張玉龍

（日照市婦幼保健院 山東省日照市 276800）

現(xiàn)階段，計(jì)算機(jī)計(jì)算的應(yīng)用及發(fā)展規(guī)模越來越大，尤其是大數(shù)據(jù)信息時(shí)代的到來，使得網(wǎng)絡(luò)更加得到普及，網(wǎng)絡(luò)技術(shù)也有更高的提升，但同時(shí)也會(huì)出現(xiàn)一定的網(wǎng)絡(luò)安全問題。在大數(shù)據(jù)時(shí)代下，數(shù)據(jù)量增加，導(dǎo)致數(shù)據(jù)安全隱患也隨之增加，例如，分布式拒絕服務(wù)功能通常會(huì)從若干個(gè)設(shè)備上對(duì)單一的目標(biāo)主機(jī)進(jìn)行攻擊，并且攻擊形式往往呈現(xiàn)一定的多樣化，出現(xiàn)了一系列新式攻擊方法，使人們防不勝防，攻擊過程中出現(xiàn)的變化也越來越快，對(duì)于有預(yù)謀、有組織的一次網(wǎng)絡(luò)攻擊，會(huì)涵蓋若干步驟及多種應(yīng)變方案[1]。為了確保網(wǎng)絡(luò)安全能夠滿足需求，相關(guān)技術(shù)人員已經(jīng)針對(duì)網(wǎng)絡(luò)安全問題開發(fā)了各種各樣的設(shè)備和軟件，例如，防火墻系統(tǒng)、流量監(jiān)控系統(tǒng)、計(jì)算機(jī)狀態(tài)監(jiān)控系統(tǒng)以及入侵防御系統(tǒng)等，這些設(shè)備和軟件在運(yùn)行中均能夠形成較多日志，由于來源于各類傳感器，因此，各指標(biāo)以及格式均存在差異，各應(yīng)用領(lǐng)域出現(xiàn)的安全事件都是獨(dú)立予以記錄。這些安全事件往往存在一定的聯(lián)系，若將這種聯(lián)系割離，人們只能面對(duì)零散、片面的安全問題，在大數(shù)據(jù)時(shí)代下，怎樣實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效監(jiān)管，并從海量日志之中快速的將問題及時(shí)發(fā)現(xiàn)，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行感知，這些方面均是當(dāng)前對(duì)網(wǎng)絡(luò)安全方面展開研究的重點(diǎn)話題。

1 多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合概述

網(wǎng)絡(luò)安全數(shù)據(jù)可視化技術(shù)屬于當(dāng)前各學(xué)科之間相互融合的一個(gè)新興研究領(lǐng)域，主要是通過人類視覺對(duì)結(jié)構(gòu)模型進(jìn)行獲取的一種技術(shù)方法和能力，可將海量多維數(shù)據(jù)以及抽象化的網(wǎng)絡(luò)通過圖像的形式予以展現(xiàn)，從而將網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)之中所隱含的模式、變化趨勢(shì)以及規(guī)律全面、快速的發(fā)現(xiàn)，從而有助于網(wǎng)絡(luò)安全分析人員對(duì)自身認(rèn)知提升，并能夠?qū)⒕W(wǎng)絡(luò)安全相關(guān)問題予以有效的預(yù)測(cè)、掌控和解決。對(duì)于這種可視化技術(shù)的發(fā)展主要是從2004年網(wǎng)絡(luò)安全可視化會(huì)議開始的，自該會(huì)議提議后，可視化工具研發(fā)和出現(xiàn)的頻率越來越高，常用的工具包括Flow-Inspector、TVi，這兩種工具主要是對(duì)網(wǎng)絡(luò)流進(jìn)行研究的，而Portall則主要是對(duì)主機(jī)狀態(tài)進(jìn)行監(jiān)控，IDS View以及Avisa則重視對(duì)入侵檢測(cè)數(shù)據(jù)進(jìn)行研究，但這些可視化工具在對(duì)整體網(wǎng)絡(luò)安全的狀態(tài)以及相應(yīng)數(shù)據(jù)的全面性掌控存在一定的局限，導(dǎo)致此領(lǐng)域可視化技術(shù)仍有待于發(fā)展，并且網(wǎng)絡(luò)信息瞬息萬變，需要通過有效的網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估實(shí)現(xiàn)此項(xiàng)工作的實(shí)時(shí)性[2]。

