Olá Habr! Apresentamos a sua atenção uma tradução do artigo " Uma abordagem de medição e apresentação da eficácia da visualização de segurança em grande escala ".


Do autor da tradução

A visualização fornece assistência inestimável aos especialistas na obtenção de conclusões e conhecimentos sobre o objeto da pesquisa, especialmente se essa pesquisa estiver associada ao processamento de uma grande quantidade de dados. Ao mesmo tempo, a escolha dos métodos de visualização, em regra, é criativa e não é uma escolha razoável com base em estimativas quantitativas. O artigo tenta obter estimativas quantitativas de visualização.

Além disso, deve-se notar que pouca atenção é dada ao estudo da visualização em fontes de língua russa. Os estudos descritos no artigo estão no cruzamento de várias áreas do conhecimento: segurança da informação, psicologia, ciência de dados, o que permite ao leitor familiarizar-se com tópicos anteriormente desconhecidos para ele. Também é interessante uma extensa bibliografia sobre o estudo da visualização.

Os principais termos utilizados no texto do artigo estão marcados em itálico e, para eles, o significado do termo estrangeiro é indicado entre colchetes. As definições de tais termos são fornecidas após o texto do artigo.

Anotação

O que torna eficaz uma representação visual dos eventos de segurança? Como medimos a eficácia da visualização no contexto de estudo, análise e compreensão de mensagens sobre incidentes de segurança da informação? A detecção e o entendimento de ataques de computador são cruciais para a tomada de decisões, não apenas no nível técnico, mas também no nível de gerenciamento da política de segurança. Nosso estudo aborda as duas questões, que complementam nosso sistema / plataforma para avaliar a eficácia da visualização de eventos de segurança (SvEm), fornecendo uma abordagem abrangente para avaliar a eficácia dos métodos de visualização teórico e orientado ao usuário. Com o uso da visualização tridimensional interativa, nossa plataforma SvEm nos permite aumentar a eficiência de um usuário e de vários usuários durante o trabalho conjunto. Estudamos indicadores de desempenho como clareza visual, visibilidade, taxa de distorção e tempo de resposta do usuário (visualização).

Os principais componentes da plataforma SvEm são:

• tamanho e resolução da tela do dispositivo móvel;
• entidade de incidentes de segurança;
• ativadores cognitivos de alertas de usuários;
• sistema de avaliação de ameaças;
• carregar na memória de trabalho (carga de memória de trabalho);
• gerenciamento de cores.

Para avaliar nossa plataforma para uma avaliação abrangente da eficácia da visualização de eventos de segurança, desenvolvemos (usando tecnologias da web e móveis) o aplicativo VisualProgger para visualizar eventos de segurança em tempo real. Por fim, a visualização do SvEm visa aumentar o tempo de atenção dos usuários, fornecendo uma carga cognitiva constante e aumentando a carga na memória de trabalho do observador. Por sua vez, a visualização de eventos de segurança fornece ao usuário a oportunidade de obter informações sobre o estado da segurança das informações. Nossa avaliação mostra que os observadores trabalham melhor com o conhecimento prévio ( carga na memória de trabalho ) de eventos de segurança e também que a visualização circular atrai e mantém melhor a concentração de atenção do usuário. Esses resultados nos permitiram identificar áreas para pesquisas futuras relacionadas à avaliação da eficácia da visualização de eventos de segurança.

Sumário

1 Introdução
2 Antecedentes e campo de estudo
3 Trabalhos relacionados
3.1 Métodos para avaliar representações visuais da informação
3.2 Método de Avaliação: Classificando Representações Visuais de Correlações
3.3 Métodos Gráficos
3.4 Erros de percepção nas visualizações
3.5 Conceitos de cognição, percepção e insight na visualização
Diagrama da plataforma 4 SvEm
4.1 Arquitetura do lado do servidor do sistema
4.2 Aspectos técnicos da visualização de eventos de segurança
4.3 Entidades, relacionamentos e espaços de incidentes de segurança
4.4 Padrão de cores para imagens de segurança
4.5 Requisitos cognitivos para visualização de segurança
5 Resultados: plataforma de visualização de segurança
5.1 Teoria SvEm
5.2 Fluxo de dados
5.3 Exemplo 1. Pedido de colaboração com visualização de eventos de segurança em tempo real
5.4 Exemplo 2. Visualização do ransomware Locky
5.5 Exemplo 3. Interação eficaz com visualização de realidade aumentada
5.6 Escalonando a visualização para caber na tela
6 Avaliação e teste da plataforma SvEm
6.1 Modelo conceitual SvEm
6.2 Testando o desempenho da plataforma SvEm
6.3 Classificação do usuário SvEm
6.4 Avaliação da carga cognitiva
6.5 Sistema de detecção de ameaças
7 Conclusão
8 Agradecimentos
9 Referências a fontes usadas

1 Introdução

As visualizações de segurança são úteis na criação de uma idéia do estado de segurança, mas qual a sua eficácia? A visualização ajuda na tomada de decisões em uma situação crítica ou apenas distrai a atenção? Este estudo fornece a base para avaliar a eficácia e o desenvolvimento de representações visuais no campo da segurança da informação.

Nosso foco principal é melhorar a plataforma SvEm [11] , realizando uma avaliação abrangente da eficácia das representações visuais de eventos de segurança em cada estágio da percepção de visualização. Supõe-se que o leitor já tenha um entendimento da visualização no campo da segurança da informação.

Consideramos as questões de produtividade dos processos de processamento de dados, clareza visual e o uso conveniente das funções do trabalho interativo do usuário com os dados. Para medir a eficácia da visualização de eventos de segurança, é necessária uma avaliação abrangente das plataformas da Web e móveis, bem como o tempo de resposta dos usuários ao interagir com eles.

No momento em que o usuário interage com alguma representação visual de eventos de segurança, estamos interessados ​​em, primeiro, entender como a visualização pode atrair mais rapidamente a atenção do usuário e, em segundo lugar, como medir a concentração de sua atenção . Isso requer o monitoramento da eficácia da carga cognitiva do usuário e da carga em sua memória de trabalho . A visualização é mais eficaz quando a carga cognitiva diminui e a carga na memória de trabalho aumenta.

2 Antecedentes e campo de estudo

Na maioria dos estudos científicos destinados a explorar plataformas de visualização e a interface do usuário, a noção de aumento de eficiência significa aumentar a produtividade, reduzindo o tempo necessário para obter resultados significativos. No artigo da plataforma que desenvolvemos, o conceito de "eficácia" está associado à visualização de eventos de segurança como uma abordagem holística e integrada, projetada para simplificar a percepção de informações essenciais como resultado da interação do usuário com a visualização.

Neste artigo, medimos a eficácia de todo o processo de visualização de segurança: o processo de exibição gráfica e o processo de interação do usuário. Também temos certeza de que a visualização de eventos de segurança facilita a análise automatizada de dados, obtendo informações úteis a partir de dados brutos sobre eventos de segurança (ataques à rede). Representações visuais de eventos de segurança mostram clara e dinamicamente os incidentes de segurança do usuário, bem como a relação dos incidentes entre si [14] . A interatividade desperta o interesse do usuário em fazer as interações necessárias com as visualizações para formar uma idéia do espaço para ataques de computador. A visualização também facilita a capacidade de processar grandes quantidades de dados e visualizar tendências e modelos.

