一、系統背景

隨著信息技術的快速發展，網絡已成為現代社會不可或缺的一部分。然而，與此同時，網絡攻擊手段也日益多樣化和復雜化，給企業和個人的信息安全帶來了極大的威脅。傳統的網絡攻擊分析方法往往依賴于人工分析和處理大量的安全數據，效率低下且容易遺漏關鍵信息。因此，開發一種能夠高效、直觀地展示網絡攻擊行為的可視化系統顯得尤為重要。

二、功能結構

本文實驗數據：加拿大網絡研究所 DDoS evaluation dataset (CIC-DDoS2019)

2-1、數據處理

2-1-1、提取特征數據

該步驟主要過濾源數據中的無效字段并提取特征數據、格式化timestamp、統計各類型攻擊數據量。

2-1-2、時間片劃分

該步驟主要實現了時間片的劃分，根據1分鐘為一個時間片統計數據，主要統計一分鐘內流量持續時間、反方向數據包的標準偏差大小、數據包到達時間的標準差和包的平均大小總和，同時計算源IP和目標IP的信息熵并分片求和。

2-1-3、數據歸一化處理

該功能主要實現了數據的歸一化處理，通過消除不同指標間的量綱影響，使得各指標處于同一數量級，方便進行綜合對比。同時優化數據的質量和結構，提高數據處理和分析的準確性和效率。

2-1-4、多類型數據合并

該步驟主要實現多個文件數據整合以及歸一化處理。

2-1-5、導引圖數據處理

該步驟主要實現網絡攻擊導引圖數據處理，通過源IP和目標IP統計攻擊次數。

2-2、數據可視化

可視化系統主要包括DDos網絡攻擊數量統計、攻擊流量時序統計、網絡攻擊導引圖、網絡攻擊特性統計和部分PC遭受網絡攻擊占比統計。

三、架構設計

本系統后端實現主要使用Python語言，使用集成開發環境JetBrains PyCharm進行接口開發，主要使用Flask作Web框架。前端使用HTML、CSS、JavaScript、Layui框架、Echarts繪圖庫以及各種工具包和組件。

四、系統實現

4-1、DDos網絡攻擊數量統計

該圖表主要通過柱狀圖統計各類型攻擊的攻擊數據量，主要通過預處理第一步生成的types.txt文件提供數據。

實驗分析：
統計各攻擊類型的攻擊數量，可以看到TFTP的攻擊類型數量最多，達到了2千多萬次。
TFTP攻擊持續時間最長

4-2、攻擊流量時序統計

該圖表主要通過多層折線圖統計網絡攻擊流量的時序特征。

實驗分析：
使用對比堆疊流圖對數據集中 DDoS 攻擊最佳短特征集流量數據進行分析，可視化結果顯示有明顯峰值堆疊，通過交互操作可獲取具體的異常時間段為 2018年 12月 1日下午 1:24 到 2:08，在此期間數據流量激增。

4-3、網絡攻擊導引圖

該圖表主要通過導引圖統計IP之間的交互特征。

實驗分析：
通過網絡導引圖可以看出IP 192.168.50.1遭受大量攻擊。可以得出活躍群組連接方式以及核心節點 IP 地址為 192.168.50.1，在 2018年 12月 1日下午 1:24 到 2:08僅44 分鐘內連接數達到 238906037 次

4-4、網絡攻擊特性統計

該圖表主要通過平行坐標圖統計分析數據為網絡流量常規特征以及 DDoS 攻擊最佳短特征集的信息熵值。

實驗分析：
正常時段平行坐標圖

正常時間段各IP直接交互趨于穩定
異常時段平行坐標圖

異常時間段下午 1:24 到 2:08源IP和目標IP大量上升，說明該段時間內有大量的主機進行了網絡攻擊。

4-5、部分PC遭受網絡攻擊占比統計

該圖表主要通過餅圖統計部分個人電腦遭受網絡攻擊占比。

實驗分析：
展示了部分PC遭受的網絡攻擊占比，其中過濾了遭受網絡攻擊最多的192.168.50.1，避免與其他IP被攻擊數不在一個量級。

4-6、最終效果圖

五、總結

網絡攻擊行為可視化分析系統是一種創新的網絡安全解決方案，它利用先進的數據可視化技術，將復雜的網絡攻擊行為以直觀、清晰的方式呈現出來，幫助安全專家迅速識別、理解和響應各種網絡威脅。通過實時監測和分析網絡流量，該系統能夠揭示攻擊行為的模式、趨勢和關鍵細節，為制定有效的防御策略提供科學依據，從而在日益嚴峻的網絡安全環境中，為企業和個人提供更加強大的安全保障。