网络安全可视化读书笔记.ppt

,网络安全可视化,somebody,一、课题基础综述,目前网络安全分析人员只能依靠一些网络安全产品来分析大量的日志信息,从而分析和处理网络异常,它将海量高维数据以图形图像的方式表现出来,通过在人与数据之间实现图像通信,使人们能观察到网络安全数据中隐含的模式,能快速发现规律并发现潜在的安全威胁。,采用可视化技术后,1、网络安全可视化的必要性,网络分析人员在分析日志信息时,通常会遇到如下困难：,1)认知负担过重。2)交互性不够3)缺乏对网络全局信息的认识4)不能提前防御、预测攻击,1、网络安全可视化的必要性,一个实用的方法：,将网络数据以图形图像的方式表现出来,利用人们的视觉功能处理这些大量的数据信息,即将可视化技术引入到网络安全领域,1、网络安全可视化的必要性,可视化(也称数据可视化)是一种计算和处理的方法,它将抽象的符号表示成具体的几何关系,使研究者能亲眼看见他们所模拟和计算的结果,使用户以图形图像的方式重新分析数据。将可视化技术引入到网络安全领域是对现有网络安全研究分析方法的重大变革:1)可视化技术能使人们更容易感知网络数据信息,且每次感知更多信息;2)可以快速识别数据模式和数据差异、发现数据的异常值或错误;3)识别聚类,便于对网络入侵事件进行分类;4)能从中发现新的攻击模式,做到提前防御,对攻击趋势做出预测,等。,2、网络安全可视化的概念及研究步骤,数据可视化(DataVisualization)包括：科学计算可视化(ScientificVisualization)和信息可视化(InformationVisualization)。科学计算可视化是指运用计算机图形学和图像处理技术,将科学计算、工程计算及测量过程产生的数据转化为图形或图像,在屏幕上显示出来并进行交互处理的理论、方法和技术。信息可视化是用可交互的视觉表达方式来表现抽象的、非物理的数据来增强对数据本质的认识。,2、网络安全可视化的概念及研究步骤,网络安全可视化(NetworkSecurityVisualization)是信息可视化中的一个新兴研究领域,它利用人类视觉对模型和结构的获取能力,将抽象的网络和系统数据以图形图像的方式展现出来,帮助分析人员分析网络状况,识别网络异常、入侵,预测网络安全事件发展趋势。,3网络安全可视化方法,3.1基于网络数据流量的网络安全可视化由于端口扫描、蠕虫扩散以及拒绝服务攻击等安全事件在流量方面具有明显的一对一、一对多或多对一的特征,因此此类攻击事件往往在流量方面出现明显的异常,显示网络流量可以帮助网路安全分析人员快速发现网络攻击,更好地防范和抵御网络入侵事件。通常,基于网络数据流量的网络安全可视化技术所使用的网络数据包属性主要有源IP、目的IP、源端口、目的端口、协议和时间等,3网络安全可视化方法,3.2基于端口信息的网络安全可视化在黑客实施网络攻击或者入侵之前通常先要进行信息收集,通过对目标主机或者网络进行扫描确定目标主机系统是否在活动,确定哪些服务在运行,检测目标操作系统类型,试图发现目标系统的漏洞。因此针对端口的扫描是众多攻击中最普遍的一种。,3网络安全可视化方法,3.3基于入侵检测技术的网络安全可视化目前网络分析人员通常使用基于网络的入侵检测系统识别和抵御DDos攻击、网络蠕虫及木马等网络攻击。它实时地将当前网络数据包与已存储的已有的攻击类型签名数据库信息对比,通过匹配与否决定是否产生报警。,3网络安全可视化方法,3.4基于防火墙事件的网络安全可视化在网络安全分析人员使用防火墙分析网络安全事件时,通常需逐行分析复杂众多的日志信息,如防火墙记录的内外通信发生的时间和进行的操作等,3网络安全可视化方法,3.5其他随着网络安全事件类型的增多,不同的网络安全可视化技术也随之涌现出来。如InSeonYoo提出的自组织映射(Self-OrganizingMaps)技术,它利用计算机病毒独特的特征信息帮助用户发现及抵御嵌入在可执行文件中的病毒信息;SIFT研究小组运用Nessus的扫描结果作为数据源,设计出针对Nessus扫描器的可视化分析工具Nvision-Nessus33;通过显示DNS相关查询信息,帮助分析潜在的DNS攻击事件的FlyingTerm技术31等。目前国外已设计出了一些软件原型系统如NIVA、Snortsnarf、PortVis、SnortView、NVisionIP、VisFlowConnection、IDGraph、VisualFirewall12-13,15,17,21,24,26-28等。国内虽然在网络安全的理论和工程实践方面都取得了很大进展,但在网络安全可视化关键技术研究方面依然是空白,3网络安全可视化方法,各类网络安全可视化技术解决的主要问题相关论文数量,面临的挑战主要,1)如何有效地实时显示处理大规模网络数据。网络中庞大的数据流量、数据的实时预处理分析以及系统对交互设计的快速响应等都对如何实时显示和处理大规模网络数据提出了高要求。2)如何集成自动报警和防御功能。从降低网络分析人员的认知负担考虑,安全可视化工具应该具备自动识别网络异常并报警、当确认异常事件后能对其