肖萬武+向?qū)?/p>

摘 要： 基于當(dāng)前現(xiàn)狀設(shè)計并實現(xiàn)計算機網(wǎng)絡(luò)安全可視化研究平臺。在對現(xiàn)有可視化工具包分析研究的基礎(chǔ)上，結(jié)合計算機網(wǎng)絡(luò)安全可視化研究的特點，提出計算機網(wǎng)絡(luò)安全可視化研究平臺的總體目標(biāo)：實現(xiàn)安全數(shù)據(jù)整合、可視化方法整合、分析操作整合。根據(jù)插件化、集成化、可擴展性、開放性、平臺無關(guān)性和易操作性等方面的具體要求，對該研究平臺進行設(shè)計并實現(xiàn)了原型系統(tǒng)。該平臺可作為計算機網(wǎng)絡(luò)安全可視化研究的工具，同時也可用于教學(xué)實驗、可視化方法測試、協(xié)作交流等工作。

關(guān)鍵詞： 計算機網(wǎng)絡(luò)安全； 信息可視化； 網(wǎng)絡(luò)包； 網(wǎng)絡(luò)流；數(shù)據(jù)方塊圖； 研究平臺

中圖分類號： TN915.08?34； TM417 文獻標(biāo)識碼： A 文章編號： 1004?373X（2017）01?0070?04

Abstract： The computer network security visualization research platform was designed and implemented aiming at the current situation. On the basis of analyzing the available visualization toolkit， the overall goal of the computer network security visualization research platform is proposed in combination with the characteristics of the computer network security visualization research， so as to implement the security data integration， visualization methods integration， analysis and operation integration. The research platform was designed according to the specifications of plug?ins， integration， scalability， openness， platform independence and easy operation. A prototype system was implemented. The platform can be regarded as the tool of the computer network security visualization research， and used in the teaching experiment， visualization method testing， and collaboration communication.

Keywords： computer network security； information visualization； network packet； network flow； data block diagram； research platform

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已成為現(xiàn)代生活的重要組成部分。目前，隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全問題也日益嚴重，安全研究正面臨新的挑戰(zhàn)[1]。計算機網(wǎng)絡(luò)安全可視化研究是信息可視化和計算機網(wǎng)絡(luò)安全研究結(jié)合的產(chǎn)物，是一個全新的研究課題。通過對該課題深入研究，可以幫助研究人員從全新的視角理解安全現(xiàn)象，進而揭示安全機理、發(fā)現(xiàn)安全規(guī)律，最終達到解決安全問題的目的[2]。

1 平臺設(shè)計

1.1 總體目標(biāo)

計算機網(wǎng)絡(luò)安全可視化研究平臺是要建立一個可用于計算機網(wǎng)絡(luò)安全可視化研究的統(tǒng)一支撐環(huán)境，方便研究人員基于不同的分析任務(wù)、使用多種可視化手段進行相關(guān)安全問題的可視化研究。該研究平臺達到的總體目標(biāo)是實現(xiàn)三個層次的整合，即對數(shù)據(jù)的整合、對可視化方法的整合、對分析操作的整合[3]。

數(shù)據(jù)整合是數(shù)據(jù)層面的整合，目的是提供對各種安全數(shù)據(jù)的支持，使各種數(shù)據(jù)都可以方便的在平臺中使用；可視化方法整合是方法層面的整合，目的是將眾多的可視化技術(shù)方法集成到平臺之中，為各種數(shù)據(jù)提供豐富的可視化表現(xiàn)形式，同時增強各種可視化方法之間的聯(lián)系，使各種方法可以相互協(xié)調(diào)、綜合運用；分析操作整合是應(yīng)用層面的整合，目的是在數(shù)據(jù)整合和可視化方法整合的基礎(chǔ)上為使用者提供一個統(tǒng)一的操作環(huán)境，屏蔽由于數(shù)據(jù)異構(gòu)性和可視化方法多樣性帶來的操作復(fù)雜性問題，使研究人員可以在該平臺上使用相對統(tǒng)一的操作過程完成各種安全可視化分析研究工作[4]。

