始通過分析各種網(wǎng)絡(luò)報(bào)警日志數(shù)據(jù)理解網(wǎng)絡(luò)攻擊特征，此類數(shù)據(jù)的可視化分析工具包括NIVA[22]、VisAlert[23]、IDS RainStorm[24]、SpiralView[25]等。但是更多的網(wǎng)絡(luò)攻擊，如APT攻擊，通常采取證書盜取手段。而攻擊者利用竊取得到的證書登錄系統(tǒng)行為非常隱蔽，并不會(huì)引起網(wǎng)絡(luò)端口流量的異常變化，所以在海量登錄事件中檢測(cè)出惡意系統(tǒng)登錄非常困難。紐約大學(xué)研究人員設(shè)計(jì)了交互可視化工具APT-Hunter[26]，通過分析企業(yè)網(wǎng)絡(luò)的登錄數(shù)據(jù)，利用預(yù)先設(shè)定的可疑和正常兩組規(guī)則集及可視化方法幫助用戶過濾并發(fā)現(xiàn)所有可疑登錄事件。Bigfoot可視分析系統(tǒng)[27]嘗試?yán)枚S多邊形將路由變化數(shù)據(jù)投影到世界地圖上的方式展示全球范圍內(nèi)日常復(fù)雜的網(wǎng)絡(luò)路由變化數(shù)據(jù)，成功識(shí)別出了139個(gè)可能的網(wǎng)絡(luò)威脅安全事件。但是上述研究工作都是基于單一數(shù)據(jù)源，分析人員無法開展聯(lián)動(dòng)分析，也無法跟蹤網(wǎng)絡(luò)攻擊的橫向移動(dòng)。

2) 網(wǎng)絡(luò)威脅安全數(shù)據(jù)分析需要積累專家知識(shí)和經(jīng)驗(yàn)

本體理論和知識(shí)圖譜為整合異構(gòu)數(shù)據(jù)、利用知識(shí)改進(jìn)分析模型提供了一種可能性。斯坦福大學(xué)研究人員最早通過陳述性知識(shí)表進(jìn)行網(wǎng)絡(luò)流量分類和可視分析[28]，用于檢測(cè)暴力入侵或網(wǎng)絡(luò)掃描等行為。針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)異構(gòu)特性，加州大學(xué)戴維斯分校Ma等[29]利用本體拓?fù)浣Y(jié)構(gòu)表達(dá)恐怖組織網(wǎng)絡(luò)中的恐怖組織、恐怖分子、國(guó)家和地區(qū)、組織分類、法律案件、恐怖攻擊、攻擊目標(biāo)、手段和武器9種不同類別節(jié)點(diǎn)，通過節(jié)點(diǎn)語義和結(jié)構(gòu)抽取及過濾，極大地簡(jiǎn)化了可視化大規(guī)模異構(gòu)數(shù)據(jù)的負(fù)擔(dān)。美國(guó)橡樹林國(guó)家實(shí)驗(yàn)室、太平洋西北國(guó)家實(shí)驗(yàn)室、斯坦福大學(xué)和華盛頓大學(xué)4家單位在網(wǎng)絡(luò)安全知識(shí)圖譜構(gòu)建上開展了一項(xiàng)有意義的聯(lián)合研究工作[30]，嘗試通過JSON格式組織數(shù)據(jù)元信息將海量結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)統(tǒng)一入庫。Aupetit等[31]構(gòu)建了針對(duì)DRDoS攻擊的可行動(dòng)知識(shí)庫，Yao等[32,33]嘗試?yán)谜Z義知識(shí)和語義關(guān)聯(lián)輔助合并、處理和分析多數(shù)據(jù)源安全數(shù)據(jù)，并針對(duì)國(guó)內(nèi)注冊(cè)信息安全專業(yè)人員（CISP, certified information security professional）認(rèn)證構(gòu)建了信息安全知識(shí)圖譜。前述工作重點(diǎn)在語義網(wǎng)絡(luò)、知識(shí)圖譜的構(gòu)建上，而如何利用知識(shí)圖譜內(nèi)在的知識(shí)推理能力有效發(fā)現(xiàn)網(wǎng)絡(luò)威脅安全事件特征，以及如何結(jié)合分析人員的新發(fā)現(xiàn)快速動(dòng)態(tài)更新知識(shí)圖譜，這些問題還有待進(jìn)一步研究。

