论文题目:网络主机行为和连接模式可视分析方法研究
摘要:随着网络通信技术的飞速发展,现代社会对网络安全的要求越来越高。作为人们掌握网络安全态势、发现网络异常的主要数据来源,网络安全日志的分析工作一直都是业界研究的重点。其中,可视分析学结合人类视觉的高效认知能力、人脑的逻辑判断能力和计算机的高速计算能力,解决了传统日志分析工作中,用户分析负担过重、工作效率不高、结果准确性不佳等问题,是网络安全分析人员把握网络整体特征、定位网络异常、发现威胁主机的理想方案。然而,现有的网络安全可视分析方案的数据来源大多都是特定格式的网络安全日志数据集,目前还没有能整合多源异构网络安全日志数据的理想方案。其次,如何在有限的绘制空间中,将网络节点的行为模式及节点之间的连接模式合理地可视化展现,也是现今网络安全可视分析研究的重点。最后,如何帮助网络安全分析人员构建完整、合理、清晰的分析思路,从而提高分析效率,发现隐含信息,同样需要深入研究。本研究从以上三个问题出发,提出一种多源网络日志的数据融合方案,在此基础上采用合理的可视化视图设计展示网络节点行为模式和连接模式,并开发完整的可视分析系统作为视图方案的载体,最终通过具体案例验证可视分析方案的可行性。具体工作内容包括:(1)提出合理的数据融合方法。本研究参考Netflow日志数据格式,使用6个基本维度作为整合多源网络安全日志数据的切入点,以此将不同来源的网络安全日志的基本信息整合成统一格式。(2)选择合适的可视化视图设计并修改。本研究将旭日图和调整后的蜂巢图结合,生成组合视图旭日蜂巢图,从宏观层面展示网络节点连接行为模式和连接模式。新设计Link Wheel图,从具体层面展示单位时间内,特定节点连接关系中主要端口的工作模式。选用力导向图、多个时序图展示网络节点连接行为的具体信息。(3)确定可视分析研究方案并实现。提出四层可视分析流程架构,选用合适的开发环境和开发工具,设计合理的交互流程将各视图整合成完整的可视分析系统。整个开发过程都遵循以用户为中心的设计原则。本研究使用China Vis 2016挑战I数据验证可视分析方案的实用性。结果表明,本方案采用了合理的视图设计,所开发的可视分析系统具有完善的交互逻辑,能全面、系统地帮助安全分析人员高效总结网络中IPv4地址的行为模式及连接模式、各端口的工作模式,从而细致分析各IPv4地址具体职能变化情况,最终发现异常行为,溯源可疑主机。
关键词:网络安全;数据可视化;可视分析;可视化视图设计;Netflow日志
学科专业:软件工程
中文摘要
英文摘要
1 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.3 本文主要研究内容
1.4 文章组织结构
2 可视化综述
2.1 可视化理论背景
2.1.1 可视化的发展历史
2.1.2 可视化的相关领域
2.1.3 可视化分类
2.2 可视化设计概念
2.3 网络安全可视化和可视分析
2.4 本章小结
3 可视分析视图设计
3.1 问题分析
3.2 可视化方案:宏观层面的主机行为和连接模式
3.2.1 IPv4 地址:旭日图
3.2.2 IPv4 连接:蜂巢图
3.3 可视化方案:主机行为和连接过程的具体数据内容
3.3.1 IPv4 地址:时序统计视图
3.3.2 IPv4 连接:力导向图
3.4 视图设计方案调整
3.4.1 蜂巢图设计改进
3.4.2 旭日蜂巢图(SHG:Sunburst Hive-Plot Graph)
3.5 新视图设计:LW(LINK WHEEL)图
3.6 本章小结
4 可视分析方法研究与实现
4.1 数据处理及系统开发环境
4.2 可视分析基本流程
4.3 数据存储层
4.4 数据处理和变换层
4.5 可视化映射层
4.5.1 可视化实现:旭日蜂巢图
4.5.2 添加交互:LW图
4.6 用户感知层
4.6.1 视图关系
4.6.2 交互循环
4.7 本章小结
5 案例研究与分析
5.1 案例:CHINAVIS2016 挑战I
5.1.1 数据集描述
5.1.2 案例1:IPv4 地址的角色和功能
5.1.3 案例2:异常事件(DDoS攻击)
5.2 与其他相关研究的对比分析
5.2.1 与NVisionIP可视分析系统的对比分析
5.2.2 与AnNetTe可视分析系统的对比分析
5.2.3 本研究可视分析方案优缺点总结
5.3 本章小结
6 总结和展望
6.1 论文总结
6.2 展望
参考文献
致谢