摘要：

對(duì)于粗糙數(shù)據(jù)（比如缺失ip地址以及安全警報(bào)等）的安全分析以及可視化發(fā)現(xiàn)安全事件。
Introduction:由于數(shù)據(jù)私密性，需要從極少屬性的數(shù)據(jù)中獲得網(wǎng)絡(luò)信息。

PortVis:

利用軸映射重要的數(shù)據(jù)特征（時(shí)間和端口數(shù)量），創(chuàng)造一個(gè)基于這些軸的網(wǎng)格，每個(gè)格中的顏色代表網(wǎng)絡(luò)的活動(dòng)。

Data:

DDOS:許多來(lái)源，一個(gè)目的地
端口掃描和蠕蟲(chóng)病毒：一個(gè)來(lái)源，許多目的地
TTL walking 攻擊：不同的源、目的IP的對(duì)。

目標(biāo)：

1.檢測(cè)大范圍的網(wǎng)絡(luò)安全事件
2.明確小范圍的更精確的信息。

3個(gè)主要：

時(shí)間線可視化、主要的可視化、端口可視化

時(shí)間線可視化：

• 1：垂直軸：時(shí)間
• 2.水平軸：端口范圍，一共32列，每列代表2048個(gè)端口，一共65536個(gè)端口，每格的顏色代表端口的活躍性。
• 3.選擇器：選擇需要分析的時(shí)間
• 4.直方圖：整個(gè)時(shí)間的端口的活躍性（會(huì)話次數(shù)決定），80端口一般會(huì)較高。
• 5.梯度線：映射顏色，以幫助用戶(hù)獲取感興趣的部分。

主要的可視化：對(duì)給定的時(shí)間進(jìn)行詳細(xì)分析
利用256*256的網(wǎng)格對(duì)65536個(gè)端口進(jìn)行描述。
端口坐標(biāo)：

Paste_Image.png

端口號(hào)由二進(jìn)制數(shù)表示，x代表端口的高字節(jié)，y代表低字節(jié)

Paste_Image.png

• 垂直軸：端口的高字節(jié)
• 水平軸：端口號(hào)的低字節(jié)
• 每個(gè)點(diǎn)：一個(gè)端口，黑色部分可能代表沒(méi)有活動(dòng)的端口。
• 4*4選擇器（1）：選擇用戶(hù)想要分析的端口
• 一個(gè)大圓（2）：幫助1進(jìn)行定位
• 放大器（3）：提供詳細(xì)信息
• 直方圖：映射每一個(gè)數(shù)據(jù)點(diǎn)的相關(guān)的頻率
• 梯度線：顏色映射

端口可視化：

Paste_Image.png

• 垂直軸：映射數(shù)據(jù)值，值越大越高
• 五條直線：映射五個(gè)特征（會(huì)話數(shù)量，不同源IP數(shù)，不同目的IP數(shù)，不同源、目的IP對(duì)，不同源的國(guó)家？？）
• 剩下的軸：映射時(shí)間。

可以圍繞垂直軸進(jìn)行旋轉(zhuǎn)，允許用戶(hù)從不同角度分析感興趣的地方。
上圖中會(huì)話數(shù)量被高亮。

1.80端口：會(huì)話數(shù)量周期性規(guī)律
2.46011端口：一般維持一個(gè)常量值，有幾個(gè)較高點(diǎn)。
3.27374端口：隨著時(shí)間的變化，掉的非常快
4.34816端口：異常，只在幾個(gè)時(shí)間點(diǎn)上集中。

案例分析：

圖2和5為端口掃描，圖6為更詳細(xì)的細(xì)節(jié)
PortVis可以分析單端口事件也可以分析多端口事件。

總結(jié)：

可以分析端口掃描以及但端口異常情況；
可以分析網(wǎng)絡(luò)流量的有用的信息：比如網(wǎng)絡(luò)流量的規(guī)律以及端口活躍性的描述。