Bonjour, Habr! Nous présentons à votre attention une traduction de l'article " Une approche de mesure et de présentation de l'efficacité de la visualisation de sécurité à grande échelle ".

De l'auteur de la traduction

La visualisation fournit une aide précieuse aux experts pour obtenir des conclusions et des connaissances sur l'objet de la recherche, en particulier si cette recherche est associée au traitement d'une grande quantité de données. Dans le même temps, le choix des méthodes de visualisation, en règle générale, est créatif et n'est pas un choix raisonnable sur la base d'estimations quantitatives. L'article tente d'obtenir des estimations quantitatives de la visualisation.

En outre, il convient de noter que peu d'attention est accordée à l'étude de la visualisation dans les sources en langue russe. Les études décrites dans l'article se trouvent à l'intersection de plusieurs domaines de connaissances: la sécurité de l'information, la psychologie, la science des données, ce qui permet au lecteur de se familiariser avec des sujets qui lui étaient auparavant inconnus. Une bibliographie complète sur l'étude de la visualisation est également intéressante.

Les principaux termes utilisés dans le texte de l'article sont indiqués en italique et pour eux la signification du terme étranger est indiquée entre parenthèses. Les définitions de ces termes sont données après le texte de l'article.

Annotation

Qu'est-ce qui rend efficace une représentation visuelle des événements de sécurité? Comment mesurer l'efficacité de la visualisation dans le contexte de l'étude, de l'analyse et de la compréhension des messages sur les incidents de sécurité de l'information? La détection et la compréhension des attaques informatiques sont cruciales pour la prise de décision non seulement au niveau technique, mais également au niveau de la gestion des politiques de sécurité. Notre étude couvre les deux questions, qui complètent notre système / plate-forme pour évaluer l'efficacité de la visualisation des événements de sécurité (SvEm), fournissant une approche globale pour évaluer l'efficacité des méthodes de visualisation théoriques et orientées utilisateur. Grâce à l'utilisation de la visualisation interactive en trois dimensions, notre plateforme SvEm nous permet d'augmenter l'efficacité d'un utilisateur et de plusieurs utilisateurs au cours de leur travail commun. Nous avons étudié des indicateurs de performance tels que la clarté visuelle, la visibilité, le taux de distorsion et les temps de réponse (visualisation) de l'utilisateur.

Les composants clés de la plateforme SvEm sont:

taille et résolution de l'affichage de l'appareil mobile;
entité des incidents de sécurité;
activateurs cognitifs des alertes utilisateurs;
système d'évaluation des menaces;
charge sur la mémoire de travail (charge de mémoire de travail);
gestion des couleurs.

Pour évaluer notre plateforme pour une évaluation complète de l'efficacité de la visualisation des événements de sécurité, nous avons développé (en utilisant les technologies web et mobiles) l'application VisualProgger pour visualiser les événements de sécurité en temps réel. Enfin, la visualisation SvEm vise à augmenter la durée d'attention des utilisateurs en fournissant une charge cognitive constante tout en augmentant la charge de travail sur la mémoire de travail de l' observateur. À son tour, la visualisation des événements de sécurité offre à l'utilisateur la possibilité de comprendre l'état de la sécurité des informations. Notre évaluation montre que les observateurs fonctionnent mieux avec une connaissance préalable ( charge sur la mémoire de travail ) des événements de sécurité, et aussi que la visualisation circulaire attire et maintient mieux la concentration de l'attention de l'utilisateur. Ces résultats nous ont permis d'identifier des domaines de recherche futurs liés à l'évaluation de l'efficacité de la visualisation des événements de sécurité.

Table des matières

1 Introduction
2 Contexte et domaine d'études
3 Œuvres apparentées
3.1 Méthodes d'évaluation des représentations visuelles de l'information
3.2 Méthode d'évaluation: classement des représentations visuelles des corrélations
3.3 Méthodes graphiques
3.4 Erreurs de perception dans les visualisations
3.5 Concepts de cognition, de perception et de perspicacité en visualisation
Diagramme de la plateforme 4 SvEm
4.1 Architecture du côté serveur du système
4.2 Aspects techniques de la visualisation des événements de sécurité
4.3 Entités, relations et espaces des incidents de sécurité
4.4 Norme de couleur pour l'imagerie de sécurité
4.5 Exigences cognitives pour la visualisation de la sécurité
5 Résultats: plateforme de visualisation de sécurité
5.1 Théorie SvEm
5.2 Flux de données
5.3 Exemple 1. Application de collaboration avec visualisation des événements de sécurité en temps réel
5.4 Exemple 2. Visualisation du ransomware Locky
5.5 Exemple 3. Interaction efficace avec la visualisation en réalité augmentée
5.6 Visualisation à l'échelle pour s'adapter à l'affichage
6 Évaluation et test de la plateforme SvEm
6.1 Modèle conceptuel SvEm
6.2 Test des performances de la plateforme SvEm
6.3 Évaluation des utilisateurs SvEm
6.4 Évaluation de la charge cognitive
6.5 Système de détection des menaces
7 Conclusion
8 Remerciements
9 Références aux sources utilisées

1 Introduction

Les visualisations de sécurité s'avèrent utiles pour créer une idée de l'état de sécurité, mais dans quelle mesure sont-elles efficaces? La visualisation aide-t-elle à la prise de décision dans une situation critique ou détourne-t-elle simplement l'attention? Cette étude fournit la base pour évaluer l'efficacité et le développement des représentations visuelles dans le domaine de la sécurité de l'information.

Notre objectif principal est d'améliorer la plate-forme SvEm [11] en effectuant une évaluation complète de l'efficacité des représentations visuelles des événements de sécurité à chaque étape de la perception de la visualisation. On suppose que le lecteur a déjà une compréhension de la visualisation dans le domaine de la sécurité de l'information.

Nous considérons les problèmes de productivité des processus de traitement des données, de clarté visuelle , ainsi que l'utilisation pratique des fonctions de travail interactif des utilisateurs avec les données. Pour mesurer l'efficacité de la visualisation des événements de sécurité, une évaluation complète des plates-formes Web et mobiles, ainsi que du temps de réponse des utilisateurs lorsqu'ils interagissent avec eux, est nécessaire.

Au moment où l'utilisateur interagit avec une représentation visuelle des événements de sécurité, nous souhaitons, d'une part, comprendre comment la visualisation peut attirer plus rapidement l'attention de l'utilisateur, et d'autre part, comment mesurer la concentration de son attention . Cela nécessite de surveiller l'efficacité de la charge cognitive de l'utilisateur et la charge sur sa mémoire de travail . La visualisation est plus efficace lorsque la charge cognitive diminue et que la charge sur la mémoire de travail augmente.

2 Contexte et domaine d'études

Dans la plupart des études scientifiques visant à explorer les plateformes de visualisation et l'interface utilisateur, la notion d'amélioration de l'efficacité signifie une augmentation de la productivité en réduisant le temps nécessaire pour obtenir des résultats significatifs. Dans l'article sur la plateforme que nous avons développé, le concept d '"efficacité" est associé à la visualisation des événements de sécurité en tant qu'approche holistique et intégrée, conçue pour simplifier la perception des informations essentielles à la suite de l'interaction des utilisateurs avec la visualisation.

Dans cet article, nous mesurons l'efficacité de l'ensemble du processus de visualisation de la sécurité: à la fois le processus d'affichage graphique et le processus d'interaction utilisateur. Nous sommes également convaincus que la visualisation des événements de sécurité facilite l'analyse automatisée des données, en obtenant des informations utiles à partir des données brutes sur les événements de sécurité (attaques réseau). Les représentations visuelles des événements de sécurité montrent de manière claire et dynamique les incidents de sécurité de l'utilisateur, ainsi que la relation des incidents entre eux [14] . L'interactivité suscite l'intérêt de l'utilisateur à faire les interactions nécessaires avec les visualisations pour se faire une idée de l'espace pour les attaques informatiques. La visualisation facilite également la capacité de traiter de grandes quantités de données et de visualiser les tendances et les modèles.

