收稿日期：2014-12-05；修回日期：2015-01-12。

基金项目：国家自然科学基金资助项目（61402540）。

作者简介：张胜（1975－），男，湖南株洲人，博士研究生，CCF 会员，主要研究方向：网络信息安全、计算机支持的协作学习、网络软件；施荣华（1963－），男，湖南长沙人，教授，博士，主要研究方向：计算机通信保密、网络信息安全；赵颖（1980－），男，湖南长沙人，讲师，博士，主要研究方向：信息可视化、可视分析。

文章编号：1001-9081（2015）05-1379-06doi ：10．11772/j．issn．1001-9081．2015．05．1379基于多元异构网络安全数据可视化融合分析方法张胜1，2*，施荣华1，赵颖1(1．中南大学信息科学与工程学院，长沙410083;2．湖南商学院现代教育技术中心，长沙410205)(*通信作者电子邮箱48209088@qq．com)摘要：随着现代网络安全设备日益丰富，安全日志呈现多元异构趋势。

针对日志数据量大、类型丰富、变化快等特点，提出了利用可视化方法来融合网络安全日志，感知网络安全态势。

首先，选取了异构安全日志中有代表性的8个维度，分别采用信息熵、加权法、统计法等不同算法进行特征提取；然后，引入树图和符号标志从微观上挖掘网络安全细节，引入时间序列图从宏观展示网络运行趋势；最后，系统归纳图像特征，直观分析攻击模式。

通过对VAST Challenge 2013竞赛数据进行分析，实验结果表明，该方法在帮助网络分析人员感知网络安全态势、识别异常、发现攻击模式、去除误报等方面有较大的优势。

关键词：网络安全可视化；多元异构数据；特征提取；树图和符号标志；时间序列图中图分类号：TP391文献标志码：AVisual fusion and analysis for multivariate heterogeneous network security dataZHANG Sheng 1，2*，SHI Ｒonghua 1，ZHAO Ying 1(1．School of Information Science and Engineering，Central South University，Changsha Hunan 410083，China ;2．Modern Educational Technology Center，Hunan University of Commerce，Changsha Hunan 410205，China )Abstract:With the growing richness of modern network security devices，network security logs show a trend of multiple heterogeneity．In order to solve the problem of large-scale，heterogeneous，rapid changing network logs，a visual method was proposed for fusing network security logs and understanding network security situation．Firstly，according to the eight selected characteristics of heterogeneous security logs，information entropy，weighted method and statistical method were used respectively to pre-process network characteristics．Secondly，treemap and glyph were used to dig into the security details from micro level，and time-series chart was used to show the development trend of the network from macro level．Finally，the system also created graphical features to visually analyze network attack patterns．By analyzing network security datasets from VAST Challenge 2013，the experimental results show substantial advantages of this proposal in understanding network security situation，identifying anomalies，discovering attack patterns and removing false positives，etc．Key words:network security visualization;multiple heterogeneous data;feature extraction;treemap and glyph;time-series chart0引言近年来，随着计算机网络规模不断扩大、信息高速公路不断提速以及网络应用的不断增加，网络安全面临着越来越严峻的考验。

特别是进入“大数据”时代以来，网络攻击呈现出大数据的“3V ”特征，即攻击规模越来越大（Volume ），如分布式拒绝服务（Distributed Denial of Service ，DDoS ）攻击，常常可以发动成千上万的设备同时攻击一台主机；攻击类型越来越多（Variety ），新的攻击模式和病毒木马的变种叫人防不胜防；攻击变化越来越快（Velocity ），如一次有预谋的网络攻击往往包含多个步骤和多种应变的方案。

为了保证网络安全需求，技术人员开发出各种网络安全设备，如：流量监控系统、防火墙系统（Firewall ）、入侵防御系统（Intrusion Detection System ，IDS ）和主机状态监控系统等。

