A. 如何实现网络流量数据可视化
实现网络流量数据可视化,主要分为以下步骤:
安全TAP:保护流经网络/虚拟TAP的网络流量中的信息,使其避免未授权的访问。 从物理或虚拟源头安全地收集流量。
2.流量映射:流量映射使得每个网络端口都能够以 100% 的端口线速接收流量,同时每个工具端口也能够以 100% 的端口速率输出相关流量。
3.深度数据包过滤:对于分布在虚拟化环境中的那些有封装的、穿隧传输的流量,通过使用灵活的模式匹配正则表达式过滤器,令路由决策基于应用层的数据包内容,而不仅仅基于数据包报头,可以增强该类流量的可视性,实现数据包深度过滤。
4.数据包优化:数据包截短,就是通过消除数据包中无关工具管理功能、分析功能、合规性或安全性的后沿成分,减小数据包的大小。
5.关联状态:数据包除重功能,即建立一个时间窗口,在该窗口期间,任何重复数据包进入矩阵都会被消除。去除与正在进行中的分析任务无关的数据包,整个系统就能够显着降低带宽浪费率和存储容量浪费率,减少对相关工具处理资源的占用。
6.高性能NetFlow:把NetFlow生成任务从生产网络上的交换机和路由器上转移出去, 可以提升生产网络的性能,同时也能在数量上、质量上和有效性方面对传送至工具的精确NetFlow数据。
7.串接:为了对层出不穷的安全威胁作出更敏捷的反应,许多过去被动检视流量的带外安全工具正在变身串接部署。然而,串接部署也自然难免有潜在的故障点,只是用旁路技术可以降低这些风险。
B. 社交网络分析和可视化
社交网络是一种社会关系结构,通过可视化这些网络,我们可以深入观察行为,识别影响,并预测个人或群体的行为模式。社交网络不局限于人与人之间的关系,它们可以应用于任何类型的连接结构,包括IT网络、组织或供应链,只要数据可以被理解为一组节点和链接。
连接数据可视化之所以有效,是因为它直观、快速且灵活。人类的大脑能更擅长发现趋势、模式和异常值,当数据以有形的格式呈现。交互方式探索互联数据还能让用户获得更深入的知识,理解上下文并提出更多问题。
社交网络分析(SNA)是利用图论来理解和测量社交网络的方法。它通过分析联系来解释社会行为,而不仅仅观察个体。在政府、执法部门、银行、金融、网络安全分析师和基础设施管理人员等实际世界应用中,社交网络分析发挥了重要作用。
社交网络分析在三个不同层面进行:网络、群组和实体。网络层面揭示了模式,如整体连通性和平衡性;群组层面显示了各子图之间的动态联系;实体层面识别了小型集群,并在连接环境中了解各个实体。
节点的中心性是衡量其在网络中的突出程度或结构重要性的指标。中心性分数高可能表明能力、影响力、控制力或地位。通过找出“中心”节点,可以更快地在网络中传播信息、阻止流行病、保护网络免遭破坏、识别可疑恐怖分子等。
点度中心性、中介中心性、接近中心性、特征中心性等是衡量节点重要性的不同指标。点度中心性关注节点的连接性,中介中心性关注节点作为其他节点之间“桥梁”的角色,接近中心性关注节点与其他节点的接近度,特征中心性综合考虑节点及其邻居的重要性,而PageRank则揭示有影响力或重要节点的影响范围超出了直接连接范围。
除了中心性度量,还开发了其他算法来帮助理解社交网络数据,包括距离或路径、社区发现和聚类、图布局等。这些算法有助于分析社交网络的复杂性,揭示社区结构,优化节点和链接的布局,提供有意义的可视化。
标准布局、有机布局、顺序布局、层次布局、结构布局、放射布局、镜头布局等图布局算法在社交网络可视化中扮演重要角色。这些算法确保了链接长度一致、节点和链接均匀分布、避免重叠、清晰展示不同层次的节点关系,以及生成吸引人眼球的“鱼眼镜头”视图。
社交网络分析和可视化提供了深入理解复杂社会关系结构的工具,使我们能够识别关键节点、理解网络模式、预测行为趋势,并在实际应用中采取有效策略。
C. 网络安全可视化有什么好处
网络安全可视化之所以重要,可以从现实生活中的安全可视化进行类比。现实世界中,平安城市、雪亮工程等治安防控工程中,关于视频监控系统的可视化方面建设都十分突出,其意义体现在以下方面:
预警
通过对全局地区的可视化监控,可以进行针对性的人流量分析、人脸识别、信息采集等早期管理手段,通过这些手段能够进行早期预警,将安全问题控制在萌芽状态,做到防患于未然。
调度
在可视化平台的支撑下,一旦发生了安全隐患,可以通过多个区域的同时观测,及时地完成指挥调度和资源调配,对于问题严重的区域进行重点布防。
回放
在安全相关案件调查取证过程中,监控录像回放起到重要的作用,即使犯罪过程没有被发现或目标对象离开了布防区域,还是可以通过多个监控录像回放的配合准确定位作案事实和目标移动的路径,为抓捕和侦破提供了第一手材料。
提高犯罪难度和成本
使用以上全方位的可视化手段,结合经验丰富的分析人员,将犯罪的难度和成本变得极高,降低了治安事件发生的风险,即使问题发生也有完善的应对方法。
上述道理在网络安全领域也同样适用,随着攻击行为越来越复杂,APT(高级持续性威胁)、勒索病毒等事件频繁发生,这些攻击不是单点短时间攻击,而是持续时间长达十几个小时甚至几天,有多个复杂的环节组成,对付这些恶意行为,同样需要网络安全领域的可视化技术。
通过对安全路径、流量分析、数据安全、主机安全等多个层面的可视化展现,打造一张网络安全作战地图,同样可以起到以下作用:
攻击预测
通过设定正常访问情况下的路径和流量基线,对发生的异常状况进行及时发现和告警,并通过多个层面的关联分析迅速在攻击的早期解决问题。
路径和流量调度
发现攻击现象后,需要尽快通过可视化手段找出导致攻击的错误路径,并尽快配合流量调度系统将流量通过其它路径转发,再及时关闭错误路径,将攻击者打开的后门尽快关闭。
回溯
对于已经发生了安全事件,就像调取监控录像一样,需要调取事发当时的全部数据报文,通过精细化地分析取证,确保100%还原事件现场。通过多个流量采集器的配合,可以分析出攻击者的轨迹和路径,为追踪攻击者提供了事实依据。
通过网络安全可视化系统的部署,可以缩小攻击面、延长攻击时间、提高攻击者成本和防御成功率,起到震慑、预测、防御、处置、追溯的全方位作用。