مرحبا يا هبر! نعرض انتباهكم على ترجمة المقال " نهج القياس والعرض التقديمي لفعالية التصور الأمني ​​الكامل ."


من مؤلف الترجمة

يوفر التصور مساعدة لا تقدر بثمن للخبراء في الحصول على الاستنتاجات والمعرفة حول موضوع البحث ، خاصةً إذا كان هذا البحث مرتبطًا بمعالجة كمية كبيرة من البيانات. في الوقت نفسه ، يعد اختيار أساليب التصور ، كقاعدة عامة ، أمرًا إبداعيًا وليس خيارًا معقولًا على أساس أي تقديرات كمية. يحاول المقال الحصول على تقديرات كمية للتصور.

بالإضافة إلى ذلك ، تجدر الإشارة إلى أنه يتم إيلاء القليل من الاهتمام لدراسة التصور في مصادر باللغة الروسية. تقع الدراسات الموضحة في المقال في عدة مجالات من المعرفة: أمن المعلومات ، وعلم النفس ، وعلم البيانات ، والذي يسمح للقارئ بالتعرف على مواضيع لم تكن معروفة له من قبل. أيضا من المثير للاهتمام هو ببليوغرافيا واسعة النطاق على دراسة التصور.

المصطلحات الرئيسية المستخدمة في نص المقالة موضحة بخط مائل وله معنى المصطلح الأجنبي مبين بين قوسين. ترد تعاريف هذه المصطلحات بعد نص المقال.

الشرح

ما الذي يجعل التمثيل المرئي للأحداث الأمنية فعالاً؟ كيف نقيس فعالية التصور في سياق دراسة وتحليل وفهم الرسائل حول حوادث أمن المعلومات؟ يعد اكتشاف وفهم هجمات الكمبيوتر أمرًا ضروريًا لاتخاذ القرارات ليس فقط على المستوى الفني ، ولكن أيضًا على مستوى إدارة سياسة الأمان. تغطي دراستنا كلا السؤالين ، اللذين استكملا نظامنا / منصة لتقييم فعالية التصور للأحداث الأمنية (SvEm) ، وتوفير نهج شامل لتقييم فعالية أساليب التصور النظرية والموجهة نحو المستخدم. من خلال استخدام التصور التفاعلي ثلاثي الأبعاد ، تسمح لنا منصة SvEm الخاصة بنا بزيادة كفاءة مستخدم واحد وعدة مستخدمين أثناء عملهم المشترك. درسنا مؤشرات الأداء مثل الوضوح البصري ، والوضوح ، ومعدل التشويه ، وأوقات استجابة المستخدم (المشاهدة).

المكونات الرئيسية لمنصة SvEm هي:

• حجم ودقة عرض الجهاز المحمول ؛
• كيان الحوادث الأمنية ؛
• المنشطات المعرفية لتنبيهات المستخدم ؛
• نظام تقييم التهديد
• تحميل على ذاكرة العمل (تحميل الذاكرة العاملة) ؛
• إدارة الألوان.

لتقييم نظامنا الأساسي لإجراء تقييم شامل لفعالية التصور للأحداث الأمنية ، قمنا بتطوير (باستخدام تقنيات الويب والجوال) تطبيق VisualProgger لتصور أحداث الأمان في الوقت الفعلي. أخيرًا ، يهدف SvEm المرئي إلى زيادة مدى انتباه المستخدمين من خلال توفير حمل إدراكي ثابت مع زيادة الحمل على ذاكرة المراقب العاملة . في المقابل ، يوفر تصور أحداث الأمان للمستخدم فرصة للتعرف على حالة أمان المعلومات. يظهر تقييمنا أن المراقبين يعملون بشكل أفضل مع المعرفة المسبقة ( تحميل على ذاكرة العمل ) للأحداث الأمنية ، وكذلك أن التصور الدائري يستقطب تركيز المستخدم ويحافظ عليه بشكل أفضل. سمحت لنا هذه النتائج بتحديد مجالات البحوث المستقبلية المتعلقة بتقييم فعالية التصور لأحداث السلامة.

جدول المحتويات

1 مقدمة
2 الخلفية ومجال الدراسة
3 أعمال ذات صلة
3.1 طرق لتقييم التمثيل المرئي للمعلومات
3.2 طريقة التقييم: ترتيب التمثيلات المرئية للعلاقات
3.3 أساليب الرسم
3.4 أخطاء الإدراك في التصورات
3.5 مفاهيم الإدراك والإدراك والبصيرة في التصور
4 مخطط منصة SvEm
4.1 بنية جانب الخادم في النظام
4.2 الجوانب الفنية لتصور أحداث الأمن
4.3 الكيانات والعلاقات ومساحات الحوادث الأمنية
4.4 لون قياسي للتصوير الأمني
4.5 المتطلبات المعرفية لتصور السلامة
5 النتائج: منصة التصور الأمن
5.1 نظرية SvEm
5.2 تدفق البيانات
5.3 مثال 1. تطبيق للتعاون مع تصور الأحداث الأمنية في الوقت الحقيقي
5.4 مثال 2. تصوُّر Locky Ransomware
5.5 مثال 3. التفاعل الفعال مع تصور الواقع المعزز
5.6 تحجيم التصور ليناسب الشاشة
6 تقييم واختبار منصة SvEm
6.1 نموذج مفاهيمي SvEm
6.2 اختبار أداء منصة SvEm
6.3 SvEm تقييم المستخدم
6.4 تقييم الحمل المعرفي
6.5 نظام الكشف عن التهديدات
7 الخاتمة
8 شكر وتقدير
9 مراجع إلى المصادر المستخدمة

1 مقدمة

تتحول التصورات الأمنية إلى فائدة في تكوين فكرة عن حالة الأمان ، ولكن ما مدى فعاليتها؟ هل التصور يساعد في اتخاذ القرار في موقف حرج أو مجرد صرف الانتباه؟ توفر هذه الدراسة الأساس لتقييم فعالية وتطوير التمثيلات البصرية في مجال أمن المعلومات.

ينصب تركيزنا الرئيسي على تحسين منصة SvEm [11] من خلال إجراء تقييم شامل لفعالية التمثيلات المرئية للأحداث الأمنية في كل مرحلة من مراحل تصور التصور. من المفترض أن القارئ لديه بالفعل فهم التصور في مجال أمن المعلومات.

نحن نعتبر قضايا إنتاجية عمليات معالجة البيانات والوضوح البصري ، وكذلك الاستخدام المريح لوظائف المستخدم التفاعلي مع البيانات. لقياس فعالية التصور للأحداث الأمنية ، يلزم إجراء تقييم شامل لكل من منصات الويب والجوال ، وكذلك وقت استجابة المستخدمين عند التفاعل معهم.

في الوقت الذي يتفاعل فيه المستخدم مع بعض التمثيل المرئي للأحداث الأمنية ، نحن مهتمون ، أولاً ، بفهم كيف يمكن للتصور جذب انتباه المستخدم بسرعة ، وثانياً ، كيفية قياس تركيز انتباهه . وهذا يتطلب مراقبة فعالية الحمل المعرفي للمستخدم والحمل على ذاكرته العاملة . يكون التصور أكثر فاعلية عندما ينخفض الحمل المعرفي ويزيد الحمل على الذاكرة العاملة .

2 الخلفية ومجال الدراسة

في معظم الدراسات العلمية التي تهدف إلى استكشاف منصات التصور وواجهة المستخدم ، تعني فكرة زيادة الكفاءة زيادة الإنتاجية عن طريق تقليل الوقت الذي يستغرقه تحقيق نتائج ذات مغزى. في مقالة النظام الأساسي التي قمنا بتطويرها ، يرتبط مفهوم "الفعالية" بتصور أحداث الأمان كنهج كلي ومتكامل ، والذي تم تصميمه لتبسيط إدراك المعلومات الأساسية كنتيجة لتفاعل المستخدم مع التصور.

في هذه المقالة ، نقيس فعالية عملية التصور الأمني ​​بأكملها: كل من عملية عرض الرسوم وعملية تفاعل المستخدم. نحن على ثقة أيضًا بأن تصور أحداث الأمان يسهل تحليل البيانات الآلي ، والحصول على معلومات مفيدة من البيانات الأولية حول أحداث الأمان (هجمات الشبكة). تُظهر التصورات المرئية للأحداث الأمنية بشكل واضح وديناميكي حوادث أمان المستخدم ، وكذلك علاقة الحوادث ببعضها البعض [14] . يثير التفاعل اهتمام المستخدم في إجراء التفاعلات اللازمة مع المرئيات لتشكيل فكرة عن مساحة هجمات الكمبيوتر. يعمل التصور أيضًا على تسهيل القدرة على معالجة كميات كبيرة من البيانات وتصور الاتجاهات والنماذج.