Cependant, la présentation des informations et les performances présentent des problèmes. Le but de cet article est donc de mesurer l'efficacité des processus de visualisation des événements de sécurité. Notre étude établit un lien entre les connaissances cognitives des utilisateurs et la plate-forme de mesure de l'efficacité de la visualisation de la sécurité [SvEm ] [11] . Notre approche de la mesure de l'efficacité couvre les étapes de planification, de conception, de mise en œuvre, d'évaluation, de validation et d'interaction avec l'utilisateur (public cible).

Dans la section suivante, nous examinons les résultats des recherches existantes sur la mesure de l'efficacité de la visualisation. Nous discutons ensuite des résultats du développement de la plateforme SvEm. En conclusion, nous présentons des orientations pour de futures recherches.

3 Œuvres apparentées

Alors que les utilisateurs choisissent des méthodes de visualisation en fonction de leurs préférences et besoins individuels, il est nécessaire d'évaluer l'efficacité de ces méthodes. Les approches modernes [11] , [12] , [17] , [40] utilisent des indicateurs tels que les performances des utilisateurs, la visibilité (clarté), la qualité d'image / le taux de distorsion, la qualité d'image / le taux de distorsion ( évaluation de la perception), une mesure de la corrélation de visualisation, une mesure de l'activité cérébrale (mesure de l'activité cérébrale) et la concordance de la visualisation. Examinez plus en détail les sources disponibles.

3.1 Méthodes d'évaluation des représentations visuelles de l'information

La plupart des méthodes d'évaluation ne prennent en compte que les aspects techniques des images, tels que la visibilité et la reconnaissance. Cependant, les plus préférées sont les représentations visuelles qui attirent les observateurs et sont capables de transmettre de manière indépendante l'essence de l'information sans avoir besoin de précisions supplémentaires. C'est le résultat le plus attendu pour la plupart des artistes et des experts en visualisation. La base qui est présente à la fois dans la visualisation et chez les utilisateurs éveille les capacités cognitives qui déclenchent des mécanismes d'efficacité. Ainsi, pour améliorer l'efficacité, certaines méthodes d'évaluation sont nécessaires pour améliorer la visualisation.

3.2 Méthode d'évaluation: classement des représentations visuelles des corrélations

L'approche utilisée avec succès dans les exercices de formation sur les ensembles de données est généralement utilisée pour obtenir des estimations scientifiques de la productivité, de la transparence et de l'intégrité. Harrison dans [12] a montré la possibilité d'appliquer la loi de Weber [4] , [15] et la loi de perception [15] dans la visualisation de corrélation de classement [20] . D'autres approches considèrent la corrélation de la formation et des meilleurs ensembles de données, illustrées à l'aide de diagrammes de dispersion et de diagrammes à coordonnées parallèles [33] . Des études psychologiques et cognitives récentes [15] ont montré que les lois de la perception [20] peuvent être appliquées pour modéliser les perceptions des personnes dans la visualisation en tenant compte de certaines propriétés des données. Rensink a démontré l'utilisation de la loi de Weber [33] lors de la création du modèle Weber Fit [12] . Ces études affirment qu'il existe une relation entre les personnes et les données présentées. La perception humaine est capable de faire la distinction entre les relations et les différences objectives dans les données corrélées. Cette déclaration est exprimée par la relation linéaire suivante:

$dp = k \ frac {dS} {S}$

où

$dp$ - changements différentiels de perception;

$k$ - seuil relatif obtenu expérimentalement (fraction de Weber);

$dS$ - augmentation différentielle de la corrélation des données.

Un certain nombre d'études statistiques [12] ont été réalisées à l'aide de critères de classement:

Test de Kruskal-Wallis [26] pour évaluer la relation entre visualisation et corrélations;
Test de Wilcoxon-Mann [16] , [29] critère de comparaison des paires de visualisations;
Correction de Bonferroni [36] pour résoudre le problème des comparaisons multiples et réduire les faux positifs.

Bien que cette méthode de classement de la visualisation des corrélations se soit avérée efficace, elle n'est pas pertinente pour ce travail.

3.3 Méthodes graphiques

Fig. 1. Schéma de la plateforme E ³

La plupart des appareils connectés à Internet ont la possibilité de se connecter, ce qui permet une collecte de données à haute vitesse. Par conséquent, cela nécessite l'utilisation de méthodes spéciales pour présenter les informations obtenues à partir des ensembles de données. Considérons, par exemple, la plate-forme graphique pour représenter de grands ensembles de données E ³ développée par Leung K. I et Upperley D. Mark [24] . La plateforme analytique E ³ vous permet de comparer différentes façons de présenter des données, en tenant compte du volume de ces données. Des caractéristiques clés, telles que l'expressivité, l'efficience et l'efficacité, vous permettent de classer l'exactitude de la présentation et la tâche de perception. Dans la fig. La figure 1 montre un schéma de la plate-forme E ³ , sur lequel les composants clés et leurs relations avec les étapes de conception d'un système de présentation de grands ensembles de données sont marqués.

3.4 Erreurs de perception dans les visualisations

Une autre méthode courante pour mesurer la visualisation consiste à calculer un taux d'erreur pour mesurer la qualité ou la distorsion de l'image. Dans la fig. La figure 2 montre la structure du projet, y compris les étapes de prétraitement, de filtrage, de séparation des canaux et de combinaison des erreurs.

Fig. 2. Schéma d'un projet évaluant la sensibilité aux erreurs

Dans ce modèle, la qualité de l'image est évaluée par la clarté visuelle et la distorsion de l' image. Le prétraitement et le filtrage améliorent les résultats de mesure de la qualité / distorsion (qui sont facilement convertis de l'un à l'autre).

3.5 Concepts de cognition, de perception et de perspicacité en visualisation

En psychologie, la mesure de l'efficacité de la visualisation est basée sur des évaluations de la cognition (perception), de la perception (perception), de la concentration de l'attention et de la charge de travail sur la mémoire de travail d'une personne. La relation rationnelle entre la capacité cognitive de l'utilisateur et la charge sur la mémoire de travail peut être déterminée en utilisant l'évaluation des efforts mentaux (effort mental) (Fig. 3). Par exemple, un score utilisateur idéal, dans lequel la vitesse de lecture est élevée et l'effort mental est faible, se situe dans la zone A (Fig. 3) [30] .

Fig. 3. L'efficacité de l'effort mental [30]

Cela signifie également que la charge sur la mémoire de travail de l' utilisateur est élevée. La recherche des utilisateurs a fourni des outils pour évaluer la charge cognitive [17] , en particulier, des méthodes pour évaluer l'effort mental et la productivité associés à l'efficacité de la visualisation.

Les recherches [40] , [34] , [35] réalisées par InfoVis ont montré la possibilité d'utiliser les informations comme mesure d'évaluation technologique. L'illumination [40] est définie comme une mesure d'une compréhension précise et profonde de quelque chose, c'est-à-dire une unité de mesure de la découverte. L'illumination ne vient souvent pas au cours de la résolution de tâches spécialement assignées, mais, en règle générale, est un sous-produit de la recherche sans le but initial de parvenir à un aperçu.

Le processus de création de sens [32] est également un rôle important dans la détermination de la perspicacité [32] , bien que le modèle «information-schema-insight-product» utilisé dans ce travail inclut la perspicacité comme composante.

