Hola Habr! Presentamos a su atención una traducción del artículo " Un enfoque de presentación y medición de efectividad de visualización de seguridad a gran escala ".

Del autor de la traducción

La visualización proporciona asistencia invaluable a los expertos para obtener conclusiones y conocimiento sobre el objeto de la investigación, especialmente si dicha investigación está asociada con el procesamiento de una gran cantidad de datos. Al mismo tiempo, la elección de los métodos de visualización, como regla, es creativa y no es una elección razonable sobre la base de estimaciones cuantitativas. El artículo intenta obtener estimaciones cuantitativas de visualización.

Además, debe tenerse en cuenta que se presta poca atención al estudio de la visualización en fuentes en ruso. Los estudios descritos en el artículo se encuentran en la intersección de varias áreas de conocimiento: seguridad de la información, psicología, ciencia de datos, lo que le permite al lector familiarizarse con temas previamente desconocidos para él. También es interesante una extensa bibliografía sobre el estudio de la visualización.

Los términos principales utilizados en el texto del artículo están marcados en cursiva y para ellos el significado del término extranjero se indica entre paréntesis. Las definiciones de tales términos se dan después del texto del artículo.

Anotación

¿Qué hace que una representación visual de eventos de seguridad sea efectiva? ¿Cómo medimos la efectividad de la visualización en el contexto de estudiar, analizar y comprender mensajes sobre incidentes de seguridad de la información? La detección y comprensión de los ataques informáticos es crucial para la toma de decisiones no solo a nivel técnico, sino también a nivel de gestión de políticas de seguridad. Nuestro estudio cubre ambos temas, que complementan nuestro sistema / plataforma para evaluar la efectividad de la visualización de eventos de seguridad (SvEm), proporcionando un enfoque integral para evaluar la efectividad de los métodos de visualización tanto teóricos como orientados al usuario. Mediante el uso de visualización tridimensional interactiva, nuestra plataforma SvEm nos permite aumentar la eficiencia tanto de un usuario como de varios usuarios durante su trabajo conjunto. Estudiamos indicadores de rendimiento como la claridad visual, la visibilidad, la tasa de distorsión y los tiempos de respuesta (visualización) del usuario.

Los componentes clave de la plataforma SvEm son:

tamaño y resolución de la pantalla del dispositivo móvil;
entidad de incidentes de seguridad;
activadores cognitivos de alertas de usuario;
sistema de evaluación de amenazas;
cargar en la memoria de trabajo (carga de memoria de trabajo);
gestión del color.

Para evaluar nuestra plataforma para una evaluación integral de la efectividad de la visualización de eventos de seguridad, hemos desarrollado (utilizando tecnologías web y móviles) la aplicación VisualProgger para visualizar eventos de seguridad en tiempo real. Finalmente, la visualización SvEm tiene como objetivo aumentar la capacidad de atención de los usuarios al proporcionar una carga cognitiva constante al tiempo que aumenta la carga en la memoria de trabajo del observador. A su vez, la visualización de eventos de seguridad brinda al usuario la oportunidad de conocer el estado de la seguridad de la información. Nuestra evaluación muestra que los observadores trabajan mejor con conocimiento previo ( carga en la memoria de trabajo ) de eventos de seguridad, y también que la visualización circular atrae y mantiene mejor la concentración de atención del usuario. Estos resultados nos permitieron identificar áreas para futuras investigaciones relacionadas con la evaluación de la efectividad de la visualización de eventos de seguridad.

Tabla de contenidos

1 Introducción
2 Antecedentes y campo de estudio
3 trabajos relacionados
3.1 Métodos para evaluar representaciones visuales de información
3.2 Método de evaluación: clasificación de representaciones visuales de correlaciones
3.3 Métodos gráficos
3.4 Errores de percepción en visualizaciones
3.5 Conceptos de cognición, percepción y comprensión de la visualización.
Diagrama de la plataforma 4 SvEm
4.1 Arquitectura del lado del servidor del sistema
4.2 Aspectos técnicos de la visualización de eventos de seguridad.
4.3 Entidades, relaciones y espacios de incidentes de seguridad.
4.4 Estándar de color para imágenes de seguridad
4.5 Requisitos cognitivos para la visualización de seguridad
5 Resultados: plataforma de visualización de seguridad
5.1 Teoría de SvEm
5.2 Flujo de datos
5.3 Ejemplo 1. Aplicación para colaboración con visualización de eventos de seguridad en tiempo real
5.4 Ejemplo 2. Visualización del ransomware Locky
5.5 Ejemplo 3. Interacción efectiva con visualización de realidad aumentada
5.6 Visualización de escala para adaptarse a la pantalla
6 Evaluación y prueba de la plataforma SvEm.
6.1 Modelo conceptual SvEm
6.2 Prueba del rendimiento de la plataforma SvEm
6.3 Calificación del usuario de SvEm
6.4 Evaluación de la carga cognitiva
6.5 Sistema de detección de amenazas
7 Conclusión
8 Agradecimientos
9 referencias a fuentes usadas

1 Introducción

Las visualizaciones de seguridad resultan útiles para crear una idea del estado de seguridad, pero ¿qué tan efectivas son? ¿La visualización ayuda a la toma de decisiones en una situación crítica o simplemente distrae la atención? Este estudio proporciona la base para evaluar la efectividad y el desarrollo de representaciones visuales en el campo de la seguridad de la información.

Nuestro enfoque principal es mejorar la plataforma SvEm [11] realizando una evaluación integral de la efectividad de las representaciones visuales de eventos de seguridad en cada etapa de la percepción de visualización. Se supone que el lector ya comprende la visualización en el campo de la seguridad de la información.

Consideramos los problemas de productividad de los procesos de procesamiento de datos, la claridad visual , así como el uso conveniente de las funciones del trabajo interactivo del usuario con los datos. Para medir la efectividad de la visualización de eventos de seguridad, se requiere una evaluación integral de las plataformas web y móviles, así como el tiempo de respuesta de los usuarios al interactuar con ellos.

En el momento en que el usuario interactúa con alguna representación visual de eventos de seguridad, nos interesa, en primer lugar, comprender cómo la visualización puede atraer más rápidamente la atención del usuario y, en segundo lugar, cómo medir la concentración de su atención . Esto requiere monitorear la efectividad de la carga cognitiva del usuario y la carga en su memoria de trabajo . La visualización es más efectiva cuando la carga cognitiva disminuye y la carga en la memoria de trabajo aumenta.

2 Antecedentes y campo de estudio

En la mayoría de los estudios científicos destinados a explorar las plataformas de visualización y la interfaz de usuario, la noción de aumentar la eficiencia significa aumentar la productividad al reducir el tiempo que se tarda en lograr resultados significativos. En el artículo para la plataforma que desarrollamos, el concepto de "efectividad" está asociado con la visualización de eventos de seguridad como un enfoque holístico e integrado, que está diseñado para simplificar la percepción de información esencial como resultado de la interacción del usuario con la visualización.

En este artículo, medimos la efectividad de todo el proceso de visualización de seguridad: tanto el proceso de visualización gráfica como el proceso de interacción del usuario. También confiamos en que la visualización de eventos de seguridad facilita el análisis automatizado de datos, obteniendo información útil de datos sin procesar sobre eventos de seguridad (ataques de red). Las representaciones visuales de eventos de seguridad muestran clara y dinámicamente los incidentes de seguridad del usuario, así como la relación de los incidentes entre sí [14] . La interactividad despierta el interés del usuario en realizar las interacciones necesarias con las visualizaciones para formar una idea del espacio para los ataques informáticos. La visualización también facilita la capacidad de procesar grandes cantidades de datos y visualizar tendencias y modelos.