數(shù)據(jù)融合是1973年由美國(guó)國(guó)防部提出的，當(dāng)時(shí)主要應(yīng)用于聲納信號(hào)的處理，該技術(shù)應(yīng)用的目標(biāo)是通過若干傳感器獲取完整的環(huán)境信息，但關(guān)鍵的問題是要對(duì)融合算法進(jìn)行恰當(dāng)選擇，常用的融合算法主要?jiǎng)澐譃槿斯ぶ悄芩惴ㄒ约半S機(jī)算法，其中，隨機(jī)算法主要包括卡爾曼濾波法、證據(jù)推理法則、加權(quán)平均法、產(chǎn)生式規(guī)則以及多貝葉斯估算法等[3]；人工智能算法則包括神經(jīng)網(wǎng)絡(luò)、模糊邏輯、專家系統(tǒng)以及粗集理論等方法，伴隨信息技術(shù)的持續(xù)推廣發(fā)展，網(wǎng)絡(luò)安全相關(guān)設(shè)備和系統(tǒng)軟件也在持續(xù)發(fā)展更新，怎樣通過多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全開展可視化協(xié)同分析，是當(dāng)前研究的一個(gè)重要趨勢(shì)方向。

隨著IDS Radar等多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化技術(shù)的持續(xù)發(fā)展，人們能夠使用這些技術(shù)從大量誤報(bào)信息中鑒別出異常模式，也可以通過安全數(shù)據(jù)開展適當(dāng)?shù)奶卣鞣治龉ぷ骷瓣P(guān)聯(lián)發(fā)現(xiàn)，還可以對(duì)數(shù)據(jù)進(jìn)行整合，從而對(duì)網(wǎng)絡(luò)安全的態(tài)勢(shì)進(jìn)行有效感知[4]。但多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合技術(shù)仍處于發(fā)展中，在數(shù)據(jù)源選擇、可視化設(shè)計(jì)以及融合數(shù)據(jù)特征等方面仍處于探索之中。

2 基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的可視化框架

為了對(duì)基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的可視化融合分析方法進(jìn)行研究，首先要掌握可視化框架，本文從多元異構(gòu)數(shù)據(jù)集選擇、微觀細(xì)節(jié)層面以及宏觀趨勢(shì)才能進(jìn)行展示，從而通過掌握可視化框架對(duì)融合分析方法進(jìn)行有效、全面的研究。

