面向安全的可视分析 袁晓如    北京大学 Visibility    可见性     Visualization  可视化     Visual  Analytics  可视分析        Visualization   可视化/可视分析   可视化(VISUALIZATION)    对事物建立心理模型(MENTAL  MODEL)或者 心理图像(MENTAL  IMAGE)             Data   Insights   Mental Model   Visualization   可视化/可视分析   可视化(VISUALIZATION)    对事物建立心理模型(MENTAL  MODEL)或者 心理图像(MENTAL  IMAGE)             Data   Insights   Mental Model   Image   Visualization   可视化模型   Double  Gulf  Model       Visualization User   Visualization Designer   Representation   Evaluation   Data   Visualization   Conceptual Model   Execution   Manipulation   可视化模型   Double  Gulf  Model       Visualization User   Visualization Designer   Representation   Evaluation   Data   Visualization   Conceptual Model   Execution   Manipulation   可视分析       •  可视分析是由交互可视界面支持的分析推理的科学  (Visual  analytics  is  the   science  of  analytical  reasoning  facilitated  by  interactive  visual   interfaces)   •  从海量，动态，模糊，乃至相互冲突的数据中合成信息，洞察内涵 (Synthesize  information  and  derive  insight  from  massive,  dynamic,   ambiguous,  and  often  conflicting  data)   •  不漏检，有突破  (Detect  the  expected  and  discover  the  unexpected)   •  提供及时可验证可理解的评估  (Provide  timely,  defensible,  and   understandable  assessments)   •  为评估实施行动提供有效沟通  (Communicate  assessment  effectively  for   action)          VAST  CHALLENGE  2013     “假如你是一个公司的网络安全管理人员，你要如何从复杂的网络数据中，迅速且有 效地掌握全局趋势？并及时确认异常及网络攻击行为？”     Big  Marketing公司   -  这是一个国际化的负责广告与公关的公司     -  他们也会为客户提供一些网站服务   -  他们在市场上享有一定的声誉和地位，   因此也有许多竞争对手虎视眈眈   你的角色  –  Big  Marketing公司网络管理员   -  确保公司网络（包括内网主机以及对外服务器）正常运行   -  运营、维护，并且及时确认攻击威胁及部署防御     恶意软件感染：   Admin感染   数据   窃取   DoS   扫描   04/01 扫描   04/02 注入：网页重定向   DoS   04/03 扫描   防火墙破坏   网页重定向   扫描   04/04 04/05 04/06 数据   X   窃取   僵尸网络   C&C   X   DoS   僵尸网   络感染   僵尸网   络DoS   扫描   扫描   扫描   数据   窃取   显性(17)   拒绝服务攻击DoS  (2)   失败的拒绝服务攻击   恐吓信威胁   DoS(1)   数据窃取(2)   失败的数据窃取(1)   网络瘫痪(1)   端口扫描  (7)   僵尸网络感染(1)   僵尸网络攻击(2)   隐蔽(8)   端口扫描(2)   拒绝服务攻击(3)   僵尸网络   网页重定向(1)   DoS   管理员病毒感染(1)   僵尸网络感染(1)   扫描   扫描   04/07 04/08 04/09   04/10   04/11   04/12   04/13   04/14   04/15   分析任务与挑战   目标   -  快速且正确地确认发生的网络安全事件   -  实时网络事态感知   具体细节   -  提供每个网络安全事件的总体时间分布，与具体涉及细节IP与事件   -  通过寻找的事件，找到事件的关联以及背后的阴谋     数据概览   三类数据（时间跨度：两个星期）   -  网络流数据（NetFlow）   -  网络健康状况数据（Big  Brother  Monitor  Data）   -  入侵防御系统日志数据（Intrusion  Protection  System  Data）   数据大小   -  共约16GB   -  约一亿数据条目   数据复杂性   -  采样率不同的异构数据   -  动态连接数据   -  高维数据   -  不确定性与数据缺失   时间视图   （网络态 势概览）   环状IP连 接视图： 子网连接 概览   细节视图： 网络流细 节展现   AnNetTe  -­‐  Collabora/on  oriented  visualiza/on  of  network  data   Siming  Chen,  Fabian  Merkle,  Hanna  Schaefer,  Cong  Guo,  Hongwei  Ai,  Xiaoru  Yuan,  Thomas  Ertl   ACM  VizSec  2014. 多层次可视分析（1）--DDoS攻击检测   •  DoS特征发现（1）   –  熵视图中，目 的IP熵急速下 降、源端口熵 急速上升 –  大量不同端口 连接相同少量 端口 –  大量流量爆发 ¡  DoS特征发现（2）   ¡  用户选择感兴趣的时间细节，可以观察不同时间段环状视图中IP连接状况，很 明显的攻击前、攻击时与攻击后的连接呈现不同的视觉特征，其中攻击时的IP 集中与某几个外网IP，连接至内网服务器，并占有大量网络流量。   •  DoS特征发现（3）   –  大量的高位端口连接流入服务器的80端口 –  通过交互分离出流入、流出的流量，确认为DDoS攻击 多层次可 视分析   --僵尸网络   ¡  （a)  全局时间概览   ¡  （b,  c)-  E1，多个内 网IP异常大量流量连 接外网正常IP（僵尸 网络DoS）   ¡  （d)-  E2,在DoS之 前往回溯源，找到这 些IP异常周期性SSH 至10.0.3.77（僵尸 网络C&C）   ¡  （e,  f )-E3，通过过 滤该异常IP的外网连 接，找到僵尸网络的 感染源头，连接异常 外网的IP后受木马控 制   ¡  （g)-  僵尸网络事件 关联分析   VAST  CHALLENGE  2014