Visualisierung von Netzwerk-Zeitreihendaten

Projektpartner: VIS-KN, CG-KN, HCI-KN, MPI, VIS-S

In Bereich der Informationsvisualisierung, d.h. der Visualisierung von abstrakter Information ohne inhärente 2D/3D Semantik, sollen Visualisierungstechniken für die visuelle Exploration von Netzwerkdaten entwickelt werden, um die Zuverlässigkeit und Sicherheit von Netzwerken zu erhöhen. Die besondere Herausforderung sind dabei die extrem großen Mengen von Zeitreihendaten, die beim Betrieb der Netzwerke anfallen wie z.B. Lastprofile, Port-Informationen, IP-Paketinformationen, etc. Im Rahmen des Forschungsprojektes sollen Visualisierungstechniken für hochauflösende Bildschirme und Projektionswände entwickelt werden, die solche Zeitreihen effektiv visualisieren.

Importance-Driven Display von 80 Zeitreihen in 9 Sektoren (links) und Visualisierung des durchschnittlichen Haushaltseinkommens im Bundesstaates New York mit Hilfe einer PixelMap Visualisierung (rechts)

Auch Gigapixel-Displays können und sollen nicht alle Daten einer komplexen Situation darstellen, deshalb wurden skalierbare Zeitreihenvisualisierungsmethoden untersucht, bei denen anhand vorgegebener Maße Daten ausgedünnt werden können. Anstelle einer einfachen Vergrößerung der Bildfläche ermöglichen diese Methoden eine detailliertere Darstellung extrem großer Datenmengen auf Gigapixel Displays zur explorativen visuellen Analyse. Über Methoden des integrativen HR Layouts können diese Darstellungen mit anderen Daten verknüpft werden. Die Interaktion mit solchen Darstellungen wird in Kooperation mit HCI-KN gerade untersucht.

Langfristige Zielsetzung

Ziel des Teilprojektes „Visualisierung von Netzwerk-Zeitreihendaten“ ist die Entwicklung und Implementierung von innovativen Visualisierungstechniken für Netzwerk-Zeitreihendaten, welche die Möglichkeiten heutiger hochauflösender Displays und Projektionswände nutzen, um sehr große Datenmengen geeignet darzustellen und eine explorative visuelle Analyse zu ermöglichen. Die besonderen Herausforderungen liegen dabei in den extrem großen Mengen und dem hohen Detaillierungsgrad von Netzwerk-Zeitreihendaten, welche beim Betrieb der Netzwerke anfallen (z.B. Lastprofile, Port-Informationen, IP-Paketinformationen, etc.). Innovative Datenlayouts sollen den verfügbaren „Screenspace“ optimal ausnutzen und werden sowohl mit speziell angepassten automatischen Datenanalyseverfahren als auch mit neuartigen Interaktionstechniken kombiniert, um die eine fokussierte dynamische Verarbeitung sehr großer Datenmengen zu ermöglichen.

Stand der Forschung

Da die Datenmengen in dem betrachteten Anwendungsbereich extrem groß sind, müssen innovative Datenlayouts den verfügbaren „Screenspace“ optimal ausnutzen. Eine solche Visualisierungstechnik sind Treemaps, welche hierarchische Daten durch platzfüllende Rechtecke darstellen. Beispielsweise wurde im „Million Items Treemap“ [FP02] versucht, eine Million Datenwerte zu visualisieren und zeitliche Veränderungen des Treemaps zu animieren. Im Forschungsfeld der Netzwerksicherheit gab es ebenso skalierbare Visualisierungsansätze, welche sich dazu eignen, den verfügbaren Bildschirmplatz auf Gigapixel Displays zu nutzen, um die enormen Datenmengen darzustellen.