2.1 多元異構(gòu)數(shù)據(jù)集的有效選擇

若要對(duì)網(wǎng)絡(luò)安全進(jìn)行可靠分析，必須要掌握安全數(shù)據(jù)源，對(duì)數(shù)據(jù)源進(jìn)行合理有效的選擇能夠提升判斷的全面性與準(zhǔn)確性，使判斷難度降低。但因當(dāng)前網(wǎng)絡(luò)系統(tǒng)具有一定的復(fù)雜性，且網(wǎng)絡(luò)安全相關(guān)產(chǎn)品的種類也非常豐富，導(dǎo)致系統(tǒng)運(yùn)行時(shí)會(huì)出現(xiàn)較多的多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)，這些數(shù)據(jù)之中有些是有效的、有利用價(jià)值的，也有些數(shù)據(jù)是無效的、無實(shí)際價(jià)值的，所以在數(shù)據(jù)集選擇時(shí)要保證數(shù)據(jù)的廣泛性、豐富性、代表性、實(shí)時(shí)性以及可靠性，降低數(shù)據(jù)冗余性[5]。本研究選用的數(shù)據(jù)源于VAST Challenge提供的某大型內(nèi)網(wǎng)1000多臺(tái)主機(jī)及服務(wù)器之中出現(xiàn)的日志，可將多元異構(gòu)數(shù)據(jù)集劃分為網(wǎng)絡(luò)流、主機(jī)狀態(tài)以及IPS三類，此三類數(shù)據(jù)集的傳感器分布在交換機(jī)、主機(jī)以及出口設(shè)備上，對(duì)網(wǎng)絡(luò)之中的數(shù)據(jù)變化進(jìn)行監(jiān)控，其中，網(wǎng)絡(luò)流記錄了子網(wǎng)流量出現(xiàn)的變化細(xì)節(jié)；主機(jī)狀態(tài)則反映子網(wǎng)對(duì)象性能出現(xiàn)的變化細(xì)節(jié)；IPS則發(fā)揮著對(duì)有害連接檢查的作用，將三者有機(jī)結(jié)合，不僅能夠選出有代表性的多元異構(gòu)數(shù)據(jù)集，而且還能夠?qū)Ω鲗哟尉W(wǎng)絡(luò)數(shù)據(jù)機(jī)器安全情況出現(xiàn)的變化進(jìn)行實(shí)施掌控。

2.2 微觀細(xì)節(jié)的有效展現(xiàn)

2.2.1 標(biāo)志符號(hào)與樹圖之間的相互補(bǔ)充

本研究所采用的多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化技術(shù)是將標(biāo)識(shí)符號(hào)與樹圖之間相互結(jié)合的一種技術(shù)，能夠?qū)⒛骋粫r(shí)間窗口之中體現(xiàn)的網(wǎng)絡(luò)安全情況進(jìn)行全面展示，在層次結(jié)構(gòu)數(shù)據(jù)表達(dá)方法之中，樹圖是一種常用方法，主要適用于多層次、海量數(shù)據(jù)集的觀察，而標(biāo)志符號(hào)則能夠陳述性及象征性的對(duì)多元異構(gòu)數(shù)據(jù)集中的若干變量進(jìn)行表達(dá)，具有便于放置、靈活小巧的優(yōu)點(diǎn)[6]，能夠嵌入到樹圖之中，使樹圖結(jié)構(gòu)出現(xiàn)的維度不足問題得意有效改善，將標(biāo)志符號(hào)與樹圖之間有機(jī)結(jié)合能夠使圖像信息表達(dá)的完整程度和豐富程度得到有效拓展。

如果管理目標(biāo)存在多個(gè)IP，則屏顯空間則會(huì)受到更多的限制，為了有效規(guī)避擁擠問題，本研究依照具體的子網(wǎng)規(guī)劃，并將其與樹圖之間結(jié)合開展管理工作，本研究選取的網(wǎng)絡(luò)內(nèi)部主要通過B類來對(duì)地址進(jìn)行保留，大體劃分為三個(gè)子網(wǎng)，即172.10/20/30.0.0/16，各子網(wǎng)形成了一塊區(qū)域，并在各區(qū)域內(nèi)繪制需要管轄的主機(jī)，從而實(shí)現(xiàn)“全網(wǎng)——各子網(wǎng)——對(duì)應(yīng)主機(jī)”的分層式管理。