Sin embargo, existen problemas asociados con la presentación de información y rendimiento, por lo que el propósito de este artículo es medir la efectividad de los procesos para visualizar eventos de seguridad. Nuestro estudio proporciona un vínculo entre el conocimiento cognitivo de los usuarios y la plataforma de medición de efectividad de visualización de seguridad [SvEm ] [11] . Nuestro enfoque para medir la efectividad cubre las etapas de planificación, diseño, implementación, evaluación, validación e interacción con el usuario (público objetivo).

En la siguiente sección, veremos los resultados de la investigación existente sobre la medición de la efectividad de la visualización. Luego discutimos los resultados del desarrollo de la plataforma SvEm. En conclusión, presentamos instrucciones para futuras investigaciones.

3 trabajos relacionados

Si bien los usuarios eligen métodos de visualización basados en sus preferencias y necesidades individuales, existe la necesidad de evaluar la efectividad de dichos métodos. Los enfoques modernos [11] , [12] , [17] , [40] utilizan indicadores como el rendimiento del usuario, la claridad, la calidad de la imagen / tasa de distorsión y la evaluación de la percepción ( evaluación de la percepción), una medida de la medición de la correlación de visualización, una medida de la actividad cerebral (medición de la actividad cerebral) y qué tan bien coincide la visualización. Considere las fuentes disponibles con más detalle.

3.1 Métodos para evaluar representaciones visuales de información

La mayoría de los métodos de evaluación solo tienen en cuenta los aspectos técnicos de las imágenes, como la visibilidad y el reconocimiento. Sin embargo, las más preferidas son las representaciones visuales que atraen a los observadores y son capaces de transmitir de forma independiente la esencia de la información sin la necesidad de aclaraciones adicionales. Este es el resultado más esperado para la mayoría de los artistas y expertos en visualización. La base que está presente tanto en la visualización como entre los usuarios despierta habilidades cognitivas que desencadenan mecanismos de eficiencia. Por lo tanto, para mejorar la eficiencia, se requieren algunos métodos de evaluación para mejorar la visualización.

3.2 Método de evaluación: clasificación de representaciones visuales de correlaciones

El enfoque utilizado con éxito en los ejercicios de capacitación sobre conjuntos de datos se usa generalmente para obtener estimaciones científicas de productividad, transparencia e integridad. Harrison en [12] mostró la posibilidad de aplicar la ley de Weber [4] , [15] y la ley de percepción [15] para la visualización de la correlación de clasificación [20] . Otros enfoques consideran la correlación del entrenamiento y los mejores conjuntos de datos, representados mediante diagramas de dispersión y diagramas de coordenadas paralelas [33] . Estudios psicológicos y cognitivos recientes [15] han demostrado que las leyes de la percepción [20] pueden aplicarse para modelar las percepciones de las personas en la visualización considerando ciertas propiedades de datos. Rensink demostró el uso de la ley de Weber [33] al crear el modelo Weber Fit [12] . Estos estudios afirman que existe una relación entre las personas y los datos presentados. La percepción humana es capaz de distinguir entre relaciones y diferencias objetivas en datos correlacionados. Esta declaración se expresa mediante la siguiente relación lineal:

$dp = k \ frac {dS} {S}$

donde

$dp$ - cambios diferenciales en la percepción;

$k$ - umbral relativo obtenido experimentalmente (fracción de Weber);

$dS$ - aumento diferencial en la correlación de datos.

Una serie de estudios estadísticos [12] se llevaron a cabo utilizando criterios de clasificación:

Prueba de Kruskal-Wallis [26] para evaluar la relación entre visualización y correlaciones;
Prueba de Wilcoxon-Mann [16] , [29] criterio para comparar pares de visualizaciones;
Corrección de Bonferroni [36] para resolver el problema de las comparaciones múltiples y reducir los falsos positivos.

Aunque este método de clasificación de visualización de correlaciones ha demostrado ser efectivo, no es relevante para este trabajo.

3.3 Métodos gráficos

Fig. 1. Esquema de la plataforma E ³

La mayoría de los dispositivos conectados a Internet tienen la capacidad de iniciar sesión, lo que permite la recopilación de datos a alta velocidad. Por lo tanto, requiere el uso de métodos especiales para presentar información obtenida de conjuntos de datos. Considere, por ejemplo, la plataforma gráfica para representar grandes conjuntos de datos E ³ desarrollados por Leung K. I y Upperley D. Mark [24] . La plataforma analítica E ^{3 le} permite comparar diferentes formas de presentar datos, teniendo en cuenta el volumen de dichos datos. Las características clave, como la expresividad, la eficiencia y la efectividad, le permiten clasificar la precisión de la presentación y la tarea de percepción. En la fig. 1 muestra un diagrama de la plataforma E ³ , en el que se marcan los componentes clave y sus relaciones con las etapas de diseño de un gran sistema de presentación de conjuntos de datos.

3.4 Errores de percepción en visualizaciones

Otro método común para medir la visualización implica calcular una tasa de error para medir la calidad de la imagen o la distorsión. En la fig. La Figura 2 muestra la estructura del proyecto, incluidas las etapas de preprocesamiento, filtrado, separación de canales y errores de combinación.

Fig. 2. Esquema de un proyecto que evalúa la sensibilidad al error

En este modelo, la calidad de la imagen se evalúa mediante la claridad visual y la distorsión de la imagen. Realizar el preprocesamiento y el filtrado mejora los resultados de medición de calidad / distorsión (que se convierten fácilmente de uno a otro).

3.5 Conceptos de cognición, percepción y comprensión de la visualización.

En psicología, medir la efectividad de la visualización se basa en evaluaciones de la cognición (percepción), percepción (percepción), concentración de atención y carga de trabajo en la memoria de trabajo de una persona. La relación racional entre la capacidad cognitiva del usuario y la carga en la memoria de trabajo se puede determinar mediante la evaluación de los esfuerzos mentales (esfuerzo mental) (Fig. 3). Por ejemplo, un puntaje de usuario ideal, en el que la velocidad de lectura es alta y el esfuerzo mental es bajo, se encuentra en el área A (Fig. 3) [30] .

Fig. 3. La efectividad del esfuerzo mental [30]

También significa que la carga en la memoria de trabajo del usuario es alta. La investigación de usuarios ha proporcionado herramientas para evaluar la carga cognitiva [17] , en particular, métodos para evaluar el esfuerzo mental y la productividad asociados con la eficiencia de visualización.

La investigación [40] , [34] , [35] realizada por InfoVis mostró la posibilidad de utilizar el conocimiento como una medida de evaluación tecnológica. La iluminación [40] se define como una medida de una comprensión precisa y profunda de algo, es decir, una unidad de medida del descubrimiento. La iluminación a menudo no viene en el curso de la resolución de tareas especialmente asignadas, sino que, como regla, es un subproducto de la investigación sin el objetivo inicial de lograr una visión.

Otro papel importante en la determinación de la comprensión es el proceso de creación de sentido [32] , aunque el modelo de producto de información-esquema-comprensión utilizado en este documento incluye la comprensión como un componente.