ومع ذلك ، هناك مشاكل مرتبطة بعرض المعلومات والأداء ، وبالتالي فإن الغرض من هذه المقالة هو قياس فعالية عمليات تصور أحداث الأمان. توفر دراستنا رابطًا بين المعرفة المعرفية للمستخدمين ومنصة قياس فعالية التصور الأمني ​​[SvEm ] [11] . يغطي نهجنا في قياس الفعالية مراحل التخطيط والتصميم والتنفيذ والتقييم والتحقق من الصحة والتفاعل مع المستخدم (الجمهور المستهدف).

في القسم التالي ، نلقي نظرة على نتائج البحوث الحالية حول قياس فعالية التصور. ثم نناقش نتائج تطوير منصة SvEm. في الختام ، نقدم توجيهات للبحث في المستقبل.

3 أعمال ذات صلة

بينما يختار المستخدمون أساليب التصور بناءً على تفضيلاتهم واحتياجاتهم الفردية ، هناك حاجة لتقييم فعالية هذه الأساليب. تستخدم الأساليب الحديثة [11] و [12] و [17] و [40] مؤشرات مثل أداء المستخدم والوضوح وجودة الصورة / معدل التشويه وتقييم الإدراك ( تقييم الإدراك) ، وهو مقياس لقياس ارتباط التصور ، وقياس نشاط الدماغ (قياس نشاط الدماغ) ، ومدى تطابق التصور. النظر في المصادر المتاحة بمزيد من التفاصيل.

3.1 طرق لتقييم التمثيل المرئي للمعلومات

تأخذ معظم أساليب التقييم في الاعتبار فقط الجوانب الفنية للصور ، مثل الرؤية والاعتراف. ومع ذلك ، فإن التفضيلات المرئية الأكثر تفضيلًا هي التي تجذب المراقبين وتكون قادرة على نقل جوهر المعلومات بشكل مستقل دون الحاجة إلى مزيد من التوضيح. هذه هي النتيجة الأكثر توقعًا لمعظم الفنانين وخبراء التصور. الأساس الموجود في كل من التصور وبين المستخدمين يوقظ القدرات المعرفية التي تؤدي إلى آليات الكفاءة. وبالتالي ، لتحسين الكفاءة ، هناك حاجة إلى بعض أساليب التقييم لتحسين التصور.

3.2 طريقة التقييم: ترتيب التمثيلات المرئية للعلاقات

عادةً ما يتم استخدام النهج المستخدم بنجاح في التدريبات على مجموعات البيانات للحصول على تقديرات علمية للإنتاجية والشفافية والنزاهة. أظهر هاريسون في [12] إمكانية تطبيق قانون ويبر [4] ، [15] وقانون الإدراك [15] لتصور ارتباط الارتباط [20] . هناك طرق أخرى تراعي ارتباط التدريب وأفضل مجموعات البيانات ، كما هو موضح باستخدام مخططات scatterplots ومخططات الإحداثيات الموازية [33] . أظهرت الدراسات النفسية والمعرفية الحديثة [15] أن قوانين الإدراك [20] يمكن تطبيقها على نموذج تصورات الناس في التصور قيد النظر في بعض خصائص البيانات. أثبت Rensink استخدام قانون Weber [33] عند إنشاء نموذج Weber Fit [12] . تدعي هذه الدراسات أن هناك علاقة بين الأشخاص والبيانات المقدمة. الإدراك البشري قادر على التمييز بين العلاقات والاختلافات الموضوعية في البيانات المرتبطة. يتم التعبير عن هذا البيان بواسطة العلاقة الخطية التالية:

$$

$$dp = k \ frac {dS} {S}$$

اين

$$$dp$ - التغيرات التفاضلية في الإدراك ؛

$$$ك$ - العتبة النسبية التي تم الحصول عليها تجريبياً (الكسر ويبر) ؛

$$$dS$ - زيادة الفرق في ارتباط البيانات.

تم إجراء عدد من الدراسات الإحصائية [12] باستخدام معايير التصنيف:

• اختبار Kruskal-Wallis [26] لتقييم العلاقة بين التصور والعلاقات ؛
• اختبار ويلكوكسون مان [16] ، [29] معيار لمقارنة أزواج من المرئيات ؛
• تصحيح Bonferroni [36] لحل مشكلة المقارنات المتعددة وتقليل الايجابيات الخاطئة.

على الرغم من أن طريقة تصنيف التصور للعلاقات أثبتت فعاليتها ، إلا أنها ليست ذات صلة بهذا العمل.

3.3 أساليب الرسم

شكل 1. مخطط المنصة E ³

معظم الأجهزة المتصلة بالإنترنت لديها القدرة على تسجيل الدخول ، مما يسمح بجمع البيانات بسرعة عالية. لذلك ، يتطلب استخدام طرق خاصة لتقديم المعلومات التي تم الحصول عليها من مجموعات البيانات. خذ بعين الاعتبار ، على سبيل المثال ، المنصة الرسومية لتمثيل مجموعات البيانات الكبيرة E ³ التي طورها ليونج ك. آي و أبرلي مارك [24] . يسمح لك النظام الأساسي التحليلي E ³ بمقارنة الطرق المختلفة لتقديم البيانات ، مع مراعاة حجم هذه البيانات. تتيح لك الخصائص الأساسية ، مثل التعبيرية والكفاءة والفعالية ، تصنيف دقة العرض التقديمي ومهمة الإدراك. في التين. يوضح الشكل 1 مخططًا لمنصة E ³ ، حيث يتم تمييز المكونات الرئيسية وعلاقاتها بمراحل تصميم نظام عرض مجموعة البيانات الكبيرة.

3.4 أخطاء الإدراك في التصورات

تتضمن الطريقة الشائعة الأخرى لقياس التصور حساب معدل خطأ لقياس جودة الصورة أو تشويهها. في التين. يوضح الشكل 2 بنية المشروع ، بما في ذلك مراحل المعالجة المسبقة والتصفية وفصل القناة والجمع بين الأخطاء.


شكل 2. رسم تخطيطي لمشروع تقييم حساسية الخطأ

في هذا النموذج ، يتم تقييم جودة الصورة من خلال الوضوح البصري وتشويه الصورة. يؤدي إجراء المعالجة المسبقة والتصفية إلى تحسين نتائج قياس الجودة / التشوه (والتي يتم تحويلها بسهولة من واحدة إلى أخرى).

3.5 مفاهيم الإدراك والإدراك والبصيرة في التصور

في علم النفس ، يعتمد قياس فعالية التصور على تقييمات الإدراك (الإدراك) ، الإدراك (الإدراك) ، تركيز الانتباه وعبء العمل على الذاكرة العاملة للشخص. يمكن تحديد العلاقة العقلانية بين القدرة المعرفية للمستخدم والحمل على الذاكرة العاملة باستخدام تقييم الجهود العقلية (الجهد العقلي) (الشكل 3). على سبيل المثال ، تكون النتيجة المثالية للمستخدم ، والتي تكون فيها سرعة القراءة عالية والجهد العقلي منخفضًا ، في المنطقة أ (الشكل 3) [30] .


شكل 3. فعالية الجهد العقلي [30]

وهذا يعني أيضًا أن التحميل على ذاكرة المستخدم العاملة مرتفع. وفرت أبحاث المستخدم أدوات لتقييم الحمل المعرفي [17] ، على وجه الخصوص ، طرق لتقييم الجهد الذهني والإنتاجية المرتبطة بكفاءة التصور.

أظهر البحث [40] ، [34] ، [35] من قبل InfoVis إمكانية استخدام البصيرة كمقياس لتقييم التكنولوجيا. يتم تعريف الإضاءة [40] على أنها مقياس لفهم دقيق وعميق لشيء ما ، أي وحدة قياس الاكتشاف. غالبًا ما لا تأتي الإضاءة في سياق حل المهام المعينة خصيصًا ، ولكن كقاعدة عامة ، هي نتيجة ثانوية للبحث دون الهدف الأولي المتمثل في تحقيق البصيرة.

تعد عملية الاستشعار عن بعد [32] أيضًا دورًا مهمًا في تحديد البصيرة [32] ، على الرغم من أن نموذج "مخطط المعلومات-المنتج-البصيرة" المستخدم في هذا العمل يتضمن البصيرة كمكون.

بتلخيص نتائج العمل المماثل ، نرى أن تقييم فعالية التصور لا يؤثر فقط على التكنولوجيا ، ولكن أيضًا على الشخص الذي يستخدم التصور. بعد فحص المجالات الرئيسية المتعلقة بكفاءة التصور في هذا القسم ، أصبح لدينا الآن فهم واضح لمكان البحث الحقيقي في منهجية تقييم التصور. ومع ذلك ، تقتصر منصتنا على التصور في مجال أمان المعلومات المتعلقة بتقييم كفاءة القياس فيما يتعلق بالمعلومات التشغيلية عن حوادث الأمن.

