基于大数据的网络安全信息可视化系统概述

1、基于大数据的网络安全信息可视化系统V1.0 技术研究报告北京邮电大学目录第一章 基于大数据的网络安全信息可视化系统研究背景11.1 基于大数据的网络安全信息可视化系统研究背景及意义11.2 基于大数据的网络安全信息可视化技术现状31.2.1基于网络数据流量的网络安全可视化31.2.2基于端口信息的网络安全可视化31.2.3基于入侵检测技术的网络安全可视化41.2.4基于防火墙事件的网络安全可视化41.2.5其它51.3 本章小结5第二章 基于大数据的网络安全信息可视化系统概述62.1 基于大数据的网络安全信息可视化的基本形式62.2 常用的八种数据可视化方法72.3 本章小结12第三章 基于大

2、数据的网络安全信息可视化系统关键技术133.1用户接口与体验133.2图像闭塞性的降低143.3 端口映射算法183.4 网络安全态势的评估与入侵分析193.5 本章小结21第一章 基于大数据的网络安全信息可视化系统研究背景1.1 基于大数据的网络安全信息可视化系统研究背景及意义随着网络的普及，互联网上的各种应用得到了飞速发展，而诸多应用对网络安全提出了更高的要求，网络入侵给全球经济造成的损失也在逐年增长。然而目前网络安全分析人员只能依靠一些网络安全产品来分析大量的日志数据，从而分析和处理异常。但随着网络数据量的急剧增大，攻击类型和复杂度的提升，这种传统的分析方式已经不再有效。如何帮助网络安全

3、分析人员通过繁杂高维数据信息快速分析网络状况已经成为网络安全领域一个十分重要且迫切的问题。网络安全可视化技术就是在这种情况下产生的。它将海量高维数据以图形图像的方式表现出来，通过在人与数据之间实现图像通信，使人们能观察到网络安全数据中隐含的模式，能快速发现规律并发现潜在的安全威胁。网络安全可视化的必要性一个安全系统至少应该满足用户系统的保密性、完整性及可用性要求。但是随着网络连接的迅速扩展，越来越多的系统遭受到入侵攻击的威胁。而网络安全产品是人们目前主要依赖的防入侵工具。网络分析人员在使用网络安全产品时，通常通过监视和分析相应的网络日志信息，找出可疑的事件做进一步诊断，最后对确定的异常和攻击做

4、出回应。但是网络分析人员分析如下问题时，通常会遇到如下困难：1）认知负担过重。以入侵检测系统为例，部署与乔治亚州技术学院的IDS传感器平均每天要产生50000个报警，通过传统分析日志信息的方式分析人员在一天有限的时间内很难对这些报警逐一做出详尽的分析和判断。2）交互性不够。当发现可疑事件时，现有的分析方式不能够提供相关数据过滤、事件细节显示等功能以帮助分析人员做出进一步有效的判断。3）缺乏对网络全局信息的认识。分析人员看到的往往都是单一的数据记录，缺乏对网络整体信息的了解，这使得他们很难识别出一些复杂的、协作式的和周期漫长的网络异常事件。4）不能提前防御、预测攻击。通过日志分析的方式很难发现一

5、些新的攻击模式，也很难对攻击的趋势做出预测或者提前进行防范。因此，面对网络安全所面临的种种问题，必须寻求新的方法帮助安全分析人员更快速有效地识别网络中的攻击和异常事件。一个实用的方法是，将网络数据以图形图像的方式表现出来，利用人们的视觉功能处理这些大量的数据信息，即将可视化技术引入到网络安全领域。可视化（也称数据可视化）是一种计算和处理的方法，他将抽象的符号表示成具体的几何关系，使研究者能亲眼看见他们所模拟和计算的结果，使用户以图形图像的方式重新分析数据。将可视化技术引入到网络安全领域是对现有网络安全研究分析方法的重大变革：1）可视化技术能使人们更容易感知网络数据信息，且每次感知更多信息；2）

