張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

?

基于可視分析的網(wǎng)絡(luò)異常檢測系統(tǒng)

張浩城，吳曉潔，唐翔，舒潤萱，丁天琛，董笑菊

（上海交通大學(xué)電子信息與電氣工程學(xué)院，上海 200240）

在網(wǎng)絡(luò)安全數(shù)據(jù)的規(guī)模和復(fù)雜度不斷攀升的今天，傳統(tǒng)可視化方法已不再適用?，F(xiàn)有的網(wǎng)絡(luò)安全可視化系統(tǒng)和方法仍具有缺陷，它們無法對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行時(shí)序變化上的展示，在信息展示的完備性和用戶交互性上表現(xiàn)較差。針對(duì)現(xiàn)有方法的不足，設(shè)計(jì)了一種多視圖聯(lián)動(dòng)的網(wǎng)絡(luò)安全可視化系統(tǒng)，將力導(dǎo)向模型和階段式動(dòng)畫相結(jié)合，展示網(wǎng)絡(luò)靜態(tài)狀態(tài)和動(dòng)態(tài)變化，提供協(xié)議、IP段、端口的展示與篩選功能，為使用者展示全面豐富的網(wǎng)絡(luò)數(shù)據(jù)。

信息可視化；網(wǎng)絡(luò)安全可視化；可視化系統(tǒng)；交互

1 引言

隨著互聯(lián)網(wǎng)的不斷普及與網(wǎng)絡(luò)通信技術(shù)的不斷進(jìn)步，越來越多的網(wǎng)絡(luò)應(yīng)用應(yīng)運(yùn)而生。從最初的計(jì)算機(jī)網(wǎng)絡(luò)只用于發(fā)送電子郵件或共享設(shè)備，到如今的銀行系統(tǒng)、行政管理系統(tǒng)甚至軍事系統(tǒng)紛紛實(shí)現(xiàn)電子信息化管理，人們生活世界中的各個(gè)方面正逐漸通過互聯(lián)網(wǎng)緊密地聯(lián)系在一起。然而，互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展，不可避免地導(dǎo)致各種網(wǎng)絡(luò)安全隱患和漏洞。針對(duì)這些漏洞的攻擊，可能造成個(gè)人隱私、財(cái)產(chǎn)的損失，以及導(dǎo)致重要公共設(shè)施體系的癱瘓、國家級(jí)別機(jī)關(guān)的損害，后果極其嚴(yán)重。因此，網(wǎng)絡(luò)安全已成為一個(gè)不可忽視的問題。

在網(wǎng)絡(luò)安全領(lǐng)域中，預(yù)防與探查網(wǎng)絡(luò)攻擊的一個(gè)主要方式為分析監(jiān)控設(shè)備產(chǎn)生的日志數(shù)據(jù)記錄。在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)與信息呈爆炸式增長，對(duì)海量日志數(shù)據(jù)的分析提出了更大的挑戰(zhàn)。首先，需要分析的日志數(shù)據(jù)來源多，構(gòu)成相異，數(shù)據(jù)規(guī)模成倍增長，同時(shí)日志文件多存在記錄不完整、缺乏必要字段等問題，日志的分析工作已然成為一大負(fù)擔(dān)；其次，分析人員往往局限于局部異常，難以掌握宏觀的網(wǎng)絡(luò)態(tài)勢；其三，網(wǎng)絡(luò)攻擊技術(shù)在不斷迭代更新，出現(xiàn)了許多新型的網(wǎng)絡(luò)攻擊手段，攻擊的復(fù)雜度也越來越高，導(dǎo)致傳統(tǒng)方法不再適用。

近年來，網(wǎng)絡(luò)安全自動(dòng)化檢測技術(shù)不斷發(fā)展，減少了大量人力開支的同時(shí)也存在若干問題。一方面，訓(xùn)練數(shù)據(jù)規(guī)模帶來了巨大的存儲(chǔ)成本以及時(shí)間成本；另一方面，復(fù)雜的網(wǎng)絡(luò)環(huán)境和攻擊方式的隱蔽性導(dǎo)致不少漏報(bào)誤報(bào)。因此，需要將人員參與分析的過程中，做出更準(zhǔn)確的判斷。

在此過程中，如何將海量繁雜的數(shù)據(jù)進(jìn)行體系化、結(jié)構(gòu)化表示是一個(gè)關(guān)鍵性問題，網(wǎng)絡(luò)安全可視化這一交叉研究領(lǐng)域應(yīng)運(yùn)而生。運(yùn)用網(wǎng)絡(luò)安全可視化技術(shù)將抽象繁雜的數(shù)據(jù)映射為具象簡單的圖表，輔之以友好易用的交互功能，使網(wǎng)絡(luò)安全分析人員可以借助可視化系統(tǒng)直觀地分析數(shù)據(jù)中的聯(lián)系與異常，從而更加高效準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)中隱含的信息。這樣，便進(jìn)一步提高了分析人員對(duì)繁雜日志數(shù)據(jù)的處理能力，更容易感知、分析和解決網(wǎng)絡(luò)安全問題，從而大大促進(jìn)網(wǎng)絡(luò)安全保障工作。將網(wǎng)絡(luò)安全維護(hù)與可視化結(jié)合，猶如將人類視覺觀察與程序判斷結(jié)合；人類視覺觀察分析有所局限，程序判斷的結(jié)果也未必可靠直觀。但二者的結(jié)合彌補(bǔ)了各自的不足之處，開創(chuàng)出數(shù)據(jù)識(shí)別的新思路。

網(wǎng)絡(luò)安全可視化還是一個(gè)非常新的領(lǐng)域[1,2]。它研究的主要內(nèi)容為，如何通過對(duì)已有的通用型可視化方法進(jìn)行調(diào)整，使之可以運(yùn)用在網(wǎng)絡(luò)安全數(shù)據(jù)的可視化工作上。由于用戶的認(rèn)知能力、偏好不盡相同，無法完全預(yù)測最終用戶將如何解讀其設(shè)計(jì)。但是通過對(duì)用戶需求和認(rèn)知能力的調(diào)研，可以確定適當(dāng)?shù)恼故緝?nèi)容和相應(yīng)設(shè)計(jì)。網(wǎng)絡(luò)安全可視化將設(shè)計(jì)過程以用戶為核心，精心設(shè)計(jì)人機(jī)交互功能，盡可能直觀、完整地將信息傳遞給用戶。

在這一過程中，通常需要圍繞3個(gè)對(duì)象進(jìn)行：網(wǎng)絡(luò)節(jié)點(diǎn)的拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)間的通信情況以及節(jié)點(diǎn)內(nèi)端口的通信情況。針對(duì)這3個(gè)對(duì)象，需要解決以下4個(gè)問題：1) 如何在保持用戶心理印象的同時(shí)展示網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)變化；2) 如何將網(wǎng)絡(luò)結(jié)構(gòu)與通信情況緊密結(jié)合又使視圖不過于復(fù)雜；3) 在大量節(jié)點(diǎn)存在的情況下端口間的收發(fā)數(shù)據(jù)；4) 在直接應(yīng)用圖布局算法不夠理想的情況下，如何結(jié)合網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)的特性改進(jìn)。

