一种有效检测扫描型攻击的网络可视化方法及系统

技术领域

本发明涉及一种有效检测扫描型攻击的网络可视化方法及系统，属于网络空间可视化技术领域。

背景技术

黑客通常会通过网络扫描进行侦察，以获取有关网络漏洞的信息和情报，作为攻击的前兆。扫描的地址和端口可以深入了解网络细节和服务。组织一般通过IDS能够快速准确地观察侦察活动，就可以采取措施防止网络攻击。过去，网络管理员使用文本表示来检查和分析网络扫描攻击行为。然而，随着数据量的增加和面临网络规模越为复杂的情况，分析数据的时间跨度将很长，并且基于文本数据的分析使得组织对于网络管理人员的专业技能要求较高。

使用二维可视化技术对多维数据进行可视化，包括字形、颜色、 平行做标题、散点图等，能起到较直观的效果。已有的2D可视化网络扫描工具有Rumint和PCAV，主要用于检测未知的大规模互联网攻击（蠕虫、DDOS、扫描攻击等），然而2D可视化技术可能会导致信息过载的情况，大量数据集会导致遮挡攻击，从而使得可视化变得乏力。可以通过过滤无用信息去除不需要的数据来解决该为题，然而实际在过滤过程中，我们又不得不考虑数据的筛选是否精确。

使用3D可视化技术增加Z轴方向可以有效减少上述的混乱情景，并可提供更加精确的数据结构全局视图，不需要过滤技术，有效防止了信息过载和基于遮挡攻击。现有的3D可视化使用标志性树结构、条形图或者3D散点图等技术来对IDS数据做可视化，然而现有的3D可视化工具PortVis和NetBytes Viewer只考虑到源IP、目标IP、源端口、目标端口四元组，只显示活动数，对活动本身不做过多关注。

发明内容

本发明提供一种有效检测扫描型攻击的网络可视化方法及系统，首先抓取受测试网络数据包流量并对数据包做解析并过滤相关参数；将数据包中参数转换为数据库格式并写入数据库；定义具有相同参数的网络连接为研究对象，判定其为正常连接或存疑连接；由检测器对每个流数据检测，将各扫描连接进行分类；最后针对不同终端系统实现对流量进行3D可视化定制展示，将抽象的网络数据转换为视觉表示，以便快速且直观地发现和识别恶意活动和网络扫描，使网络管理员高效地进行网络管理并降低网络安全管理人员的准入门槛。

为实现上述目的，本发明是采用如下技术方案实现的。

第一方面，本发明提出一种有效检测扫描型攻击的网络可视化方法，包括：

抓取待分析网络数据包流量；

对所述数据包流量进行参数提取并过滤，得到过滤后参数；

将所述过滤后参数写入流数据库；

定义具有相同参数的网络连接为研究对象，确定所述研究对象的连接类型，其中包括正常连接和存疑连接；

基于所述连接类型对所述流数据库中的流数据包进行检测并对检测出的存疑连接进行分类，得到分类后的扫描连接；

基于所述分类后的扫描连接针对不同终端系统对所述待分析网络数据包流量进行3D可视化定制展示。

可选地，所述抓取待分析网络数据包流量包括：针对重点应用和/或关键设备进行流量监测及抓取。

可选地，所述对所述数据包流量进行参数提取并过滤，得到过滤后流量参数，包括：

将若干种类型的TCP字段添加进现有解析器的数据库中，得到增强后的解析器；

使用所述增强后的解析器对所述数据包流量进行参数提取，得到流量参数；

对所述流量参数中的无意义参数进行过滤，得到过滤后参数。

可选地，所述将所述过滤后参数写入流数据库，包括：

使用转换器对所述过滤后参数的格式进行转换，得到数据库格式参数；

将所述数据库格式参数写入所述流数据库。

可选地，所述定义具有相同参数的网络连接为研究对象，确定所述研究对象的连接类型，其中包括正常连接和存疑连接，包括：

定义具有相同源IP、目标IP、源端口和目标端口的网络连接为重点关注数据流；

依次记录所述重点关注数据流包的TCP标志，基于TCP/IP属性得到所述重点关注数据流的连接类型，其中包括正常连接和存疑连接。

可选地，所述基于所述连接类型对所述流数据库中的流数据包进行检测并对检测出的存疑连接进行分类，得到分类后的扫描连接，包括：

使用检测器执行固定时间监测并对源主机端口与目的主机端口之间的流数据包进行检查，得到所述源主机端口与目的主机端口之间的存疑连接；

使用检测器对所述存疑连接进行分类，得到分类后的扫描连接，其中包括感兴趣扫描。

可选地，所述基于所述分类后的网络连接针对不同终端系统对流量进行3D可视化定制展示，包括：

在可视化框架中构建基于x轴、y轴、z轴的坐标系，其中，x轴表示不同子网平面，z轴表示该子网中包含的IP地址，地址范围视不同子网的实际范围而定，y轴表示端口号，端口范围0-65535，重要端口突出显示，坐标系由多个平面和不同平面间连接线组成，允许用户使用平移旋转等功能，允许用户锁定某一子网平面为观测平面并对其进行连接状态分析；

