以网络安全为例的大数据可视化设计
大数据可视化是个热门话题,在信息安全领域,也由于很多企业希望将大数据转化为信息可视化呈现的各种形式,以便获得更深的洞察力、更好的决策力以及更强的自动化处理能力,数据可视化已经成为网络安全技术的一个重要趋势。
一、什么是网络安全可视化
攻击从哪里开始?目的是哪里?哪些地方遭受的攻击最频繁……通过大数据网络安全可视化图,我们可以在几秒钟内回答这些问题,这就是可视化带给我们的效率。大数据网络安全的可视化不仅能让我们更容易地感知网络数据信息,快速识别风险,还能对事件进行分类,甚至对攻击趋势做出预测。可是,该怎么做呢?
1.1 故事+数据+设计=可视化
做可视化之前,最好从一个问题开始,你为什么要做可视化,希望从中了解什么?是否在找周期性的模式?或者多个变量之间的联系?异常值?空间关系?比如政府机构,想了解全国各个行业漏洞的分布概况,以及哪个行业、哪个地区的漏洞数量最多;又如企业,想了解内部的访问情况,是否存在恶意行为,或者企业的资产情况怎么样。总之,要弄清楚你进行可视化设计的目的是什么,你想讲什么样的故事,以及你打算跟谁讲。
有了故事,还需要找到数据,并且具有对数据进行处理的能力,图1是一个可视化参考模型,它反映的是一系列的数据的转换过程:
我们有原始数据,通过对原始数据进行标准化、结构化的处理,把它们整理成数据表。
将这些数值转换成视觉结构(包括形状、位置、尺寸、值、方向、色彩、纹理等),通过视觉的方式把它表现出来。例如将高中低的风险转换成红黄蓝等色彩,数值转换成大小。
将视觉结构进行组合,把它转换成图形传递给用户,用户通过人机交互的方式进行反向转换,去更好地了解数据背后有什么问题和规律。
最后,我们还得选择一些好的可视化的方法。比如要了解关系,建议选择网状的图,或者通过距离,关系近的距离近,关系远的距离也远。
总之,有个好的故事,并且有大量的数据进行处理,加上一些设计的方法,就构成了可视化。
1.2 可视化设计流程
一个好的流程可以让我们事半功倍,可视化的设计流程主要有分析数据、匹配图形、优化图形、检查测试。首先,在了解需求的基础上分析我们要展示哪些数据,包含元数据、数据维度、查看的视角等;其次,我们利用可视化工具,根据一些已固化的图表类型快速做出各种图表;然后优化细节;最后检查测试。
具体我们通过两个案例来进行分析。
二、案例一:大规模漏洞感知可视化设计
图2是全国范围内,各个行业漏洞的分布和趋势,橙黄蓝分别代表了漏洞数量的高中低。
2.1整体项目分析
我们在拿到项目策划时,既不要被大量的信息资料所迷惑而感到茫然失措,也不要急于完成项目,不经思考就盲目进行设计。首先,让我们认真了解客户需求,并对整体内容进行关键词的提炼。可视化的核心在于对内容的提炼,内容提炼得越精确,设计出来的图形结构就越紧凑,传达的效率就越高。反之,会导致图形结构臃肿散乱,关键信息无法高效地传达给读者。
对于大规模漏洞感知的可视化项目,客户的主要需求是查看全国范围内,各个行业的漏洞分布和趋势。我们可以概括为三个关键词:漏洞量、漏洞变化、漏洞级别,这三个关键词就是我们进行数据可视化设计的核心点,整体的图形结构将围绕这三个核心点来展开布局。
2.2分析数据
想要清楚地展现数据,就要先了解所要绘制的数据,如元数据、维度、元数据间关系、数据规模等。根据需求,我们需要展现的元数据是漏洞事件,维度有地理位置、漏洞数量、时间、漏洞类别和级别,查看的视角主要是宏观和关联。涉及到的视觉元素有形状、色彩、尺寸、位置、方向,如图4。
2.3匹配图形
分析清楚数据后,就要找个合适的箱子把这些“苹果”装进去。上一步,或许还可以靠自身
的逻辑能力,采集到的现成数据分析得到,而这一步更多地需要经验和阅历。幸运的是,现在已经有很多成熟的图形可以借鉴了。从和业务的沟通了解到,需要匹配的图形有中国地图、饼图、top图、数字、趋势等。
2.4确定风格
匹配图形的同时,还要考虑展示的平台。由于客户是投放在大屏幕上查看,我们对大屏幕的特点进行了分析,比如面积巨大、深色背景、不可操作等。依据大屏幕的特点,我们对设计风格进行了头脑风暴:它是实时的,有紧张感;需要新颖的图标和动效,有科技感;信息层次是丰富的;展示的数据是权威的。
最后根据设计风格进一步确定了深蓝为标准色,代表科技与创新;橙红蓝分别代表漏洞数量
的高中低,为辅助色;整体的视觉风格与目前主流的扁平化一致。
2.5优化图形
有了图形后,尝试把数据按属性绘制到各维度上,不断调整直到合理。虽然这里说的很简单,但这是最耗时耗力的阶段。维度过多时,在信息架构上广而浅或窄而深都是需要琢磨的,而后再加上交互导航,使图形更“可视”。
在这个任务中,图形经过很多次修改,图7是我们设计的过程稿,深底,高亮的地图,多颜色的攻击动画特效,营造紧张感;地图中用红、黄、蓝来呈现高、中、低危的漏洞数量分布情况;心理学认为上方和左方易重视,“从上到下”“从左至右”的“Z”字型的视觉呈现,简洁清晰,重点突出。
完成初稿后,我们进一步优化了维度、动效和数量。维度:每个维度,只用一种表现,清晰易懂;动效:考虑时间和情感的把控,从原来的1.5ms改为3.5ms;数量:考虑了太密或太疏时用户的感受,对圆的半径做了统一大小的处理。
2.6检查测试
最后还需要检查测试,从头到尾过一遍是否满足需求;实地投放大屏幕后,用户是否方便阅读;动效能否达到预期,色差是否能接受;最后我们用一句话描述大屏,用户能否理解。【编辑推荐】
大数据变现的关键途径是——可视化
为啥神经网络里的BP算法花了那么久才被发明?