本文就IP地址之間的聯(lián)系與通信狀態(tài)數(shù)據(jù)，提出了一種可視化數(shù)據(jù)分析方案。從信息可視化方面著手，通過多種視圖對(duì)通信數(shù)據(jù)進(jìn)行多方面、多角度的表征；同時(shí)為了便于可視化的實(shí)時(shí)分析，將這些視圖進(jìn)行聯(lián)動(dòng)，從而形成一個(gè)多維度交互的數(shù)據(jù)可視化系統(tǒng)。系統(tǒng)由以下3個(gè)視圖構(gòu)成：1) 基于階段式動(dòng)畫的動(dòng)態(tài)網(wǎng)絡(luò)；2) 包含IP樹和協(xié)議展示圈的協(xié)議圓周圖；3) 源?目的IP、端口散點(diǎn)圖?；陔A段式動(dòng)畫的動(dòng)態(tài)網(wǎng)絡(luò)，在靜態(tài)時(shí)展示各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信情況，包括節(jié)點(diǎn)通信相對(duì)密度，節(jié)點(diǎn)流量大小、輸入輸出情況等；在動(dòng)態(tài)時(shí)展示各個(gè)連接的變化過程，從而有效地展現(xiàn)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)變化。協(xié)議圓周圖實(shí)時(shí)展示當(dāng)前網(wǎng)絡(luò)的協(xié)議分布情況、通信時(shí)間分布等信息以展現(xiàn)拓?fù)浣Y(jié)構(gòu)上的通信變化。通信雙方IP、端口散點(diǎn)圖展示當(dāng)前網(wǎng)絡(luò)所有連接的IP、端口情況，通過交互詳細(xì)表現(xiàn)IP的異常情況。這3個(gè)視圖使用同一個(gè)時(shí)間軸對(duì)數(shù)據(jù)進(jìn)行篩選，相互之間同步聯(lián)動(dòng)，從而通過逐層篩選可以最終鎖定問題關(guān)鍵所在的各種信息。在主視圖的布局上，筆者在眾多力導(dǎo)向算法中選擇了最合適的FR（Fruchterman-Reingold）算法，并針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的特點(diǎn)做了全局優(yōu)化，動(dòng)畫上采用了精簡后的階段式動(dòng)畫；在2個(gè)輔視圖中，協(xié)議圓周圖內(nèi)部的IP子樹彌補(bǔ)了主視圖中無法觀察節(jié)點(diǎn)之間、IP段關(guān)系的缺漏，外部的協(xié)議展示圈則提供該節(jié)點(diǎn)在一段時(shí)間的通信情況，給用戶一些綜合考慮的空間。IP端口散點(diǎn)圖展示了IP段之間、IP之間和端口之間的通信流量情況，采用一些針對(duì)性的優(yōu)化措施使整體更加易用。最后，將系統(tǒng)整體串聯(lián)起來的多視圖聯(lián)動(dòng)功能和時(shí)間軸篩選功能，則通過將時(shí)間序列縮略圖和時(shí)間軸相結(jié)合，使整個(gè)系統(tǒng)可以滿足從概覽整體到探究細(xì)節(jié)的所有需求。

2 相關(guān)工作介紹

2.1 可視化在網(wǎng)絡(luò)安全中的應(yīng)用

2.1.1 網(wǎng)絡(luò)監(jiān)控

對(duì)主機(jī)的網(wǎng)絡(luò)監(jiān)控即對(duì)IP地址的監(jiān)控。IP地址有分段的特性，其中，當(dāng)前使用最廣的IPv4規(guī)定地址長度為32 bit，通常寫作A.B.C.D，4個(gè)用小數(shù)點(diǎn)分開的十進(jìn)制數(shù)。由于IP地址眾多，如何進(jìn)行取舍以達(dá)到比較好的可視化效果一直是學(xué)者努力的方向。IP矩陣[3]監(jiān)控的是某一特定AB網(wǎng)段下的主機(jī)事件，通過二維坐標(biāo)定位。而針對(duì)端口的監(jiān)控（如PortVis[4]）同樣使用矩陣和顏色來映射所有的端口的流量情況?？紤]到常用的端口并不多，可以將常用端口和非常用端口做區(qū)分， PortMatrix[5]將端口號(hào)分為4類，不常用的系統(tǒng)動(dòng)態(tài)分配的端口被縮略展示。

2.1.2 異常檢測

網(wǎng)絡(luò)異常的范圍很廣，包括流量異常、越權(quán)訪問、設(shè)備失效等，其中，流量是異常檢測的主要監(jiān)控信息。對(duì)于流量異常的檢測方法，2.1.1節(jié)中基于IP地址和端口的監(jiān)控方案就可以勝任。此外也有許多其他的流量監(jiān)控方案，如文獻(xiàn)[5]采用基于熱力圖的流量監(jiān)控可視化系統(tǒng)。而Abdullah[6]采用一個(gè)基于時(shí)序的端口流量分組聚合分析的堆疊圖。

除了流量異常之外，主機(jī)、設(shè)備的突然失效也值得注意。節(jié)點(diǎn)連接圖是監(jiān)控網(wǎng)絡(luò)連接情況的常用可視化方案，具體實(shí)現(xiàn)時(shí)又分為主機(jī)位置固定和動(dòng)態(tài)布局2種策略。

2.2 動(dòng)態(tài)網(wǎng)絡(luò)中的時(shí)間編碼

對(duì)于動(dòng)態(tài)網(wǎng)絡(luò)的表示方法，最常見的就是網(wǎng)格圖。任何靜態(tài)網(wǎng)絡(luò)可視化系統(tǒng)都可以用于在任意時(shí)間點(diǎn)生成當(dāng)前網(wǎng)絡(luò)的快照，這些快照可以使用表格進(jìn)行顯示[7~9]。

2個(gè)或者更多網(wǎng)絡(luò)之間的差異圖可以直接比較網(wǎng)絡(luò)的時(shí)間步長，但單獨(dú)一個(gè)差異圖不足以探索長時(shí)間步長的序列[10~13]。顏色也被用于展示長期的變化，如文獻(xiàn)[14]中用顏色表示節(jié)點(diǎn)和連接在一個(gè)對(duì)整個(gè)網(wǎng)絡(luò)的簡單聚合圖中的首次出現(xiàn)。然而，這種方法很難對(duì)其他時(shí)間度量進(jìn)行編碼。文獻(xiàn)[15,16]認(rèn)為值通常是聚合的，而目標(biāo)是提供一個(gè)單一的度量來描述整個(gè)動(dòng)態(tài)變化，因此，省略關(guān)于各個(gè)時(shí)間點(diǎn)的信息。然而，單個(gè)圖像對(duì)時(shí)間變化顯示編碼的增強(qiáng)同時(shí)也增加了網(wǎng)絡(luò)表示的視覺復(fù)雜度[17]。

針對(duì)子圖在特定時(shí)間步長內(nèi)的連通性以及高維屬性顯示的問題，本系統(tǒng)提供了一致的視覺界面，結(jié)合了網(wǎng)格圖表的優(yōu)勢，提供一個(gè)總覽，幫助用戶將時(shí)間維度中的表示方式與差異圖像的顯式編碼以及動(dòng)畫轉(zhuǎn)換的靈活性相結(jié)合。

2.3 動(dòng)畫與時(shí)間導(dǎo)航

動(dòng)畫作為一種向用戶展示界面變化的手段已經(jīng)在心理學(xué)[18,19]、人機(jī)交互[20]和信息可視化[21]中得到了廣泛的研究，且已被證明在統(tǒng)計(jì)信息圖像之間和多變量的散點(diǎn)圖之間[22]的切換以及突出顯示文本文檔的歷史修改記錄[23]中具有很好的效果。Heer等[22]也偏向于過程更長的動(dòng)畫交互效果。Chevalier等[20]放棄分階段轉(zhuǎn)換從而縮短轉(zhuǎn)換時(shí)間，更說明動(dòng)畫能夠有效利用短期記憶。

分階段的動(dòng)畫也被用于可視化動(dòng)態(tài)樹[24,25]，如在SpaceTree中擴(kuò)展子樹時(shí)和探索樹隨時(shí)間的變化之時(shí)[26]。DOITrees[27]也因此使用動(dòng)畫轉(zhuǎn)換，不同的是它并行運(yùn)行不同類型的動(dòng)畫（子樹擴(kuò)展、布局適配）。

Eades等[28]第一次提出了動(dòng)畫可以在瀏覽集群圖像時(shí)提高對(duì)變化的理解程度。Friedrich等[29,30]提出了用于可視化動(dòng)態(tài)網(wǎng)絡(luò)中變化的若干轉(zhuǎn)化步驟。Brandes[31]則提出三階段轉(zhuǎn)換，但在實(shí)際轉(zhuǎn)換過程中很難跟蹤具體的變化。

綜上所述，動(dòng)畫的許多重要方面尚未得到充分研究：步長、分階段、階段的排序，轉(zhuǎn)換圖形渲染方式等。需要更多涉及更高級(jí)任務(wù)、涵蓋更大數(shù)據(jù)集的實(shí)驗(yàn)來更好地進(jìn)行探索并找到有效支持動(dòng)態(tài)網(wǎng)絡(luò)探索的交互技術(shù)。

2.4 動(dòng)態(tài)網(wǎng)絡(luò)布局算法

動(dòng)態(tài)網(wǎng)絡(luò)可視化的另一個(gè)關(guān)鍵是如何在每個(gè)時(shí)間步驟中布置網(wǎng)絡(luò)。Gephi采用的迭代布局求解器在用戶更改顯示的時(shí)間范圍時(shí)可以提供很好的連續(xù)性[32]。雖然這種方法在步驟之間提供了一些連續(xù)性，但是不夠穩(wěn)定，重新訪問之前某個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)狀態(tài)的任務(wù)很難完成。為了避免這些變化，TempoVis根據(jù)上一個(gè)時(shí)間步長的布局、步驟間節(jié)點(diǎn)顏色和位置的線性插值創(chuàng)建一個(gè)新的布局[33]。