Resumiendo los resultados de un trabajo similar, vemos que evaluar la efectividad de la visualización afecta no solo a la tecnología, sino también a la persona que usa la visualización. Después de examinar las áreas clave relacionadas con la eficiencia de visualización en esta sección, ahora tenemos una comprensión clara del lugar de la investigación real en la metodología de evaluación de visualización. Sin embargo, nuestra plataforma se limita a la información en el campo de la seguridad de la información relacionada con la evaluación de la eficiencia de medición con respecto a la información operativa sobre incidentes de seguridad.

Diagrama de la plataforma 4 SvEm

Para implementar una plataforma que evaluará la efectividad de la visualización de eventos de seguridad, una etapa importante es la fase de diseño. Por lo tanto, en esta sección presentamos la solución de diseño de nuestra plataforma. La plataforma de evaluación de rendimiento de visualización de seguridad SvEm consta de los siguientes componentes: la superficie de trabajo de una pantalla móvil, objetos de incidentes de seguridad, eventos de alerta del usuario, un sistema de evaluación de amenazas, carga de RAM y un componente de gestión del color. Estos componentes se analizan a continuación.

4.1 Arquitectura del lado del servidor del sistema

La infraestructura de la parte del servidor de la plataforma de visualización de eventos de seguridad SvEm está diseñada para acomodar scripts de visualización estáticos y dinámicos (en tiempo real). Gestiona todos los procesos de análisis que se producen al trabajar con la base de datos, así como durante el ensamblaje y la agregación de información. La arquitectura de nuestro sistema se construye utilizando las siguientes tecnologías: Windows Progger (herramienta de registro), Redis, MongoDB, Nodejs y WebGL. Windows Progger (versión Linux Progger para Windows [21] ) es una herramienta de registro de nivel de sistema (nivel de núcleo), que actualmente se está desarrollando con un enfoque en la seguridad en sistemas informáticos y en la nube. Redis [2]facilita la conexión entre el caché y la base de datos para Windows Progger y mongoDB. Todos los datos se almacenan permanentemente en mongoDB [3] , mientras que nodejs [39] y webgl [5] , [31] reducen la complejidad de la interfaz de la parte cliente de la plataforma de visualización.

La arquitectura de la parte del servidor está diseñada teniendo en cuenta las características del proceso de procesamiento de datos al administrar su almacenamiento. Los datos preprocesados se crean como resultado de un script de visualización. Por ejemplo, en tiempo real, se realiza un registro en el registro del núcleo del sistema informático para rastrear y visualizar las fuentes de creación, modificación y eliminación de archivos.

Además, los datos están estandarizados para evaluar la efectividad de las visualizaciones de seguridad en plataformas web y móviles. Los requisitos para dispositivos web y móviles han proporcionado una solución efectiva a los problemas de consulta, procesamiento, análisis, representación y escalado de datos que se resuelven en interés de visualizar eventos de seguridad. En la fig. La Figura 4 muestra las herramientas y bibliotecas básicas necesarias para alojar el lado del servidor de la plataforma de visualización de seguridad SvEm.

Fig. 4. La arquitectura del lado del servidor de SvEm.

Al diseñar la plataforma, es necesario tener en cuenta muchas características de la aplicación, la principal de las cuales también incluye garantizar la seguridad, el rendimiento del procesamiento de datos y la visualización de la visualización. Estas tareas para nuestra plataforma son las principales.

4.2 Aspectos técnicos de la visualización de eventos de seguridad.

Al desarrollar representaciones visuales, se deben tener en cuenta las dimensiones del dispositivo móvil. Por ejemplo, las restricciones de visualización de 1920 x 1080 píxeles para el iPhone 6s Plus con una altura de 122 mm y un ancho de 68 mm (Fig. 5) hacen que sea necesario tener controles de visualización en una representación visual.

Fig. 5. Parámetros de visualización del dispositivo móvil: los

controles incluyen elementos para regular el volumen de datos procesados, elegir el método de visualización y los tipos de visualización que mejor se adaptan al tamaño de la pantalla.

Una comprensión clara de estas limitaciones permite a los desarrolladores de visualización de eventos de seguridad tener en cuenta la posibilidad de una visualización multidimensional y / o circular. Dichos proyectos permitirán la inclusión de una gran cantidad de atributos de datos de incidentes de seguridad.

4.2.1 Imaging proyecto de seguimiento (atribución de diseño de visualización)

El proceso de seguimiento (atribución) [38] en la información de contexto de seguridad asociado con la definición de la fuente de ataque informático. En la visualización de eventos de seguridad, la imagen de este proceso es todo un desafío. Se requiere un conjunto suficiente de datos de entrada y una comprensión clara del proceso de seguimiento . Nuestro proyecto de seguimiento tiene como objetivo construir un camino entre la fuente y los objetivos del ataque. El objetivo es identificar la fuente del ataque informático, ya que la mayoría de los puntos de trayectoria se relacionan con las víctimas. A pesar de nuestro proyecto de visualización de seguimiento , basado en datos de ataque reales, es imposible visualizar completamente el proceso de seguimiento .. Por lo tanto, ofrecemos un conjunto de plantillas para el análisis predictivo, a través del cual se pueden conectar puntos entre identificadores de ataque clave para realizar un seguimiento desde un nivel superior mediante la visualización.

4.2.2 diseño de visualización probado

Otra característica clave de la plataforma es la visualización eficiente de las fuentes en función de la gran cantidad de datos recopilados. Una gran cantidad de datos se convierte en visualización para plataformas móviles, teniendo en cuenta la necesidad de escalar y el área de trabajo limitada de la pantalla.

Nuestra plataforma utiliza fuentes y proyectos de visualización de seguimiento con un breve resumen de datos para alertar a los usuarios de eventos de seguridad. El mapeo de fuentes es crucial para que los expertos en seguridad y los usuarios finales se mantengan al tanto de la situación. En la fig. La Figura 6 presenta un proyecto de visualización de fuentes con información sobre el tiempo, el tipo y la fuente del ataque.

Fig.6. El proyecto de visualización de fuentes para un dispositivo móvil

Este proyecto circular está diseñado para llamar la atención del usuario sobre la información proporcionada y reducir el número de movimientos en las pestañas para obtener más información.

4.2.3 Tipos de proyectos de visualización

Otro aspecto importante de la efectividad de la visualización es proporcionar a los usuarios (observadores) la oportunidad de elegir entre varias opciones para proyectos de visualización, según los requisitos para ver los datos mostrados. Esto le permite satisfacer las necesidades de un público más amplio.

Como elementos para visualizar eventos de seguridad en tiempo real, nuestra infraestructura ofrece las siguientes opciones para proyectos visuales [6] : "Curl (espiral)", "Esfera" y "Cuadrícula".

Como se muestra en la fig.7, el proyecto "Curl (espiral)" se basa en el principio de la Gestalt / ley de continuidad [37] .

Fig. 7. Proyecto de visualización "Curl (espiral)"

Esta visualización muestra el orden de ejecución de los archivos y procesos de acuerdo con el enfoque de "primero en llegar, primer espectáculo". Cuando el usuario llama la atención sobre un archivo específico, plantilla o algún grupo con el mismo comportamiento / color, percibe mentalmente una imagen visual que es fácil de entender.

El proyecto de visualización "Esfera" se basa en la ley Gestalt sobre cierre / finalización, donde todo se percibe como parte del todo. En la fig. La Figura 8 muestra la visualización del contenido del sistema (los elementos importantes están marcados con color).

Fig. 8. Visualización del proyecto "Alcance"

Este método es simple y directo, y la visualización se puede escalar dependiendo de la configuración de visualización del dispositivo móvil. No importa cuántos archivos o procesos desee mostrar, el enfoque esférico crea una visualización en la que todas las partes son la suma del todo.