No entanto, existem problemas associados à apresentação de informações e desempenho, portanto, o objetivo deste artigo é medir a eficácia dos processos de visualização de eventos de segurança. Nosso estudo fornece uma ligação entre o conhecimento cognitivo dos usuários e a plataforma de medição de eficácia da visualização de segurança [SvEm ] [11] . Nossa abordagem para medir a eficácia abrange as etapas de planejamento, design, implementação, avaliação, validação e interação com o usuário (público-alvo).

Na próxima seção, veremos os resultados de pesquisas existentes sobre a medição da eficácia da visualização. Em seguida, discutimos os resultados do desenvolvimento da plataforma SvEm. Em conclusão, apresentamos orientações para pesquisas futuras.

3 Trabalhos relacionados

Embora os usuários escolham métodos de visualização com base em suas preferências e necessidades individuais, é necessário avaliar a eficácia de tais métodos. As abordagens modernas [11] , [12] , [17] , [40] usam indicadores como desempenho do usuário, clareza, qualidade da imagem / taxa de distorção e avaliação da percepção ( avaliação da percepção), uma medida da medição da correlação da visualização, uma medida da atividade cerebral (medição da atividade cerebral) e quão bem a visualização corresponde. Considere as fontes disponíveis em mais detalhes.

3.1 Métodos para avaliar representações visuais da informação

A maioria dos métodos de avaliação leva em consideração apenas os aspectos técnicos das imagens, como visibilidade e reconhecimento. No entanto, as mais preferidas são representações visuais que atraem observadores e são capazes de transmitir independentemente a essência da informação sem a necessidade de maiores esclarecimentos. Este é o resultado mais esperado para a maioria dos artistas e especialistas em visualização. A base presente tanto na visualização quanto entre os usuários desperta habilidades cognitivas que acionam mecanismos de eficiência. Assim, para melhorar a eficiência, são necessários alguns métodos de avaliação para melhorar a visualização.

3.2 Método de Avaliação: Classificando Representações Visuais de Correlações

A abordagem usada com sucesso nos exercícios de treinamento em conjuntos de dados é geralmente usada para obter estimativas científicas de produtividade, transparência e integridade. Harrison em [12] mostrou a possibilidade de aplicar a lei de Weber [4] , [15] e a lei da percepção [15] para a visualização da correlação de classificação [20] . Outras abordagens consideram a correlação de treinamento e melhores conjuntos de dados, representados usando gráficos de dispersão e diagramas de coordenadas paralelas [33] . Estudos psicológicos e cognitivos recentes [15] mostraram que as leis da percepção [20] podem ser aplicadas para modelar as percepções das pessoas na visualização, considerando determinadas propriedades dos dados. Rensink demonstrou o uso da lei de Weber [33] ao criar o modelo Weber Fit [12] . Esses estudos afirmam que existe uma relação entre as pessoas e os dados apresentados. A percepção humana é capaz de distinguir entre relacionamentos e diferenças objetivas nos dados correlacionados. Esta afirmação é expressa pela seguinte relação linear:

$$

$$dp = k \ frac {dS} {S}$$

onde

$$$dp$ - mudanças diferenciais na percepção;

$$$k$ - limiar relativo obtido experimentalmente (fração de Weber);

$$$dS$ - aumento diferencial na correlação de dados.

Vários estudos estatísticos [12] foram realizados usando critérios de classificação:

• Teste de Kruskal-Wallis [26] para avaliar a relação entre visualização e correlações;
• Teste de Wilcoxon-Mann [16] , [29] critério para comparar pares de visualizações;
• Correção de Bonferroni [36] para resolver o problema de múltiplas comparações e reduzir falsos positivos.

Embora este método de classificação da visualização de correlações tenha se mostrado eficaz, não é relevante para este trabalho.

3.3 Métodos Gráficos

Fig. 1. Esquema da plataforma E ³

A maioria dos dispositivos conectados à Internet tem a capacidade de registrar, o que permite a coleta de dados em alta velocidade. Portanto, requer o uso de métodos especiais para apresentar informações obtidas de conjuntos de dados. Considere, por exemplo, a plataforma gráfica para representar grandes conjuntos de dados E ³ desenvolvidos por Leung K. I e Upperley D. Mark [24] . A plataforma analítica E ³ permite comparar diferentes formas de apresentação de dados, levando em consideração o volume desses dados. As principais características, como expressividade, eficiência e eficácia, permitem classificar a precisão da apresentação e a tarefa de percepção. Na fig. 1 mostra um diagrama da plataforma E ³ , no qual os componentes principais e seus relacionamentos com os estágios de design de um grande sistema de apresentação de conjuntos de dados são marcados.

3.4 Erros de percepção nas visualizações

Outro método comum para medir a visualização envolve o cálculo de uma taxa de erro para medir a qualidade ou distorção da imagem. Na fig. A Figura 2 mostra a estrutura do projeto, incluindo os estágios de pré-processamento, filtragem, separação de canais e combinação de erros.


Fig. 2. Esquema de um projeto avaliando a sensibilidade ao erro

Nesse modelo, a qualidade da imagem é avaliada pela clareza visual e distorção da imagem. A realização de pré-processamento e filtragem melhora os resultados da medição de qualidade / distorção (que são facilmente convertidos de um para outro).

3.5 Conceitos de cognição, percepção e insight na visualização

Na psicologia, medir a eficácia da visualização é baseada em avaliações de cognição (percepção), percepção (percepção), concentração de atenção e carga de trabalho na memória de trabalho de uma pessoa. A relação racional entre a capacidade cognitiva do usuário e a carga na memória de trabalho pode ser determinada usando a avaliação dos esforços mentais (esforço mental) (Fig. 3). Por exemplo, uma pontuação ideal para o usuário, na qual a velocidade de leitura é alta e o esforço mental é baixo, está na área A (Fig. 3) [30] .


Fig. 3. A eficácia do esforço mental [30]

Isso também significa que a carga na memória de trabalho do usuário é alta. A pesquisa com usuários forneceu ferramentas para avaliar a carga cognitiva [17] , em particular métodos para avaliar o esforço mental e a produtividade associados à eficiência da visualização.

As pesquisas [40] , [34] , [35] da InfoVis mostraram a possibilidade de usar o insight como uma medida de avaliação de tecnologia. Iluminação [40] é definida como uma medida de um entendimento preciso e profundo de algo, isto é, uma unidade de medida de descoberta. A iluminação geralmente não vem no decurso da resolução de tarefas especialmente designadas, mas, como regra, é um subproduto da pesquisa sem o objetivo inicial de obter insights.

O processo de criação de sentido [32] também é um papel importante na determinação do insight [32] , embora o modelo “produto do insight do esquema de informações” usado neste trabalho inclua o insight como um componente.