4 مخطط منصة SvEm

من أجل تنفيذ نظام أساسي لتقييم فعالية التصور للأحداث الأمنية ، فإن مرحلة مهمة هي مرحلة التصميم. لذلك ، في هذا القسم نقدم حل تصميم منصتنا. تتكون منصة تقييم فعالية التصور الأمني ​​SvEm من المكونات التالية: سطح العمل لشاشة الجوال ، كائنات حادث الأمان ، أحداث تنبيه المستخدم ، نظام تقييم التهديد ، تحميل ذاكرة الوصول العشوائي ، ومكون إدارة اللون. وتناقش هذه المكونات أدناه.

4.1 بنية جانب الخادم في النظام

تم تصميم البنية التحتية لجزء الخادم من النظام الأساسي لتصور أحداث SvEm للأمان لاستيعاب كل من نصوص التصور الثابتة والديناميكية (في الوقت الفعلي). يدير جميع عمليات التحليل التي تحدث عند العمل مع قاعدة البيانات ، وكذلك أثناء تجميع وتجميع المعلومات. تم تصميم بنية نظامنا باستخدام التقنيات التالية: Windows Progger (أداة تسجيل الدخول) و Redis و MongoDB و Nodejs و WebGL. Windows progger (إصدار linux progger لنظام التشغيل Windows [21] ) هو أداة لتسجيل الأحداث على مستوى النظام (مستوى kernel) والتي يتم تطويرها حاليًا مع التركيز على الأمان في أنظمة الكمبيوتر والأنظمة السحابية.Redis [2] يسهل الاتصال بين ذاكرة التخزين المؤقت وقاعدة بيانات Windows Progger و mongoDB. يتم تخزين جميع البيانات بشكل دائم في mongoDB [3] ، في حين أن العقيدات [39] و webgl [5] ، [31] تقلل من تعقيد واجهة جزء العميل من منصة التصور.

تم تصميم بنية جزء الخادم مع مراعاة ميزات عملية معالجة البيانات عند إدارة وحدات التخزين الخاصة بهم. يتم إنشاء البيانات التي تمت معالجتها مسبقًا نتيجة لسيناريو التصور. على سبيل المثال، في الوقت الحقيقي يجري تسجيل نظام الكمبيوتر الأساسية لغرض تتبع و التصوير مصادر لإنشاء وتعديل وحذف الملفات.

بالإضافة إلى ذلك ، يتم توحيد البيانات لتقييم فعالية تصورات الأمان على منصات الويب والجوال. وفرت متطلبات الويب والأجهزة المحمولة حلاً فعالًا لمشكلات الاستعلام عن البيانات ومعالجتها وتحليلها وتقديمها وتوسيع نطاقها والتي يتم حلها لمصالح تصور أحداث الأمان. في التين. يوضح الشكل 4 الأدوات الأساسية والمكتبات اللازمة لاستضافة جانب الخادم من منصة التصور الأمني ​​SvEm.


شكل 4. بنية جانب الخادم في SvEm ،

عند تصميم النظام الأساسي ، من الضروري مراعاة العديد من ميزات التطبيق ، والتي تشمل أهمها أيضًا ضمان الأمن وأداء معالجة البيانات وتصور التصور. هذه المهام لمنصة لدينا هي أهمها.

4.2 الجوانب الفنية لتصور أحداث الأمن

عند تطوير التمثيلات المرئية ، يجب مراعاة أبعاد الجهاز المحمول. على سبيل المثال ، قيود العرض التي تبلغ 1920 × 1080 بكسل لجهاز iPhone 6s Plus بارتفاع 122 ملم وعرض 68 مم (الشكل 5) تجعل من الضروري وجود عناصر تحكم في العرض في تمثيل مرئي.


شكل 5. معلمات العرض للجهاز المحمول ،

وتشمل عناصر التحكم عناصر لتنظيم حجم البيانات المعالجة ، واختيار طريقة التصور وأنواع التصور التي تناسب حجم الشاشة.

يتيح الفهم الواضح لهذه القيود لمطوري تصوّر الأحداث الأمنية مراعاة إمكانية العرض المتعدد الأبعاد و / أو الدائرية. ستسمح مثل هذه المشروعات بإدراج عدد كبير من سمات بيانات الحوادث الأمنية.

4.2.1 التصوير مشروع تتبع (إسناد تصميم التصور)

عملية تتبع (الإسناد) [38] في المعلومات سياق الأمان المقترنة مع تعريف مصدر الهجوم الكمبيوتر. في تصور الأحداث الأمنية ، تكون صورة هذه العملية مهمة معقدة إلى حد ما. مطلوب مجموعة كافية من بيانات الإدخال وفهم واضح لعملية التتبع . يهدف مشروع التتبع الخاص بنا إلى بناء مسار بين المصدر وأهداف الهجوم. ينصب التركيز على تحديد مصدر الهجوم على الكمبيوتر ، لأن معظم نقاط المسار هم من الضحايا. على الرغم من مشروع تصور التتبع الخاص بنا ، استنادًا إلى بيانات الهجوم الحقيقي ، إلا أنه من المستحيل تصور عملية التتبع بالكامل.. لذلك ، نحن نقدم مجموعة من النماذج للتحليلات التنبؤية ، بمساعدة النقاط التي يمكن ربطها بين معرفات الهجوم الرئيسية للتتبع من مستوى أعلى باستخدام التصور.

4.2.2 تصميم التصور ثبت

الميزة الرئيسية الأخرى للنظام الأساسي هي العرض الفعال للمصادر استنادًا إلى كمية البيانات الكبيرة التي يتم جمعها. يتم تحويل كمية كبيرة من البيانات إلى مرئيات لمنصات متحركة ، مع الأخذ في الاعتبار الحاجة إلى التوسع ومنطقة عمل محدودة من الشاشة.

تستخدم منصة مشاريعنا التصور تتبع و مصادر بملخص موجز للبيانات لإعلام المستخدمين حول الأحداث الأمنية. يعد تعيين المصادر أمرًا بالغ الأهمية لخبراء الأمن والمستخدمين النهائيين لمواكبة الموقف. في التين. يعرض الشكل 6 مشروعًا لتصور المصادر مع معلومات حول وقت الهجوم ونوعه ومصدره.


شكل 6. مشروع تصور المصادر لجهاز محمول

تم تصميم هذا المشروع الدائري لجذب انتباه المستخدم إلى المعلومات المقدمة وتقليل عدد الحركات في علامات التبويب لمزيد من المعلومات.

4.2.3 أنواع مشاريع التصور

يتمثل جانب مهم آخر من كفاءة التصور في إتاحة الفرصة للمستخدمين (المراقبين) للاختيار من بين عدة خيارات لمشاريع التصور وفقًا لمتطلبات عرض البيانات المعروضة. يتيح لك ذلك تلبية احتياجات جمهور أوسع.

كعناصر لتصور أحداث السلامة في الوقت الحقيقي ، توفر بنيتنا التحتية الخيارات التالية للمشاريع المرئية [6] : "Curl (spiral)" و "Sphere" و "Grid".

كما هو مبين في التين.7 ، يستند مشروع "الضفيرة (الحلزونية)" إلى مبدأ الجستالت / قانون الاستمرارية [37] .


شكل 7. مشروع التصور "Curl (spiral)"

يعرض هذا التصور ترتيب تنفيذ الملفات والعمليات وفقًا لنهج "الأول يأتي في العرض الأول". عندما لفت المستخدم الانتباه إلى ملف معين أو قالب أو مجموعة معينة بنفس السلوك / اللون ، فإنه يتصور عقلياً صورة مرئية يسهل فهمها.

يعتمد مشروع التصور "Sphere" على قانون Gestalt بشأن الإغلاق / الإكمال ، حيث يُنظر إلى كل شيء على أنه جزء من الكل. في التين. يوضح الشكل 8 التصور لمحتوى النظام (يتم تمييز العناصر المهمة باللون).


شكل 8. مشروع التصور "النطاق"

هذه الطريقة بسيطة ومباشرة ، ويمكن تحجيمها حسب إعدادات العرض للجهاز المحمول. بغض النظر عن عدد الملفات أو العمليات التي ترغب في إظهارها ، فإن النهج الكروي يخلق تصوراً فيه جميع الأجزاء هي مجموع الكل.