El proyecto de visualización Grid implementa un enfoque de visualización de varios niveles, en el que los nuevos archivos se muestran visualmente en primer plano de la cuadrícula de visualización. Este diseño llama la atención de los observadores sobre nuevos archivos / procesos de interés. La atención constante del observador los mantiene enfocados, al tiempo que deja la oportunidad para que otros mecanismos de notificación transmitan información al observador. En la fig. La Figura 9 muestra un proyecto de cuadrícula de ejemplo con múltiples capas para archivos y procesos.

Fig. 9. El proyecto de visualización "Cuadrícula"

Además, proporcionamos el proyecto "Anillos anidados" (capas circulares), que se muestra en la Fig. 10)

Fig. 10. Proyecto de visualización de ransomware Locky para un dispositivo móvil.

El proyecto le permite vincular varios atributos y categorías de varios archivos y procesos. La eficacia en este caso se manifiesta en las transiciones entre capas, lo que permite a los observadores ver y comprender cómo funcionan los diversos sistemas de archivos. El uso del enfoque para construir visualizaciones de niveles múltiples nos permite relacionarnos entre sí tanto en los diferentes niveles de la jerarquía de información como en las relaciones de información.

4.2.4 Componentes de evaluación de amenazas

Un componente de evaluación de amenazas que identifica y visualiza las amenazas es otro componente importante de la infraestructura de SvEm. Nuestro marco de evaluación de amenazas (Figura 11) cubre anomalías, malware y mecanismos de detección personalizados.

Fig. 11. Esquema del mecanismo de análisis de amenazas

Los conjuntos de datos se filtran mediante pruebas / capacitación y datos registrados [10] y bases de datos de firmas de amenazas conocidas. La detección de anomalías se lleva a cabo de acuerdo con el algoritmo, que se discutirá en la sección de evaluación y validación. Nuestro conjunto de datos básicos consta de amenazas conocidas (detectadas previamente), registros llenos de usuarios, así como modelos de amenazas y patrones de comportamiento conocidos. Esto crea un mejor ambiente para el control y monitoreo.

4.3 Entidades, relaciones y espacios de incidentes de seguridad.

4.3.1 Esencia

En esencia, la relación (relaciones de entidades) y la zona de seguridad (paisajes de seguridad) son los principales componentes de nuestra plataforma operativa. Para las entidades incluyen: los sujetos de amenazas, cargas maliciosas comprometidas dirección IP y muchos otros. Estos objetos son de interés sobre cómo funciona la teoría de medir la efectividad de SvEm. El rendimiento de nuestra plataforma se ve afectado por la capacidad de identificar estas entidades mediante la visualización en el menor tiempo posible.

4.3.2 Relaciones entre entidades

Las relaciones entre entidades , también conocidas como enlaces , son vitales para nuestra plataforma. Las funciones de relación de entidad unen a las entidades . Estos enlaces también activan las funciones cognitivas del usuario, que lo ayudan a percibir información oculta y potencialmente contribuyen a obtener información sobre el estado de la seguridad.

4.3.3 Espacios de incidentes de seguridad

Los espacios de seguridad crean un área y un entorno de incidentes para que los usuarios (observadores) concentren sus imágenes mentales en un incidente de seguridad específico. El espacio familiar ayuda al usuario a limitar mentalmente el área de su interacción con la visualización.

4.4 Estándar de color para imágenes de seguridad

Es muy importante estandarizar el uso de colores para visualizar eventos de seguridad. Grandes cantidades de datos sobre entidades que pueden ser de interés requiere simplificar la visualización de eventos de seguridad con el fin de acelerar el procesamiento de la información. Por ejemplo, el uso de los colores "rojo" y "naranja" en el mismo espacio visual crea automáticamente confusión para los usuarios, lo que complica todo el proceso de visualización. Nuestro conjunto de colores estandarizado se muestra en la fig. 12: "rojo, amarillo, verde, azul, violeta y naranja".

Fig. 12. El estándar de color para visualizar eventos de seguridad:

estos colores se dividen en dos grupos: primario y secundario. El grupo principal de colores son: rojo, amarillo, verde y azul. Un grupo adicional incluye: púrpura y naranja. Los colores adicionales están destinados a la visualización de eventos de seguridad por parte de los organismos encargados de hacer cumplir la ley utilizando esquemas de color correspondientes al sistema de notificación de Interpol [1] , [18] . Por ejemplo, el color naranja se usa solo para mostrar la rotación del contenido ilegal y se considera un tipo de visualización independiente.

El estándar de color tiene como objetivo proporcionar facilidad de familiarización en un entorno confortable especialmente diseñado. Desde el punto de vista del desarrollador, es importante comprender correctamente cómo los colores en una visualización se relacionan con los atributos de los eventos de seguridad. Esto crea la necesidad de una gestión del color para evitar interpretaciones erróneas de la visualización debido a posibles problemas de superposición al presentar incidentes de seguridad.

4.5 Requisitos cognitivos para la visualización de seguridad

El procesamiento de la información es una función humana natural que no se puede controlar mediante la tecnología. Sin embargo, existen métodos que pueden usarse para procesar información para una visualización específica de eventos de seguridad, como formas de control. El uso de tales métodos destinados a la reducción de la distorsión cognitiva (sesgo cognitivo) [13] , que a menudo conduce a una percepción incorrecta, juicio y conclusiones inexactas ilógicas.

Por lo tanto, la parte más importante del diseño de nuestra plataforma SvEm es la definición de los atributos psicológicos cognitivos en la visualización de eventos de seguridad. Esto le permite establecer requisitos para la efectividad de todo el proceso de visualización de las tareas del usuario.

Requisitos paracarga cognitiva , carga en la memoria de trabajo , activadores cognitivos del usuario.

También se definen las siguientes tareas psicológicas:

en el nivel de atención (proceso de atención);
en el nivel de atención subliminal (proceso pre-atento);
a nivel de esfuerzo mental (para la memoria).

Desde el punto de vista de la aplicación de visualización de eventos de seguridad, los activadores de alertas cognitivas están diseñados para conectar al observador con la visualización presentada. Estos activadores que llaman los términos retención temporal (mantenga semi-permanente) y retención permanente (Fijación Permanente). La sección de evaluación (sección VI) mostrará qué papel importante juegan en nuestra plataforma.

5 Resultados: plataforma de visualización de seguridad

5.1 Teoría de SvEm

Comencemos con una explicación más detallada de nuestro algoritmo SvEm. El algoritmo SvEm se basa en los siguientes indicadores:

Estimación teórica de la distorsión ( ); $d_{svem}$
evaluación teórica del tiempo ( $t_{svem}$ )

Las estimaciones teóricas de distorsión y tiempo se calculan mediante las fórmulas (1) y (2), respectivamente:

$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$

$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$

donde

- dimensiones de la superficie de trabajo del dispositivo móvil;

$w*h$

: el número de elementos de seguridad visual (por ejemplo, un paquete IP infectado, marca de tiempo, etc.);

$Sv_f$

-n-dimensional área de visualización de eventos de seguridad;

$d_n$

-carga cognitiva(el número de características identificables durante la familiarización preliminar);

$Cl$

-carga en la memoria de trabajo(esfuerzo basado en estimaciones temporales de la memoria de trabajo);

$t_{me}$

$n_ {clicks}$ - el número de interacciones con la visualización.