Einige dieser Ansätze, bauen auf Scatterplot-Visualisierungen auf wie z.B. PortVis [MMKBC04], mit welchem die Aktivität auf den Ports der Anwendungsschicht des TCP und UDP Protokolls exploriert werden kann, oder IDS Rainstorm [ALCCS05], ein skalierbares System zur Überwachung der Sicher-heitsereignisse tausender Computer in einem großen Netzwerk. Während diese Ansätze relativ gut auf hochauflösende Displays skalieren, können die meisten herkömmlichen Visualisierungstechniken die zusätzlichen Pixel auf hochauflösenden Displays nicht nutzen, um die Daten detaillierter darzustellen oder um dem Benutzer gerecht zu werden, welcher vor einer Powerwall nicht nur den Kopf leicht drehen muss, sondern sich bewegt, um die Details der Visualisierung an einer anderen Stelle zu betrachten.

Stand der eigenen Arbeiten

In Vorarbeiten entstand die Hierachical Network Map (HNMap), welche es erlaub, eine quantitative Aussage über die Herkunft oder das Ziel von Netzwerkverkehr innerhalb des Internets (z.B. aus welchen Kontinenten, Ländern, Autonomen Systemen oder Netzwerken) zu machen (siehe Abb. 7.1a) [MKNRS07]. Da der statistische Datenwert eines Netzwerks in unserer Visualisierung lediglich durch Farbe ausgedrückt wird, kann der zeitliche Verlauf des Netzwerkverkehrs durch unterschiedlich eingefärbte HNMap Instanzen mit jeweils dem gleichen Layout verdeutlicht werden. Aufbauend auf dieser Vorarbeit haben wir zum Anzeigen der Beziehungen von Herkunft und Ziel des Netzwerkverkehrs so genannte Hierarchical Edge Bundles eingesetzt, welche auf der Karte geschwungene Linien einzeichnen (siehe Abb. 7.1b). Diese Bundles haben den Effekt, dass der Netzwerkverkehr sich auf höheren Ebenen gruppiert und so dem Analysten Einblicke in die Struktur des Verkehrs gewähren [MFKN07].

a) Multi-resolution Ansatz HNMap		b) HNMap with edge bundles
HNMap stellt quantitativ dar, wie viel Verkehr aus welchem Teil des Internets empfangen bzw. wie viel zu welchem Teil gesendet wurde (links USA, Mitte Europa, rechts Asien). Edge Bundles stellen die Beziehung zwischen Sender und Empfänger her.

Die besondere Herausforderung bei der Analyse von Netzwerkzeitreihen ist die visuelle Exploration und Analyse extrem großer Mengen von hochfrequenten Zeitreihendaten, die beim Betrieb der Netzwerke anfallen wie z.B. Lastprofile, Port-Infos, IP-Paketinfos, etc. Im Rahmen des Projekts haben wir für diesen Anwendungsfall die Recursive Pattern Visualisierung durch leere Felder für unregelmäßige Zeiträume (z.B. Monate) ergänzt, um diese Visualisierung besser als Multi-Resolution Technik verwenden zu können. Ferner haben wir Zwischenräumen zur visuellen Gruppierung der Zeitintervalle eingefügt und drei Layoutverfahren entwickelt, um mehrere Zeitreihen zu vergleichen. Ergebnisse hierzu sind noch nicht veröffentlicht.

a) Line Chart		b) Recursive Pattern
Geplante ist eine Benutzerstudie über Zeitserienvisualisierungen zum Vergleich von Line Charts mit der erweiterten Recursive Pattern Visualisierung.

Eine zusätzliche Herausforderung ist das intelligente Vorgehen der Angreifer, die zum Beispiel zeitlich koordinierte Angriffe von räumlich verteilten Rechnern starten oder Port-Scans zeitlich wie räumlich so gestalten, dass sie nicht direkt als solche erkennbar sind. Es spielt daher eine wesentliche Rolle, welche Arten von Verkehr die einzelnen Computer zu welcher Zeit empfangen als auch versenden. Um dieses Verhalten einzelner Hosts zu analysieren, wurde ein graph-basierten Ansatz gewählt, bei dem die Arten von Verkehr als fixierte Dimensionsknoten modelliert wurden. Jeder Host besteht aus einzelnen Observationsknoten, deren Position durch Anziehungskräfte zu den Dimensionsknoten bestimmt wird. Durch geschickte Verwendung von Formen und Farben für die Observationsknoten und deren Verlinkung ist es möglich, das Verhalten einzelner Computer im Netzwerk zu beobachten und Auffälligkeiten als auch Ähnlichkeiten mit anderen Computern zu entdecken (siehe folgende Abb.) [MMK08, Mei08].

