網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化綜述

張繁，謝凡，江頡

?

網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化綜述

張繁，謝凡，江頡

（浙江工業(yè)大學(xué)計算機學(xué)院，浙江 杭州 310023）

在網(wǎng)絡(luò)空間威脅手段日益復(fù)雜化的背景下，網(wǎng)絡(luò)安全數(shù)據(jù)分析技術(shù)亟待提高。數(shù)據(jù)可視化技術(shù)已成為各類數(shù)據(jù)分析的理論框架和應(yīng)用中的必備要素，并成為科學(xué)計算、商業(yè)智能、安全等領(lǐng)域中的普惠技術(shù)。網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化通過提供有效的信息可視化交互手段，有效提升網(wǎng)絡(luò)安全專家在分析網(wǎng)絡(luò)空間安全問題過程中的認(rèn)知能力。介紹了網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化技術(shù)的研究現(xiàn)狀和面臨的問題，并對未來的發(fā)展趨勢進(jìn)行了展望。

網(wǎng)絡(luò)空間安全；關(guān)聯(lián)分析；可視分析；人工智能

1 引言

隨著“互聯(lián)網(wǎng)+”時代的到來，網(wǎng)絡(luò)安全威脅的范圍和內(nèi)容不斷擴大和演化，傳統(tǒng)的安全邊界逐步失效。云計算、移動互聯(lián)網(wǎng)的普及不僅帶來APT、DDoS攻擊、叉式網(wǎng)絡(luò)釣魚、水坑式攻擊、物聯(lián)網(wǎng)攻擊等高級威脅，諸如震網(wǎng)病毒、蠕蟲病毒、僵尸網(wǎng)絡(luò)、勒索軟件、信息泄露等安全事件也迅速增加。新攻擊類型的出現(xiàn)和攻擊復(fù)雜度的提高，使很多傳統(tǒng)的分析方法和分析模型不再有效。網(wǎng)絡(luò)安全大數(shù)據(jù)的研究和開發(fā)方興未艾[1,2]。

可視化是大數(shù)據(jù)分析的重要方法，能夠有效地彌補自動化分析方法的不足，整合計算機的分析能力和人類對信息的感知和判斷能力，利用人機交互技術(shù)輔助用戶更好地發(fā)現(xiàn)模式、檢測異常、識別關(guān)系和協(xié)同分析[3,4]。國內(nèi)外很早就有針對網(wǎng)絡(luò)安全數(shù)據(jù)的可視化技術(shù)研究，比如IEEE舉辦的最具代表性的學(xué)術(shù)界盛會——網(wǎng)絡(luò)安全可視化研討會（VizSec, IEEE symposium on visualization for cyber security）。自2004年以來，很多研究已經(jīng)在網(wǎng)絡(luò)監(jiān)控、關(guān)聯(lián)分析、態(tài)勢感知等方面取得了重要成果[5,6]。

2 網(wǎng)絡(luò)安全數(shù)據(jù)可視化分析現(xiàn)狀

可視化具備三大功能：記錄信息、傳播交流、分析推理[7]。可視化在支持人的宏觀概覽、態(tài)勢感知、證據(jù)關(guān)聯(lián)、模糊搜索等方面展示了其天然強大的賦能能力[8]。由于網(wǎng)絡(luò)攻擊具有持續(xù)性和隱蔽性，將關(guān)聯(lián)融合、時間序列、流數(shù)據(jù)分類等技術(shù)運用于大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)威脅數(shù)據(jù)分析能夠提高獲取高價值威脅特征的能力[9]，如何將多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)關(guān)聯(lián)，并將可視化技術(shù)有效應(yīng)用于網(wǎng)絡(luò)安全分析場景中是復(fù)雜且急需解決的問題。