雖然這種方法可以隨著時(shí)間推移對(duì)布局進(jìn)行更大的改變，但Eades等認(rèn)為它更利于全局布局的穩(wěn)定性，從而更好地保護(hù)用戶的心理圖[28]。Purchase和Samra的研究[34]表明，全局穩(wěn)定或局部優(yōu)化應(yīng)該是首選，而不是中間解決方案。Archambault等[35]比較了網(wǎng)格圖和動(dòng)畫在保存心理圖上的優(yōu)劣，表明穩(wěn)定的布局不會(huì)提高性能。然而，在后來的研究中，Archambault和Purchase[36]表明，穩(wěn)定的布局能夠更好地支持網(wǎng)絡(luò)探索，這一發(fā)現(xiàn)得到了Ghani等另一項(xiàng)研究的證實(shí)。

這些實(shí)驗(yàn)結(jié)果表明，具體的布局策略應(yīng)該根據(jù)用戶的具體情況進(jìn)行權(quán)衡。在所有時(shí)間步驟中最穩(wěn)定的布局可能不適用于這些步驟中的任一步。針對(duì)每個(gè)時(shí)間步長優(yōu)化之后的布局在步驟之間可能非常不穩(wěn)定。關(guān)于布局算法的決策以及要使用的動(dòng)畫類型高度依賴于用戶執(zhí)行的實(shí)際任務(wù)。雖然布局與本系統(tǒng)中的其他功能是正交的，但是所選擇的布局會(huì)強(qiáng)烈地影響其適當(dāng)?shù)氖褂?，詳?.2.1節(jié)。

3 可視化系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

3.1 系統(tǒng)總覽

3.1.1 數(shù)據(jù)特征

本系統(tǒng)針對(duì)的數(shù)據(jù)集為含有源、目的IP，源、目的端口，傳輸協(xié)議等維度，以傳輸時(shí)間為軸的網(wǎng)絡(luò)流量數(shù)據(jù)。

圖1 系統(tǒng)總覽

3.1.2 系統(tǒng)簡介

由于數(shù)據(jù)量較大，本系統(tǒng)針對(duì)引言中提出的4個(gè)問題采用3個(gè)視圖解決，以展示數(shù)據(jù)集各個(gè)維度的信息，如圖1所示（見彩插頁9）。

為有效展現(xiàn)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)變化，主視圖采用基于階段式動(dòng)畫的力導(dǎo)向動(dòng)態(tài)網(wǎng)絡(luò)。靜態(tài)時(shí)展示了各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信情況，包括節(jié)點(diǎn)通信相對(duì)密度，節(jié)點(diǎn)流量大小、輸入輸出情況等，當(dāng)視圖出現(xiàn)變化時(shí)，使用階段式動(dòng)畫高亮新增的和消失的連接。其中，對(duì)于拓?fù)浣Y(jié)構(gòu)的布局，本系統(tǒng)以Fruchterman-Reingold算法為基礎(chǔ)，針對(duì)網(wǎng)絡(luò)數(shù)據(jù)的特點(diǎn)做了全局優(yōu)化，使整體布局更加分散、易讀。

為將拓?fù)浣Y(jié)構(gòu)以及通信變化聯(lián)系起來，圖1(b)采用協(xié)議圓周圖，具體展示了當(dāng)前網(wǎng)絡(luò)的協(xié)議分布情況。內(nèi)圈各個(gè)節(jié)點(diǎn)按照網(wǎng)段分布，并有線段指引到外圈。外圈切向?yàn)閰f(xié)議類別，徑向?yàn)閰f(xié)議時(shí)間分布情況，

通過節(jié)點(diǎn)與內(nèi)圈的連線可以展示該節(jié)點(diǎn)的通信協(xié)議類別、通信時(shí)間分布等信息。

因普通IP矩陣在點(diǎn)過多時(shí)無法清晰有效地顯示端口數(shù)據(jù)而傳達(dá)的信息量不夠，圖1(c)設(shè)計(jì)采用了源?目的IP散點(diǎn)圖和一個(gè)源?目的端口散點(diǎn)圖，展示了當(dāng)前網(wǎng)絡(luò)所有連接的IP、端口情況，并且使用顏色的深淺表示流量大小，顏色深的點(diǎn)流量較大。

3個(gè)視圖均使用一個(gè)時(shí)間軸對(duì)數(shù)據(jù)進(jìn)行篩選，時(shí)間軸滑塊可以調(diào)整區(qū)間大小從而控制展示信息量，時(shí)間軸具有播放和暫停功能，方便瀏覽網(wǎng)絡(luò)動(dòng)態(tài)變化。

同時(shí)，各個(gè)視圖均有交互功能且互相之間都有聯(lián)動(dòng)，通過一步步篩選可以最終鎖定問題關(guān)鍵所在的各種信息。

3.2 基于階段式動(dòng)畫的力導(dǎo)向動(dòng)態(tài)網(wǎng)絡(luò)

3.2.1 動(dòng)態(tài)網(wǎng)絡(luò)布局算法

1) 需求

對(duì)于一個(gè)網(wǎng)絡(luò)的監(jiān)控，即包括主機(jī)、端口、流量和協(xié)議的監(jiān)控，將對(duì)端口和協(xié)議的監(jiān)控置于輔視圖中展示，因此，動(dòng)態(tài)網(wǎng)絡(luò)這個(gè)視圖中需要展示的是主機(jī)和通信流量的情況，2.1.1節(jié)中已經(jīng)提到了幾種基于主機(jī)監(jiān)控的可視化系統(tǒng)，然而不僅要體現(xiàn)主機(jī)的流量，還要展示出主機(jī)之間的通信流量大小，并且不能將主機(jī)簡單地分成諸如內(nèi)外網(wǎng)等幾類。因此，筆者決定采用節(jié)點(diǎn)連接圖進(jìn)行展示，考慮到網(wǎng)絡(luò)可能分為幾個(gè)集群，最終采用了主機(jī)位置動(dòng)態(tài)布局的方法，使用了力導(dǎo)向模型。考慮到大型網(wǎng)絡(luò)中難以對(duì)主機(jī)進(jìn)行簡單的拓?fù)鋲嚎s，筆者并未對(duì)網(wǎng)絡(luò)進(jìn)行簡化，而是直接展示實(shí)際情況，這樣可以避免信息的遺漏。

2) 力導(dǎo)向模型

力導(dǎo)向模型的基本思想是，將圖形用一個(gè)物理系統(tǒng)模擬，每個(gè)節(jié)點(diǎn)都受到其他節(jié)點(diǎn)的拉力和斥力，在這種相互作用力之下整個(gè)系統(tǒng)達(dá)到平衡，節(jié)點(diǎn)不再震蕩保持靜止時(shí)，就獲得了合理的布局。

具體拉力和斥力的選擇，Eades在前人的基礎(chǔ)上提出了第一個(gè)力導(dǎo)向模型，他將網(wǎng)絡(luò)中的節(jié)點(diǎn)視作剛性的環(huán)，鏈接視作圓環(huán)間的彈簧，整個(gè)網(wǎng)絡(luò)就是一個(gè)彈簧系統(tǒng)。但是在實(shí)現(xiàn)上Eades并沒有遵照胡克定律，而是采用了自己的彈簧力公式。他的另一個(gè)不同于物理現(xiàn)實(shí)的地方在于力的作用方式：所有節(jié)點(diǎn)兩兩之間都有斥力，而拉力只存在于相鄰節(jié)點(diǎn)之間。這樣做降低了算法的復(fù)雜度，使計(jì)算拉力的復(fù)雜度降到了(||)，雖然計(jì)算斥力的復(fù)雜度依舊是(||2)。

Eades沒有采用胡克定律是因?yàn)樗鼘⒐?jié)點(diǎn)之間的距離設(shè)置太大，Kamada和Kawai[37]則是改進(jìn)了胡克定律，提出了KK模型。他們同樣將圖形視作彈簧系統(tǒng)，但是加入了一個(gè)理想距離的概念，2個(gè)節(jié)點(diǎn)的理想距離與它們之間的最短路徑長度相關(guān)。Kamada和Kawai將圖形的繪制視作一個(gè)降低整個(gè)彈簧系統(tǒng)總能量的過程，通過最小化系統(tǒng)能量，節(jié)點(diǎn)之間的距離會(huì)最接近與它的理想值。他們將系統(tǒng)能量定義為

其中，p為節(jié)點(diǎn)v對(duì)應(yīng)剛性圓環(huán)的位置，k為p和p之間的彈力系數(shù)，l為節(jié)點(diǎn)v和v之間的理想距離。