6、可以快速识别数据模式和数据差异、发现数据的异常值或错误；3）识别聚类，便于对网络入侵事件进行分类；4）能从中发现新的攻击模式，做到提前防御，对攻击趋势做出预测，等。网络安全可视化的概念及研究步骤数据可视化（Data Visualization）包括科学计算可视化（Scientific Visualization）和信息可视化（Information Visualization）。其中科学计算可视化是指运用计算机图形学和图像处理技术，将科学计算、工程计算及测量工程产生的数据转化为图形或图像，在屏幕上显示出来并进行交互处理的理论、方法和技术。而信息可视化是用可交互的视觉表达方式来表现抽象的、非物理

7、的数据来增强对数据本质的认识。信息可视化涉及到人类认知学、人机交互、计算机图形学、图像技术、数据挖掘、模式识别等多学科的理论和方法，是一个新兴的研究领域。信息可视化不仅用图像来显示多维的非空间数据，使用户加深对数据含义的理解。而且用形象直观的图像来指引检索过程,加快检索速度。信息可视化目标是帮助人们增强认知能力，显示的对象主要是多维的标量数据，重点在于设计和选择什么样的显示方式，才能便于用户了解庞大的多维数据和他们相互之间的关系。网络安全可视化（Network Security Visualization）是信息可视化中的一个新兴研究领域，它利用人类视觉对模型和结构的获取能力，将抽象的网络和系

8、统数据以图形图像的方式展现出来,帮助分析人员分析网络状况,识别网络异常、入侵,预测网络安全事件发展趋势旧。它不仅能有效解决传统分析方法在处理海量信息时面临的认知负担过重、缺乏对网络安全全局的认识、交互性不强、不能对网络安全事件提前预测和防御等一系列问题,而且通过在人与数据之间实现图像通信,使人们能观察到网络安全数据中隐含的模式,为揭示规律和发现潜在的安全威胁提供有力的支持。网络安全可视化要处理的往往是高维、无结构化的多变量数据,同时这些数据具有规模大、非数值型等特点;在数据的关联关系上面临着关系隐式化、时间依赖性强、类型多等困难;在绘制方面也没有统一的显示模型。早在1995年mchar A.B

9、ecker就提出对网络数据(网络流量状况)而非其拓扑结构进行信息可视化的概念。之后L.Gimrdin和R.F.Erbacher又分别研究了防火墙日志、IDs报警信息的可视化。随着网络安全技术尤其是网络监控、杀毒软件、防火墙和入侵检测系统的不断发展,对网络安全可视化的需求也越来越迫切,从2004年开始, 学术界和工业界每年召开一次网络安全可视化国际会议（Visualization for Computer Security，VizSEC），这标志着网络安全信息可视化真正得到大家重视。网络安全可视化的研究,首先是数据源的选取。网络安全可视化技术无论从早期针对网络数据、入侵检测系统、主机日志的可视化

10、,还是到现在针对网络攻击工具、DNs攻击、无线网络安全事件的可视化,解决不同的问题,均需要选择不同的数据源。其次,可视化结构的选取。网络安全可视化技术的一个关键技术是发现新颖的可视化结构来表示数据信息, 建立数据到可视化结构的映射。第三,网络安全信息可视化的实时性、全局和局部信息(Context+Focus)并发显示的设计。目前诸多网络安全产品已有一定的实时功能,但通常只能提供给人们普通的日志信息,网络安全可视化通过对全局和局部信息的并发显示提供给人们更感兴趣的信息。第四, 网络安全可视化的人机交互设计阶段。网络安全可视化技术的视图放缩、聚焦、关联数据显示、数据选择和回放、历史数据比较、与防火

11、墙进行联动响应等人机交互功能将使得网络安全产品更加易定制、易操作。1.2 基于大数据的网络安全信息可视化技术现状1.2.1基于网络数据流量的网络安全可视化由于端口扫描、蠕虫扩散以及拒绝服务攻击等安全事件在流量方面具有明显的一对一、一对多或多对一的特征,因此此类攻击事件往往在流量方面出现明显的异常,显示网络流量可以帮助网路安全分析人员快速发现网络攻击,更好地防范和抵御网络入侵事件。通常,基于网络数据流量的网络安全可视化技术所使用的网络数据包属性主要有源IP、目的lP、源端口、目的端口、协议和时间等。如NVision将网络数据通过分层方式予以显示,可以检测出一个B级网络内所有主机的流量信息。Vis