Resumindo os resultados de um trabalho semelhante, vemos que avaliar a eficácia da visualização afeta não apenas a tecnologia, mas também a pessoa que usa a visualização. Depois de examinar as principais áreas relacionadas à eficiência da visualização nesta seção, agora temos uma compreensão clara do local da pesquisa real na metodologia de avaliação da visualização. No entanto, nossa plataforma é limitada à visualização no campo da segurança de informações relacionadas à avaliação da eficiência da medição com relação às informações operacionais sobre incidentes de segurança.

Diagrama da plataforma 4 SvEm

Para implementar uma plataforma que avaliará a eficácia da visualização de eventos de segurança, um estágio importante é a fase de design. Portanto, nesta seção, apresentamos a solução de design de nossa plataforma. A plataforma de avaliação de desempenho de visualização de segurança SvEm consiste nos seguintes componentes: a superfície de trabalho de um monitor móvel, objetos de incidentes de segurança, eventos de alerta do usuário, um sistema de avaliação de ameaças, carregamento de RAM e um componente de gerenciamento de cores. Esses componentes são discutidos abaixo.

4.1 Arquitetura do lado do servidor do sistema

A infraestrutura da parte do servidor da plataforma de visualização de eventos de segurança SvEm foi projetada para acomodar scripts de visualização estática e dinâmica (em tempo real). Ele gerencia todos os processos de análise que ocorrem ao trabalhar com o banco de dados, bem como durante a montagem e agregação de informações. A arquitetura do nosso sistema é construída usando as seguintes tecnologias: Windows Progger (Logging Tool), Redis, MongoDB, Nodejs e WebGL. O Windows progger (versão linux progger para Windows [21] ) é uma ferramenta de registro no nível do sistema (nível do kernel), que está sendo desenvolvida atualmente com foco na segurança em sistemas de computadores e nuvem.Redis [2] facilita a conexão entre o cache e o banco de dados do Windows Progger e do mongoDB. Todos os dados são armazenados permanentemente no mongoDB [3] , enquanto o nodejs [39] e o webgl [5] , [31] reduzem a complexidade da interface da parte do cliente da plataforma de visualização.

A arquitetura da parte do servidor foi projetada levando em consideração os recursos do processo de processamento de dados ao gerenciar seu armazenamento. Os dados pré-processados ​​são criados como resultado de um script de visualização. Por exemplo, em tempo real, é feito um registro no log do kernel do sistema de computador para rastrear e visualizar as fontes de criação, modificação e exclusão de arquivos.

Além disso, os dados são padronizados para avaliar a eficácia das visualizações de segurança nas plataformas web e móvel. Os requisitos para dispositivos móveis e da Web forneceram uma solução eficaz para os problemas de consulta, processamento, análise, renderização e dimensionamento de dados resolvidos no interesse de visualizar eventos de segurança. Na fig. A Figura 4 mostra as ferramentas e bibliotecas básicas necessárias para hospedar o lado do servidor da plataforma de visualização de segurança SvEm.


Fig. 4. A arquitetura do lado do servidor do SvEm.

Ao projetar a plataforma, é necessário levar em consideração muitos recursos do aplicativo, entre os quais os principais incluem garantia de segurança, desempenho do processamento de dados e visualização da visualização. Essas tarefas para a nossa plataforma são as principais.

4.2 Aspectos técnicos da visualização de eventos de segurança

Ao desenvolver representações visuais, as dimensões do dispositivo móvel devem ser levadas em consideração. Por exemplo, restrições de exibição de 1920 x 1080 pixels para o iPhone 6s Plus com uma altura de 122 mm e uma largura de 68 mm (Fig. 5) tornam necessário ter controles de exibição em uma representação visual.


Fig. 5. Parâmetros de exibição do dispositivo móvel Os

controles incluem elementos para regular o volume de dados processados, escolhendo o método de visualização e os tipos de visualização que melhor se ajustam ao tamanho da tela.

Um entendimento claro dessas limitações permite que os desenvolvedores de visualização de eventos de segurança levem em consideração a possibilidade de exibição multidimensional e / ou circular. Tais projetos permitirão a inclusão de um grande número de atributos de dados de incidentes de segurança.

4.2.1 imagem de projeto de rastreamento (atribuição projeto visualização)

O processo de rastreamento (atribuição) [38] nas informações de contexto de segurança associado com a definição de origem do ataque computador. Na visualização de eventos de segurança, a imagem desse processo é uma tarefa bastante complicada. É necessário um conjunto suficiente de dados de entrada e uma compreensão clara do processo de rastreamento . Nosso projeto de rastreamento visa criar um caminho entre a fonte e os objetivos do ataque. O foco está na identificação da fonte do ataque do computador, uma vez que a maioria dos pontos de trajetória está relacionada às vítimas. Apesar do nosso projeto de visualização de rastreamento , com base em dados reais de ataque, é impossível visualizar completamente o processo de rastreamento .. Portanto, oferecemos um conjunto de modelos para análise preditiva, com a ajuda de quais pontos podem ser conectados entre os principais identificadores de ataque para rastreamento de um nível superior usando a visualização.

4.2.2 design de visualização comprovado

Outro recurso importante da plataforma é a exibição eficiente de fontes com base na grande quantidade de dados coletados. Uma grande quantidade de dados é convertida em visualização para plataformas móveis, levando em consideração a necessidade de dimensionamento e área de trabalho limitada da tela.

Nossa plataforma usa o rastreamento de projetos e fontes de visualização com um breve resumo de dados para alertar os usuários sobre eventos de segurança. O mapeamento de fontes é crucial para especialistas em segurança e usuários finais manterem-se a par da situação. Na fig.A Figura 6 apresenta um projeto de visualização de fontes com informações sobre hora, tipo e fonte do ataque.


Fig. 6. O projeto de visualização de fontes para um dispositivo móvel

Este projeto circular é projetado para chamar a atenção do usuário para as informações fornecidas e reduzir o número de movimentos nas guias para obter mais informações.

4.2.3 Tipos de projetos de visualização

Outro aspecto importante da eficácia da visualização é oferecer aos usuários (observadores) a oportunidade de escolher entre várias opções para projetos de visualização, dependendo dos requisitos para a visualização dos dados exibidos. Isso pode satisfazer as necessidades de um público mais amplo.

Como elementos para visualizar eventos de segurança em tempo real, nossa infraestrutura oferece as seguintes opções para projetos visuais [6] : "Curl (espiral)", "Esfera" e "Grade".

Como mostrado na fig.7, o projeto “Curl (espiral)” é baseado no princípio / lei da continuidade da Gestalt [37] .


Fig. 7. Projeto de visualização “Curl (espiral)”

Esta visualização exibe a ordem de execução de arquivos e processos de acordo com a abordagem “primeiro a entrar, primeiro a mostrar”. Quando o usuário chama a atenção para um arquivo, modelo ou grupo específico com o mesmo comportamento / cor, percebe mentalmente uma imagem visual fácil de entender.

O projeto de visualização “Esfera” é baseado na lei da Gestalt sobre fechamento / conclusão, onde tudo é percebido como parte do todo. Na fig. A Figura 8 mostra a visualização do conteúdo do sistema (elementos importantes são marcados com cores).


