辐状节点链接图在IPS日志分析中的研究与应用.docx

该【辐状节点链接图在IPS日志分析中的研究与应用 】是由【科技星球】上传分享，beplayapp体育下载一共【22】页，该beplayapp体育下载可以免费在线阅读，需要了解更多关于【辐状节点链接图在IPS日志分析中的研究与应用 】的内容，可以使用beplayapp体育下载的站内搜索功能，选择自己适合的beplayapp体育下载，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此beplayapp体育下载到您的设备，方便您编辑和打印。辐状节点链接图在IPS日志分析中的研究与应用??张胜,施荣华,赵珏?辐状节点链接图在IPS日志分析中的研究与应用张胜1,2,施荣华1,赵珏2(,湖南长沙,410083;,湖南长沙,410205)为了提高IPS(入侵防御系统)日志分析的效率和精准度,提出一种辐状节点链接图可视化分析方法。针对经典节点链接图随着数据量增加,节点变得拥挤、层次难以区分、空间利用率不高等问题,结合节点链接图和辐射图的优势,设计一种新的可视化技术变形即辐状节点链接图。分析VAST2013Challenge比赛中IPS日志。研究结果表明:在大数据环境下,该技术能够合理分布节点以区分不同维度的IPS属性,利用可视化筛选降低图像密度,改进布局算法以合理利用显示面积以及产生图形的聚类;该方法能有效地感知网络安全态势,辅助分析人员决策;该辐状节点链接图的数据维度表现能力和业务层次控制能力较强。节点链接图;辐射图;网络安全日志;入侵防御系统;可视化分析网络空间在国际政治和经济中的地位日趋重要,而全球网络安全形势却日益复杂。为了保证网络安全,各种安全设备应运而生,如IPS、IDS(入侵检测)、Firewall(防火墙)、AV(病毒查杀)、Netflow(流量监控)等,这些设备不断产生海量的日志数据。然而,传统方法对分析现代网络安全大数据作用有限。目前日志数据量呈级数增加,网络安全分析人员认知负担重;新环境下的攻击类型和模式不断变化,使得传统的分析方法不再有效;态势感知能力欠缺,缺乏对网络全局信息的认识,不能提前防御、预测攻击[1?3]。如何帮助网络安全分析人员更高效地分析网络安全数据成为网络安全领域中亟待解决的一个非常重要的问题。网络安全可视化作为一个新兴的领域,涌现出一批可视化安全工具,在网络安全领域发挥着越来越重要的作用。可视化系统将网络安全数据以图像的方式展现出来,利用人类认知能力和判别模式强的特点对图像进行分析,洞察复杂数据中隐含的模式、趋势、结构和异常,形成高效、准确的人机感知、分析、判断和决策系统[4?5]。流行的网络攻击主要有Dos(拒绝服务)、Portscan(端口扫描)、(僵尸网络)、Brut-force-attack(暴力猜解)、病毒、木马等[6?8]。IPS设备虽然能够即时中断、调整或隔离一些不正常或具有伤害性的网络传输行为,但是不能具体区分是何种攻击,安全问题的确认主要依靠管理员的分析能力。为此,本文作者提出用节点链接图来分析日志,确诊安全问题,感知网络态势。首先,对链接图的节点布局模式进行改进,形成辐射环外观,以提高可视图形的层次感,使其可以容纳更多网络节点;然后,改进边的连接方式,采用贝塞尔曲线在接入点进行汇聚,方便问题分析;最后,通过利用可视化筛选技术,降低图像闭塞性(occlusion),突出关注对象,抓住网络攻击变化的瞬间。1节点链接技术网络数据常用的可视化技术有node-linkdiagrams(节点链接图)、arcdiagrams(弧图)、adjacencymatrices(邻接矩阵)、circularlayouts(圆形布局图)等,这些技术各有优劣[9]。对于层次结构的网络数据,父子关系的节点链接图是一个重要的表示形式。它将数据组织成一个类似于树节点的连接结构,节点和连线表示数据维度和它们之间的关系,广泛应用于网络取证[10]、无线传感器网络节点配置[11]、主机行为监控[12]等方面。