12、FlowConnection采用平行轴坐标技术表现连接信息,可以详细显示某一个域内所有机器的详细流量,也可以显示内部之间流量,这对检测来自内部的攻击是非常有用的。单纯分析大量网络日志信息,虽然能分析出针对某台主机的扫描事件,但不能同时发现某一网段的扫描事件。PGVis3D技术综合利用了IP Matrix的2D和3D技术来表现网络内部和外部、内部和内部之间的流量状况。可以同时显示出针对某台主机和某一网段的扫描事件。基于网络数据流量的网络安全可视化技术在显示与流量相关的安全事件方面有较强优势,但是显示数据信息较多时,线条易交叉重叠,这增加了分析人员的认知负担,使得一些模式的发现变得困难。所以在使用

13、该技术显示大规模数据时还应辅助其他方法,如采用颜色映射表示不同类型攻击事件等。 1.2.2基于端口信息的网络安全可视化在黑客实施网络攻击或者入侵之前通常先要进行信息收集,通过对目标主机或者网络进行扫描确定目标主机系统是否在活动,确定哪些服务在运行,检测目标操作系统类型,试图发现目标系统的漏洞。因此针对端口的扫描是众多攻击中最普遍的一种。用基于网络数据流量的网络安全可视化方法可检测出某些特定类型的端口扫描,但对于强动态性、强随机性和强隐蔽性的与端口有关的安全事件如DDos、蠕虫病毒、木马等用此方法效果并不好,并且从大量模糊信息中发现令人感兴趣的网络安全信息本身也是比较困难的。因此,必须寻求新的方

14、法能从模糊信息中揭示核心的、隐蔽性强的、令人感兴趣的安全事件。通常,这类问题的数据源只含有端口、时间等少量信息,要想高度概括这类信息所隐含的模式,必须在显示数据信息本身的同时,辅助一些其他手段,如用多层次界面设计.全局和局部信息的交互显示,颜色映射等。如Portvis就是采取多视图、利用全局和局部信息交互方式供分析人员监测和识别网络中潜在的安全事件的一种网络安全可视化技术。Portvis可以帮助分析人员识别出跟端口信息紧密相关的网络安全事件,如端口扫描、特洛伊木马等。上节所提及的NVisionIP也是此方法的典型用例。但是,基于端口信息的网络安全可视化技术由于受所使用数据源的限制,往往提供给分

15、析人员的重要信息有限,在发现感兴趣模式后仍无法获知如IP地址、TCP标志位等重要细节信息。如何通过有限的粗糙网络数据获取尽可能多的关键信息仍是网络安全可视化领域待攻克的一个难点。1.2.3基于入侵检测技术的网络安全可视化目前网络分析人员通常使用基于网络的入侵检测系统识别和抵御DDos攻击、网络蠕虫及木马等网络攻击。它实时地将当前网络数据包与已存储的已有的攻击类型签名数据库信息对比,通过匹配与否决定是否产生报警。虽然入侵检测系统存储了大量攻击类型的签名信息,但若匹配规则选取不当很容易使得入侵检测系统产生误报和漏报,并且,基于网络的入侵检测系统往往需要安全分析人员具有高深的分析日志信息的能力和技巧

16、。因此,为降低网络分析人员的认知负担, 降低入侵检测系统的误报和漏报率,将可视化技术应用于入侵检测系统。基于入侵检测技术的网络安全可视化技术不仅能从单个日志信息中挖掘数据模式,并能从多个不同的日志信息对比中发现一些隐藏的数据模式,这利于及时发现新型网络攻击并提前做出防范。如SnortView运用图元方法实时地对snort报警信息进行分等级显示,降低入侵检测系统的误报率。通过显示不同的日志信息表征整个局域网内网络状况,帮助人们提前分析复杂的可疑网络安全事件。虽然基于入侵检测技术的网络安全可视化技术集合了散点图和颜色映射的优点,可以表现多维网络数据信息,但在将多个属性变量映射成可视图元时缺乏规范和

