哈Ha！ 我们提请您注意文章“ 全面的安全可视化效果度量和表示方法 ”的翻译。


来自作者的翻译

可视化为专家提供了有关研究对象的结论和知识的宝贵帮助，尤其是当此类研究与大量数据的处理相关时。 同时，可视化方法的选择通常是有创意的，基于任何定量估计都不是合理的选择。 本文试图获得可视化的定量估计。

另外，应该指出的是，俄语语言的可视化研究很少受到关注。 本文所述的研究处于以下几个知识领域的交叉点：信息安全，心理学，数据科学，使读者可以熟悉以前未知的主题。 同样令人感兴趣的是关于可视化研究的大量参考书目。

本文正文中使用的主要术语用斜体标出，对于它们，外来术语的含义在方括号中指出。 这些条款的定义在文章正文之后给出。

注解

什么使可视化的安全事件有效？ 在研究，分析，理解有关信息安全事件的消息的背景下，我们如何衡量可视化的有效性？ 检测和理解计算机攻击不仅对于技术层面的决策，而且对于安全策略管理层面的决策都至关重要。 我们的研究涵盖了这两个问题，对我们评估安全事件可视化（SvEm）有效性的系统/平台进行了补充，为评估理论和面向用户的可视化方法的有效性提供了一种全面的方法。 通过使用交互式三维可视化，我们的SvEm平台使我们可以提高一个用户和多个用户在共同工作期间的效率。 我们研究了诸如视觉清晰度，可见性，失真率和用户响应（观看）时间等性能指标。

SvEm平台的关键组件包括：

• 移动设备显示器的大小和分辨率；
• 安全事件的实体；
• 用户警报的认知激活器 ；
• 威胁评估系统；
• 在工作内存上加载 （工作内存加载）；
• 颜色管理。

为了评估我们的平台以对安全事件的可视化效果进行全面评估，我们开发了（使用Web和移动技术）VisualProgger应用程序，用于实时可视化安全事件。 最后，SvEm可视化旨在通过提供恒定的认知负荷同时增加观察者工作记忆的负荷来增加用户的注意力范围。 反过来，安全事件的可视化为用户提供了了解信息安全状态的机会。 我们的评估表明，观察者在具有安全事件的先验知识（ 工作记忆负荷 ）的情况下可以更好地工作 ，并且循环可视化可以更好地吸引和保持用户的注意力集中 。 这些结果使我们能够确定与评估安全事件可视化效果有关的未来研究领域。

目录

1引言
2研究背景和领域
3相关作品
3.1评估信息视觉表示的方法
3.2评估方法：对相关性的视觉表示进行排名
3.3图形方法
3.4可视化中的感知错误
3.5可视化中的认知，感知和洞察力的概念
4 SvEm平台图
4.1系统服务器端的体系结构
4.2可视化安全事件的技术方面
4.3安全事件的实体，关系和空间
4.4安全成像的颜色标准
4.5安全可视化的认知要求
5结果：安全可视化平台
5.1 SvEm理论
5.2数据流
5.3示例1.实时可视化安全事件协作的应用程序
5.4示例2. Locky勒索软件的可视化
5.5示例3.与增强现实可视化的有效交互
5.6缩放可视化以适合显示
6 SvEm平台的评估和测试
6.1 SvEm概念模型
6.2测试SvEm平台的性能
6.3 SvEm用户评级
6.4认知负荷的评估
6.5威胁检测系统
7结论
8致谢
9引用二手货源

1引言

事实证明，安全性可视化对于创建安全性状态很有用，但是它们的有效性如何？ 可视化有助于在紧急情况下做出决策还是分散注意力？ 该研究为评估信息安全领域中视觉表示的有效性和发展提供了基础。

我们的主要重点是通过在可视化感知的每个阶段对安全事件的可视化表示的有效性进行全面评估来改进SvEm平台[11] 。 假定读者已经对信息安全领域的可视化有所了解。

我们考虑数据处理过程的生产率， 视觉清晰度以及如何方便地使用交互式用户处理数据的问题。 为了衡量安全事件可视化的有效性，需要对Web和移动平台进行全面评估，以及用户与之交互时的响应时间。