系統(tǒng)通過解偏微分方程獲取節(jié)點(diǎn)的新位置，并且僅通過移動(dòng)使系統(tǒng)能量減少的節(jié)點(diǎn)來減少整體能量。這一過程重復(fù)進(jìn)行直到系統(tǒng)能量達(dá)到預(yù)設(shè)閾值。KK模型跟Eades模型很大的一個(gè)不同在于一次只移動(dòng)一個(gè)節(jié)點(diǎn)，這使每次只要計(jì)算一個(gè)節(jié)點(diǎn)對(duì)系統(tǒng)能量的貢獻(xiàn)，將算法的復(fù)雜度降到了(||)。

3) Fruchterman-Reingold算法

Fruchterman和Reingold對(duì)Eades的模型進(jìn)行了改進(jìn)。他們受到自然中電子斥力的啟發(fā)，將模型中節(jié)點(diǎn)之間的斥力用電子斥力進(jìn)行模擬，定義2個(gè)節(jié)點(diǎn)之間的電子斥力為

其中，為電子力常數(shù)，可以看出2個(gè)節(jié)點(diǎn)的距離越小則相互之間斥力越大，這樣就解決了節(jié)點(diǎn)重疊的問題。當(dāng)然運(yùn)動(dòng)并未被完全模擬，力轉(zhuǎn)化的是速度而不是加速度，這是因?yàn)檗D(zhuǎn)化加速度達(dá)到的是一個(gè)動(dòng)態(tài)的平衡，而實(shí)際追求的是一個(gè)畫面上靜態(tài)的平衡。

每一個(gè)循環(huán)內(nèi)都有3步，計(jì)算每個(gè)節(jié)點(diǎn)受到的引力，計(jì)算每個(gè)節(jié)點(diǎn)受到的斥力，然后通過“溫度”限制總的移動(dòng)距離。這個(gè)“溫度”是受到Davidson和Harel[38]的啟發(fā)引入冷卻函數(shù)模擬退火過程的控制變量。每一次迭代都將減小節(jié)點(diǎn)的最大移動(dòng)距離，這樣可以使系統(tǒng)能量快速減小，從而減少布局時(shí)間。

將設(shè)置為節(jié)點(diǎn)之間的理想距離，即

其中，number of vertices為節(jié)點(diǎn)數(shù)量，area為面積，需要通過經(jīng)驗(yàn)來驗(yàn)證，式(1)基本的思想為希望所有的點(diǎn)在整個(gè)區(qū)域內(nèi)廣泛分布，那么就是理想節(jié)點(diǎn)周圍的空曠區(qū)域的半徑。如果用f表示引力，f表示斥力，表示2個(gè)節(jié)點(diǎn)之間的距離，那么

2個(gè)力隨距離的變化如圖2所示[39]，可以看到當(dāng)距離為理想距離時(shí)，二者正好互相抵消，引力和斥力函數(shù)是經(jīng)過一些實(shí)驗(yàn)得來的，有一些其他的選擇，但是很容易囿于局部最小值。

另外，冷卻函數(shù)cool() =，其中，為冷卻系數(shù)，經(jīng)驗(yàn)上設(shè)置為0.95可以達(dá)到比較好的效果。

圖2 引力斥力和2個(gè)節(jié)點(diǎn)距離函數(shù)

4) 針對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)特性的改進(jìn)

在使用FR算法布局大型網(wǎng)絡(luò)時(shí)發(fā)現(xiàn)了一些其他的問題，因?yàn)閿?shù)據(jù)上顯示出網(wǎng)絡(luò)通信的一些特點(diǎn)：幾個(gè)流量特別大的節(jié)點(diǎn)周圍存在很多小節(jié)點(diǎn)，而流量特別大的節(jié)點(diǎn)之間通信也很頻繁，還有一些節(jié)點(diǎn)是脫離這些大節(jié)點(diǎn)而獨(dú)自存在的小點(diǎn)對(duì)。這就導(dǎo)致這些小點(diǎn)對(duì)被遠(yuǎn)遠(yuǎn)地排斥在外只留下中心節(jié)點(diǎn)，在展示區(qū)域有限的情況下將導(dǎo)致節(jié)點(diǎn)分布不均。為了解決這個(gè)問題，筆者給節(jié)點(diǎn)附加一個(gè)拉力權(quán)重W和一個(gè)斥力權(quán)重W。

其中，k和k分別為常系數(shù)，D為節(jié)點(diǎn)p的總連接數(shù)，max為所有節(jié)點(diǎn)的最大連接數(shù)。通過減少大流量節(jié)點(diǎn)之間的引力，加大它們之間的斥力，使大節(jié)點(diǎn)之間較普通節(jié)點(diǎn)更為分散。同時(shí)，減小孤立點(diǎn)對(duì)共同受到的中心節(jié)點(diǎn)的斥力，縮小中空區(qū)域，使整體布局更加分散、易讀。圖3（見彩插頁10）是改進(jìn)前后的布局變化。

圖3 FR算法對(duì)布局的改進(jìn)

3.2.2 階段式動(dòng)畫

1) 需求

網(wǎng)絡(luò)安全數(shù)據(jù)是一個(gè)具有時(shí)序性的數(shù)據(jù)，2.3節(jié)中比較了網(wǎng)格圖和動(dòng)畫在展示探索隨時(shí)間變化圖像的差異時(shí)的表現(xiàn)，雖然網(wǎng)格圖有準(zhǔn)確、容易繪制等優(yōu)點(diǎn)，但考慮到本系統(tǒng)是運(yùn)行在一個(gè)大小受限的頁面之上而復(fù)雜網(wǎng)絡(luò)的靜態(tài)圖像本來就已經(jīng)很大，若采用網(wǎng)格圖來展示變化，將會(huì)丟失很多數(shù)據(jù)上的細(xì)節(jié)，并且交互起來會(huì)非常不方便。因此本文決定用動(dòng)畫展示。使用動(dòng)畫展示圖形的差異也有很多設(shè)計(jì)方案可以選擇，涉及節(jié)點(diǎn)和邊的變化順序和變化方式等。最簡單的就是平行變換，將前后2張圖的所有差異進(jìn)行一次性的轉(zhuǎn)化，這種變換方式的優(yōu)點(diǎn)在于非常節(jié)省播放動(dòng)畫所需要的時(shí)間，從而達(dá)到快速瀏覽的目的。然而這在本系統(tǒng)中是不適用的，首先，復(fù)雜網(wǎng)絡(luò)由于本身含有的元素眾多，其產(chǎn)生的各種變化也非常多，過快地展示所有的變化給用戶帶來認(rèn)知負(fù)擔(dān)，反而降低了可視化的效果。其次，對(duì)網(wǎng)絡(luò)的監(jiān)控不僅僅包括對(duì)當(dāng)前網(wǎng)絡(luò)主機(jī)通信情況的掌握，還包括網(wǎng)絡(luò)之中產(chǎn)生的諸多變化，如突然增多的流量、突然失效的設(shè)備等。因此，對(duì)網(wǎng)絡(luò)變化的展示與對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)的展示同樣重要，比較之下，階段式動(dòng)畫是一個(gè)很好的選擇，通過合理地分配圖像轉(zhuǎn)化階段，不僅可以使網(wǎng)絡(luò)狀態(tài)的變化躍然眼前，還可以維持用戶的心理圖，降低用戶的認(rèn)知負(fù)擔(dān)。

2) 實(shí)現(xiàn)與改進(jìn)

將動(dòng)畫分為3個(gè)階段：

① 失效節(jié)點(diǎn)和邊的漸出與高亮；

②已有節(jié)點(diǎn)和邊的換位；

③新增節(jié)點(diǎn)和邊的漸進(jìn)與高亮。

筆者認(rèn)為這樣分配動(dòng)畫較為合理，尤其對(duì)于動(dòng)態(tài)網(wǎng)絡(luò)來說非常適用。新增節(jié)點(diǎn)和邊可以展示出突然增高的流量，或者新出現(xiàn)的掃描行為；已有節(jié)點(diǎn)和邊的換位展示的是已有鏈接的流量變化；失效節(jié)點(diǎn)和邊可以展示出突然失效的設(shè)備。這樣分開的展示可以使用戶不遺漏任何信息。

考慮到系統(tǒng)的實(shí)際情況，筆者最終沒有采用局部優(yōu)化的布局方式，理由為：局部優(yōu)化下的布局不具有整體性，對(duì)于存疑部分的網(wǎng)絡(luò)狀況有反復(fù)查看的需要，而局部優(yōu)化的算法布局會(huì)受到歷史操作記錄的影響。因此，最終選用了全局優(yōu)化的布局，前后視圖節(jié)點(diǎn)的位置并不會(huì)發(fā)生改變，這就不再需要?jiǎng)赢嫷牡诙?，并且也能夠給用戶提供良好的前后連貫性，保持心理圖。