3) 網(wǎng)絡(luò)威脅安全可視化系統(tǒng)設(shè)計(jì)思想還不完善

網(wǎng)絡(luò)威脅安全可視化系統(tǒng)設(shè)計(jì)大多采用以技術(shù)或模型為中心的思想，如何通過人機(jī)交互界面將人機(jī)智能融合是一個(gè)長(zhǎng)期的研究目標(biāo)。網(wǎng)絡(luò)威脅具有很強(qiáng)的隱蔽性，網(wǎng)絡(luò)攻擊主體和客體的復(fù)雜性、時(shí)效性和多變性決定了網(wǎng)絡(luò)攻擊過程的不確定性和復(fù)雜性[34]。早期研究工作通過形式化方法刻畫系統(tǒng)安全和網(wǎng)絡(luò)攻擊特征，如Schneier于1999年提出的攻擊樹（attack tree）是一種基于樹結(jié)構(gòu)的系統(tǒng)安全測(cè)評(píng)方法，有助于提高分析人員發(fā)現(xiàn)新漏洞的能力[35]。攻擊圖（attack graph）最早由美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室學(xué)者提出，在綜合分析多種網(wǎng)絡(luò)配置和脆弱性信息的基礎(chǔ)上，通過漏洞與漏洞關(guān)聯(lián)可視化幫助防御者直觀地分析攻擊者可能選取的攻擊路線[36]。后續(xù)研究在分析攻擊模式和攻擊路徑可視化方面進(jìn)行了大量探索，例如，使用半透明四邊形連接的柱形圖示符號(hào)指示復(fù)雜攻擊在不同階段的狀態(tài)，利用圓柱尺寸和顏色編碼攻擊類型和嚴(yán)重級(jí)別等信息[37]。又如，Wang等[38]設(shè)計(jì)了一個(gè)用于研究病毒傳播的新模型SADI，將真實(shí)物理網(wǎng)絡(luò)和虛擬邏輯網(wǎng)絡(luò)分開，基于社交蠕蟲病毒的消息提示和人類移動(dòng)的時(shí)間特征，通過概論統(tǒng)計(jì)求解用戶在不同層上移動(dòng)的可能性，進(jìn)而估算蠕蟲病毒的傳播路徑。但是以上方法都采用固定技術(shù)或模型，計(jì)算模型參數(shù)很難調(diào)整或根本不可調(diào)，所以分析過程相對(duì)孤立，分析人員只能被動(dòng)接受結(jié)果，效果并不十分理想。

4 網(wǎng)絡(luò)空間安全數(shù)據(jù)可視化發(fā)展趨勢(shì)

4.1 多視圖關(guān)聯(lián)和動(dòng)態(tài)表達(dá)

可視化在支持人的宏觀概覽、態(tài)勢(shì)感知、證據(jù)關(guān)聯(lián)、模糊搜索等方面展示了其天然強(qiáng)大的賦能能力[8]，多視圖關(guān)聯(lián)和動(dòng)態(tài)表達(dá)方法是數(shù)據(jù)可視化諸多行之有效方法中的2個(gè)代表。LogSpider[39]將可視過濾概念引入安全可視化領(lǐng)域，通過設(shè)計(jì)駕馭式可視查詢和保持上下文選擇子集等操作幫助分析人員識(shí)別出安全問題。MVSec[40]嘗試用故事線的方式呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)演化過程，Zhao等[41]通過時(shí)序化的平行坐標(biāo)視圖、多主體的矩陣視圖、多主體的時(shí)序視圖、相似度擴(kuò)展樹視圖分析網(wǎng)絡(luò)流量日志數(shù)據(jù)。ENTVis[42]利用雷達(dá)圖、矩陣圖等可視化方法支持基于信息熵的網(wǎng)絡(luò)攻擊流量特征分析，Shi等[43]利用改進(jìn)雷達(dá)圖進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析。雖然這些改進(jìn)算法通過特征抽取、降維、采樣或聚合的方法減少了數(shù)據(jù)項(xiàng)和數(shù)據(jù)維度，但數(shù)據(jù)挖掘算法往往很難與可視化方法有機(jī)結(jié)合，交互性并不好。因此，如何改善網(wǎng)絡(luò)安全分析領(lǐng)域人機(jī)交互模型，有效融合分析人員的先驗(yàn)知識(shí)，更新計(jì)算分析模型，是一個(gè)急需解決的問題。

