Hallo Habr! Wir präsentieren Ihnen eine Übersetzung des Artikels " Ein umfassender Ansatz zur Messung und Präsentation der Wirksamkeit der Sicherheitsvisualisierung ".


Vom Autor der Übersetzung

Die Visualisierung bietet Experten eine unschätzbare Unterstützung, um Schlussfolgerungen und Wissen über den Forschungsgegenstand zu erhalten, insbesondere wenn diese Forschung mit der Verarbeitung einer großen Datenmenge verbunden ist. Gleichzeitig ist die Wahl der Visualisierungsmethoden in der Regel kreativ und auf der Grundlage quantitativer Schätzungen keine vernünftige Wahl. Der Artikel versucht, quantitative Schätzungen der Visualisierung zu erhalten.

Darüber hinaus ist zu beachten, dass dem Studium der Visualisierung in russischsprachigen Quellen wenig Aufmerksamkeit geschenkt wird. Die im Artikel beschriebenen Studien befinden sich an der Schnittstelle mehrerer Wissensbereiche: Informationssicherheit, Psychologie, Datenwissenschaft, wodurch der Leser sich mit bisher unbekannten Themen vertraut machen kann. Interessant ist auch eine umfangreiche Bibliographie zum Studium der Visualisierung.

Die im Text des Artikels verwendeten Hauptbegriffe sind kursiv markiert und für sie ist die Bedeutung des Fremdbegriffs in Klammern angegeben. Definitionen solcher Begriffe finden Sie nach dem Text des Artikels.

Anmerkung

Was macht eine visuelle Darstellung von Sicherheitsereignissen effektiv? Wie messen wir die Effektivität der Visualisierung im Kontext des Studierens, Analysierens und Verstehens von Nachrichten über Informationssicherheitsvorfälle? Das Erkennen und Verstehen von Computerangriffen ist nicht nur auf technischer Ebene, sondern auch auf der Ebene der Verwaltung von Sicherheitsrichtlinien von entscheidender Bedeutung für die Entscheidungsfindung. Unsere Studie deckt beide Themen ab und ergänzt unser System / unsere Plattform zur Bewertung der Wirksamkeit der Visualisierung von Sicherheitsereignissen (SvEm). Sie bietet einen umfassenden Ansatz zur Bewertung der Wirksamkeit sowohl theoretischer als auch benutzerorientierter Visualisierungsmethoden. Durch die Verwendung einer interaktiven dreidimensionalen Visualisierung können wir mit unserer SvEm-Plattform die Effizienz sowohl eines Benutzers als auch mehrerer Benutzer während ihrer gemeinsamen Arbeit steigern. Wir haben Leistungsindikatoren wie visuelle Klarheit, Sichtbarkeit, Verzerrungsrate und Reaktionszeiten der Benutzer (Anzeige) untersucht.

Hauptkomponenten der SvEm-Plattform sind:

• Größe und Auflösung des Displays des Mobilgeräts;
• Entität von Sicherheitsvorfällen;
• kognitive Aktivatoren von Benutzerwarnungen;
• Bedrohungsbewertungssystem;
• Laden des Arbeitsspeichers (Laden des Arbeitsspeichers);
• Farbmanagement.

Um unsere Plattform für eine umfassende Bewertung der Wirksamkeit der Visualisierung von Sicherheitsereignissen zu evaluieren, haben wir (unter Verwendung von Web- und Mobiltechnologien) die VisualProgger-Anwendung zur Visualisierung von Sicherheitsereignissen in Echtzeit entwickelt. Schließlich zielt die SvEm-Visualisierung darauf ab, die Aufmerksamkeitsspanne der Benutzer zu erhöhen, indem eine konstante kognitive Belastung bereitgestellt und gleichzeitig das Arbeitsgedächtnis des Beobachters erhöht wird. Die Visualisierung von Sicherheitsereignissen bietet dem Benutzer wiederum die Möglichkeit, einen Einblick in den Status der Informationssicherheit zu erhalten. Unsere Einschätzung zeigt, dass Beobachter mit Vorkenntnissen ( Belastung des Arbeitsgedächtnisses ) von Sicherheitsereignissen besser arbeiten und dass die zirkuläre Visualisierung die Aufmerksamkeitskonzentration des Benutzers besser anzieht und aufrechterhält. Diese Ergebnisse ermöglichten es uns, Bereiche für zukünftige Forschungen zu identifizieren, die sich auf die Bewertung der Wirksamkeit der Visualisierung von Sicherheitsereignissen beziehen.

Inhaltsverzeichnis

1 Einleitung
2 Hintergrund und Studienbereich
3 Verwandte Arbeiten
3.1 Methoden zur Bewertung visueller Darstellungen von Informationen
3.2 Bewertungsmethode: Rangfolge visueller Darstellungen von Korrelationen
3.3 Grafische Methoden
3.4 Wahrnehmungsfehler in Visualisierungen
3.5 Konzepte von Erkenntnis, Wahrnehmung und Einsicht in die Visualisierung
4 SvEm-Plattformdiagramm
4.1 Architektur der Serverseite des Systems
4.2 Technische Aspekte der Visualisierung von Sicherheitsereignissen
4.3 Entitäten, Beziehungen und Bereiche von Sicherheitsvorfällen
4.4 Farbstandard für Security Imaging
4.5 Kognitive Anforderungen an die Sicherheitsvisualisierung
5 Ergebnisse: Sicherheitsvisualisierungsplattform
5.1 SvEm-Theorie
5.2 Datenfluss
5.3 Beispiel 1. Anwendung für die Zusammenarbeit mit der Visualisierung von Sicherheitsereignissen in Echtzeit
5.4 Beispiel 2. Visualisierung der Locky Ransomware
5.5 Beispiel 3. Effektive Interaktion mit Augmented Reality Visualisierung
5.6 Skalieren der Visualisierung, um sie an das Display anzupassen
6 Evaluierung und Test der SvEm-Plattform
6.1 SvEm-Konzeptmodell
6.2 Testen der Leistung der SvEm-Plattform
6.3 SvEm-Benutzerbewertung
6.4 Bewertung der kognitiven Belastung
6.5 Bedrohungserkennungssystem
7 Fazit
8 Danksagung
9 Verweise auf verwendete Quellen

1 Einleitung

Sicherheitsvisualisierungen erweisen sich als nützlich, um eine Vorstellung vom Sicherheitszustand zu erstellen. Wie effektiv sind sie jedoch? Hilft die Visualisierung bei der Entscheidungsfindung in einer kritischen Situation oder lenkt sie nur die Aufmerksamkeit ab? Diese Studie liefert die Grundlage für die Bewertung der Wirksamkeit und Entwicklung visueller Darstellungen im Bereich der Informationssicherheit.

Unser Hauptaugenmerk liegt auf der Verbesserung der SvEm-Plattform [11] durch eine umfassende Bewertung der Wirksamkeit visueller Darstellungen von Sicherheitsereignissen in jeder Phase der Visualisierungswahrnehmung. Es wird davon ausgegangen, dass der Leser bereits ein Verständnis für Visualisierung im Bereich der Informationssicherheit hat.

Wir betrachten die Probleme der Produktivität von Datenverarbeitungsprozessen, der visuellen Klarheit sowie der bequemen Nutzung der Funktionen der interaktiven Benutzerarbeit mit Daten. Um die Effektivität der Visualisierung von Sicherheitsereignissen zu messen, ist eine umfassende Bewertung sowohl der Web- als auch der mobilen Plattformen sowie der Reaktionszeit der Benutzer bei der Interaktion mit ihnen erforderlich.

In dem Moment, in dem der Benutzer mit einer visuellen Darstellung von Sicherheitsereignissen interagiert, sind wir zum einen daran interessiert zu verstehen, wie die Visualisierung die Aufmerksamkeit des Benutzers am schnellsten erregen kann, und zum anderen, wie die Konzentration seiner Aufmerksamkeit gemessen werden kann . Dies erfordert die Überwachung der Wirksamkeit der kognitiven Belastung des Benutzers und der Belastung seines Arbeitsspeichers . Die Visualisierung ist am effektivsten, wenn die kognitive Belastung abnimmt und die Belastung des Arbeitsspeichers zunimmt.

2 Hintergrund und Studienbereich

In den meisten wissenschaftlichen Studien zur Erforschung von Visualisierungsplattformen und der Benutzeroberfläche bedeutet der Begriff der Effizienzsteigerung eine Steigerung der Produktivität durch Verkürzung der Zeit, die erforderlich ist, um aussagekräftige Ergebnisse zu erzielen. In dem Artikel für die von uns entwickelte Plattform wird das Konzept der "Effektivität" mit der Visualisierung von Sicherheitsereignissen als ganzheitlicher und integrierter Ansatz verbunden, der die Wahrnehmung wesentlicher Informationen als Ergebnis der Benutzerinteraktion mit der Visualisierung vereinfachen soll.

