基于MapXtreme的网络安全态势多级地图

摘要：针对网络安全态势可视化中的图元多且杂乱，信息实用性差且无法地理定位等问题开展研究，提出了用多级地图分层显示网络态势的方法，利用MapXtreme进行二次开发，对视图层次结构，信息显示方法进行了详细设计，并设计了态势地图生成算法和安全事件发生相对数量算法，最后实现了展示系统并通过实验验证了系统的可行性。

关键词：网络安全态势；地理信息系统；MapXtreme；多级地图；Java技术

中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)28-6840-03

Multilevel Map of Network Security Situation Based on MapXtreme

GONG Jian-wei1,2, ZHONG Qiu-xi1, XUAN Lei1, ZHANG Qi1

(1.National University of Defense Technology, Changsha 410073, China; 2.Logistics Base of People's Armed Police Force Headquarters, BeiJing 102613, China)

Abstract: Multilevel map of network security situation was proposed aimed at some problems in visualization of network security situation such as messy figure，visual clutter, unpractical information and incapable geolocation. The information display method and views architecture of the map was explored. The generation algorithm of multilevel network map and algorithm for the relative number of security incidents was designed based on MapXtreme. The feasibility of the map was proved through experiments.

Key words: network security situation; geographic information system; MapXtreme; multilevel map; java technology

网络安全态势可视化将大量、抽象的网络安全信息数据用地图、平行坐标、散点图、统计图等图形图像的方式展现出来，便于网络管理人员从网络安全信息图中直观地发现潜在的安全隐患，从而了解网络的总体安全状况。自2004年始，每年都举行专注于研究网络安全可视化技术的网络安全可视化会议（International Symposium on Visualization for Cyber Security ，简称VizSec）。IEEE VAST (The Institute of Electrical and Electronics Engineers on Visual Analytics Science and Technology)和 ACM（Association for Computing Machinery）等会议和杂志也多次刊出相关文献[1-5]，可见可视化在网络安全方面应用日益广泛。

目前在网络安全信息可视化的研究领域还没有一种被广泛公认，完善且合理的技术方法。主要表现在一些显示系统视图复杂，信息叠合严重，信息展示不清晰，给用户带来视觉负担；一些结合了地理信息的技术方法仅仅是在相应的地理位置显示了各地区安全事件数量，没有考虑各地区人口、网络发展情况等影响安全事件数量的因素，同时缺乏对安全事件细节的描述[6-7]。 因此，我们在研究过程中需要设计层次明晰的视图结构和布局合理的视图展示算法，进行整体信息和局部细节信息的综合展示。针对这些情况，本文将综合信息与细节信息按级别与详略不同的地理信息地图结合起来显示，解决了综合信息和细节信息不能同时展现的问题；同时考虑了影响安全事件数量的因素并进行了规范化，使数据更为客观地展现了实际情况。

1 网络安全态势多级地图展示系统模块设计

本文设计了系统的各个层次相应的处理模块，具体见图1所示。

以下简要说明各模块功能：

1) 数据处理模块：分三个子模块，处理数据子模块负责对网络安全信息数据进行属性过滤、数据格式归一化处理，保留数据有效信息，并根据时间属性，提取数据以队列的形式进行缓存，等待显示；生成图层子模块负责将空间数据信息生成图层，并将图层按指定顺序叠加为基础地理地图；确定IP地理位置子模块用于对有效数据信息里的每一个IP地理定位。

2) 数据统计规范模块：统计数据子模块将一定时间段内安全信息数据按安全事件类型进行分别统计数量；标准化子模块负责将统计的数量按网络安全事件发生相对数量算法进行规范化处理。

3) 人机交互处理模块：主要是将用户操作的数据传递给数据处理模块和视图处理模块，并对各种视图参数进行设置，以满足用户的选择需求。其中数据选择人机交互处理子模块用于用户根据需求进行数据选取等，地图人机交互处理子模块主要用于选择地图，图层控制，地图的缩放、平移及鹰眼导航等。

4) 视图处理模块：该模块负责指标和细节地图视图间的切换处理，同时根据网络安全事件图元样式确定算法确定各数据的图元显示方式，通过地理信息系统二次开发技术将网络安全态势数据的源/目的IP以及它们之间的关系以地图图元的方式在地图上展示。