En résumant les résultats de travaux similaires, nous voyons que l'évaluation de l'efficacité de la visualisation affecte non seulement la technologie, mais aussi la personne qui utilise la visualisation. Après avoir examiné les domaines clés liés à l'efficacité de la visualisation dans cette section, nous avons maintenant une compréhension claire de la place de la recherche réelle dans la méthodologie d'évaluation de la visualisation. Cependant, notre plateforme se limite aux informations dans le domaine de la sécurité des informations liées à l'évaluation de l'efficacité des mesures par rapport aux informations opérationnelles sur les incidents de sécurité.

Diagramme de la plateforme 4 SvEm

Afin de mettre en œuvre une plateforme qui évaluera l'efficacité de la visualisation des événements de sécurité, une étape importante est la phase de conception. Par conséquent, dans cette section, nous présentons la solution de conception de notre plate-forme. La plate-forme d'évaluation des performances de visualisation de la sécurité SvEm comprend les composants suivants: la surface de travail d'un écran mobile, les objets d'incident de sécurité, les événements d'alerte utilisateur, un système d'évaluation des menaces, le chargement de la RAM et un composant de gestion des couleurs. Ces composants sont discutés ci-dessous.

4.1 Architecture du côté serveur du système

L'infrastructure de la partie serveur de la plate-forme de visualisation des événements de sécurité SvEm est conçue pour prendre en charge les scripts de visualisation statiques et dynamiques (en temps réel). Il gère tous les processus d'analyse qui se produisent lors de l'utilisation de la base de données, ainsi que lors de l'assemblage et de l'agrégation d'informations. L'architecture de notre système est construite à l'aide des technologies suivantes: Windows Progger (Logging Tool), Redis, MongoDB, Nodejs et WebGL. Windows progger (version Linux progger pour Windows [21] ) est un outil de journalisation des événements au niveau du système (niveau du noyau) qui est actuellement en cours de développement avec un accent sur la sécurité dans les systèmes informatiques et cloud.Redis [2] facilite la connexion entre le cache et la base de données pour Windows Progger et mongoDB. Toutes les données sont stockées en permanence dans mongoDB [3] , tandis que nodejs [39] et webgl [5] , [31] réduisent la complexité de l'interface de la partie client de la plate-forme de visualisation.

L'architecture de la partie serveur est conçue en tenant compte des caractéristiques du processus de traitement des données lors de la gestion de leur stockage. Les données prétraitées sont créées à la suite d'un script de visualisation. Par exemple, en temps réel, un enregistrement est effectué dans le journal du noyau du système informatique afin de suivre et visualiser les sources de création, modification et suppression de fichiers.

De plus, les données sont standardisées pour évaluer l'efficacité des visualisations de sécurité sur les plateformes Web et mobiles. Les exigences pour les appareils Web et mobiles ont fourni une solution efficace aux problèmes d'interrogation, de traitement, d'analyse, de rendu et de mise à l'échelle des données qui est résolue dans l'intérêt de la visualisation des événements de sécurité. Dans la fig. La figure 4 montre les outils et bibliothèques de base nécessaires pour héberger le côté serveur de la plate-forme de visualisation de sécurité SvEm.

Fig. 4. L'architecture du côté serveur de SvEm.

Lors de la conception de la plateforme, il est nécessaire de prendre en compte de nombreuses fonctionnalités de l'application, dont les principales incluent également la garantie de la sécurité, les performances de traitement des données et la visualisation de la visualisation. Ces tâches pour notre plateforme sont les principales.

4.2 Aspects techniques de la visualisation des événements de sécurité

Lors du développement de représentations visuelles, les dimensions de l'appareil mobile doivent être prises en compte. Par exemple, les restrictions d'affichage de 1920 x 1080 pixels pour l'iPhone 6s Plus avec une hauteur de 122 mm et une largeur de 68 mm (Fig.5) nécessitent d'avoir des commandes d'affichage dans une représentation visuelle.

Fig. 5. Afficher les paramètres de l'appareil mobile Les

commandes comprennent des éléments pour réguler le volume des données traitées, choisir la méthode de visualisation et les types de visualisation qui correspondent le mieux à la taille de l'écran.

Une compréhension claire de ces limitations permet aux développeurs de visualisation d'événements de sécurité de prendre en compte la possibilité d'un affichage multidimensionnel et / ou circulaire. Ces projets permettront d'inclure un grand nombre d'attributs de données sur les incidents de sécurité.

4.2.1 projet d' imagerie de suivi (conception de visualisation attribution)

Le processus de suivi (attribution) [38] dans les informations de contexte de sécurité associé à la définition de la source d'attaque informatique. Dans la visualisation des événements de sécurité, l'image de ce processus est une tâche assez compliquée. Un ensemble suffisant de données d'entrée et une compréhension claire du processus de suivi sont nécessaires . Notre projet de suivi vise à construire un chemin entre la source et les objectifs de l'attaque. L'accent est mis sur l'identification de la source de l'attaque informatique, car la plupart des points de trajectoire concernent les victimes. Malgré notre projet de visualisation de suivi , basé sur des données d'attaque réelles, il est impossible de visualiser entièrement le processus de suivi .. Par conséquent, nous proposons un ensemble de modèles pour l'analyse prédictive, avec l'aide de quels points peuvent être connectés entre les identifiants d'attaque clés pour le suivi à partir d'un niveau supérieur à l'aide de la visualisation.

4.2.2 Conception de visualisation éprouvée

Une autre caractéristique clé de la plate-forme est l'affichage efficace des sources en fonction de la grande quantité de données collectées. Une grande quantité de données est convertie en visualisation pour les plates-formes mobiles, en tenant compte du besoin de mise à l'échelle et de la zone de travail limitée de l'écran.

Notre plateforme utilise le suivi des projets et des sources de visualisation avec un bref résumé des données pour alerter les utilisateurs des événements de sécurité. La cartographie des sources est cruciale pour les experts en sécurité et les utilisateurs finaux afin de se tenir au courant de la situation. Dans la fig. La figure 6 présente un projet de visualisation des sources avec des informations sur l'heure, le type et la source de l'attaque.

Fig. 6. Le projet de visualisation des sources pour un appareil mobile

Ce projet circulaire est conçu pour attirer l'attention de l'utilisateur sur les informations fournies et réduire le nombre de mouvements sur les onglets pour plus d'informations.

4.2.3 Types de projets de visualisation

Un autre aspect important de l'efficacité de la visualisation est de fournir aux utilisateurs (observateurs) la possibilité de choisir parmi plusieurs options pour les projets de visualisation en fonction des exigences de visualisation des données affichées. Cela vous permet de répondre aux besoins d'un public plus large.

En tant qu'éléments permettant de visualiser les événements de sécurité en temps réel, notre infrastructure offre les options suivantes pour les projets visuels [6] : "Curl (spiral)", "Sphere" et "Grid".

Comme le montre la fig.7, le projet «Curl (spirale)» est basé sur le principe / loi de continuité Gestalt [37] .

Fig. 7. Projet de visualisation «Curl (spirale)»

Cette visualisation affiche l'ordre d'exécution des fichiers et des processus conformément à l'approche «premier arrivé, premier spectacle». Lorsque l'utilisateur a attiré l'attention sur un fichier, un modèle ou un groupe spécifique avec le même comportement / la même couleur, il perçoit mentalement une image visuelle facile à comprendre.

Le projet de visualisation «Sphère» est basé sur la loi Gestalt sur la fermeture / l'achèvement, où tout est perçu comme faisant partie de l'ensemble. Dans la fig. La figure 8 montre la visualisation du contenu du système (les éléments importants sont marqués par la couleur).