人们对该图的布局技术进行了改进,如缩小交叉边的数量、降低长短边长的比率、提高对称性等,但是,当节点和边大量增加时,通常会遇到闭塞性问题,也就是说,相互交错重叠的节点和连线会使得图像难以分析和交互,造成视觉混淆现象[13]。目前,研究人员从不同角度提高节点链接图的可读性与可用性,如:HUANG等[14]采用forceAR算法提高角分辨率(相邻两边的分离角度标准),以提高图像美观度和方便人类理解;WORDBRIDGE系统对节点和连接都采用标签云表示,用标签云的关键字突出联系的本质特点[15];WARE等[16]采用交互手段访问大图,当鼠标点击时,相应的子图会被点亮,并认为这种交互强调的办法比静态方法更有效;SIDEKNOT系统设计了一种高效算法,使边在节点附近进行捆绑和打结,以避免视觉混乱和突出连接趋势,适合超大型网络结构[17];李志刚等[18]提出了一种面向层次数据的力导向布局算法,将不同层次的边赋予不同初始弹簧长度,SECRADAR系统结合了节点接图和圆形布局图来展现网络安全数据,以便于更好地利用圆中心面积,节点采用力导向布局在圆内排列上千个工作站点而不显拥挤[19]。节点链接图相对于其他点阵表示方法最大的优势在于能理解内在联系和路径查找直接。通过对布局模式进行改进,结合其他技术来展开信息可视化,是未来节点链接图技术发展的新方向。2基于节点链接图的辐射状表示法随着大数据时代来临,可视化分析对象变得越来越复杂。对于节点链接图,当节点数超过20到30个,边数达到节点数1倍时,图像会变得视觉混乱[16]。本研究尝试改进节点链接的布局技术,对整体采用辐射状布局,拟达到以下目的:1)将不同类型的节点布局在不同半径的圆环上,同时用符号(Glyph)进行标记,从图像上可以直观区分节点类型,同时容纳更多节点;2)在大数据环境下,通过可视化筛选,去除非关键节点,保留问题的主干;3)通过边捆绑技术,产生图形聚类,提高非专业人士的态势感知能力。可视化框架见图1(a)。假设辐状节点链接图表示为(,)(其中,为结点的集合,为边的集合),结点分为{1,2,…,N}共||种类型,第N种类型由{N1,N2,…,N}共|N|个结点组成,表示指向结点N的上层结点{(i?1),1,(i?1),2,…,(i?1),k}共个。N(,)表示点N的极坐标定位(其中,为半径,为角度),则式(1)解释了N(,)的布置方法:若最内层结点(最后1种类型)的数量为1,则它占据圆心位置,否则它的半径按结点类型编号递减(为层数,从外向内分别为1,2,3,…;为最外层辐射圆环的半径,可根据显示面积决定)。最内层结点的角度由节点数量平分2π弧度,其他层结点的位置由它所指向节点(它的下一层节点)的位置决定,它们均匀地分布在被指向节点的外环两侧,保证了聚类的需要。若1个结点指向多个结点,则它会聚类于指向次数最多的结点。同时,系统也提供了自定义节点位置功能,可以通过鼠标拖放实现。在可视化框架上,首先考虑不同类型数据的层次区分,它们依次排列在以圆心为中心的辐射圆环上,这样既避免了不同类型数据节点拥挤,又有效地减少了边连接时交叉的产生。不同的节点采用不同色系,方便区分。同时,考虑到色弱者或纸制印刷品的需要,节点还采用了符号标记(Glyph)[20]进行补充,部分符号标记方法见表1。对于连接节点的边采用边捆绑技术,进入同一节点的边通过贝塞尔曲线进行汇聚,这样可进一步避免边的交叉,图像构成上也更加清晰。同时,有共同目标的节点会自动汇聚在一起,自然形成了聚类,如图1(b)所示。图1(b)显示了内部主机()根据业务需要,成群组地访问(汇聚于)外部服务器()的80端口,服务器对这些连接有时建立,有时拆除(build和teardown),整图上像1只发光的眼睛(魔眼图)。表1符号标记说明3可视化转换与筛选使用同一数据源的不同维度可以产生不同的可视化映射结构,合理选择数据维度是可视化转化的关键。不同数据维度展示了实际场景的不同影响因素,设计者需要抽取出这些数据维度中的关键因素来为目的服务。