1.2 設(shè)計要求

根據(jù)以上總體目標(biāo)，對計算機網(wǎng)絡(luò)安全可視化研究平臺的設(shè)計提出以下要求：

（1） 插件化。該平臺的基礎(chǔ)結(jié)構(gòu)應(yīng)該是一個插件的容器，各種功能的實現(xiàn)由具體功能插件完成。

（2） 集成化。該平臺是一個具備綜合能力的計算機安全可視化研究環(huán)境，需要對多種數(shù)據(jù)類型、多種可視化方法提供支持。

（3） 可擴展性?？紤]到未來發(fā)展的需要，該平臺應(yīng)該具備良好的可擴展性。

（4） 開放性。該平臺不是一個封閉的系統(tǒng)，需要與其他系統(tǒng)進行交互。

（5） 平臺無關(guān)性。為了滿足不同研究人員對操作系統(tǒng)使用的習(xí)慣，實現(xiàn)跨平臺運行能力，該平臺采用Java語言開發(fā)。

（6） 易操作性。該平臺需要為研究人員提供風(fēng)格統(tǒng)一的操作方式，屏蔽由于數(shù)據(jù)異構(gòu)性和可視化方法多樣性帶來的操作復(fù)雜性問題。

1.3 總體結(jié)構(gòu)

根據(jù)總體目標(biāo)和設(shè)計要求，計算機網(wǎng)絡(luò)安全可視化研究平臺包括數(shù)據(jù)處理模塊、信息可視化模塊、交互模塊和平臺管理控制模塊四個模塊[4]。其中，數(shù)據(jù)處理模塊主要負責(zé)完成數(shù)據(jù)的映射，將各種安全數(shù)據(jù)轉(zhuǎn)換為最終用于可視化表達的形式；信息可視化模塊完成數(shù)據(jù)的可視化映射，將數(shù)據(jù)處理模塊輸出的數(shù)據(jù)根據(jù)不同可視化方法轉(zhuǎn)換為相應(yīng)的視圖；交互模塊提供各種人機交互手段，幫助平臺使用者對可視化視圖進行交互式探索工作；平臺管理控制模塊是平臺的基礎(chǔ)框架，負責(zé)協(xié)調(diào)、控制其他功能模塊共同完成平臺使用者的各種分析研究任務(wù)，同時為其他功能模塊的運行提供所需環(huán)境[5]。

1.4 用戶對象

計算機網(wǎng)絡(luò)安全可視化研究平臺的使用主要針對兩類用戶：可視化算法的研究人員與基于可視化的安全分析人員。

可視化算法的研究人員通過創(chuàng)建新算法插件，將可視化方法集成到平臺中，利用平臺提供的數(shù)據(jù)處理功能，大大簡化數(shù)據(jù)的處理過程，使研究重點更容易集中于可視化算法本身。同時，利用平臺提供的多種可視化表達形式，方便研究人員對新老方法進行對比研究[6]。

基于可視化的安全分析人員通過該平臺進行安全數(shù)據(jù)的處理、可視化圖形的生成以及交互式的可視化分析等工作。根據(jù)分析任務(wù)的不同，分析人員可以選用多種可視化表達形式，從不同側(cè)面全方位地展示數(shù)據(jù)的內(nèi)在信息，再通過綜合運用各種分析手段快速發(fā)現(xiàn)數(shù)據(jù)背后隱藏的安全問題。

2 平臺實現(xiàn)

2.1 基礎(chǔ)平臺介紹

通過基礎(chǔ)平臺為其他各功能模塊的運行提供所需的支撐環(huán)境，同時負責(zé)協(xié)調(diào)、控制其他功能模塊共同完成平臺使用者的各種分析研究任務(wù)。基礎(chǔ)平臺對應(yīng)總體結(jié)構(gòu)中的平臺管理控制模塊。經(jīng)過調(diào)研對比，選擇KNIME（The Konstanz Information Miner，康斯坦茨信息挖掘器）作為計算機網(wǎng)絡(luò)安全可視化研究平臺原型系統(tǒng)的基礎(chǔ)平臺[7]。KNIME的主要特點如下：

（1） 使用工作流（Workflow）技術(shù)，可視化地展示了數(shù)據(jù)處理、分析、挖掘的全過程，并可以對各個處理步驟進行交互式操作設(shè)置。