圖4 階段式動(dòng)畫

最終的動(dòng)畫效果如圖4所示（見彩插頁11），分為兩步，失效的節(jié)點(diǎn)和邊采用藍(lán)色短暫持續(xù)的高亮邊緣漸出，短暫的間隔之后新增的節(jié)點(diǎn)和邊采用橙色短暫持續(xù)的高亮邊緣漸進(jìn)。

3.3 協(xié)議圓周圖

3.3.1 簡述

本系統(tǒng)中使用的圓周圖是對(duì)文獻(xiàn)[40]中提到的雷達(dá)圖的實(shí)現(xiàn)與改進(jìn)。筆者借用了其內(nèi)部展現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)，外部展現(xiàn)通信情況的思想，繪制了一個(gè)監(jiān)控網(wǎng)絡(luò)協(xié)議的圓周圖。整個(gè)圖分為2個(gè)部分，內(nèi)部為IP樹，外部為通信協(xié)議圈，如圖5所示（見彩插頁12）。

圖5 協(xié)議圓周圖

3.3.2 IP樹

圈的內(nèi)部是由IP網(wǎng)段組成的樹，每個(gè)葉子節(jié)點(diǎn)都是一個(gè)IP地址，除了根節(jié)點(diǎn)外，其他節(jié)點(diǎn)都代表了某個(gè)網(wǎng)段，數(shù)據(jù)結(jié)構(gòu)如圖6所示。

圖6 IP樹數(shù)據(jù)結(jié)構(gòu)

這樣分配IP地址的優(yōu)點(diǎn)在于，各個(gè)主機(jī)是否處在同一網(wǎng)段一目了然。由于主視圖采用了節(jié)點(diǎn)連接圖，并且連接展示的是節(jié)點(diǎn)之間的通信情況，沒辦法展示它們之間IP地址的關(guān)聯(lián)，所以在這里進(jìn)行補(bǔ)充。將IP組織成這樣的網(wǎng)段樹，擁有相同父節(jié)點(diǎn)的IP都處于同一網(wǎng)段內(nèi)，即使數(shù)據(jù)量擴(kuò)大，也能夠很快識(shí)別出各個(gè)IP之間的位置關(guān)系，為用戶的判斷提供幫助。

3.3.3 協(xié)議展示圖

外圈的協(xié)議展示圈是一個(gè)100×9的環(huán)形網(wǎng)格圖，用于展示當(dāng)前網(wǎng)絡(luò)通信的協(xié)議以及時(shí)間信息。圓環(huán)的切向?yàn)檩S，表示的是協(xié)議的類型，最外層是具體協(xié)議類型示意，徑向?yàn)檩S，表示的是通信的時(shí)間，越是靠內(nèi)的方格表示通信發(fā)生的時(shí)間越接近當(dāng)前選擇時(shí)間范圍的終止時(shí)間，即最靠近內(nèi)圈的方格表示該通信發(fā)生的時(shí)間為所選時(shí)間軸的末尾；越是靠外的方格表示通信發(fā)生的時(shí)間越接近當(dāng)前選擇時(shí)間范圍的起始時(shí)間，即最靠近最外圈的方格表示該通信發(fā)生的時(shí)間為所選時(shí)間軸的起始。通過展示通信的時(shí)間，可以發(fā)現(xiàn)某個(gè)IP的歷史行為而不用通過切換已選擇的時(shí)間區(qū)間長度進(jìn)行觀察，從而幫助分析人員更快找到異常行為。

內(nèi)外圈通過與協(xié)議提示顏色相同的連線將IP樹中的節(jié)點(diǎn)與外圈方格相連，這樣，顏色的一致性也方便觀察某些節(jié)點(diǎn)通信協(xié)議的規(guī)律。

需要注意的是，由于展示的空間有限，當(dāng)數(shù)據(jù)規(guī)模過大時(shí)可能無法容納，為了解決這個(gè)問題將展示的數(shù)據(jù)進(jìn)行了預(yù)處理。受到外圈規(guī)模限制，傳入的數(shù)據(jù)較多時(shí)預(yù)處理程序?qū)⒏鶕?jù)通信量、發(fā)生時(shí)間、該協(xié)議的占用情況等自動(dòng)篩選出一部分?jǐn)?shù)據(jù)進(jìn)行展示，因此一些數(shù)據(jù)可能會(huì)被遺漏。若是不想程序進(jìn)行篩選，可以將時(shí)間篩選長度減小，從而減少需要展示的數(shù)據(jù)。

3.3.4 交互

筆者通過給線段和方格賦予不同的顏色來區(qū)分通信的協(xié)議，這么做有一個(gè)缺陷，即數(shù)據(jù)量增多的時(shí)候，畫面中會(huì)出現(xiàn)大量的連線和方格，降低可視效果。同時(shí)，多視圖聯(lián)動(dòng)的意義在于可以對(duì)數(shù)據(jù)進(jìn)行篩選，因此本視圖中的交互也是必不可少的。

首先，為了讓使用者能夠在信息繁多的情況下定位到自己需要的IP、通信情況等數(shù)據(jù)，本文在對(duì)線段、節(jié)點(diǎn)、方塊的交互上添加了以下功能。

1) 當(dāng)用戶的鼠標(biāo)移經(jīng)某個(gè)IP地址的節(jié)點(diǎn)時(shí)，將該節(jié)點(diǎn)以及與該節(jié)點(diǎn)相連的通信信息高亮，并同時(shí)淡化其他所有數(shù)據(jù)。

2) 當(dāng)用戶的鼠標(biāo)移經(jīng)某個(gè)連線或方格時(shí)，僅高亮該條通信的信息而淡化其他所有數(shù)據(jù)。

3) 考慮到用戶可能希望保留若干條自己已經(jīng)看過的數(shù)據(jù)，保持它們的高亮，也增加了對(duì)于鼠標(biāo)單擊事件的響應(yīng)：當(dāng)用戶鼠標(biāo)單擊圖上的數(shù)據(jù)時(shí)，鎖定該數(shù)據(jù)的高亮，鼠標(biāo)移開也不會(huì)被淡化，同樣按住ctrl鍵單擊為多選，shift單擊為取消選擇。當(dāng)用戶選中需要的數(shù)據(jù)后，其他用戶不關(guān)心的“無用”數(shù)據(jù)都將淡化融入背景中，只顯示需要的數(shù)據(jù)。

本視圖主要展示了通信數(shù)據(jù)中的協(xié)議信息，同時(shí)具有對(duì)通信數(shù)據(jù)的協(xié)議篩選功能。通過單擊最外圈的協(xié)議標(biāo)注圓環(huán)，可以通過單擊選中某個(gè)協(xié)議，同樣也是按住ctrl單擊進(jìn)行多選，按住shift單擊取消選擇，如圖7所示（見彩插頁12）。

圖7 協(xié)議篩選

通過篩選出用戶需要的協(xié)議再加上與其他視圖的聯(lián)動(dòng)可以幫助發(fā)現(xiàn)某些特定的網(wǎng)絡(luò)異常，如判斷洪泛的類型等。通過過濾噪聲，也能夠更好地分析數(shù)據(jù)特征。

3.4 IP、端口散點(diǎn)圖

3.4.1 源?目的IP散點(diǎn)圖

用戶往往并不關(guān)心全局的通信情況，他們大多只想知道特定網(wǎng)段的情況，而其他網(wǎng)段的IP地址及其通信情況與他們無關(guān)。因此筆者決定分網(wǎng)段展示散點(diǎn)圖，這樣橫縱坐標(biāo)軸的范圍就能縮減到0~255。IP地址寫作a.b.c.d這4段的話，散點(diǎn)圖的初始界面展示的是a段的通信情況，在(,)位置有藍(lán)點(diǎn)則說明在以為首段的IP地址和以為首段的IP地址之間存在通信。用戶要是想查看特定a網(wǎng)段之間的通信數(shù)據(jù)，在單擊之后可以看到b網(wǎng)段的對(duì)應(yīng)情況，以此類推，最終可以看到任意IP網(wǎng)段或地址之間的通信情況。

僅僅這樣處理只是解決了點(diǎn)過多的問題，但是整張圖的信息量太少了，只是知道此處有通信，流量多少卻毫無概念。為了完善這一視圖，使之達(dá)到更好的效果，將每個(gè)點(diǎn)的流量情況用透明度進(jìn)行反饋，展示的是IP網(wǎng)段之間的通信時(shí)，顏色深淺是統(tǒng)計(jì)好的數(shù)據(jù)。這樣，用戶能夠輕松在散點(diǎn)圖上獲知網(wǎng)段流量，而且流量熱點(diǎn)之處非常醒目，如圖8所示（見彩插頁12）。