Fig. 8. Visualisation du projet «Portée»

Cette méthode est simple et directe, et la visualisation peut être mise à l'échelle en fonction des paramètres d'affichage de l'appareil mobile. Quel que soit le nombre de fichiers ou de processus que vous souhaitez afficher, l'approche sphérique crée une visualisation dans laquelle toutes les parties sont la somme de l'ensemble.

Le projet de visualisation de la grille met en œuvre une approche à plusieurs niveaux de la visualisation, dans laquelle de nouveaux fichiers sont visuellement affichés au premier plan de la grille de visualisation. Cette conception attire l'attention des observateurs sur les nouveaux fichiers / processus d'intérêt. L'attention constante de l'observateur permet de rester concentré, tout en laissant la possibilité à d'autres mécanismes de notification de transmettre des informations à l'observateur. Dans la fig. La figure 9 montre un exemple de projet Grid avec plusieurs couches pour les fichiers et les processus.

Fig. 9. Le projet de visualisation "Grille" De

plus, nous fournissons le projet "Anneaux imbriqués" (à couches circulaires), montré sur la Fig. 10.

Fig. 10. Projet de visualisation de ransomware Locky pour un appareil mobile

Le projet vous permet de lier plusieurs attributs et catégories de divers fichiers et processus. L'efficacité dans ce cas se manifeste dans les transitions entre les couches, permettant aux observateurs de voir et de comprendre le fonctionnement des différents systèmes de fichiers. L'utilisation de l'approche de la construction de visualisations à plusieurs niveaux nous permet de relier les deux niveaux différents de la hiérarchie de l'information et des relations d'information.

4.2.4 Composantes d'évaluation des menaces

Un composant d'évaluation des menaces qui identifie et visualise les menaces est un autre composant important de l'infrastructure SvEm. Notre cadre d'évaluation des menaces (figure 11) couvre les anomalies, les logiciels malveillants et les mécanismes de détection personnalisés.

Fig. 11. Schéma du mécanisme d'analyse des menaces.

Les ensembles de données sont filtrés à l'aide de tests / formations et de données enregistrées [10] et de bases de données de signatures de menaces connues. La détection des anomalies est effectuée conformément à l'algorithme, qui sera discuté dans la section sur l'évaluation et la validation. Notre ensemble de données de base se compose de menaces connues (précédemment détectées), de journaux remplis par les utilisateurs, ainsi que de modèles de menaces et de comportements connus. Cela crée un meilleur environnement pour le contrôle et la surveillance.

4.3 Entités, relations et espaces des incidents de sécurité

4.3.1 Essence

Pour l' essentiel, la relation (relations entités) et la zone de sécurité (paysages de sécurité) sont les principales composantes de notre plate - forme d'exploitation. Pour les entités comprennent: les sujets des menaces, des charges utiles malveillants compromis adresse IP et bien d' autres. Ces objets présentent un intérêt pour le fonctionnement de la théorie de la mesure de l'efficacité du SvEm. Les performances de notre plate-forme sont affectées par la capacité d'identifier ces entités en utilisant la visualisation dans le moins de temps possible.

4.3.2 Relations d'entité

Les relations d'entité , également appelées liens , sont essentielles à notre plateforme. Les fonctions de relation d'entité lient les entités entre elles. Ces liens activent également les fonctions cognitives de l'utilisateur, qui lui permettent de percevoir des informations cachées et contribuent potentiellement à des informations sur l'état de sécurité.

4.3.3 Espaces d'incidents de sécurité

Les espaces de sécurité créent une zone d'incident et un environnement permettant aux utilisateurs (observateurs) de concentrer leurs images mentales sur un incident de sécurité spécifique. L'espace familier aide l'utilisateur à limiter mentalement la zone de son interaction avec la visualisation.

4.4 Norme de couleur pour l'imagerie de sécurité

Il est très important de standardiser l'utilisation des couleurs pour visualiser les événements de sécurité. De grandes quantités de données sur des entités pouvant être intéressantes nécessitent de simplifier la visualisation des événements de sécurité dans le but d'accélérer le traitement des informations. Par exemple, l'utilisation des couleurs «rouge» et «orange» dans le même espace visuel crée automatiquement une confusion pour les utilisateurs, ce qui complique l'ensemble du processus de visualisation. Notre jeu de couleurs standardisé est illustré à la fig. 12: "rouge, jaune, vert, bleu, violet et orange."

Fig. 12. Norme de couleur pour la visualisation des événements de sécurité.

Ces couleurs sont divisées en deux groupes: primaire et secondaire. Le groupe principal de couleurs est le rouge, le jaune, le vert et le bleu. Un groupe supplémentaire comprend: violet et orange. Des couleurs supplémentaires sont destinées à la visualisation des événements de sécurité par les services répressifs à l'aide de jeux de couleurs correspondant au système de notification d'Interpol [1] , [18] . Par exemple, la couleur orange est utilisée uniquement pour afficher le chiffre d'affaires du contenu illégal et est considérée comme un type de visualisation indépendant.

La norme de couleur vise à faciliter la familiarisation dans un environnement confortable spécialement conçu. Du point de vue du développeur, il est important de bien comprendre comment les couleurs d'une visualisation sont liées aux attributs des événements de sécurité. Cela crée la nécessité d'une gestion des couleurs pour éviter une mauvaise interprétation de la visualisation en raison de problèmes de superposition possibles lors de la présentation d'incidents de sécurité.

4.5 Exigences cognitives pour la visualisation de la sécurité

Le traitement de l'information est une fonction humaine naturelle qui ne peut pas être contrôlée à l'aide de la technologie. Cependant, il existe des méthodes qui peuvent être utilisées dans le traitement des informations pour une visualisation spécifique des événements de sécurité, comme formes de contrôle. L'utilisation de ces méthodes visant à réduire la distorsion cognitive (biais cognitif) [13] , qui souvent conduit à une perception erronée, le jugement et des conclusions inexactes illogiques.

Par conséquent, la partie la plus importante de la conception de notre plate-forme SvEm est la définition des attributs psychologiques cognitifs dans la visualisation des événements de sécurité. Cela vous permet de définir des exigences pour l'efficacité de l'ensemble du processus de visualisation des tâches utilisateur.

Exigences pourcharge cognitive , charge sur la mémoire de travail , activateurs cognitifs de l' utilisateur.

Les tâches psychologiques suivantes sont également définies:

au niveau de l' attention (processus d'attention);
au niveau de l' attention au-dessous du seuil (processus pré-attentif);
au niveau de l'effort mental (pour la mémoire).

Du point de vue de l'application de visualisation des événements de sécurité, les activateurs d' alerte cognitive sont conçus pour connecter l'observateur à la visualisation présentée. Ces activateurs nous avons appelé les termes attente temporaire (Hold semi-permanente) et la rétention permanente (Hold permanente). La section d'évaluation (section VI) montrera le rôle important qu'ils jouent dans notre plateforme.

5 Résultats: plateforme de visualisation de sécurité

5.1 Théorie SvEm

Commençons par une explication plus détaillée de notre algorithme SvEm. L'algorithme SvEm est basé sur les indicateurs suivants:

estimation théorique de la distorsion ( ); $d_{svem}$
évaluation théorique du temps ( $t_{svem}$ )

Les estimations théoriques de la distorsion et du temps sont calculées par les formules (1) et (2), respectivement:

$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$

$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$

où

- dimensions de la surface de travail de l'appareil mobile;

$w*h$

- le nombre d'éléments de sécurité visuels (par exemple, un paquet IP infecté, un horodatage, etc.);

$Sv_f$

-zone àndimensions de visualisation des événements de sécurité;

$d_n$

-charge cognitive(le nombre de caractéristiques identifiables lors de la familiarisation préalable);

$Cl$

-charge sur la mémoire de travail(effort basé sur des estimations temporaires de la mémoire de travail);

$t_{me}$

$n_ {clics}$ - le nombre d'interactions avec la visualisation.