（2） 使用節(jié)點（Node）處理單元，封裝各種處理功能，降低彼此間的耦合性，方便使用者進行功能擴展。

（3） 提供種類繁多的節(jié)點庫，根據(jù)具體的挖掘任務(wù)需要，選擇不同功能節(jié)點，將輸入輸出端口相互連接組成各種數(shù)據(jù)挖掘工作流。

對KNIME的數(shù)據(jù)結(jié)構(gòu)、節(jié)點和工作流進行簡要介紹，用于指導(dǎo)原型系統(tǒng)其他各功能模塊的開發(fā)。

2.1.1 數(shù)據(jù)結(jié)構(gòu)

在KNIME中使用DataTable類封裝節(jié)點之間流動的數(shù)據(jù)。DataTable包含數(shù)據(jù)的元信息和數(shù)據(jù)本身，其中每行數(shù)據(jù)都是DataRow對象，可以通過對DataRow實例的迭代，訪問數(shù)據(jù)表中的數(shù)據(jù)。每個DataRow中都包含一個惟一的標(biāo)識和一定數(shù)量的DataCell對象，該對象中保存著實際數(shù)據(jù)。

DataTable，DataRow和DataCell等主要類的相互依賴關(guān)系如圖1所示。

2.1.2 節(jié)點

節(jié)點是KNIME中最主要的處理單元，它通常會被組裝到一個工作流中。Node類封裝了節(jié)點的所有功能，用戶可以通過擴展NodeModel，NodeDialog和NodeView三個抽象類來開發(fā)自己的功能節(jié)點。NodeModel類主要承擔(dān)計算任務(wù)；NodeDialog類用來實現(xiàn)節(jié)點的配置對話框，用戶根據(jù)需要調(diào)整節(jié)點的相關(guān)參數(shù)，從而影響節(jié)點的執(zhí)行；NodeView類可以被重寫多次以實現(xiàn)在同一數(shù)據(jù)模型上顯示不同視圖。如果自定義的功能節(jié)點無需配置對話框和視圖窗體，可以不實現(xiàn)NodeDialog和NodeView類。節(jié)點的這種設(shè)計遵循了MVC設(shè)計模式[8]。另外，為了實現(xiàn)數(shù)據(jù)或模型在節(jié)點中的傳輸，每個節(jié)點都具有輸入輸出端口。節(jié)點及主要類的依賴關(guān)系如圖2所示。

2.1.3 工作流

在KNIME中，工作流就是由節(jié)點相互連接構(gòu)成的有向圖。在兩個節(jié)點間允許插入新節(jié)點和有向邊，而且工作流可以保存節(jié)點的狀態(tài)，需要時能夠進行返回。這種圖形化的表達方式使用戶可以按需定制所需的處理流程，并可以從宏觀上了解整個處理步驟。

通過上述介紹，KNIME系統(tǒng)作為基礎(chǔ)平臺基本滿足計算機網(wǎng)絡(luò)安全可視化研究平臺管理控制功能的設(shè)計需要。但是，就計算機網(wǎng)絡(luò)安全可視化研究這種具體應(yīng)用而言，缺少對安全數(shù)據(jù)的支持，缺少專用的安全可視化方法，所以無法支撐安全可視化方面的研究，還需要有針對性的開發(fā)相應(yīng)功能以滿足平臺的總體設(shè)計需求。

2.2 數(shù)據(jù)處理模塊實現(xiàn)

在計算機網(wǎng)絡(luò)安全可視化研究平臺的原型系統(tǒng)中，數(shù)據(jù)處理模塊主要提供對安全數(shù)據(jù)的支持能力，目前，已支持網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)（PCAP格式文件）和NetFlow網(wǎng)絡(luò)流數(shù)據(jù)（CSV格式文件）兩種安全數(shù)據(jù)類型。通過不同的功能節(jié)點可以完成數(shù)據(jù)的解析、格式的變換、內(nèi)部數(shù)據(jù)的生成及轉(zhuǎn)換等操作。此處以MatrixConverter節(jié)點實現(xiàn)為例，說明數(shù)據(jù)轉(zhuǎn)換構(gòu)件中功能節(jié)點的實現(xiàn)方法，其他數(shù)據(jù)解析構(gòu)件、數(shù)據(jù)映射構(gòu)件中功能節(jié)點的實現(xiàn)可以參考此例進行。