Fig. 8. Visualização do projeto “Escopo”

Este método é simples e direto, e a visualização pode ser dimensionada dependendo das configurações de exibição do dispositivo móvel. Não importa quantos arquivos ou processos você queira mostrar, a abordagem esférica cria uma visualização na qual todas as partes são a soma do todo.

O projeto de visualização de grade implementa uma abordagem de visualização em vários níveis, na qual novos arquivos são exibidos visualmente em primeiro plano da grade de visualização. Esse projeto chama a atenção dos observadores para novos arquivos / processos de interesse. A atenção constante do observador os mantém em foco, deixando ao mesmo tempo a oportunidade de outros mecanismos de notificação transmitirem informações ao observador. Na fig. A Figura 9 mostra um exemplo de projeto Grid com várias camadas para arquivos e processos.


Fig. 9. O projeto de visualização "Grade" Além

disso, fornecemos o projeto "Anéis aninhados" (camada circular), mostrado na Fig. 10)


Fig. 10. Projeto de visualização Locky ransomware para um dispositivo móvel.O

projeto permite vincular vários atributos e categorias de vários arquivos e processos. A eficácia nesse caso se manifesta nas transições entre as camadas, permitindo que os observadores vejam e entendam como vários sistemas de arquivos funcionam. O uso da abordagem para construir visualizações em vários níveis nos permite relacionar uns com os outros os diferentes níveis da hierarquia e das relações de informação.

4.2.4 Componentes da avaliação de ameaças

Um componente de avaliação de ameaças que identifica e visualiza ameaças é outro componente importante da infraestrutura do SvEm. Nossa estrutura de avaliação de ameaças (Figura 11) abrange anomalias, malware e mecanismos de detecção personalizados.


Fig. 11. Esquema do mecanismo de análise de ameaças

Os conjuntos de dados são filtrados usando teste / treinamento e dados registrados [10] e bancos de dados de assinaturas de ameaças conhecidas. A detecção de anomalias é realizada de acordo com o algoritmo, que será discutido na seção sobre avaliação e validação. Nosso conjunto de dados básico consiste em ameaças conhecidas (detectadas anteriormente), logs preenchidos pelo usuário, bem como modelos de ameaças e padrões de comportamento conhecidos. Isso cria um ambiente melhor para controle e monitoramento.

4.3 Entidades, relacionamentos e espaços de incidentes de segurança

4.3.1 Essência

Essencialmente, a relação (entidades relacionamentos) e área de segurança (paisagens de segurança) são os principais componentes de nossa plataforma operacional. Para entidades incluem: os temas de ameaças, payloads maliciosos comprometida endereço IP e muitos outros. Esses objetos são de interesse de como funciona a teoria de medir a eficácia do SvEm. O desempenho de nossa plataforma é afetado pela capacidade de identificar essas entidades usando a visualização no menor espaço de tempo.

4.3.2 Relacionamentos de entidades

Os relacionamentos entre entidades , também conhecidos como links , são vitais para nossa plataforma. As funções de relacionamento de entidade vinculam entidades . Esses links também ativam as funções cognitivas do usuário, que ajudam a perceber informações ocultas e potencialmente contribuem para insights sobre o estado de segurança.

4.3.3 Espaços de incidentes de segurança

Os espaços de segurança criam uma área e um ambiente de incidentes para os usuários (observadores) concentrarem suas imagens mentais em um incidente de segurança específico. O espaço familiar ajuda o usuário a limitar mentalmente a área de sua interação com a visualização.

4.4 Padrão de cores para imagens de segurança

É muito importante padronizar o uso de cores para visualizar eventos de segurança. Grandes quantidades de dados sobre entidades que podem ser de interesse requerem simplificar a visualização de eventos de segurança, a fim de acelerar o processamento de informações. Por exemplo, o uso das cores "vermelho" e "laranja" no mesmo espaço visual cria automaticamente confusão para os usuários, o que complica todo o processo de visualização. Nosso conjunto de cores padronizado é mostrado na fig. 12: "vermelho, amarelo, verde, azul, violeta e laranja".


Fig. 12. O padrão de cores para visualizar eventos de segurança.Essas

cores são divididas em dois grupos: primário e secundário. O grupo principal de cores é: vermelho, amarelo, verde e azul. Um grupo adicional inclui: roxo e laranja. Cores adicionais são destinadas à visualização de eventos de segurança pelas agências policiais, usando esquemas de cores correspondentes ao sistema de notificação da Interpol [1] , [18] . Por exemplo, a cor laranja é usada apenas para exibir a rotatividade de conteúdo ilegal e é considerada como um tipo independente de visualização.

O padrão de cores visa facilitar a familiarização em um ambiente confortável especialmente projetado. Do ponto de vista do desenvolvedor, é importante entender corretamente como as cores em uma visualização se relacionam com os atributos dos eventos de segurança. Isso cria a necessidade de gerenciamento de cores para evitar a interpretação incorreta da visualização devido a possíveis problemas de sobreposição ao apresentar incidentes de segurança.

4.5 Requisitos cognitivos para visualização de segurança

O processamento de informações é uma função humana natural que não pode ser controlada usando a tecnologia. No entanto, existem métodos que podem ser usados ​​no processamento de informações para uma visualização específica de eventos de segurança, como formas de controle. O uso de tais métodos que visam reduzir a distorção cognitiva (viés cognitivo) [13] , o que muitas vezes conduz a uma percepção errada, julgamento e conclusões imprecisas ilógico.

Portanto, a parte mais importante do design de nossa plataforma SvEm é a definição de atributos psicológicos cognitivos na visualização de eventos de segurança. Isso permite definir requisitos para a eficácia de todo o processo de visualização de tarefas do usuário.

Requisitos paracarga cognitiva , carga na memória de trabalho , ativadores cognitivos do usuário.

As seguintes tarefas psicológicas também são definidas:

• ao nível de atenção (processo de atenção);
• no nível da atenção sublimiar (processo pré-atento);
• no nível do esforço mental (para memória).

Do ponto de vista do aplicativo de visualização de eventos de segurança, os ativadores de alerta cognitivo são projetados para conectar o observador à visualização apresentada. Estes ativadores chamamos os termos retenção temporária (segure Semi-permanente) e retenção permanente (Retenção Permanente). A seção de avaliação (seção VI) mostrará qual o papel importante que desempenham em nossa plataforma.

5 Resultados: plataforma de visualização de segurança

5.1 Teoria SvEm

Vamos começar com uma explicação mais detalhada do nosso algoritmo SvEm. O algoritmo SvEm é baseado nos seguintes indicadores:

• estimativa teórica da distorção ($$d s v e m );$d_{svem}$
• avaliação teórica do tempo ($$$t_{svem}$ )

As estimativas teóricas de distorção e tempo são calculadas pelas fórmulas (1) e (2), respectivamente:

$$

$$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$$

$$

$$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$$

onde

$$w ∗ h - dimensões da superfície de trabalho do dispositivo móvel;$w*h$

$$S v f - o número de elementos visuais de segurança (por exemplo, um pacote IP infectado, carimbo de data e hora, etc.);$Sv_f$

$$d n -né a dimensão da área de visualização de eventos de segurança;$d_n$

$$C l -a carga cognitiva(número de características identificáveis durante a referência anterior);$Cl$

$$t m e -a carga na memória de trabalho(força com base em estimativas a memória de trabalho temporários);$t_{me}$

$$$n_ {clicks}$ - o número de interações com a visualização.

