高昌盛 黄倩

摘要：Web攻击可视化通过分析各个网络事件间的关联性，将关联性以及各类攻击趋势以直观可视的方式展现，能够解决传统上对Web攻击的溯源及排查的方式，并且更大程度地帮助运维人员清晰地掌握网络的受攻击情况以及易受攻击的点。Web攻击可视化系统功能包括：WAF设计、日志分析、态势感知、漏洞扫描等。

关键词：网络安全;态势感知;数据可视化

中图分类号：G642        文献标识码：A

文章编号：1009-3044（2019）27-0024-02

1 绪论

随着网络应用的不断发展，网络已然成为我们生活中重要的组成部分，网络安全事逐年呈大幅度上升趋势，给我们生活和工作的方方面面带来的更加严重的影响和破坏。网络安全问题已经直接上升到了关系到经济发展、社会稳定以及国家安全的高度，网络安全目前也已经成为国家安全战略的重要组成部分。

通过从各类网络数据报文中检测、发现异常行为，同时能够给出预警，这已经成为目前网络安全管理的一个重要研究领域。目前常用的异常检测技术有案例推理技术、神经网络诊断技术、关联事件推理、规则推理等技术，然而这些技术最终检测结果都是以文字报告或数字的形式呈现出来的，直观性不强，需要专门的技术人员才能看懂。经过国内外学者多年的研究和发展，网络安全可视化技术给网络安全研究领域带来了新的变革，越来越受到人们的关注，并且已经成为该究领域中一个重要组成部分。

网络安全可视化技术通过将采集到的安全数据进行抽象，转变为图形图像和动画，同时借助人机交互技术来对网络安全事件进行分析，充分发挥了人类大脑对视觉感知处理的能力，能够帮助网络安全从事人员分析网络数据、获知和管理网络状况，发现网络入侵和安全异常，分析研究未知安全事件，进行网络安全态势感知等。

Web攻击可视化解决了传统上对Web攻击的溯源及排查的方式，并且更大程度的帮助运维人员清晰地掌握网络的受攻击情况以及易受攻击的点。

2 Web攻击可视化实现过程

首先分析各个网络事件间的关联性，然后通过Web将各个事件间的关联性以及攻击的各类趋势以动画的方式展现，具体实现步骤：

（1）对企业内的各类资产部署客户端，实现日志实时上传、WAF规则动态更新、存活检测等功能;

（2）将上传过来的日志进行汇总并通过规则匹配出其中存在的攻击行为的类型;

（3）将各种攻击类型汇总并以图表的方式展现出来;

（4）绘制攻击热点图，包含：易受攻击类型，易受攻击资产，以及攻击IP排行。结合各项数据统一呈现在大屏幕上，该系统可成为运维人员更加清晰地实时掌握网络受攻击的情况和容易受攻击的点的辅助工具;

（5）利用灰模型来达到预测未来的网络安全态势，利用灰模需要样本较少并且计算简单，相对容易实现。

3 现有设备分析

现有设备主要为NSAS（开源网络安全态势感知系统）与IDS，NSAD与现有的IDS之间有区别也有相应的联系。二者的区别主要体现在系统功能不同、数据来源不同以及处理能力不同等。

3.1系统功能不同

NSAS的功能主要是给管理员显示当前网络状态，其中不但包含了攻击数据还包含了正常的运维数据。为IDS通过部署在网络节点的方式可以检测出网络中存在的攻击行为并上报。

3.2数据来源不同

IDS主要是通过预先布置在网络上的Agent来获取数据的，而NSAS却是通过集成化思想，融合现有的各类设备来进行态势分析的。

3.3处理能力不同

对于IDS而言，高速网络的攻击行为是个待解决的难题，而NSAS充分利用多种数据采集设备，提高了数据源的完备性，简化了系统的计算难度从而提高计算处理能力。

4 系统功能

系统功能包括：采集本网站的各类web受攻击数据，通过可视化前端工具进行操作，结果以图形图像形式显现出来，使得运维人员更加清晰地了解自己的问题以及容易受攻击的点。

具体功能包括：

4.1 WAF设计

WAF 全称是Web Application Firewall， 简单讲就是web防火墙， 是对web业务进行防护的一种安全防护手段。

大部分互联网公司的业务，都会使用Nginx做各种各样的工作，负载均衡、A/B测试、Web网关等等的功能;另外，加上openresty（nginx + lua）的开发效率和易用性，提高了程序员开发nginx功能的效率。现在互联网公司招WAF开发的，一般都会加上nginxlua的要求，可见使用nginx + lua开发WAF，是我们在我们的这套系统中的相对较好的解决方案。

WAF系統主要是由三部分组成的：执行前端、后端中心系统及数据库。执行前端是WAF的执行引擎， 主要是根据规则进行过滤。根据规则匹配的结果，执行相应的动作。后端中心系统主要是生成规则的逻辑，并与执行前端的nginx进行必要的数据交换。数据库就是存放规则和一些配置及状态的地方，可以根据实际情况，选择关系型数据库或者Nosql。

其次需要综合考虑各类的网络攻击类型并制定相应的拦截规则将各类网络攻击拦截，并且拦截规则库要做到能实时更新，由运维人员自主添加规则以应对各种网络环境以及新出现的各类攻击手法。

4.2 日志分析

本系统中的日志主要分为两部分：WAF拦截日志以及正常的日志（Web日志、DNS日志，应用日志等）

WAF也叫网站应用级入侵防御系统，是Web应用防护系统的简称，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF拦截日志可以实现网站业务防护和运营需求，通过利用日志服务的功能实时采集已接入WAF防护的网站业务各类日志，并对采集到的日志数据进行实时检索与分析。

4.3 态势感知

在特定的网络环境下，网络管理人员可以先通过采集到的数据、WAF拦截日志以及正常的日志分析出整个网络的运行状况事态及变化趋势，然后将事件分出轻重缓急，遵循先宏观后微观、先急后缓的原则，处理网络中发现的问题。web攻击可视化系统将一定规模网络状态以及网络事件进行可视化展示，有利于网络管理人员快速地感知和理解网络中的安全事态，提高决策效率和准确性。

4.4 漏洞扫描

漏洞扫描往往是网络渗透攻击的第一步，通过网络扫描确定在网络中存在的服务以及存在可利用的漏洞，再对网络中提供服务的主机进行相应的攻击操作。通过对发生的网络扫描进行分析和确认，再结合历史攻击事件，通过利用散点图与地理热力图技术来实现网络服务器可视化方法，使网络管理人员能清晰的获知服务器的使用情况和网络的安全状况。

5 结语

传统的网络安全分析方法，当面对海量数据时，人的脑子往往出现认知困难的情况，无法及时地结合多种数据源，来进行综合全局的分析，这就使得对网络态势的感知缺少了整体效果，也就无法对网络的事态进行全局整体的预测，不能应对新类型的攻击事件。WEB攻击可视化系统的应用，有助于我们及时发现网络中存在的异常情况，及早发现网络入侵行为，分析网络安全状况、管理网络情况，并对网络安全态势进行预测。

参考文献：

[1] 孟浩.网络安全流数据可视化技术研究[D].天津：天津理工大学，2016.

[2] 黄超.网络异常行为检测与分析方法研究[D].陕西：西安电子科技大学，2010.

[3] 蒲天银.基于灰色理论的网络安全态势感知模型[D].湖南：湖南大学，2009.

【通联编辑：王力】