MatrixConverter節(jié)點主要負責(zé)對內(nèi)部數(shù)據(jù)進行轉(zhuǎn)換，具體功能是將NetFlow網(wǎng)絡(luò)流數(shù)據(jù)中以“源地址，目的地址，連接權(quán)值（某種連接屬性值）”形式存在的內(nèi)部數(shù)據(jù)轉(zhuǎn)換為以鄰接矩陣形式存在的內(nèi)部數(shù)據(jù)，為后續(xù)可視化節(jié)點的使用提供適合的數(shù)據(jù)表達形式。在execute（）方法中首先從節(jié)點的輸入端獲取數(shù)據(jù)；其次對該數(shù)據(jù)進行處理得到對應(yīng)的鄰接矩陣形式數(shù)據(jù)；最后將鄰接矩陣形式的數(shù)據(jù)送至節(jié)點的輸出端。

節(jié)點功能開發(fā)完成后，還需修改插件的入口文件plugin.xml，平臺將根據(jù)這個文件的設(shè)置加載插件。通過設(shè)置，MatrixConverter節(jié)點將會出現(xiàn)在節(jié)點庫的SecViz類別文件夾下，并可以提供相應(yīng)的處理功能。

2.3 信息可視化模塊實現(xiàn)

在計算機網(wǎng)絡(luò)安全可視化研究平臺的原型系統(tǒng)中，信息可視化模塊主要提供各種安全可視化方法。目前，已集成了網(wǎng)絡(luò)數(shù)據(jù)包數(shù)據(jù)方塊水平布局圖、堆疊布局圖和網(wǎng)絡(luò)流數(shù)據(jù)的鄰接矩陣圖等三種專用安全可視化方法。

MatrixViz功能節(jié)點的實現(xiàn)主要涉及三類：MatrixVizNodeModel類，MatrixVizNodeView類和MatrixVizViewPanel類。MatrixVizNodeModel類繼承了NodeModel抽象類，主要用于獲得待可視化的內(nèi)部數(shù)據(jù)；MatrixVizNodeView類繼承了NodeView抽象類，用于管理控制可視化視圖，它是完成可視化方法集成的關(guān)鍵類；MatrixVizViewPanel類繼承了Swing的JPanel類，用于創(chuàng)建顯示面板進行可視化繪制。首先定義MatrixVizViewPanel類型的成員變量m_viewPanel，用于繪制可視化視圖；其次在構(gòu)造函數(shù)中對MatrixVizViewPanel類進行實例化；最后顯示繪圖面板。MatrixVizNodeView類將數(shù)據(jù)對象和繪圖對象關(guān)聯(lián)在一起，共同完成特定的可視化功能。

2.4 交互模塊實現(xiàn)

交互功能的實現(xiàn)，可以利用AWT/Swing自身機制捕獲鼠標(biāo)、鍵盤等事件，并通過相應(yīng)的事件處理器完成對特定事件的響應(yīng)及處理。首先，通過addXxxListener（）方法將某類事件監(jiān)聽器或適配器注冊給指定的組件，當(dāng)該組件發(fā)生特定事件時，被注冊到該組件的事件監(jiān)聽器或適配器中對應(yīng)的事件處理器將被觸發(fā)，從而完成對該事件的響應(yīng)及處理。使用addMouseListener（）方法給繪圖面板m_viewPanel注冊鼠標(biāo)事件的適配器，用于監(jiān)聽鼠標(biāo)事件。同時，重寫mouseReleased（）和mousePressed（）方法，實現(xiàn)對鼠標(biāo)鍵松開、按下事件的處理。

3 平臺應(yīng)用實驗

3.1 展示性任務(wù)實驗

該實驗的目的是通過計算機網(wǎng)絡(luò)安全可視化研究平臺生成待分析數(shù)據(jù)的可視化視圖。實驗使用的數(shù)據(jù)是一個CSV格式的NetFlow網(wǎng)絡(luò)流數(shù)據(jù)文件（文件名為DisplayTest_NetFlow.csv），并使用鄰接矩陣圖作為最終的可視化表達形式。通常，進行這種展示性任務(wù)一般包括三個步驟：