As estimativas teóricas do SvEm são baseadas na velocidade e no tempo da distorção . Apesar do coeficiente de distorção ser de 50%, nossa classificação geral é medida em relação à classificação "alta" ou "baixa", o que a torna mais realista. Os seguintes fatores afetam a taxa de distorção:

• tamanho e resolução do telefone;
• conhecimento do usuário;
• cliques do usuário

O tempo SvEm é medido relativamente constante: 0,25 segundos [27] , conhecido na psicologia como o tempo mínimo que uma pessoa precisa para entender as informações no processo de sua percepção. Assim, nossa pontuação total é calculada como média e comparada com vários resultados de outras medições.

O desempenho do aplicativo, bem como os métodos de gerenciamento de dados, são implementados levando em consideração a melhoria na qualidade dos valores resultantes dos indicadores de distorção e tempo . O gerenciamento da exibição de dados no espaço visual de nosso aplicativo é realizado para obter equilíbrio ao executar cálculos complexos de visualização de hardware.

Carga cognitiva ( $$$Cl$ ) e carregar na memória de trabalho ( $$$t_ {me}$ ) são calculados com base em resultados anteriores de estudos teóricos. Nosso algoritmo SvEm implementa métodos conhecidos.

5.2 Fluxo de dados

Uma das vantagens da plataforma SvEm é a capacidade de gerenciar dados durante todo o processo: da gravação ao banco de dados e à saída da visualização usando a tecnologia WebGL. Na fig. 13 é um diagrama de fluxo de dados que mostra os principais componentes do lado do servidor.


Fig. 13. Resultados do processamento de dados

O uso de Progger, Redis e MongoDB fornece o controle necessário sobre o fluxo de dados. Uma grande quantidade de dados é transferida para a interface de visualização de segurança, levando em consideração os recursos da plataforma móvel usada (capacidade de computação do equipamento, tamanho e resolução da tela). Isso permite que nossos cenários de análise escalem os dados adequadamente para melhorar a visibilidade através do uso de formulários de apresentação mais simples.

Vamos considerar vários exemplos de uso de nossa plataforma, que são desenvolvidos com base nos resultados da análise de dados obtidos durante o teste da plataforma. Uma demonstração em vídeo dos exemplos pode ser visualizada no seguinte link: um exemplo do uso da plataforma de visualização de segurança SvEm (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 Exemplo 1. Pedido de colaboração com visualização de eventos de segurança em tempo real

A ferramenta de visualização de log de segurança VisualProgger foi criada por nossa equipe para examinar visualmente o histórico de eventos registrados por Progger [21] . O VisualProgger está focado na visualização em tempo real de eventos de segurança e permite aumentar a eficiência da análise devido à visibilidade , alto desempenho e uso de ativadores cognitivos . Durante a análise dos dados, realizada usando mecanismos de visualização animada e notificação oportuna, foram reveladas informações importantes sobre o estado da proteção.

Funcionalidade do VisualProgger: O VisualProgger fornece funções para visualizar eventos de segurança em tempo real e para dados gravados anteriormente, por exemplo, observados durante exercícios cibernéticos entre as equipes vermelha e azul (ataque e defesa) [10] . Em um script de visualização em tempo real, desenvolvemos e aplicamos um método de notificação que nos permite aumentar a concentração de atenção do usuário. Chamamos esse método de “ativadores cognitivos de SvEm” (SvEm: ativadores cognitivos). Os seguintes ativadores são implementados:

1. “ Espera temporária ”: a função animada mostrada na Fig. 14, permitindo ocultar temporariamente os arquivos mais importantes (suspeitos) por pelo menos 3 segundos, a fim de atrair a atenção do observador;
2. “ Retenção permanente ”: um indicador de cor constante do arquivo, indicando um arquivo malicioso (suspeito). As cores vermelho ou amarelo são usadas dependendo da importância do arquivo;
3. Arquivo crítico detectado: identificador de alerta que chama a atenção do observador;
4. “ Alerta sonoro ”: um identificador de alerta opcional que chama a atenção do observador (especialmente importante para pessoas daltônicas).

Fig. 14. Demonstração do ativador "Retenção temporária"

Os ativadores cognitivos considerados SvEm são usados ​​principalmente para exibir arquivos e atributos maliciosos que são importantes do ponto de vista da segurança da informação. Arquivos e atributos dos dados exibidos são convertidos em algumas representações visuais de eventos de segurança para ajudar na tomada de decisões, fornecendo melhor conteúdo de informações.

5.4 Exemplo 2. Visualização do ransomware Locky

A visualização dos eventos de segurança do ransomware Locky mostrados na Fig. 15 usa o projeto Anéis Aninhados, projetado especificamente para focar a atenção do usuário apenas na visualização exibida.


Fig. 15. Visualização de arquivos de criptografia Locky ransomware

O projeto Anéis Aninhados permite organizar dados uns sobre os outros na forma de camadas em plataformas móveis. Dessa forma, a classificação de bibliotecas, processos e arquivos do sistema infectado pode ser exibida. A capacidade de rastrear visualmente a detecção de arquivos Locky (.docx, .png, .jpeg, .xlsx etc.) pelo programa ransomware antes de criptografá-los durante a implementação do ataque fornece ao usuário uma idéia clara da operação do ransomware. Os arquivos criptografados são destacados em vermelho para mostrar qual arquivo foi criptografado.

Arquivos criptografados (arquivos críticos) marcados em vermelho podem ser selecionados pelos observadores (ao passar o mouse, clicar e ou outras ações) para análise posterior (Fig. 16).


Fig. 16. Visualização de exibição de eventos sobre arquivos criptografados pelo Lock ransomware

Graças a esses recursos, os usuários estão interessados ​​em realizar pesquisas interativas usando a visualização, o que também aumenta a interação do usuário com a visualização.

5.5 Exemplo 3. Interação eficaz com visualização de realidade aumentada

A Realidade Aumentada (AR) no campo da visualização de segurança da informação oferece ao usuário uma experiência interessante e abre novas oportunidades para ele. Chama a atenção do observador para incidentes de segurança através do uso de visualização. Fornecer aos observadores uma visualização tridimensional com interpretações de cores contribui para uma maior velocidade de análise com menos esforço mental [28] . Por sua vez, os observadores procuram aprender detalhes adicionais para obter o conhecimento necessário sobre segurança.

Nossa visualização da realidade aumentada (Fig. 17) permite que os usuários de celulares usem plataformas móveis pessoais para visualizar exercícios cibernéticos de equipes vermelho-azul (ataque / defesa).