In diesem Artikel messen wir die Effektivität des gesamten Sicherheitsvisualisierungsprozesses: sowohl des Grafikanzeigeprozesses als auch des Benutzerinteraktionsprozesses. Wir sind auch zuversichtlich, dass die Visualisierung von Sicherheitsereignissen eine automatisierte Datenanalyse erleichtert und nützliche Informationen aus Rohdaten über Sicherheitsereignisse (Netzwerkangriffe) erhält. Visuelle Darstellungen von Sicherheitsereignissen zeigen klar und dynamisch die Sicherheitsvorfälle der Benutzer sowie die Beziehung der Vorfälle zueinander [14] . Interaktivität weckt das Interesse des Benutzers, die erforderlichen Interaktionen mit Visualisierungen durchzuführen, um eine Vorstellung vom Raum für Computerangriffe zu erhalten. Die Visualisierung erleichtert auch die Verarbeitung großer Datenmengen und die Visualisierung von Trends und Modellen.

Es gibt jedoch Probleme bei der Darstellung von Informationen und der Leistung. In diesem Artikel wird daher die Effektivität der Prozesse zur Visualisierung von Sicherheitsereignissen gemessen. Unsere Studie stellt eine Verbindung zwischen dem kognitiven Wissen der Benutzer und der Plattform zur Messung der Wirksamkeit der Sicherheitsvisualisierung [SvEm ] [11] her . Unser Ansatz zur Messung der Effektivität umfasst die Phasen Planung, Design, Implementierung, Bewertung, Validierung und Interaktion mit dem Benutzer (Zielgruppe).

Im nächsten Abschnitt betrachten wir die Ergebnisse bestehender Forschungen zur Messung der Wirksamkeit der Visualisierung. Anschließend diskutieren wir die Ergebnisse der Entwicklung der SvEm-Plattform. Abschließend präsentieren wir Anweisungen für die zukünftige Forschung.

3 Verwandte Arbeiten

Während Benutzer Visualisierungsmethoden basierend auf ihren individuellen Vorlieben und Bedürfnissen auswählen, muss die Wirksamkeit solcher Methoden bewertet werden. Moderne Ansätze [11] , [12] , [17] , [40] verwenden Indikatoren wie Benutzerleistung, Klarheit, Bildqualität / Verzerrungsrate und Wahrnehmungsbewertung ( Wahrnehmungsbewertung), ein Maß für die Messung der Visualisierungskorrelation, ein Maß für die Gehirnaktivität (Messung der Gehirnaktivität) und wie gut die Visualisierung übereinstimmt. Betrachten Sie die verfügbaren Quellen genauer.

3.1 Methoden zur Bewertung visueller Darstellungen von Informationen

Die meisten Bewertungsmethoden berücksichtigen nur die technischen Aspekte der Bilder wie Sichtbarkeit und Erkennung. Am meisten bevorzugt sind jedoch visuelle Darstellungen, die Beobachter anziehen und in der Lage sind, die Essenz der Informationen unabhängig zu vermitteln, ohne dass weitere Erläuterungen erforderlich sind. Dies ist das am meisten erwartete Ergebnis für die meisten Künstler und Visualisierungsexperten. Die Basis, die sowohl in der Visualisierung als auch bei den Benutzern vorhanden ist, weckt kognitive Fähigkeiten, die Effizienzmechanismen auslösen. Um die Effizienz zu verbessern, sind daher einige Bewertungsmethoden erforderlich, um die Visualisierung zu verbessern.

3.2 Bewertungsmethode: Rangfolge visueller Darstellungen von Korrelationen

Der Ansatz, der in Schulungsübungen zu Datensätzen erfolgreich angewendet wird, wird normalerweise verwendet, um wissenschaftliche Schätzungen zu Produktivität, Transparenz und Integrität zu erhalten. Harrison in [12] zeigte die Möglichkeit, das Weber-Gesetz [4] [15] und das Wahrnehmungsgesetz [15] für die Ranking-Korrelationsvisualisierung [20] anzuwenden. Andere Ansätze berücksichtigen die Korrelation von Training und besten Datensätzen, die anhand von Streudiagrammen und Parallelkoordinatendiagrammen dargestellt werden [33] . Neuere psychologische und kognitive Studien [15] haben gezeigt, dass die Wahrnehmungsgesetze [20] angewendet werden können, um die Wahrnehmungen von Menschen in der Visualisierung unter Berücksichtigung bestimmter Dateneigenschaften zu modellieren. Rensink demonstrierte die Verwendung des Weberschen Gesetzes [33] bei der Erstellung des Weber-Fit-Modells [12] . Diese Studien behaupten, dass es eine Beziehung zwischen Menschen und den präsentierten Daten gibt. Die menschliche Wahrnehmung kann zwischen Beziehungen und objektiven Unterschieden in korrelierten Daten unterscheiden. Diese Aussage wird durch die folgende lineare Beziehung ausgedrückt:

$$

$$dp = k \ frac {dS} {S}$$

wo

$$$dp$ - unterschiedliche Veränderungen in der Wahrnehmung;

$$$k$ - experimentell erhaltene relative Schwelle (Weberfraktion);

$$$dS$ - unterschiedliche Zunahme der Datenkorrelation.

Eine Reihe statistischer Studien [12] wurden anhand von Rangkriterien durchgeführt:

• Kruskal-Wallis-Test [26] zur Beurteilung der Beziehung zwischen Visualisierung und Korrelationen;
• Wilcoxon-Mann-Test [16] , [29] Kriterium zum Vergleich von Visualisierungspaaren;
• Bonferroni-Korrektur [36] zur Lösung des Problems mehrerer Vergleiche und zur Reduzierung von Fehlalarmen.

Obwohl sich diese Methode zur Einstufung der Visualisierung von Korrelationen als effektiv erwiesen hat, ist sie für diese Arbeit nicht relevant.

3.3 Grafische Methoden

Abb. 1. Schema der Plattform E ³

Die meisten mit dem Internet verbundenen Geräte können protokolliert werden, was eine schnelle Datenerfassung ermöglicht. Daher sind spezielle Methoden zur Darstellung von Informationen aus Datensätzen erforderlich. Betrachten Sie zum Beispiel die von Leung K. I und Upperley D. Mark [24] entwickelte grafische Plattform zur Darstellung großer Datensätze E ³ . Mit der Analyseplattform E ³ können Sie verschiedene Arten der Datenpräsentation unter Berücksichtigung des Datenvolumens vergleichen. Mithilfe von Schlüsselmerkmalen wie Ausdruckskraft, Effizienz und Effektivität können Sie die Genauigkeit der Präsentation und die Wahrnehmungsaufgabe bewerten. In Abb. 1 zeigt ein Diagramm der E ³ -Plattform, auf dem die Schlüsselkomponenten und ihre Beziehungen zu den Entwurfsphasen eines Präsentationssystems für große Datenmengen markiert sind.

3.4 Wahrnehmungsfehler in Visualisierungen

Eine andere übliche Methode zum Messen der Visualisierung umfasst das Berechnen einer Fehlerrate zum Messen der Bildqualität oder -verzerrung. In Abb. Abbildung 2 zeigt die Struktur des Projekts, einschließlich der Phasen Vorverarbeitung, Filterung, Kanaltrennung und Kombination von Fehlern.


Abb. 2. Schema eines Projekts zur Bewertung der Fehlerempfindlichkeit

In diesem Modell wird die Bildqualität durch visuelle Klarheit und Bildverzerrung bewertet. Durch Vorverarbeitung und Filterung werden die Ergebnisse der Qualitäts- / Verzerrungsmessung verbessert (die leicht von einem zum anderen konvertiert werden können).

3.5 Konzepte von Erkenntnis, Wahrnehmung und Einsicht in die Visualisierung

In der Psychologie basiert die Messung der Wirksamkeit der Visualisierung auf Einschätzungen der Kognition (Wahrnehmung), Wahrnehmung (Wahrnehmung), Konzentration der Aufmerksamkeit und Arbeitsbelastung auf das Arbeitsgedächtnis einer Person. Die rationale Beziehung zwischen der kognitiven Fähigkeit des Benutzers und der Belastung des Arbeitsgedächtnisses kann anhand der Bewertung der mentalen Anstrengungen (mentale Anstrengung) bestimmt werden (Abb. 3). Eine ideale Benutzerbewertung, bei der die Lesegeschwindigkeit hoch und die mentale Anstrengung gering ist, liegt beispielsweise in Bereich A (Abb. 3) [30] .


Abb. 3. Die Wirksamkeit geistiger Anstrengung [30]

Dies bedeutet auch, dass die Belastung des Arbeitsspeichers des Benutzers hoch ist. Die Benutzerforschung hat Werkzeuge zur Bewertung der kognitiven Belastung [17] bereitgestellt, insbesondere Methoden zur Bewertung der mentalen Anstrengung und Produktivität , die mit der Visualisierungseffizienz verbunden sind.