在樹圖之中，矩形顏色以及尺寸可選擇對(duì)網(wǎng)絡(luò)流流量、流速、IP數(shù)等特征進(jìn)行標(biāo)識(shí)，矩形空間之中可防止IPS信息以及主機(jī)狀態(tài)，矩形框代表主機(jī)，其尺寸代表柳樹，并且矩形框尺寸與流數(shù)之間成正比，而顏色則代表流量，如果顏色越深則流量越大，與此同時(shí)，可以對(duì)某一子網(wǎng)進(jìn)行放縮處理，從而實(shí)現(xiàn)深度鉆取。針對(duì)某一主機(jī)的特征而言，樹圖之中不僅能夠?qū)Ξ?dāng)前子網(wǎng)進(jìn)行對(duì)比，而且還能夠?qū)θW(wǎng)進(jìn)行對(duì)比，在樹圖之中的矩形空間之中，圖標(biāo)代表著硬盤、內(nèi)存、網(wǎng)絡(luò)連接、CPU、數(shù)量信息以及IPS警報(bào)等內(nèi)容[7]。主機(jī)的狀態(tài)圖標(biāo)中，顏色及標(biāo)志顯示的是主機(jī)狀態(tài)，例如，黃色帶有嘆號(hào)標(biāo)志的代表主機(jī)出現(xiàn)警示，綠色帶有加號(hào)標(biāo)志代表主機(jī)正常運(yùn)行，紅色帶有叉號(hào)標(biāo)志代表主機(jī)出現(xiàn)故障問題，藍(lán)色帶有問號(hào)標(biāo)志代表主機(jī)并未收到任何狀態(tài)信息。當(dāng)IPS警報(bào)帶有盾牌標(biāo)志表示出現(xiàn)警告，并且其顏色代表不同的嚴(yán)重度，其中綠色代表沒有危害或是出現(xiàn)輕微危害，黃色代表出現(xiàn)中等程度的危害，紅色代表出現(xiàn)嚴(yán)重危害，該標(biāo)志右側(cè)設(shè)置了五檔指示條，代表警報(bào)數(shù)量。由此可見，將標(biāo)志符號(hào)與樹圖之間進(jìn)行結(jié)合，能夠?qū)鋱D之中包含的各類信息表達(dá)出來，還能夠彌補(bǔ)兩者各自存在的缺陷，實(shí)現(xiàn)互補(bǔ)。

2.2.2 選擇合理的樹圖算法

對(duì)于樹圖的算法的種類比較多，常見的算法包括Squarified、Spiral、Pivot等，各種算法適用場(chǎng)合存在差異，例如，Squarified對(duì)于數(shù)據(jù)量龐大的分析任務(wù)比較適用；Spiral對(duì)于高穩(wěn)定性、高連續(xù)性的分析任務(wù)比較適用；Pivot對(duì)于一些受時(shí)間動(dòng)態(tài)變化所影響的數(shù)據(jù)集分析比較適用，由于樹圖之中包含的數(shù)據(jù)量信息比較龐大，所以本研究所選擇的樹圖算法為Squarified算法，該算法的優(yōu)勢(shì)主要表現(xiàn)在以下幾個(gè)方面：

（1）該算法簡(jiǎn)單化、直接畫，更加利于樹圖的快速生成，尤其是針對(duì)一些海量的攻擊性數(shù)據(jù)而言，該算法能夠確保可視化能夠滿足實(shí)時(shí)性的要求，例如，當(dāng)可視化系統(tǒng)受DDoS攻擊的情況下，便可通過此算法生成樹圖；

（2）該算法的排序方式為降序，通過這種排序方式對(duì)矩形進(jìn)行排列，這對(duì)于整個(gè)網(wǎng)絡(luò)或者是子網(wǎng)之中負(fù)載重、被攻擊等代表性對(duì)象的表現(xiàn)更為有利[8]；