ينفذ مشروع التصور الشبكي نهجا متعدد المستويات للتصور ، حيث يتم عرض ملفات جديدة بصريا في مقدمة شبكة التصور. يلفت هذا التصميم انتباه المراقبين إلى الملفات / العمليات الجديدة ذات الاهتمام. يحافظ الاهتمام المستمر للمراقب على تركيزهم ، مع ترك الفرصة في الوقت نفسه لآليات الإخطار الأخرى لنقل المعلومات إلى المراقب. في التين. يوضح الشكل 9 مثال على مشروع الشبكة مع طبقات متعددة للملفات والعمليات.


شكل 9. مشروع التصور "الشبكة"

بالإضافة إلى ذلك ، فإننا نقدم مشروع "حلقات متداخلة" (دائرية الطبقات) ، كما هو موضح في الشكل. 10.


شكل 10. مشروع التصور Locky Ransomware لجهاز محمول ،

حيث يتيح لك المشروع ربط العديد من السمات والفئات من الملفات والعمليات المختلفة. تتجلى الفعالية في هذه الحالة في الانتقال بين الطبقات ، مما يسمح للمراقبين برؤية وفهم كيفية عمل أنظمة الملفات المختلفة. باستخدام النهج المتبع في إنشاء تصورات متعددة المستويات ، يتيح لنا أن نربط بعضنا البعض بمستويات مختلفة من التسلسل الهرمي للمعلومات وعلاقات المعلومات.

4.2.4 مكونات تقييم التهديد

يعد مكون تقييم التهديدات الذي يحدد التهديدات ويصورها مكونًا مهمًا آخر للبنية التحتية SvEm. يغطي إطار تقييم التهديد (الشكل 11) الخاص بنا الحالات الشاذة والبرامج الضارة وآليات الكشف المخصصة.


شكل 11. مخطط آلية تحليل التهديد:

يتم تصفية مجموعات البيانات باستخدام الاختبار / التدريب والبيانات المسجلة [10] وقواعد بيانات التوقيع للتهديدات المعروفة. يتم إجراء الكشف عن الشذوذ وفقًا للخوارزمية ، والتي ستتم مناقشتها في القسم الخاص بالتقييم والتحقق من الصحة. تتكون مجموعة البيانات الأساسية الخاصة بنا من التهديدات المعروفة (المكتشفة سابقًا) ، والسجلات المملوءة بواسطة المستخدم ، بالإضافة إلى نماذج التهديد وأنماط السلوك المعروفة. هذا يخلق بيئة أفضل للتحكم والمراقبة.

4.3 الكيانات والعلاقات ومساحات الحوادث الأمنية

4.3.1 الجوهر

في الأساس، والعلاقة (الكيانات العلاقات) و المجال الأمني (المناظر الطبيعية الأمن) هي المكونات الرئيسية لمنصة التشغيل لدينا. لل كيانات تشمل: المواد من التهديدات، للخطر الحمولات الخبيثة عنوان IP وغيرها الكثير. هذه الأشياء ذات أهمية لكيفية عمل نظرية قياس فعالية SvEm. يتأثر أداء نظامنا الأساسي بالقدرة على تحديد هذه الكيانات باستخدام التصور في أقل قدر من الوقت.

4.3.2 علاقات الكيانات

تعد علاقات الكيان ، والتي تُعرف أيضًا بالروابط ، أمرًا حيويًا في نظامنا الأساسي. وظائف علاقة الكيان تربط الكيانات معًا. تعمل هذه الروابط أيضًا على تنشيط الوظائف المعرفية للمستخدم ، مما يساعدهم على إدراك المعلومات المخفية ويحتمل أن يساهموا في رؤى حول حالة الأمان.

4.3.3 مساحات الحوادث الأمنية

تُنشئ مساحات الأمان منطقة وبيئة الحادث للمستخدمين (المراقبين) لتركيز صورهم العقلية على حادث أمني معين. تساعد المساحة المألوفة المستخدم على الحد من مساحة تفاعله مع التصور الذهني.

4.4 لون قياسي للتصوير الأمني

من المهم للغاية توحيد استخدام الألوان لتصور أحداث الأمان. تتطلب كميات كبيرة من البيانات حول الكيانات التي قد تكون ذات أهمية تبسيط تصوُّر الأحداث الأمنية لمصلحة تسريع معالجة المعلومات. على سبيل المثال ، يؤدي استخدام اللونين "الأحمر" و "البرتقالي" في نفس المساحة المرئية تلقائيًا إلى حدوث ارتباك للمستخدمين ، مما يعقد عملية التصور بأكملها. يتم عرض مجموعة الألوان القياسية لدينا في الشكل. 12: "الأحمر والأصفر والأخضر والأزرق والبنفسجي والبرتقالي."


شكل 12. معيار اللون لتصور أحداث الأمان:

تنقسم هذه الألوان إلى مجموعتين: الابتدائية والثانوية. المجموعة الرئيسية من الألوان هي: الأحمر والأصفر والأخضر والأزرق. مجموعة إضافية تشمل: الأرجواني والبرتقالي. تم تصميم ألوان إضافية لتصور أحداث الأمن بواسطة وكالات إنفاذ القانون باستخدام أنظمة الألوان المقابلة لنظام إخطار الإنتربول [1] ، [18] . على سبيل المثال ، يتم استخدام اللون البرتقالي فقط لعرض معدل دوران المحتوى غير القانوني ويعتبر نوع مستقل من التصور.

يهدف معيار الألوان إلى توفير سهولة التعارف في بيئة مريحة مصممة خصيصًا. من وجهة نظر المطور ، من المهم أن نفهم بشكل صحيح كيف ترتبط الألوان في التصور بخصائص أحداث الأمان. هذا يخلق الحاجة إلى إدارة الألوان لتجنب سوء تفسير التصور بسبب مشاكل التراكب المحتملة عند تقديم حوادث الأمان.

4.5 المتطلبات المعرفية لتصور السلامة

معالجة المعلومات هي وظيفة بشرية طبيعية لا يمكن التحكم فيها باستخدام التكنولوجيا. ومع ذلك ، هناك طرق يمكن استخدامها في معالجة المعلومات لتصور محدد لأحداث الأمان ، كأشكال تحكم. استخدام مثل هذه الأساليب التي تهدف إلى الحد من التشويه المعرفي (التحيز المعرفي) [13] ، والتي غالبا ما يؤدي إلى تصور غير صحيح، والحكم واستنتاجات غير دقيقة غير منطقية.

لذلك ، فإن الجزء الأكثر أهمية من تصميم منصة SvEm لدينا هو تعريف السمات النفسية المعرفية في تصور الأحداث الأمنية. يتيح لك هذا تعيين متطلبات فعالية العملية الكاملة لتصور مهام المستخدم.

متطلبات لالحمل المعرفي ، تحميل على ذاكرة العمل ، المنشطات المعرفية للمستخدم.

يتم تعريف المهام النفسية التالية أيضًا:

• على مستوى الاهتمام (عملية الانتباه)؛
• على مستوى الاهتمام دون المستوى الأدنى (عملية ما قبل اليقظة) ؛
• على مستوى الجهد العقلي (للذاكرة).

من وجهة نظر تطبيق تصور حدث الأمان ، تم تصميم منشطات التنبيه المعرفي لربط المراقب مع التصور المقدمة. هذه المنشطات ودعونا شروط عقد مؤقت (عقد شبه دائم) و الاحتفاظ الدائم (عقد دائم). سيوضح قسم التقييم (القسم السادس) الدور المهم الذي يلعبونه في منصتنا.

5 النتائج: منصة التصور الأمن

5.1 نظرية SvEm

لنبدأ بشرح أكثر تفصيلاً لخوارزمية SvEm الخاصة بنا. تستند خوارزمية SvEm إلى المؤشرات التالية:

• التقدير النظري للتشويه ($$d s v e m ) ؛$d_{svem}$
• التقييم النظري للوقت ($$$t_{svem}$ )

التقديرات النظرية تشويه و الوقت وتحسب على أساس الصيغ (1) و (2) على التوالي:

$$

$$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$$

$$

$$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$$

اين

$$w ∗ h - أبعاد سطح عمل الجهاز المحمول ؛$w*h$

$$S v f - عدد عناصر الأمان المرئية (على سبيل المثال ، حزمة IP المصابة ، الطابع الزمني ، إلخ) ؛$Sv_f$

$$د ن -نهو البعد من منطقة التصور للأحداث الأمنية؛$d_n$

$$C l -الحمل المعرفي(عدد الخصائص المحددة خلال التعريف الأولي) ؛$Cl$

$$ر م ه -الحمل على الذاكرة العاملة(قوة بناء على تقديرات الذاكرة العاملة المؤقتة)؛$t_{me}$

$$$n_ {clicks}$ - عدد التفاعلات مع التصور.