基于所述分类后的扫描连接在所述坐标系上通过连接线展示源主机端口与目的主机端口之间的通信状态，并区分显示不同IP地址的通信情况。

第二方面，本发明提供一种有效检测扫描型攻击的网络可视化系统，包括：解析器、转换器、检测器、流数据库以及可视化模块；

所述解析器用于从流数据包中提取流量参数并过滤，将所述过滤后参数发送到转换器；

所述转换器用于接收所述过滤后参数并将其转换为数据库格式并写入流数据库；

所述流数据库用于对网络流量各类相关参数的存储调用进行管理；

所述检测器用于对所述流数据库中的流数据做检测并分类为不同扫描类型，通过分析流数据的TCP/IP属性确定感兴趣扫描并根据匹配规则确定高优先级的IP段，将其作为对易受攻击节点感知的基础数据；

所述可视化模块用于对不同类型的扫描活动做3D立体化展示，增强对易受攻击节点的感知，帮助管理员确定网络中正在发生的扫描活动。

可选地，所述检测器库内包括预先设定好的扫描攻击类型及相关判定依据。

可选地，所述可视化模块包括坐标区域CR和感知区域AR；

所述坐标区域CR用于记录网段的各项检测扫描，并对不同扫描攻击类型做视觉区分；

所述感知区域AR用于与所述检测器联动以展示感兴趣扫描和高优先级IP段。

与现有技术相比，本发明所达到的有益效果：

本发明相对于传统文本数据展示形式，通过引入重要扫描特征并确定数据与网络上攻击者节点之间的相关性，并进行可视化仿真，有效增强了对网络流量现状的可读性，化抽象为具体，并降低了网络管理员的工作复杂度；相对于二维可视化工具，通过增加z轴能有效解决了大量数据集遮挡造成混乱可视化情景，避免重要数据被忽视或因遮挡而不可视；相对于现有的3D可视化工具，极大增强了网络管理员对于其所管理网络连接状态的感知，能快速帮其定位异常连接/扫描IP，并可通过合并更多数据集解决了基于四元组/五元组的字段限制，有效增强了工具对扫描活动的细节感知。

附图说明

图1所示为本发明的一种实施例中有效检测扫描型攻击的网络可视化系统结构示意图；

图2所示为本发明的一种实施例中针对同一目标子网的扫描攻击3D可视化展示示意图；

图3所示为本发明的一种实施例中可视化坐标区域CR和感知区域VR展示示意图；

图4所示为本发明的一种实施例中针对端口扫描攻击的2D可视化展示示意图；

图5所示为本发明的一种实施例中针对端口扫描攻击的3D可视化展示示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、 “底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

实施例1

本实施例提供一种有效检测扫描攻击的网络可视化方法，包括如下步骤。

1、抓取流量，提取并过滤数据包中相关参数。

这一步工作主要是使用解析器来完成抓包和过滤两个内容，可以通过在同一台服务器上部署抓包和过滤软件来实现。

（1）流量抓取：可以选取当前主流的抓包工具，例如wireshark、tcpdump等，需要注意流量抓取不应该是盲目的，应针对重点应用或者关键设备做流量监测及抓取，以免增加解析器工作负担，对设备性能做无意义损耗。

（2）参数提取和过滤：目前主流工具有Netbytes Viewer和SCPD等工具，但现有工具只考虑到四元或五元组数据，我们通过在数据库中添加和合并RST、FIN、ACK、SYN等TCP字段来增强此类工具，并过滤相关参数，过滤内容包括如下字段：IP、平均数据包大小、源和目标端口、IP ID、分段位、时间戳（Timestamp）、TCP头标志（SYN、FIN、URG、PSH、ACK），通过过滤无意义参数后数据包的质量得到第一步的压缩，并减少了数据大小便于有效的数据管理。