2.1 網(wǎng)絡(luò)安全數(shù)據(jù)關(guān)聯(lián)分析模型

網(wǎng)絡(luò)威脅安全數(shù)據(jù)來源于防毒軟件、防火墻、入侵檢測系統(tǒng)、攻擊防御系統(tǒng)、主機監(jiān)控系統(tǒng)、異常檢測系統(tǒng)和攻擊預(yù)測系統(tǒng)等各種安全產(chǎn)品，不能相互融合、互相驗證，產(chǎn)生了大量重復(fù)的警報和日志。各檢測系統(tǒng)報警信息格式不一致，各檢測系統(tǒng)的誤報率、漏報率以及重復(fù)報警率偏高，對于分步驟的攻擊，或端口掃描攻擊，檢測系統(tǒng)短時間內(nèi)會產(chǎn)生大量重復(fù)報警，給管理員帶來巨大的工作量。利用關(guān)聯(lián)分析方法研究網(wǎng)絡(luò)威脅安全數(shù)據(jù)通常包括以下工作[10]：1) 利用正則表達(dá)式匹配將多源異構(gòu)數(shù)據(jù)規(guī)范化；2) 對大量IDS告警數(shù)據(jù)進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)誤報與真實警報的區(qū)別特征，對警報數(shù)據(jù)進(jìn)行初篩；3) 通過相似隸屬度函數(shù)計算每條報警的源IP、目的IP、源端口、目的端口的相似度，采用模糊聚類進(jìn)行警報融合；4) 對報警信息進(jìn)行關(guān)聯(lián)分析，把雜亂的、無意義的報警信息最終變?yōu)橛幸饬x的攻擊規(guī)則，利用多步攻擊中每步攻擊之間的內(nèi)在關(guān)聯(lián)，得到完整的攻擊路徑；5) 通過殺傷鏈模型和模糊聚類生成攻擊模型。

2.2 網(wǎng)絡(luò)安全數(shù)據(jù)可視化研究現(xiàn)狀

網(wǎng)絡(luò)安全數(shù)據(jù)可視化通過交互式工具，已經(jīng)在網(wǎng)絡(luò)監(jiān)控、異常檢測、特征識別、關(guān)聯(lián)分析和態(tài)勢感知等方面取得了重要進(jìn)展[11]。趙穎等[12,13]將堆疊流圖引入網(wǎng)絡(luò)安全可視化中，并根據(jù)網(wǎng)絡(luò)安全事件的多源關(guān)聯(lián)性，研究了基于統(tǒng)一格式的事件元組和統(tǒng)計元組的數(shù)據(jù)融合模型，并提出了擅長事件關(guān)聯(lián)分析的雷達(dá)圖和擅長統(tǒng)計時序?qū)Ρ确治龅膶Ρ榷询B流圖的設(shè)計方法。張勝等[14]分別采用信息熵、加權(quán)法、統(tǒng)計法等不同算法進(jìn)行特征提取，引入樹圖和符號標(biāo)志從微觀上挖掘網(wǎng)絡(luò)安全細(xì)節(jié)，引入時間序列圖從宏觀展示網(wǎng)絡(luò)運行趨勢。趙立軍[15]等提出了基于熵的堆疊條形圖設(shè)計方法和基于平行坐標(biāo)的安全可視化方法，將總圖瀏覽和細(xì)節(jié)分析相結(jié)合，降低了分析人員的認(rèn)知困難。吳亞東等[16]提出了一種異構(gòu)樹網(wǎng)絡(luò)安全數(shù)據(jù)組織方法，在此基礎(chǔ)上設(shè)計了一種針對大規(guī)模網(wǎng)絡(luò)的三維多層球面空間可視化模型，大大增強了分析系統(tǒng)的可交互性，并提高了對網(wǎng)絡(luò)安全數(shù)據(jù)的分析效率。

2.3 已有商業(yè)軟件和開源軟件

近年來，出現(xiàn)了一大批新穎的商用和開源數(shù)據(jù)可視化系統(tǒng)和工具，如Maltego、Palantir、Tableau、LabVIEW等。Maltego是一款針對網(wǎng)絡(luò)信息的互聯(lián)網(wǎng)情報聚合可視化工具，面向所有基于網(wǎng)絡(luò)和資源的實體組織，將這些組織發(fā)布在互聯(lián)網(wǎng)的信息進(jìn)行聚合，提供一個能夠清晰展示某個組織經(jīng)營環(huán)境安全隱患的平臺。Palantir是一款情報分析軟件，其核心要素是采用動態(tài)本體管理器的思想，用于對領(lǐng)域相關(guān)的事物進(jìn)行基于本體的建模、操作、管理、關(guān)聯(lián)、分析、推理和可視化。Tableau是一個商業(yè)智能分析軟件，以可視的形式動態(tài)呈現(xiàn)關(guān)系型數(shù)據(jù)之間的關(guān)聯(lián)，并允許用戶以所見即所得的方式完成數(shù)據(jù)分析、可視圖表與報告的創(chuàng)建。LabVIEW開發(fā)環(huán)境集成了工程師和科學(xué)家快速、方便地構(gòu)建各種應(yīng)用所需的所有工具，旨在幫助工程師和科學(xué)家解決問題、提高生產(chǎn)力和不斷創(chuàng)新。通過對比不難發(fā)現(xiàn)，有些系統(tǒng)工具專注于處理結(jié)構(gòu)化數(shù)據(jù)，如Excel表格等。進(jìn)一步考慮在受到中斷、截獲、修改或偽造等形式的網(wǎng)絡(luò)攻擊時，網(wǎng)絡(luò)安全數(shù)據(jù)會不完整、缺失、不真實，面向結(jié)構(gòu)化數(shù)據(jù)開發(fā)的系統(tǒng)和工具很難直接應(yīng)用于復(fù)雜網(wǎng)絡(luò)威脅安全事件分析專業(yè)領(lǐng)域。