Les estimations théoriques de SvEm sont basées sur la vitesse et le temps de distorsion . Malgré le fait que le coefficient de distorsion soit de 50%, notre note globale est mesurée par rapport à la note «élevée» ou «faible», ce qui la rend plus réaliste. Les facteurs suivants affectent le taux de distorsion:

taille et résolution du téléphone;
connaissances des utilisateurs;
clics de l'utilisateur

Le temps SvEm est mesuré relativement constant: 0,25 seconde [27] , connu en psychologie comme le temps minimum nécessaire à une personne pour comprendre l'information dans le processus de sa perception. Ainsi, notre score total est calculé comme une moyenne et comparé à de nombreux résultats d'autres mesures.

Les performances des applications, ainsi que les méthodes de gestion des données, sont mises en œuvre en tenant compte de l'amélioration de la qualité des valeurs finales des indicateurs de distorsion et du temps . La gestion de l'affichage des données dans l'espace visuel de notre application est réalisée pour atteindre l'équilibre lors des calculs complexes de visualisation matérielle.

Charge cognitive (

$Cl$ ) et chargez la mémoire de travail (

$t_ {me}$ ) sont calculés sur la base des résultats antérieurs d'études théoriques. Notre algorithme SvEm implémente des méthodes bien connues.

5.2 Flux de données

L'un des avantages de la plate-forme SvEm est la capacité de gérer les données tout au long du processus: de l'écriture à une base de données à la sortie de la visualisation à l'aide de la technologie WebGL. Dans la fig. 13 est un diagramme de flux de données montrant les principaux composants du côté serveur.

Fig. 13. Résultats du traitement des données

L'utilisation de Progger, Redis et MongoDB fournit le contrôle nécessaire sur le flux de données. Une grande quantité de données est transférée à l'interface de visualisation de sécurité, en tenant compte des caractéristiques de la plateforme mobile utilisée (puissance de calcul de l'équipement, taille d'affichage et résolution). Cela permet à nos scénarios d'analyse de mettre à l'échelle les données de manière appropriée pour améliorer la visibilité grâce à l'utilisation de formulaires de présentation plus simples.

Prenons plusieurs exemples d'utilisation de notre plateforme, développés à partir des résultats de l'analyse des données obtenues lors des tests de la plateforme. Une démonstration vidéo des exemples peut être consultée sur le lien suivant: un exemple d'utilisation de la plate-forme de visualisation de sécurité SvEm (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 Exemple 1. Application de collaboration avec visualisation des événements de sécurité en temps réel

L'outil de visualisation du journal de sécurité VisualProgger a été créé par notre équipe pour examiner visuellement l'historique des événements enregistrés par Progger [21] . VisualProgger se concentre sur la visualisation en temps réel des événements de sécurité et vous permet d'augmenter l'efficacité de l'analyse grâce à la visibilité , aux performances élevées et à l'utilisation d' activateurs cognitifs . Au cours de l'analyse des données, réalisée à l'aide d'une visualisation animée et de mécanismes de notification en temps opportun, des informations importantes sur l'état de protection ont été révélées.

Fonctionnalité de VisualProgger: VisualProgger fournit des fonctions pour visualiser les événements de sécurité à la fois en temps réel et pour les données précédemment enregistrées, par exemple, observées lors de cyber-exercices entre les équipes rouges et bleues (attaquant et défendant) [10] . Dans un script de visualisation en temps réel, nous avons développé et appliqué une méthode de notification qui nous permet d'augmenter la concentration d'attention de l'utilisateur. Nous avons appelé cette méthode «activateurs cognitifs SvEm» (SvEm: activateurs cognitifs). Les activateurs suivants sont implémentés:

« Maintien temporaire »: la fonction animée illustrée à la Fig. 14, permettant de masquer temporairement les fichiers les plus importants (suspects) pendant au moins 3 secondes afin d'attirer l'attention de l'observateur;
« Maintien permanent »: un indicateur de couleur constante du fichier, indiquant un fichier malveillant (suspect). Les couleurs rouge ou jaune sont utilisées selon l'importance du fichier;
Fichier critique détecté: identifiant d'alerte qui attire l'attention de l'observateur;
« Alerte sonore »: identifiant d'alerte facultatif qui attire l'attention de l'observateur (particulièrement important pour les personnes daltoniennes).

Fig. 14. Démonstration de l' activateur "Rétention temporaire"

Les activateurs cognitifs SvEm considérés sont principalement utilisés pour afficher des fichiers et des attributs malveillants qui sont importants du point de vue de la sécurité des informations. Les fichiers et les attributs des données affichées sont convertis en quelques représentations visuelles des événements de sécurité afin d'aider à la prise de décisions en fournissant un meilleur contenu d'information.

5.4 Exemple 2. Visualisation du ransomware Locky

La visualisation des événements de sécurité du rançongiciel Locky illustrée à la Fig. 15 utilise le projet Nested Rings, conçu spécifiquement pour concentrer l'attention de l'utilisateur uniquement sur la visualisation affichée.

Fig. 15. Visualisation des fichiers de cryptage du ransomware Locky

Le projet Nested Rings vous permet d'organiser les données les unes sur les autres sous forme de couches sur les plates-formes mobiles. De cette façon, la classification des bibliothèques, des processus et des fichiers du système infecté peut être affichée. La possibilité de suivre visuellement la détection des fichiers Locky (.docx, .png, .jpeg, .xlsx, etc.) par le programme ransomware avant de les crypter pendant la mise en œuvre de l'attaque donne à l'utilisateur une idée claire du fonctionnement du ransomware. Les fichiers cryptés sont ensuite surlignés en rouge pour indiquer quel fichier a été crypté.

Les fichiers cryptés (fichiers critiques) marqués en rouge peuvent être sélectionnés par les observateurs (lors du survol, du clic et / ou d'autres actions) pour une analyse plus approfondie (Fig.16).

Fig. 16. Visualisation des événements d'affichage sur les fichiers cryptés par Lock ransomware

Grâce à ces fonctionnalités, les utilisateurs souhaitent effectuer des recherches interactives à l'aide de la visualisation, ce qui augmente également l'interaction de l'utilisateur avec la visualisation.

5.5 Exemple 3. Interaction efficace avec la visualisation en réalité augmentée

La réalité augmentée (RA) dans le domaine de la visualisation de la sécurité de l'information offre à l'utilisateur une expérience intéressante et lui ouvre de nouvelles opportunités. Il attire l'attention de l'observateur sur les incidents de sécurité grâce à l'utilisation de la visualisation. Fournir aux observateurs une visualisation tridimensionnelle avec des interprétations des couleurs contribue à une vitesse d'analyse plus élevée avec moins d' effort mental [28] . À leur tour, les observateurs cherchent à obtenir des détails supplémentaires afin d'obtenir les connaissances nécessaires en matière de sécurité.

Notre visualisation de la réalité augmentée (Fig.17) permet aux utilisateurs de téléphones mobiles d'utiliser des plates-formes mobiles personnelles pour visualiser des cyber-exercices d'équipes rouge-bleu (attaque / défense).

Fig. 17. Le projet de la partie client de la visualisation de la réalité augmentée

La création d'une expérience de réalité augmentée améliore la capacité de l'observateur à percevoir les informations [41] . Ainsi, grâce aux informations correctes sélectionnées à l'aide de la visualisation AR, les observateurs ont pu traiter une plus grande quantité de données et prendre de meilleures décisions qui contribuent à une sécurité accrue.