4.2 人工智能的新一輪研究熱潮帶動(dòng)預(yù)測(cè)性可視分析研究

世界著名咨詢公司Gartner從信息經(jīng)濟(jì)學(xué)角度定義了一個(gè)重要技術(shù)進(jìn)化模型，從低級(jí)到高級(jí)依次為：探索過去的描述性分析、探索原因的診斷性分析、可以預(yù)言未來的預(yù)測(cè)性分析[44]。預(yù)測(cè)網(wǎng)絡(luò)威脅安全事件未來移動(dòng)對(duì)于遏制橫向移動(dòng)和減少威脅停留時(shí)間至關(guān)重要，但如何對(duì)攻擊趨勢(shì)做出預(yù)測(cè)并采取預(yù)防措施，還是一個(gè)遠(yuǎn)期的研究目標(biāo)。將人工智能技術(shù)及可視分析技術(shù)結(jié)合是一個(gè)值得嘗試的解決思路。例如，Correa等[45]早期利用可視推理技術(shù)研究社交網(wǎng)絡(luò)中的不確定性問題，Arietta等[46]將數(shù)據(jù)挖掘技術(shù)應(yīng)用于城市計(jì)算中，結(jié)合可視推理方法成功預(yù)測(cè)了部分城市屬性。Wang等[47]運(yùn)用可視推理技術(shù)對(duì)大量出租車軌跡數(shù)據(jù)進(jìn)行可視分析，有效評(píng)估了城市道路利用率。Cao等[48]研究在線社交網(wǎng)絡(luò)異常用戶行為過程中，定義了行為特征、內(nèi)容特征、交流特征、活動(dòng)時(shí)間特征、網(wǎng)絡(luò)特征、頭像特征6類用戶特征，引入非監(jiān)督學(xué)習(xí)模型計(jì)算和檢測(cè)異常用戶并排序，取得了顯著的效果。美國(guó)喬治亞理工大學(xué)研究人員[49]首次提出了一個(gè)名為“演示式可視化”的數(shù)據(jù)可視分析通用交互范式，通過量化計(jì)算用戶的交互意圖，從位置、大小和顏色3方面遞進(jìn)式地推薦給用戶下一步圖形轉(zhuǎn)化建議。由此看來，基于智能技術(shù)的可視推理是預(yù)測(cè)性可視分析發(fā)展的一個(gè)重要研究方向，但目前在網(wǎng)絡(luò)安全相關(guān)領(lǐng)域尚未有研究工作報(bào)道。

5 結(jié)束語

網(wǎng)絡(luò)空間安全的重要性與日俱增，網(wǎng)絡(luò)空間安全關(guān)聯(lián)數(shù)據(jù)可視化是網(wǎng)絡(luò)空間安全領(lǐng)域一個(gè)新的研究熱點(diǎn)。本文在分析網(wǎng)絡(luò)安全數(shù)據(jù)可視化分析現(xiàn)狀基礎(chǔ)上，深入討論了當(dāng)前網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化研究存在的問題，并進(jìn)一步探討了網(wǎng)絡(luò)空間安全數(shù)據(jù)可視化的發(fā)展趨勢(shì)。數(shù)據(jù)可視化技術(shù)已經(jīng)在很多領(lǐng)域研究得到深入應(yīng)用，數(shù)據(jù)可視化技術(shù)也必將在網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)揮越來越重要的作用。

[1] FISCHER F, FUCHS J, MANSMANN F, et al. BANKSAFE: visual analytics for big data in large-scale computer networks[J]. Information Visualization, 2015, 14(1): 51-61.

[2] 張煥國(guó)，韓文報(bào)，來學(xué)嘉，等. 網(wǎng)絡(luò)空間安全綜述[J]. 中國(guó)科學(xué):信息科學(xué), 2016, 46(2): 125-164.