3 網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化研究存在的問題

盡管數(shù)據(jù)可視化技術(shù)取得了很大的進(jìn)步，但是由于網(wǎng)絡(luò)安全事件數(shù)據(jù)量大、類型豐富、變化快等特點，網(wǎng)絡(luò)安全數(shù)據(jù)可視化在實際應(yīng)用中還存在許多困難。

1) 網(wǎng)絡(luò)威脅安全數(shù)據(jù)聯(lián)動分析模型有待完善

網(wǎng)絡(luò)威脅安全數(shù)據(jù)底層數(shù)據(jù)實體之間缺乏交叉參考，仍然缺乏有效手段來整合多源、異構(gòu)、高維網(wǎng)絡(luò)數(shù)據(jù)。早期基于數(shù)據(jù)分組和數(shù)據(jù)流的可視化研究工作[17]和工具PortVis[18]、NVisionIP[19]、TNV[20]、RUMINT[21]等集中用于網(wǎng)絡(luò)監(jiān)控與異常檢測，大量利用直方圖、線圖、柱狀圖、矩陣圖和散點圖等方法展示不同網(wǎng)絡(luò)端口的請求和響應(yīng)次數(shù)。當(dāng)攻擊導(dǎo)致網(wǎng)絡(luò)端口流量發(fā)生異常變化時，這些方法可以幫忙分析人員快速定位異常網(wǎng)絡(luò)行為。自動化入侵檢測系統(tǒng)以及防火墻技術(shù)出現(xiàn)以后，人們開始通過分析各種網(wǎng)絡(luò)報警日志數(shù)據(jù)理解網(wǎng)絡(luò)攻擊特征，此類數(shù)據(jù)的可視化分析工具包括NIVA[22]、VisAlert[23]、IDS RainStorm[24]、SpiralView[25]等。但是更多的網(wǎng)絡(luò)攻擊，如APT攻擊，通常采取證書盜取手段。而攻擊者利用竊取得到的證書登錄系統(tǒng)行為非常隱蔽，并不會引起網(wǎng)絡(luò)端口流量的異常變化，所以在海量登錄事件中檢測出惡意系統(tǒng)登錄非常困難。紐約大學(xué)研究人員設(shè)計了交互可視化工具APT-Hunter[26]，通過分析企業(yè)網(wǎng)絡(luò)的登錄數(shù)據(jù)，利用預(yù)先設(shè)定的可疑和正常兩組規(guī)則集及可視化方法幫助用戶過濾并發(fā)現(xiàn)所有可疑登錄事件。Bigfoot可視分析系統(tǒng)[27]嘗試?yán)枚S多邊形將路由變化數(shù)據(jù)投影到世界地圖上的方式展示全球范圍內(nèi)日常復(fù)雜的網(wǎng)絡(luò)路由變化數(shù)據(jù)，成功識別出了139個可能的網(wǎng)絡(luò)威脅安全事件。但是上述研究工作都是基于單一數(shù)據(jù)源，分析人員無法開展聯(lián)動分析，也無法跟蹤網(wǎng)絡(luò)攻擊的橫向移動。