（3）所生成的矩形更加接近于正方形，更加利于一些標(biāo)志符號(hào)置入其中，從而提升圖形的美觀性和可讀性；

（4）在對(duì)圖形特征分析時(shí)，可通過指數(shù)函數(shù)進(jìn)行快速的分析。

2.2.3 分析樹圖的特征

網(wǎng)絡(luò)流是否正常主要受樹圖分布的實(shí)際情況所制，如果樹圖的圖像處于比較分散或者是集中的情況下，網(wǎng)絡(luò)非常容易發(fā)生異常事件，當(dāng)網(wǎng)絡(luò)流正常的情況下，矩形分布中規(guī)中矩，且標(biāo)志符號(hào)顯示正常，當(dāng)樹圖出現(xiàn)拒絕服務(wù)時(shí)，矩形分布規(guī)格較大，且標(biāo)志符號(hào)會(huì)消失，界面不會(huì)出現(xiàn)任何信息，當(dāng)出現(xiàn)端口掃描時(shí)，也表示網(wǎng)絡(luò)異常，此時(shí)的矩形分布比較錯(cuò)亂，且界面不會(huì)出現(xiàn)標(biāo)志符號(hào)，以下通過指數(shù)分布函數(shù)來做描述。所謂指數(shù)分布指的是一種概率分布，該概率分布具有連續(xù)性，主要是用于對(duì)獨(dú)立隨機(jī)事件出現(xiàn)的時(shí)間頻率進(jìn)行描述，例如，網(wǎng)頁(yè)連接的出入度、旅客進(jìn)入到車站的時(shí)間間隔等，均可采用指數(shù)分布來進(jìn)行描述。通過數(shù)據(jù)流的統(tǒng)計(jì)以及分析不難發(fā)現(xiàn)，網(wǎng)絡(luò)流與指數(shù)分布的總體規(guī)律大致相符，具體見圖1。

圖1：實(shí)際流數(shù)與指數(shù)分布概率密度分布圖

為了能夠更加便捷的對(duì)數(shù)據(jù)進(jìn)行分析，本研究采用指數(shù)分布的方式對(duì)柳樹分布進(jìn)行分析，即：

若λ≥0.3，則圖像表示僅存在較少的矩形塊，主要是因少數(shù)主機(jī)受較多的網(wǎng)絡(luò)流攻擊，這與拒絕服務(wù)的特征相符；當(dāng)λ介于0.1～0.3之間（含0.1但不含0.3），則圖像表示矩形大塊周圍環(huán)繞較多的矩形小塊，主要是因?yàn)樵谀繕?biāo)網(wǎng)絡(luò)之中，用戶機(jī)以及服務(wù)器是存在的，當(dāng)服務(wù)器存在較大負(fù)載量的情況下，會(huì)導(dǎo)致數(shù)據(jù)流急劇增加，所以樹圖之中顯示鴿子王左側(cè)空間被占據(jù)較大部分，其他用戶流量則相對(duì)較小，表示其緊貼于大塊邊緣處；當(dāng)λ＜0.1的情況下，圖像會(huì)出現(xiàn)均勻分布，主要是因?yàn)槟繕?biāo)網(wǎng)絡(luò)主機(jī)受到的網(wǎng)絡(luò)流比較均勻，于端口掃描表現(xiàn)出的特征相符。

2.3 宏觀趨勢(shì)的有效展現(xiàn)

2.3.1 時(shí)間序列圖的展現(xiàn)

時(shí)間序列圖在展現(xiàn)時(shí)主要是適用曲線或者是線段來將各數(shù)據(jù)點(diǎn)進(jìn)行連接的，從而能夠?qū)?shù)據(jù)在各維度出現(xiàn)的變化趨勢(shì)直觀的反映出來，所以時(shí)間序列圖在未來趨勢(shì)預(yù)測(cè)、數(shù)據(jù)解釋以及主因檢查等方面發(fā)揮著重要作用。針對(duì)多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)而言，需要對(duì)其進(jìn)行仔細(xì)考慮，必須選出能夠?qū)?shù)據(jù)變化趨勢(shì)反映的八個(gè)維度，本研究選擇了的八個(gè)維度主要包括源地址、源端口、源流每包字節(jié)數(shù)、目標(biāo)地址、目標(biāo)端口、目標(biāo)流每包字節(jié)數(shù)、被拒連接數(shù)以及主機(jī)狀態(tài)值，具體來源和處理方法見表1。