تستند تقديرات SvEm النظرية إلى سرعة التشويه والوقت . على الرغم من أن معامل التشويه هو 50 ٪ ، يتم تقييم تصنيفنا العام فيما يتعلق بالتقييم "العالي" أو "المنخفض" ، مما يجعله أكثر واقعية. العوامل التالية تؤثر على معدل التشويه:

• حجم الهاتف والقرار ؛
• معرفة المستخدم
• نقرات المستخدم

يقاس زمن SvEm بثبات نسبيًا: 0.25 ثانية [27] ، والمعروفة في علم النفس بأنها الحد الأدنى للوقت الذي يحتاجه الشخص لفهم المعلومات أثناء عملية تصوره. وبالتالي ، يتم حساب مجموع درجاتنا كمتوسط ​​ومقارنة مع العديد من النتائج من القياسات الأخرى.

يتم تنفيذ أداء التطبيق ، وكذلك أساليب إدارة البيانات ، مع مراعاة التحسن في جودة القيم النهائية لمؤشرات التشويه والوقت . تتم إدارة عرض البيانات في الفضاء البصري من تطبيقنا لتحقيق التوازن عند إجراء حسابات معقدة تصور الأجهزة.

الحمل المعرفي ( $$$Cl$ ) وتحميل على ذاكرة العمل ( $$$t_ {me}$ ) يتم حسابها بناءً على النتائج السابقة للدراسات النظرية. تطبق خوارزمية SvEm الخاصة بنا أساليب معروفة.

5.2 تدفق البيانات

تتمثل إحدى ميزات نظام SvEm في القدرة على إدارة البيانات خلال العملية: من الكتابة إلى قاعدة البيانات إلى إخراج التصور باستخدام تقنية WebGL. في التين. 13 عبارة عن مخطط تدفق بيانات يوضح المكونات الرئيسية لجانب الخادم.


شكل 13. نتائج معالجة البيانات

باستخدام Progger و Redis و MongoDB يوفر التحكم الضروري في تدفق البيانات. يتم نقل قدر كبير من البيانات إلى واجهة التصور الأمني ​​، مع مراعاة ميزات النظام الأساسي المحمول المستخدمة (القوة الحاسوبية للمعدات وحجم العرض ودقة الوضوح). يسمح ذلك لسيناريوهات التحليل الخاصة بنا بتوسيع نطاق البيانات بشكل مناسب لتحسين الرؤية من خلال استخدام نماذج عرض أبسط.

دعنا نأخذ في الاعتبار العديد من الأمثلة على استخدام نظامنا الأساسي ، حيث تم تطوير الأمثلة بناءً على نتائج تحليل البيانات التي تم الحصول عليها أثناء اختبار النظام الأساسي. يمكن الاطلاع على عرض توضيحي للفيديو على الأمثلة على الرابط التالي: مثال على استخدام منصة التصور الأمني ​​SvEm (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 مثال 1. تطبيق للتعاون مع تصور الأحداث الأمنية في الوقت الحقيقي

تم إنشاء أداة تصور سجل أمان VisualProgger بواسطة فريقنا لفحص تاريخ الأحداث التي سجلها Progger بصريًا [21] . يركز VisualProgger على التصور في الوقت الفعلي للأحداث الأمنية ويسمح لك بزيادة كفاءة التحليل بسبب الرؤية والأداء العالي واستخدام المنشطات المعرفية . أثناء تحليل البيانات ، التي أجريت باستخدام التصور المتحرك وآليات الإخطار في الوقت المناسب ، تم الكشف عن معلومات مهمة حول حالة الحماية.

وظائف VisualProgger: يوفر VisualProgger وظائف لتصور أحداث الأمان في الوقت الفعلي والبيانات المسجلة مسبقًا ، على سبيل المثال ، لوحظ خلال التدريبات الإلكترونية بين الفريقين الأحمر والأزرق (الهجوم والدفاع) [10] . في نص مرئي في الوقت الفعلي ، قمنا بتطوير وتطبيق طريقة إعلام تتيح لنا زيادة تركيز انتباه المستخدم. أطلقنا على هذه الطريقة اسم "المنشطات المعرفية لـ SvEm" (SvEm: المنشطات المعرفية). يتم تفعيل المنشطات التالية:

1. " تعليق مؤقت ": الوظيفة المتحركة الموضحة في الشكل. 14 ، السماح بإخفاء الملفات الأكثر أهمية (المشبوهة) مؤقتًا لمدة 3 ثوانٍ على الأقل لجذب انتباه المراقب ؛
2. " تعليق دائم ": مؤشر لون ثابت للملف ، يشير إلى ملف ضار (مشبوه). يتم استخدام الألوان الأحمر أو الأصفر حسب مدى أهمية الملف ؛
3. كشف ملف حرج: معرف التنبيه الذي يلفت انتباه المراقب ؛
4. " التنبيه الصوتي ": معرف تنبيه اختياري يلفت انتباه المراقب (مهم بشكل خاص للأشخاص المكفوفين بالألوان).

شكل 14. مظاهرة من المنشط "الاحتفاظ المؤقت"

تستخدم المنشطات المعرفية SvEm المدروسة بشكل أساسي لعرض الملفات والسمات الخبيثة التي تعتبر مهمة من وجهة نظر أمن المعلومات. يتم تحويل ملفات وسمات البيانات المعروضة إلى بعض التمثيلات المرئية لأحداث الأمان من أجل المساعدة في اتخاذ القرارات من خلال توفير محتوى معلومات أفضل.

5.4 مثال 2. تصوُّر Locky Ransomware

تصور أحداث الأمان الخاصة بـ Ransomware Locky الموضحة في الشكل. يستخدم 15 مشروع Nested Rings ، المصمم خصيصًا لتركيز انتباه المستخدم فقط على التصور الذي يتم عرضه.


شكل 15. التصور من Locky Ransomware تشفير الملفات

يسمح لك مشروع Nested Rings بترتيب البيانات فوق بعضها في شكل طبقات على منصات متحركة. بهذه الطريقة ، يمكن عرض تصنيف المكتبات والعمليات والملفات الخاصة بالنظام المصاب. القدرة على تتبع بصري للكشف عن ملفات Locky (.docx ، .png ، .jpeg ، .xlsx ، وما إلى ذلك) بواسطة برنامج Ransomware قبل تشفيرها أثناء تنفيذ الهجوم يعطي المستخدم فكرة واضحة عن تشغيل Ransomware. ثم يتم تمييز الملفات المشفرة باللون الأحمر لإظهار الملف الذي تم تشفيره.

يمكن للمراقبين اختيار الملفات المشفرة (الملفات الهامة) باللون الأحمر (عند التمرير بالماوس أو النقر فوقها أو غيرها من الإجراءات) لمزيد من التحليل (الشكل 16).


شكل 16. تصور لعرض الأحداث حول الملفات المشفرة بواسطة Lock ransomware

بفضل هذه الميزات ، يهتم المستخدمون بإجراء بحث تفاعلي باستخدام التصور ، مما يزيد أيضًا من تفاعل المستخدم مع التصور.

5.5 مثال 3. التفاعل الفعال مع تصور الواقع المعزز

الواقع المعزز (AR) في مجال التصور أمن المعلومات يعطي المستخدم تجربة مثيرة للاهتمام ويفتح فرصا جديدة له. يلفت انتباه المراقب إلى الحوادث الأمنية من خلال استخدام التصور. إن تزويد المراقبين بتصور ثلاثي الأبعاد بتفسيرات لونية يسهم في زيادة سرعة التحليل بجهد عقلي أقل [28] . في المقابل ، يسعى المراقبون إلى معرفة تفاصيل إضافية من أجل الحصول على المعرفة اللازمة بالأمان.

يسمح تصورنا للواقع المعزز (الشكل 17) لمستخدمي الهاتف المحمول باستخدام منصات متحركة شخصية لتصور التمارين الإلكترونية لفرق حمراء اللون (الهجوم / الدفاع).


شكل 17. مشروع العميل جزء من تصور الواقع المعزز

إنشاء تجربة حقيقة معزز يعزز قدرة المراقب على إدراك المعلومات [41] . وبالتالي ، بفضل المعلومات الصحيحة المحددة باستخدام AR-visualis ، تمكن المراقبون من معالجة كمية أكبر من البيانات واتخاذ قرارات أفضل تسهم في زيادة الأمان.

باستخدام كرات متعددة الألوان (الشكل 17) ، معربًا عن جوانب مختلفة من الهجوم ، يتم عرض هجوم كمبيوتر محاكي في الوقت الفعلي. من خلال التفاعل مع التصور التفاعلي AR ، يمكن للمستخدم فهم خصائص هجمات الكمبيوتر التي يقوم بها الفريق الأحمر.