17、标准, 这容易导致绘制结果差异较大,对分析攻击模式造成困难。1.2.4基于防火墙事件的网络安全可视化在网络安全分析人员使用防火墙分析网络安全事件时, 通常需逐行分析复杂众多的日志信息,如防火墙记录的内外通信发生的时间和进行的操作等。但由于网络安全分析人员对每个日志信息的细节过于考虑而往往忽略整体所隐含的模式,并且当发现并采取措施抵御这些攻击时,网络入侵可能已经停止。因此应设计一种实时处理和评定全局网络信息的基于防火墙事件的新网络安全研究方法。基于防火墙的网络安全可视化技术就是在此需要下产生的。它通过运用多重视图实时显示网络通信的特殊细节信息,通过聚类显示各细节间的相似与异同之处,而这些视图信息

18、又能一致地反映目前整个网络的运行状态。如XX采用散列图来显示防火墙事件,用小方块表示主机,方块的颜色表示不同的协议类型。通过此方法用户可观测出哪些进程刚被启动、哪些请求是可疑事件。文献27能很好地监控防火墙的运作,无论对有经验的网络分析人员还是初学者均易上手操作。通常基于防火墙事件的网络安全可视化技术适用于大规模网络异构数据的显示,但由于点、线重叠,使得关键信息易丢失、重要信息被隐藏、不易于理解。1.2.5其它随着网络安全事件类型的增多,不同的网络安全可视化技术也随之涌现出来。如InSeon Yoo提出的自组织映射（Self-Organizing Maps技术），它利用计算机病毒独特的特征信息

19、帮助用户发现及抵御嵌入在可执行文件中的病毒信息;SIFT研究小组运用Nessus的扫描结果作为数据源,设计出针对Nessus扫描器的可视化分析工具NvisionNessus；通过显示DNs相关查询信息,帮助分析潜在的DNS攻击事件的Flying Term技术等。目前国外已设计出了一些软件原型系统如NIVA、Snortsnarg、PortVis、SnortView、NVisionIP、VisFlowConnection、IDGraph、VisualFirewall等。国内虽然在网络安全的理论和工程实践方面都取得了很大进展,但在网络安全可视化关键技术研究方面依然是空白。1.3 本章小结网络安全可视

20、化的研究工作尚处于初级阶段,一些方法与理论正在形成之中,构建完整实用的网络安全可视化系统还存在许多困难。面临的挑战主要是:1、如何有效地实时显示处理大规模网络数据。网络中庞大的数据流量、数据的实时预处理分析以及系统对交互设计的快速响应等都对如何实时显示和处理大规模网络数据提出了高要求。2、如何集成自动报警和防御功能。从降低网络分析人员的认知负担考虑,安全可视化工具应该具备自动识别网络异常并报警、当确认异常事件后能对其进行防范抵御的能力。现有技术方法均不具备该功能。3、如何用一整套理论指导网络安全可视化研究。由于网络安全信息可视化缺少数学模型、可视化方法研究主观性强、难于进行有效验证和评估等,网

21、络安全信息可视化相关基础理论研究迫在眉睫。可视化技术已经给很多学科的研究带来深远影响,随着上述理论和关键技术问题的解决,网络安全可视化技术应用前景广阔。第二章 基于大数据的网络安全信息可视化系统概述2.1 基于大数据的网络安全信息可视化的基本形式网络拓扑图可视化是信息可视化研究的一个方面，由点-线图来表达和分析网络的。而在网管系统中可视化的网络拓扑更是必不可少的，因为点-线图展现了网络拓扑结构的直观形态，为路由分析、网络监控等方面提供了可视化展现方法。大规模拓扑网络可视化是信息可视化在网络拓扑数据集上的具体应用，凡是信息可视化中的方法都可以应用到拓扑的绘制当中。通用类型的拓扑可视化工具一般能提

22、供开放的数据接口，比如SNMP、NwtFlow或者MRTG等。这类拓扑显示工具可复用性较高，接口比较独立。网络测量领域的著名研究组织CAIDA，the Cooperative Association for Internet Data Analysis（因特网数据分析协会）也已经开发出了一系列的相关拓扑显示工具，比如Otter是CAIDA组织开发的一种通用拓扑绘图软件，他具有丰富的图形交互功能，允许调节节点位置、图形的缩放、根据图形属性进行染色等。同时，CAIDA组织针对不同层次的网络拓扑还开发了相关拓扑显示工具，比如说Jaspvi主要关注于AS级拓扑。除了CAIDA，美国的NLANR和希腊的