圖8 IP散點(diǎn)圖

3.4.2 源?目的端口散點(diǎn)圖

計(jì)算機(jī)網(wǎng)絡(luò)共有65 535個(gè)端口，因此將其一次性展示也不會(huì)過于麻煩，筆者依舊對(duì)端口流量進(jìn)行了統(tǒng)計(jì)，使用顏色的深淺表示流量的大小。不過端口需要注意的一點(diǎn)是，平時(shí)經(jīng)常使用的端口在10000以下，比較有監(jiān)聽意義的大多在1000以下，因此需要更多地關(guān)注較小的端口號(hào)，而那些超過10000的端口被認(rèn)為是系統(tǒng)自動(dòng)分配的一些隨機(jī)端口，可以少一點(diǎn)關(guān)注。

3.5 多視圖聯(lián)動(dòng)

3.5.1 各視圖交互方式

主視圖提供的交互方式包括：用戶自定義篩選節(jié)點(diǎn)，縮放、拖動(dòng)平移畫面。其中，篩選節(jié)點(diǎn)會(huì)對(duì)另外2個(gè)視圖產(chǎn)生影響。

協(xié)議圓周圖提供的交互方式包括用戶自定義篩選某一則通信數(shù)據(jù)和篩選某些協(xié)議的通信數(shù)據(jù)，均會(huì)對(duì)另外2個(gè)視圖產(chǎn)生影響。

IP/端口散點(diǎn)圖提供的交互方式包括用戶自定義篩選IP網(wǎng)段內(nèi)通信和用戶自定義篩選對(duì)應(yīng)端口通信，同樣均會(huì)對(duì)另外2個(gè)視圖產(chǎn)生影響。

3.5.2 多視圖的篩選與聯(lián)動(dòng)

3個(gè)視圖同時(shí)既有信息展示、傳達(dá)的功能，又有篩選、探索的功能，不管對(duì)哪一個(gè)視圖進(jìn)行操作，都將獲得統(tǒng)一一個(gè)整體的展示，這使信息的獲取沒有延遲，不需要額外的操作確認(rèn)信息是否一致，更加便于分析網(wǎng)絡(luò)狀態(tài)，檢測網(wǎng)絡(luò)異常。

3.5.3 時(shí)間軸

對(duì)于一份時(shí)序的數(shù)據(jù)來說，時(shí)間軸是一個(gè)非常重要的部分，2.2節(jié)探討了一些動(dòng)態(tài)網(wǎng)絡(luò)中的時(shí)間編碼問題，時(shí)間序列圖依舊有非常大的局限性，但是可以將它補(bǔ)充完整。本文最終使用了帶有縮略圖預(yù)覽的時(shí)間軸，如圖9所示（見彩插頁12）。

圖9中上部為時(shí)間軸，具有一個(gè)可以調(diào)節(jié)時(shí)間間隔的播放滑塊，當(dāng)前展現(xiàn)的網(wǎng)絡(luò)狀態(tài)即為該滑塊所確定的起止時(shí)間下的網(wǎng)絡(luò)狀態(tài)。下部為由縮略圖組成的時(shí)間序列圖，這些給定時(shí)間段內(nèi)的布局很好地展示了網(wǎng)絡(luò)的變化過程，筆者用橙藍(lán)兩色分別表示消失和新增的節(jié)點(diǎn)與邊，使前后時(shí)間片段的網(wǎng)絡(luò)差異更加明顯。當(dāng)然，時(shí)間序列圖支持交互，它與時(shí)間軸是完全同步的，高亮的那一幀即為距離當(dāng)前所選最近的一幀。也可以通過單擊時(shí)間序列圖進(jìn)行跳轉(zhuǎn)。縮略圖顯示的內(nèi)容也可以選擇，用戶可以只看新增的部分或只看消失的部分。

這樣的設(shè)計(jì)主要有2個(gè)考慮：一是完全使用時(shí)間序列圖并不能滿足探索細(xì)節(jié)的需求，而且在數(shù)據(jù)量大時(shí)要顯示所有時(shí)間序列圖較為困難；二是只有時(shí)間軸也是不夠的，通過播放動(dòng)畫來了解整體的變化有時(shí)并不是用戶需要的，在任務(wù)簡單易行需要快速完成的時(shí)候，一個(gè)縮略圖就可以達(dá)到很好的效果。綜上所述，二者相輔相成，組合在一起提供了非常友好的體驗(yàn)。

4 案例分析

圖9 時(shí)間軸

4.1 數(shù)據(jù)集

本次案例分析使用的數(shù)據(jù)集為上海市城域網(wǎng)運(yùn)行安全實(shí)時(shí)監(jiān)測元數(shù)據(jù)樣本，數(shù)據(jù)截取時(shí)間為2016年5月，數(shù)據(jù)經(jīng)過了范式化處理后記錄的數(shù)據(jù)。

數(shù)據(jù)總共含有3 000條，每一條包含源、目的IP，源、目的端口，協(xié)議和接收時(shí)間等信息。協(xié)議大體上分為IMAP、SMB、ARP、ICMP、TCP、UDP、HTTP這7類，一些只出現(xiàn)了一兩次的協(xié)議并未被展示出來。

4.2 網(wǎng)絡(luò)監(jiān)控

本系統(tǒng)的第一個(gè)應(yīng)用場景即為對(duì)網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)控，通過將各種網(wǎng)絡(luò)監(jiān)控設(shè)備生成的日志文件導(dǎo)入可以將當(dāng)前設(shè)備所捕捉到的網(wǎng)絡(luò)通信進(jìn)行可視化處理，對(duì)當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀況、流量情況、通信協(xié)議情況都能很好地掌握。

筆者用上海市城域網(wǎng)運(yùn)行安全實(shí)時(shí)監(jiān)測元數(shù)據(jù)樣本進(jìn)行模擬分析。數(shù)據(jù)載入時(shí)系統(tǒng)顯示的是最初始一段時(shí)長間隔的網(wǎng)絡(luò)狀態(tài)，可以從歷史記錄框中知道這是2016年5月3日09時(shí)14分44秒到53秒的通信數(shù)據(jù)。在這數(shù)秒之中，從圖10（見彩插頁13）中可以觀察到這個(gè)網(wǎng)絡(luò)的幾個(gè)特征：首先，圖中有十余個(gè)半徑較大的綠色圓點(diǎn)，這些流量較大的原點(diǎn)很可能是某些服務(wù)器或者正在掃描網(wǎng)絡(luò)的可疑主機(jī)；其次，綠色圓點(diǎn)互相之間也有通信，部分甚至在進(jìn)行了特殊處理之后也相隔很近，這些節(jié)點(diǎn)可能是某些郵件服務(wù)器，也可能是一些聊天軟件的緩存服務(wù)器，如果需要進(jìn)一步地判斷，可以單擊之后觀察分析通信協(xié)議。余下的一些兩兩之間的通信散布在畫面的邊緣，這些流量較小的節(jié)點(diǎn)可以不用太在意，通常是一些正常連接。

除了主視圖外，對(duì)于輔視圖的觀察也能補(bǔ)充一些信息，通過協(xié)議圓周圖可以發(fā)現(xiàn)此時(shí)網(wǎng)絡(luò)中的協(xié)議分布情況。這一時(shí)間段中一共出現(xiàn)了6種主要協(xié)議，其中大部分是HTTP。這也符合人們?nèi)粘Ｊ褂玫那闆r，絕大部分網(wǎng)頁訪問都是通過HTTP達(dá)成的。如果需要觀察某協(xié)議的網(wǎng)絡(luò)通信情況，可以在協(xié)議圓周圖中進(jìn)行篩選，這樣就可以在主視圖中進(jìn)行進(jìn)一步的觀察。

在IP、端口散點(diǎn)圖中，也能獲取一些關(guān)于網(wǎng)絡(luò)狀態(tài)的信息。IP散點(diǎn)圖中，源IP的規(guī)律非常明顯，散點(diǎn)構(gòu)成的幾條豎線在首部為10、58、100、120、180、200、220附近聚集，橫向的坐標(biāo)受空間限制不太容易觀察，按照推測也應(yīng)該在這些值附近聚集。由此可知，這份數(shù)據(jù)包含的a網(wǎng)段主要就是這些。端口散點(diǎn)圖中有大量深色點(diǎn)聚集在坐標(biāo)軸附近，將鼠標(biāo)懸停在點(diǎn)上可以獲得具體端口號(hào)。簡單查看之后發(fā)現(xiàn)聚集在坐標(biāo)軸上的點(diǎn)其源端口或目的端口多為80、135、445等值。同時(shí)也能發(fā)現(xiàn)聚集在軸靠右的點(diǎn)較聚集在軸靠上的點(diǎn)顏色深，這意味著以30000以后的端口號(hào)作源端口號(hào)的較以之為目的端口號(hào)的更多，這也符合大于30000的端口號(hào)多是系統(tǒng)自動(dòng)生成的猜想。大量系統(tǒng)自動(dòng)生成的端口號(hào)向某一固定端口發(fā)送報(bào)文，這很像是對(duì)某服務(wù)器的大量訪問產(chǎn)生的模式特征。