2) 網(wǎng)絡(luò)威脅安全數(shù)據(jù)分析需要積累專家知識和經(jīng)驗

本體理論和知識圖譜為整合異構(gòu)數(shù)據(jù)、利用知識改進(jìn)分析模型提供了一種可能性。斯坦福大學(xué)研究人員最早通過陳述性知識表進(jìn)行網(wǎng)絡(luò)流量分類和可視分析[28]，用于檢測暴力入侵或網(wǎng)絡(luò)掃描等行為。針對網(wǎng)絡(luò)安全數(shù)據(jù)異構(gòu)特性，加州大學(xué)戴維斯分校Ma等[29]利用本體拓?fù)浣Y(jié)構(gòu)表達(dá)恐怖組織網(wǎng)絡(luò)中的恐怖組織、恐怖分子、國家和地區(qū)、組織分類、法律案件、恐怖攻擊、攻擊目標(biāo)、手段和武器9種不同類別節(jié)點，通過節(jié)點語義和結(jié)構(gòu)抽取及過濾，極大地簡化了可視化大規(guī)模異構(gòu)數(shù)據(jù)的負(fù)擔(dān)。美國橡樹林國家實驗室、太平洋西北國家實驗室、斯坦福大學(xué)和華盛頓大學(xué)4家單位在網(wǎng)絡(luò)安全知識圖譜構(gòu)建上開展了一項有意義的聯(lián)合研究工作[30]，嘗試通過JSON格式組織數(shù)據(jù)元信息將海量結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)統(tǒng)一入庫。Aupetit等[31]構(gòu)建了針對DRDoS攻擊的可行動知識庫，Yao等[32,33]嘗試?yán)谜Z義知識和語義關(guān)聯(lián)輔助合并、處理和分析多數(shù)據(jù)源安全數(shù)據(jù)，并針對國內(nèi)注冊信息安全專業(yè)人員（CISP, certified information security professional）認(rèn)證構(gòu)建了信息安全知識圖譜。前述工作重點在語義網(wǎng)絡(luò)、知識圖譜的構(gòu)建上，而如何利用知識圖譜內(nèi)在的知識推理能力有效發(fā)現(xiàn)網(wǎng)絡(luò)威脅安全事件特征，以及如何結(jié)合分析人員的新發(fā)現(xiàn)快速動態(tài)更新知識圖譜，這些問題還有待進(jìn)一步研究。

3) 網(wǎng)絡(luò)威脅安全可視化系統(tǒng)設(shè)計思想還不完善

網(wǎng)絡(luò)威脅安全可視化系統(tǒng)設(shè)計大多采用以技術(shù)或模型為中心的思想，如何通過人機交互界面將人機智能融合是一個長期的研究目標(biāo)。網(wǎng)絡(luò)威脅具有很強的隱蔽性，網(wǎng)絡(luò)攻擊主體和客體的復(fù)雜性、時效性和多變性決定了網(wǎng)絡(luò)攻擊過程的不確定性和復(fù)雜性[34]。早期研究工作通過形式化方法刻畫系統(tǒng)安全和網(wǎng)絡(luò)攻擊特征，如Schneier于1999年提出的攻擊樹（attack tree）是一種基于樹結(jié)構(gòu)的系統(tǒng)安全測評方法，有助于提高分析人員發(fā)現(xiàn)新漏洞的能力[35]。攻擊圖（attack graph）最早由美國桑迪亞國家實驗室學(xué)者提出，在綜合分析多種網(wǎng)絡(luò)配置和脆弱性信息的基礎(chǔ)上，通過漏洞與漏洞關(guān)聯(lián)可視化幫助防御者直觀地分析攻擊者可能選取的攻擊路線[36]。后續(xù)研究在分析攻擊模式和攻擊路徑可視化方面進(jìn)行了大量探索，例如，使用半透明四邊形連接的柱形圖示符號指示復(fù)雜攻擊在不同階段的狀態(tài)，利用圓柱尺寸和顏色編碼攻擊類型和嚴(yán)重級別等信息[37]。又如，Wang等[38]設(shè)計了一個用于研究病毒傳播的新模型SADI，將真實物理網(wǎng)絡(luò)和虛擬邏輯網(wǎng)絡(luò)分開，基于社交蠕蟲病毒的消息提示和人類移動的時間特征，通過概論統(tǒng)計求解用戶在不同層上移動的可能性，進(jìn)而估算蠕蟲病毒的傳播路徑。但是以上方法都采用固定技術(shù)或模型，計算模型參數(shù)很難調(diào)整或根本不可調(diào)，所以分析過程相對孤立，分析人員只能被動接受結(jié)果，效果并不十分理想。

4 網(wǎng)絡(luò)空間安全數(shù)據(jù)可視化發(fā)展趨勢

4.1 多視圖關(guān)聯(lián)和動態(tài)表達(dá)