这些设备运行过程中都会产生海量的日志文件，因为来自不同的传感器，所以格式、指标等各不相同，记录着各自应用领域发生的安全事件，如果割裂看待每种设备的安全事件，只能发现片面的、零散的安全问题，如何在大数据时代有效管理和动态监控网络，从海量的、异构的、快速变化的网络安全日志中全面发现问题，感知网络态势是当今网络安全的重要研究课题。

1网络安全可视化与多元融合系统网络安全可视化分析技术是一个新兴多学科融合的研究领域，它利用人类视觉对模型和结构的获取能力，将抽象的网络和海量高维数据以图形图像的方式展现出来，从而快速地发现网络安全数据中隐含的规律、模式以及发展趋势，帮助分析人员提高认知，把握、预测和解决网络安全问题的能力。

自从2004年召开网络安全可视化国际会议（Visualizationfor Cyber Security ）以来，越来越多的可视化工具涌现出来［1］，Journal of Computer Applications计算机应用，2015，35(5):1379－1384，1416ISSN 1001-9081CODEN JYIIDU 2015-05-10http://www．joca．cn如：Portall［2］专注于主机状态监控，TVi［3］和Flow-Inspector［4］的研究对象为网络流（Netflow），而Avisa［5］和IDS View［6］只关注入侵检测系统数据，从单一的数据层面能够挖掘和展示整个网络的安全状态的能力有限，而网络态势评估要求融合所有可获取的信息进行实时评估［7］。

数据融合（data fusion）起源于1973年美国国防部资助开发的声纳信号处理系统，目的是利用多个传感器所获取的关于对象和环境全面、完整的信息，核心问题是选择合适的融合算法，常用方法基本上可分为随机和人工智能两大类。

随机类算法有加权平均法、卡尔曼滤波法、多贝叶斯估计法、证据推理、产生式规则等；而人工智能类则有模糊逻辑理论、神经网络、粗集理论、专家系统等。

随着信息技术的发展和普及，网络安全领域各种设施设备不断更新和变化，如何利用多元异构数据对大规模网络进行协同可视分析，是国内外专家一个重要研究方向。

新的多元可视化网络安全分析系统不断涌现，如：IDSＲadar［8］融合了入侵检测系统（IDS）和防火墙系统（Firewall）的安全数据，帮助分析人员从大量误报（false positives）中鉴别出真正的异常模式；Elvis［9］可以导入网络包信息（TcpDump Packet）、入侵检测系统（IDS）、操作系统日志（SysLog）等安全数据，分析人员可以选择适合特征进行分析和发现关联；Alsaleh等［10］将入侵防御系统（Intrusion Prevention System，IPS）和网页服务器日志（Apache Log）进行数据整合，目的是为了更好地感知网络安全态势。

多元融合的可视化分析系统还处于新生阶段，很多的方法和技术还处于摸索阶段，如何更好地选择数据源、融合数据特征、设计新颖可视化方法还处于不断研究和发展过程中。

2基于异构数据的可视化框架2．1合理选择多元异构数据集安全数据源是网络安全分析的基础，合理正确地选择数据源可以提高判断的准确性、全面性，降低判断的难度。

然而，由于现代网络系统庞大而复杂，网络安全产品也十分丰富，运行过程中往往产生海量的多元异构数据。

在选取数据源应考虑安全数据具有广泛代表性、信息丰富性、高可靠度性、变化实时性以及低冗余性等特点。

本文采用的数据来自VAST Challenge2013，提供了某跨国公司内部网络1100余台主机和服务器的日志，异构安全数据集分为3类：Host Status（主机状态）、Netflow（网络流）和IPS。

这3类数据传感器分别构建在主机、交换设备和出口设备端，时刻监控着整个网络不同对象的变化：Host Status体现着资源子网对象的性能变化情况；Netflow记录着通信子网流量变化细节［11－12］；而IPS安全日志则守住进出口大门，检查及断开有害的连接［13－14］。

三者的结合，既有着广泛的代表性和涵盖性，又能把握住各层次网络安全状态变化的实时趋势。

2．2微观细节展示2．2．1树图与标志符号的互补本文采用的可视化技术为树图（Treemap）和标志符号（Glyph）相结合来展示某个时间窗口内的网络安全状态。