Untersuchungen [40] , [34] , [35] von InfoVis zeigten die Möglichkeit, Erkenntnisse als Maß für die Technologiebewertung zu verwenden. Die Beleuchtung [40] ist definiert als ein Maß für ein genaues und tiefes Verständnis von etwas, dh eine Maßeinheit für die Entdeckung. Die Beleuchtung erfolgt häufig nicht im Rahmen der Lösung speziell zugewiesener Aufgaben, sondern ist in der Regel ein Nebenprodukt der Forschung ohne das ursprüngliche Ziel, Einsicht zu erlangen.

Der Sensemaking-Prozess [32] spielt auch eine wichtige Rolle bei der Bestimmung von Einsichten [32] , obwohl das in dieser Arbeit verwendete Modell „Informationsschema-Einsichtsprodukt“ Einsicht als Komponente enthält.

Wenn wir die Ergebnisse ähnlicher Arbeiten zusammenfassen, sehen wir, dass die Bewertung der Wirksamkeit der Visualisierung nicht nur die Technologie betrifft, sondern auch die Person, die die Visualisierung verwendet. Nachdem wir in diesem Abschnitt die Schlüsselbereiche im Zusammenhang mit der Visualisierungseffizienz untersucht haben, haben wir nun ein klares Verständnis für den Ort der realen Forschung in der Visualisierungsbewertungsmethode. Unsere Plattform beschränkt sich jedoch auf die Visualisierung im Bereich der Informationssicherheit im Zusammenhang mit der Bewertung der Messeffizienz in Bezug auf Betriebsinformationen zu Sicherheitsvorfällen.

4 SvEm-Plattformdiagramm

Eine wichtige Phase ist die Entwurfsphase, um eine Plattform zu implementieren, die die Effektivität der Visualisierung von Sicherheitsereignissen bewertet. Daher stellen wir in diesem Abschnitt die Designlösung unserer Plattform vor. Die Plattform zur Leistungsbewertung der SvEm-Sicherheitsvisualisierung besteht aus den folgenden Komponenten: der Arbeitsfläche eines mobilen Displays, Objekten für Sicherheitsvorfälle, Benutzerwarnereignissen, einem Bedrohungsbewertungssystem, RAM-Laden und einer Farbmanagementkomponente. Diese Komponenten werden unten diskutiert.

4.1 Architektur der Serverseite des Systems

Die Infrastruktur des Serverteils der SvEm-Plattform zur Visualisierung von Sicherheitsereignissen unterstützt sowohl statische als auch dynamische (Echtzeit-) Visualisierungsskripte. Es verwaltet alle Analyseprozesse, die bei der Arbeit mit der Datenbank sowie bei der Zusammenstellung und Aggregation von Informationen auftreten. Die Architektur unseres Systems basiert auf den folgenden Technologien: Windows Progger (Protokollierungstool), Redis, MongoDB, Nodejs und WebGL. Windows Progger (Linux Progger-Version für Windows [21] ) ist ein Protokollierungstool auf Systemebene (Kernel-Ebene), das derzeit mit Schwerpunkt auf Sicherheit in Computer- und Cloud-Systemen entwickelt wird.Redis [2] erleichtert die Verbindung zwischen dem Cache und der Datenbank für Windows Progger und mongoDB. Alle Daten werden dauerhaft in mongoDB gespeichert [3] , während NodeJS [39] und webgl [5] , [31] , die Komplexität der Schnittstellen Client - Teil Visualisierungsplattform reduziert.

Die Architektur des Serverteils wird unter Berücksichtigung der Merkmale des Datenverarbeitungsprozesses bei der Verwaltung des Speichers entworfen. Vorverarbeitete Daten werden als Ergebnis eines Visualisierungsskripts erstellt. Beispielsweise wird in Echtzeit eine Aufzeichnung im Kernelprotokoll des Computersystems erstellt, um die Quellen für das Erstellen, Ändern und Löschen von Dateien zu verfolgen und zu visualisieren .

Darüber hinaus werden die Daten standardisiert, um die Wirksamkeit von Sicherheitsvisualisierungen auf Web- und mobilen Plattformen zu bewerten. Die Anforderungen an Web- und Mobilgeräte bieten eine effektive Lösung für die Probleme beim Abfragen, Verarbeiten, Analysieren, Rendern und Skalieren von Daten, die im Interesse der Visualisierung von Sicherheitsereignissen gelöst werden. In Abb. Abbildung 4 zeigt die grundlegenden Tools und Bibliotheken, die zum Hosten der Serverseite der SvEm-Sicherheitsvisualisierungsplattform erforderlich sind.


Abb. 4. Die Architektur der Serverseite von SvEm.

Beim Entwerfen der Plattform müssen viele Funktionen der Anwendung berücksichtigt werden, zu denen auch die Gewährleistung der Sicherheit, die Datenverarbeitungsleistung und die Visualisierung der Visualisierung gehören. Diese Aufgaben für unsere Plattform sind die Hauptaufgaben.

4.2 Technische Aspekte der Visualisierung von Sicherheitsereignissen

Bei der Entwicklung visueller Darstellungen müssen die Abmessungen des Mobilgeräts berücksichtigt werden. Beispielsweise erfordern Anzeigebeschränkungen von 1920 x 1080 Pixel für das iPhone 6s Plus mit einer Höhe von 122 mm und einer Breite von 68 mm (Abb. 5) die Anzeige von Steuerelementen in einer visuellen Darstellung.


Abb. 5. Anzeigeparameter des Mobilgeräts Die

Steuerelemente enthalten Elemente zur Regulierung des Volumens der verarbeiteten Daten, zur Auswahl der Visualisierungsmethode und der Visualisierungstypen, die am besten zur Bildschirmgröße passen.

Ein klares Verständnis dieser Einschränkungen ermöglicht es Entwicklern der Visualisierung von Sicherheitsereignissen, die Möglichkeit einer mehrdimensionalen und / oder kreisförmigen Anzeige zu berücksichtigen. Solche Projekte ermöglichen die Einbeziehung einer großen Anzahl von Datenattributen für Sicherheitsvorfälle.

4.2.1 Imaging - Projekt - Tracking (Zuschreibung Visualisierung Design)

Der Prozess des Tracking (Zuschreibung) [38] in dem Informationssicherheitskontext mit der Definition von Computer - Angriff Quelle zugeordnet. Bei der Visualisierung von Sicherheitsereignissen ist das Bild dieses Prozesses eine ziemlich komplizierte Aufgabe. Ein ausreichender Satz von Eingabedaten und ein klares Verständnis des Verfolgungsprozesses sind erforderlich . Unser Tracking- Projekt zielt darauf ab, einen Weg zwischen der Quelle und den Zielen des Angriffs zu finden. Der Schwerpunkt liegt auf der Identifizierung der Quelle des Computerangriffs, da sich die meisten Flugbahnpunkte auf die Opfer beziehen. Trotz unseres Tracking- Visualisierungsprojekts , das auf realen Angriffsdaten basiert, ist es unmöglich, den Tracking- Prozess vollständig zu visualisieren.. Aus diesem Grund bieten wir eine Reihe von Vorlagen für die prädiktive Analyse an, mit deren Hilfe Punkte zwischen wichtigen Angriffskennungen verbunden werden können, um sie mithilfe der Visualisierung von einer höheren Ebene aus zu verfolgen.

4.2.2 bewährtes Visualisierungsdesign

Ein weiteres wichtiges Merkmal der Plattform ist die effiziente Anzeige von Quellen basierend auf der großen Menge der gesammelten Daten. Eine große Datenmenge wird in eine Visualisierung für mobile Plattformen umgewandelt, wobei die Notwendigkeit einer Skalierung und ein begrenzter Arbeitsbereich des Bildschirms berücksichtigt werden.

Unsere Plattform verwendet Tracking- Visualisierungsprojekte und -quellen mit einer kurzen Zusammenfassung der Daten, um Benutzer auf Sicherheitsereignisse aufmerksam zu machen. Die Zuordnung von Quellen ist für Sicherheitsexperten und Endbenutzer von entscheidender Bedeutung, um mit der Situation Schritt zu halten. In Abb.Abbildung 6 zeigt ein Projekt zur Visualisierung von Quellen mit Informationen zu Zeitpunkt, Art und Quelle des Angriffs.


Abb. 6. Das Projekt der Visualisierung von Quellen für ein mobiles Gerät

Dieses kreisförmige Projekt soll den Benutzer auf die bereitgestellten Informationen aufmerksam machen und die Anzahl der Bewegungen auf den Registerkarten reduzieren, um weitere Informationen zu erhalten.

4.2.3 Arten von Visualisierungsprojekten

Ein weiterer wichtiger Aspekt für die Effektivität der Visualisierung besteht darin, Benutzern (Beobachtern) die Möglichkeit zu geben, abhängig von den Anforderungen für die Anzeige der angezeigten Daten aus mehreren Optionen für Visualisierungsprojekte auszuwählen. Auf diese Weise können Sie die Anforderungen eines breiteren Publikums erfüllen.

Als Elemente zur Visualisierung von Sicherheitsereignissen in Echtzeit bietet unsere Infrastruktur die folgenden Optionen für visuelle Projekte [6] : "Curl (Spirale)", "Sphere" und "Grid".