可視化在支持人的宏觀概覽、態(tài)勢感知、證據(jù)關(guān)聯(lián)、模糊搜索等方面展示了其天然強大的賦能能力[8]，多視圖關(guān)聯(lián)和動態(tài)表達(dá)方法是數(shù)據(jù)可視化諸多行之有效方法中的2個代表。LogSpider[39]將可視過濾概念引入安全可視化領(lǐng)域，通過設(shè)計駕馭式可視查詢和保持上下文選擇子集等操作幫助分析人員識別出安全問題。MVSec[40]嘗試用故事線的方式呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢演化過程，Zhao等[41]通過時序化的平行坐標(biāo)視圖、多主體的矩陣視圖、多主體的時序視圖、相似度擴展樹視圖分析網(wǎng)絡(luò)流量日志數(shù)據(jù)。ENTVis[42]利用雷達(dá)圖、矩陣圖等可視化方法支持基于信息熵的網(wǎng)絡(luò)攻擊流量特征分析，Shi等[43]利用改進(jìn)雷達(dá)圖進(jìn)行網(wǎng)絡(luò)事件關(guān)聯(lián)分析。雖然這些改進(jìn)算法通過特征抽取、降維、采樣或聚合的方法減少了數(shù)據(jù)項和數(shù)據(jù)維度，但數(shù)據(jù)挖掘算法往往很難與可視化方法有機結(jié)合，交互性并不好。因此，如何改善網(wǎng)絡(luò)安全分析領(lǐng)域人機交互模型，有效融合分析人員的先驗知識，更新計算分析模型，是一個急需解決的問題。

4.2 人工智能的新一輪研究熱潮帶動預(yù)測性可視分析研究

世界著名咨詢公司Gartner從信息經(jīng)濟學(xué)角度定義了一個重要技術(shù)進(jìn)化模型，從低級到高級依次為：探索過去的描述性分析、探索原因的診斷性分析、可以預(yù)言未來的預(yù)測性分析[44]。預(yù)測網(wǎng)絡(luò)威脅安全事件未來移動對于遏制橫向移動和減少威脅停留時間至關(guān)重要，但如何對攻擊趨勢做出預(yù)測并采取預(yù)防措施，還是一個遠(yuǎn)期的研究目標(biāo)。將人工智能技術(shù)及可視分析技術(shù)結(jié)合是一個值得嘗試的解決思路。例如，Correa等[45]早期利用可視推理技術(shù)研究社交網(wǎng)絡(luò)中的不確定性問題，Arietta等[46]將數(shù)據(jù)挖掘技術(shù)應(yīng)用于城市計算中，結(jié)合可視推理方法成功預(yù)測了部分城市屬性。Wang等[47]運用可視推理技術(shù)對大量出租車軌跡數(shù)據(jù)進(jìn)行可視分析，有效評估了城市道路利用率。Cao等[48]研究在線社交網(wǎng)絡(luò)異常用戶行為過程中，定義了行為特征、內(nèi)容特征、交流特征、活動時間特征、網(wǎng)絡(luò)特征、頭像特征6類用戶特征，引入非監(jiān)督學(xué)習(xí)模型計算和檢測異常用戶并排序，取得了顯著的效果。美國喬治亞理工大學(xué)研究人員[49]首次提出了一個名為“演示式可視化”的數(shù)據(jù)可視分析通用交互范式，通過量化計算用戶的交互意圖，從位置、大小和顏色3方面遞進(jìn)式地推薦給用戶下一步圖形轉(zhuǎn)化建議。由此看來，基于智能技術(shù)的可視推理是預(yù)測性可視分析發(fā)展的一個重要研究方向，但目前在網(wǎng)絡(luò)安全相關(guān)領(lǐng)域尚未有研究工作報道。

5 結(jié)束語

網(wǎng)絡(luò)空間安全的重要性與日俱增，網(wǎng)絡(luò)空間安全關(guān)聯(lián)數(shù)據(jù)可視化是網(wǎng)絡(luò)空間安全領(lǐng)域一個新的研究熱點。本文在分析網(wǎng)絡(luò)安全數(shù)據(jù)可視化分析現(xiàn)狀基礎(chǔ)上，深入討論了當(dāng)前網(wǎng)絡(luò)威脅安全數(shù)據(jù)可視化研究存在的問題，并進(jìn)一步探討了網(wǎng)絡(luò)空間安全數(shù)據(jù)可視化的發(fā)展趨勢。數(shù)據(jù)可視化技術(shù)已經(jīng)在很多領(lǐng)域研究得到深入應(yīng)用，數(shù)據(jù)可視化技術(shù)也必將在網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)揮越來越重要的作用。

[1] FISCHER F, FUCHS J, MANSMANN F, et al. BANKSAFE: visual analytics for big data in large-scale computer networks[J]. Information Visualization, 2015, 14(1): 51-61.

