PortVis: A Tool for Port-Based Detection of security events

摘要：

对于粗糙数据（比如缺失ip地址以及安全警报等）的安全分析以及可视化发现安全事件。
Introduction:由于数据私密性，需要从极少属性的数据中获得网络信息。

PortVis:

利用轴映射重要的数据特征（时间和端口数量），创造一个基于这些轴的网格，每个格中的颜色代表网络的活动。

Data:

DDOS:许多来源，一个目的地
端口扫描和蠕虫病毒：一个来源，许多目的地
TTL walking 攻击：不同的源、目的IP的对。

目标：

1.检测大范围的网络安全事件
2.明确小范围的更精确的信息。

3个主要：

时间线可视化、主要的可视化、端口可视化

时间线可视化：

• 1：垂直轴：时间
• 2.水平轴：端口范围，一共32列，每列代表2048个端口，一共65536个端口，每格的颜色代表端口的活跃性。
• 3.选择器：选择需要分析的时间
• 4.直方图：整个时间的端口的活跃性（会话次数决定），80端口一般会较高。
• 5.梯度线：映射颜色，以帮助用户获取感兴趣的部分。

主要的可视化：对给定的时间进行详细分析
利用256*256的网格对65536个端口进行描述。
端口坐标：

Paste_Image.png

端口号由二进制数表示，x代表端口的高字节，y代表低字节

Paste_Image.png

• 垂直轴：端口的高字节
• 水平轴：端口号的低字节
• 每个点：一个端口，黑色部分可能代表没有活动的端口。
• 4*4选择器（1）：选择用户想要分析的端口
• 一个大圆（2）：帮助1进行定位
• 放大器（3）：提供详细信息
• 直方图：映射每一个数据点的相关的频率
• 梯度线：颜色映射

端口可视化：

Paste_Image.png

• 垂直轴：映射数据值，值越大越高
• 五条直线：映射五个特征（会话数量，不同源IP数，不同目的IP数，不同源、目的IP对，不同源的国家？？）
• 剩下的轴：映射时间。

可以围绕垂直轴进行旋转，允许用户从不同角度分析感兴趣的地方。
上图中会话数量被高亮。

1.80端口：会话数量周期性规律
2.46011端口：一般维持一个常量值，有几个较高点。
3.27374端口：随着时间的变化，掉的非常快
4.34816端口：异常，只在几个时间点上集中。

案例分析：

图2和5为端口扫描，图6为更详细的细节
PortVis可以分析单端口事件也可以分析多端口事件。

总结：

可以分析端口扫描以及但端口异常情况；
可以分析网络流量的有用的信息：比如网络流量的规律以及端口活跃性的描述。