Visualisierung zur Verhaltensanalyse von Netzwerkknoten

Veröffentlichungen

[Fis08] Fabian Fischer: Large-scale Network Monitoring for Visual Analysis of Attacks, Bachelorarbeit, Fachbereich Informatik & Informationswissenschaft, Universität Konstanz, 2008

[Mei08] Lorenz Meier: Visualisierung zur Verhaltensanalyse von Netzwerkknoten, Bachelorarbeit, Fachbereich Informatik & Informationswissenschaft, Universität Konstanz, 2008

[MFKN07] Florian Mansmann, Fabian Fischer, Daniel A. Keim, Stephen C. North: Visualizing large-scale IP traffic flows, Proceedings of 12th International Workshop Vision, Modeling, and Visualiza-tion, 2007, Saarbrücken, Germany.

[MMK08] Florian Mansmann, Lorenz Meier, Daniel A. Keim: Visualization of Host Behavior for Net-work Security, VizSec 2007 - Workshop on Visualization for Computer Security, Springer, to appear in 2008.

[MKNRS07] Florian Mansmann, Daniel A. Keim, Stephen C. North, Brian Rexroad, Daniel Sheleheda: Visual Analysis of Network Traffic for Resource Planning, Interactive Monitoring, and Interpreta-tion of Security Threats, IEEE Transactions on Visualization and Computer Graphics (Proceedings Visualization / Information Visualization 2007), Vol. 13, No. 6, IEEE Press, 2007.

[KSTZ08] Daniel A. Keim, Florian Mansmann, Joern Schneidewind, Jim Thomas, Hartmut Ziegler: Visual Analytics: Scope and Challenges, book chapter in Visual Data Mining: Theory, Techniques and Tools for Visual Analytics, Springer, 2008, Lecture Notes In Computer Science (LNCS).

Sonstige Forschungsleistungen

Presseberichte und Ankündigungen

Sehen hilf verstehen, Südkurier, 6. Feburar 2008., click

Darstellung von Massendaten in Pixelform erhöht den Überblick, Computerzeitung, 21. Mai 2007.

Schlaue Algorithmen setzen Massendaten übersichtlich ins Bild, Computerzeitung, 4. Mai 2007.

Visual Computing, do it! Nr. 01/Januar 2008

Visualisierung im Großformat, do it! Nr. 01/Januar 2008

Externe Referenzen

[FP02] Jean-Daniel Fekete and Catherine Plaisant. Interactive information visualization of a million items. In InfoVis 2002, IEEE Symposium on Information Visualization, Los Alamitos, CA, USA, 2002. IEEE Computer Society.

[MMKBC04] Jonathan McPherson, Kwan-Liu Ma, Paul Krystosk, Tony Bartoletti, and Marvin Christensen. Portvis: a tool for port-based detection of security events. In Proc. ACM workshop on visualization and data mining for computer security, pages 73–81, New York, NY, USA, 2004. ACM Press.

[ALCCS05] Kulsoom Abdullah, Chris Lee, Gregory Conti, John A. Copeland, and John Stasko. Ids rainstorm: Visualizing ids alerts. In Proc. IEEE Workshop on Visualization for Computer Security (VizSEC), Minneapolis, U.S.A., October 2005.

Koordination:

Prof. Dr. Daniel Keim (VIS-KN)
Arbeitsgruppe Datenbanken, Data Mining & Visualisierung
Universität Konstanz
Universitätstraße 10, 78457 Konstanz
Tel: 07531/88-3161
Fax: 07531/88-3062
daniel.keim@uni-konstanz.de
http://dbvis.inf.uni-konstanz.de