5.6 تحجيم التصور ليناسب الشاشة

نظرًا للقيود المفروضة على المنصات المحمولة ، وكذلك بسبب الكم الهائل من البيانات التي يتم جمعها باستمرار ، هناك حاجة إلى أساليب خاصة للتصور من أجل تصور هجمات الكمبيوتر. رسم تخطيطي مع إحداثيات متوازية [9] ، [19] جعل من الممكن إنشاء تصميم مرئي ثلاثي الأبعاد يحتوي على كل حجم البيانات الضروري. في التين. يوضح الشكل 18 توزيع حركة مرور الشبكة مع بيانات الأمان بين طبقات التطبيق والنظام والشبكة.


الشكل 18. صورة متعددة الأبعاد للأحداث الأمنية باستخدام مخطط مع إحداثيات متوازية.

6 تقييم واختبار منصة SvEm

6.1 نموذج مفاهيمي SvEm

قمنا ببناء نموذج SvEm استنادًا إلى نتائج البحث العلمي في مجال تكنولوجيا الكمبيوتر وعلم النفس ، والذي تضمن تطبيق نهج متكامل لقياس الكفاءة للمكونات الرئيسية التالية:

• المستخدم
• التصور
• الإدراك المعرفي للمستخدم (إدراك المستخدم).

سمح لنا ذلك بتطوير نموذج مفاهيمي يأخذ في الاعتبار الخبرة التي اكتسبها المستخدمون في تصور حوادث الأمان. في التين. يوضح الشكل 19 نموذج SvEm ، الذي يتكون من جميع مكونات الكفاءة المذكورة أعلاه: المستخدم ، والتصور والعوامل ذات الصلة ، والتصور المعرفي للمستخدم.


شكل 19. نموذج SvEm الذي يوضح العلاقة بين مكونات "المستخدم" و "التصور" و "الإدراك المعرفي للمستخدم"

تحدد تقاطعات هذه المكونات الأنماط التي تميز أهداف استخراج معرفة السلامة من التصور.

في مركز نموذج SvEm هي آلية ينشأ بها الإدراك نتيجة للجمع بين الإدراك المعرفي والمستخدم والتصور . نتيجة الملاحظة التي أبداها المستخدم في عملية الإدراك ، تنشأ الطلبات على مستوى الاهتمام بالحد الأدنى الفرعي ( الاهتمام المسبق). في حالة مقارنة التصور للأحداث الأمنية ، تستخدم الجهود العقلية الناشئة عن المستخدم (المراقب) قدراته المعرفية ، التي تشارك في عملية التفكير. هذه العملية برمتها تخلق عبئا على ذاكرة المستخدم العاملة ، اعتمادا على تصور خاص للأحداث الأمن المقدمة. بالنظر إلى العلاقة بين المستخدم والتصور المعرفي للمستخدم والتصور ، تخلق طرق التصور الفعالة لدينا العلاقة النهائية بين المستخدم والتصور المقدم. نتيجة لذلك ، يتم تحديد التشويه و / أو الوقت . يحدث حدوث البصيرة SvEm عندما تتم مطابقة جميع مكونات نموذج SvEm ، وتعرف قيمة الجهد الذهني على أنها منخفضة ، مما يؤدي إلى تحويل ونقل المعلومات الصحيحة حول أحداث الأمان للمستخدم لمعالجة.

6.2 اختبار أداء منصة SvEm

اختبرنا أداء منصة SvEm في المجالات التالية:

• التصور التصور.
• أداء نقل البيانات بين الخادم وجزء العميل ؛
• تقييم رسم الخرائط المنشط المعرفي .

تم تنفيذ اختبار عرض التصور في مرحلة تطوير التطبيق. وتألفت في تصميم بنية عقد معالجة البيانات بناءً على معيار التصور الأمني ​​(SCeeVis). على سبيل المثال ، يتيح استخدام تقنية رسومات WebGL 3D لواجهة المستخدم إمكانيات جديدة للعرض المرئي التفاعلي عند معالجة كمية كبيرة من المعلومات. يسمح بنية التطبيق بمعالجة كمية أكبر من البيانات وتقديمها على جانب العميل.

في التين. 20 يُظهر تقديرات الأداء أثناء نقل البيانات.


شكل 20. VisualProgger تقييم أداء التطبيق

لتقييم الأداء ، تم تسجيل متوسط ​​وقت نقل البيانات (بالمللي ثانية) بواسطة الملفات القابلة للتنفيذ المختلفة (.exe) عند نقل البيانات من أنواع وأحجام مختلفة.

6.3 SvEm تقييم المستخدم

أثناء التقييم ، تم الحصول على الاستنتاج التالي: لكي يكون التصور فعالًا ، يكون الحمل على ذاكرة العمل حاسمًا بالنسبة لأداء القراءة العالية. لتقييم فعالية نظام SvEm ، تم استخدام استجابات المستخدم. ساعد معيار الألوان في تحسين تجربة المستخدم من خلال تمكينهم من معالجة أنماط السلوك بشكل أسرع عن طريق تصنيف العلاقات وتتبعها. إذا كان المستخدمون يعرفون معيار اللون ، فيمكنهم معالجة الارتباطات بين نقاط الأحداث بشكل أسرع من طريقة التصور ، والتي تستخدم سمات الأمان بدلاً من اللون.

إن دمج المنشطات المعرفية لـ SvEm في نظامنا الأساسي يوفر للمستخدمين آلية لجذب الانتباه أثناء تتبع أحداث الأمان. هذا يحفز تلقائيا القدرات المعرفية للمراقب ، مما يدفعه إلى مزيد من التفاعل مع التصور المقدم.

6.4 تقييم الحمل المعرفي

قدمت الأبحاث السابقة في مجال علم النفس مساهمة كبيرة في تدريب المستخدم ، والأدلة النظرية [7] ، [8] تحسين فهم الحمل المعرفي للمستخدمين. لتحديد العلاقة بين الإدراك والإدراك ومنصة SvEm ، استخدمنا مقاربة نفسية معروفة تتعلق بطريقة تحديد الحمل المعرفي وتحميل الذاكرة العاملة ، وكذلك مفهوم العلاقة بين إدراك المستخدم وعمليات الإدراك. تم تطبيق النهج في الحالات التي تمكن فيها وعي المستخدم من إدراك الأشياء (مثل صور العقد الأمنية) أثناء التفاعل مع تصور أحداث الأمان. وفقًا لذلك ، يمكن للمستخدمين التفكير في الكلمات الرئيسية ذات الصلة بالصور المقدمة لعُقد الأمان ، وبالتالي تحسين إدراكهم ، والذي يرتبط بدوره بالتجربة السابقة في التفاعل مع التصور. تم تنفيذ هذه العملية في الحادث الأمني ​​المقدم مع وجود حمل كبير على ذاكرة العمل.


شكل 21. مقارنة تقديرات الحمل المعرفي والحمل على الذاكرة العاملة في المراقبين

وهكذا ، أجرينا تجارب مختلفة مع المستخدم وحصلنا على النتائج التالية (الشكل 21). أظهرت التجربة ثبات أداء الحمل المعرفي والحمل على الذاكرة العاملة للمراقبين: مع زيادة الحمل على الذاكرة العاملة ، زاد الحمل المعرفي أيضًا ، لكنه أبقى على الحد. في التين. توضح الخطوط البالغ عددها 21 سطرًا أن كلا من الخصائص خطية وأن الحمل المعرفي له حد حمل ثابت (سعة) ، وبالتالي ، لا يتداخل مع حمل الأداء على الذاكرة العاملة . هذا هو الموقف المثالي للمستخدم (المراقب) عند تحليل تصورات الأحداث الأمنية.

6.5 نظام الكشف عن التهديدات

لتصفية البيانات التي تم جمعها باستخدام Progger ، تم استخدام خوارزميات التوقيع المعروفة للكشف عن الحالات الشاذة والبرامج الضارة. استنادًا إلى بيانات حقيقية ، اخترنا مؤقتًا الخوارزميات التالية التي تلبي توقعاتنا: عامل خارجي خارجي (LOF) [22] و DBscan [23] وجيران أقرب K (KNN) [25] . هذا سمح لنا باختبار أداء نظام تقييم الكشف عن التهديد. سيكون للعمل العادي درجة في المدى من 10 إلى 80 ، وسيتم التعبير عن السلوك غير الطبيعي كقيمة سلبية. وبالمثل ، يتم أيضًا فحص الملفات المشبوهة على الأنظمة استنادًا إلى قاعدة بيانات التوقيع المخزنة. في التين. 22 يظهر السلوك الطبيعي وغير الطبيعي والإدخالات الخبيثة.