ZHANG H G, HAN W B, LAI X J, et al. Survey on cyberspace security[J]. SCIENTIA SINICA Information is, 2016, 46(2):125-164.

[3] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(8):1313-1329.

[4] ZHANG T Y, WANG X M, LI Z Z, et al. A survey of network anomaly visualization[J]. Science China: Information Sciences, 2016, 59(1): 1-17.

[5] STAHELI D, YU T, JORDAN C R, et al. Visualization evaluation for cyber security: trends and future directions[C]//IEEE Workshop on Visualization for Computer Security (VizSec). 2014.

[6] POST T, WISCHGOLL T, BRYANT A R, et al. Visually guided flow tracking in software-defined networking[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2016.

[7] WARD M O, GRINSTEIN G, KEIM D. Interactive data visualization: foundations, techniques, and applications[M]. A K Peters Press, 2010.

[8] 陳為，沈則潛，陶煜波. 數(shù)據(jù)可視化[M]. 北京: 電子工業(yè)出版社, 2013.

CHEN W, SHEN Z Q, TAO Y B. Data visualization[M]. Beijing: Publishing House of Electronics Industry, 2013.

[9] 李建華. 網(wǎng)絡(luò)空間威脅情報(bào)感知、共享與分析技術(shù)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2016, 2(2): 16-29.

LI J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in cyber space[J]. Chinese Journal of Network and Information Security, 2016, 2(2): 16-29.

[10] 李燕, 曹寶香, 馬兆豐, 等. 關(guān)聯(lián)分析算法在安全管理平臺(tái)中的研究與應(yīng)用[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2013, 23(10): 107-110,114.

LI Y, CAO B X, MA Z F, et al. Research and application of correlation analysis in security management platform[J]. Computer Technology and Development, 2013, 23(10): 107-110,114.

[11] 趙穎，樊曉平，周芳芳，等. 網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J]. 計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào), 2014, 26(5): 687-697.

ZHAO Y, FAN X P, ZHOU F F, et al. A survey on network security data visualization[J]. Journal of Computer-Aided Design & Computer Graphics, 2014, 26(5): 687-697.

[12] 趙穎，樊曉平，周芳芳，等. 大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J]. 計(jì)算機(jī)科學(xué)與探索, 2014, 8(7): 848-857.

ZHAO Y, FAN X P, ZHOU F F, et al. Research on collaborative visual analysis of large scale network security data[J]. Journal of Frontiers of Computer Science and Technology, 2014, 8(7): 848-857.

[13] 趙穎，樊曉平，周芳芳，等. 多源網(wǎng)絡(luò)安全數(shù)據(jù)時(shí)序可視分析方法研究[J]. 小型微型計(jì)算機(jī)系統(tǒng), 2014, 35(4): 906-910.

ZHAO Y, FAN X P, ZHOU F F, et al. Visualization of multi-source network security data based on stacked stream graph[J]. Journal of Chinese Computer Systems, 2014, 35(4): 906-910.

[14] 張勝，施榮華，趙穎. 基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合分析方法[J]. 計(jì)算機(jī)應(yīng)用, 2015, 35(5): 1379-1384,1416.

ZHANG S, SHI R H, ZHAO Y. Visual fusion and analysis for multivariate heterogeneous network security data[J]. Journal of Computer Applications, 2014, 35(4): 1379-1384,1416.

[15] 趙立軍，張健. 基于堆疊條形圖和平行坐標(biāo)的網(wǎng)絡(luò)數(shù)據(jù)安全可視化分析方法研究[J]. 裝備學(xué)院學(xué)報(bào), 2015, 26(5): 86-90.

ZHAO L J, ZHANG J. Study on network data security visualization based on stacked bar chart and parallel coordinates[J]. Journal of Equipment Academy, 2015, 26(5): 86-90.

[16] 吳亞東，蔣宏宇，趙思蕊，等. 網(wǎng)絡(luò)安全數(shù)據(jù)3D可視化方法[J]. 電子科技大學(xué)學(xué)報(bào), 2015, 44(4): 594-598.

WU Y D, JIANG H Y, ZHAO S R, et al. 3D visualization method for network security data[J]. Journal of University of Electronic Science and Technology of China, 2015, 44(4): 594-598.

