网络攻防学习笔记 Day105

网络安全数据流的可视化分析技术，需要对网络流量进行实时监控，通过在网络中部署探针获取数据，融合多种数据源的数据，利用数据抽取技术提取网络攻击行为的特征，进行多视图、多角度的可视化展示。

雷达图非常适合用来对事件或报警信息进行分析。雷达图可以清晰地表示一个网络安全事件的 3W（what，when，where）模型，即类型、时间和相关主机。采用雷达图对 3W 模型进行描述，能展示多样的交互空间，具有很好的图形表现力。

雷达图可视化算法所需要的日志信息主要包括安全事件类型（type）、发生时间（time）、源 IP、目的 IP 等。实现过程主要包括三个：①提取 3W 属性信息；②使用三个外部函数投影 3W 属性的值；③使用投影函数Γ来展示映射的结果。

网络拓扑布局算法是基于网络拓扑对发生安全事件的设备进行自动布局的，一般包括树形布局算法、网格布局算法和力导引算法等。力导引算法是基于力学模型的图布局算法，力导引算法在空间利用率和表示的条理性方面具有一些优势。

流量数据 Netflow 的可视化分析技术的目标：了解异常流量是哪些 IP 地址造成的；是否有恶意攻击行为；异常流量的行为特点、传输内容以及对网络和业务有多大影响等。该技术一般采用“总图+细节（overview+detail）”模式，使管理人员能快速读懂数据，快速识别异常、发现攻击模式。

网络安全态势数据一般包含时间、空间、事件等三个维度。时间维度数据包含采集的被监控网络上的每一个时刻的网络安全数据；空间维度数据包含关键网络、关键节点、核心设施乃至整个网络的数据；事件维度数据包含流量、拓扑、服务状态、漏洞以及各种网络攻击威胁的数据。

漏洞指数：也称为脆弱性指数，主要用于在对当前区域网络存在漏洞危害性的评估中，量化当前网络潜在的风险大小，主要考虑资产的漏洞情况，即在没有攻击的情况下，网络自身的脆弱情况。

威胁指数：用于判断攻击威胁的程度。在面对特定域网或者大规模网络时，可以用威胁指数来衡量整体网络所面临的威胁程度。

资产指数：也称为基础指数，主要用来描述当前网络资产的基础运行状态，评价网络拓扑结构、网络安全设备、主机等资产的安全状态。