大道至简:玩转数据可视化
时间图:长时间内离散事件的可视化
大数据下有反欺诈“大安全”
数据管理系统企业级数据可视化项目Html5 应用实践 项目经理:李雪莉 组员:申欣邹丽丹陈广宇陈思 班级:大数据&数字新媒体 一、项目背景 随着大数据、云计算和移动互联网技术的不断发展,企业用户对数据可视化的需求日益迫切。用户希望能够随时随地简单直观的了解企业生产经营、绩效考核、关键业务、分支机构的运行情况,即时掌握突发性事件的详细信息,快速反应并作出决策。随着企业信息化的不断推进,企业不断的积累基础信息、生产运行、经营管理、绩效考核、经营分析等以不同形式分布在多个系统或个人电脑文档内的业务数据。如何将大量的数据进行分析整理,以简单、直观、高效的形式提供给管理者作为经营决策的依据是当前企业数据应用的迫切需求。传统的企业数据可视化方案多基于Java Applet、Flash、Silverlight 等浏览器插件技术进行开发,在当前互联网和移动互联网技术高速发展的背景下,Web技术标准也随之高速发展,用户对互联网技术安全性和使用体验的要求越来越高。Java Applet、Flash、Silverlight 等浏览器插件技术因为落后和封闭的技术架构,以及高功耗、高系统
资源占用,已经被微软、谷歌、苹果、火狐等主流操作系统和浏览器厂商逐步放弃,转而不断支持和完善基于HTML5的新一代Web技术标准 对数据进行直观的拖拉操作以及数据筛选等,无需技术背景,人人都能实现数据可视化无论是电子表格,数据库还是 Hadoop 和云服务,都可轻松分析其中的数据。 数据可视化是科学、艺术和设计的结合,当枯燥隐晦的数据被数据科学家们以优雅、简明、直观的视觉方式呈现时,带给人们的不仅仅是一种全新的观察世界的方法,而且往往具备艺术作品般的强大冲击力和说服力。如今数据可视化已经不局限于商业领域,在社会和人文领域的影响力也正在显现。 数据可视化的应用价值,其多样性和表现力吸引了许多从业者,而其创作过程中的每一环节都有强大的专业背景支持。无论是动态还是静态的可视化图形,都为我们搭建了新的桥梁,让我们能洞察世界的究竟、发现形形色色的关系,感受每时每刻围绕在我们身边的信息变化,还能让我们理解其他形式下不易发掘的事物。 二、项目简介 目前,金融机构(银行,保险,基金,证劵等)面临着诸如利率汇率自由化,消费者行为改变,互联网金融崛起等多个挑战。为满足企业的发展需要,要求管理者运用大数据管理以更为科学的手段对企
2018年度大数据时代的互联网信息安全 1.我们经常从网站上下载文件、软件,为了确保系统安全,以下哪个处理措施最正确。(B )(单选题2分) A.直接打开或使用 B.先查杀病毒,再使用 C.习惯于下载完成自动安装 D.下载之后先做操作系统备份,如有异常恢复系统 2.使用微信时可能存在安全隐患的行为是?(A )(单选题2分) A.允许“回复陌生人自动添加为朋友” B.取消“允许陌生人查看10张照片”功能 C.设置微信独立帐号和密码,不共用其他帐号和密码 D.安装防病毒软件,从官方网站下载正版微信 3.日常上网过程中,下列选项,存在安全风险的行为是?(B )(单选题2分) A.将电脑开机密码设置成复杂的15位强密码 B.安装盗版的操作系统 C.在QQ聊天过程中不点击任何不明链接 D.避免在不同网站使用相同的用户名和口令 4.我国计算机信息系统实行(B )保护。(单选题2分) A.主任值班制 B.安全等级 C.责任制 D.专职人员资格 5.重要数据要及时进行(C ),以防出现意外情况导致数据丢失。(单选题2分) A.杀毒 B.加密 C.备份 D.格式化 6.小强接到电话,对方称他的快递没有及时领取,请联系XXXX电话,小强拨打该电话后提供自己的私人信息后,对方告知小强并没有快递。过了一个月之后,小强的多个账号都无法登录。在这个事件当中,请问小强最有可能遇到了什么情况?(B )(单选题2分) A.快递信息错误而已,小强网站账号丢失与快递这件事情无关 B.小强遭到了社会工程学诈骗,得到小强的信息从而反推出各种网站的账号密码 C.小强遭到了电话诈骗,想欺骗小强财产 D.小强的多个网站账号使用了弱口令,所以被盗。 7.没有自拍,也没有视频聊天,但电脑摄像头的灯总是亮着,这是什么原因(A )(单选题2分) A.可能中了木马,正在被黑客偷窥 B.电脑坏了 C.本来就该亮着 D.摄像头坏了 8.刘同学喜欢玩网络游戏。某天他正玩游戏,突然弹出一个窗口,提示:特大优惠!1元可购买10000元游戏币!点击链接后,在此网站输入银行卡账号和密码,网上支付后发现自己银行卡里的钱都没了。结合本实例,对发生问题的原因描述正确的是?(C )(单选题2分)A.电脑被植入木马
1.网盘是非常方便的电子资料存储流转工具。不仅不占用空间,而且在任何电脑上都能访问,下面这些使用网盘的做法中,哪一项会造成个人隐私信息泄露的风险?()(单选题2分) 得分:2分 C.将所有信息保存在云盘,设置一个复杂的云盘密码,然后将密码信息保存在电脑D 盘的文件夹中 2.位置信息和个人隐私之间的关系,以下说法正确的是()(单选题2分)得分:2分 C.需要平衡位置服务和隐私的关系,认真学习软件的使用方法,确保位置信息不泄露 3.你收到一条10086发来的短信,短信内容是这样的:“尊敬的用户,您好。您的手机号码实名制认证不通过,请到XXXX网站进行实名制验证,否则您的手机号码将会在24小时之内被停机”,请问,这可能是遇到了什么情况?()(单选题2分)得分:2分 D.伪基站诈骗 4.我们在日常生活和工作中,为什么需要定期修改电脑、邮箱、网站的各类密码?()(单选题2分)得分:2分 D.确保个人数据和隐私安全 5.