2、转换数据格式并写入数据库。

通过将过滤后参数上传至转换器，并将参数转换为value-key格式后插入数据库。

3、定义具有相同源IP、目标IP、源端口和目标端口的网络连接为研究对象，记录所述研究对象的TCP标志的顺序，从而确定该连接为正常连接或是扫描行为。

流量参数经过转换器后形成压缩数据格式的流分组，我们定义具有相同源IP、目标IP、相同源端口和目标端口的两个节点或一组数据包之间的网络连接为重点关注数据流。在该类数据流包中，我们依次记录TCP标志，可以以此来帮助确定扫描或者连接类型。

4、由检测中心对每个流数据检测，将各扫描连接进行分类，例如FIN、ACK、SYN、Ping扫描等。通过执行固定时间检测和检查两个主机间的流数据包判定扫描类型。

检测器检查每个流数据包并将网络连接分类为各种扫描。检测器执行固定时间监测，并通过检查两个主机之间的流数据包对扫描进行分类。例如如果在15秒内扫描了至少15个目的端口则检测器将该连接分类为主动端口扫描。

以图4的源端口混淆攻击为例，通过对连接之间的源目的关系区分排查，能帮助管理员快速确定哪个主机正在发送恶意数据，并对IP进行优先级排序以防止阻塞。如图4所示，多个节点进行僵尸网络攻击，能清晰地显示出3个IP地址正在执行扫描，其他IP在对某一端口执行DDoS攻击。

5、使用渲染增强型三维立体可视化框架，针对不同终端系统实现对流量进行快速的3D可视化定制展示，如图5所示。

我们使用C++面向对象的模型-视图-控制器范例实现模块化和可扩展性。使用自定义OpenGL类或者WebGL来实现跨平台功能。

使用通用的可视化3D仿真软件（例如FRE3DS），有助于生成具有立体支持的快速定制3D可视化，以便管理员可以轻松快速开发各种可视化工具来调查数据。

如图2所示，基于x、y、z坐标系，其中x轴表示不同子网平面，z轴表示该子网中IP地址，y轴表示端口号，端口范围0-65535。坐标系由多个平面和不同平面间连接线组成，允许用户使用平移旋转等功能，允许用户锁定某一子网平面为源/目的子网并对其进行网络连接分析；通过连接线展示源/目的主机端口之间的通信状态，并采用不同颜色线条以区分不同IP，因附图中无法展示不同颜色线条，使用虚线与实线对不同IP进行区分展示。可设定x轴平面3为重点关注子网，z轴、y轴分别表示该网段的目的IP地址和目的端口，红框内为该子网内优先级高的IP地址集及端口号集。根据对该网段的网络连接的分析可确定某两个源IP地址、端口号及其所属网段信息并分别设其为平面1和平面2。图2展示了子网平面1和子网平面2向平面3发起的扫描连接。

可视化模块要求创建左右摄影机，并将立体可视化渲染为坐标区域CR和感知区域AR。感知区域视在屏幕上的可视化立体部分。如图3所示，为CR、AR侧视图，其中框内为AR区域。

实施例2

如图1所示，本实施例提供了一种有效检测扫描攻击的网络可视化系统，包括：

解析器、转换器、检测器、流数据库以及可视化模块；

所述解析器用于从流数据包中提取流量参数并过滤，将所述过滤后参数发送到转换器；

所述转换器用于接收所述过滤后参数并将其转换为数据库格式并写入流数据库；

所述流数据库用于对网络流量各类相关参数的存储调用进行管理；

所述检测器用于对所述流数据库中的流数据做检测并分类为不同扫描类型，通过分析流数据的TCP/IP属性确定感兴趣扫描并根据匹配规则确定高优先级的IP段，将其作为对易受攻击节点感知的基础数据；

所述可视化模块用于对不同类型的扫描活动做3D立体化展示，增强对易受攻击节点的感知，帮助管理员确定网络中正在发生的扫描活动。

进一步地，所述检测器库内包括预先设定好的扫描攻击类型及相关判定依据。

进一步地，所述可视化模块包括坐标区域CR和感知区域AR；

坐标区域CR：用于检测整体网段内的隐形扫描、伪造扫描、分布式扫描和旨在绕过防火墙的扫描，包括SYN、ACK和FIN扫描。

感知区域AR：显示具有最高优先级的IP子集的立体区域。我们使用检测器通过分析流中的TCP/IP属性来确定感兴趣的扫描和优先级IP。检测机制根据各种类别对节点进行可视化分组：例如，隐形SYN扫描、ACK扫描和FIN扫描。同时也将节点分组为具有优先级的IP。由于AR包含IP和具有最高优先级的扫描分类，可以使用立体技术来增强对易受攻击节点的感知。通过将焦距内的节点定位到AR中，增强了这些节点的感知能力。管理员也容易确定网络中正在扫描和正在扫描的节点，并区分哪些节点可能受到损害。

以上结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。