Wie in Abb.In 7 basiert das Projekt „Curl (Spirale)“ auf dem Gestaltprinzip / Gesetz der Kontinuität [37] .


Abb. 7. Visualisierungsprojekt „Curl (Spirale)“

Diese Visualisierung zeigt die Ausführungsreihenfolge von Dateien und Prozessen gemäß dem Ansatz „Wer zuerst kommt, mahlt zuerst an“ an. Wenn der Benutzer auf eine bestimmte Datei, Vorlage oder eine Gruppe mit demselben Verhalten / derselben Farbe aufmerksam macht, nimmt er mental ein visuelles Bild wahr, das leicht zu verstehen ist.

Das Visualisierungsprojekt „Sphere“ basiert auf dem Gestaltgesetz über Schließung / Fertigstellung, bei dem alles als Teil des Ganzen wahrgenommen wird. In Abb. Abbildung 8 zeigt die Visualisierung des Systeminhalts (wichtige Elemente sind farbig markiert).


Abb. 8. Projektvisualisierung „Umfang“

Diese Methode ist einfach und unkompliziert. Die Visualisierung kann abhängig von den Anzeigeeinstellungen des Mobilgeräts skaliert werden. Unabhängig davon, wie viele Dateien oder Prozesse Sie anzeigen möchten, erstellt der sphärische Ansatz eine Visualisierung, in der alle Teile die Summe des Ganzen sind.

Das Rastervisualisierungsprojekt implementiert einen mehrstufigen Ansatz zur Visualisierung, bei dem neue Dateien im Vordergrund des Visualisierungsrasters visuell angezeigt werden. Dieses Design lenkt die Aufmerksamkeit der Beobachter auf neue Dateien / Prozesse von Interesse. Die ständige Aufmerksamkeit des Beobachters hält sie im Fokus und lässt gleichzeitig anderen Benachrichtigungsmechanismen die Möglichkeit, Informationen an den Beobachter zu übertragen. In Abb. Abbildung 9 zeigt ein Beispiel für ein Grid-Projekt mit mehreren Ebenen für Dateien und Prozesse.


Abb. 9. Das Projekt der Visualisierung "Gitter"

Zusätzlich bieten wir das in Abb. 1 gezeigte Projekt "Verschachtelte Ringe" (kreisförmig) an. 10.


Abb. 10. Locky Ransomware-Visualisierungsprojekt für ein mobiles Gerät

Mit dem Projekt können Sie mehrere Attribute und Kategorien verschiedener Dateien und Prozesse verknüpfen. Die Effektivität in diesem Fall zeigt sich in den Übergängen zwischen den Ebenen, sodass Beobachter sehen und verstehen können, wie verschiedene Dateisysteme funktionieren. Die Verwendung des Ansatzes zum Erstellen mehrstufiger Visualisierungen ermöglicht es uns, sowohl verschiedene Ebenen der Informationshierarchie als auch Informationsbeziehungen miteinander in Beziehung zu setzen.

4.2.4 Komponenten zur Bedrohungsbewertung

Eine Bedrohungsbewertungskomponente, die Bedrohungen identifiziert und visualisiert, ist eine weitere wichtige Komponente der SvEm-Infrastruktur. Unser Framework zur Bewertung von Bedrohungen (Abbildung 11) umfasst Anomalien, Malware und benutzerdefinierte Erkennungsmechanismen.


Abb. 11. Schema des Bedrohungsanalysemechanismus:

Datensätze werden mithilfe von Tests / Schulungen und aufgezeichneten Daten [10] sowie Signaturdatenbanken bekannter Bedrohungengefiltert. Die Erkennung von Anomalien erfolgt gemäß dem Algorithmus, der im Abschnitt zur Bewertung und Validierung erläutert wird. Unser Basisdatensatz besteht aus bekannten (zuvor erkannten) Bedrohungen, benutzergefüllten Protokollen sowie bekannten Bedrohungsmodellen und Verhaltensmustern. Dies schafft eine bessere Umgebung für die Steuerung und Überwachung.

4.3 Entitäten, Beziehungen und Bereiche von Sicherheitsvorfällen

4.3.1 Essenz

Im Wesentlichen ist die Beziehung (Entitäten Beziehungen) und Sicherheitsbereich sind (Sicherheits Landschaften) die Hauptkomponenten unserer operativen Plattform. Für Einheiten umfassen: die Themen Bedrohungen, kompromittiert bösartigen Payloads IP-Adresse und viele andere. Diese Objekte sind für die Funktionsweise der SvEm-Leistungstheorie von Interesse. Die Leistung unserer Plattform wird durch die Fähigkeit beeinflusst, diese Entitäten mithilfe der Visualisierung in kürzester Zeit zu identifizieren .

4.3.2 Entitätsbeziehungen

Entitätsbeziehungen , auch als Links bezeichnet , sind für unsere Plattform von entscheidender Bedeutung. Funktionseinheit Beziehungen verknüpfen Einheiten zusammen. Diese Links aktivieren auch die kognitiven Funktionen des Benutzers, die ihm helfen, verborgene Informationen wahrzunehmen und möglicherweise zu Erkenntnissen über den Sicherheitszustand beizutragen .

4.3.3 Räume für Sicherheitsvorfälle

Sicherheitsräume schaffen einen Vorfallbereich und eine Umgebung für Benutzer (Beobachter), um ihre mentalen Bilder auf einen bestimmten Sicherheitsvorfall zu konzentrieren. Der vertraute Raum hilft dem Benutzer, den Bereich seiner Interaktion mit der Visualisierung mental einzuschränken.

4.4 Farbstandard für Security Imaging

Es ist sehr wichtig, die Verwendung von Farben zur Visualisierung von Sicherheitsereignissen zu standardisieren. Große Datenmengen über Entitäten , die von Interesse sein können, erfordern eine Vereinfachung der Visualisierung von Sicherheitsereignissen, um die Verarbeitung von Informationen zu beschleunigen. Beispielsweise führt die Verwendung der Farben „Rot“ und „Orange“ im selben visuellen Raum automatisch zu Verwirrung bei den Benutzern, was den gesamten Visualisierungsprozess verkompliziert. Unser standardisiertes Farbset ist in Abb. 2 dargestellt. 12: "Rot, Gelb, Grün, Blau, Violett und Orange."


Abb. 12. Der Farbstandard für die Visualisierung von Sicherheitsereignissen.

Diese Farben sind in zwei Gruppen unterteilt: primäre und sekundäre. Die Hauptgruppe der Farben sind: Rot, Gelb, Grün und Blau. Eine zusätzliche Gruppe umfasst: lila und orange. Zusätzliche Farben sind für die Visualisierung von Sicherheitsereignissen durch Strafverfolgungsbehörden unter Verwendung von Farbschemata vorgesehen, die dem Interpol-Benachrichtigungssystem entsprechen [1] , [18] . Beispielsweise wird die orange Farbe nur zur Anzeige des Umsatzes illegaler Inhalte verwendet und als unabhängige Art der Visualisierung betrachtet.

Der Farbstandard soll eine einfache Einarbeitung in eine speziell gestaltete, komfortable Umgebung gewährleisten. Aus Entwicklersicht ist es wichtig zu verstehen, wie sich Farben in einer Visualisierung auf Attribute von Sicherheitsereignissen beziehen. Dies erfordert ein Farbmanagement, um eine Fehlinterpretation der Visualisierung aufgrund möglicher Überlagerungsprobleme bei der Darstellung von Sicherheitsvorfällen zu vermeiden.

4.5 Kognitive Anforderungen an die Sicherheitsvisualisierung

Informationsverarbeitung ist eine natürliche menschliche Funktion, die mit Technologie nicht gesteuert werden kann. Es gibt jedoch Methoden, die bei der Verarbeitung von Informationen für eine bestimmte Visualisierung von Sicherheitsereignissen als Steuerungsformen verwendet werden können. Die Verwendung solcher Methoden zur Förderung der Verringerung der kognitiven Verzerrung (kognitive Verzerrung) [13] , die häufig zu einer falschen Wahrnehmung, Beurteilung und unlogisch ungenau Schlussfolgerungen.

Daher ist der wichtigste Teil des Designs unserer SvEm-Plattform die Definition kognitiver psychologischer Attribute bei der Visualisierung von Sicherheitsereignissen. Auf diese Weise können Sie Anforderungen an die Effektivität des gesamten Prozesses der Visualisierung von Benutzeraufgaben festlegen.

Anforderungen ankognitive Belastung , Belastung des Arbeitsgedächtnisses , kognitive Aktivatoren des Benutzers.

Die folgenden psychologischen Aufgaben sind ebenfalls definiert:

• auf der Aufmerksamkeitsebene (Aufmerksamkeitsprozess);
• auf der Ebene der Unterschwellenaufmerksamkeit (voraufmerksamer Prozess);
• auf der Ebene der mentalen Anstrengung (für das Gedächtnis).