[17] BECKER R A, EICK S G, WILKS A R. Visualizing network data[J]. IEEE Transactions on Visualization and Computer Graphics, 1995, 1(1):16-28.

[18] MCPHERSON J, MA K, KRYSTOSK P, et al. PortVis: a tool for port-based detection of security events[C]//IEEE Symposium on Visualization for Cyber Security(VizSec). 2004.

[19] LAKKARAJU K, YURCIK W, BEARAVOLU R, et al. NVisionIP: an interactive network flow visualization tool for security[C]//IEEE International Conference on Systems, Man and Cybernetics, 2004.

[20] GOODALL J R, LUTTERS W G, RHEINGANS P, et al. Preserving the big picture: visual network traffic analysis with TNV[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2005.

[21] CONTI G, ABDULLAH K, GRIZZARD J, et al. Countering security analyst and network administrator overload through alert and packet visualization[J]. IEEE Computer Graphics and Applications, 2006, 26(2): 60-70.

[22] NYARKO K, CAPERS T, SCOTT C, et al. Network intrusion visualization with NIVA, an intrusion detection visual analyzer with paptic integration[C]//The 10th Symposium on Haptic Interfaces for Virtual Environment and Teleoperator Systems. 2002.

[23] LIVNAT Y, AGUTTER J, MOON S, et al. A visualization paradigm for network intrusion detection[C]//IEEE SMC Information Assurance Workshop. 2005.

[24] ABDULLAH K, LEE C, CONTI G, et al. IDS RainStorm: visualizing IDS alarms[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2005.

[25] BERTINI E, HERTZOG P, LALANNE D. SpiralView: towards security policies assessment through visual correlation of network resources with evolution of alarms[C]//IEEE Conference on Visual Analytics Science and Technology (VAST’07). 2007.

[26] SIADATI H, SAKET B, MEMON N. Detecting malicious logins in enterprise networks using visualization[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[27] SYAMKUMAR M, DURAIRAJAN R, BARFORD P. Bigfoot: a geo-based visualization methodology for detecting BGP threats[C]// IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[28] LING X, GERTH J, HANRAHAN P. Enhancing visual analysis of network traffic using a knowledge representation[C]//IEEE Symposium on Visual Analytics Science and Technology. 2006.

[29] SHEN Z Q, MA K L, ELIASSI-RAD T. Visual analysis of large heterogeneous social networks by semantic and structural abstraction[J]. IEEE Transactions on Visualization and Computer Graphics, 2006, 12(6):1427-1439.

[30] IANNACONE M, BOHN S, NAKAMURA G, et al. Developing an ontology for cyber security knowledge graphs[C]//The Cyber and Information Security Research. 2015.

[31] AUPETIT M, ZHAUNIAROVICH Y, VASILIADISM G, et al. Visualization of actionable knowledge to mitigate DRDoS attacks[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[32] YAO Y G, WANG X, MENG X J, et al. ISEK: an information security knowledge graph for CISP knowledge system[C]//The International Conference on IT Convergence and Security (ICITCS). 2015.

[33] YAO Y G, ZHANG L, YI J, et al. A framework for big data security analysis and the semantic technology[C]//The International Conference on IT Convergence and Security (ICITCS). 2016.

[34] CIAPESSONI E, CIRIO D, KJ?LLE G, et al. Probabilistic risk-based security assessment of Power systems considering incumbent threats and uncertainties[J]. IEEE Transactions on Smart Grid, 2016, 7(6):2890-2903.

[35] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報(bào), 2012, 52(10): 1396-1408.

PONG Y, JIANG C Q, XIE F, et al. Industrial control system cyber security research[J]. Journal of Tsinghua University, 2012, 52(10): 1396-1408.

[36] KAYNAR K, SIVRIKAYA F. Distributed attack graph generation[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(5): 519-532.

[37] YELIZAROV A, GAMAYUNOV D. Visualization of complex attacks and state of attacked network[C]//IEEE Workshop on Visualization for Computer Security (VizSec). 2009.

[38] WANG T B, XIA C H, WEN S, et al. SADI: A novel model to study the propagation of social worms in hierarchical networks[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 99: 1-17.