这里,建议选择3~4个维度来设计(若维度太多,则不适合辐状节点链接图表示,图像会变得拥挤蔽塞;若维度太少,则无法充分表示场景细节)。同时,还应该合理改变节点次序,以便更加自然地形成图像聚集。建议将数据可能(数据取值)较少的维度放在圆心处(圆心处可用于显示的面积少),而将数据可能(数据取值)较多的维度置于圆的外辐射圈。表2所示为一些常用的网络安全数据用例,在数据映射模式中从左到右地排列转换为节点链接图中从外到内布局。表2网络安全用例的数据映射模式作为视觉传达的可视图,如何让信息更直观清晰、剔除不确定性理解是研究重点。可视化筛选旨在操作中帮助用户定位,避免不明确操作产生的高成本,通过对复杂图像的进一步挖掘,从中找出实质性内容。当图像变得拥挤时,管理员可以针对性地进行可视化筛选,如去除某些维度,或者关注某些特定对象,以降低图像的密度,突出用例关注的重点。4用例分析本研究选取的实验数据来自可视化国际会议IEEEVIS2013举办的可视分析挑战赛VASTChallenge。比赛数据提供了某跨国公司内部网络(主机和服务器1100台)约1648万条IPS日志。(a)。从图2(a)可见:该时间窗口内主机服务打开的端口不多,有常规端口80以及高位端口3389和7080等(符号标志为),主机建立(Build)和拆除(Teardown)的端口服务主要是80(HTTP服务);而拒绝(Deny)的端口除了80外,还有很多高位端口,如3389端口是Windows远程登陆端口,7080端口是VMware服务端口,这些都是重要服务的端口,若被黑客和恶意程序利用,则将对内部服务器造成无法估量的破坏和损失。IPS拒绝了对这些端口的连接是对内部服务器安全保障的重要体现。图2(b)所示图形形似2只眼睛,采用模式2,展示了内部客户成组访问外部服务器的用例。外部服务器有规律地建立和拆除连接,网络运行平稳和正常。但存在一个奇怪现象,即辐状节点链接图由外往内第2圈,排列了大量的端口(符号标志为),每台内部客户机都使用1个不同的端口对外网服务器进行访问。连接,这是一种将私有(保留)地址转化为合法IP地址的转换技术,不仅解决了IP地址不足的问题,而且能够有效地避免来自网络外部的攻击,隐藏并保护网络内部计算机。(a)主机服务用例;(b)客户机访问用例(双瞳图)?04?10T12:25,IPS阻止了大量针对某些内部主机的有序连接,如图3(a)所示(模式3),其中外圈由DestPort构成(符号标志为),外网主机对内部机器的大量端口进行了探查,?9,?5等形成了蛙眼一样的形状。由于图3(a)中端口太多,密密麻麻叠在一起,掩盖了其他细节。在数据映射模式中进行可视化筛选,去掉DestPort维度,所得结果见图3(b)。从图3(b)可见:,。?04?11T11:55,IPS报出了3个警报信息即ASA?6?302013,ASA?6?302014和ASA?4?106023,其中有2个6级和1个4级(警报分为7级,级数越小,危险越大),见图4(a)。可视化映射采用表2中的模式4,图4(a)中被拒绝(Deny)连接报出的警报是4级。ASA?4?106023表示ACL拒绝了对真实地址的访问,十分可疑,查询内部地址映射表,这些主机(?5,?)对外提供了WEB,Email和DNS等服务,是内部重要服务器,且都服务响应迟缓。对图像进行可视化筛选,只留下ASA?4?106023相关的数据,得到图4(b)。从图4(b)。?04?12T08:24,IPS报出了大量警报信息ASA?6?302013和ASA?6?302014,像2条倾泻的河水,这2个警报分别表示建立和拆除TCP连接,虽然等级为6级,危害较低,但是大量产生。僵尸网络感染图见图5。从图5(a)(模式5)可见绝大部分连接的双方只有一方产生警告(入度或出度为2)。,本文作者重新规划了该主机的位置,使其独立于圆环外,可发现该主机作为SrcIP和DestIP同时产生了警告(入度和出度都为2)。其原因是外部控制端对内部受控主机发送大量的控制会话小包,造成IPS不断大量地拆除和建立连接。对图像进行筛选,,见图5(b),。