從表1中可以了解到，維度1～維度6均來源于Net flow，維度7來源于IPS，維度8則來源于Host Status，由此可見，表1中的八個(gè)維度均來源于不同的異構(gòu)數(shù)據(jù)源，并不能直接對(duì)其使用，為了使網(wǎng)絡(luò)安全的態(tài)勢(shì)得以有效、準(zhǔn)確的體現(xiàn)，本研究對(duì)來源不同的維度采取不同處理方法進(jìn)行處理，對(duì)維度1～維度6采取信息熵處理方法進(jìn)行處理，將其作為度量指標(biāo)，其主要目的是將數(shù)據(jù)流出現(xiàn)的不定向變化予以降低，維度7的處理最為簡(jiǎn)單，通過統(tǒng)計(jì)值的方法直接對(duì)被拒統(tǒng)計(jì)量進(jìn)行使用，維度8通過綜合加權(quán)法處理，將胳臂關(guān)鍵性指標(biāo)突顯出來。

表1：反映數(shù)據(jù)變化趨勢(shì)的八個(gè)維度及其來源和處理方法

續(xù)表2：時(shí)間序列的主要特征

2.3.2 具體處理方法分析

從表1中的維度1～維度6中，若X屬于其中的離散隨機(jī)變量，則可以將信息熵作出定義，其表達(dá)式如下：

式中，p（xi）代表觀察時(shí)間段類Xi產(chǎn)生的頻率。信息熵主要作用是將人對(duì)事物不確定的一面消除，若數(shù)據(jù)匯集在某一點(diǎn)，則表示數(shù)據(jù)的值相同，此時(shí)信息熵即為0；若數(shù)據(jù)具有分布廣、數(shù)量多，則這種情況下信息熵也會(huì)較大。為了能夠?qū)r(shí)間窗口t之中的網(wǎng)絡(luò)狀態(tài)正常與否進(jìn)行確定，本文將交叉熵引入到研究之中，將其定義為：

式中，P和Q屬于離散分布；pi和qi代表P和Q的分布函數(shù)。單個(gè)信息熵僅可對(duì)某一觀測(cè)點(diǎn)靜態(tài)分布的情況進(jìn)行體現(xiàn)，交叉熵既能夠考慮流量在空間上的分布，又能夠考慮到具備差異性的兩個(gè)觀測(cè)點(diǎn)在流量方面出現(xiàn)的動(dòng)態(tài)變化。當(dāng)交叉熵越小時(shí)，則越需要更多的信息來對(duì)P和Q加以區(qū)分，為了使計(jì)算簡(jiǎn)化，α一般取值為0.5。

為了能夠?qū)?dāng)前時(shí)間段對(duì)應(yīng)的數(shù)據(jù)流正常與否進(jìn)行確定，需要對(duì)當(dāng)前的正常觀測(cè)點(diǎn)和觀測(cè)點(diǎn)及其與上一觀察點(diǎn)之間的變化進(jìn)行對(duì)比，從而確定當(dāng)前狀態(tài)正常與否。對(duì)于一些簡(jiǎn)單、短期的攻擊能夠通過狀態(tài)偏離常態(tài)來發(fā)現(xiàn)其異常，而目前攻擊的特點(diǎn)主要呈多樣化、系統(tǒng)化、長(zhǎng)期化，所以通過這種方法必須通過與上一狀態(tài)進(jìn)行對(duì)比更容易對(duì)連續(xù)性變化進(jìn)行觀察。

2.3.3 分析時(shí)間序列的特征

當(dāng)網(wǎng)絡(luò)出現(xiàn)異常狀態(tài)的情況下，時(shí)間序列之中的個(gè)別維度會(huì)出現(xiàn)急劇變化，將這些變化掌握便可從宏觀角度將問題有效發(fā)現(xiàn)，時(shí)間序列的主要特征見表2。

表2：時(shí)間序列的主要特征

從表2中可以得出，若主機(jī)上出現(xiàn)惡意軟件并對(duì)網(wǎng)絡(luò)中某一端口掃描，則這一時(shí)間窗口的內(nèi)源IP便會(huì)聚集在一臺(tái)掃描主機(jī)上，并且目標(biāo)端口會(huì)產(chǎn)生較多的相同被掃描端口，目標(biāo)IP變寬。其具體表現(xiàn)如下：