[39] STANGE J, D?RK M, LANDSTORFER J, et al. Visual filter: graphical exploration of network security log files[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2014.

[40] ZHAO Y, LIANG X, FAN X P, et al. MVSec: multi-perspective and deductive visual analytics on heterogeneous network security data[J]. Journal of Visualization, 2014, 17(3):181-196.

[41] 趙穎, 王權(quán), 黃葉子, 等. 多視圖合作的網(wǎng)絡(luò)流量時(shí)序數(shù)據(jù)可視分析[J]. 軟件學(xué)報(bào), 2016, 27(5):1188-1198.

ZHAO Y, WANG Q, HUANG Y Z, et al. Collaborative visual analytics for network traffic time-series data with multiple views. Journal of Software, 2016, 27(5):1188-1198.

[42] ZHOU F F, HUANG W, ZHAO Y, et al. ENTVis: a visual analytic tool for entropy-based network traffic anomaly detection[J]. IEEE Computer Graphics and Applications, 2015, 35(6):42-50.

[43] SHI L, WANG C, WEN Z, et al. 1.5D Egocentric dynamic network visualization[J]. IEEE Transactions on Visualization and Computer Graphics, 2015, 21(5):624-637.

[44] LANEY D. Information economics, big data and the art of the possible with analytics[EB/OL]. https://www-950.ibm. com/events/ wwe/ grp/grp037.nsf/vLookupPDFs/Gartner_Doug-%20Analytics/$file/Gartner_Doug-%20Analytics.pdf.

[45] CORREA C D, CRNOVRSANIN T, MA K. Visual reasoning about social networks using centrality sensitivity[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(1): 106-120.

[46] ARIETTA S M, EFROS A A, RAMAMOORTHI R, et al. City forensics: using visual elements to predict non-visual city attributes[J]. IEEE Transactions on Visualization and Computer Graphics, 2016, 20(12):2624-2633.

[47] WANG F, CHEN W, WU F R, et al. A visual reasoning approach for data-driven transport assessment on urban roads[C]//IEEE Conference on Visual Analytics Science and Technology (VAST). 2014.

[48] CAO N, SHI C L, LIN S, et al. TargetVue: visual analysis of anomalous user behaviors in online communication systems[J]. IEEE Transactions on Visualization and Computer Graphics, 2016, 22(1): 280-289.

[49] SAKET B, KIM H, BROWN E T, et al. Visualization by demonstration: an interaction paradigm for visual data exploration[J]. IEEE Transactions on Visualization and Computer Graphics, 2017, 23(1): 331-340.

Survey on the visualization technologies of threatening security data in cyber space

ZHANG Fan, XIE Fan, JIANG Jie

College of Computer Science, Zhejiang University of Technology, Hangzhou 310023, China

With the rapid development of the cyber threatening methods, the requirements of network security data analysis become more and more imperative. Data visualization has already evolved as a requisite tool among all kinds of data analysis theory framework and applications, especially in the fields of scientific computation, business intelligence and cyber security. Threatening security data visualization provides various effective interaction means which improve the perception ability for the cyber security specialists to get a distinctive insight into the large amount of complicated cyber security problems. The state-of-art cyber security data visualization technologies were introduced. Some existing problems that were still challenging research topics were investigated. Some directions for future studies were outlined.

cyber space security, associate analysis, visual analysis, artificial intelligence

TP393

A

10.11959/j.issn.2096-109x.2018013

張繁（1978-），男，浙江紹興人，博士，浙江工業(yè)大學(xué)副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、信息可視化。

謝凡（1997-），男，廣東梅州人，浙江工業(yè)大學(xué)本科生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、數(shù)據(jù)挖掘。

江頡（1972-），女，浙江平湖人，博士，浙江工業(yè)大學(xué)計(jì)副教授，主要研究方向?yàn)樾畔踩⒎?wù)計(jì)算。

2017-12-26；

2018-01-29

江頡，jj@zjut.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.U1736109, No.61772456, No.U1609217）；浙江省自然科學(xué)基金資助項(xiàng)目（No.LY18F020034）

: The National Natural Science Foundation of China (No.U1736109, No.61772456, No.U1609217), The Natural Science Foundation of Zhejiang Province (No.LY18F020034)