浏览网页时,弹出“最热门的视频聊天室”的页面,遇到这种情况,一般怎么办?()(单选题2分)得分:2分 D.弹出的广告页面,风险太大,不应该去点击 6.在某电子商务网站购物时,卖家突然说交易出现异常,并推荐处理异常的客服人员。以下最恰当的做法是?()(单选题2分)得分:2分 C.通过电子商务官网上寻找正规的客服电话或联系方式,并进行核实 7.重要数据要及时进行(),以防出现意外情况导致数据丢失。(单选题2分)得分:2分 C.备份 8.我国计算机信息系统实行()保护。(单选题2分)得分:2分 B.安全等级 9.当前网络中的鉴别技术正在快速发展,以前我们主要通过账号密码的方式验证用户身份,现在我们会用到U盾识别、指纹识别、面部识别、虹膜识别等多种鉴别方式。请问下列哪种说法是正确的。()(单选题2分)得分:2分 C.使用多种鉴别方式比单一的鉴别方式相对安全 10.日常上网过程中,下列选项,存在安全风险的行为是?()(单选题2分)得分:2
网络安全数据可视化综述 摘要:在经济迅猛发展的推动下,计算机作为重要的传播媒介进入人们的生活,网络成为获取信息、进行交流、计算研发的主要工具,与此同时网络安全问题日 益突出,如何将网络安全隐患尽可能的降低,塑造安全的网络环境成为当下信息 技术的重大难题。本文将站在信息安全数据可视化的角度进行分析,试图找到其 未来的发展方向。 关键词:网络安全;数据安全;可视化;发展 现代社会已经进入到信息化时代,网络的应用越来越广泛,分布在人们生活 的各个领域,给人们生活带来了很大便利,但是,网络安全问题也对个人信息保 密造成极大威胁,提高网络安全是一项十分重要工作。网络安全数据可视化通过 视觉处理,来将网络异常情况向用户进行反馈,是一种网络安全保障的有力措施,加强对网络安全数据可视化的研究,有着重要现实意义。 一、网络安全数据可视化概述 网络安全数据可视化是通过综合网络安全态势、可视化技术,来将与网络安 全的相关数据以直观、形象的方式直接呈现给用户,使用户及时了解网络安全存 在的隐患,从而提高网络环境的可靠性、安全性。 在网络安全数据可视化中,最常见的是日志数据可视化,但由于日志数据需 要较长时间完成上传,实时性较差;加上日志数据在检测时可能被改变,其可信 度无法完全保障;此外,管理部门IDS传感器报警数量十分庞大,许多日志数据 报警问题无法及时有效分析、处理,降低日志数据的可靠性[1]。 综上,日志数据可视化本身存在种种限制,难以满足现阶段网络安全的需求;对于此种情况,以数据流为基础,进行网络可视化,通过实时监控网络流量,是 网络数据可视化的一种有效途径。 二、网络安全数据存在的问题 2.1网络数据面临的安全问题 由于国家经济的发展,促进着网络技术的开发,我国目前也进入到在网络技 术发展的潮流之。但是随着在网络技术的日益发展,其漏洞也日益地暴露出来, 容易引发一系列的安全问题,其中主要的安全问题包括在网络技术规模的扩大、 网络信息数据的稳定、网络数据的传送以及相关业务的不断发展以及来自网络外 界的安全威胁。网络规模的扩大就是指对网络的使用范围的扩大,相关的设备信 息跟不上发展的需求,导致其相关设备的发展出现停滞,并将给网络设备安全管 理工作带来一定的阻碍作用。 网络信息数据的稳定,指的就是网络信息在传递的过程中具有保密性,保证 数据传输的安全,防止数据的泄露。来自外界的网络危险,这些威胁包括很多方面,包括网络病毒的传播以及网络存在的相关漏洞导致黑客入侵等方面,这些来 自与外界的网络安全危害会对在网络技术使用者造成威胁等等,这些问题的存在 将严重的制约着在网络技术安全的发展。 2.2在网络日志中发现的问题 目前网络发展中的网络数据之间流通性较差,只有实现各项网上设备之间的 流通才能顺利地进行数据的传送工作,现阶段数据设备不能根据提供的数据,进 行识别,导致不能选择数据的正确分析方式,与此同时还不具备提供筛选数据和 处理数据细节的功能,这些存在于网络日志中的问题,会在一定程度上降低相关 人员工作的效率。现阶段网络日志中还存在着数据信息单一的现象,设备在识别
大数据可视化设计 2015-09-16 15:40 大数据可视化是个热门话题,在信息安全领域,也由于很多企业希望将大数据转化为信息可视化呈现的各种形式,以便获得更深的洞察力、更好的决策力以及更强的自动化处理能力,数据可视化已经成为网络安全技术的一个重要趋势。 一、什么是网络安全可视化 攻击从哪里开始?目的是哪里?哪些地方遭受的攻击最频繁……通过大数据网络安全可视化图,我们可以在几秒钟回答这些问题,这就是可视化带给我们的效率。大数据网络安全的可视化不仅能让我们更容易地感知网络数据信息,快速识别风险,还能对事件进行分类,甚至对攻击趋势做出预测。可是,该怎么做呢? 1.1 故事+数据+设计 =可视化 做可视化之前,最好从一个问题开始,你为什么要做可视化,希望从中了解什么?是否在找周期性的模式?或者多个变量之间的联系?异常值?空间关系?比如政府机构,想了解全国各个行业的分布概况,以及哪个行业、哪个地区的数量最多;又如企业,想了解部的访问情况,是否存在恶意行为,或者企业的资产情况怎么样。总之,要弄清楚你进行可视化设计的目的是什么,你想讲什么样的故事,以及你打算跟谁讲。 有了故事,还需要找到数据,并且具有对数据进行处理的能力,图1是一个可视化参考模型,它反映的是一系列的数据的转换过程: 我们有原始数据,通过对原始数据进行标准化、结构化的处理,把它们整理成数据表。将这些数值转换成视觉结构(包括形状、位置、尺寸、值、方向、色彩、纹理等),通过视觉的方式把它表现出来。例如将高中低的风险转换成红黄蓝等色彩,数值转换成大小。将视觉结构进行组合,把它转换成图形传递给用户,用户通过人机交互的方式进行反向转换,去更好地了解数据背后有什么问题和规律。 最后,我们还得选择一些好的可视化的方法。比如要了解关系,建议选择网状的图,或者通过距离,关系近的距离近,关系远的距离也远。 总之,有个好的故事,并且有大量的数据进行处理,加上一些设计的方法,就构成了可视化。 1.2 可视化设计流程