شكل 22. نتائج نظام الكشف عن الشذوذ

بالإضافة إلى ذلك ، يساعد فحص الملفات الموجودة على النظام والحصول على سجل محفوظ مسبقًا في تحديد مسارات الملفات المعروفة. لذلك ، إذا ظهر ملف معروف أو مشبوه في مكان آخر ، فسيتم تمييزه تلقائيًا باللون الأصفر أو الأحمر.

قمنا بتحليل أداء نظامنا لتقييم التهديدات على مجموعات البيانات الحقيقية المعدة. تم استخدام عدة خوارزميات للكشف عن الشذوذ والتواقيع الخبيثة كمرشحات. لتقييم الحالات الشاذة والملفات الضارة ، يستخدم نظام التقييم الخاص بنا تطبيق Progger (آلية تسجيل الأحداث). تم اختيار نظام الألوان التالي لصورة الملفات المهمة: البيانات الضارة (اللون الأحمر) ، البيانات المشبوهة (اللون الأصفر) ، معلومات التشغيل التي يمكن تتبعها (اللون الأزرق) والبيانات الشرعية (اللون الأخضر).

7 الخاتمة

تقدم هذه المقالة مقاربة شاملة لتقييم فعالية النظام الأساسي لتصور أحداث الأمان ، مع الإشارة إلى الطرق التي تراعي الجوانب التقنية والخصائص النفسية للمستخدمين. تم تقديم نموذج مفاهيمي يوضح تفاعل مكونات " المستخدم " و " التصور " و " الإدراك الإدراكي للمستخدم " ، والذي يسمح للمرء بالحصول على تقديرات لفعالية تصورات الأحداث الأمنية وتحسينها. يتيح لك استخدام المنشطات المعرفية لـ SvEm زيادة تركيز انتباه المستخدمين وزيادة حجم انتباههم. قمنا بتصنيف منصة SvEm الخاصة بنا استنادًا إلى المنصات الحالية ومجموعات البيانات الأساسية.وبالتالي ، نؤكد أن المستخدمين يتعاملون جيدًا مع أعباء العمل المرتفعة ويتفاعلون بشكل فعال مع المرئيات المتقدمة من أجل الحصول على المعلومات اللازمة حول أحداث الأمان.

7.1 مجالات البحث الإضافية

في المستقبل ، نود إجراء تقييم إضافي لفعالية نظامنا الأساسي للمستخدمين من المجالات الأخرى (الرعاية الصحية ، والتعليم المالي ، وما إلى ذلك) ، وكذلك لتحليل كيفية تفاعلهم عند التفاعل مع المنصة.

8 شكر وتقدير

يود المؤلفون أن يشكروا مارك أ. ويل ، كاميرون براون ، مينا منغرو ، وأعضاء من الباحثين في الأمن السيبراني في وايكاتو (CROW Lab) ومساهمات المتدربين لدينا [أشعيا وونغ ، جيا تشنغ ييب ، وين ليانغ قوه ، شين لي يوان] من معهد نانيانغ بوليتكنيك في سنغافورة. يدعم هذا المشروع STRATUS ("تقنيات الأمان للشفافية والثقة وتوجيه المستخدم في توفير الخدمات السحابية") ( https://stratus.org.nz ) ، وهو مشروع استثمار علمي تموله وزارة الأعمال والابتكار والتشغيل في نيوزيلندا . (MBIE)). كما تم دعم هذا العمل جزئيًا بواسطة برنامج زمالة نيوزيلندا والمحيط الهادئ (NZAid).

9 مراجع إلى المصادر المستخدمة

1. ام اندرسون. حفظ الأمن في العالم: الإنتربول وسياسة تعاون الشرطة الدولية. Clarendon Press Oxford، 1989.

2. جيه إل كارلسون. Redis في العمل. Manning Publications Co.، Greenwich، CT، USA، 2013.

3. ك. تشودورو. MongoDB: الدليل النهائي: تخزين بيانات قوي وقابل للتوسعة. O'Reilly Media، Inc. ، 2013.

4. H. تشو و S. Franconeri. تعداد المجموعات الصغيرة ينتهك قانون webers. نشرة ومراجعة نفسية ، 21 (1): 93-99 ، 2014.

5. J. Congote و A. Segura و L. Kabongo و A. Moreno و J. Posada و O. Ruiz. التصور التفاعلي للبيانات الحجمية مع webgl في الوقت الفعلي. في وقائع المؤتمر الدولي السادس عشر لتكنولوجيا الويب ثلاثية الأبعاد ، الصفحات من 137 إلى 146. ACM ، 2011.

6. EOOD و M. Angelov. 20 أمثلة رائعة لتعلم WebGL مع Three.js ، نوفمبر. 2017

7. جيم فايرستون وبي جي شول. تعزيز الوعي البصري للأخلاق ومنامة؟ الإدراك مقابل الذاكرة في أعلى downeffects. الإدراك 136: 409-416 ، 2015.

8. جيم فايرستون وبي جي شول. لا يؤثر الإدراك على الإدراك: تقييم الأدلة للتأثيرات "من أعلى لأسفل". العلوم السلوكية والدماغية ، 39 ، 2016.

9. نعم Fua ، MO Ward ، و EA Rundensteiner. إحداثيات متوازية هرمية لاستكشاف مجموعات البيانات الكبيرة. في وقائع مؤتمر التصور "99: الاحتفال بعشر سنوات ، الصفحات 43-50. IEEE Computer Society Press، 1999.

10. J. Garae ، RK Ko ، J. Kho ، S. Suwadi ، MA Will ، و M. Apperley. تصور نيوزيلندا الأمن السيبراني التحدي لسلوكيات الهجوم. في Trustcom / BigDataSE / ICESS ، 2017 IEEE ، الصفحات 1123-1130. IEEE ، 2017.

11. ج. جاراي و RKL كو. التصور واتجاهات توفير البيانات في دعم اتخاذ القرار للأمن السيبراني ، الصفحات 243-270. Springer International Publishing، Cham، 2017.

12. ل. هاريسون ، ف. يانغ ، س. فرانكونري ، ور. تشانغ. ترتيب تصورات الارتباط باستخدام قانون ويبر. معاملات IEEE على التصور ورسومات الكمبيوتر ، 20 (12): 1943-1952 ، 2014.

13. MG هاسلتون ، د. نيتل ، ود. موراي. تطور التحيز المعرفي. كتيب علم النفس التطوري ، 2005.

14. جي هير ، أف بي فييجاس ، وماتنبرغ. المتنقلون والمشاركون: دعم التصور غير المتزامن للمعلومات التعاونية. في وقائع مؤتمر SIGCHI حول العوامل البشرية في أنظمة الحوسبة ، الصفحات 1029-1038. ACM ، 2007.

15. VAC هينمون. وقت الإدراك كمقياس للاختلافات في الأحاسيس. عدد 8. مطبعة العلوم ، 1906.

16. RV Hogg و AT Craig. مقدمة في الإحصاء الرياضي. (5 "" طبعة). Upper Saddle River ، نيو جيرسي: قاعة برنتيس ، 1995.

17. و. هوانغ ، ب. إيدس ، و س. هونج. قياس فعالية تصورات الرسم البياني: منظور الحمل المعرفي. تصور المعلومات ، 8 (3): 139-152 ، 2009.

18. JJ Imhoff و SP Cutler. الانتربول: توسيع نطاق تطبيق القانون في جميع أنحاء العالم. FBI L. Enforcement Bull. ، 67:10 ، 1998.

19. A. Inselberg و B. Dimsdale. إحداثيات موازية لتصور الهندسة متعددة الأبعاد. في رسومات الحاسوب 1987 ، الصفحات 25-44. سبرينغر ، 1987.

20. م. كاي وجي هير. ما وراء قانون ويبر: نظرة ثانية على تصنيف تصورات الارتباط. معاملات IEEE على التصور ورسومات الكمبيوتر ، 22 (1): 469-478 ، 2016.

21. RK Ko و MA Will. Progger: مسجّل kernelspace فعال واضح للعبث لتتبع مصدر بيانات السحابة. في الحوسبة السحابية (CLOUD) ، 2014 المؤتمر الدولي IEEE السابع في ، الصفحات 881-899. IEEE ، 2014.

22. أ. لازاريفيتش ، ل. إرتوز ، ف. كومار ، أ. أوزغور ، و ج. سريفاستافا. دراسة مقارنة لأنظمة الكشف عن الحالات الشاذة في كشف التسلل الشبكي. في وقائع المؤتمر الدولي SIAM لعام 2003 بشأن استخراج البيانات ، الصفحات 25-36. صيام ، 2003.

23. ك. ليونج و سي ليكي. كشف الشذوذ غير الخاضع للرقابة في كشف التسلل باستخدام الشبكات. في وقائع المؤتمر الثامن والعشرين الأسترالي حول علوم الحاسوب - المجلد 38 ، الصفحات 333 - 342. جمعية الكمبيوتر الأسترالية ، 2005.