[2] 張煥國，韓文報，來學(xué)嘉，等. 網(wǎng)絡(luò)空間安全綜述[J]. 中國科學(xué):信息科學(xué), 2016, 46(2): 125-164.

ZHANG H G, HAN W B, LAI X J, et al. Survey on cyberspace security[J]. SCIENTIA SINICA Information is, 2016, 46(2):125-164.

[3] SHIRAVI H, SHIRAVI A, GHORBANI A A. A survey of visualization systems for network security[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(8):1313-1329.

[4] ZHANG T Y, WANG X M, LI Z Z, et al. A survey of network anomaly visualization[J]. Science China: Information Sciences, 2016, 59(1): 1-17.

[5] STAHELI D, YU T, JORDAN C R, et al. Visualization evaluation for cyber security: trends and future directions[C]//IEEE Workshop on Visualization for Computer Security (VizSec). 2014.

[6] POST T, WISCHGOLL T, BRYANT A R, et al. Visually guided flow tracking in software-defined networking[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2016.

[7] WARD M O, GRINSTEIN G, KEIM D. Interactive data visualization: foundations, techniques, and applications[M]. A K Peters Press, 2010.

[8] 陳為，沈則潛，陶煜波. 數(shù)據(jù)可視化[M]. 北京: 電子工業(yè)出版社, 2013.

CHEN W, SHEN Z Q, TAO Y B. Data visualization[M]. Beijing: Publishing House of Electronics Industry, 2013.

[9] 李建華. 網(wǎng)絡(luò)空間威脅情報感知、共享與分析技術(shù)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2016, 2(2): 16-29.

LI J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in cyber space[J]. Chinese Journal of Network and Information Security, 2016, 2(2): 16-29.

[10] 李燕, 曹寶香, 馬兆豐, 等. 關(guān)聯(lián)分析算法在安全管理平臺中的研究與應(yīng)用[J]. 計算機技術(shù)與發(fā)展, 2013, 23(10): 107-110,114.

LI Y, CAO B X, MA Z F, et al. Research and application of correlation analysis in security management platform[J]. Computer Technology and Development, 2013, 23(10): 107-110,114.

[11] 趙穎，樊曉平，周芳芳，等. 網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J]. 計算機輔助設(shè)計與圖形學(xué)學(xué)報, 2014, 26(5): 687-697.

ZHAO Y, FAN X P, ZHOU F F, et al. A survey on network security data visualization[J]. Journal of Computer-Aided Design & Computer Graphics, 2014, 26(5): 687-697.

[12] 趙穎，樊曉平，周芳芳，等. 大規(guī)模網(wǎng)絡(luò)安全數(shù)據(jù)協(xié)同可視分析方法研究[J]. 計算機科學(xué)與探索, 2014, 8(7): 848-857.

ZHAO Y, FAN X P, ZHOU F F, et al. Research on collaborative visual analysis of large scale network security data[J]. Journal of Frontiers of Computer Science and Technology, 2014, 8(7): 848-857.

[13] 趙穎，樊曉平，周芳芳，等. 多源網(wǎng)絡(luò)安全數(shù)據(jù)時序可視分析方法研究[J]. 小型微型計算機系統(tǒng), 2014, 35(4): 906-910.

ZHAO Y, FAN X P, ZHOU F F, et al. Visualization of multi-source network security data based on stacked stream graph[J]. Journal of Chinese Computer Systems, 2014, 35(4): 906-910.

[14] 張勝，施榮華，趙穎. 基于多元異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)可視化融合分析方法[J]. 計算機應(yīng)用, 2015, 35(5): 1379-1384,1416.

ZHANG S, SHI R H, ZHAO Y. Visual fusion and analysis for multivariate heterogeneous network security data[J]. Journal of Computer Applications, 2014, 35(4): 1379-1384,1416.

[15] 趙立軍，張健. 基于堆疊條形圖和平行坐標(biāo)的網(wǎng)絡(luò)數(shù)據(jù)安全可視化分析方法研究[J]. 裝備學(xué)院學(xué)報, 2015, 26(5): 86-90.

ZHAO L J, ZHANG J. Study on network data security visualization based on stacked bar chart and parallel coordinates[J]. Journal of Equipment Academy, 2015, 26(5): 86-90.

[16] 吳亞東，蔣宏宇，趙思蕊，等. 網(wǎng)絡(luò)安全數(shù)據(jù)3D可視化方法[J]. 電子科技大學(xué)學(xué)報, 2015, 44(4): 594-598.