Las estimaciones teóricas de SvEm se basan en la velocidad y el tiempo de distorsión . A pesar de que el coeficiente de distorsión es del 50%, nuestra calificación general se mide con respecto a la calificación “alta” o “baja”, lo que la hace más realista. Los siguientes factores afectan la tasa de distorsión:

tamaño y resolución del teléfono;
conocimiento del usuario;
clics de usuario

El tiempo de SvEm se mide relativamente constante: 0.25 segundos [27] , conocido en psicología como el tiempo mínimo que una persona necesita para comprender la información en el proceso de su percepción. Por lo tanto, nuestra puntuación total se calcula como un promedio y se compara con numerosos resultados de otras mediciones.

El rendimiento de la aplicación, así como los métodos de gestión de datos, se implementan teniendo en cuenta la mejora en la calidad de los valores resultantes de distorsión e indicadores de tiempo . La gestión de la visualización de datos en el espacio visual de nuestra aplicación se lleva a cabo para lograr el equilibrio al realizar cálculos complejos de visualización de hardware.

Carga cognitiva (

$Cl$ ) y cargar en la memoria de trabajo (

$t_ {me}$ ) se calculan en base a resultados previos de estudios teóricos. Nuestro algoritmo SvEm implementa métodos bien conocidos.

5.2 Flujo de datos

Una de las ventajas de la plataforma SvEm es la capacidad de administrar datos durante todo el proceso: desde la escritura en una base de datos hasta la visualización de salida utilizando la tecnología WebGL. En la fig. 13 es un diagrama de flujo de datos que muestra los componentes principales del lado del servidor.

Fig. 13. Resultados del procesamiento de datos

El uso de Progger, Redis y MongoDB proporciona el control necesario sobre el flujo de datos. Se transfiere una gran cantidad de datos a la interfaz de visualización de seguridad, teniendo en cuenta las características de la plataforma móvil utilizada (potencia informática del equipo, tamaño de pantalla y resolución). Esto permite que nuestros escenarios de análisis escalen los datos adecuadamente para mejorar la visibilidad mediante el uso de formularios de presentación más simples.

Consideremos varios ejemplos de uso de nuestra plataforma, que se desarrollan en función de los resultados del análisis de los datos obtenidos durante las pruebas de la plataforma. Se puede ver una demostración en video de los ejemplos en el enlace especificado: un ejemplo del uso de la plataforma de visualización de seguridad SvEm (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 Ejemplo 1. Aplicación para colaboración con visualización de eventos de seguridad en tiempo real

La herramienta de visualización del registro de seguridad VisualProgger fue creada por nuestro equipo para examinar visualmente el historial de eventos registrados por Progger [21] . VisualProgger se centra en la visualización en tiempo real de eventos de seguridad y le permite aumentar la eficiencia del análisis debido a la visibilidad , el alto rendimiento y el uso de activadores cognitivos . Durante el análisis de los datos, realizado mediante visualización animada y mecanismos de notificación oportuna, se reveló información importante sobre el estado de protección.

Funcionalidad de VisualProgger: VisualProgger proporciona funciones para visualizar eventos de seguridad tanto en tiempo real como para datos previamente grabados, por ejemplo, observados durante los ejercicios cibernéticos entre los equipos rojo y azul (atacando y defendiendo) [10] . En un script de visualización en tiempo real, desarrollamos y aplicamos un método de notificación que nos permite aumentar la concentración de atención del usuario. Llamamos a este método "activadores cognitivos SvEm" (SvEm: activadores cognitivos). Se implementan los siguientes activadores :

“ Retención temporal ”: la función animada que se muestra en la Fig. 14, que permite ocultar temporalmente los archivos más importantes (sospechosos) durante al menos 3 segundos para atraer la atención del observador;
" Retención permanente ": un indicador de color constante del archivo, que indica un archivo malicioso (sospechoso). Los colores rojo o amarillo se usan según la importancia del archivo;
Archivo crítico detectado: identificador de alerta que llama la atención del observador;
" Alerta de sonido ": un identificador de alerta opcional que llama la atención del observador (especialmente importante para las personas daltónicas).

Fig. 14. Demostración del activador "Retención temporal"

Los activadores cognitivos SvEm considerados se utilizan principalmente para mostrar archivos y atributos maliciosos que son importantes desde el punto de vista de la seguridad de la información. Los archivos y atributos de los datos mostrados se convierten en algunas representaciones visuales de eventos de seguridad para ayudar a tomar decisiones al proporcionar un mejor contenido de información.

5.4 Ejemplo 2. Visualización del ransomware Locky

La visualización de los eventos de seguridad del ransomware Locky que se muestra en la Fig. 15 utiliza el proyecto Anillos anidados, diseñado específicamente para enfocar la atención del usuario solo en la visualización que se muestra.

Fig. 15. Visualización de archivos de cifrado de ransomware Locky

El proyecto Anillos anidados le permite organizar los datos uno encima del otro en forma de capas en plataformas móviles. De esta forma, se puede mostrar la clasificación de bibliotecas, procesos y archivos del sistema infectado. La capacidad de rastrear visualmente la detección de archivos Locky (.docx, .png, .jpeg, .xlsx, etc.) por parte del programa ransomware antes de cifrarlos durante la implementación del ataque le da al usuario una idea clara del funcionamiento del ransomware. Los archivos cifrados se resaltan en rojo para mostrar qué archivo se ha cifrado.

Los observadores pueden seleccionar los archivos cifrados (archivos críticos) marcados en rojo (al pasar el mouse sobre ellos, hacer clic y otras acciones) para su posterior análisis (Fig. 16).

Fig. 16. Visualización de eventos de visualización sobre archivos cifrados por el ransomware Lock

Gracias a estas características, los usuarios están interesados en realizar una investigación interactiva mediante la visualización, lo que también aumenta la interacción del usuario con la visualización.

5.5 Ejemplo 3. Interacción efectiva con visualización de realidad aumentada

La realidad aumentada (AR) en el campo de la visualización de seguridad de la información le brinda al usuario una experiencia interesante y le abre nuevas oportunidades. Llama la atención del observador sobre incidentes de seguridad mediante el uso de la visualización. Proporcionar a los observadores una visualización tridimensional con interpretaciones de color contribuye a una mayor velocidad de análisis con menos esfuerzo mental [28] . A su vez, los observadores buscan aprender detalles adicionales para obtener el conocimiento necesario de seguridad.

Nuestra visualización de la realidad aumentada (Fig. 17) permite a los usuarios de teléfonos móviles usar plataformas móviles personales para visualizar ejercicios cibernéticos de equipos rojo-azul (ataque / defensa).

Fig. 17. El proyecto del cliente parte de la visualización de la realidad aumentada

Crear una experiencia de realidad aumentada mejora la capacidad del observador para percibir información [41] . Por lo tanto, gracias a la información correcta seleccionada utilizando la visualización AR, los observadores pudieron procesar una mayor cantidad de datos y tomar mejores decisiones que contribuyen a una mayor seguridad.

Utilizando esferas multicolores (Fig. 17), que expresan varios aspectos del ataque, se demuestra un ataque informático simulado en tiempo real. A través de la interacción con la visualización interactiva AR, el usuario puede comprender las características de los ataques informáticos llevados a cabo por el equipo rojo.

5.6 Visualización de escala para adaptarse a la pantalla

Dadas las restricciones impuestas en las plataformas móviles, así como debido a la gran cantidad de datos constantemente recopilados, existe la necesidad de enfoques especiales para la visualización con el fin de visualizar los ataques informáticos. Un diagrama con coordenadas paralelas [9] , [19] hizo posible crear un diseño de visualización tridimensional que contiene todo el volumen de datos necesario. En la fig. La Figura 18 muestra la distribución del tráfico de red con datos de seguridad entre la aplicación, el sistema y las capas de red.