23、GRNET等相关实验室也从自身所管理的网络出发，对网络的可视化工作进行了相关的研究。拓扑可视化工具按显示方式可分为平面显示与三维显示。（一） 平面拓扑工具1、GTrace工具GTrace是一个以地理位置为基础的traceroute工具。这个工具可以得到traceroute返回节点的地理位置信息，并最后根据地理位置的信息把tracerouter的路径上的节点显示在地图上。2、Skitter工具Skitter是一个可以对因特网进行动态探测的工具，采集到的数据可以用作分析网络的拓扑结构以及网络的性能，以达到分析拓扑和性能的目的的工具。Skitter工具会以圆心为中点，并根据以下的公式计算出节点的角度

24、和半径：半径=1-log（出度（AS） + 1） /最大出度+1）= 节点的经度值（二）三维的拓扑显示工具1、Walrus工具Warlus是一个在三维空间中以交互式的方式显示大型定向拓扑图像的工具，他在三维空间上用树形布局算法可以显示超过100万个具有层次化关系的节点。2、HyperViewer工具HyperViewer工具可以迅速地处理最多达到个楞边，而且最大限度的防止了混乱节点的产生；当一个节点得到焦点时，HyperView允许用户看到更多这个焦点节点周围的内容。3、Otter工具Otter是CAIDA用来把网络数据可视化的工具。能把那些可以表示为一些节点、链接或者路径的数据可视化。他具有

25、丰富的图形交互功能，允许整节点位置，图形的缩放，根据图形属性进行染色等。2.2 常用的八种数据可视化方法大数据时代大数据本身的安全成为一个新的安全挑战，但与此同时大数据技术也为信息安全技术的发展起到极大推动作用，例如数据可视化技术和方法的引入可以大大提高信息安全的预防、侦测和事件响应等环节的效率。俗话说一图抵万言，本文我们将介绍高效信息安全团队常用的八种数据可视化方法。一、层级树状图（Hierarchical Tree Map）层级树状图能以空间顺序非常直观地展现排名，例如展示IP地址和面向对象设计的类库等。层级树状图的单元通过颜色、尺寸和位置的不同体现排名。WatchGuard通过以上这个层

26、级树状图来高亮流量中有关活跃用户及其连接最关键的信息，而且还能进一步细分和过滤。二、关系图 Link Charts关系图的繁简程度视具体需要而定，主要功能是用于展示不同实体之间的关系，这在分析网状关系时非常有用。在安全分析领域，关系图能够有助更好地理解欺诈交易和网络监控数据。三、图形匹配（Graph Pattern Matching）图形匹配能快速发现行为趋势。例如在21CT的这张可视图表中，恶意数据抽取行为一目了然，外部机器（标记为旗帜）试图访问的内部机器（蓝色终端）闪电图形将触发警报。四、3D可视化3D可视化能够直观展示复杂攻击关系，大大节省安全分析人员的事件。例如，OpenDNS的研究人

27、员通过3D建模观察赎金木马Cryptolocker的多个域，来判断该木马造成的危害范围。五、时间线取证专家在分析事件时可借助时间线这种可视化方式更好地了解时间按的发展进程。虽然并非安全专用工具，但是i2的Analyst Notebook产品，提供了时间线功能（上图），以及其他一系列可视化工具。事实上i2的很多可视化工具完全可以为网络安全专家和情报专家在分析中使用。六、地理信息可视化基于地图的可视化方法有助于安全运营中心和研究人员标记地理攻击模式。例如Arbor网络的DDoS攻击地图，通过与Google Ideas的合作，以可视化互动的方式展示DDoS攻击的历史和趋势（数据来自Arbor网络的A