5) 视图显示模块：分为二个子模块，细节地图视图子模块负责将安全事件类型、发生时间、发生地以不同图元形式显示在详细地图上供用户分析和查看；指标地图视图子模块将数据统计规范模块处理后的数据按用户要求进行显示。

以上模块相互协同处理，共同完成网络安全信息的可视化。

2 系统算法研究

在细节地图上将一定采样时间段内网络安全事件的源/目的IP以及它们之间的攻击关系、模式在地图上展示。首先要为源/目的IP和它们之间的攻击模式确定图元样式，然后通过IP地理定位编码算法为源/目的IP地理定位，确定对应点图元的经纬度值并依此经纬度值在地图上展示；在省级指标地图上，根据各省计算机人口将该省的某时段安全事件数量规范化处理后进行展示，各省间的网络链路流量用线图元方式进行展示。

系统主要设计了确定攻击事件类型和网络链路流量状态的图元映射算法，IP地理定位映射算法和各省安全事件发生相对数量算法。分别介绍如下。

2.1网络安全事件图元样式确定算法

在细节地图上，首先确定不同IP类型的图元样式：IP类型的图元样式PN (Si, Cj)由图元形状属性Si（Si∈{, , }）和颜色属性Cj（Cj∈{Red, Blue, Orange }）确定。具体映射关系见表1。

其次，将安全事件类型用IP图元之间的连线样式表示，连线样式LN(Ti, Cj)由线条类型属性Ti（Ti∈{──, ┉ ┉}）和颜色属性Cj（Cj∈{ Black, Magenta, Cyan ,Green }）组成，线条样式和安全事件类型的对应关系见表2。

在指标地图上，于各省会所在地的地理位置上显示该省一个采样时间段Ti内发生的安全事件数量（该数量已根据计算机人口进行了正则化处理）。各省间链路流量状态用省会之间的直线图元样式表示，该直线图元样式包括了直线颜色和直线宽度。链路流量状态代表了链路的使用率，是当前链路流量和链路带宽的比值。具体见表3。

表3中直线宽度的单位为“点”，即1/10磅。

2.2IP地理定位映射算法

在MapXtreme二次开发中，为IP对应点图元（简称IP图元）在地图上确定经纬度坐标值(X, Y)的过程，就是对IP地址地理定位的过程。

对IP地址地理定位，就要获知IP所在城市信息或者所属机构的地理信息。目前常用的IP地理定位数据库有QQwry、IP2Location、GeoIP City和Geolitecity等数据库，表4是GeoIP City地理定位数据表部分字段内容[8]。

从表4可以看到，通过GeoIP City只能查找到IP所在城市名称和城市经纬度。通过细节地图展示网络安全事件，IP点图元在地图上必须分布于IP所在城市区域对象内且不能大量重叠，因此设计了一种IP图元在给定区域内布局算法，用于IP图元在地图上的定位和分布。布局算法如下：

1) 根据城市名称或者城市编号在地图上获取城市区域对象外接最小矩形对角坐标(Xmin, Ymin)、(Xmax, Ymax);

2) 根据算式(X,Y)=((Xmin+(Xmax-Xmin)*Random()),(Ymin+(Ymax-Ymin)*Random())生成点图元坐标，其中随机函数Random()产生[0,1]任意单精度浮点小数，示意图见图2 。

3) 根据PIP(Point in Polygon)算法，判断坐标是否处于给定城市区域对象范围内，是则保留，不是则重复步骤2。

通过上述算法，在具有同一地理坐标的地图上可以为每一个未重复出现的源/目的IP地址赋予一个具体的经纬度值，地理信息系统二次开发技术可根据具体IP图元经纬度值和图元样式将网络安全事件在地图上展示。

2.3 网络安全事件发生相对数量算法

一个地区的网络安全事件发生数量与该省人口数量，计算机网络发展水平等因素息息相关。对单个地区而言，安全事件发生绝对数量不能说明该地区处于危险的网络安全状态。所以单纯用绝对数量比较各地区的网络安全状态是有失偏颇的。这里提出基于地区人口数量和网络发展规模水平的安全事件相对数量的概念。具体算法如下：设某地区人口数量为Npop，该地区的网络发展水平为Ris，人均每个计量时间段内上网时间为Tnet，安全事件发生的绝对数量为Qab，修正系数为常量S（避免安全事件相对数量出现较小的小数），则该地区的安全事件发生的相对数量。