Aus Sicht der Sicherheitsereignis-Visualisierungsanwendung sind kognitive Alarmaktivatoren so konzipiert, dass sie den Beobachter mit der dargestellten Visualisierung verbinden. Diese Aktivatoren genannt wir die Begriffe vorübergehende Einbehaltung (Semi-permanente Hold) und dauerhafte Beibehaltung (Permanent Hold). Der Bewertungsabschnitt (Abschnitt VI) zeigt, welche wichtige Rolle sie auf unserer Plattform spielen.

5 Ergebnisse: Sicherheitsvisualisierungsplattform

5.1 SvEm-Theorie

Beginnen wir mit einer detaillierteren Erläuterung unseres SvEm-Algorithmus. Der SvEm-Algorithmus basiert auf folgenden Indikatoren:

• theoretische Abschätzung der Verzerrung ($$$d_{svem}$ );
• theoretische Einschätzung der Zeit ($$$t_{svem}$ )

Theoretische Schätzungen von Verzerrung und Zeit werden nach den Formeln (1) bzw. (2) berechnet:

$$

$$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$$

$$

$$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$$

wo

$$w ∗ h - Abmessungen der Arbeitsfläche des Mobilgeräts;$w*h$

$$S v f - die Anzahl der visuellen Sicherheitselemente (z. B. ein infiziertes IP-Paket, ein Zeitstempel usw.);$Sv_f$

$$d n -n-dimensionaler Bereich der Visualisierung von Sicherheitsereignissen;$d_n$

$$C l -kognitive Belastung(Anzahl der identifizierbaren Merkmale während der vorläufigen Einarbeitung);$Cl$

$$t m e -Belastung des Arbeitsspeichers(Aufwand basierend auf temporären Schätzungen des Arbeitsspeichers);$t_{me}$

$$$n_ {Klicks}$ - die Anzahl der Interaktionen mit der Visualisierung.

Die theoretischen Schätzungen von SvEm basieren auf der Verzerrungsgeschwindigkeit und -zeit. Trotz der Tatsache, dass der Verzerrungskoeffizient 50% beträgt, wird unsere Gesamtbewertung in Bezug auf die Bewertung „hoch“ oder „niedrig“ gemessen, was sie realistischer macht. Die folgenden Faktoren beeinflussen die Verzerrungsrate:

• Telefongröße und Auflösung;
• Benutzerwissen;
• Benutzer klickt

Die SvEm- Zeit wird relativ konstant gemessen: 0,25 Sekunden [27] , in der Psychologie als die Mindestzeit bekannt, die eine Person benötigt, um Informationen im Verlauf ihrer Wahrnehmung zu verstehen. Daher wird unsere Gesamtpunktzahl als Durchschnitt berechnet und mit zahlreichen Ergebnissen aus anderen Messungen verglichen.

Die Anwendungsleistung sowie Datenverwaltungsmethoden werden unter Berücksichtigung der Verbesserung der Qualität der Endwerte der Verzerrungsindikatoren und der Zeit implementiert. Die Verwaltung der Datenanzeige im visuellen Bereich unserer Anwendung erfolgt, um bei komplexen Berechnungen der Hardwarevisualisierung ein Gleichgewicht zu erreichen.

Kognitive Belastung ( $$$Cl$ ) und auf Arbeitsspeicher laden ( $$$t_ {me}$ ) werden basierend auf früheren Ergebnissen theoretischer Studien berechnet. Unser SvEm-Algorithmus implementiert bekannte Methoden.

5.2 Datenfluss

Einer der Vorteile der SvEm-Plattform ist die Möglichkeit, Daten während des gesamten Prozesses zu verwalten: vom Schreiben in eine Datenbank bis zur Ausgabe der Visualisierung mithilfe der WebGL-Technologie. In Abb. Fig. 13 ist ein Datenflussdiagramm, das die Hauptkomponenten der Serverseite zeigt.


Abb. 13. Ergebnisse der Datenverarbeitung

Die Verwendung von Progger, Redis und MongoDB bietet die erforderliche Kontrolle über den Datenfluss. Eine große Datenmenge wird unter Berücksichtigung der Merkmale der verwendeten mobilen Plattform (Rechenleistung der Geräte, Anzeigegröße und Auflösung) an die Sicherheitsvisualisierungsschnittstelle übertragen. Auf diese Weise können unsere Analyseszenarien die Daten entsprechend skalieren, um die Sichtbarkeit durch die Verwendung einfacherer Präsentationsformulare zu verbessern.

Betrachten wir einige Beispiele für die Verwendung unserer Plattform. Beispiele werden basierend auf den Ergebnissen der Analyse von Daten entwickelt, die während des Testens der Plattform erhalten wurden. Eine Videodemonstration der Beispiele finden Sie unter folgendem Link: Ein Beispiel für die Verwendung der SvEm-Sicherheitsvisualisierungsplattform (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 Beispiel 1. Anwendung für die Zusammenarbeit mit der Visualisierung von Sicherheitsereignissen in Echtzeit

Das Visualisierungstool für das VisualProgger-Sicherheitsprotokoll wurde von unserem Team erstellt, um den Verlauf der von Progger aufgezeichneten Ereignisse visuell zu untersuchen [21] . VisualProgger konzentriert sich auf die Visualisierung von Sicherheitsereignissen in Echtzeit und kann die Effizienz der Analyse aufgrund von Visualisierung , hoher Leistung und der Verwendung kognitiver Aktivatoren steigern. Bei der Analyse der Daten, die mithilfe einer animierten Visualisierung und zeitnaher Benachrichtigungsmechanismen durchgeführt wurde, wurden wichtige Informationen zum Schutzzustand enthüllt.

Funktionalität von VisualProgger: VisualProgger bietet Funktionen zur Visualisierung von Sicherheitsereignissen sowohl in Echtzeit als auch für zuvor aufgezeichnete Daten, die beispielsweise bei Cyberübungen zwischen dem roten und dem blauen Team (Angriff und Verteidigung) beobachtet wurden [10] . In einem Echtzeit-Visualisierungsskript haben wir eine Benachrichtigungsmethode entwickelt und angewendet, mit der wir die Aufmerksamkeitskonzentration des Benutzers erhöhen können. Wir haben diese Methode „kognitive SvEm-Aktivatoren“ (SvEm: kognitive Aktivatoren) genannt. Folgende Aktivatoren sind implementiert:

1. " Temporäres Halten ": Die in Abb. 14, so dass die wichtigsten (verdächtigen) Dateien für mindestens 3 Sekunden vorübergehend ausgeblendet werden können, um die Aufmerksamkeit des Beobachters auf sich zu ziehen;
2. " Permanenter Halt ": Eine konstante Farbanzeige der Datei, die auf eine schädliche (verdächtige) Datei hinweist. Die Farben Rot oder Gelb werden verwendet, je nachdem, wie wichtig die Datei ist.
3. Kritische Datei erkannt: Alarmkennung, die die Aufmerksamkeit des Beobachters auf sich zieht;
4. „ Akustischer Alarm “: Eine optionale Alarmkennung, die die Aufmerksamkeit des Betrachters auf sich zieht (besonders wichtig für farbenblinde Menschen).

Abb. 14. Demonstration des Aktivators "Temporäre Aufbewahrung"

Die betrachteten kognitiven SvEm-Aktivatoren werden hauptsächlich zum Anzeigen von Dateien und schädlichen Attributen verwendet, die aus Sicht der Informationssicherheit wichtig sind. Dateien und Attribute der angezeigten Daten werden in einige visuelle Darstellungen von Sicherheitsereignissen konvertiert, um Entscheidungen zu treffen, indem bessere Informationsinhalte bereitgestellt werden.

5.4 Beispiel 2. Visualisierung der Locky Ransomware

Die Visualisierung der Sicherheitsereignisse der Locky-Ransomware in Abb. 15 verwendet das Projekt "Verschachtelte Ringe", das speziell entwickelt wurde, um die Aufmerksamkeit des Benutzers nur auf die angezeigte Visualisierung zu lenken.


Abb. 15. Visualisierung von Locky Ransomware-Verschlüsselungsdateien

Mit dem Projekt "Verschachtelte Ringe" können Sie Daten in Form von Ebenen auf mobilen Plattformen übereinander anordnen. Auf diese Weise kann die Klassifizierung von Bibliotheken, Prozessen und Dateien des infizierten Systems angezeigt werden. Die Möglichkeit, die Erkennung von Locky-Dateien (.docx, .png, .jpeg, .xlsx usw.) durch das Ransomware-Programm visuell zu verfolgen, bevor sie während der Implementierung des Angriffs verschlüsselt werden, gibt dem Benutzer eine klare Vorstellung von der Funktionsweise der Ransomware. Die verschlüsselten Dateien werden dann rot hervorgehoben, um anzuzeigen, welche Datei verschlüsselt wurde.

Verschlüsselte Dateien (kritische Dateien), die rot markiert sind, können von Beobachtern (beim Schweben, Klicken und / oder anderen Aktionen) zur weiteren Analyse ausgewählt werden (Abb. 16).