圖10 系統(tǒng)初始界面

接下來，可以開始觀察網(wǎng)絡(luò)狀態(tài)隨時(shí)間變化的情況，首先可以通過時(shí)間軸下的縮略圖進(jìn)行概覽，有些非常明顯的變化有時(shí)可以直接從縮略圖中獲得。如圖10中的時(shí)間軸縮略圖表所示，藍(lán)色的點(diǎn)線為與上一縮略圖相比失效的節(jié)點(diǎn)和連接，大量失效的連接伴隨著的失效節(jié)點(diǎn)可以很容易地被發(fā)現(xiàn)，直接單擊縮略圖就可以直接查看當(dāng)時(shí)的網(wǎng)絡(luò)變化情況。圖11（見彩插頁14）為圖10的縮略圖列表中的第三張，其中出現(xiàn)了與同一節(jié)點(diǎn)相連的大量連接，而在下一張縮略圖中隨即消失，單擊之后就能切換到該時(shí)間片段，如果需要返回當(dāng)前訪問，可以通過右上角的歷史記錄框返回之前的時(shí)間片段。

圖11 可疑節(jié)點(diǎn)

如果需要系統(tǒng)地瀏覽網(wǎng)絡(luò)變化，可以按下播放鍵，時(shí)間軸上的滑塊會(huì)自動(dòng)向右移動(dòng)，一步一步展示網(wǎng)絡(luò)狀態(tài)的變化。通過階段式動(dòng)畫，失效的連接和節(jié)點(diǎn)與新增的連接和節(jié)點(diǎn)被分開展示，失效主機(jī)和需要重視的大量新增連接都得到突出顯示。在發(fā)現(xiàn)感興趣的部分時(shí)，單擊暫停鍵，再進(jìn)行進(jìn)一步的分析。

4.3 異常檢測

圖10中有一個(gè)綠色節(jié)點(diǎn)周圍有非常緊密的僅接收信息的主機(jī)，由此可以單擊該點(diǎn)進(jìn)行進(jìn)一步的觀察，如圖12(a)所示（見彩插頁14）。單擊該綠色節(jié)點(diǎn)之后出現(xiàn)了一個(gè)非常有意思的現(xiàn)象，通過圖12(b)所示的協(xié)議圓周圖發(fā)現(xiàn)該主機(jī)發(fā)出的通信全部都是UDP的，這對(duì)一般的主機(jī)并不常見，因?yàn)檎５木W(wǎng)絡(luò)訪問多是使用TCP/HTTP，同時(shí)從IP樹中發(fā)現(xiàn)大多數(shù)通信目的IP都非常靠近，這意味著它們IP地址的a、b、c段都完全相同，即它們很可能處在同一個(gè)子網(wǎng)中。

把目光移向另一個(gè)輔視圖（如圖12(c)所示），IP、端口散點(diǎn)圖，在這里看到相關(guān)IP的分布。散點(diǎn)圖中有2個(gè)點(diǎn)，它們目的IP的a段完全相同，只是源IP的a段有差異，可以看到左邊的點(diǎn)顏色較深，統(tǒng)計(jì)下一階段的流量較大，而右邊的點(diǎn)顏色較淺，流量較小，再注意到圖中不僅有一個(gè)數(shù)據(jù)收發(fā)方，可以猜測右邊的點(diǎn)是由除選中點(diǎn)之外的2個(gè)綠色節(jié)點(diǎn)發(fā)出的。通過進(jìn)一步單擊左邊這個(gè)點(diǎn)，可以一步步探索具體通信發(fā)生的源、目的IP的分布。鎖定這一網(wǎng)絡(luò)異常涉及的網(wǎng)段和IP。再觀察源、目的端口圖，發(fā)現(xiàn)源端口在30000附近密集分布，而目的端口均為445。

圖12 大量UDP 445端口連接

445端口是一個(gè)特殊的端口，Windows開啟這個(gè)端口的本意是在局域網(wǎng)中提供共享本地文件、操作打印機(jī)等正常功能。然而由于空會(huì)話的存在，445成為了一個(gè)經(jīng)典的病毒入侵的端口，大量發(fā)往445端口的通信請求很可能是蠕蟲病毒正在傳播。因此這個(gè)端口值得關(guān)注。

鎖定UDP下的這些異常后再確認(rèn)一下這個(gè)節(jié)點(diǎn)有沒有“同伙”，即同樣在傳播蠕蟲病毒的主機(jī)，這時(shí)候取消當(dāng)前的節(jié)點(diǎn)選擇，改為只選擇UDP。如圖13所示（見彩插頁15），再通過查找端口散點(diǎn)圖中目的端口為445的點(diǎn)就可以確定圖中高亮的節(jié)點(diǎn)是否是異常點(diǎn)。

5 結(jié)束語

在信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展的今天，網(wǎng)絡(luò)安全數(shù)據(jù)的規(guī)模和復(fù)雜度不斷攀升，傳統(tǒng)的可視化系統(tǒng)和方法已不再適用于網(wǎng)絡(luò)安全大數(shù)據(jù)。在此背景下，網(wǎng)絡(luò)安全可視化成為了一個(gè)新興的研究領(lǐng)域，它對(duì)現(xiàn)有方法進(jìn)行改造和重組，使之能適應(yīng)網(wǎng)絡(luò)安全領(lǐng)域，并針對(duì)網(wǎng)絡(luò)安全分析的特點(diǎn)設(shè)計(jì)交互功能，輔助網(wǎng)絡(luò)安全分析人員的研究分析工作。現(xiàn)有的網(wǎng)絡(luò)安全可視化系統(tǒng)和方法仍具有缺陷，它們無法對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行時(shí)序變化上的展示，在信息展示的完備性和用戶交互性上表現(xiàn)較差。針對(duì)現(xiàn)有方法的不足，本文設(shè)計(jì)了一種多視圖聯(lián)動(dòng)的網(wǎng)絡(luò)安全可視化系統(tǒng)，將力導(dǎo)向模型和階段式動(dòng)畫相結(jié)合，如圖14所示（見彩插頁16），展示網(wǎng)絡(luò)靜態(tài)狀態(tài)和動(dòng)態(tài)變化，提供協(xié)議、IP段、端口的展示與篩選的功能，為使用者展示全面豐富的網(wǎng)絡(luò)數(shù)據(jù)，實(shí)現(xiàn)用戶友好的交互功能。本文使用上海市城域網(wǎng)數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)，通過案例分析展示系統(tǒng)功能。

圖13 篩選UDP

圖14 網(wǎng)絡(luò)動(dòng)態(tài)變化的異常檢測

本文工作雖然已經(jīng)可以很好地滿足網(wǎng)絡(luò)分析的需求，但是還有很多方向可以進(jìn)行優(yōu)化。在未來的研究工作中，將從以下幾個(gè)方面著手。

1) 優(yōu)化布局算法，降低算法復(fù)雜度，以滿足實(shí)時(shí)生成的流式數(shù)據(jù)規(guī)模。

2) 實(shí)現(xiàn)復(fù)現(xiàn)功能。全局統(tǒng)一的力導(dǎo)向布局可能不適用于某些場景，需要引入新的帶有復(fù)現(xiàn)能力的局部優(yōu)化算法。為了完善優(yōu)化系統(tǒng)在更大數(shù)據(jù)量的數(shù)據(jù)集下的表現(xiàn)，可以綜合運(yùn)用一些簡化圖像的辦法，如實(shí)現(xiàn)通過交互可以束攏展開的圖壓縮節(jié)點(diǎn)連接圖。

3) 用戶體驗(yàn)優(yōu)化。將時(shí)間序列圖隱藏在時(shí)間軸之中，當(dāng)鼠標(biāo)移到時(shí)間軸上的呈現(xiàn)“放大鏡”效果。

[1] CONTI G. Security data visualization[M]. No Starch Press, 2007.

[2] MARTY R. Applied security visualization[M]. Addison-Wesley Professional, 2009.

[3] KOIKE H, OHNO K, KOIZUMI K. Visualizing cyber attacks using IP Matrix[C]// IEEE,Visualization for Computer Security. 2005: 91-98.

[4] MCPHERSON J, MA K L, KRYSTOSK P, et al. PortVis: a tool for port-based detection of security events[C]//ACM Workshop on Visualization and Data Mining for Computer Security. 2004:73-81.