28、TLAS全球威胁监控系统）。七、平行坐标标记（Parallel Coordinate Plots）平行坐标标记能有效处理网络分析产生的大数据集，是非常强大的网络数据的可视化方法。上图是安全可视化专家Raffeal Marty绘制的网络日志数据图。八、标准图表虽然可视化技术听上去很酷，但是普通的标准图表的影响力不容忽视，例如柱状图、饼图、流程图等等，灵活使用也能发挥巨大作用。2.3 本章小结 本章详细介绍了网络信息安全可视化的8种常用形式，并在此基础上给出了网络信息安全可视化系统的设计方案流程图，说明了网络信息安全可视化的具体步骤。第三章 基于大数据的网络安全信息可视化系统关键技术本章对基于大数

29、据的网络安全信息可视化系统做了详细的分析和设计。简要概述了本系统的设计原则。然后对本系统结构设计做了简单描述，本系统基于MVC设计模式，实现了各模块间的低耦合，便于扩展。3.1用户接口与体验用户接口视觉效果的好坏，直接影响用户的体验，视觉效果设计涉及屏幕的布局、色彩的使用、信息的安排等。3.1.1主界面设计本文设计的可视化网络系统IDS View 的界面，在图形选择上采用了近年来流行的辐射状面板：(1)系统由辐射面板和内部的曲线2 个主要部分构成。辐射面板由2 个弧构成，左侧弧用于显示网络警报分类和警报，右侧较大区域用于显示子网(或自定义分组)和主机。弧的宽度表示所触发该警报类型的数量，弧度越

30、大表示该警报数越多。(2)环内的曲线用于显示警报细节，曲线的一端指向警报，另一端指向有关联的主机，环内曲线的粗细表示某种攻击对应具体主机的警报数量，曲线越粗，表示该种攻击的数量越多。(3)右边3 个辐射面板是对主视图的补充，分别显示本地主机端口所受攻击的源IP、源端口和警报类型信息。(4)所有的用户交互提示不会直接显示在辐射图上，当用户鼠标单击圆上的弧时，提示会出现在左侧的Alert Message 编辑框中。3.1.2色彩的选择与混和色彩选择主要与眼睛的分辨能力和视觉疲劳有关，实验证明，在视野范围内，人的视觉能力对有色彩对比时较仅有亮度对比时要强些，通常选择色彩对比时以色调对比为主，最容易引

31、起视觉疲劳颜色是蓝色和紫色(色调1)，其次是红色和橙色(色调2)，而黄色、绿色、蓝绿色、淡青色(色调3)等色调不易引起视觉疲劳，为了减轻视觉疲劳，还应该在视野范围中保持均匀的色彩明亮度。本文系统中对不同的警报类型用不同的色调表示，隶属于同一警报类型的警报用该色系不同亮度的颜色表示。主机弧的颜色由该主机所触发警报颜色共同混色决定，主机的颜色越接近某种警报的颜色，那么它受该种攻击数量就越多。这里有个颜色混合和视觉疲劳的矛盾，红绿蓝分别处于不同的视觉疲劳3 个等级中，如果安排上采用不易引起视觉疲劳的色调3，混色后的主机颜色同为该色系，不同的警报和主机从颜色上难以分辨，折中的方法是应用统计的方法，将警

32、报数量多的警报类型用色调3，警报数量少的警报类型用色调1，这样既考虑了视觉疲劳因素又满足了颜色混色需要。混色算法如下：假设选择红绿蓝(RGB)颜色模式，警报种类有N 种，警报颜色矩阵A 可表示为：其中，AiR、AiG、AiB 分别表示第i 警报的红绿蓝三分量，主机有M 台，主机颜色矩阵H 可表示为：其中，HjR、HjG、HjB 分别表示第j 台主机的红绿蓝三分量。当前的警报矩阵为C，Cij 表示攻击第j 台主机的第i 种警报的次数。主机颜色矩阵H 为：3.2图像闭塞性的降低随着警报时间段的增加，警报数量也大幅度提升，图形数据量激增，当达到1 h 及以上时间段时，图上数据拥挤、闭塞，难以发现数据