Abb. 16. Visualisierung von Anzeigeereignissen für Dateien, die mit Lock Ransomware verschlüsselt wurden

Dank dieser Funktionen sind Benutzer daran interessiert, interaktive Recherchen mithilfe der Visualisierung durchzuführen, wodurch auch die Interaktion des Benutzers mit der Visualisierung verbessert wird.

5.5 Beispiel 3. Effektive Interaktion mit Augmented Reality Visualisierung

Augmented Reality (AR) im Bereich der Informationssicherheitsvisualisierung bietet dem Benutzer eine interessante Erfahrung und eröffnet ihm neue Möglichkeiten. Durch die Verwendung von Visualisierung wird der Betrachter auf Sicherheitsvorfälle aufmerksam gemacht. Die dreidimensionale Visualisierung von Beobachtern mit Farbinterpretationen trägt zu einer höheren Analysegeschwindigkeit bei geringerem mentalen Aufwand bei [28] . Beobachter wiederum versuchen, zusätzliche Details zu erfahren, um das notwendige Sicherheitswissen zu erlangen.

Unsere Visualisierung von Augmented Reality (Abb. 17) ermöglicht es Mobiltelefonbenutzern, persönliche mobile Plattformen zu verwenden, um Cyberübungen von rot-blauen Teams (Angriff / Verteidigung) zu visualisieren.


Abb. 17. Das Projekt der clientseitigen Visualisierung von Augmented Reality

Das Erstellen einer Augmented-Reality-Erfahrung verbessert die Fähigkeit des Beobachters, Informationen wahrzunehmen [41] . Dank der korrekten Informationen, die mithilfe der AR-Visualisierung ausgewählt wurden, konnten Beobachter eine größere Datenmenge verarbeiten und bessere Entscheidungen treffen, die zu mehr Sicherheit beitragen.

Anhand mehrfarbiger Kugeln (Abb. 17), die verschiedene Aspekte des Angriffs ausdrücken, wird ein simulierter Computerangriff in Echtzeit demonstriert. Durch die Interaktion mit der interaktiven AR-Visualisierung kann der Benutzer die Merkmale von Computerangriffen verstehen, die vom roten Team ausgeführt werden.

5.6 Skalieren der Visualisierung, um sie an das Display anzupassen

Angesichts der Einschränkungen für mobile Plattformen sowie aufgrund der großen Menge ständig gesammelter Daten sind spezielle Visualisierungsansätze erforderlich, um Computerangriffe zu visualisieren. Ein Diagramm mit parallelen Koordinaten [9] [19] ermöglichte die Erstellung eines dreidimensionalen Visualisierungsdesigns, das das gesamte erforderliche Datenvolumen enthält. In Abb. Abbildung 18 zeigt die Verteilung des Netzwerkverkehrs mit Sicherheitsdaten zwischen Anwendungs-, System- und Netzwerkebenen.


Abbildung 18. Mehrdimensionale Visualisierung von Sicherheitsereignissen mithilfe eines Diagramms mit parallelen Koordinaten.

6 Evaluierung und Test der SvEm-Plattform

6.1 SvEm-Konzeptmodell

Wir haben das SvEm-Modell auf der Grundlage der Ergebnisse wissenschaftlicher Forschung auf dem Gebiet der Computertechnologie und -psychologie erstellt, die in der Anwendung eines integrierten Ansatzes zur Messung der Effizienz für die folgenden Hauptkomponenten bestand:

• Benutzer
• Visualisierung
• kognitive Wahrnehmung des Benutzers (Benutzerkognition).

Auf diese Weise konnten wir ein konzeptionelles Modell entwickeln, das die Erfahrungen der Benutzer bei der Visualisierung von Sicherheitsvorfällen berücksichtigt. In Abb. Abbildung 19 zeigt das SvEm-Modell, das aus allen oben genannten Effizienzkomponenten besteht: dem Benutzer, der Visualisierung und den damit verbundenen Faktoren sowie der kognitiven Wahrnehmung des Benutzers.


Abb. 19. SvEm-Modell, das die Beziehung zwischen den Komponenten "Benutzer", "Visualisierung" und "Kognitive Wahrnehmung des Benutzers" veranschaulicht.

Die Schnittpunkte dieser Komponenten bestimmen die Muster, die die Ziele des Extrahierens von Sicherheitswissen aus der Visualisierung charakterisieren.

Im Zentrum des SvEm-Modells steht ein Mechanismus, durch den die Wahrnehmung durch die Kombination von kognitiver Wahrnehmung , Benutzer und Visualisierung entsteht . Infolge der Beobachtung, die der Benutzer während des Wahrnehmungsprozesses gemacht hat, entstehen Anforderungen auf der Ebene der Aufmerksamkeit unterhalb der Schwelle (voraufmerksam). Beim Vergleich der Visualisierung von Sicherheitsereignissen nutzen die mentalen Anstrengungen des Benutzers (Beobachters) seine kognitiven Fähigkeiten, die am Denkprozess beteiligt sind. Dieser gesamte Prozess belastet den Arbeitsspeicher des Benutzers abhängig von der jeweiligen Visualisierung der dargestellten Sicherheitsereignisse. In Anbetracht der Beziehung zwischen dem Benutzer , der kognitiven Wahrnehmung und Visualisierung des Benutzers schaffen unsere effektiven Visualisierungsmethoden die ultimative Beziehung zwischen dem Benutzer und der dargestellten Visualisierung . Infolgedessen wird die Verzerrung und / oder Zeit bestimmt. Das Auftreten von SvEm- Erkenntnissen tritt auf, wenn alle Komponenten des SvEm-Modells übereinstimmen und der Wert der mentalen Anstrengung als gering definiert wird, was zur Konvertierung und Übertragung korrekter Informationen über Sicherheitsereignisse führt, die der Benutzer verarbeiten kann.

6.2 Testen der Leistung der SvEm-Plattform

Wir haben die Leistung der SvEm-Plattform in folgenden Bereichen getestet:

• Visualisierung der Visualisierung;
• Durchführung der Datenübertragung zwischen Server- und Client-Teil;
• Bewertung der Zuordnung kognitiver Aktivatoren .

Visualisierungstest Visualisierungstests wurden in der Anwendungsentwicklungsphase durchgeführt. Es bestand darin, die Architektur von Datenverarbeitungsknoten basierend auf dem Security Visualization Standard (SCeeVis) zu entwerfen. Beispielsweise bietet die Verwendung der WebGL 3D-Grafiktechnologie der Benutzeroberfläche neue Möglichkeiten für die interaktive visuelle Anzeige bei der Verarbeitung einer großen Menge von Informationen. Die Architektur der Anwendung ermöglichte es, eine größere Datenmenge zu verarbeiten und auf der Clientseite darzustellen.

In Abb. 20 zeigt Leistungsschätzungen während der Datenübertragung.


Abb. 20. Leistungsbewertung der VisualProgger-Anwendung

Um die Leistung zu bewerten, wurde die durchschnittliche Datenübertragungszeit (in Millisekunden) durch verschiedene ausführbare Dateien (.exe) beim Übertragen von Daten unterschiedlicher Typen und Größen aufgezeichnet.

6.3 SvEm-Benutzerbewertung

Während der Auswertung wurde folgende Schlussfolgerung gezogen: Damit die Visualisierung effektiv ist, ist die Belastung des Arbeitsspeichers entscheidend für eine hohe Leseleistung. Um die Effektivität der SvEm-Plattform zu bewerten, wurden Benutzerantworten verwendet. Der Farbstandard hat dazu beigetragen, die Benutzererfahrung zu verbessern, indem er es ihnen ermöglicht, Verhaltensmuster schneller zu verarbeiten, indem Beziehungen klassifiziert und verfolgt werden. Wenn Benutzer den Farbstandard kennen, können sie Verknüpfungen zwischen Ereignispunkten schneller verarbeiten als mit dem Visualisierungsansatz, bei dem Sicherheitsattribute anstelle von Farbe verwendet wurden.

Durch die Integration von kognitiven SvEm- Aktivatoren in unsere Plattform haben Benutzer einen Mechanismus erhalten, mit dem sie Aufmerksamkeit erregen und gleichzeitig Sicherheitsereignisse verfolgen können. Dies stimuliert automatisch die kognitiven Fähigkeiten des Betrachters und veranlasst ihn, weiter mit der präsentierten Visualisierung zu interagieren.