À l'aide de sphères multicolores (Fig. 17), exprimant divers aspects de l'attaque, une attaque informatique simulée est démontrée en temps réel. Grâce à l'interaction avec la visualisation AR interactive, l'utilisateur peut comprendre les caractéristiques des attaques informatiques menées par l'équipe rouge.

5.6 Visualisation à l'échelle pour s'adapter à l'affichage

Compte tenu des restrictions imposées aux plates-formes mobiles, ainsi qu'en raison de la grande quantité de données collectées en permanence, il est nécessaire d'adopter des approches spéciales de visualisation afin de visualiser les attaques informatiques. Un diagramme avec des coordonnées parallèles [9] , [19] a permis de créer une conception de visualisation tridimensionnelle qui contient tout le volume de données nécessaire. Dans la fig. La figure 18 montre la répartition du trafic réseau avec des données de sécurité entre les couches application, système et réseau.

Figure 18. Visualisation multidimensionnelle des événements de sécurité à l'aide d'un graphique avec des coordonnées parallèles.

6 Évaluation et test de la plateforme SvEm

6.1 Modèle conceptuel SvEm

Nous avons construit le modèle SvEm sur la base des résultats de la recherche scientifique dans le domaine de la technologie informatique et de la psychologie, qui consistait à appliquer une approche intégrée de mesure de l'efficacité pour les principales composantes suivantes:

utilisateur
visualisation
perception cognitive de l'utilisateur (cognition de l'utilisateur).

Cela nous a permis de développer un modèle conceptuel qui prend en compte l'expérience acquise par les utilisateurs dans la visualisation des incidents de sécurité. Dans la fig. La figure 19 montre le modèle SvEm, qui comprend toutes les composantes d'efficacité ci-dessus: l'utilisateur, la visualisation et les facteurs associés, la perception cognitive de l'utilisateur.

Fig. 19. Modèle SvEm illustrant la relation entre les composants "Utilisateur", "Visualisation" et "Perception cognitive de l'utilisateur"

Les intersections de ces composants déterminent les modèles qui caractérisent les objectifs d'extraction des connaissances de sécurité de la visualisation.

Au centre du modèle SvEm se trouve un mécanisme par lequel la perception résulte de la combinaison de la perception cognitive , de l' utilisateur et de la visualisation . Du fait de l'observation faite par l'utilisateur en cours de perception, les demandes se posent au niveau de l'attention sous le seuil (pré-attentif). Dans le cas de la comparaison de la visualisation des événements de sécurité, les efforts mentaux émanant de l'utilisateur (observateur) utilisent ses capacités cognitives, qui sont impliquées dans le processus de réflexion. L'ensemble de ce processus crée une charge sur la mémoire de travail de l' utilisateur, en fonction de la visualisation particulière des événements de sécurité présentés. Étant donné la relation entre l' utilisateur , la perception cognitive et la visualisation de l'utilisateur , nos méthodes de visualisation efficaces créent la relation ultime entre l' utilisateur et la visualisation présentée. En conséquence, la distorsion et / ou le temps est déterminé. L'occurrence des informations SvEm se produit lorsque tous les composants du modèle SvEm sont appariés et que la valeur de l'effort mental est définie comme faible, ce qui conduit à la conversion et à la transmission d'informations correctes sur les événements de sécurité pour que l'utilisateur les traite.

6.2 Test des performances de la plateforme SvEm

Nous avons testé les performances de la plateforme SvEm dans les domaines suivants:

visualisation de la visualisation;
performance du transfert de données entre le serveur et la partie client;
évaluation de la cartographie des activateurs cognitifs .

Des tests de visualisation de visualisation ont été effectués au stade du développement de l'application. Il consistait à concevoir l'architecture des nœuds de traitement de données sur la base du Security Visualization Standard (SCeeVis). Par exemple, l'utilisation de la technologie graphique WebGL 3D offre à l'interface utilisateur de nouvelles possibilités de visualisation visuelle interactive lors du traitement d'une grande quantité d'informations. L'architecture de l'application a permis de traiter une plus grande quantité de données et de les présenter côté client.

Dans la fig. 20 montre les performances estimées lors de la transmission des données.

Fig. 20. Évaluation des performances de l'application VisualProgger

Pour évaluer les performances, le temps moyen de transfert de données (en millisecondes) par divers fichiers exécutables (.exe) a été enregistré lors de la transmission de données de différents types et tailles.

6.3 Évaluation des utilisateurs SvEm

Au cours de l'évaluation, la conclusion suivante a été obtenue: pour que la visualisation soit efficace, la charge sur la mémoire de travail est cruciale pour des performances de lecture élevées. Les évaluations des utilisateurs ont été utilisées pour évaluer l'efficacité de la plateforme SvEm. La norme de couleur a aidé à améliorer l'expérience utilisateur en leur permettant de traiter les modèles de comportement plus rapidement en classant et en suivant les relations. Si les utilisateurs connaissaient la norme de couleur, ils pourraient traiter les liens entre les points d'événement plus rapidement qu'avec l'approche de visualisation, qui utilisait des attributs de sécurité au lieu de la couleur.

L'incorporation d' activateurs cognitifs SvEm dans notre plateforme a fourni aux utilisateurs un mécanisme pour attirer l'attention tout en suivant les événements de sécurité. Cela stimule automatiquement les capacités cognitives de l'observateur, l'incitant à interagir davantage avec la visualisation présentée.

6.4 Évaluation de la charge cognitive

Des recherches antérieures dans le domaine de la psychologie ont apporté une contribution significative à la formation des utilisateurs, et les preuves théoriques [7] , [8] ont amélioré la compréhension de la charge cognitive des utilisateurs. Pour déterminer la relation entre la perception, la cognition et la plateforme SvEm, nous avons utilisé une approche psychologique bien connue liée à la méthode de détermination de la charge cognitive et de la mémoire de travail , ainsi que le concept de la relation entre la perception de l'utilisateur et les processus cognitifs. L'approche a été appliquée dans des conditions où la conscience de l'utilisateur était capable de percevoir des objets (tels que des images de nœuds de sécurité) lors de l'interaction avec la visualisation des événements de sécurité. En conséquence, les utilisateurs pourraient penser à des mots clés liés aux images présentées des nœuds de sécurité, améliorant ainsi leur perception, qui, à son tour, est associée à une expérience antérieure d'interaction avec la visualisation. Ce processus dans l'incident de sécurité présenté a été effectué avec une charge élevée sur la mémoire de travail.

Fig. 21. Comparaison des estimations de la charge cognitive et de la charge sur la mémoire de travail chez les observateurs

Ainsi, nous avons mené diverses expériences avec l'utilisateur et obtenu les résultats suivants (Fig. 21). L'expérience a démontré la constance des performances de la charge cognitive et de la charge sur la mémoire de travail des observateurs: avec une augmentation de la charge sur la mémoire de travail , la charge cognitive a également augmenté, mais a maintenu la limite. Dans la fig. Les 21 lignes de meilleur ajustement montrent que les deux caractéristiques sont linéaires, et la charge cognitive a une limite de charge constante (capacité), par conséquent, ne chevauche pas la charge de performance sur la mémoire de travail . Il s'agit d'une situation idéale pour l'utilisateur (observateur) lors de l'analyse de visualisations d'événements de sécurité.