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
数据中心信息安全 解决方案
数据中心解决方案 (安全)
目录 第一章信息安全保障系统...................................... 错误!未定义书签。 1.1 系统概述 .................................................... 错误!未定义书签。 1.2 安全标准 .................................................... 错误!未定义书签。 1.3 系统架构 .................................................... 错误!未定义书签。 1.4 系统详细设计 ............................................ 错误!未定义书签。 1.4.1 计算环境安全 ...................................... 错误!未定义书签。 1.4.2 区域边界安全 ...................................... 错误!未定义书签。 1.4.3 通信网络安全 ...................................... 错误!未定义书签。 1.4.4 管理中心安全 ...................................... 错误!未定义书签。 1.5 安全设备及系统......................................... 错误!未定义书签。 1.5.1 VPN加密系统 ...................................... 错误!未定义书签。 1.5.2 入侵防御系统 ...................................... 错误!未定义书签。 1.5.3 防火墙系统 .......................................... 错误!未定义书签。 1.5.4 安全审计系统 ...................................... 错误!未定义书签。 1.5.5 漏洞扫描系统 ...................................... 错误!未定义书签。 1.5.6 网络防病毒系统 .................................. 错误!未定义书签。 1.5.7 PKI/CA身份认证平台 .......................... 错误!未定义书签。 1.5.8 接入认证系统 ...................................... 错误!未定义书签。
收稿日期:2014-12-05;修回日期:2015-01-12。 基金项目:国家自然科学基金资助项目(61402540)。作者简介:张胜(1975-),男,湖南株洲人,博士研究生,CCF 会员,主要研究方向:网络信息安全、计算机支持的协作学习、网络软件;施荣 华(1963-),男,湖南长沙人,教授,博士,主要研究方向:计算机通信保密、网络信息安全;赵颖(1980-),男,湖南长沙人,讲师,博士,主要研究方向:信息可视化、可视分析。 文章编号:1001-9081(2015)05-1379-06 doi :10.11772/j.issn.1001-9081.2015.05.1379 基于多元异构网络安全数据可视化融合分析方法 张 胜 1,2* ,施荣华1,赵 颖 1 (1.中南大学信息科学与工程学院,长沙410083;2.湖南商学院现代教育技术中心,长沙410205) (*通信作者电子邮箱48209088@qq.com) 摘要:随着现代网络安全设备日益丰富,安全日志呈现多元异构趋势。针对日志数据量大、类型丰富、 变化快等特点,提出了利用可视化方法来融合网络安全日志,感知网络安全态势。首先,选取了异构安全日志中有代表性的8个维度,分别采用信息熵、加权法、统计法等不同算法进行特征提取;然后,引入树图和符号标志从微观上挖掘网络安全细节,引入时间序列图从宏观展示网络运行趋势;最后,系统归纳图像特征,直观分析攻击模式。通过对VAST Challenge 2013竞赛数据进行分析,实验结果表明,该方法在帮助网络分析人员感知网络安全态势、识别异常、发现攻击模式、去除误报等方面有较大的优势。 