在用户与安全事件的某些可视化表示进行交互时，我们感兴趣的是，首先，了解可视化如何最快速地吸引用户的注意力，其次，如何衡量其注意力的集中度。 这需要监视用户的认知负荷和他的工作记忆负荷的有效性。 当认知负荷减少而工作记忆 负荷增加时，可视化最为有效。

2研究背景和领域

在大多数旨在探索可视化平台和用户界面的科学研究中，提高效率的概念意味着通过减少获得有意义结果所需的时间来提高生产率。 在针对我们开发的平台的文章中，“有效性”的概念与安全事件的可视化相关，是一种整体的集成方法，旨在简化由于用户与可视化交互而导致的对基本信息的感知。

在本文中，我们将评估整个安全可视化过程的有效性：图形显示过程和用户​​交互过程。 我们还相信，安全事件的可视化有助于自动数据分析，并从有关安全事件（网络攻击）的原始数据中获取有用的信息。 安全事件的可视化表示可以清晰动态地显示用户安全事件以及事件之间的关系[14] 。 交互性引起用户对与可视化进行必要交互以形成计算机攻击空间的想法的兴趣。 可视化还增强了处理大量数据以及可视化趋势和模型的能力。

但是，存在与信息和性能表示相关的问题，因此，本文的目的是测量可视化安全事件的过程的有效性。 我们的研究提供了用户的认知知识与安全可视化有效性测量平台[SvEm ] [11]之间的链接 。 我们衡量有效性的方法涵盖计划，设计，实施，评估，验证以及与用户（目标受众）互动的阶段。

在下一部分中，我们将研究有关测量可视化效果的现有研究结果。 然后，我们讨论SvEm平台的开发结果。 总之，我们提出了未来研究的方向。

3相关作品

当用户根据个人喜好和需求选择可视化方法时，有必要评估此类方法的有效性。 现代方法[11] ， [12] ， [17] ， [40]使用诸如用户性能， 可见性 （清晰度），图像质量/失真率，图像质量/失真率（感知评估），可视化相关性度量，大脑活动（大脑活动度量）以及可视化匹配程度如何。 请更详细地考虑可用资源。

3.1评估信息视觉表示的方法

大多数评估方法仅考虑图像的技术方面，例如可见性和识别性。 然而，最优选的是吸引观察者并能够独立传达信息本质而无需进一步说明的视觉表示。 这是大多数艺术家和可视化专家最期待的结果。 可视化和用户之间都存在的基础唤醒了触发效率机制的认知能力。 因此，为了提高效率，需要一些评估方法来改善可视化。

3.2评估方法：对相关性的视觉表示进行排名

成功地用于数据集训练的方法通常用于获得生产力，透明度和完整性的科学估计。 哈里森[12]展示了应用韦伯定律[4] ， [15]和感知定律[15]进行相关性可视化排名的可能性[20] 。 其他方法考虑了训练和最佳数据集的相关性，使用散点图和平行坐标图进行了描述[33] 。 最近的心理学和认知研究[15]表明，在考虑某些数据属性的情况下，知觉定律[20]可用于在可视化中模拟人们的知觉。 Rensink在创建韦伯拟合模型[12]时演示了韦伯定律[33]的使用。 这些研究声称，人与所呈现的数据之间存在联系。 人的感知能够区分相关数据中的关系和客观差异。 该语句由以下线性关系表示：

$$

$$dp = k \ frac {dS} {S}$$

在哪里

$$$dp$ -感知的差异性变化；

$$$k$ -实验获得的相对阈值（韦伯分数）；

$$$dS$ -数据相关性的差异增加。

使用等级标准进行了许多统计研究[12] ：

• Kruskal-Wallis检验[26]用于评估可视化和相关性之间的关系；
• Wilcoxon-Mann检验[16] [29]用于比较可视化对的标准；
• Bonferroni校正[36]解决了多重比较的问题并减少了误报。

尽管已证明这种对相关性可视化进行排名的方法是有效的，但与这项工作无关。

3.3图形方法

图 1.平台方案E ³

连接到Internet的大多数设备都具有日志功能，从而可以进行高速数据收集。 因此，它需要使用特殊的方法来呈现从数据集获得的信息。 例如，考虑由Leung K. I和Upperley D. Mark [24]开发的用于表示大型数据集E ³的图形平台。 使用分析平台E ³ ，您可以考虑数据量，比较显示数据的不同方式。 表现力，效率和有效性等关键特征使您可以对演示文稿的准确性和感知任务进行排名。 在图。 图1显示了E ³平台的示意图，在该平台上标记了关键组件及其与大型数据集表示系统设计阶段的关系。