6.5 Système de détection des menaces

Pour filtrer les données collectées à l'aide de Progger, des algorithmes de signature bien connus pour détecter les anomalies et les logiciels malveillants ont été utilisés. Sur la base de données réelles, nous avons provisoirement sélectionné les algorithmes suivants qui répondent à nos attentes: facteur de valeurs aberrantes locales (LOF) [22] , DBscan [23] et K-voisins les plus proches (KNN) [25] . Cela nous a permis de tester les performances du système d'évaluation de la détection des menaces. Une action normale aura un score compris entre 10 et 80, et un comportement anormal sera exprimé comme une valeur négative. De même, les fichiers suspects sur les systèmes sont également analysés sur la base d'une base de données de signatures stockée. Dans la fig. 22 montre un comportement normal et anormal et des entrées malveillantes.

Fig. 22. Les résultats du système de détection d'anomalies

De plus, l'analyse des fichiers sur le système et le fait d'avoir un historique de journal préconfiguré aident à déterminer les chemins de fichiers connus. Par conséquent, si un fichier connu ou suspect apparaît ailleurs, il est automatiquement marqué en jaune ou en rouge.

Nous avons analysé les performances de notre système d'évaluation des menaces sur des ensembles de données réels préparés. Plusieurs algorithmes de détection d'anomalies et de signatures malveillantes ont été utilisés comme filtres. Pour évaluer les anomalies et les fichiers malveillants, notre système d'évaluation utilise l'application Progger (mécanisme de journalisation des événements). Le schéma de couleurs suivant a été sélectionné pour l'image des fichiers d'intérêt: données malveillantes (couleur rouge), données suspectes (couleur jaune), informations opérationnelles traçables (couleur bleue) et données légitimes (couleur verte).

7 Conclusion

L'article présente une approche globale pour évaluer l'efficacité de la plateforme de visualisation des événements de sécurité, en indiquant des méthodes qui prennent en compte à la fois les aspects techniques et les caractéristiques psychologiques des utilisateurs. Un modèle conceptuel a été présenté illustrant l'interaction des composants « utilisateur », « visualisation » et « perception cognitive de l'utilisateur », qui permet d'obtenir et d'améliorer les estimations de l'efficacité de la visualisation des événements de sécurité. L'utilisation d'activateurs cognitifs de SvEm vous permet d'augmenter la concentration de l'attention des utilisateurs et d'augmenter leur volume d'attention. Nous avons évalué notre plateforme SvEm en fonction des plateformes existantes et des ensembles de données de base.Ainsi, nous confirmons que les utilisateurs gèrent assez bien les charges de travail élevées et interagissent efficacement avec les visualisations développées afin d'obtenir les informations nécessaires sur les événements de sécurité.

7.1 Autres domaines de recherche

À l'avenir, nous aimerions évaluer davantage l'efficacité de notre plate-forme pour les utilisateurs d'autres domaines (soins de santé, éducation financière, etc.), ainsi que d'analyser comment ils réagissent lorsqu'ils interagissent avec la plate-forme.

8 Remerciements

Les auteurs tiennent à remercier Mark A. Will, Cameron Brown, Mina Mungro, membres des Waikato Cybersecurity Researchers (CROW Lab) et les contributions de nos stagiaires [Isaiah Wong, Jia Cheng Yip, Wen Liang Guo, Xin Li Yuan] du Nanyang Polytechnic Institute, Singapour. Ce projet est soutenu par STRATUS («Security Technologies for Transparency, Trust and User Orientation in the Provision of Cloud Services») ( https://stratus.org.nz ), un projet d'investissement scientifique financé par le ministère néo-zélandais du commerce, de l'innovation et de l'emploi . (MBIE)). Ce travail a également été partiellement soutenu par le programme de bourses de Nouvelle-Zélande et du Pacifique (NZAid).

9 Références aux sources utilisées

1. M. Anderson. Police du monde: Interpol et la politique de coopération policière internationale. Clarendon Press Oxford, 1989.

2. JL Carlson. Redis en action. Manning Publications Co., Greenwich, CT, États-Unis, 2013.

3. K. Chodorow. MongoDB: The Definitive Guide: Puissant et évolutif stockage de données. O'Reilly Media, Inc., 2013.

4. H. Choo et S. Franconeri. L'énumération de petites collections viole la loi des webers. Bulletin et revue psychonomiques, 21 (1): 93–99, 2014.

5. J. Congote, A. Segura, L. Kabongo, A. Moreno, J. Posada et O. Ruiz. Visualisation interactive des données volumétriques avec webgl en temps réel. Dans Actes de la 16e Conférence internationale sur la technologie Web 3D, pages 137–146. ACM, 2011.

6. EOOD et M. Angelov. 20 exemples impressionnants pour apprendre WebGL avec Three.js, nov. 2017.

7. C. Firestone et BJ Scholl. Sensibilisation visuelle accrue à la moralité et aux pyjamas? perception vs mémoire dans les meilleurs effets. Cognition 136: 409-416, 2015.

8. C. Firestone et BJ Scholl. La cognition n'affecte pas la perception: évaluer les preuves des effets «descendants». Sciences du comportement et du cerveau, 39, 2016.

9. Y.-H. Fua, MO Ward et EA Rundensteiner. Coordonnées parallèles hiérarchiques pour l'exploration de grands ensembles de données. Dans Actes de la conférence sur la visualisation'99: dix ans à célébrer, pages 43–50. IEEE Computer Society Press, 1999.

10. J. Garae, RK Ko, J. Kho, S. Suwadi, MA Will et M. Apperley. Visualiser le défi de la cybersécurité en Nouvelle-Zélande pour les comportements d'attaque. Dans Trustcom / BigDataSE / ICESS, 2017 IEEE, pages 1123–1130. IEEE, 2017.

11. J. Garae et RKL Ko. Visualization and Data Provenance Trends in Decision Support for Cybersecurity, pages 243–270. Springer International Publishing, Cham, 2017.

12. L. Harrison, F. Yang, S. Franconeri et R. Chang. Classement des visualisations de corrélation à l'aide de la loi de Weber. Transactions IEEE sur la visualisation et l'infographie, 20 (12): 1943–1952, 2014.

13. MG Haselton, D. Nettle et DR Murray. L'évolution des biais cognitifs. Le manuel de psychologie évolutionniste, 2005.

14. J. Heer, FB Vi´egas et M. Wattenberg. Voyagers et voyeurs: prise en charge de la visualisation collaborative d'informations asynchrone. Dans Actes de la conférence SIGCHI sur les facteurs humains dans les systèmes informatiques, pages 1029-1038. ACM, 2007.

15. VAC Henmon. Le temps de perception comme mesure des différences de sensations. Numéro 8. Science Press, 1906.

16. RV Hogg et AT Craig. Introduction à la statistique mathématique (édition 5 ””). Upper Saddle River, New Jersey: Prentice Hall, 1995.

17. W. Huang, P. Eades et S.-H. Hong. Mesurer l'efficacité des visualisations graphiques: une perspective de charge cognitive. Visualisation de l'information, 8 (3): 139–152, 2009.

18. JJ Imhoff et SP Cutler. Interpol: étendre la portée des forces de l'ordre dans le monde. FBI L. Enforcement Bull., 67:10, 1998.

19. A. Inselberg et B. Dimsdale. Coordonnées parallèles pour visualiser la géométrie multidimensionnelle. Dans Computer Graphics 1987, pages 25 à 44. Springer, 1987.

20. M. Kay et J. Heer. Au-delà de la loi de Weber: un deuxième regard sur les visualisations de classement de la corrélation. Transactions IEEE sur la visualisation et l'infographie, 22 (1): 469–478, 2016.

21. RK Ko et MA Will. Progger: un enregistreur d'espace noyau efficace et inviolable pour le suivi de la provenance des données cloud. In Cloud Computing (CLOUD), 2014 IEEE 7th International Conference on, pages 881–889. IEEE, 2014.

