1.2.3　信息可视化技术

信息可视化技术是指运用计算机图形学和图像处理技术,将数据信息转化为图形或图像的形式在屏幕上显示出来,并进行交互处理的理论、方法和技术。随着计算机技术的发展,信息可视化的概念已经大大拓展。它不仅包括了科学计算数据信息的可视化,也包括了工程数据信息和测量数据信息的可视化。通过信息可视化技术,可以发现数据信息中隐含的规律,从而为决策提供依据,这也已经成为了信息可视化技术新的研究热点。

从计算机安全领域的角度来看,现有的网络安全设备的处理结果往往通过简单的文本报告或图像形式表现,使得从中寻找有用的关键信息非常困难。网络安全态势感知通过对多源数据的融合处理,为网络管理人员提供决策辅助。态势感知的结果需要以可视化的形式呈现给用户,借助于人类视觉对图形的感知处理能力,最终实现对安全状态的监控和预测,范例如图1.5所示。因此,可视化技术作为网络安全态势感知系统中的关键技术,已经得到了国内外学者的关注,并在近几年取得了长足发展^[36]。文献^[37]详细阐述了可视化技术在安全态势感知各个阶段的重要作用。使用可视化技术是提高信息保障(Information Assurance)态势感知能力的有效手段。另外,可视化技术的选用要符合态势感知的三个层次,即觉察、理解和预测,同时要满足信息保障中可视化技术在监控、通信等方面的需求。目前信息可视化在网络安全态势系统中的应用可以分为两类,分别是:

(1)面向攻击威胁的网络安全态势可视化。网络系统的潜在风险部分来自于网络遭受的攻击,部分来自于网络自身由于配置问题而存在的漏洞。网络内部署的安全设备或漏洞扫描工具监测的结果,可以通过数据汇聚,利用融合算法融合后,通过定量或定性的评价指标来感知网络安全态势,持续观测就可以得到直观的网络安全态势变化趋势图。该类可视化技术局限于底层事件监测设备和漏洞扫描设备的监测机制,在应用中准确性受到监测设备的制约。

(2)面向流量信息的网络安全态势可视化。该类别可视化技术多通过实时监控网络流量,从中提取异常信息轮廓来达到感知网络安全态势的目的,具有良好的实时性。但是大型网络中流量集中,设备间连接的建立活动频繁,使得态势的可视化描述往往过于复杂且不易理解,易造成“视觉混乱”。可视化技术作为态势感知结果的一种呈现形式,是综合多方面因素考虑之后的一种折衷。要兼顾感知的实时性要求,也要考虑态势信息的直观易懂,在实现的形式上不应过于复杂。如何将攻击威胁事件同网络流量信息有机整合,明确安全态势显示规范,提高实时性,增大态势显示规模等问题,均需要在今后的态势感知研究中进一步探讨。

图1.5　VisFlowConnect显示的主机连接状态