可视化技术为安全态势感知、大规模网络安全预警提供了十分现实的解决方法。人作为信息保障的一个重要环节,可视化技术提供了让人有效参与安全态势分析并做出正确决策的有效途经。本文重点研究了基于业务影响度进行安全态势评估的方法,并提出多种3D可视化模型进行相关数据的分析和展现,从不同的角度加强人对安全态势的感知能力。最后给出构建安全感知系统所经常采用的体系结构和数据流程。

EXFILTRATION

BINARY_SUBVERSION

CONNECTION_VIOLATION

PROBE

USER_SUBVERSION

SUSPICIOUS_USAGE

非正常关闭、系统进程破坏、文件系统或进程表空间耗尽 试图通过非授权连接通道输出数据或者命令接口

木马或者病毒程序的活动 违反网络安全策略到网络资产的连接企图 试图收集受控网络的资产或服务的信息 试图获取本地管理员用户权限 重要的异常或可疑活动行为，会引发安全事件，但不可归于其他类别 中 低 低 低 中 中

表1：关键状态及描述 

这样，使用“球体＋底平面”的可视化场景去感知基于业务树模型评估的安全态势，关键就是根据组织机构所要完成的业务目标，确定资产的关键状态以及导致这些关键状态发生的安全告警，即威胁，从而建立安全告警与业务的联系。例如，一台服务器必须保持可用性，因此拒绝服务为其关键状态；非授权访问状态对于一台必须保持机密性的主机来说就是关键状态；而恶意代码的执行和权限提升对所有目标来说都是关键状态。 

图6：安全告警的资产分布 

图6又是一种新的可视化场景‐“双平面”，底层平面与前面介绍的可视化场景一样表示资产，这里用户可以指定筛选条件过滤出只与“后勤”业务相关的资产，顶层平面展现按时间周期进行分类统计后的安全告警，通过把安全告警投射到下层的资产平面以观察告警的分布情况。为了增加直观的效果，下层的数据平面可以与地理信息或网络拓扑信息整合，以体