6.4 Bewertung der kognitiven Belastung

Frühere Forschungen auf dem Gebiet der Psychologie haben einen wesentlichen Beitrag zur Benutzerschulung geleistet, und theoretische Belege [7] [8] haben das Verständnis der kognitiven Belastung von Benutzern verbessert. Um die Beziehung zwischen Wahrnehmung, Kognition und der SvEm-Plattform zu bestimmen, verwendeten wir einen bekannten psychologischen Ansatz in Bezug auf die Methode zur Bestimmung der kognitiven Belastung und der Arbeitsgedächtnisbelastung sowie das Konzept der Beziehung zwischen Benutzerwahrnehmung und Erkennungsprozessen. Der Ansatz wurde unter Bedingungen angewendet, unter denen das Bewusstsein des Benutzers Objekte (wie Bilder von Sicherheitsknoten) während der Interaktion mit der Visualisierung von Sicherheitsereignissen wahrnehmen konnte. Dementsprechend könnten Benutzer an Schlüsselwörter denken, die sich auf die präsentierten Bilder von Sicherheitsknoten beziehen, wodurch ihre Wahrnehmung verbessert wird, was wiederum mit früheren Erfahrungen bei der Interaktion mit der Visualisierung verbunden ist. Dieser Prozess in dem dargestellten Sicherheitsvorfall wurde mit einer hohen Belastung des Arbeitsspeichers ausgeführt.


Abb. 21. Vergleich der Schätzungen der kognitiven Belastung und der Belastung des Arbeitsgedächtnisses bei Beobachtern

Daher haben wir verschiedene Experimente mit dem Benutzer durchgeführt und die folgenden Ergebnisse erhalten (Abb. 21). Das Experiment zeigte die Konstanz der Leistung der kognitiven Belastung und der Belastung des Arbeitsgedächtnisses von Beobachtern: Mit zunehmender Belastung des Arbeitsgedächtnisses nahm auch die kognitive Belastung zu, behielt aber die Grenze bei. In Abb. Die 21 Zeilen mit der besten Anpassung zeigen, dass beide Merkmale linear sind und die kognitive Belastung eine konstante Belastungsgrenze (Kapazität) aufweist und daher die Belastbarkeit des Arbeitsspeichers nicht überlappt. Dies ist eine ideale Situation für den Benutzer (Beobachter) bei der Analyse von Visualisierungen von Sicherheitsereignissen.

6.5 Bedrohungserkennungssystem

Um die mit Progger gesammelten Daten zu filtern, wurden bekannte Signaturalgorithmen zur Erkennung von Anomalien und Malware verwendet. Basierend auf realen Daten haben wir vorläufig die folgenden Algorithmen ausgewählt, die unseren Erwartungen entsprechen: Local Outlier Factor (LOF) [22] , DBscan [23] und K-Nearest Neighbours (KNN) [25] . Auf diese Weise konnten wir die Leistung des Bewertungssystems für die Erkennung von Bedrohungen testen. Normale Aktionen haben eine Punktzahl im Bereich von 10 bis 80, und abnormales Verhalten wird als negativer Wert ausgedrückt. Ebenso werden verdächtige Dateien auf Systemen basierend auf einer gespeicherten Signaturdatenbank gescannt. In Abb. 22 zeigt normales und abnormales Verhalten und böswillige Einträge.


Abb. 22. Die Ergebnisse des Anomalieerkennungssystems

Durch das Scannen von Dateien auf dem System und einen vorkonfigurierten Protokollverlauf können bekannte Dateipfade ermittelt werden. Wenn eine bekannte oder verdächtige Datei an anderer Stelle angezeigt wird, wird sie daher automatisch gelb oder rot markiert.

Wir haben die Leistung unseres Bedrohungsbewertungssystems anhand vorbereiteter realer Datensätze analysiert. Als Filter wurden verschiedene Algorithmen zur Erkennung von Anomalien und böswilligen Signaturen verwendet. Um Anomalien und schädliche Dateien zu bewerten, verwendet unser Bewertungssystem die Progger-Anwendung (Ereignisprotokollierungsmechanismus). Das folgende Farbschema wurde für das Bild von Dateien von Interesse ausgewählt: schädliche Daten (rote Farbe), verdächtige Daten (gelbe Farbe), rückverfolgbare Betriebsinformationen (blaue Farbe) und legitime Daten (grüne Farbe).

7 Fazit

Der Artikel präsentiert einen umfassenden Ansatz zur Bewertung der Wirksamkeit der Plattform für die Visualisierung von Sicherheitsereignissen und zeigt Methoden auf, die sowohl technische Aspekte als auch psychologische Merkmale der Benutzer berücksichtigen. Es wurde ein konzeptionelles Modell vorgestellt, das die Interaktion der Komponenten „ Benutzer “, „ Visualisierung “ und „ kognitive Wahrnehmung des Benutzers “ veranschaulicht und es ermöglicht, Schätzungen der Wirksamkeit der Visualisierung von Sicherheitsereignissen zu erhalten und zu verbessern. Durch die Verwendung kognitiver Aktivatoren von SvEm können Sie die Konzentration der Aufmerksamkeit der Benutzer erhöhen und deren Aufmerksamkeitsvolumen erhöhen. Wir haben unsere SvEm-Plattform basierend auf vorhandenen Plattformen und Basisdatensätzen bewertet.Somit bestätigen wir, dass Benutzer mit hohen Arbeitslasten ziemlich gut umgehen und effektiv mit entwickelten Visualisierungen interagieren, um die erforderlichen Informationen über Sicherheitsereignisse zu erhalten.

7.1 Weitere Forschungsbereiche

In Zukunft möchten wir die Effektivität unserer Plattform für Benutzer aus anderen Bereichen (Gesundheitswesen, Finanzbildung usw.) weiter bewerten und analysieren, wie sie bei der Interaktion mit der Plattform reagieren.

8 Danksagung

Die Autoren bedanken sich bei Mark A. Will, Cameron Brown, Mina Mungro, Mitgliedern der Waikato Cybersecurity Researchers (CROW Lab) und den Beiträgen unserer Praktikanten [Isaiah Wong, Jia Cheng Yip, Wen Liang Guo, Xin Li Yuan] vom Nanyang Polytechnic Institute, Singapur. Dieses Projekt wird von STRATUS („Sicherheitstechnologien für Transparenz, Vertrauen und Benutzerorientierung bei der Bereitstellung von Cloud-Diensten“) ( https://stratus.org.nz ) unterstützt, einem vom neuseeländischen Ministerium für Wirtschaft, Innovation und Beschäftigung finanzierten wissenschaftlichen Investitionsprojekt . (MBIE)). Diese Arbeit wurde auch teilweise vom New Zealand and Pacific Fellowship Program (NZAid) unterstützt.

9 Verweise auf verwendete Quellen

1. M. Anderson. Die Welt überwachen: Interpol und die Politik der internationalen polizeilichen Zusammenarbeit. Clarendon Press Oxford, 1989.

2. JL Carlson. Redis in Aktion. Manning Publications Co., Greenwich, CT, USA, 2013.

3. K. Chodorow. MongoDB: Der endgültige Leitfaden: Leistungsstarke und skalierbare Datenspeicherung. O'Reilly Media, Inc., 2013.

4. H. Choo und S. Franconeri. Die Aufzählung kleiner Sammlungen verstößt gegen das Weber-Gesetz. Psychonomic Bulletin & Review, 21 (1): 93–99, 2014.

5. J. Congote, A. Segura, L. Kabongo, A. Moreno, J. Posada und O. Ruiz. Interaktive Visualisierung volumetrischer Daten mit webgl in Echtzeit. In Proceedings of the 16th International Conference on 3D Web Technology, S. 137–146. ACM, 2011.

6. EOOD und M. Angelov. 20 beeindruckende Beispiele für das Erlernen von WebGL mit Three.js, Nov. 2017.

7. C. Firestone und BJ Scholl. Verbessertes visuelles Bewusstsein für Moral und Pyjama? Wahrnehmung vs. Gedächtnis in Top-Downeffects. Cognition 136: 409 & ndash; 416, 2015.

8. C. Firestone und BJ Scholl. Das Erkennen hat keinen Einfluss auf die Wahrnehmung: Bewertung der Evidenz für „Top-down“ -Effekte. Verhaltens- und Gehirnwissenschaften, 39, 2016.

9. Y.-H. Fua, MO Ward und EA Rundensteiner. Hierarchische Parallelkoordinaten zur Untersuchung großer Datenmengen. In Proceedings of the Conference on Visualization'99: Zehn Jahre feiern, Seiten 43–50. IEEE Computer Society Press, 1999.

10. J. Garae, RK Ko, J. Kho, S. Suwadi, MA Will und M. Apperley. Visualisierung der neuseeländischen Cyber-Sicherheitsherausforderung für Angriffsverhalten. In Trustcom / BigDataSE / ICESS, 2017 IEEE, Seiten 1123–1130. IEEE, 2017.

11. J. Garae und RKL Ko. Visualisierungs- und Datenprovenienztrends bei der Entscheidungsunterstützung für Cybersicherheit, Seiten 243–270. Springer International Publishing, Cham, 2017.

12. L. Harrison, F. Yang, S. Franconeri und R. Chang. Ranking-Visualisierungen der Korrelation nach dem Weberschen Gesetz. IEEE-Transaktionen zu Visualisierung und Computergrafik, 20 (12): 1943–1952, 2014.

13. MG Haselton, D. Nettle und DR Murray. Die Entwicklung der kognitiven Vorurteile. Das Handbuch der Evolutionspsychologie, 2005.