Fig. 17. O projeto do cliente faz parte da visualização da realidade aumentada

Criar uma experiência de realidade aumentada aumenta a capacidade do observador de perceber informações [41] . Assim, graças às informações corretas selecionadas usando a visualização AR, os observadores conseguiram processar uma quantidade maior de dados e tomar melhores decisões que contribuem para aumentar a segurança.

Usando esferas multicoloridas (Fig. 17), expressando vários aspectos do ataque, um ataque de computador simulado é demonstrado em tempo real. Através da interação com a visualização interativa da AR, o usuário pode entender as características dos ataques de computador realizados pela equipe vermelha.

5.6 Escalonando a visualização para caber na tela

Dadas as restrições impostas às plataformas móveis, bem como a grande quantidade de dados coletados constantemente, são necessárias abordagens especiais à visualização para visualizar ataques de computador. Um diagrama com coordenadas paralelas [9] , [19] possibilitou a criação de um design de visualização tridimensional que contém todo o volume de dados necessário. Na fig. A Figura 18 mostra a distribuição do tráfego de rede com dados de segurança entre as camadas de aplicativo, sistema e rede.


Figura 18. Visualização multidimensional de eventos de segurança usando um gráfico com coordenadas paralelas.

6 Avaliação e teste da plataforma SvEm

6.1 Modelo conceitual SvEm

Construímos o modelo SvEm com base nos resultados de pesquisas científicas no campo da informática e psicologia, que consistiram na aplicação de uma abordagem integrada para medir a eficiência dos seguintes componentes principais:

• usuário
• visualização
• percepção cognitiva do usuário (cognição do usuário).

Isso nos permitiu desenvolver um modelo conceitual que leva em conta a experiência adquirida pelos usuários na visualização de incidentes de segurança. Na fig. A Figura 19 mostra o modelo SvEm, que consiste em todos os componentes acima de eficiência: usuário, visualização e fatores relacionados, percepção cognitiva do usuário.


Fig. 19. Modelo SvEm ilustrando a relação entre os componentes "Usuário", "Visualização" e "Percepção cognitiva do usuário"

As interseções desses componentes determinam os padrões que caracterizam os objetivos de extrair o conhecimento de segurança da visualização.

No centro do modelo SvEm existe um mecanismo pelo qual a percepção surge como resultado da combinação de percepção cognitiva , usuário e visualização . Como resultado da observação feita pelo usuário no processo de percepção, as solicitações surgem no nível de atenção sublimiar (pré-atento). No caso de comparar a visualização de eventos de segurança, os esforços mentais decorrentes do usuário (observador) utilizam suas habilidades cognitivas, envolvidas no processo de pensar. Todo esse processo cria uma carga na memória de trabalho do usuário, dependendo da visualização específica dos eventos de segurança apresentados. Dada a relação entre o usuário , a percepção cognitiva e a visualização do usuário , nossos métodos eficazes de visualização criam o relacionamento final entre o usuário e a visualização apresentada. Como resultado, a distorção e / ou o tempo são determinados. A ocorrência do insight SvEm ocorre quando todos os componentes do modelo SvEm são correspondidos e o valor do esforço mental é definido como baixo, o que leva à conversão e transmissão de informações corretas sobre eventos de segurança para o usuário processar.

6.2 Testando o desempenho da plataforma SvEm

Testamos o desempenho da plataforma SvEm nas seguintes áreas:

• visualização de visualização;
• desempenho da transferência de dados entre servidor e parte do cliente;
• avaliação do mapeamento do ativador cognitivo .

Visualização O teste de visualização da exibição foi realizado no estágio de desenvolvimento do aplicativo. Consistiu em projetar a arquitetura de nós de processamento de dados com base no Security Visualization Standard (SCeeVis). Por exemplo, o uso da tecnologia gráfica 3D WebGL oferece à interface do usuário novas possibilidades de visualização visual interativa ao processar uma grande quantidade de informações. A arquitetura do aplicativo permitiu processar uma quantidade maior de dados e apresentá-los no lado do cliente.

Na fig. 20 mostra estimativas de desempenho durante a transmissão de dados.


Fig. 20. Avaliação de Desempenho de Aplicativos VisualProgger

Para avaliar o desempenho, o tempo médio de transferência de dados (em milissegundos) por vários arquivos executáveis ​​(.exe) foi registrado ao transmitir dados de diferentes tipos e tamanhos.

6.3 Classificação do usuário SvEm

Durante a avaliação, foi obtida a seguinte conclusão: para que a visualização seja eficaz, a carga na memória de trabalho é crucial para o alto desempenho da leitura. Para avaliar a eficácia da plataforma SvEm, foram usadas respostas do usuário. O padrão de cores ajudou a melhorar a experiência do usuário, permitindo que eles processem padrões de comportamento mais rapidamente, classificando e rastreando relacionamentos. Se os usuários conhecessem o padrão de cores, poderiam processar os links entre os pontos de evento mais rapidamente do que com a abordagem de visualização, que usava atributos de segurança em vez de cores.

A incorporação de ativadores cognitivos SvEm em nossa plataforma forneceu aos usuários um mecanismo para atrair atenção ao rastrear eventos de segurança. Isso automaticamente estimula as habilidades cognitivas do observador, levando-o a interagir ainda mais com a visualização apresentada.

6.4 Avaliação da carga cognitiva

Pesquisas anteriores no campo da psicologia contribuíram significativamente para o treinamento do usuário e as evidências teóricas [7] , [8] melhoraram a compreensão da carga cognitiva dos usuários. Para determinar a relação entre percepção, cognição e a plataforma SvEm, utilizamos uma abordagem psicológica bem conhecida relacionada ao método de determinação da carga cognitiva e da memória de trabalho , bem como o conceito da relação entre a percepção do usuário e os processos de cognição. A abordagem foi aplicada em condições em que a consciência do usuário era capaz de perceber objetos (como imagens de nós de segurança) durante a interação com a visualização de eventos de segurança. Dessa forma, os usuários poderiam pensar em palavras-chave relacionadas às imagens apresentadas de nós de segurança, melhorando assim sua percepção, a qual, por sua vez, está associada à experiência anterior na interação com a visualização. Esse processo no incidente de segurança apresentado foi realizado com uma carga alta na memória de trabalho.


Fig. 21. Comparação de estimativas de carga cognitiva e carga na memória de trabalho em observadores

Assim, realizamos várias experiências com o usuário e obtivemos os seguintes resultados (Fig. 21). O experimento demonstrou a constância do desempenho da carga cognitiva e da carga na memória de trabalho dos observadores: com o aumento da carga na memória de trabalho , a carga cognitiva também aumentou, mas manteve o limite. Na fig. As 21 linhas de melhor ajuste mostram que ambas as características são lineares e a carga cognitiva tem um limite de carga constante (capacidade), portanto, não sobrepõe a carga de desempenho na memória de trabalho . Essa é uma situação ideal para o usuário (observador) ao analisar visualizações de eventos de segurança.