Figura 18. Visualización multidimensional de eventos de seguridad utilizando un gráfico con coordenadas paralelas.

6 Evaluación y prueba de la plataforma SvEm.

6.1 Modelo conceptual SvEm

Construimos el modelo SvEm basado en los resultados de la investigación científica en el campo de la tecnología informática y la psicología, que consistió en la aplicación de un enfoque integrado para medir la eficiencia de los siguientes componentes principales:

usuario
visualización
percepción cognitiva del usuario (cognición del usuario).

Esto nos permitió desarrollar un modelo conceptual que tiene en cuenta la experiencia adquirida por los usuarios en la visualización de incidentes de seguridad. En la fig. La Figura 19 muestra el modelo SvEm, que consta de todos los componentes de eficiencia anteriores: el usuario, la visualización y los factores relacionados, la percepción cognitiva del usuario.

Fig. 19. Modelo SvEm que ilustra la relación entre los componentes "Usuario", "Visualización" y "Percepción cognitiva del usuario"

Las intersecciones de estos componentes determinan los patrones que caracterizan los objetivos de extraer conocimiento de seguridad de la visualización.

En el centro del modelo SvEm hay un mecanismo por el cual surge la percepción como resultado de la combinación de percepción cognitiva , usuario y visualización . Como resultado de la observación realizada por el usuario en el proceso de percepción, las solicitudes surgen en el nivel de atención por debajo del umbral (pre-atento). En el caso de comparar la visualización de eventos de seguridad, los esfuerzos mentales que surgen del usuario (observador) utilizan sus habilidades cognitivas, que están involucradas en el proceso de pensamiento. Todo este proceso crea una carga en la memoria de trabajo del usuario, dependiendo de la visualización particular de los eventos de seguridad presentados. Dada la relación entre el usuario , la percepción cognitiva y la visualización del usuario , nuestros métodos de visualización efectivos crean la relación definitiva entre el usuario y la visualización presentada. Como resultado, se determina la distorsión y / o el tiempo . La aparición de información SvEm ocurre cuando todos los componentes del modelo SvEm coinciden, y el valor del esfuerzo mental se define como bajo, lo que conduce a la conversión y transmisión de información correcta sobre eventos de seguridad para que el usuario procese.

6.2 Prueba del rendimiento de la plataforma SvEm

Probamos el rendimiento de la plataforma SvEm en las siguientes áreas:

visualización de visualización;
rendimiento de la transferencia de datos entre el servidor y la parte del cliente;
evaluación del mapeo activador cognitivo .

Las pruebas de visualización de visualización de visualización se llevaron a cabo en la etapa de desarrollo de la aplicación. Consistió en diseñar la arquitectura de nodos de procesamiento de datos basada en el Estándar de visualización de seguridad (SCeeVis). Por ejemplo, el uso de la tecnología de gráficos WebGL 3D brinda a la interfaz de usuario nuevas posibilidades de visualización visual interactiva al procesar una gran cantidad de información. La arquitectura de la aplicación permitió procesar una mayor cantidad de datos y presentarlos en el lado del cliente.

En la fig. 20 muestra estimaciones de rendimiento durante la transmisión de datos.

Fig. 20. Evaluación del rendimiento de la aplicación VisualProgger

Para evaluar el rendimiento, se registró el tiempo promedio de transferencia de datos (en milisegundos) de varios archivos ejecutables (.exe) al transmitir datos de diferentes tipos y tamaños.

6.3 Calificación del usuario de SvEm

Durante la evaluación, se obtuvo la siguiente conclusión: para que la visualización sea efectiva, la carga en la memoria de trabajo es crucial para un alto rendimiento de lectura. Para evaluar la efectividad de la plataforma SvEm, se utilizaron las respuestas de los usuarios. El estándar de color ha ayudado a mejorar la experiencia del usuario al permitirles procesar patrones de comportamiento más rápido al clasificar y rastrear las relaciones. Si los usuarios conocieran el estándar de color, podrían procesar enlaces entre puntos de evento más rápido que con el enfoque de visualización, que utilizaba atributos de seguridad en lugar de color.

La incorporación de activadores cognitivos SvEm en nuestra plataforma ha brindado a los usuarios un mecanismo para atraer la atención al rastrear eventos de seguridad. Esto estimula automáticamente las habilidades cognitivas del observador, lo que lo lleva a interactuar aún más con la visualización presentada.

6.4 Evaluación de la carga cognitiva

Investigaciones previas en el campo de la psicología hicieron una contribución significativa al entrenamiento del usuario, y la evidencia teórica [7] , [8] mejoró la comprensión de la carga cognitiva de los usuarios. Para determinar la relación entre la percepción, la cognición y la plataforma SvEm, utilizamos un enfoque psicológico bien conocido relacionado con el método para determinar la carga cognitiva y la carga de la memoria de trabajo , así como el concepto de la relación entre la percepción del usuario y los procesos de cognición. El enfoque se aplicó en condiciones en las que la conciencia del usuario podía percibir objetos (como imágenes de nodos de seguridad) durante la interacción con la visualización de eventos de seguridad. En consecuencia, los usuarios podrían pensar en palabras clave relacionadas con las imágenes presentadas de nodos de seguridad, mejorando así su percepción, que, a su vez, está asociada con la experiencia previa en la interacción con la visualización. Este proceso en el incidente de seguridad presentado se realizó con una alta carga en la memoria de trabajo.

Fig. 21. Comparación de las estimaciones de la carga cognitiva y la carga en la memoria de trabajo en observadores

Por lo tanto, realizamos varios experimentos con el usuario y obtuvimos los siguientes resultados (Fig. 21). El experimento demostró la constancia del rendimiento de la carga cognitiva y la carga en la memoria de trabajo de los observadores: con un aumento en la carga en la memoria de trabajo , la carga cognitiva también aumentó, pero mantuvo el límite. En la fig. Las 21 líneas de mejor ajuste muestran que ambas características son lineales y que la carga cognitiva tiene un límite de carga constante (capacidad), por lo tanto, no se superpone a la carga de rendimiento en la memoria de trabajo . Esta es una situación ideal para el usuario (observador) al analizar visualizaciones de eventos de seguridad.

6.5 Sistema de detección de amenazas

Para filtrar los datos recopilados con Progger, se utilizaron algoritmos de firma bien conocidos para detectar anomalías y malware. Con base en datos reales, seleccionamos tentativamente los siguientes algoritmos que satisfacen nuestras expectativas: Factor de valor atípico local (LOF) [22] , DBscan [23] y vecinos más cercanos a K (KNN) [25] . Esto nos permitió probar el rendimiento del sistema de evaluación de detección de amenazas. La acción normal tendrá una puntuación en el rango de 10 a 80, y el comportamiento anormal se expresará como un valor negativo. Del mismo modo, los archivos sospechosos en los sistemas también se analizan en función de una base de datos de firmas almacenada. En la fig. 22 muestra un comportamiento normal y anormal y entradas maliciosas.

Fig. 22. Los resultados del sistema de detección de anomalías.

Además, escanear archivos en el sistema y tener un historial de registro preconfigurado ayuda a determinar las rutas de archivos conocidas. Por lo tanto, si un archivo conocido o sospechoso aparece en otro lugar, se marca automáticamente en amarillo o rojo.

