Визуализация данных в кибербезопасности

06.10.2021

105

Аннотация — Кибербезопасности в эти годы уделяется больше внимания, поскольку сообщается о росте количества взломов. Визуализация данных может помочь привлечь внимание к этой проблеме. Файлы регистрации используются для отслеживания всех пользователей, обращающихся к серверу. Диаграммы и графики могут помочь лучше понять файлы регистрации безопасности. IP-адреса, извлеченные из файлов журналов, могут использоваться для отслеживания местоположения машин, которые пытаются подключиться к серверам. Доступен сторонний API геолокации для сопоставления IP-адресов, чтобы определить, где находится пользователь. Google Maps API может отмечать IP-адреса на карте в зависимости от указанного местоположения.

Введение

Безопасность технологий стала серьезной проблемой и обошлась компаниям как минимум 15 миллионов долларов. Киберпреступления могут стоить дорого, если угрозы не обнаруживаются вовремя или должным образом не устраняются. Один из способов понять кибербезопасность — визуализировать ее. Визуализация данных может быть использована для лучшего понимания людьми вопросов кибербезопасности.

Angelini et al — сосредоточились на визуализации того, как утилиты защиты от вредоносных программ в веб-браузерах определяют, является ли загрузка безопасной для пользователя. Angelini et al — использует инструмент для загрузки веб-трафика и сохранения его в базе данных, которая затем визуализируется с помощью таблиц данных о местоположении с использованием геолокации с IP-адреса. Angelini et al — использует IP-адреса и данные о местоположении для создания ассоциации того, что поступает из каждого региона. Это может позволить оператору безопасности сосредоточиться на определенных IP-адресах и регионах

Hao et al — использует визуализации для отображения данных безопасности. Hao et al — включает поиск методов интерпретации предупреждений сетевой безопасности и потокового трафика как системы визуализации. Визуализация создается с помощью «использования HTML5 и JavaScript для пользовательского интерфейса и компонентов визуализации, а также MySQL и PHP для управления данными на стороне сервера»

Yan et al — состоит из сбора данных о состоянии оборудования и географических данных, чтобы сделать эти данные интуитивно понятными и удобными для понимания. Это оборудование выбирает маршрут для задачи, который необходимо выполнить, и создает визуализацию с использованием карты, чтобы показать, где было перемещено оборудование. Использование карты дает лучшее представление о том, где выполняется работа.

Theron et al — рассматривает визуализацию обнаружения вторжений сети. Theron et al — использует инструмент под названием «Анализ основных компонентов» для обнаружения вторжения. Используя этот инструмент, он создает «очень гибкий и интуитивно понятный интерфейс, который позволяет пользователю перемещаться по огромному количеству данных, собранных в сети, с целью обнаружения аномального или неожиданного поведения». Разрешение пользователю просматривать большой объем данных помогает предотвратить атаки. Theron et al — обсуждает простоту отображения визуализации своих данных: «Мы предлагаем рабочий процесс для интерактивного визуального анализа, который скрывает математическую сложность моделей».

Goodall анализирует сравнение визуализированного приложения, просматривающего сетевые пакеты, с традиционным интерфейсом. Взяв 8 студентов с базовыми знаниями в области сетевых технологий, они изучили сетевые пакетные данные с помощью визуализированного приложения по сравнению с традиционным интерфейсом для просмотра сетевых пакетов. Студенты проявили больший энтузиазм и смогли легче получать информацию с помощью визуального инструмента, а не Ethereal. Для сообщества специалистов по кибербезопасности важно убедиться, что есть люди, которые могут тестировать визуализации. Хотя в этом проекте нет тестирования, все же важно создать визуализацию данных, которая будет удобочитаемой и легко понятной, как это видно из всех обзоров литературы.

В Университете Кина есть много серверов, на которых хранится информация о студентах, преподавателях и конфиденциальная информация о них. Это исследование анализирует 3 сервера в сети kean.edu, чтобы наглядно представить, как эти серверы подвержены киберпреступности. Эти 3 сервера используются в образовательных целях студентами и преподавателями Кина. Взяв файлы журналов этих серверов, мы можем взять данные из него, чтобы узнать, не пострадали ли мы от несанкционированных попыток.

источник И хранение данных

Оборудование, используемое для проекта, — это три сервера, на которых размещаются все запрограммированные файлы и извлеченные данные, хранящиеся на сервере базы данных. Эти серверы работают под управлением операционной системы Red Hat и используют apache2 для запуска веб-серверов для внешнего интерфейса. Инструменты, которые использовались для программирования, были HTML и JavaScript, чтобы обеспечить интерфейс для этого проекта. Для backend использовались PHP и MySQL для обработки данных и их хранения. Все графики и карты, использованные в этом проекте, были доступны с помощью Google Maps и Google Charts. Данные о местоположении IP были получены extreme ip lookup из API.

