摘要:
对于粗糙数据(比如缺失ip地址以及安全警报等)的安全分析以及可视化发现安全事件。
Introduction:由于数据私密性,需要从极少属性的数据中获得网络信息。
PortVis:
利用轴映射重要的数据特征(时间和端口数量),创造一个基于这些轴的网格,每个格中的颜色代表网络的活动。
Data:
DDOS:许多来源,一个目的地
端口扫描和蠕虫病毒:一个来源,许多目的地
TTL walking 攻击:不同的源、目的IP的对。
目标:
1.检测大范围的网络安全事件
2.明确小范围的更精确的信息。
3个主要:
时间线可视化、主要的可视化、端口可视化
时间线可视化:
- 1:垂直轴:时间
- 2.水平轴:端口范围,一共32列,每列代表2048个端口,一共65536个端口,每格的颜色代表端口的活跃性。
- 3.选择器:选择需要分析的时间
- 4.直方图:整个时间的端口的活跃性(会话次数决定),80端口一般会较高。
- 5.梯度线:映射颜色,以帮助用户获取感兴趣的部分。
主要的可视化:对给定的时间进行详细分析
利用256*256的网格对65536个端口进行描述。
端口坐标:
Paste_Image.png
端口号由二进制数表示,x代表端口的高字节,y代表低字节
Paste_Image.png
- 垂直轴:端口的高字节
- 水平轴:端口号的低字节
- 每个点:一个端口,黑色部分可能代表没有活动的端口。
- 4*4选择器(1):选择用户想要分析的端口
- 一个大圆(2):帮助1进行定位
- 放大器(3):提供详细信息
- 直方图:映射每一个数据点的相关的频率
- 梯度线:颜色映射
端口可视化:
Paste_Image.png
- 垂直轴:映射数据值,值越大越高
- 五条直线:映射五个特征(会话数量,不同源IP数,不同目的IP数,不同源、目的IP对,不同源的国家??)
- 剩下的轴:映射时间。
可以围绕垂直轴进行旋转,允许用户从不同角度分析感兴趣的地方。
上图中会话数量被高亮。
1.80端口:会话数量周期性规律
2.46011端口:一般维持一个常量值,有几个较高点。
3.27374端口:随着时间的变化,掉的非常快
4.34816端口:异常,只在几个时间点上集中。
案例分析:
图2和5为端口扫描,图6为更详细的细节
PortVis可以分析单端口事件也可以分析多端口事件。
总结:
可以分析端口扫描以及但端口异常情况;
可以分析网络流量的有用的信息:比如网络流量的规律以及端口活跃性的描述。