关键词:网络安全可视化;多元异构数据;特征提取;树图和符号标志;时间序列图 中图分类号:TP391文献标志码:A Visual fusion and analysis for multivariate heterogeneous network security data ZHANG Sheng 1,2* ,SHI Ronghua 1,ZHAO Ying 1 (1.School of Information Science and Engineering,Central South University,Changsha Hunan 410083,China ; 2.Modern Educational Technology Center,Hunan University of Commerce,Changsha Hunan 410205,China ) Abstract:With the growing richness of modern network security devices,network security logs show a trend of multiple heterogeneity.In order to solve the problem of large-scale,heterogeneous,rapid changing network logs,a visual method was proposed for fusing network security logs and understanding network security situation.Firstly,according to the eight selected characteristics of heterogeneous security logs,information entropy,weighted method and statistical method were used respectively to pre-process network characteristics.Secondly,treemap and glyph were used to dig into the security details from micro level,and time-series chart was used to show the development trend of the network from macro level.Finally,the system also created graphical features to visually analyze network attack patterns.By analyzing network security datasets from VAST Challenge 2013,the experimental results show substantial advantages of this proposal in understanding network security situation,identifying anomalies,discovering attack patterns and removing false positives,etc. Key words:network security visualization;multiple heterogeneous data;feature extraction;treemap and glyph;time-series chart 0引言 近年来, 随着计算机网络规模不断扩大、信息高速公路不断提速以及网络应用的不断增加,网络安全面临着越来越严峻的考验。特别是进入“大数据”时代以来,网络攻击呈现出 大数据的“3V ”特征,即攻击规模越来越大(Volume ),如分布式拒绝服务(Distributed Denial of Service ,DDoS )攻击,常常 可以发动成千上万的设备同时攻击一台主机;攻击类型越来越多(Variety ),新的攻击模式和病毒木马的变种叫人防不胜防;攻击变化越来越快(Velocity ),如一次有预谋的网络攻击往往包含多个步骤和多种应变的方案。 为了保证网络安全需求,技术人员开发出各种网络安全设备,如:流量监控系统、防火墙系统(Firewall )、入侵防御系 统(Intrusion Detection System , IDS )和主机状态监控系统等。这些设备运行过程中都会产生海量的日志文件,因为来自不 同的传感器,所以格式、指标等各不相同,记录着各自应用领域发生的安全事件,如果割裂看待每种设备的安全事件,只能发现片面的、零散的安全问题,如何在大数据时代有效管理和动态监控网络,从海量的、异构的、快速变化的网络安全日志中全面发现问题,感知网络态势是当今网络安全的重要研究课题。 1网络安全可视化与多元融合系统 网络安全可视化分析技术是一个新兴多学科融合的研究 领域,它利用人类视觉对模型和结构的获取能力,将抽象的网络和海量高维数据以图形图像的方式展现出来,从而快速地发现网络安全数据中隐含的规律、模式以及发展趋势,帮助分析人员提高认知,把握、预测和解决网络安全问题的能力。 自从2004年召开网络安全可视化国际会议(Visualization for Cyber Security )以来,越来越多的可视化工具涌现出来[1] , Journal of Computer Applications 计算机应用,2015,35(5):1379-1384,1416ISSN 1001-9081CODEN JYIIDU 2015-05-10 http://www.joca.cn
