论文分别从可视化方法论、安全可视化设计以及安全可视化示例风方面,探讨了安全可视化技术在信息技术安全分析中的相关应用。
1 引言
我们探讨一下软件开发中的可视化方法论。可视化通俗一点讲就是软件程序的用户界面,即UI。Matthew Brehmer, Tamara Munzner的论文《A Multi-Level Typology of Abstract Visualization Tasks》从Why、How、What三个层次对可视化任务进行抽象的分类,其中Why说明了任务的目标,即展示、发现、兴趣;How说明要达到目标所使用的方法,即可视表达、数据操作、交互;What是指明在不同任务间如何进行输入和输出交互。
根据上述三个可视化层次,可视化设计自顶向下分为四个部分:
(1)需要明确领域问题,即要了解这个领域需要解决的可视化问题是什么;
(2)数据操作抽象设计,即在这个领域上的数据都有哪些,以及对这些数据可以进行什么样的操作;
(3)可视化交互设计,即如何在这个领域基于数据操作抽象进行交互的设计;
(4)设计实现,即通过什么样的技术对这个领域进行可视化实现,如D3、ECharts就是实现可视化设计的JavaScript库。
2 安全可视化设计
在所有网络安全领域中,安全管理平台(即SOC平台)及安全信息与事件分析(即SIEM)系统的影响最为深远。基于大数据技术构建的SOC或SIEM是目前的主流方向。这里着重讲解在SOC或SIEM上的安全可视化设计。
在开始讲解安全可视化设计之前,让我们先了解一下什么是SOC、SIEM。
SOC(Security Operations Center)平台,一般是指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
安全管理平台的核心之一便是安全信息与事件管理,也称SIEM(Security Information and Event Management)系统。通常,SIEM为来自企业和组织中所有IT资源(包括网络、系统和应用)产生的安全信息(包括日志、告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急处置能力。
通过对SOC、SIEM的描述,我们的领域问题是安全问题,我们需要收集IT环境中相关的日志数据,进行分析,发现潜在威胁以及对威胁进行处置;日志数据的特点是具有时间序列且不可改变的特性。
在设计数据操作的时候,我们可以进行日志流水的查询,以及对日志进行分类统计等操作,不可以对日志进行修改;根据日志的特点以及在日志上的操作,我们在交互的设计中,查询是我们的主要设计方向,查询可以是简单的也可以是复杂的。
简单的查询如对关键词的查询,复杂的查询如对关键词进行分组统计。在交互设计中,也需要考虑对威胁的管理及相应的处置方法;在具体的实现上,我们可以采用D3或EChats的JavaScript库进行可视化实现。
3 安全可视化示例
通过可视化方法论的指导以及安全可视化的阐述,我们看一下实际的安全可视化示例。
如图1所示,安全态势全景地图实时的展现了攻击事件,帮助安全人员从全局出发,了解整个区域的安全状况。
如图2所示,通过病毒云图,可以看到综合了所有同病毒相关的事件,浏览企业内部用户/登录/病毒态势,节点大小代表事件数量,边代表事件的发起方和目的;点击某一病毒了解感染机器数量和路径。
如图3所示,通过输入设备的IP信息,可快速查询出该设备近期的整体安全状态,整体显示出各接入设备中与该设备相关的所有信息,为安全人员提供灵活的查看方式。
4 结束语
随着互联网技术的快速发展,信息安全工作显得越来越重要,安全可视化技术的广泛应用将为提升网络安全性提供更可靠的保障。
作者:刘树发 王莹 宋津旭 卢鑫刚 来源:信息安全与技术 2016年2期
