总第11期
2017年12月刊
Focus    焦点
Focus    焦点
打造可视化的态势感知
文/张莉
分享

可视化技术是当前最流行的技术之一,在信息安全领域,数据可视化能够最直观地展现当前信息安全的诸多信息,为管理、决策、趋势预测等提供了重要的科学依据。因此,数据可视化技术在信息安全领域得到了广泛的应用。

一、可视化前端实现的关键技术

安全可视化不仅能让我们更容易地感知网络数据信息,快速识别风险,还能对事件进行分类,甚至对攻击趋势做出预测。图表类是可视化技术最重要的组成部分之一,其友好的界面,丰富的信息,成为可视化开发者的首选技术。当前开源的图表插件多如牛毛,我们分别从所提供的功能特征、支持的图表类型和支持的浏览器、页面渲染速率等角度分析了如下图表插件:

1.提供的功能特征

为打破单纯的视觉呈现,达到拥有互动图形用户界面的数据可视化。各图表库能够提供的功能包括多点触控、可缩放、混合图表、数据标签、日期-时间轴、动态图、多轴、数据区域选择、值域漫游、多维度堆积和拖曳重计算等;比较当下比较流行的几种图表库:Echarts、FusionCharts、HighCharts、D3js、GogleCharts、ZoomChart,结果得出Echarts能够提供的功能最为丰富。

2.支持的图表类型

图表是数据呈现的载体,图表的类型越丰富提供的信息越齐全。Echarts支持的图表类型包括基本图形(饼图、柱状图、折线图、面积图、雷达图、仪表盘和散点图)、地图、力导向布局图、和弦图、事件河流图、韦恩图、字符云和混搭等。

3.支持的浏览器和页面渲染速率

可视化的实现不可避免的要考虑浏览器的兼容性和页面渲染速率。Echarts支持IE9+,兼容绝大部分浏览器包括chrome、Firefox和Safari等;而对于页面的渲染速率,Echarts底层依赖轻量级canvas类库Zrender,对于密集型的大数据量渲染速度较快;其自适应良好,可拖拽。

二、可视化的设计原则

做可视化设计之前,首先要弄清楚进行可视化设计的目的是什么,想呈现什么样的信息,以及打算呈现给谁。是否在找周期性的模式?或者多个变量之间的联系?异常值?空间关系?比如某企业用户,想了解其内部各个区域漏洞的分布概况,以及哪个组织、哪个地区的漏洞数量最多;又如企业,想了解内部的访问情况,是否存在恶意行为,或者企业的资产情况怎么样。

1.全生命周期设计流程

可视化的设计流程主要有需求分析、数据管理、图形匹配、风格确定。

需求分析:我们在拿到需求规格时,首先,要认真了解客户需求,并对整体内容进行关键词的提炼。可视化的核心在于对内容的提炼,内容提炼得越精确,设计出来的图形结构就越紧凑,传达的效率就越高。反之,会导致图形结构臃肿散乱,内容冗余,关键信息无法高效地传递给用户。

数据管理:在了解需求的基础上分析要展示哪些数据,包含数据维度、查看的视角等;想要清楚地展现数据,就要先了解所要绘制的数据,如元数据、维度、元数据间关系、数据规模等。根据需求,我们需要展现的元数据是攻击事件,维度有地理位置、攻击次数、时间、攻击类别和级别,查看的视角主要是宏观和关联。涉及到的视觉元素有形状、色彩、尺寸、位置、方向。

图形匹配:分析清楚数据后,就需要找个合适的图形呈现方式。利用可视化工具,根据一些已固化的图表类型快速做出各种图表,上一步,或许还可以靠自身的逻辑能力,采集到的现成数据分析得到,而这一步更多地需要经验和阅历。幸运的是,现在已经有很多成熟的图形可供借鉴。

风格确定:匹配图形的同时,还要考虑界面的风格。由于我们做的网络安全产品,我们对设计风格进行了头脑风暴:它是实时的,有紧张感;需要新颖的图标和动效,有科技感;信息层次是丰富的;展示的数据是权威的。最后根据设计风格进一步确定了深蓝为标准色,代表科技与创新;橙红蓝分别代表健康度的高、中和低,为辅助色;整体的视觉风格与目前主流的扁平化一致。

2. 多角色/多维度的设计原则

用户不同,数据不同。任何时候设计一套复杂的系统,都不可避免要为很多用户和角色进行设计,每个角色都有自己的工作流程和对数据的需求。

定义好角色,产生不同视角;关于角色,重要的一点是预先确定好,围绕它们来组织信息结构和线框图,从态势感知的角度看,需要重点考虑以下几个角色的设计分工:

安全监督员:需要掌握全网安全态势,以便在发生攻击事件时及时作出安全预警决策;