数据可视化设计袁大 莈2015-09-16 15:40 芄大数据可化是个,在信息安全域,也由于很多企希望将大数据化信息可化呈的各种 形式,以便得更深的洞察力、更好的决策力以及更的自化理能力,数据可化已成网安全技 的一个重要。 莁一、什么是网安全可化 节攻从哪里开始?目的是哪里?哪些地方遭受的攻最繁??通大数据网安全可 化,我可以在几秒内回答些,就是可化我的效率。大数据网安全的可化不能我更容易地感知网数据信息,快速,能事件 行分,甚至攻做出。可是,怎么做呢? 肀1.1 故事 +数据 += 可化 莇做可化之前,最好从一个开始,你什么要做可化,希望从中了解什么?是否在找周期性的模式?或者多个量之的系?异常?空关系?比如政府机构,想了解 全国各个行的分布概况,以及哪个行、哪个地区的数量最多;又如企,想了解内部的情 况,是否存在意行,或者企的情况怎么。之,要弄清楚你行可化的目的是什么,你想 什么的故事,以及你打算跟。 蒁 葿有了故事,需要找到数据,并且具有数据行理的能力, 1 是一个可化参考模型,它反映的是一系列的数据的程: 蒈我有原始数据,通原始数据行准化、构化的理,把它整理成数据表。将些数成构 (包括形状、位置、尺寸、、方向、色彩、理等),通
觉的方式把它表现出来。例如将高中低的风险转换成红黄蓝等色彩,数值转换成大小。将 视觉结构进行组合,把它转换成图形传递给用户,用户通过人机交互的方式进行反向转换,去更好地了解数据背后有什么问题和规律。 肆最后,我们还得选择一些好的可视化的方法。比如要了解关系,建议选择网状的图,或者 通过距离,关系近的距离近,关系远的距离也远。 薁总之,有个好的故事,并且有大量的数据进行处理,加上一些设计的方法,就构成了可视化。 袀1.2 可视化设计流程 芀 袅一个好的流程可以让我们事半功倍,可视化的设计流程主要有分析数据、匹配图形、优化图形、检查测试。首先,在了解需求的基础上分析我们要展示哪些数据,包含元数据、数
一、数据中心的作用: 用来在internet网络基础设施上传递、加速、展示、计算、存储数据信息。 二、数据中心的组成 1、基础环境: 主要指数据中心机房及建筑物布线等设施,包括电力、制冷、消防、门禁、监控、装修等; 2、硬件设备: 主要包括核心网络设备(华为、新华三(H3C)、锐捷网络、D-Link)、 网络安全设备包含防火墙、utm、vpn、防毒邮件过滤、IPS防入侵系统物理安全隔离、监管(华为、深信服、新华三、360、天融信、启明星辰) 服务器(戴尔、联想、华为) 存储(惠普、希捷、联想、群辉) 灾备设备、机柜及配套设施; 3、基础软件: 服务器操作系统软件、虚拟化软件、IaaS服务管理软件、数据库软件、防病毒软件等;4、应用支撑平台: 一般来讲是具有行业特点的统一软件平台,整合异构系统,互通数据资源;剩下的是具体应用软件了,多数应该做成与硬件无关的。最最重要的是,光靠软件硬件的罗列是无法构成一个好的数据中心,关键是如何设计、如何 三、网络安全的作用 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断 四、网络安全的组成 1、防火墙: 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 2、IPS(防入侵系统) 监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 3、防毒墙 查杀病毒保护网络安全 4、抗DDOS 主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务 5、堡垒机 保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。 6、WAF网络防火墙 Web应用防护系统(也称为:网站应用级入侵防御系统 7、网闸 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
基于大数据的网络安全分析 作者:蓝盾研发中心-刘峰 今年接手SOC产品研发,产品经理一直强调核心是事件关联分析,数据大集中后挖掘各种安全隐患,实时性关联分析以及识别或预防各种未知的攻击是技术难点。了解了一下,SOC已进入3.0时代,随着大数据技术的成熟,各个竞争对手都引入大数据平台解决先前无法解决的各种技术问题,比如大数据量存储、实时在线分析,以及各种机器挖掘技术,虽然有技术难度,但比较好的是大数据技术最近才成熟流行起来,大型的互联网公司和运营商虽然已掌握,但大部分公司和产品还未采用或者正在研发,大家基本上都在同一个起跑线上,由于大数据必须与业务紧密结合才能发挥价值,对我们来说是一个机会,正好赶上。 当前的挑战 当前网络与信息安全领域,正面临着全新的挑战。一方面,伴随大数据和云计算时代的到来,安全问题正在变成一个大数据问题,企业和组织的网络及信息系统每天都在产生大量的安全数据,并且产生的速度越来越快。另一方面,国家、企业和组织所面对的网络空间安全形势严峻,需要应对的攻击和威胁变得日益复杂,这些威胁具有隐蔽性强、潜伏期长、持续性强的特点。 面对这些新挑战,现有安全管理平台的局限性显露无遗,主要体现在以下三个方面 1.数据处理能力有限,缺乏有效的架构支撑:当前分析工具在小数据量时有效,在大数据 量时难以为继,海量异构高维数据的融合、存储和管理遇到困难;安全设备和网络应用产生的安全事件数量巨大,IDS误报严重,一台IDS系统,一天产生的安全事件数量成千上万,通常99%的安全事件属于误报,而少量真正存在威胁的安全事件淹没在误报信息中,难以识别; 2.威胁识别能力有限,缺乏安全智能:安全分析以基于规则的关联分析为主,只能识别已 知并且已描述的攻击,难以识别复杂的攻击,无法识别未知的攻击;安全事件之间存在横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实时预测。一个攻击活动之后常常接着另外一个攻击活动,前一个攻击活动
