Shane Hartman – CISSP, GCIA, GREM Suncoast Security Society

Data Visualization Network Visualization What do you know Security Visualizations Creating a Visualization System Future

The main goal of data visualization is to  communicate information clearly and effectively  through graphical means

Without visualization we rely on
Tables Lists Data sets Email alerts Log files

Been around sense there has been data to view Everyone is familiar with graphs
Bar, pie, line, etc.

Pretty mature area  Lots of applications in this area including
Insight by HP Solar Winds Big Brother Custom scripts

Most of these programs rely on agents or snmp  to gather their information for display Not all of them display visually

There is little to no applications for Security  Visualization Applications exist but they are
Too specific covering one area – Like IDS Not visual ‐ like syslog Do not support enough different areas ie.
Routers, Switches, Firewalls, etc.

Where does this lead…….

Misconfiguration Failure to lock down systems Fear to make changes to systems Complacency Exploitation Why?

Most administrators don’t know their network Here is what they know
Installation and configuration of operating systems Basic knowledge of applications Basic knowledge of networking Basic knowledge of how to keep things working

The Point ‐ Basic, Basic, Basic knowledge

Intimate knowledge of operating systems,  applications, and networking including:
Default configuration Protocol implementation Hardening standards Interaction with the network Interaction with each other

How do you do it ?
Lets look at what we can do now and then going  forward..

Firewall Log Visualization Port / Application Visualization Traffic Visualization Intrusion Detection Visualization

Firewalls a just routers with a rule base Most do not provide much visual information Visual information is usually limited to
Configuration of rules Visual logging Current activity

Even though the system doesn’t provide the  information you can still get it Using log parsers such as “LogParser” can allow  you to create graphs from data 

Uses SQL like statements for parse data 1;31Dec2008;23:47:27;172.24.66.31;log;accept;;eth1c0;inboun d;VPN‐1 & FireWall‐1;;26;{E41F3FA2‐3714‐42E2‐A4E0‐ 02D2A79D7EBF};;domain‐ udp;172.24.66.211;205.171.2.65;udp;65.127.183.98;;0;0;domai n‐udp;62205;;28062;;;;;;;;;;;;;;;;;;;;;;; logparser ‐i:TSV ‐iSeparator:; ‐fixedSep:ON "select top 20  service_id, count(*) as hits into Chart1.gif from 2009‐01‐ 01.txt group by service_id order by hits desc"

Every application uses ports and protocols to  communicate across the network Many can be isolated to the well known ports
HTTP – Port 80 SMTP – Port 25 SQL – Port 1433 SMB – Port 445 NetBios – Port 139

Do you known what servers are using what ports Do you know what you port distribution in the  network is Do you know how your port distribution has  changed over time

Are these distributions normal Do I understand why a port distribution would  increase or decrease over time
More/Less servers More services per server Application(s) leveraging extra ports

How were these graphs created

In addition to knowing ports in use is traffic  patterns over the network Through packet captures and visualization you  can
Determine traffic patterns Lock down ports Optimize network topology

Are these patterns normal Is there anything unusual Is there room to change or update the network How were these graphs created

Based on signatures much like virus scanners Only produces insight in to what it detects Requires a great deal of monitoring and  maintenance  Not as many questions can be raised because  every detect is considered a problem..

Because many of systems are self contained  there is not much you can do with them However: Many of the systems write to databases With some time and effort you can create a  common interface which displays a dashboard  view of all the systems.

Before we look at the future lets get a context of  what we have learned through an example. In this example we are going to look at three  subjects and how much money in coins they have

Nicholas has $2.71 in coins in his pocket.

What conclusions can be drawn What can be theorized about the situation Nicholas has 21 coins totaling $2.71 Nicholas has more quarters than any other
Maybe Nicholas is about to get paid Maybe he likes quarters 

In other words not much can be concluded
Too little data Nothing to compare to Only assumption can be made

Mark has $1.91 in coins Nicholas has $2.71 in coins 

What conclusions can be drawn Mark has more nickels and dimes Nick has more pennies and quarters In other words not much can be concluded
Still, too little data No basis to conclude anything Only assumption can be made

Mark has $1.91 in coins Nicholas has $2.71 in coins  Daniel has a $1.63 in coins

Still not much can be learned - Lets add some more data / data types to the story

There is more than one way to look at the data By manipulating how data is displayed you can
Get a better understanding of data Make assumptions Plan better

Data will be visualized in ways where  assumptions will instantly be known Some of these visualizations are already there  they just need to be applied to networks Look to other areas and fields to see what they  are doing like
Social Networks, Psychology Medicine, Movies Meteorology, etc.

Here are some examples

Visualization or graphing of data is growing  beyond simple bar charts Looks for patterns beyond what the data says Visualizations include
Color Size 3D Sound*

Sign up to vote on this title
UsefulNot useful