24. YK Leung و MD Apperley. E3: نحو قياس تقنيات العرض الرسومية لمجموعات البيانات الكبيرة. في المؤتمر الدولي حول التفاعل بين الإنسان والحاسوب ، الصفحات 125-140. سبرينغر ، 1993.

25. Y. Liao و VR Vemuri. استخدام k- أقرب مرشح classi المجاورة للكشف عن التسلل. أجهزة الكمبيوتر والأمن ، 21 (5): 439-448 ، 2002.

26. PE McKight و J. Najab. اختبار كروسكال واليس. موسوعة كورسيني لعلم النفس ، 2010.

27. ت. أوكوشي ، ج. راموس ، هـ. نوزاكي ، ج. ناكازاوا ، إيه كيه داي ، و هـ. توكودا. Attelia: تقليل الحمل المعرفي للمستخدم بسبب إخطارات المقاطعة على الهواتف الذكية. في انتشار الحوسبة والاتصالات (PerCom) ، مؤتمر IEEE الدولي لعام 2015 ، الصفحات 96-104. IEEE ، 2015.

28. ت. أولسون ، إ. لاغرستام ، ت. كارككاينن ، و ك. في آنانسانين-فاينيو ماتيلا. تجربة المستخدم المتوقعة لخدمات الواقع المعزز للهاتف المحمول: دراسة للمستخدم في سياق مراكز التسوق. الحوسبة الشخصية في كل مكان ، 17 (2): 287-304 ، 2013.

29. ¨ O. zOzt¨urk و DA Wolfe. مجموعة مُحسَّنة مُصنَّفة من اختبار عينة من مانويتيني ويلكوكسون. المجلة الكندية للإحصاء ، 28 (1): 123-135 ، 2000.

30. F. Paas، JE Tuovinen، H. Tabbers، PW Van Gerven. قياس الحمل المعرفي كوسيلة لدفع نظرية الحمل المعرفي. عالم نفسي تربوي ، 38 (1): 63–71 ، 2003.

31. ت. باريزي. WebGL: التشغيل والتشغيل O'Reilly Media، Inc. ، 2012.

32. P. Pirolli و S. Card. عملية الاستشعار عن بعد ونقاط النفوذ لتقنية المحلل قابلة للتحديد من خلال تحليل المهام المعرفية. في وقائع المؤتمر الدولي حول تحليل الاستخبارات ، المجلد 5 ، الصفحات 2-4 ، 2005.

33. RA Rensink و G. Baldridge. تصور العلاقة في scatterplots. في Computer Graphics Forum ، المجلد 29 ، الصفحات 1203-1210. مكتبة Wiley Online ، 2010.

34. P. Saraiya ، C. North ، و K. Duca. منهجية تستند إلى البصيرة لتقييم تصورات المعلوماتية الحيوية. معاملات IEEE على التصور ورسومات الكمبيوتر ، 11 (4): 443-456 ، 2005.

35. P. Saraiya و C. North و V. Lam و KA Duca. دراسة طولية قائمة على التحليلات البصرية. معاملات IEEE على التصور ورسومات الكمبيوتر ، 12 (6): 1511-1522 ، 2006.

36. EW Weisstein. تصحيح بونفروني. 2004

37. م. فيرتهايمر. مقدمة موجزة عن الجشطالت ، وتحديد النظريات والمبادئ الرئيسية. Psychol Forsch ، 4: 301-350 ، 1923.

38. دا ويلر و GN لارسن. تقنيات لإسناد الهجوم السيبراني. تقرير فني ، معهد تحليلات الدفاع ، الإسكندرية ، 2003.

39. جيه آر ويلسون وجي كارتر. العقدة. شبيبة الطريق الصحيح: جافا سكريبت العملية من جانب الخادم التي تحجيم. رف الكتب العملي ، 2013.

40. JS Yi ، Y.-a. Kang و JT Stasko و JA Jacko. فهم الرؤى وتوصيفها: كيف يكتسب الأشخاص رؤى باستخدام تصور المعلومات؟ في وقائع ورشة العمل لعام 2008 حول وقت وأخطاء BEyond: أساليب evaLuation الجديدة لتصور المعلومات ، صفحة 4. ACM ، 2008.

41. F. Zhou، HB-L. دوه ، وم. بيلينغهرست. الاتجاهات في تتبع الواقع المعزز والتفاعل والعرض: مراجعة لعشر سنوات من ismar. في وقائع الندوة الدولية IEEE / ACM السابعة حول الواقع المختلط والمعزز ، الصفحات 193-202. IEEE Computer Society ، 2008.

حول مؤلفي المقال



جيفري غاري ،



ريان كو ، دكتوراه ، طالب دراسات عليا في مختبر الأمن السيبراني ، قسم علوم الحاسب ، جامعة ويكاتو ، نيوزيلندا



مارك مارك أبرلي (مارك أبيرلي) ، دكتوراه ، رئيس قسم علوم الكمبيوتر ، جامعة وايكاتو (نيوزيلندا)

المصطلحات والتعاريف المستخدمة في المقال

الانتباه هو تركيز الجهد العقلي على الأحداث الحسية أو العقلية. (روبرت سولسو - علم النفس المعرفي)

التصور هو نتيجة شائعة لما يأتي من خلال نظامنا الحسي وما نعرفه بالفعل عن العالم من خلال التجربة. (Robert Solso - علم النفس المعرفي) الوضوح

البصري - رسم تم إنشاؤه خصيصًا أو تم اختياره (رسومات تخطيطية ، جداول) ، أدوات فنية ومرئية (رسومات ، نسخ) ، وسائل (كائنات بيئية) طبيعية مصممة للإدراك البصري ، تستخدم كوسيلة مراقبة وتقييم نشاط الموضوع في عملية الاختبار.

تحميل المعرفي (الإدراكي تحميل)

1. بنية متعددة الأبعاد تحدد كيفية تأثير الحمل على الطلاب في أداء مهام معينة. (Paas F. et al. "قياس الحمل المعرفي كوسيلة لتعزيز نظرية الحمل المعرفي // علم النفس التربوي. - 2003. - T. 38. - رقم 1. - P 63-71)

2. عدد العلامات المحددة في الفحص الأولي.

التحيزات المعرفية (التحيز المعرفي) - الخطأ المنهجي في الحكم (الكسندروف AA العلاج النفسي التكاملي).

تركيزات من الاهتمام (مدى اهتمام) - واحدة من الخصائص من الاهتمام، وتعكس درجة أو شدة هذا الموضوع التركيز على أداء أي نشاط أو في أي موضوع (علم النفس البشري من الولادة إلى الموت - SPB.: PRIME - علامة أوروبا ، حرره أ. أ. ريان ، 2002.)

البصيرة / البصيرة / التنوير (البصيرة) - نظرة بديهية على جوهر المهمة. (روبرت سولسو - علم النفس المعرفي)

الاهتمام دون الحد الأدنى (ما قبل اليقظة) - التعرف اللاواعي للمنبهات على شاشة العرض بسرعة أقل من 200 مللي ثانية. (http://humanoit.ru/blog/166)

جهد عقلي (جهد عقلي) - جانب من جوانب الحمل المعرفي، والذي يشير إلى المعرفية، التي تم تخصيصها بالفعل لتلبية مطالب المهمة؛ وبالتالي ، يمكننا أن نفترض أنه يعكس الحمل المعرفي الفعلي. يتم قياس الجهد العقلي بينما يعمل المشاركون في البحث على مهمة ([40])

تصور تاريخ الأصل(تصور الأصل) - تعيين المصادر استنادًا إلى كمية البيانات الكبيرة التي يتم جمعها.

تتبع التصور (إسناد التصور) - عرض المسار بين الأهداف المصدر والهجوم.

الوقت الاحتفاظ (عقد شبه دائم) - منشط المعرفي، هو سمة المتحركة التي تسمح لك لإخفاء الملفات الأكثر أهمية (المشبوهة) مؤقتا لمدة لا تقل عن 3 ثوان لجذب انتباه المشاهد.

المنشط المعرفي ( المنشط المعرفي) - آلية لجذب انتباه المستخدم أثناء تتبع أحداث الأمان. حمل الذاكرة

العاملة هو جهد يعتمد على تقديرات مؤقتة للذاكرة العاملة.

تتبع / الإسناد(الإسناد) - عملية تحديد هوية و / أو مكان المهاجم أو الوسيط الذي يتصرف من خلاله.

تعليق دائم ( تعليق دائم) - منشط إدراكي ، وهو مؤشر لون ثابت للملف ، يشير إلى ملف ضار (مشبوه).