近日，由云南省工信委主办的首届工业控制系统安全攻防竞赛在昆明索菲特酒店举行，由电力、能源、钢铁、交通、高校等8家单位的30名选手参加了本次竞赛。不仅如此，活动还邀请了云南省政府职能部门领导、行业专家、高校代表等近40余家单位共计110人参与现场观摩。参赛队伍向会场的工控系统发起攻击，成功入侵系统并且用时短的队伍获胜。

 

现场比赛，参赛队伍通过操控电脑，在规定的时间内对控制系统进行漏洞攻击

 

安全攻防过程在旁观者看来是一个非常枯燥的过程，如何生动的向现场观摩人员解说赛况是摆在主办方面前的难题。网络攻防犹如高手拆招，要想让观摩人员能够直观感受到攻防妙处，只有将看不见摸不着的攻击流量，攻击日志等内容直观展现在观摩人员面前才可行。

 

网康下一代防火墙以可视化能力赢得了主办方的认可。观摩会场与比赛会场之间用视频会议系统连接，观摩会场左边的屏幕显示赛场的视频实况，右边的屏幕显示NGFW的界面。

 

由工信委和理工大学的2位专家在讲台中间，通过NGFW的界面信息为观众讲解比赛实况，如XX队现在通过XXX攻击入侵了XX系统，用的XX端口；XX队现在进行FTP的暴力破解。通过网康NGFW日志数据中，可看到大量的异常TCP连接、telnet、连接未完全建立等信息，这也提醒观众在自己单位中注意安全设备日志信息。

 

网康NGFW可视化界面（1）

 

NGFW可视化界面（2）

 

 

正是网康NGFW可视化功能，让原本深奥枯燥的攻防过程变得简单易懂。可视化不是简单的将数据图形化呈现，不是日志信息的简单分类和归集，而是深度挖掘这些原始数据素材之后的内在关联，以全局视角帮助网络管理者看清各种威胁，看清攻击事件的全貌，帮助了解攻击者的真正意图和目标。

 

一个真实的客户案例 —从TOP应用发现应用威胁

为帮助各位读者对可视化价值有一个更深刻理解，小编在这里也跟大家分享一个亲身经历的故事。有一次在一个客户现场做技术支持，设备刚上线不久，正和客户聊的高兴时候，客户突然面露异色，盯着屏幕不说话了。我也将注意力放到了显示器上，界面上显示正是top应用。顺着他的目光，从上往下看，当看到远程桌面，连接数490.22k，总字节数14.07G，瞬间明白，可能出事了！

 

 

一个简单远程桌面应用，居然达到14.07G，这绝对是有问题，通过可视化钻取可以看到：源IP地址都是不同IP，但是目的IP却都是客户数据中心服务器地址。

 

 

在继续往下钻取过程，让人更惊讶的是，源IP地址是来源于不同国家，尤其是来源于美国IP连接上，居然有2.13G流量，此刻基本上确认发生啥事了。

 

 

换一个维度重新梳理一下这个客户案例，就是网康NGFW部署于数据中心出口处，管理者例行登录设备管理界面查看网络状态，通过top应用发现远程桌面流量高达14个G，通过NGFW分析该协议流量，发现源地址数量极多且分属于多个不同的国家和地区，但是目的地址都是客户数据中心。由此判断客户数据中心正在被外网的高危IP访问，且流量不小。通过NGFW提供的其它的统计和分析，我们进一步确认该主机正在受到外网的控制，并发送大量数据。基于此，客户主动调整了防火墙策略，整网流量逐渐趋于正常。客户就是通过NGFW可视化技术，基于网络行为特征及时发现了隐蔽性极高的威胁。

 

这在传统的网络安全设备里是不可想象的，传统基于特征库检测的方式被动识别和拦截威胁，永远是在攻击发生后，才开始研究攻击。用“亡羊补牢”和“按图索骥”来形容再合适不过。

 

写在最后，可视化到底是什么，总结起来就一句话：可视化本质上通过人的管理参与和决策，做风险减缓（预防发生）和风险应急（已经发生）的事情。