[5] ZHAO Y. MVSec: a novel multi-view visualization system for network security[D] Changsha: Central South University, 2013.

[6] ABDULLAH K, LEE C P, CONTI G, et al. Visualizing network data for intrusion detection[C]//The Sixth IEEE SMC Information Assurance Workshop. 2005:100-108.

[7] POHL M, REITZ F, BIRKE P. As time goes by: integrated visualization and analysis of dynamic networks[C]//ACM Working Conference on Advanced Visual Interfaces. 2008:372-375.

[8] FEDERICO P, AIGNER W, MIKSCH S, et al. A visual analytics approach to dynamic social networks[C]//The International Conference on Knowledge Management and Knowledge Technologies. 2011:1-8.

[9] FARRUGIA M, HURLEY N, QUIGLEY A. Exploring temporal ego networks using small multiples and treering layouts[C]//The Fourth International Conference on Advances in Computer-Human Interactions. 2011:79-88.

[10] ANDREWS K, WOHLFAHRT M, WURZINGER G. Visual graph comparison[C]//IEEE International Conference on Information Visualisation. 2009:62-67.

[11] ALPER B, BACH B, RICHE N H, et al. Weighted graph comparison techniques for brain connectivity analysis[C]//Sigchi Conference on Human Factors in Computing Systems. 2013:483-492.

[12] DRAGICEVIC P. Interactive graph matching and visual comparison of graphs and clustered graphs[C]//The International Working Conference on Advanced Visual Interfaces. 2012:522-529.

[13] COLLBERG C, KOBOUROV S, NAGRA J, et al. A system for graph-based visualization of the evolution of software[C]//ACM Symposium on Software Visualization. ACM, 2003:77-ff.

[14] LERMAN K, GHOSH R, KANG J H. Centrality metric for dynamic networks[C]//KDD Workshop on Mining and Learning with Graphs. 2010:70-77.

[15] FEDERICO P, PFEFFER J, AIGNER W, et al. Visual analysis of dynamic networks using change centrality[C]//The International Conference on Advances in Social Networks Analysis and Mining. 2012:179-183.

[16] DWYER T, EADES P. Visualising a fund manager flow graph with columns and worms[C]//The International Conference on Information Visualisation. 2002:147-152.

[17] BRANDES U, CORMAN S R. Visual unrolling of network evolution and the analysis of dynamic discourse[C]// IEEE Symposium on Information Visualization. 2002:145-151.

[18] TVERSKY B, MORRISON J B, BETRANCOURT M. Animation: can it facilitate?[J]. International Journal of Human-Computer Studies, 2002, 57(4):247-262.

[19] SHANMUGASUNDARAM M, IRANI P. The effect of animated transitions in zooming interfaces[C]// ACM Working Conference on Advanced Visual Interfaces. 2008:396-399.

[20] CHEVALIER F, DRAGICEVIC P, BEZERIANOS A, et al. Using text animated transitions to support navigation in document histories[C]//The International Conference on Human Factors in Computing Systems. 2010:683-692.

[21] HEER J, ROBERTSON G G. Animated transitions in statistical data graphics[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(6):1240-1247.

[22] BEZERIANOS A, CHEVALIER F, DRAGICEVIC P, et al. GraphDice: a system for exploring multivariate social networks[J]. Computer Graphics Forum, 2010, 29(3):863–872.

[23] HEER, JEFFREY, STUART K, et al. Prefuse: a toolkit for interactive in-formation visualization[J]. Proc Chi, 2015, 37(4):421-430.

[24] YEE, PING K, Animated exploration of dynamic graphs with radial layout[C]//IEEE Symposium on Information Visualization. 2002: 43-50.

[25] GUILMAINE D, VIAU C, MCGUFFIN M J. Hierarchically animated transitions in visualizations of tree structures[C]//The 2012 International Conference on Advanced Visual Interfaces. 2012: 514-521.

[26] CARD S K, SUH B, PENDLETON B A, et al. Time tree: exploring time changing hierarchies[C]//2006 IEEE Symposium On Visual Analytics Science And Technology. 2006:3-10.

[27] HEER J, CARD S K. DOITrees revisited:scalable, space-constrained visualization of hierarchical data[C]//Working Conference on Advanced Visual Interfaces(AVI 2004). 2004: 421-424.

[28] EADES P, HUANG M L. Navigating clustered graphs using force-directed methods[M]// Graph Algorithms And Applications 2. 2000:191-215.

[29] FRIEDRICH C, EADES P. The marey graph animation tool demo[J]. Lecture Notes in Computer Science, 2001, 1984(1984): 396-406.

[30] FRIEDRICH C, HOULE M E. Graph drawing in motion[C]//The International Symposium on Graph Drawing. 2001:220-231.

[31] BRANDES U, WAGNER D. Analysis and visualization of social networks[M]// Drawing Software, Mathematics and Visualization. Berlin: Springer. 2004: 321-340.

[32] BASTIAN M, HEYMANN S, JACOMY M. Gephi: an open source software for exploring and manipulating networks[C]//The Third International Aaai Conference On Weblogs And Social Media. 2009.

[33] AHN J W, TAIEB-MAIMON M, SOPAN A, et al. Temporal visualization of social network dynamics: prototypes for nation of neighbors[C]//The International Conference on Social Computing, Behavioral-Cultural Modeling and Prediction. 2008:309-316.

[34] PURCHASE H C, SAMRA A. Extremes are better: investigating mental map preservation in dynamic graphs[C]//The International Conference on Theory and Application of Diagrams. 2008:60-73.

[35] ARCHAMBAULT D, MUNZNER T, AUBER D. TopoLayout: multilevel graph layout by topological features[J]. IEEE Transactions on Visualization & Computer Graphics, 2007, 13(2):305.

[36] ARCHAMBAULT D, PURCHASE H, PINAUD B. Animation, small multiples, and the effect of mental map preservation in dynamic graphs[J]. IEEE Transactions on Visualization & Computer Graphics, 2011, 17(4):539-552.

[37] KAMADA T, KAWAI S. An algorithm for drawing general undirected graphs[J]. Information Processing Letters, 1989, 31(1):7-15.

[38] DAVIDSON R, HAREL D. Drawing graphs nicely using simulated an-nealing[J]. ACM Trans Graphics, 1996, 15(4):301-331.

[39] FRUCHTERMAN T M J, REINGOLD E M. Graph drawing by force-directed placement[J]. Software Practice & Experience, 1991, 21(11):1129-1164.

[40] FORESTI S, AGUTTER J, LIVNAT Y, et al. Visual correlation of network alerts[J]. IEEE Computer Graphics & Applications, 2006, 26(2):48-59.

System detecting network anomaly with visualization techniques

ZHANG Haocheng, WU Xiaojie, TANG Xiang, SHU Runxuan, DING Tianchen, DONG Xiaoju

School of Electronic Information and Electrical Engineering, Shanghai Jiaotong University, Shanghai 200240, China

With the fast development of information technology and computer network, the scale and complexity of network security data grows rapidly. Traditional visualization techniques are no longer suitable. In addition, it designs interactive functions based on the feature of network security analysis, in order to assist the network security analyst. The existing approaches for network security visualization have some defects, which fail to provide a good indication of network security data in terms of timing and also fail to display information completely and realize user-friendly interaction. A multi-view network security visualization system was proposed, which provided the analysts of both the static status and dynamic changes of the network by combining the force-oriented model and the staged animation. It provides comprehensive information with display and filter of protocols, IP segment and port. The system on Shanghai Network database were evaluated.

information visualization, network security visualization, visualization system, interaction

TP393.08

A

10.11959/j.issn.2096-109x.2018015

張浩城（1993-），男，上海人，上海交通大學(xué)碩士生，主要研究方向?yàn)榭梢暬c可視分析。

吳曉潔（1995-），女，江西信豐人，上海交通大學(xué)本科生，主要研究方向?yàn)榭梢暬c可視分析。

唐翔（1992-），男，江蘇揚(yáng)州人，上海交通大學(xué)碩士生，主要研究方向?yàn)榭梢暬c可視分析。

舒潤萱（1997-），男，吉林吉林人，上海交通大學(xué)本科生，主要研究方向?yàn)榭梢暬c可視分析。

丁天琛（1996-），男，上海人，上海交通大學(xué)本科生，主要研究方向?yàn)榭梢暬c可視分析。

董笑菊（1975-），女，吉林公主嶺人，博士，上海交通大學(xué)副教授，主要研究方向?yàn)榭梢暬c可視分析、形式化方法。

2017-12-26；

2018-01-30

董笑菊，xjdong@sjtu.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.61472238, No.61772336, No.61572318）

The National Nature Science Foundation of China (No.61472238, No.61772336, No.61572318)