6.5 Sistema de detecção de ameaças

Para filtrar os dados coletados usando o Progger, foram utilizados algoritmos de assinatura conhecidos para detectar anomalias e malware. Com base em dados reais, selecionamos provisoriamente os seguintes algoritmos que atendem às nossas expectativas: Local Outlier Factor (LOF) [22] , DBscan [23] e K-vizinhos mais próximos (KNN) [25] . Isso nos permitiu testar o desempenho do sistema de avaliação de detecção de ameaças. A ação normal terá uma pontuação no intervalo de 10 a 80 e o comportamento anormal será expresso como um valor negativo. Da mesma forma, os arquivos suspeitos nos sistemas também são verificados com base em um banco de dados de assinaturas armazenadas. Na fig. 22 mostra comportamento normal e anormal e entradas maliciosas.


Fig. 22. Os resultados do sistema de detecção de anomalias

Além disso, a varredura de arquivos no sistema e o histórico de log pré-configurado ajudam a determinar os caminhos conhecidos dos arquivos. Portanto, se um arquivo conhecido ou suspeito aparecer em outro lugar, ele será automaticamente marcado em amarelo ou vermelho.

Analisamos o desempenho do nosso sistema de avaliação de ameaças em conjuntos de dados reais preparados. Vários algoritmos para detectar anomalias e assinaturas maliciosas foram usados ​​como filtros. Para avaliar anomalias e arquivos maliciosos, nosso sistema de avaliação usa o aplicativo Progger (mecanismo de registro de eventos). O seguinte esquema de cores foi selecionado para a imagem dos arquivos de interesse: dados maliciosos (cor vermelha), dados suspeitos (cor amarela), informações operacionais rastreáveis ​​(cor azul) e dados legítimos (cor verde).

7 Conclusão

O artigo apresenta uma abordagem abrangente para avaliar a eficácia da plataforma para visualizar eventos de segurança, indicando métodos que levam em consideração aspectos técnicos e características psicológicas dos usuários. Um modelo conceitual foi apresentado ilustrando a interação dos componentes “ usuário ”, “ visualização ” e “ percepção cognitiva do usuário ”, o que permite obter e melhorar estimativas da eficácia da visualização de eventos de segurança. O uso de ativadores cognitivos do SvEm permite aumentar a concentração da atenção dos usuários e aumentar seu volume de atenção. Classificamos nossa plataforma SvEm com base nas plataformas existentes e nos conjuntos de dados básicos.Assim, confirmamos que os usuários lidam razoavelmente bem com altas cargas de trabalho e interagem efetivamente com visualizações desenvolvidas, a fim de obter as informações necessárias sobre eventos de segurança.

7.1 Outras áreas de pesquisa

No futuro, gostaríamos de avaliar ainda mais a eficácia de nossa plataforma para usuários de outras áreas (saúde, educação financeira, etc.), bem como analisar como eles reagem ao interagir com a plataforma.

8 Agradecimentos

Os autores gostariam de agradecer a Mark A. Will, Cameron Brown, Mina Mungro, membros do Waikato Cybersecurity Researchers (CROW Lab) e as contribuições de nossos estagiários [Isaiah Wong, Jia Cheng Yip, Wen Liang Guo, Xin Li Yuan] do Instituto Politécnico Nanyang, Cingapura. Este projeto é apoiado pelo STRATUS ("Tecnologias de segurança para transparência, confiança e orientação ao usuário na prestação de serviços em nuvem") ( https://stratus.org.nz ), um projeto de investimento científico financiado pelo Departamento de Negócios, Inovação e Emprego da Nova Zelândia . (MBIE)). Este trabalho também foi parcialmente apoiado pelo Programa de Bolsas de Estudo da Nova Zelândia e do Pacífico (NZAid).

9 Referências a fontes usadas

1. M. Anderson. Policiando o mundo: a Interpol e as políticas de cooperação policial internacional. Clarendon Press Oxford, 1989.

JL Carlson. Redis em ação. Manning Publications Co., Greenwich, CT, EUA, 2013.

3. K. Chodorow. MongoDB: O Guia Definitivo: Armazenamento de Dados Poderoso e Escalável. O'Reilly Media, Inc., 2013.

4. H. Choo e S. Franconeri. A enumeração de pequenas coleções viola a lei dos webers. Boletim psiconômico e revisão, 21 (1): 93–99, 2014.

5. J. Congote, A. Segura, L. Kabongo, A. Moreno, J. Posada e O. Ruiz. Visualização interativa de dados volumétricos com webgl em tempo real. Em Anais da 16ª Conferência Internacional sobre Tecnologia 3D na Web, páginas 137–146. ACM, 2011.

6. EOOD e M. Angelov. 20 exemplos impressionantes para aprender WebGL com Three.js, novembro 2017.

7. C. Firestone e BJ Scholl. Consciência visual aprimorada para moralidade e pijama? percepção vs. memória em efeitos top-down. Cognition 136: 409-416, 2015.

8. C. Firestone e BJ Scholl. A cognição não afeta a percepção: avaliando a evidência dos efeitos de cima para baixo. Ciências do comportamento e do cérebro, 39, 2016.

9. Y.-H. Fua, MO Ward e EA Rundensteiner. Coordenadas paralelas hierárquicas para exploração de grandes conjuntos de dados. Em Anais da conferência sobre Visualização'99: comemorando dez anos, páginas 43–50. IEEE Computer Society Press, 1999.

10. J. Garae, RK Ko, J. Kho, S. Suwadi, MA Will e M. Apperley. Visualização do desafio de segurança cibernética da Nova Zelândia para comportamentos de ataque. Em Trustcom / BigDataSE / ICESS, 2017 IEEE, páginas 1123-1130. IEEE, 2017.

11. J. Garae e RKL Ko. Tendências de visualização e proveniência de dados no suporte a decisões para segurança cibernética, páginas 243-270. Springer International Publishing, Cham, 2017.

12. L. Harrison, F. Yang, S. Franconeri e R. Chang. Classificação de visualizações de correlação usando a lei de weber. Transações do IEEE em visualização e computação gráfica, 20 (12): 1943-1952, 2014.

13. MG Haselton, D. Nettle e DR Murray. A evolução do viés cognitivo. O manual da psicologia evolutiva, 2005.

14. J. Heer, FB Viegas e M. Wattenberg. Viajantes e voyeurs: suportando a visualização assíncrona de informações colaborativas. Em Anais da conferência SIGCHI sobre Fatores humanos em sistemas de computação, páginas 1029-1038. ACM, 2007.

15. VAC Henmon. O tempo da percepção como uma medida das diferenças de sensações. Número 8. Science Press, 1906.

16. RV Hogg e AT Craig. Introdução à estatística matemática (edição de 5 ”). Upper Saddle River, Nova Jersey: Prentice Hall, 1995.

17. W. Huang, P. Eades e S.-H. Hong. Medindo a eficácia das visualizações de gráficos: uma perspectiva de carga cognitiva. Information Visualization, 8 (3): 139-152, 2009.

18. JJ Imhoff e SP Cutler. Interpol: ampliando o alcance da aplicação da lei em todo o mundo. FBI L. Enforcement Bull., 67:10, 1998.