第一步，構(gòu)建任務(wù)工作流；

第二步，對各功能節(jié)點進行必要配置（某些節(jié)點無需配置）；

第三步，依次執(zhí)行工作流中的各節(jié)點，得到最終的可視化結(jié)果。

在第一步中構(gòu)建的任務(wù)工作流，使用了四個功能節(jié)點：CSV文件讀取節(jié)點（CSVReader）、列過濾器節(jié)點（ColumnFilter）、矩陣轉(zhuǎn)換器節(jié)點（MatrixConverter）和矩陣圖可視化節(jié)點（MatrixViz）。CSVReader節(jié)點負責(zé)數(shù)據(jù)文件的讀??；ColumnFilter節(jié)點和MatrixConverter節(jié)點負責(zé)內(nèi)部數(shù)據(jù)格式的轉(zhuǎn)換；MatrixViz節(jié)點負責(zé)視圖的繪制與顯示。

第二步是對各功能節(jié)點進行必要配置，此任務(wù)中需要在CSVReader節(jié)點中指定DisplayTest_NetFlow.csv文件的路徑，同時通過Column Filter節(jié)點選擇后續(xù)處理所需的數(shù)據(jù)列，MatrixConverter和MatrixViz節(jié)點無需配置。最后，依次運行各節(jié)點，執(zhí)行相應(yīng)的節(jié)點功能，得到NetFlow網(wǎng)絡(luò)流數(shù)據(jù)的鄰接矩陣圖，如圖3所示。

3.2 探索性任務(wù)實驗

該實驗的目的是通過計算機網(wǎng)絡(luò)安全可視化研究平臺分析安全數(shù)據(jù)、發(fā)現(xiàn)數(shù)據(jù)中存在的異?，F(xiàn)象。實驗使用了兩類安全數(shù)據(jù)：一類是PCAP格式的網(wǎng)絡(luò)包數(shù)據(jù)（文件名為ExploreTest.pcap）；另一類是由網(wǎng)絡(luò)包數(shù)據(jù)處理得到的CSV格式的NetFlow網(wǎng)絡(luò)流數(shù)據(jù)（文件名為ExploreTest_NetFlow.csv）。與展示性任務(wù)不同，探索性任務(wù)通常需要綜合使用多種可視化手段和分析方法，經(jīng)過不斷地迭代探索過程才能得到最終的結(jié)論。

在對安全數(shù)據(jù)進行探索性分析時，一般的思路是“從整體到細節(jié)”，即先從數(shù)據(jù)的整體特征上分析有無異常現(xiàn)象，然后再進一步分析數(shù)據(jù)的細節(jié)特征。根據(jù)這一思路，最終完成該探索性任務(wù)的工作。

（1） 網(wǎng)絡(luò)流數(shù)據(jù)處理子工作流。包括兩個處理分支：鄰接矩陣圖繪制和平行坐標(biāo)圖繪制，用于從不同側(cè)面展示數(shù)據(jù)特征。同展示性任務(wù)的工作流相比，該工作流多了行過濾器節(jié)點（Row Filter）和平行坐標(biāo)圖可視化節(jié)點（Parallel Coordinates）。Row Filter節(jié)點負責(zé)對數(shù)據(jù)行進行過濾；Parallel Coordinates節(jié)點負責(zé)繪制平行坐標(biāo)可視化圖形，該功能節(jié)點是基礎(chǔ)平臺提供的一種經(jīng)典可視化方法。

（2） 網(wǎng)絡(luò)數(shù)據(jù)包處理子工作流。使用了兩個功能節(jié)點：PCAP文件讀取節(jié)點（PCAP Reader）和數(shù)據(jù)方塊圖可視化節(jié)點（PacketViz）。其中，PCAP Reader節(jié)點負責(zé)讀取PCAP格式的網(wǎng)絡(luò)數(shù)據(jù)包；PacketViz節(jié)點負責(zé)繪制網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)方塊圖。