3.4可视化中的感知错误

测量可视化的另一种常见方法涉及计算错误率，以测量图像质量或失真。 在图。 图2显示了项目的结构，包括预处理，过滤，通道分离和合并错误的阶段。


图 2.评估错误敏感性的项目示意图

在此模型中，通过视觉清晰度和图像失真来评估图像质量。 执行预处理和滤波可以改善质量/失真测量结果（可以很容易地将它们相互转换）。

3.5可视化中的认知，感知和洞察力的概念

在心理学中，衡量可视化效果的有效性基于对个人工作记忆的认知（感知）， 感知 （感知）， 注意力和工作量的 集中度的评估。 用户的认知能力与工作记忆负荷之间的合理关系可以通过评估精神努力 （精神努力）来确定（图3）。 例如，一个理想的用户评分是区域A（图3） [30] ，在该评分中，阅读速度快而精力不足。


图 3. 脑力劳动的有效性[30]

这也意味着用户工作存储器上的负载很高。 用户研究提供了用于评估认知负荷的工具[17] ，尤其是用于评估与可视化效率相关的智力和生产力的方法。

InfoVis的研究[40] ， [34] ， [35]显示了将洞察力用作技术评估手段的可能性。 照明 [40]被定义为对某事物的准确和深刻理解的度量，即发现的度量单位。 照明通常不是在解决专门分配的任务的过程中出现的，而是通常是研究的副产品，而没有实现洞察力的最初目标。

感官过程[32]在确定洞察力 [32]方面也起着重要作用，尽管在这项工作中使用的模型“信息—计划—洞察力—产品”包括洞察力作为组成部分。

总结类似工作的结果，我们看到评估可视化效果不仅影响技术，而且影响使用可视化的人。 在检查了本节中与可视化效率相关的关键领域之后，我们现在对可视化评估方法中实际研究的位置有了清晰的了解。 但是，我们的平台仅限于与安全事件相关的运营信息相关的，与评估效率评估相关的信息安全领域中的可视化。

4 SvEm平台图

为了实现一个评估安全事件可视化效果的平台，重要的阶段是设计阶段。 因此，在本节中，我们介绍了平台的设计解决方案。 SvEm安全可视化性能评估平台包括以下组件：移动显示器的工作表面，安全事件对象，用户警报事件，威胁评估系统，RAM加载和颜色管理组件。 这些组件将在下面讨论。

4.1系统服务器端的体系结构

SvEm安全事件可视化平台的服务器部分的基础结构旨在容纳静态和动态（实时）可视化脚本。 它管理在使用数据库时以及在信息的组装和聚合过程中发生的所有分析过程。 我们的系统架构使用以下技术构建：Windows Progger（日志记录工具），Redis，MongoDB，Nodejs和WebGL。 Windows progger（用于Windows的Linux progger版本[21] ）是系统级日志记录工具（内核级），目前正在开发，重点是计算机和云系统的安全性。Redis [2]简化了Windows Progger和mongoDB的缓存与数据库之间的连接。所有数据都永久存储在mongoDB [3]中，而nodejs [39]和webgl [5]，[31]降低了可视化平台客户端部分的界面复杂性。

服务器部分的体系结构在管理存储时会考虑数据处理过程的功能。预处理数据是通过可视化脚本创建的。例如，实时地，在计算机系统的内核日志中进行记录，以便跟踪和可视化文件创建，修改和删除的来源。

此外，数据已标准化，以评估Web和移动平台上的安全可视化效果。Web和移动设备的要求为查询，处理，分析，呈现和缩放数据的问题提供了一种有效的解决方案，而这些问题是为了可视化安全事件而解决的。在图。图4显示了托管SvEm安全可视化平台的服务器端所需的基本工具和库。