WU Y D, JIANG H Y, ZHAO S R, et al. 3D visualization method for network security data[J]. Journal of University of Electronic Science and Technology of China, 2015, 44(4): 594-598.

[17] BECKER R A, EICK S G, WILKS A R. Visualizing network data[J]. IEEE Transactions on Visualization and Computer Graphics, 1995, 1(1):16-28.

[18] MCPHERSON J, MA K, KRYSTOSK P, et al. PortVis: a tool for port-based detection of security events[C]//IEEE Symposium on Visualization for Cyber Security(VizSec). 2004.

[19] LAKKARAJU K, YURCIK W, BEARAVOLU R, et al. NVisionIP: an interactive network flow visualization tool for security[C]//IEEE International Conference on Systems, Man and Cybernetics, 2004.

[20] GOODALL J R, LUTTERS W G, RHEINGANS P, et al. Preserving the big picture: visual network traffic analysis with TNV[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2005.

[21] CONTI G, ABDULLAH K, GRIZZARD J, et al. Countering security analyst and network administrator overload through alert and packet visualization[J]. IEEE Computer Graphics and Applications, 2006, 26(2): 60-70.

[22] NYARKO K, CAPERS T, SCOTT C, et al. Network intrusion visualization with NIVA, an intrusion detection visual analyzer with paptic integration[C]//The 10th Symposium on Haptic Interfaces for Virtual Environment and Teleoperator Systems. 2002.

[23] LIVNAT Y, AGUTTER J, MOON S, et al. A visualization paradigm for network intrusion detection[C]//IEEE SMC Information Assurance Workshop. 2005.

[24] ABDULLAH K, LEE C, CONTI G, et al. IDS RainStorm: visualizing IDS alarms[C]//IEEE Workshop on Visualization for Computer Security(VizSec). 2005.

[25] BERTINI E, HERTZOG P, LALANNE D. SpiralView: towards security policies assessment through visual correlation of network resources with evolution of alarms[C]//IEEE Conference on Visual Analytics Science and Technology (VAST’07). 2007.

[26] SIADATI H, SAKET B, MEMON N. Detecting malicious logins in enterprise networks using visualization[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[27] SYAMKUMAR M, DURAIRAJAN R, BARFORD P. Bigfoot: a geo-based visualization methodology for detecting BGP threats[C]// IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[28] LING X, GERTH J, HANRAHAN P. Enhancing visual analysis of network traffic using a knowledge representation[C]//IEEE Symposium on Visual Analytics Science and Technology. 2006.

[29] SHEN Z Q, MA K L, ELIASSI-RAD T. Visual analysis of large heterogeneous social networks by semantic and structural abstraction[J]. IEEE Transactions on Visualization and Computer Graphics, 2006, 12(6):1427-1439.

[30] IANNACONE M, BOHN S, NAKAMURA G, et al. Developing an ontology for cyber security knowledge graphs[C]//The Cyber and Information Security Research. 2015.

[31] AUPETIT M, ZHAUNIAROVICH Y, VASILIADISM G, et al. Visualization of actionable knowledge to mitigate DRDoS attacks[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2016.

[32] YAO Y G, WANG X, MENG X J, et al. ISEK: an information security knowledge graph for CISP knowledge system[C]//The International Conference on IT Convergence and Security (ICITCS). 2015.

[33] YAO Y G, ZHANG L, YI J, et al. A framework for big data security analysis and the semantic technology[C]//The International Conference on IT Convergence and Security (ICITCS). 2016.

[34] CIAPESSONI E, CIRIO D, KJ?LLE G, et al. Probabilistic risk-based security assessment of Power systems considering incumbent threats and uncertainties[J]. IEEE Transactions on Smart Grid, 2016, 7(6):2890-2903.

[35] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報, 2012, 52(10): 1396-1408.

PONG Y, JIANG C Q, XIE F, et al. Industrial control system cyber security research[J]. Journal of Tsinghua University, 2012, 52(10): 1396-1408.

[36] KAYNAR K, SIVRIKAYA F. Distributed attack graph generation[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(5): 519-532.

[37] YELIZAROV A, GAMAYUNOV D. Visualization of complex attacks and state of attacked network[C]//IEEE Workshop on Visualization for Computer Security (VizSec). 2009.

[38] WANG T B, XIA C H, WEN S, et al. SADI: A novel model to study the propagation of social worms in hierarchical networks[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 99: 1-17.