（1）源地址信息熵會(huì)出現(xiàn)顯著降低，目標(biāo)端口的信息熵會(huì)非常小，而目標(biāo)地址信息熵會(huì)顯著變大，主機(jī)狀態(tài)受端口掃描的影響不明顯，主機(jī)狀態(tài)值會(huì)相對(duì)比較平穩(wěn)，但被拒連接數(shù)因掃描被阻止而出現(xiàn)增大的現(xiàn)象。

（2）若發(fā)生單元拒絕服務(wù)，則源IP主機(jī)中很多端口會(huì)出現(xiàn)海量攻擊連接包發(fā)往目的IP，這種情況下必然會(huì)導(dǎo)致源端口信息熵變大，并且目標(biāo)地址信息熵以及目標(biāo)端口信息熵出現(xiàn)降低的情況，主機(jī)狀態(tài)值會(huì)因?yàn)橹鳈C(jī)受到攻擊而出現(xiàn)狀態(tài)的急劇惡化，而被拒絕連接數(shù)也會(huì)因主動(dòng)阻止攻擊而出現(xiàn)升高的情況。

（3）若網(wǎng)絡(luò)流處于正常狀態(tài)，則全部信息熵出現(xiàn)的變化將會(huì)比較平緩。

2.4 優(yōu)勢(shì)分析

對(duì)于既往對(duì)單方面來源的網(wǎng)絡(luò)安全日益進(jìn)行分析的做法，本文通過可視化分析的方法將多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的可視化進(jìn)行融合分析，主要是為了提升異常識(shí)別、網(wǎng)絡(luò)狀態(tài)識(shí)別以及模式識(shí)別的準(zhǔn)確性和整體性。本研究從多元異構(gòu)王戮安全數(shù)據(jù)之中提取了八個(gè)維度的主要數(shù)據(jù)來對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行展示和分析，對(duì)于八個(gè)維度采取了不同的算法進(jìn)行特征提取，其中，前六個(gè)維度采用了信息熵法，被拒連接數(shù)采取了統(tǒng)計(jì)值法，主機(jī)狀態(tài)值采取了綜合加權(quán)法，通過八個(gè)維度及對(duì)應(yīng)采取的算法，使得本研究的時(shí)間序列圖得以有效繪制，通過對(duì)圖像特征進(jìn)行簡(jiǎn)單的分析和皮皮額，使相關(guān)分析人員能夠?qū)W(wǎng)絡(luò)出現(xiàn)的問題進(jìn)行直觀的了解，并發(fā)現(xiàn)攻擊采用的模式。同事，與點(diǎn)陣方式對(duì)內(nèi)部主機(jī)進(jìn)行表示對(duì)比而言，本研究采用了標(biāo)志符號(hào)與樹圖結(jié)合來進(jìn)行表示，能夠?qū)Υ笮途W(wǎng)絡(luò)或者是超大型復(fù)雜網(wǎng)絡(luò)進(jìn)行分析，并不會(huì)出現(xiàn)空間不足的情況，也不會(huì)出現(xiàn)圖像擁擠、圖像無法辨識(shí)的不良情況，從而使圖像閉塞性問題出現(xiàn)的概率降低。并且通過標(biāo)志符號(hào)來對(duì)樹圖表現(xiàn)的維度進(jìn)行擴(kuò)充，可實(shí)現(xiàn)系統(tǒng)的融合能力和可視化效果。

3 結(jié)語(yǔ)

綜上所述，多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的可視化融合分析是當(dāng)前研究的熱點(diǎn)話題，本文通過篩選多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)，對(duì)關(guān)鍵性的特征予以提取，通過標(biāo)志符號(hào)、樹圖以及時(shí)間序列相結(jié)合的方式，可以幫助相關(guān)工作人員對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行全面分析，及時(shí)將出現(xiàn)的異常狀態(tài)予以識(shí)別，了解攻擊模式，基于此，這種可視化融合模式可以在實(shí)際網(wǎng)絡(luò)安全分析中投入應(yīng)用并推廣。