第七届网络安全可视化（International Symposium on Visualization for Cyber Security ，后文简称VizSec会议）最近在加拿大的渥太华市举行。这是一个专注于安全领域可视化技术的小型国际会议，第一届只是大型安全会议RAID（Recent Advance in Intrusion Detection）的一个小型讨论会（Workshop），随着这几年的发展，已经成为和RAID一起举办的国际会议，并吸引了国际一流安全研究人员的投稿和关注。

传统的VizSec主题集中在如何可视化入侵检测系统的结果和对网络报文的属性进行可视化，以便通过人工发现警报，目前的VizSec的主题已扩展到更一般的网络事件，数据源也从警报和报文扩展到流和流摘要这样的网络数据。本届会议的文章主题更囊括了入侵检测系统、流、拓扑、代码安全、密钥安全等多个方面，我们挑选出这次会议的两篇文章，为大家简单展示安全可视化在国际的发展现状。

安全的地理可视化

通过地理视图标注安全事件可以帮助用户从全局把握恶意代码的传播痕迹和分布特点，但传统的通过不同颜色的点来标注不同地区地理安全状态的方法有很大的缺陷，本届会议上，来自MIT的Tamara Yu等人发表的“EMBER: A Global Perspective on Extreme Malicious Behavio”一文，从另一个角度来展示地理安全视图。Yu等人指出传统的标注方法没有考虑到拥有大量人口和网络的大城市的安全事件的绝对数量自然要比发展中城市大，如果要对城市的安全水平有更好的了解，必须根据城市的计算机人口对安全事件进行正则化处理。

作者提出了EMBER（过度恶意行为观测系统），该系统可以对城市的恶意行为活动等级进行观测和分析。EMBER系统使用了名为标准事件率（SIR）的测度来评估不同城市的安全等级。直观来看，该测度就是每个城市单位数量主机所呈现的恶意行为统计。EMBER通过以下的算法来进行SIR指数的计算：

1.首先将IP地址映射到所属的地址城市；

2.根据第三方资源获得该城市的人口信息；

3.根据从DShield获得的攻击日志统计每个城市的攻击事件（以天为单位）；

4.根据IP地址和人口信息对攻击事件数量进行正则化处理。

根据SIR指数的计算，同样规模的大城市，东欧城市的SIR指数要远高于地处东亚的韩国和日本城市。这种SIR指数的差异有多种原因，一方面说明东亚国家在网络安全策略配置和用户安全意识上要远高于东欧国家，另一方面恶意代码传播的模型也会对SIR指数的分布有影响。Yu等人认为恶意代码倾向于本地传播的特性会加大SIR指数的不均匀性，导致了现实中城市的SIR指数呈现长尾分布，少数安全环境较差的城市会获得非常高的SIR指数，而大多数城市的SIR指数则在相当长的范围内分散。

安全事件发现

安全事件发现是安全事件可视化的传统研究重点，随着流量规模的不断扩大，利用可视化计划将流量完全展示出来让管理员发现安全事件也变得越来越难。来自IBM的苏黎世安全实验室的Eduard Glatz发表的“Visualizing Host Traffic through Graphs”展示了如何在高速流量下通过可视化技术发现可疑流量。

作者提出了一种名为主机应用性质图(HAP图)的方法来描述主机的连接，HAP图采用Socket机制来刻画主机连接信息，通过本地地址、协议号、本地端口、远程端口和远程地址的顺序将主机连接信息逐层连接成图。通过HAP图，作者首先对主机的性质进行描述，将主机划分为不同种类的服务器、客户端和P2P节点。根据主机的性质对连接中合法的流量进行剔除，那么剩下的就是可疑流量的候选。对于剩下的流量，作者举例说明如何再从其中寻找扫描、DDoS等攻击模式。