[39] STANGE J, D?RK M, LANDSTORFER J, et al. Visual filter: graphical exploration of network security log files[C]//IEEE Symposium on Visualization for Cyber Security (VizSec). 2014.

[40] ZHAO Y, LIANG X, FAN X P, et al. MVSec: multi-perspective and deductive visual analytics on heterogeneous network security data[J]. Journal of Visualization, 2014, 17(3):181-196.

[41] 趙穎, 王權(quán), 黃葉子, 等. 多視圖合作的網(wǎng)絡(luò)流量時序數(shù)據(jù)可視分析[J]. 軟件學(xué)報, 2016, 27(5):1188-1198.

ZHAO Y, WANG Q, HUANG Y Z, et al. Collaborative visual analytics for network traffic time-series data with multiple views. Journal of Software, 2016, 27(5):1188-1198.

[42] ZHOU F F, HUANG W, ZHAO Y, et al. ENTVis: a visual analytic tool for entropy-based network traffic anomaly detection[J]. IEEE Computer Graphics and Applications, 2015, 35(6):42-50.

[43] SHI L, WANG C, WEN Z, et al. 1.5D Egocentric dynamic network visualization[J]. IEEE Transactions on Visualization and Computer Graphics, 2015, 21(5):624-637.

[44] LANEY D. Information economics, big data and the art of the possible with analytics[EB/OL]. https://www-950.ibm. com/events/ wwe/ grp/grp037.nsf/vLookupPDFs/Gartner_Doug-%20Analytics/$file/Gartner_Doug-%20Analytics.pdf.

[45] CORREA C D, CRNOVRSANIN T, MA K. Visual reasoning about social networks using centrality sensitivity[J]. IEEE Transactions on Visualization and Computer Graphics, 2012, 18(1): 106-120.

[46] ARIETTA S M, EFROS A A, RAMAMOORTHI R, et al. City forensics: using visual elements to predict non-visual city attributes[J]. IEEE Transactions on Visualization and Computer Graphics, 2016, 20(12):2624-2633.

[47] WANG F, CHEN W, WU F R, et al. A visual reasoning approach for data-driven transport assessment on urban roads[C]//IEEE Conference on Visual Analytics Science and Technology (VAST). 2014.

[48] CAO N, SHI C L, LIN S, et al. TargetVue: visual analysis of anomalous user behaviors in online communication systems[J]. IEEE Transactions on Visualization and Computer Graphics, 2016, 22(1): 280-289.

[49] SAKET B, KIM H, BROWN E T, et al. Visualization by demonstration: an interaction paradigm for visual data exploration[J]. IEEE Transactions on Visualization and Computer Graphics, 2017, 23(1): 331-340.

Survey on the visualization technologies of threatening security data in cyber space

ZHANG Fan, XIE Fan, JIANG Jie

College of Computer Science, Zhejiang University of Technology, Hangzhou 310023, China

With the rapid development of the cyber threatening methods, the requirements of network security data analysis become more and more imperative. Data visualization has already evolved as a requisite tool among all kinds of data analysis theory framework and applications, especially in the fields of scientific computation, business intelligence and cyber security. Threatening security data visualization provides various effective interaction means which improve the perception ability for the cyber security specialists to get a distinctive insight into the large amount of complicated cyber security problems. The state-of-art cyber security data visualization technologies were introduced. Some existing problems that were still challenging research topics were investigated. Some directions for future studies were outlined.

cyber space security, associate analysis, visual analysis, artificial intelligence

TP393

A

10.11959/j.issn.2096-109x.2018013

張繁（1978-），男，浙江紹興人，博士，浙江工業(yè)大學(xué)副教授，主要研究方向為網(wǎng)絡(luò)安全、信息可視化。

謝凡（1997-），男，廣東梅州人，浙江工業(yè)大學(xué)本科生，主要研究方向為網(wǎng)絡(luò)安全、數(shù)據(jù)挖掘。

江頡（1972-），女，浙江平湖人，博士，浙江工業(yè)大學(xué)計副教授，主要研究方向為信息安全、服務(wù)計算。

2017-12-26；

2018-01-29

江頡，jj@zjut.edu.cn

國家自然科學(xué)基金資助項目（No.U1736109, No.61772456, No.U1609217）；浙江省自然科學(xué)基金資助項目（No.LY18F020034）

: The National Natural Science Foundation of China (No.U1736109, No.61772456, No.U1609217), The Natural Science Foundation of Zhejiang Province (No.LY18F020034)