3 系统实现

为了验证网络安全信息多级地图展示系统的可行性，以地图的设计及实现技术为依据，采用MapInfo中间件MapXtreme4.8.2结合java平台开发了网络安全态势多级地图原型系统，实现了网络安全信息的可视化以及验证了此原型系统的可行性。

系统在Windows XP下开发，开发平台为NetBeans6.9.1，开发包为Java2D，地图处理软件为MapInfo Professional v10.0，地图二次开发包为MapXtreme Java4.8.2，数据库为Postgresql9.0，JDBC为postgresql-8.3dev-601.jdbc4。开发平台各软件之间的关系见图3所示。

3.1 分级地图展示效果

网络安全信息详细地图，用4种线图元颜色和两种线型表示了7种安全事件类型，用3种点图元表示该IP在安全事件中的源/目的类型。用户可以对比右边显示的图例明确某一安全事件的类型及发生地理位置，同时可以用鹰眼导航快速定位感兴趣的区域并用鼠标滚轮放大/缩小该区域。

网络安全信息指标地图，将每个省发生的安全事件相对数量显示在该省省会所在的地理位置，并将数量显示出来，用户可以在感兴趣省份的红旗图元上鼠标悬停，系统将显示该省发生各种安全事件的具体次数。同样，指标地图具备放大、缩小、平移、鹰眼导航等基本功能，可以将地图窗口聚焦到感兴趣的区域进行显示。（如图5）。

上述测试结果表明，原型系统各个功能模块工作正常，具备了必要的人机交互功能；多级网络安全信息地图显示效果清晰，层次结构分明，安全信息详略有致，用户对安全事件的地理信息一目了然，方便了用户对网络安全信息从宏观到微观的把握。

4 结束语

本文提出了基于MapXtreme的网络安全信息多级地图展示系统，对地图生成、操作，图元选取、显示进行了详细的设计，并提出了某区域发生安全事件相对数量的算法，最后实验验证了网络安全信息地图的可行性和实用性。多级网络安全信息地图的特点是可以将网络安全信息分为宏观和微观展示，视图结构清晰；相对数量概念的提出，可以很大程度上排除区域人口数量、计算机网络发展水平等因素对安全事件发生绝对次数的影响，从而使用户能把握各区域的实际情况；系统能有效地进行数据的组织，减小显示系统的负担。作为对网络安全信息可视化的尝试，多级网络安全信息地图的提出和实现为网络安全信息可视化领域的相关研究提供了一些可以借鉴的思路。

参考文献：

[1] Conti G.Sven Krasser.Beyond Ethereal: Crafting a Tivo for Security Datastreams[EB/OL].(2011-03-12).www.cc.gatech.edu/~conti.

[2] Yin X,Yurcik W,Treaster M,et al.Visflowconnect: netflow visualizations of link relationships for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.

[3] Webster S,Lippmann R,Zissman M.Experience Using Active and Passive Mapping for Network Situational Awareness[C].Fifth IEEE International Symposium on Network Computing and Applications,2006.

[4] Montigny-Leboeuf A,Massicotte F.Passive Network Discovery for Real Time Situational Awareness[C].Toulouse, France:RTO IST Symposium on Adaptive Defense in Unclassified Networks,2004.

[5] Lakkaraju K A J L,Yurcik W.Nvisionip: netflow visualizations of system state for security situational awareness[C]//Proceedings of CCS Workshop on Visualization and Data Mining for Computer Security, ACM Conference on Computer and Communications Security,2004.

[6] Lippmann R,Riordan J,Yu T.A Global Perspective on Extreme Malicious Behavior[R].VizSec' 10,2010.

[7] 金星.基于地图的网络安全态势展示系统的设计与实现[D].长沙:国防科学技术大学计算机学院,2009.

[8] MaxMind GeoIP City Database[EB/OL].(2011-01-23)./app/city.