19. A. Inselberg e B. Dimsdale. Coordenadas paralelas para visualizar geometria multidimensional. In Computer Graphics 1987, páginas 25 a 44. Springer, 1987.

20. M. Kay e J. Heer. Além da lei de weber: uma segunda olhada no ranking de visualizações de correlação. Transações do IEEE em visualização e computação gráfica, 22 (1): 469–478, 2016.

21. RK Ko e MA Will. Progger: um registrador kernelspace eficiente e inviolável para rastreamento de proveniência de dados na nuvem. Em Cloud Computing (CLOUD), 7ª Conferência Internacional IEEE de 2014, páginas 881–889. IEEE, 2014.

22. A. Lazarevic, L. Ertoz, V. Kumar, A. Ozgur e J. Srivastava. Um estudo comparativo de esquemas de detecção de anomalias na detecção de intrusão de rede. Em Anais da Conferência Internacional SIAM de 2003 sobre Mineração de Dados, páginas 25–36. SIAM, 2003.

23. K. Leung e C. Leckie. Detecção de anomalia não supervisionada na detecção de intrusão de rede usando clusters. Em Anais da Vigésima Oitava Conferência Australásia sobre Ciência da Computação, Volume 38, páginas 333 a 342. Australian Computer Society, Inc., 2005.

24. YK Leung e MD Apperley. E3: Rumo à medição de técnicas de apresentação gráfica para grandes conjuntos de dados. Na Conferência Internacional sobre Interação Humano-Computador, páginas 125–140. Springer, 1993.

25. Y. Liao e VR Vemuri. Uso do filtro classi vizinho mais próximo de k para detecção de intrusão. Computers & security, 21 (5): 439–448, 2002.

26. PE McKight e J. Najab. Teste de Kruskal-Wallis. Enciclopédia de Psicologia de Corsini, 2010.

27. T. Okoshi, J. Ramos, H. Nozaki, J. Nakazawa, AK Day e H. Tokuda. Attelia: Reduzindo a carga cognitiva do usuário devido a notificações interruptivas em smartphones. In Pervasive Computing and Communications (PerCom), Conferência Internacional IEEE de 2015, páginas 96-104. IEEE, 2015.

28. T. Olsson, E. Lagerstam, T. Karkarkainen e K. Vanaananan-Vainio Mattila. Experiência esperada do usuário em serviços móveis de realidade aumentada: um estudo do usuário no contexto de shopping centers Computação pessoal e onipresente, 17 (2): 287–304, 2013.

29. O. Ozturk e DA Wolfe. Um conjunto melhorado de duas amostras do teste mannwhitney-wilcoxon. Canadian Journal of Statistics, 28 (1): 123-135, 2000.

30. F. Paas, J. Tuovinen, H. Tabbers e PW Van Gerven. Medição da carga cognitiva como um meio para avançar a teoria da carga cognitiva. Psicólogo educacional, 38 (1): 63–71, 2003.

31. T. Parisi. WebGL: em funcionamento. O'Reilly Media, Inc., 2012.

32. P. Pirolli e S. Card. O processo de criação de sentido e pontos de alavancagem para a tecnologia de analistas são identificáveis ​​através da análise de tarefas cognitivas Em Anais da conferência internacional sobre análise de inteligência, volume 5, páginas 2–4, 2005.

33. RA Rensink e G. Baldridge. A percepção de correlação em gráficos de dispersão. No Computer Graphics Forum, volume 29, páginas 1203 a 12.10. Wiley Online Library, 2010.

34. P. Saraiya, C. North e K. Duca. Uma metodologia baseada em insight para avaliar visualizações de bioinformática. Transações do IEEE em visualização e computação gráfica, 11 (4): 443–456, 2005.

35. P. Saraiya, C. North, V. Lam e KA Duca. Um estudo longitudinal baseado em insight da análise visual. IEEE Transactions on Visualization and Computer Graphics, 12 (6): 1511-1522, 2006.

36. EW Weisstein. Correção de Bonferroni. 2004.

37. M. Wertheimer. Uma breve introdução à gestalt, identificando as principais teorias e princípios. Psychol Forsch, 4: 301-350, 1923.

38. DA Wheeler e GN Larsen. Técnicas para atribuição de ataques cibernéticos. Relatório técnico, INSTITUTO DE ANÁLISES DE DEFESA ALEXANDRIA VA, 2003.

39. JR Wilson e J. Carter. Nó js da maneira certa: javascript prático, do lado do servidor, dimensionável. Estante Pragmática, 2013.

40. JS Yi, Y.-a. Kang, JT Stasko e JA Jacko. Compreendendo e caracterizando insights: como as pessoas obtêm insights usando a visualização de informações? Em Anais do Workshop de 2008 sobre o tempo e os erros: novos métodos de avaliação para visualização de informações, página 4. ACM, 2008.

41. F. Zhou, HB-L. Duh e M. Billinghurst. Tendências no rastreamento, interação e exibição de realidade aumentada: uma revisão de dez anos da ismar. Em Anais do 7º Simpósio Internacional IEEE / ACM sobre Realidade Mista e Aumentada, páginas 193–202. IEEE Computer Society, 2008.

Sobre os autores do artigo



Jeffery Garae,



Ryan Ko, PhD, Estudante de Pós-Graduação em Laboratório de Segurança Cibernética, Departamento de Ciência da Computação, Universidade de Wykato, Nova Zelândia



Mark Mark Upperli (Mark Apperley), PhD, Chefe do Departamento de Ciência da Computação da Universidade de Waikato (Nova Zelândia)

Termos e definições usados ​​no artigo

Atenção é a concentração de esforço mental em eventos sensoriais ou mentais. (Robert Solso - Psicologia Cognitiva) A

percepção é um resultado comum do que vem através do nosso sistema sensorial e do que já sabemos sobre o mundo através da experiência. (Robert Solso - Psicologia Cognitiva) Clareza

visual - gráficos especialmente criados ou selecionados (diagramas, tabelas), artísticos e visuais (desenhos, reproduções), auxílios naturais (objetos ambientais) projetados para percepção visual, usados ​​como um meio monitorar e avaliar a atividade do sujeito no processo de teste.

carga cognitiva (carga cognitiva)

1. , , . (Paas F. et al." Cognitive load measurement as a means to advance cognitive load theory //Educational psychologist. — 2003. — . 38. — №. 1. — . 63-71)

2. .

(cognitive bias) – . ( . . )

(attention span) – , - - . ( . — .: -. .. . 2002.)

/ / (insight) – . ( – )

(pre-attentive) – 200 . (http://humanoit.ru/blog/166)

(mental effort) – , , , ; , , . , ([40])

(provenance visualization) – .

(attribution visualization) – .

(semi-permanent hold) – , , () 3 , .

(cognitive activator) – .

(working memory load) – , .

/ (atribuição) - o processo de determinar a identidade e / ou localização de um invasor ou intermediário através do qual ele atua.

Espera permanente ( espera permanente) - um ativador cognitivo, que é um indicador de cor constante do arquivo, indicando um arquivo malicioso (suspeito).