Файлы регистрации

Для этого проекта был написан сценарий PHP, который берет дату, время, сервер, тип записи, пользователя, IP-адрес и порт из файлов журнала, полученных с сервера. Каждая строка в файле журнала читается сценарием, и для того, чтобы эта строка считалась для ввода данных, она должна содержать либо строку «Неудачный пароль», либо «Недействительный пользователь», поскольку это предупреждающие знаки попытки несанкционированного входа. Как только строка определена как допустимая попытка, каждая строка в строке разбивается на части и присваивается переменная. Наконец, создается запрос MySQL, и данные вводятся в базу данных MySQL.

MySQL используется для хранения всех данных, полученных в файле журнала. Каждая точка данных, полученная из программы PHP, сохраняется в базе данных вместе с самой строкой и меткой времени. Имея данные в базе данных MySQL, статистику можно увидеть с помощью различных запросов MySQL. Это будет использоваться вместе с PHP для отображения всех результатов.

Визуализация

HTML и JavaScript используются для отображения графиков, диаграмм и карт, предоставляемых Google. В документации Google предоставляется нам скелетный код, с помощью которого мы можем изменять данные, которые входят в диаграмму, а также то, как она выглядит. Используя это, мы можем использовать PHP для

Используя IP-адреса, предоставленные файлами журнала, мы смогли использовать сторонний API-интерфейс определения местоположения, чтобы получить происхождение IP-адреса. В этом проекте использовался API-интерфейс extreme-ip-lookup.com. Когда IP-адрес предоставляется API, он возвращает файл JSON, который затем может быть декодирован в программе PHP.

Та же концепция применима к JavaScript, за исключением того, что JavaScript не может передавать информацию в PHP. Благодаря этому мы можем манипулировать кодом JavaScript из Google и писать его с помощью PHP, который затем используем для заполнения графиков и карт с информацией из базы данных.

Информация, которая была взята для этого проекта, включала город, страну, код страны, широту и долготу. Эта база данных будет отвечать за отображение информации, необходимой для реализации карт Google.

Карты Google можно использовать для отображения местоположения, заданного API местоположения. Мы можем сделать это, взяв широту и долготу, которые были сохранены в базе данных, и отобразили их на маркере местоположения на карте. Для встраивания карт Google в веб-страницу в основном требуется JavaScript для настройки и хранения данных для карты и HTML для их отображения на веб-странице. Затем данные в базе данных должны соответствовать формату, который Google использует для своих карт. Это можно сделать, используя PHP для извлечения данных из базы данных, а затем передать эти данные в JavaScript для отображения информации. С помощью этого метода мы можем успешно нанести на карту местоположения с данными широты и долготы.

выводы

Статистика сервера

Фигура 2. Визуализация подсчета с 3-х серверов. Верхняя диаграмма показывает фактическое количество каждого сервера, а нижняя диаграмма — процентное соотношение для каждого сервера. Обе диаграммы сняты с веб-страницы.

Пользователь root используется для системного администрирования

Если к этому пользователю обращается неавторизованная система, результаты могут быть катастрофическими. На всех трех серверах root был пользователем, к которому чаще всего пытались получить доступ, что составляло более 85,4% всех несанкционированных попыток. Изучая необработанные файлы журнала, мы могли видеть, что 0% всех несанкционированных попыток были успешными. Попытки ввода можно визуализировать с помощью диаграмм:

Круговая диаграмма топ-5 пользователей, пытавшихся получить несанкционированный доступ. Верхняя диаграммапоказывает количество на графике, но, поскольку «корневой» пользователь занимает очень большую часть графика, другой текст не будет отображаться, что показывает значимость данных. Нижняя диаграмма аналогична, за исключением того, что вместо количества указаны проценты.

На диаграмме показаны данные для дат с 3 июня по 29 июля. Пики можно увидеть в течение двух дней, когда один IP-адрес делает тысячи обращений в день, как показано на с десятью первыми IP-адресами с указанием количества попыток входа.

Данные о местоположении

Было 133 разных страны, откуда исходили несанкционированные попытки. В первую десятку стран по порядку входят Корея, Китай, Пакистан, США, Франция, Россия, Египет, Канада, Бразилия и Германия. Эти данные были найдены с помощью запроса MySQL, который просматривает обе таблицы, чтобы получить IP-адрес из файлов журнала и местоположение из таблицы IP-адресов. Используя диаграммы Google, мы можем увидеть, насколько важна каждая страна для попыток несанкционированного доступа.

На диаграммах показаны первые десять стран, которые были найдены

В нашей базе данных IP. Диаграмма показывает значимость двух стран, что составляет более 50 процентов из первой десятки стран, которые пытались осуществить несанкционированный доступ. Изображение справа — это необработанное количество круговых диаграмм. Это данные, которые заполняют круговые диаграммы.