Analizamos el rendimiento de nuestro sistema de evaluación de amenazas en conjuntos de datos reales preparados. Se usaron varios filtros para detectar anomalías y firmas maliciosas como filtros. Para evaluar anomalías y archivos maliciosos, nuestro sistema de evaluación utiliza la aplicación Progger (mecanismo de registro de eventos). Se seleccionó el siguiente esquema de color para la imagen de los archivos de interés: datos maliciosos (color rojo), datos sospechosos (color amarillo), información operativa rastreable (color azul) y datos legítimos (color verde).

7 Conclusión

El artículo presenta un enfoque integral para evaluar la efectividad de la plataforma para visualizar eventos de seguridad, indicando métodos que tienen en cuenta tanto los aspectos técnicos como las características psicológicas de los usuarios. Se presentó un modelo conceptual que ilustra la interacción de los componentes " usuario ", " visualización " y " percepción cognitiva del usuario ", lo que permite obtener y mejorar las estimaciones de la efectividad de la visualización de eventos de seguridad. El uso de activadores cognitivos de SvEm le permite aumentar la concentración de la atención de los usuarios y aumentar su volumen de atención. Calificamos nuestra plataforma SvEm según las plataformas existentes y los conjuntos de datos básicos.Por lo tanto, confirmamos que los usuarios manejan bastante bien las altas cargas de trabajo e interactúan efectivamente con las visualizaciones desarrolladas para obtener la información necesaria sobre los eventos de seguridad.

7.1 Más áreas de investigación

En el futuro, nos gustaría evaluar aún más la efectividad de nuestra plataforma para los usuarios de otras áreas (atención médica, educación financiera, etc.), así como analizar cómo reaccionan cuando interactúan con la plataforma.

8 Agradecimientos

Los autores desean agradecer a Mark A. Will, Cameron Brown, Mina Mungro, miembros de los Investigadores de Ciberseguridad de Waikato (CROW Lab) y las contribuciones de nuestros pasantes [Isaiah Wong, Jia Cheng Yip, Wen Liang Guo, Xin Li Yuan] del Instituto Politécnico Nanyang, Singapur. Este proyecto está respaldado por STRATUS ("Tecnologías de seguridad para la transparencia, la confianza y la orientación al usuario en la prestación de servicios en la nube") ( https://stratus.org.nz ), un proyecto de inversión científica financiado por el Departamento de Negocios, Innovación y Empleo de Nueva Zelanda . (MBIE)). Este trabajo también fue parcialmente apoyado por el Programa de Becas de Nueva Zelanda y el Pacífico (NZAid).

9 referencias a fuentes usadas

1. M. Anderson. Vigilancia del mundo: Interpol y las políticas de cooperación policial internacional. Clarendon Press Oxford, 1989.

2. JL Carlson. Redis en acción. Manning Publications Co., Greenwich, CT, EE. UU., 2013.

3. K. Chodorow. MongoDB: la guía definitiva: almacenamiento de datos potente y escalable. O'Reilly Media, Inc., 2013.

4. H. Choo y S. Franconeri. La enumeración de pequeñas colecciones viola la ley de los webers. Boletín y revisión psiconómica, 21 (1): 93–99, 2014.

5. J. Congote, A. Segura, L. Kabongo, A. Moreno, J. Posada y O. Ruiz. Visualización interactiva de datos volumétricos con webgl en tiempo real. En Actas de la 16ª Conferencia Internacional sobre Tecnología Web 3D, páginas 137–146. ACM, 2011.

6. EOOD y M. Angelov. 20 ejemplos impresionantes para aprender WebGL con Three.js, nov. 2017

7. C. Firestone y BJ Scholl. ¿Conciencia visual mejorada para la moral y el pijama? percepción vs. memoria en los mejores efectos. Cognition 136: 409-416, 2015.

8. C. Firestone y BJ Scholl. La cognición no afecta la percepción: evaluación de la evidencia de los efectos "de arriba hacia abajo". Ciencias del comportamiento y del cerebro, 39, 2016.

9. Y.-H. Fua, MO Ward y EA Rundensteiner. Coordenadas paralelas jerárquicas para la exploración de grandes conjuntos de datos. En Actas de la conferencia sobre Visualización'99: celebrando diez años, páginas 43–50. IEEE Computer Society Press, 1999.

10. J. Garae, RK Ko, J. Kho, S. Suwadi, MA Will y M. Apperley. Visualizando el desafío de seguridad cibernética de Nueva Zelanda para los comportamientos de ataque. En Trustcom / BigDataSE / ICESS, 2017 IEEE, páginas 1123–1130. IEEE, 2017.

11. J. Garae y RKL Ko. Visualización y tendencias de procedencia de datos en el soporte de decisiones para la ciberseguridad, páginas 243–270. Springer International Publishing, Cham, 2017.

12. L. Harrison, F. Yang, S. Franconeri y R. Chang. Clasificación de visualizaciones de correlación usando la ley de Weber. Transacciones de IEEE en visualización y gráficos por computadora, 20 (12): 1943–1952, 2014.

13. MG Haselton, D. Nettle y DR Murray. La evolución del sesgo cognitivo. El manual de psicología evolutiva, 2005.

14. J. Heer, FB Vi´egas y M. Wattenberg. Voyagers y voyeurs: apoyo a la visualización asincrónica de información colaborativa. En Actas de la conferencia SIGCHI sobre factores humanos en sistemas informáticos, páginas 1029-1038. ACM, 2007.

15. VAC Henmon. El tiempo de percepción como medida de las diferencias en las sensaciones. Número 8. Science Press, 1906.

16. RV Hogg y AT Craig. Introducción a la estadística matemática (edición de 5 ”). Upper Saddle River, Nueva Jersey: Prentice Hall, 1995.

17. W. Huang, P. Eades y S.-H. Hong Medición de la efectividad de las visualizaciones gráficas: una perspectiva de carga cognitiva. Visualización de información, 8 (3): 139-152, 2009.

18. JJ Imhoff y SP Cutler. Interpol: ampliar el alcance de la aplicación de la ley en todo el mundo. FBI L. Enforcement Bull., 67:10, 1998.

19. A. Inselberg y B. Dimsdale. Coordenadas paralelas para visualizar geometría multidimensional. En Computer Graphics 1987, páginas 25 a 44. Springer, 1987.

20. M. Kay y J. Heer. Más allá de la ley de Weber: una segunda mirada a las visualizaciones de correlación de clasificación. Transacciones de IEEE en visualización y gráficos por computadora, 22 (1): 469–478, 2016.

21. RK Ko y MA Will. Progger: un registrador de kernelspace eficiente y a prueba de manipulaciones para el seguimiento de la procedencia de datos en la nube. En Cloud Computing (CLOUD), 2014 IEEE 7th International Conference on, páginas 881–889. IEEE, 2014.

22. A. Lazarevic, L. Ertoz, V. Kumar, A. Ozgur y J. Srivastava. Un estudio comparativo de esquemas de detección de anomalías en la detección de intrusos en la red. En Actas de la Conferencia Internacional SIAM 2003 sobre Minería de Datos, páginas 25–36. SIAM, 2003.

23. K. Leung y C. Leckie. Detección de anomalías sin supervisión en la detección de intrusiones en la red mediante clústeres. En Actas de la 28ª Conferencia de Australia sobre Informática, Volumen 38, páginas 333 a 322. Australian Computer Society, Inc., 2005.

24. YK Leung y MD Apperley. E3: Hacia la metricación de técnicas de presentación gráfica para grandes conjuntos de datos. En la Conferencia Internacional sobre Interacción Humano-Computadora, páginas 125–140. Springer, 1993.