大数据时代,谁能保障互联网安全 2015-06-03 12:19:07 来源: 甘肃农民报(兰州) 分享到: ? ? ? ? ? ? ? 网络安全事件近期频发,网络安全警钟再次响起。互联网企业应如何保护数据安全? 5月27日下午到夜间,很多用户发现自己的支付软件无法登陆,故障2.5个小时;28日,国内最大的旅游在线预定网站也出了问题,故障时间长达12小时。两家企业均是互联网行业中的佼佼者,出现如此问题,显示出网络安全和稳定遭遇严峻挑战,在当下“互联网+”热潮中,网络安全和稳定更应该引起高度重视。随着这几年互联网、移动互联网的发展,我们每个人都实实在在的感受到了方便快捷的互联网的服务,但是这几天的事情告诉我们,在方便背后是黑色危机。 互联网与生活 对大多数人而言,用手机查看账单,看看水、煤、电缴费,看看信用卡还款情况,看看理财账户的收益,都是方便快捷的方式。而在数千里之外的一次施工,就可以让一切中断。隐私暂且不说,软件托管的资金、理财都是真金白银。网络出点问题也好,服务器有点麻烦也罢,你的钱就会成为一笔糊涂账,这是很可怕的。 同样,现在很多人都依靠网上预订行程。出行从订机票、出发车辆送机场,到落地对方城市车辆接到酒店,再到酒店住宿,返程机票,车辆接送,几乎拥有一整套服务。然而网络出现问题,很多预订了行程的客人就会出现各种问题,因为网络或者服务器的问题,机票没出,车辆没订,酒店没订,或者时间拖延,出行者就会遇到大麻烦。 我们的生活已经与互联网,移动互联网紧紧联系在了一起,互联网就像空气一样必不可少。具有行业主导地位的互联网公司对于个人的重要性不亚于银行、电信这些关系到国计民生的国企。他们出点问题,就会是社会性的大问题。
网络安全数据可视化概述 随着网络通信技术的进步,飞速发展的网络应用对网络安全提出了很高的要求.一直以来,各种网络监控设备采集的大量日志数据是人们掌握网络状态和识别网络入侵的主要信息来源.网络安全分析人员在处理网络安全问题时,首先通过分析相应的数据来了解网络状态和发现异常现象,然后对异常事件的特征以及对网络的影响进行综合诊断,最后采取对应的响应措施.然而,随着网络安全需求的不断提升,网络安全分析人员在分析网络安全数据时遇到了很多新的困难:1)异构的数据源和持续增长的数据量给分析人员带来了繁重的认知负担; 2)新攻击类型的出现和攻击复杂度的提高,使得很多传统的数据分析方法不再有效; 3)大量漏报和误报是一些自动化异常检测系统的弊病; 4)侧重于局部异常分析的传统思路,使得分析人员很难掌握宏观网络态势.如何帮助网络安全分析人员更高效地分析网络安全数据,已成为网络安全领域一个十分重要而且迫切的问题. 在解决网络安全问题的过程中,人的认知和判断能力始终处于主导地位,一个能帮助人们更好地分析网络安全数据的实用办法就是将数据以图形图像的方式表现出来,并提供友好的交互手段,建立人与数据之间的图像通信,借助人们的视觉处理能力观察网络安全数据中隐含的信息,以进一步提高分析人员的感知、分析和理解网络安全问题
的能力.因此,许多学者提出将可视化技术引入到网络安全研究领域中来,并逐步形成了网络安全可视化这一新的交叉研究领域. 早在1995年Becker等就提出对网络流量状况进行可视化,之后Girardind等在1998年曾使用多种可视化技术来分析防火墙日志记录.从2004年开始举办的国际网络安全可视化年会[6](visualization for cyber security,VizSec),标志着该领域的正式建立,并且在2004~2006年集中涌现了一批高质量的研究成果,如图1所示.从2011年开始,国际可视分析挑战赛[7](VAST challenge)连续3年都采用了网络安全数据作为竞赛题目,推动着该领域呈现出一个新研究热潮.国内网络安全可视化的研究起步相对较晚,哈尔滨工程大学、天津大学、北京邮电大学、吉林大学、北京大学和中南大学等研究机构的一些团队已开展了相关研究.经过十多年的发展,在网络安全可视化领域,学者们提出了许多新颖的可视化设计,并开发了诸多实用的交互式可视分析工具,这也为传统的网络安全研究方法和分析人员的工作方式注入了新的活力: 1)分析人员的认知负担得以减轻; 2)异常检测和特征分析变得更为直观; 3)人们可以更自主地探索事件关联和复杂攻击模式,甚至发现新的攻击类型; 4)网络安全态势的察觉和理解效率得以提高. 本文首先介绍网络安全分析人员需要处理的各种网络安全数据源,并重点从网络安全问题和网络安全可视化方法这2个角度,对已有研
数据可视化的主要应用 实时的业务看板和探索式的商业智能是目前数据可视化最常见的两个应用场景。 对于企业而言,传统的商业智能产品或报表工具部署周期很长,从设计、研发、部署到交付,往往需要数月甚至更长的时间,IT部门也需要为此付出很大精力;对于决策者而言,想要了解业务发展,不得不等待每周或每月的分析报告,这意味决策周期将更加漫长。在商业环境快速变化的今天,每周或每月的分析报告显然无法满足企业快节奏的决策需求,企业负责人首先需要的是实时的业务看板。 实时业务看板,意味着可视化图表会随着业务数据的实时更新而变化。一方面,这使得企业决策者可以第一时间了解业务的运营状态,及时发现问题并调整策略;另一方面,实时的数据更新也大大提高了分析人员的工作效率,省去了很多重复式的数据准备工作。 实时业务看板满足了数据呈现,想要进行深入的数据分析,企业负责人还需要探索式的商业智能。 由于大数据在国外落地较早,且数据基础更好,所以探索式分析在国外已成为主流。在Gartner 2017 BI(商业智能)魔力象限报告中也可以看出,传统的BI厂商已从领导者象限出局,自助探索式分析将成为趋势。而目前,国内企业仍然以验证式分析为主。 验证式分析是一种自上而下的模式。即企业决策者设定业务指标,提出分析需求,分析人员再根据相关需求进行报表定制。这种模式必须先有想法,之后再通过业务数据进行验证。所以验证式分析对数据质量要求很高,如果数据本身出现问题,那么即便通过科学的数据建模进行分析,结果也肯定是错误的。 相比于验证式分析,探索式分析对数据质量要求相对较低,同时也不需要复杂的数据建模。“探索式分析的意义在于,它允许分析人员或决策者在不清楚数据规律、不知道如何进行数据建模的情况下,通过数据本身所呈现出的可视化图表进行查看和分析。”