33、隐含的价值。本文主要从曲线的选择和数据预处理2 个方面进行设计。3.2.1曲线的选择为了保证图形的美观，环内弧线采用的是贝塞尔曲线，定义如下：本文系统中采用的是3 次曲线k=3，当时间段内警报数量较少时，图形显示清楚美观，容易区分，但如果警报数量激增，3 次曲线反而会因为图形过于均匀而造成图像闭塞拥挤。图1(a)时间段为5 min，图1(b)时间段为1 h，图1(c)时间段为12 h，此时警报信息已很难区分清楚了，图1(d)为改进后的三次曲线，时间段同为12 h。图1 三次贝塞尔曲线改进的方法是：对警报源相同的警报在环的左侧进行汇聚，对主机相同的警报在环的右侧进行汇聚处理，曲线采用了多段拟合三

34、次贝塞尔曲线。曲线绘制的关键在控制点的选择上，如果当前主机(警报)的中点角度为，当前子网(警报类)中点的角度为，圆半径为r，警报区(主机区)汇聚高度为h，汇聚宽度为d，当前圆心坐标为(0, 0)(可通过二维坐标变化得到)，则：相邻的两段三次贝塞尔曲线前段P3 和后段P0 重合，前段P2 点和后段P1 点的选择为经过前段P3 点(后段P0 点)贝塞尔曲线的切线上，如图2 所示。图2 多段三次曲线拟合3.2.2 数据预处理虽然在图形上采用了多段拟合曲线，但当时间段达到1 天以上时，图上数据还是较拥挤。根本解决办法是数据预处理，文献9-11分别采用了启发式算法、主原因分析算法和信息熵算法，本文系统中

35、采用的是主机警报优先权加权算法，算法中考虑到源(目的)地址和端口、协议、时间戳、数据包、攻击数量、攻击危害等多方面因子。WS_IP、WD_IP 为源IP 地址和目的IP 地址的加权因子，如果关注某段主机，则可以提高这些区域的权重；WS_port、WD_port 为源端口和目的端口的加权因子，端口是计算机和外部网络相连的逻辑接口，关注不同的端口一般可用于区分不同的攻击类型；WLength 为数据包长度加权因子，某些特定网络攻击总是伪造过长或较短的数据包；WAlarm 为警报危害级别加权因子，可以从传统的IDS 系统中获取相关系数；Abs 为本时间段中该主机所遭受绝对攻击数量，Abs 为本时间段中

36、全部攻击数量，Rel 为本时间该主机所遭受攻击数量相对于前次变化数量，Rel 为本时间段相对前段的全部变化数，因此，可得到：根据式(6)，按照关注点不同，可设计出不同的安全观察策略，满足不同观察角度的需要。图3 为提高了绝对攻击数量权重处理后的图形。图3 主机警报优先权加权图3.3 端口映射算法病毒、木马攻击的方式是多种多样的，计算机端口更是各类入侵“攻占”的重点部位，经过统计分析发现，攻击主要集中在2 个部分：(1)传统的端口01024，如80 端口Web 网站服务，21 端口FTP 服务，25 端口E-mail SMTP服务，110 端口E-mail POP3 服务等，这些服务是由来已久；

37、(2)高位端口1024 及以上，一些新的服务，如1433 端口SQL服务器，3389 端口远程服务，一些流行病毒的后门端口，如 TCP 2745、2946、3127、4168、5554、6129 端口，同样是入侵重点部位。同时发现，在固定时间段内，对高位端口的攻击是较为集中、连续的，所以在辅助图表现本地主机端口遭受攻击视图时，对低位端口和高位端口角度的计算采用了不同的处理算法，本地主机被攻击端口范围为6359464223。考虑低位端口范围不宽，主要为传统服务端口，攻击端口的概率分布符合均匀分布，对每个端口平等对待；高端口范围较广，而在固定时间内对某主机的攻击端口集中在一段区域，符合正太分布特点。假设高(低)端口开始角度为，高(低)端口结束角度为，port 为本次攻击端口号，portH、portL 为固定时间段内攻击端口的最大值和最小值，P(x)为攻击的概率密度，则攻击目的主机端口角度F(port)见式(7)：3.4 网络安全态势的评估与入侵分析网络安全态势是指在获取海量网络安全数据信息的基础上，通过解析信息之间的关联性对其进行融合，获取宏观的网