25. Y. Liao y VR Vemuri. Uso del filtro classi vecino k más cercano para la detección de intrusos. Computadoras y seguridad, 21 (5): 439–448, 2002.

26. PE McKight y J. Najab. Prueba de Kruskal-wallis. Enciclopedia Corsini de Psicología, 2010.

27. T. Okoshi, J. Ramos, H. Nozaki, J. Nakazawa, AK Day y H. Tokuda. Attelia: reducción de la carga cognitiva del usuario debido a notificaciones interrumpidas en teléfonos inteligentes. En Computing y Comunicaciones generalizadas (PerCom), Conferencia Internacional IEEE 2015, páginas 96-104. IEEE, 2015.

28. T. Olsson, E. Lagerstam, T. K¨arkk¨ainen y K. V¨ a¨an¨anen-VainioMattila. Experiencia de usuario esperada de los servicios móviles de realidad aumentada: un estudio de usuarios en el contexto de centros comerciales. Computación personal y ubicua, 17 (2): 287–304, 2013.

29. ¨ O. ¨Ozt¨urk y DA Wolfe. Una prueba mejorada de dos muestras de mannwhitney-wilcoxon. Canadian Journal of Statistics, 28 (1): 123-135, 2000.

30. F. Paas, JE Tuovinen, H. Tabbers y PW Van Gerven. La medición de la carga cognitiva como un medio para avanzar en la teoría de la carga cognitiva. Psicólogo educativo, 38 (1): 63–71, 2003.

31. T. Parisi. WebGL: en funcionamiento. O'Reilly Media, Inc., 2012.

32. P. Pirolli y S. Card. El proceso de creación de sentido y los puntos de influencia para la tecnología del analista son identificables a través del análisis de tareas cognitivas. En Actas de la conferencia internacional sobre análisis de inteligencia, volumen 5, páginas 2–4, 2005.

33. RA Rensink y G. Baldridge. La percepción de correlación en diagramas de dispersión. En Computer Graphics Forum, volumen 29, páginas 1203 a 1210. Wiley Online Library, 2010.

34. P. Saraiya, C. North y K. Duca. Una metodología basada en la comprensión para evaluar las visualizaciones bioinformáticas. Transacciones IEEE en visualización y gráficos por computadora, 11 (4): 443–456, 2005.

35. P. Saraiya, C. North, V. Lam y KA Duca. Un estudio longitudinal basado en la visión de la analítica visual. IEEE Transactions on Visualization and Computer Graphics, 12 (6): 1511-1522, 2006.

36. EW Weisstein. Corrección de Bonferroni. 2004

37. M. Wertheimer. Una breve introducción a la gestalt, identificando teorías y principios clave. Psychol Forsch, 4: 301-350, 1923.

38. DA Wheeler y GN Larsen. Técnicas para la atribución de ciberataques. Informe técnico, INSTITUTO PARA LA DEFENSA ANALIZA ALEXANDRIA VA, 2003.

39. JR Wilson y J. Carter. Nodo js la forma correcta: JavaScript práctico del lado del servidor que escala. Estantería pragmática, 2013.

40. JS Yi, Y.-a. Kang, JT Stasko y JA Jacko. Comprender y caracterizar las percepciones: ¿cómo obtienen las percepciones las personas mediante la visualización de información? En Actas del Taller de 2008 sobre BEyond time and errors: novela de métodos de evaluación para la visualización de información, página 4. ACM, 2008.

41. F. Zhou, HB-L. Duh y M. Billinghurst. Tendencias en el seguimiento, la interacción y la visualización de la realidad aumentada: una revisión de diez años de ismar. En Actas del 7º Simposio Internacional IEEE / ACM sobre Realidad Mixta y Aumentada, páginas 193–202. IEEE Computer Society, 2008.

Sobre los autores del artículo

Jeffery Garae,

Ryan Ko, PhD, Estudiante de posgrado del Laboratorio de Ciberseguridad, Departamento de Informática, Universidad de Wykato, Nueva Zelanda

Mark Mark Upperli (Mark Apperley), PhD, Jefe del Departamento de Informática, Universidad de Waikato (Nueva Zelanda)

Términos y definiciones utilizados en el artículo.

La atención es la concentración del esfuerzo mental en eventos sensoriales o mentales. (Robert Solso - Psicología cognitiva) La

percepción es un resultado común de lo que viene a través de nuestro sistema sensorial y lo que ya sabemos sobre el mundo a través de la experiencia. (Robert Solso - Psicología cognitiva) Claridad

visual : ayudas gráficas especialmente creadas o seleccionadas (diagramas, tablas), artísticas y visuales (dibujos, reproducciones), ayudas naturales (objetos ambientales) diseñadas para la percepción visual, utilizadas como un medio monitorear y evaluar la actividad del sujeto en el proceso de prueba.

La carga cognitiva (carga cognitiva)

1. Una construcción multidimensional que determina cómo la carga afecta a los estudiantes al realizar ciertas tareas. (Paas F. et al. "Medición de la carga cognitiva como un medio para avanzar en la teoría de la carga cognitiva // Psicólogo educativo. - 2003. - T. 38. - No. 1. - P. 63-71)

2. El número de signos identificables en el examen preliminar.

sesgos cognitivos (sesgo cognitivo) - el error sistemático en el juicio (Aleksandrov AA psicoterapia integrativa).

concentraciones de atención (capacidad de atención) - una de las características de la atención, lo que refleja el grado o intensidad de la materia concentración a la realización de cualquier actividad o sobre cualquier tema. (Psicología humana desde el nacimiento hasta la muerte. - SPb.: PRIME - SIGNO EUROPEAR, editado por A. A. Rean. 2002.)

Percepción / percepción / iluminación (percepción): percepción intuitiva de la esencia de la tarea. (Robert Solso - Psicología cognitiva) Atención por debajo

del umbral (pre-atento) - reconocimiento inconsciente de un estímulo en una pantalla de monitor a una velocidad de menos de 200 ms. (Http://humanoit.ru/blog/166)

esfuerzo mental (esfuerzo mental) - aspecto de la carga cognitiva, que se refiere a los aspectos cognitivos, que en realidad es asignado para satisfacer las demandas de la tarea; por lo tanto, podemos suponer que refleja la carga cognitiva real. El esfuerzo mental se mide mientras los participantes de la investigación están trabajando en una tarea ([40])

Visualización de la historia de origen(visualización de procedencia): mapeo de fuentes basado en la gran cantidad de datos recopilados.

el seguimiento de la visualización (visualización de atribución) - visualización de la trayectoria entre los objetivos del origen y de ataque.

Tiempo de retención (hold semipermanente) - activador cognitivo, es una película de animación que le permite ocultar temporalmente los archivos más importantes (sospechosos) por un mínimo de 3 segundos para atraer la atención del espectador.

Activador cognitivo ( activador cognitivo): un mecanismo para atraer la atención del usuario durante el seguimiento de eventos de seguridad.

La carga de memoria de trabajo es un esfuerzo basado en estimaciones temporales de la memoria de trabajo.

Seguimiento / Atribución(atribución) - el proceso de determinar la identidad y / o ubicación de un atacante o intermediario a través del cual actúa.

Retención permanente ( retención permanente): un activador cognitivo, que es un indicador de color constante del archivo, que indica un archivo malicioso (sospechoso).

Un enfoque integrado para visualizar eventos de seguridad y medir su efectividad