信息安全员:需要分析员工的行为趋势,对于员工行为进行审计制定内部安全策略;

IT运维人员:需要了解全网设备是否有异常,一旦发生异常页面实时显示及时作出安全应急响应。

3. 交互式的设计思路

交互设计的思维方法建构于界面设计以用户为中心的方法,更多地面向行为和过程,把产品看作一个事件,强调过程性思考的能力,流程图与状态转换图和故事板等成为重要设计表现手段。其主要关注的是如何让人与系统更好地进行“对话”,也就是人在跟一个系统打交道时,他了解到哪些信息,他怎么做,感受如何。

互联网行业的交互设计,指的主要是界面的设计即可视化设计。交互式设计的主要原则:a)可视性:功能可视性越好,越方便用户发现和了解使用方法;b)反馈:反馈与活动相关的信息,以便用户能够继续下一步操作;c)限制:在特定时刻显示用户操作,以防误操作;d)映射:准确表达控制及其效果之间的关系;e)一致性:保证同一系统的同一功能的表现及操作一致;f)启发性:充分准确操作提示。

三、安全态势感知的可视化实现

安全态势感知的可视化重点围绕着攻击/漏洞态势、流量/用户态势、运维态势、策略合规态势等几个方面进行,具体的设计内容如下:

1.攻击/漏洞态势呈现

攻击从哪里开始?目的是哪里?哪些地方遭受的攻击最频繁……通过网格地图,我们可以让用户看到实时发生了什么,在几秒钟内回答这些问题,这就是可视化带给我们的效率 。通过将全部安全信息在网格地图上做动态展示(如图1所示),包括攻击源、攻击目的、端口和地理信息等,同时还可以进行友好的交互,自定义查看攻击力度范围、类别。

图1.攻击态势

2.流量/用户态势呈现

哪些用户是最活跃的?最活跃用户访问了哪些业务系统,访问的流量趋势什么……我们可以通过下图所示的内网用户访问模型(如图2所示)来回答上面的问题。左侧列出的是TOP20关键用户,右侧是关键业务系统,中间展示的是关键业务系统的用户访问流量趋势,点击左侧任一用户可以高亮显示其访问的业务系统及其流量趋势,同样点击右侧任一业务系统可以高亮显示其访问用户。这样用户就可以一目了然看到其内网用户的访问情况。

图2 内网用户访问模型

3.运维态势呈现

用户想了解其全网的设备告警情况,我们可以通过在地理位置示意图(如图3所示)上显示全网的设备告警情况,通过资产告警度公式:

资产告警度=[1-(高危资产数+0.5×风险资产数)÷资产总数] ×100,

计算出每一个区域的资产高精度,并给不同分值范围设置对应的颜色,如设置0到60显示为绿色,60到80显示为黄色,80到100显示为红色,如下图用户能够非常直观的看到全网的设备告警情况,便于设备运行维护工作。

图3 资产告警示意图

4.策略合规态势

安全策略合规分析以用户业务为核心,以安全策略为导向,以合规要求为基线,实现人员业务策略的高度统一,包括基础设备与安全域可视,业务与数据访问路径可视和安全策略基线矩阵(如图4所示)可视,通过对用户网络安全策略体系与业务系统进行针对性分析,建立安全域间的安全策略矩阵、系统间的安全策略矩阵、用户与系统间的安全策略矩阵,实现安全策略合规矩阵的可视化展示。

图4 策略矩阵

基于以上原则设计的安全态势、行为审计和设备运维的可视化大屏和策略合规:用户可以非常直观地看到被攻击最频繁的区域、攻击类型分布及趋势、攻击源攻击目的和实时的攻击事件;用户的内网应用流量分布、内网用户访问流量模型;设备的状态,包括高危资产、资产漏洞分布、关键服务器性能监控、关键网络设备负载监控和最新的告警信息;网络安全策略是否合规,业务路径及安全策略等信息。

另外,除了上面提到的这些以外,安全态势感知的可视化实现还包括攻击路径分析、异常行为分析、网络协议分析、网络通讯实时监控、大规模网络拓扑展现等各种层面的应用,所使用的数据变换和图形布局算法也因用途的不一样而不同,还有表示关联的LinkGraph、表示比例的TreeMap、表示进度的Gantta 甘特图、注重交互的DOI 树、表示大规模节点的超椭圆曲线等。

四、结束语

安全可视化的设计实现使得用户能够直观的看到安全风险、明确当前的安全态势,及时做出应急响应和安全防范,从而更好的提升用户的安全体验,为后续的决策支撑提供简单直观的操作依据。当然,安全可视化的应用不局限于此,本文只是起到抛砖引玉的作用。

分享到
关闭