在進行探索性分析時，首先對網(wǎng)絡(luò)流數(shù)據(jù)進行分析，獲取對網(wǎng)絡(luò)中數(shù)據(jù)傳輸關(guān)系的全面理解。接下來，利用平行坐標(biāo)圖對135.2.1.2節(jié)點進行有針對性的可視化分析。最后，為了進一步挖掘掃描攻擊的細節(jié)信息，選用網(wǎng)絡(luò)流數(shù)據(jù)對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包，該數(shù)據(jù)中記錄了網(wǎng)絡(luò)通信中最原始的信息。

通過以上使用不同的安全數(shù)據(jù)，采用各種可視化手段進行綜合分析，得出如下結(jié)論：網(wǎng)絡(luò)中主機135.2.1.2正在對網(wǎng)絡(luò)進行掃描攻擊，且攻擊類型為TCPSYN端口掃描攻擊。

通過應(yīng)用實驗，討論計算機網(wǎng)絡(luò)安全可視化研究平臺在可視化展示和可視化探索中的應(yīng)用。該安全可視化研究平臺綜合使用各種可視化方法（如鄰接矩陣圖、平行坐標(biāo)圖、數(shù)據(jù)方塊圖等），針對多種安全數(shù)據(jù)（如網(wǎng)絡(luò)包數(shù)據(jù)、網(wǎng)絡(luò)流數(shù)據(jù)等）進行集中統(tǒng)一的處理，基本達到平臺的總體目標(biāo)，能夠為安全可視化研究提供整合的支持環(huán)境。另外，使用工作流方式進行安全可視化分析，方便建立標(biāo)準(zhǔn)規(guī)范的分析步驟，為安全可視化分析研究提供指導(dǎo)和幫助。

4 結(jié) 論

本文在對現(xiàn)有可視化工具包（或整合系統(tǒng)）分析研究的基礎(chǔ)上，結(jié)合計算機網(wǎng)絡(luò)安全可視化研究的特點，提出計算機網(wǎng)絡(luò)安全可視化研究平臺的總體目標(biāo)：實現(xiàn)安全可視化研究三個層次的整合，即數(shù)據(jù)整合、可視化方法整合、分析操作整合。根據(jù)插件化、集成化、可擴展性、開放性、平臺無關(guān)性和易操作性等方面的具體要求，對該研究平臺進行設(shè)計，并實現(xiàn)原型系統(tǒng)。針對可視化展示和可視化探索兩種不同的任務(wù)類型，對該研究平臺的原型系統(tǒng)進行應(yīng)用實驗。

參考文獻

[1] 靖培棟.信息可視化—情報學(xué)研究的新領(lǐng)域[J].情報科學(xué)，2003，21（7）：685?687.

[2] 郭陟，萬海，顧明.可視化安全審計模型與系統(tǒng)框架研究[C]//全國網(wǎng)絡(luò)與信息安全技術(shù)研討會2004論文集.北京：中國通信學(xué)會，2004：433?437.

[3] 周寧.信息可視化技術(shù)在端口掃描檢測中的應(yīng)用研究[D].天津：天津大學(xué)，2007.

[4] 李忠武，陳麗清.計算機網(wǎng)絡(luò)安全評價中神經(jīng)網(wǎng)絡(luò)的應(yīng)用研究[J].現(xiàn)代電子技術(shù)，2014，37（10）：80?82.

[5] 任磊，王威信，周明駿，等.一種模型驅(qū)動的交互式信息可視化開發(fā)方法[J].軟件學(xué)報，2008，19（8）：1947?1964.

[6] SHIRAVI A， SHIRAVI H， TAVALLAEE M， et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection [J]. Computers & security， 2012， 31（3）： 357?374.

[7] 葉云，徐錫山，賈焰，等.基于攻擊圖的風(fēng)險鄰接矩陣研究[J].通信學(xué)報，2011，32（5）：112?120.

[8] 占俊.基于自適應(yīng)BP神經(jīng)網(wǎng)絡(luò)的計算機網(wǎng)絡(luò)安全評價[J].現(xiàn)代電子技術(shù)，2015，38（23）：85?88.