22. A. Lazarevic, L. Ertoz, V. Kumar, A. Ozgur et J. Srivastava. Une étude comparative des schémas de détection d'anomalies dans la détection d'intrusion de réseau. Dans Actes de la Conférence internationale SIAM de 2003 sur l'exploration de données, pages 25–36. SIAM, 2003.

23. K. Leung et C. Leckie. Détection d'anomalies non supervisée dans la détection d'intrusion de réseau à l'aide de clusters. Dans Actes de la vingt-huitième conférence australienne sur l'informatique, volume 38, pages 333 à 342. Australian Computer Society, Inc., 2005.

24. YK Leung et MD Apperley. E3: Vers la métrique des techniques de présentation graphique de grands ensembles de données. Dans Conférence internationale sur l'interaction homme-machine, pages 125–140. Springer, 1993.

25. Y. Liao et VR Vemuri. Utilisation du filtre k classi du voisin le plus proche pour la détection d'intrusion. Ordinateurs et sécurité, 21 (5): 439–448, 2002.

26. PE McKight et J. Najab. Test de Kruskal-wallis. Encyclopédie Corsini de psychologie, 2010.

27. T. Okoshi, J. Ramos, H. Nozaki, J. Nakazawa, AK Day et H. Tokuda. Attelia: réduction de la charge cognitive de l'utilisateur grâce aux notifications d'interruption sur les téléphones intelligents. Dans Pervasive Computing and Communications (PerCom), 2015 IEEE International Conference on, pages 96-104. IEEE, 2015.

28. T. Olsson, E. Lagerstam, T. K¨arkk¨ainen et K. V¨ a¨an¨anen-VainioMattila. Expérience utilisateur attendue des services de réalité augmentée mobile: une étude utilisateur dans le contexte des centres commerciaux. Informatique personnelle et omniprésente, 17 (2): 287–304, 2013.

29. ¨ O. ¨Ozt¨urk et DA Wolfe. Un test de mannwhitney-wilcoxon amélioré à deux échantillons. Journal canadien de statistique, 28 (1): 123-135, 2000.

30. F. Paas, JE Tuovinen, H. Tabbers et PW Van Gerven. Mesure de la charge cognitive comme moyen de faire avancer la théorie de la charge cognitive. Psychologue scolaire, 38 (1): 63–71, 2003.

31. T. Parisi. WebGL: opérationnel. O'Reilly Media, Inc., 2012.

32. P. Pirolli et S. Card. Le processus de création de sens et les points de levier pour la technologie des analystes identifiables par l'analyse des tâches cognitives. Dans Actes d'une conférence internationale sur l'analyse du renseignement, volume 5, pages 2 à 4, 2005.

33. RA Rensink et G. Baldridge. La perception de la corrélation dans les diagrammes de dispersion. Dans Computer Graphics Forum, volume 29, pages 1203–1210, Wiley Online Library, 2010.

34. P. Saraiya, C. North et K. Duca. Une méthodologie basée sur la perspicacité pour évaluer les visualisations bioinformatiques. Transactions IEEE sur la visualisation et l'infographie, 11 (4): 443–456, 2005.

35. P. Saraiya, C. North, V. Lam et KA Duca. Une étude longitudinale basée sur la perspicacité de l'analyse visuelle. Transactions IEEE sur la visualisation et l'infographie, 12 (6): 1511-1522, 2006.

36. EW Weisstein. Correction de Bonferroni. 2004.

37. M. Wertheimer. Une brève introduction à la gestalt, identifiant les théories et principes clés. Psychol Forsch, 4: 301-350, 1923.

38. DA Wheeler et GN Larsen. Techniques d'attribution des cyberattaques. Rapport technique, INSTITUTE FOR DEFENSE ANALYZES ALEXANDRIA VA, 2003.

39. JR Wilson et J. Carter. Noeud. js dans le bon sens: javascript pratique côté serveur qui évolue. Bibliothèque pragmatique, 2013.

40. JS Yi, Y.-a. Kang, JT Stasko et JA Jacko. Comprendre et caractériser les informations: comment les utilisateurs peuvent-ils obtenir des informations en utilisant la visualisation des informations? Dans les actes de l'atelier de 2008 sur BEyond time and errors: novel evaLuation methods for Information Visualization, page 4. ACM, 2008.

41. F. Zhou, HB-L. Duh et M. Billinghurst. Tendances du suivi, de l'interaction et de l'affichage en réalité augmentée: un examen de dix ans d'ismar. Dans les Actes du 7e Symposium International IEEE / ACM sur la Réalité Mixte et Augmentée, pages 193–202. IEEE Computer Society, 2008.

À propos des auteurs de l'article

Jeffery Garae,

Ryan Ko, PhD, Cybersecurity Laboratory Postgraduate Student, Department of Computer Science, University of Wykato, New Zealand,

Mark Mark, Mark Cyber Security Laboratory, Department of Computer Science, University of Waikato, Nouvelle-Zélande Upperli (Mark Apperley), PhD, chef du département d'informatique, Université de Waikato (Nouvelle-Zélande)

Termes et définitions utilisés dans l'article

L'attention est la concentration de l'effort mental sur des événements sensoriels ou mentaux. (Robert Solso - Psychologie cognitive) La

perception est un résultat commun de ce qui vient de notre système sensoriel et de ce que nous savons déjà du monde par l'expérience. (Robert Solso - Psychologie cognitive) Clarté

visuelle - aides graphiques spécialement créées ou sélectionnées (diagrammes, tableaux), artistiques et visuelles (dessins, reproductions), naturelles (objets environnementaux) conçues pour la perception visuelle, utilisées comme moyen surveiller et évaluer l'activité du sujet dans le processus de test.

charge cognitive (charge cognitive)

1. , , . (Paas F. et al." Cognitive load measurement as a means to advance cognitive load theory //Educational psychologist. — 2003. — . 38. — №. 1. — . 63-71)

2. .

(cognitive bias) – . ( . . )

(attention span) – , - - . ( . — .: -. .. . 2002.)

Insight / insight / enlightenment (insight) - Aperçu intuitif de l'essence de la tâche. (Robert Solso - Psychologie cognitive)

Attention sous-seuil (pré-attentive) - reconnaissance inconsciente d'un stimulus sur un écran de moniteur à une vitesse inférieure à 200 ms. (Http://humanoit.ru/blog/166)

effort mental (effort mental) - aspect de la charge cognitive, qui fait référence à la cognitive, qui est en fait attribué pour répondre aux exigences de la tâche; ainsi, nous pouvons supposer qu'il reflète la charge cognitive réelle. L'effort mental est mesuré pendant que les participants à la recherche travaillent sur une tâche ([40])

Visualisation de l'histoire d'origine(visualisation de la provenance) - cartographie des sources basée sur la grande quantité de données collectées.

Suivi de visualisation (visualisation d'attribution) - affichage du chemin entre la source et les cibles attaque.

Temps de rétention (de maintien semi-permanent) - activateur cognitif, est un film d' animation qui vous permet de masquer temporairement les fichiers les plus importants (suspects) pendant au moins 3 secondes pour attirer l'attention du spectateur.

Activateur cognitif ( activateur cognitif) - un mécanisme pour attirer l'attention de l'utilisateur lors du suivi des événements de sécurité.

La charge de la mémoire de travail est un effort basé sur des estimations temporaires de la mémoire de travail.

Suivi / attribution(attribution) - le processus de détermination de l'identité et / ou de la localisation d'un attaquant ou d'un intermédiaire par l'intermédiaire duquel il agit.

Maintien permanent ( maintien permanent) - un activateur cognitif, qui est un indicateur de couleur constante du fichier, indiquant un fichier malveillant (suspect).

Une approche intégrée pour visualiser les événements de sécurité et mesurer son efficacité