以网络安全为例的大数据可视化设计 大数据可视化是个热门话题,在信息安全领域,也由于很多企业希望将大数据转化为信息可视化呈现的各种形式,以便获得更深的洞察力、更好的决策力以及更强的自动化处理能力,数据可视化已经成为网络安全技术的一个重要趋势。 一、什么是网络安全可视化 攻击从哪里开始?目的是哪里?哪些地方遭受的攻击最频繁……通过大数据网络安全可视化图,我们可以在几秒钟内回答这些问题,这就是可视化带给我们的效率。大数据网络安全的可视化不仅能让我们更容易地感知网络数据信息,快速识别风险,还能对事件进行分类,甚至对攻击趋势做出预测。可是,该怎么做呢? 1.1 故事+数据+设计=可视化 做可视化之前,最好从一个问题开始,你为什么要做可视化,希望从中了解什么?是否在找周期性的模式?或者多个变量之间的联系?异常值?空间关系?比如政府机构,想了解全国各个行业漏洞的分布概况,以及哪个行业、哪个地区的漏洞数量最多;又如企业,想了解内部的访问情况,是否存在恶意行为,或者企业的资产情况怎么样。总之,要弄清楚你进行可视化设计的目的是什么,你想讲什么样的故事,以及你打算跟谁讲。 有了故事,还需要找到数据,并且具有对数据进行处理的能力,图1是一个可视化参考模型,它反映的是一系列的数据的转换过程: 我们有原始数据,通过对原始数据进行标准化、结构化的处理,把它们整理成数据表。 将这些数值转换成视觉结构(包括形状、位置、尺寸、值、方向、色彩、纹理等),通过视觉的方式把它表现出来。例如将高中低的风险转换成红黄蓝等色彩,数值转换成大小。 将视觉结构进行组合,把它转换成图形传递给用户,用户通过人机交互的方式进行反向转换,去更好地了解数据背后有什么问题和规律。 最后,我们还得选择一些好的可视化的方法。比如要了解关系,建议选择网状的图,或者通过距离,关系近的距离近,关系远的距离也远。 总之,有个好的故事,并且有大量的数据进行处理,加上一些设计的方法,就构成了可视化。 1.2 可视化设计流程
大数据可视化系统
第一章项目背景 . 项目背景 大数据可视化系统,与企业决策中心系统及其业务子系统深度结合,兼具顶级视觉效果与高性能操控。系统集成了车辆轨迹追踪信息、满足逐级、逐层生产监控管理的需求。从襄阳地区产业链地图到食品工厂生产状况实时数据统计分析,再到屠宰车间内生产数据汇总呈现,最终到不同产线、主要设备的实时数据驱动和告警数据的全面呈现,为提升企业的运营管理效率和精准决策提供支撑。 . 建设目标 食品加工厂运营系统的信息可以分为四个层面。第一层面是襄阳地区产业链,包括食品加工厂、附近养殖场和运输车辆的信息;第二层面是食品加工厂,包括了屠宰厂、熟食厂、无害化厂、污水厂和立体库的各个分厂的运行、运营信息;第三层面是在各个分厂内部不同产品线的运行、运营信息;第四层面则是不同产品线中的主要设备运行、生产信息。 本项目总的目标是在食品加工厂建立智慧监控与可视化管理云平台,对襄阳地区产业链进行全面监控与可视化管理,最终实现全面监控、智能运维、辅助决策、可视化运营管理等综效。 第2章、需求分析 . 现状分析 公司经过多年的信息化建设,累计了很多企业信息系统,但这些系统比较独立,形成信
息孤岛,无法发挥数据的价值,更无法对企业的运营管理提供及时高效的支撑,要提升企业的运营管理效率,发挥数据价值,更好的为企业决策提供辅助支持,需要解决目前存在的以下主要问题: 1.建立的各个信息化子系统是相互独立,数据格式互不兼容。因此,每一个子系统都保 存了大量的相关数据,多个子系统无法互通互联,海量的数据更无法整合,无法实现统一的数据分析和处理,从而大大限制了这些数据的应用范围,造成了严重的数据资源浪费。 2.每个子系统的操作不具有逻辑上的一致性,人机界面各不相同,无法为用户提供统一 的人机互动体验。 3.传统的信息子系统仅提供了原始数据界面,人们不易快速理解数据的规律和含义。人 们迫切希望能够将数据以可视化方式表达,以人类最自然的方式把数据的深层次含义和变化规律展现在人们面前。 4.移动计算的快速发展,使得运营管理人员能够随身携带计算能力强大的小型计算平台 (如智能手机,平板电脑等),大大提高了运营人员的空间自由度。如何把信息系统中的相关数据和分析结果随时随地的传递到移动智能终端,并最佳化的呈现给运营管理人员,从而实现无处不在的实时信息感知,是当前运营管理人员在日常工作和生活中非常需要的技术。 综上所述,食品加工厂的运营管理人员需要一种技术和解决方案,能够有效整合现有各个数据子系统,将所有子系统中的数据统一融合和分析,深入萃取每个数据中蕴含的信息,并将处理结果以最佳可视化方式实时展现在面前,使得运营管理人员能够及时全面感知所管辖区域的运行状态,快速做出最佳应对决策,最终实现智慧化工作和生活方式。 . 系统目标 建立大数据可视化系统,全面整合已有数据子系统,实时抽取各类数据源中的信息、记录和处理相关数据、随时随地监控其管辖区域内设备或系统的运行状态、进行综合管理、建立生产运营监控中心,以满足日常生产运行监控和运维管理;同时将运营管理-职能系统全面纳入,最终将运营管理团队打造成一个安全可靠、事件驱动、物联人事、智慧决策、快速响应的高效率运营管理团队,结合现代技术的应用提升现有运营管理的效率,树立食品加工行