14. J. Heer, FB Vi´egas und M. Wattenberg. Reisende und Voyeure: Unterstützung der asynchronen kollaborativen Informationsvisualisierung. In Proceedings of the SIGCHI Konferenz über menschliche Faktoren in Computersystemen, Seiten 1029-1038. ACM, 2007.

15. VAC Henmon. Die Zeit der Wahrnehmung als Maß für Unterschiede in den Empfindungen. Nummer 8. Science Press, 1906.

16. RV Hogg und AT Craig. Einführung in die mathematische Statistik (5-Zoll-Ausgabe). Upper Saddle River, New Jersey: Prentice Hall, 1995.

17. W. Huang, P. Eades und S.-H. Hong. Messung der Wirksamkeit von Diagrammvisualisierungen: Eine kognitive Lastperspektive. Information Visualization, 8 (3): 139–152, 2009.

18. JJ Imhoff und SP Cutler. Interpol: Ausweitung der Reichweite von Strafverfolgungsbehörden auf der ganzen Welt. FBI L. Enforcement Bull., 67:10, 1998.

19. A. Inselberg und B. Dimsdale. Parallele Koordinaten zur Visualisierung mehrdimensionaler Geometrie. In Computer Graphics 1987, Seiten 25–44. Springer, 1987.

20. M. Kay und J. Heer. Jenseits des Weber'schen Gesetzes: Ein zweiter Blick auf die Rangfolge der Korrelationsvisualisierungen. IEEE-Transaktionen zu Visualisierung und Computergrafik, 22 (1): 469–478, 2016.

21. RK Ko und MA Will. Progger: Ein effizienter, manipulationssicherer Kernelspace-Logger für die Verfolgung der Herkunft von Cloud-Daten. In Cloud Computing (CLOUD), IEEE 7. Internationale Konferenz 2014, S. 881–889. IEEE, 2014.

22. A. Lazarevic, L. Ertoz, V. Kumar, A. Ozgur und J. Srivastava. Eine vergleichende Studie zu Anomalieerkennungsschemata bei der Erkennung von Netzwerkeinbrüchen. In Proceedings of the 2003 SIAM International Conference on Data Mining, S. 25–36. SIAM, 2003.

23. K. Leung und C. Leckie. Unüberwachte Anomalieerkennung bei der Erkennung von Netzwerkeinbrüchen mithilfe von Clustern. In Proceedings of the 28. Australasian Conference on Computer Science-Volume 38, S. 333–342. Australian Computer Society, Inc., 2005.

24. YK Leung und MD Apperley. E3: Auf dem Weg zur Metrik grafischer Darstellungstechniken für große Datenmengen. In International Conference on Human-Computer Interaction, S. 125–140. Springer, 1993.

25. Y. Liao und VR Vemuri. Verwendung eines Classi-Filters für den nächsten Nachbarn zur Erkennung von Eindringlingen. Computers & Security, 21 (5): 439–448, 2002.

26. PE McKight und J. Najab. Kruskal-Wallis-Test. Corsini Encyclopedia of Psychology, 2010.

27. T. Okoshi, J. Ramos, H. Nozaki, J. Nakazawa, AK Day und H. Tokuda. Attelia: Reduzierung der kognitiven Belastung des Benutzers durch unterbrechende Benachrichtigungen auf Smartphones. In Pervasive Computing and Communications (PerCom), IEEE International Conference 2015, S. 96-104. IEEE, 2015.

28. T. Olsson, E. Lagerstam, T. K¨arkk¨ainen und K. V¨ a¨an¨anen-VainioMattila. Erwartete Benutzererfahrung von mobilen Augmented-Reality-Diensten: eine Benutzerstudie im Kontext von Einkaufszentren. Personal and Ubiquitous Computing, 17 (2): 287–304, 2013.

29. ¨ O. ¨Ozt¨urk und DA Wolfe. Ein verbesserter Mannwhitney-Wilcoxon-Test mit zwei Stichproben. Canadian Journal of Statistics, 28 (1): 123-135, 2000.

30. F. Paas, JE Tuovinen, H. Tabbers und PW Van Gerven. Kognitive Belastungsmessung als Mittel zur Weiterentwicklung der kognitiven Belastungstheorie. Pädagogischer Psychologe, 38 (1): 63–71, 2003.

31. T. Parisi. WebGL: läuft. O'Reilly Media, Inc., 2012.

32. P. Pirolli und S. Card. Der Sensemaking-Prozess und die Hebelpunkte für die Analystentechnologie können durch kognitive Aufgabenanalyse identifiziert werden. In Proceedings of International Conference on Intelligence Analysis, Band 5, Seiten 2–4, 2005.

33. RA Rensink und G. Baldridge. Die Wahrnehmung der Korrelation in Streudiagrammen. Im Computer Graphics Forum, Band 29, Seiten 1203–1210. Wiley Online Library, 2010.

34. P. Saraiya, C. North und K. Duca. Eine auf Erkenntnissen basierende Methode zur Bewertung von Visualisierungen der Bioinformatik. IEEE-Transaktionen zu Visualisierung und Computergrafik, 11 (4): 443–456, 2005.

35. P. Saraiya, C. North, V. Lam und KA Duca. Eine auf Erkenntnissen basierende Längsschnittstudie zur visuellen Analytik. IEEE Transactions on Visualization and Computer Graphics, 12 (6): 1511-1522, 2006.

36. EW Weisstein. Bonferroni-Korrektur. 2004.

37. M. Wertheimer. Eine kurze Einführung in die Gestalt, in der wichtige Theorien und Prinzipien identifiziert werden. Psychol Forsch, 4: 301 & ndash; 350, 1923.

38. DA Wheeler und GN Larsen. Techniken zur Zuordnung von Cyberangriffen. Technischer Bericht, INSTITUT FÜR VERTEIDIGUNGSANALYSEN ALEXANDRIA VA, 2003.

39. JR Wilson und J. Carter. Knoten. js der richtige Weg: Praktisches, serverseitiges Javascript, das skaliert. Pragmatisches Bücherregal, 2013.

40. JS Yi, Y.-a. Kang, JT Stasko und JA Jacko. Erkenntnisse verstehen und charakterisieren: Wie gewinnen Menschen mithilfe der Informationsvisualisierung Erkenntnisse? In Proceedings of the 2008 Workshop zu BEyond time and error: Neue Bewertungsmethoden für die Informationsvisualisierung, Seite 4. ACM, 2008.

41. F. Zhou, HB-L. Duh und M. Billinghurst. Trends bei der Verfolgung, Interaktion und Anzeige von Augmented Reality: Ein Rückblick auf zehn Jahre Ismar. In Proceedings des 7. IEEE / ACM International Symposium on Mixed and Augmented Reality, S. 193–202. IEEE Computer Society, 2008.

Über die Autoren des Artikels



Jeffery Garae,



Ryan Ko, PhD, Doktorand im Cybersecurity Laboratory, Institut für Informatik, Universität Wykato, Neuseeland,



Mark Mark, Mark Cyber ​​Security Laboratory, Institut für Informatik, Universität Waikato, Neuseeland Upperli (Mark Apperley), PhD, Leiter des Instituts für Informatik, Universität Waikato (Neuseeland)

Im Artikel verwendete Begriffe und Definitionen

Aufmerksamkeit ist die Konzentration der mentalen Anstrengung auf sensorische oder mentale Ereignisse. (Robert Solso - Kognitive Psychologie)

Wahrnehmung ist ein häufiges Ergebnis dessen, was durch unser sensorisches System kommt und was wir bereits durch Erfahrung über die Welt wissen. (Robert Solso - Kognitive Psychologie)

Visuelle Klarheit - speziell erstellte oder ausgewählte grafische (Diagramme, Tabellen), künstlerische und visuelle (Zeichnungen, Reproduktionen), natürliche (Umweltobjekte) Hilfsmittel für die visuelle Wahrnehmung, die als Mittel verwendet werden Überwachung und Bewertung der Aktivität des Probanden im Testprozess.

Kognitive Belastung (kognitive Belastung)

1. , , . (Paas F. et al." Cognitive load measurement as a means to advance cognitive load theory //Educational psychologist. — 2003. — . 38. — №. 1. — . 63-71)

2. .

(cognitive bias) – . ( . . )

(attention span) – , - - . ( . — .: -. .. . 2002.)

/ / (insight) – . ( – )

(pre-attentive) – 200 . (http://humanoit.ru/blog/166)

(mental effort) – , , , ; , , . , ([40])

(provenance visualization) – .

(attribution visualization) – .

(semi-permanent hold) – , , () 3 , .

(cognitive activator) – .

(working memory load) – , .

/ (Zuschreibung) - der Prozess der Bestimmung der Identität und / oder des Standorts eines Angreifers oder Vermittlers, über den er handelt.

Permanenter Halt (permanenter Halt) - ein kognitiver Aktivator, der ein konstanter Farbindikator der Datei ist und auf eine schädliche (verdächtige) Datei hinweist.