一种基于时序的流量攻击可视化表征方法
技术领域
本发明属于信息处理技术领域,具体涉及一种基于时序的流量攻击可视化表征方法。
背景技术
随着网络技术的高速发展,攻击者水平也在不断提高,网络安全逐渐成为一个不容忽视的焦点。随着网络融入到社会各界的同时网络安全威胁也逐渐渗透到各个角落。国家的信息基础设施在应对黑客组织或者具有国家背景的恶意网络威胁时面临着巨大挑战。
通常网络攻击都是有迹可循的,针对网络安全的入侵检测系统可以实时监视并分析用户及系统行为、网络中的流量数据,从而发现入侵其土或异常现象,然后记录、报警并作出及时的响应。
基于特征的入侵检测系统是当前应用最为广泛的一种攻击检测技术,它是在攻击特征库中抽取存放的各种安全攻击特征,来实时发现系统中的攻击行为。在早期的基于特征的攻击检测系统中通常采用基于网络安全专家事后分析的方式来提取攻击特征,是一种特征自提取技术。不需要人工干预,可以自动发现新攻击并提取特征,解决手工提取周期长、速度慢等问题。
但是,无论是人工提取还是自动提取特征,前提都是对攻击特征的抽象和描述,比如基于网络协议特征的攻击特征描述。许多网络安全攻击的根本原因之一就是网络协议本身存在一定安全问题,利用TCP、UDP、ICMP等协议的安全漏洞来实施攻击,使用网络协议包头的特殊字段的值是可以准确表征相应地攻击特征,如著名的针对域名服务期的查询泛洪(DNS Query Flood)攻击使用UDP协议的53号端口对域名服务器发起攻击,即能够用UDP头部的目标端口值=53来描述这种攻击。然而,对于未知特征的网络攻击目前无法抽象和描述,所以研究一种针对未知特征的网络攻击的可视化表征方法是很有必要的。
发明内容
本发明的目的是提供一种基于时序的流量攻击可视化表征方法,解决了现有技术中存在网络攻击中未知特征很难表征的问题。
本发明所采用的技术方案是,一种基于时序的流量攻击可视化表征方法,具体按照以下步骤实施:
步骤1,采用nfdump开源工具定时捕获网络中的netflow数据,将netflow数据储存在nfcapd二进制文件中;
步骤2,使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将流量信息存储在数据库中;
步骤3,建立可视化图;
步骤4,表征可视化图中流量信息的动态。
本发明的特点还在于:
步骤2中,流量信息包括协议类型、源地址/目的地址、流量大小、起始时间和持续时间。
步骤3具体为:
步骤3.1,采用百度echarts工具建立可视化图,可视化图由内网图与公网图构成,采用IP2Location数据库对公网的IP地址进行标定;
步骤3.2,将流量信息按时间顺序排列,并将每一个流量信息的IP地址标定在可视化图中。
步骤3.1中,内网图的建立具体为:
内网图的坐标系选为cartesian2d二维直角坐标系,采用series-effectScatter组件的动画特效对流量信息进行视觉突出;
公网图的建立具体为:
公网图的坐标系选为geo地图坐标系,采用series-effectScatter组建的动画特效对流量信息进行视觉突出。
步骤3.2具体为:
将流量信息的IP地址与IP2Location数据库里的公网IP地址进行对照,若流量信息的IP地址与公网IP地址相同,则通过IP2Location数据库查询流量信息的IP地址所在的实际地址信息,并且标注在公网图中;否则,将流量信息的IP地址导入到内网图中。
cartesian2d二维直角坐标系分为节点坐标与通信坐标lines,节点坐标采用timeline时间轴组件;
节点坐标表示内网IP地址在二维直角坐标系上的位置与发生通信的IP节点之间的连接;通信坐标lines表示不同时段的通信过程。
步骤4具体为:
将流量信息的每一次时间轴变化作为信号赋值给动态坐标完成动态显示;
以流量信息的IP地址的涟漪大小表示其通信频率;以不同颜色区分通信协议种类;以timeline时间轴组件的时间戳先后为基准将流量信息的产生过程依次动态显示出来。
动态坐标轴包含Scatter特效坐标和Lines特效坐标;
Scatter特效坐标用于展现流量信息之间的关系;Lines特效坐标用于流量信息动态路线的可视化。
本发明的有益效果是:
本发明一种基于时序的流量攻击可视化表征方法,将敏感数据流信息以基于时序的可视化方式表示出来,可加强对网络攻击特征的显化,在一定程度上易于识别;本发明一种基于时序的流量攻击可视化表征方法,在IDS中的攻击图技术上有应用范围,在一定程度上对于描述攻击行为或者预测攻击行为有参考价值;本发明一种基于时序的流量攻击可视化表征方法,可视化生成的效果直观、简洁、可扩展性高,在特征分析方面有一定的帮助。
附图说明
图1是本发明一种基于时序的流量攻击可视化表征方法的流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明一种基于时序的流量攻击可视化表征方法,如图1所示,具体按照以下步骤实施:
具体按照以下步骤实施:
步骤1,采用nfdump开源工具定时捕获网络中的netflow数据,将netflow数据储存在nfcapd二进制文件中;
步骤2,使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将流量信息存储在数据库中;
其中,流量信息包括协议类型、源地址/目的地址、流量大小、起始时间和持续时间;
步骤3,建立可视化图;
步骤3具体为:
步骤3.1,采用百度echarts工具建立可视化图,可视化图由内网图与公网图构成,采用IP2Location数据库对公网的IP地址进行标定;
其中,内网图的建立具体为:
内网图的坐标系选为cartesian2d二维直角坐标系,采用series-effectScatter组件的动画特效对流量信息进行视觉突出;
公网图的建立具体为:
公网图的坐标系选为geo地图坐标系,采用series-effectScatter组建的动画特效对流量信息进行视觉突出;
步骤3.2,将流量信息按时间顺序排列,并将每一个流量信息的IP地址标定在可视化图中;
步骤3.2具体为:
将流量信息的IP地址与IP2Location数据库里的公网IP地址进行对照,若流量信息的IP地址与公网IP地址相同,则通过IP2Location数据库查询流量信息的IP地址所在的实际地址信息,并且标注在公网图中;否则,将流量信息的IP地址导入到内网图中;
其中,cartesian2d二维直角坐标系分为节点坐标与通信坐标lines,节点坐标采用timeline时间轴组件;
节点坐标表示内网IP地址在二维直角坐标系上的位置与发生通信的IP节点之间的连接;通信坐标lines表示不同时段的通信过程;
步骤4,表征可视化图中流量信息的动态;
步骤4具体为:
将流量信息的每一次时间轴变化作为信号赋值给动态坐标完成动态显示;
以流量信息的IP地址的涟漪大小表示其通信频率;以不同颜色区分通信协议种类;以timeline时间轴组件的时间戳先后为基准将流量信息的产生过程依次动态显示出来;
动态坐标轴包含Scatter特效坐标和Lines特效坐标;Scatter特效坐标用于展现流量信息之间的关系;Lines特效坐标用于流量信息动态路线的可视化。
其中,设定视觉表现通信频率函数Rfrequency,当流量信息的IP地址在给定时间内通信次数占总数的10%,则将rippleEffect中period值加1、scale值加0.5。
其中,设定视觉区分协议类型函数Cprotocol,预设颜色数组,每当出现不同的协议类型时,将LineStyle中的color值修改颜色数组中的不同颜色,例如TCP协议修改为浅蓝,UDP协议修改为浅绿。
