一、系统背景

随着信息技术的快速发展，网络已成为现代社会不可或缺的一部分。然而，与此同时，网络攻击手段也日益多样化和复杂化，给企业和个人的信息安全带来了极大的威胁。传统的网络攻击分析方法往往依赖于人工分析和处理大量的安全数据，效率低下且容易遗漏关键信息。因此，开发一种能够高效、直观地展示网络攻击行为的可视化系统显得尤为重要。

二、功能结构

本文实验数据：加拿大网络研究所 DDoS evaluation dataset (CIC-DDoS2019)

2-1、数据处理

2-1-1、提取特征数据

该步骤主要过滤源数据中的无效字段并提取特征数据、格式化timestamp、统计各类型攻击数据量。

2-1-2、时间片划分

该步骤主要实现了时间片的划分，根据1分钟为一个时间片统计数据，主要统计一分钟内流量持续时间、反方向数据包的标准偏差大小、数据包到达时间的标准差和包的平均大小总和，同时计算源IP和目标IP的信息熵并分片求和。

2-1-3、数据归一化处理

该功能主要实现了数据的归一化处理，通过消除不同指标间的量纲影响，使得各指标处于同一数量级，方便进行综合对比。同时优化数据的质量和结构，提高数据处理和分析的准确性和效率。

2-1-4、多类型数据合并

该步骤主要实现多个文件数据整合以及归一化处理。

2-1-5、导引图数据处理

该步骤主要实现网络攻击导引图数据处理，通过源IP和目标IP统计攻击次数。

2-2、数据可视化

可视化系统主要包括DDos网络攻击数量统计、攻击流量时序统计、网络攻击导引图、网络攻击特性统计和部分PC遭受网络攻击占比统计。

三、架构设计

本系统后端实现主要使用Python语言，使用集成开发环境JetBrains PyCharm进行接口开发，主要使用Flask作Web框架。前端使用HTML、CSS、JavaScript、Layui框架、Echarts绘图库以及各种工具包和组件。

四、系统实现

4-1、DDos网络攻击数量统计

该图表主要通过柱状图统计各类型攻击的攻击数据量，主要通过预处理第一步生成的types.txt文件提供数据。

实验分析：
统计各攻击类型的攻击数量，可以看到TFTP的攻击类型数量最多，达到了2千多万次。
TFTP攻击持续时间最长

4-2、攻击流量时序统计

该图表主要通过多层折线图统计网络攻击流量的时序特征。

实验分析：
使用对比堆叠流图对数据集中 DDoS 攻击最佳短特征集流量数据进行分析，可视化结果显示有明显峰值堆叠，通过交互操作可获取具体的异常时间段为 2018年 12月 1日下午 1:24 到 2:08，在此期间数据流量激增。

4-3、网络攻击导引图

该图表主要通过导引图统计IP之间的交互特征。

实验分析：
通过网络导引图可以看出IP 192.168.50.1遭受大量攻击。可以得出活跃群组连接方式以及核心节点 IP 地址为 192.168.50.1，在 2018年 12月 1日下午 1:24 到 2:08仅44 分钟内连接数达到 238906037 次

4-4、网络攻击特性统计

该图表主要通过平行坐标图统计分析数据为网络流量常规特征以及 DDoS 攻击最佳短特征集的信息熵值。

实验分析：
正常时段平行坐标图

正常时间段各IP直接交互趋于稳定
异常时段平行坐标图

异常时间段下午 1:24 到 2:08源IP和目标IP大量上升，说明该段时间内有大量的主机进行了网络攻击。

4-5、部分PC遭受网络攻击占比统计

该图表主要通过饼图统计部分个人电脑遭受网络攻击占比。

实验分析：
展示了部分PC遭受的网络攻击占比，其中过滤了遭受网络攻击最多的192.168.50.1，避免与其他IP被攻击数不在一个量级。

4-6、最终效果图

五、总结

网络攻击行为可视化分析系统是一种创新的网络安全解决方案，它利用先进的数据可视化技术，将复杂的网络攻击行为以直观、清晰的方式呈现出来，帮助安全专家迅速识别、理解和响应各种网络威胁。通过实时监测和分析网络流量，该系统能够揭示攻击行为的模式、趋势和关键细节，为制定有效的防御策略提供科学依据，从而在日益严峻的网络安全环境中，为企业和个人提供更加强大的安全保障。