图 4. SvEm服务器端的体系结构

在设计平台时，有必要考虑到应用程序的许多功能，其中主要功能还包括确保安全性，数据处理性能和可视化可视化。我们平台的这些任务是主要任务。

4.2可视化安全事件的技术方面

开发视觉表示时，必须考虑移动设备的尺寸。例如，iPhone 6s Plus的显示限制为1920 x 1080像素，高度为122毫米，宽度为68毫米（图5），因此有必要以视觉方式显示显示控件。


图 5.显示移动设备的参数，

控件包括用于调节处理数据量，选择可视化方法和最适合屏幕尺寸的可视化类型的元素。

对这些限制的清晰了解使安全事件可视化开发人员可以考虑进行多维和/或圆形显示的可能性。这样的项目将允许包含大量安全事件数据属性。

4.2.1成像项目跟踪（归属可视化设计）

的过程中跟踪（归属）[38]在与计算机攻击源的定义相关联的安全上下文信息。在安全事件的可视化中，此过程的图像是一个很大的挑战。需要足够的输入数据集和对跟踪过程的清楚理解。我们的跟踪项目旨在在攻击的源与目标之间建立一条路径。重点是确定计算机攻击的源头，因为大多数轨迹点都是受害者。尽管我们进行了跟踪可视化项目，但基于真实的攻击数据，无法完全可视化跟踪过程。。因此，我们提供了一组用于预测分析的模板，借助这些模板，可以在关键攻击标识符之间连接哪些点，以便使用可视化从更高层次进行跟踪。

4.2.2经过验证的可视化设计

该平台的另一个关键功能是基于收集到的大量数据来有效显示资源。考虑到缩放需求和屏幕工作区域的限制，大量数据被转换为用于移动平台的可视化。

我们的平台使用跟踪可视化项目和源以及简要的数据摘要来提醒用户安全事件。映射源对于安全专家和最终用户了解最新情况至关重要。在图。图6展示了一个可视化源项目，其中包含有关攻击的时间，类型和源的信息。


图 6. 移动设备源可视化项目

此循环项目旨在使用户注意提供的信息，并减少选项卡上移动的次数，以获取更多信息。

4.2.3可视化项目的类型

可视化效果的另一个重要方面是为用户（观察者）提供机会，可以根据查看显示数据的要求从多个可视化项目选项中进行选择。这使您可以满足更多受众的需求。

作为实时可视化安全事件的元素，我们的基础架构为可视化项目[6]提供了以下选项：“卷曲（螺旋）”，“球形”和“网格”。

如图所示。如图7所示，“卷曲（螺旋形）”项目基于格式塔原理/连续性定律[37]。


图 7.可视化项目“ Curl（spiral）”（卷曲（螺旋形））

此可视化项目按照“先入先出”方法显示文件和进程的执行顺序。当用户提请注意具有相同行为/颜色的特定文件，模板或某些组时，他会在精神上感知易于理解的视觉图像。

可视化项目“ Sphere”基于格式塔关于闭合/完成的定律，其中一切都被视为整体的一部分。在图。图8显示了系统内容的可视化（重要元素用颜色标记）。


图 8.项目可视化“范围”

此方法简单明了，可视化可以根据移动设备的显示设置进行缩放。无论您要显示多少文件或流程，球形方法都会创建一个可视化视图，其中所有部分都是整体的总和。

网格可视化项目实现了一种多层次的可视化方法，其中新文件以可视方式显示在可视化网格的前台。这种设计将观察者的注意力吸引到感兴趣的新文件/过程上。观察者的持续关注使他们保持专注，同时又为其他通知机制提供了向观察者传递信息的机会。在图。图9显示了一个示例Grid项目，其中包含用于文件和进程的多层。


图 9.可视化“网格”项目

另外，我们提供了“嵌套环”（圆形层）项目，如图2所示。10。


图 10.用于移动设备的Locky勒索软件可视化项目，

该项目使您可以链接各种文件和进程的多个属性和类别。这种情况下的有效性体现在层之间的过渡上，使观察者可以查看和了解各种文件系统的工作方式。使用这种方法来构造多层次的可视化，使我们可以在信息层次结构和信息关系的不同层次上相互联系。

4.2.4威胁评估组件

识别和可视化威胁的威胁评估组件是SvEm基础架构的另一个重要组件。我们的威胁评估框架（图11）涵盖异常，恶意软件和自定义检测机制。


图 11.威胁分析机制的方案：

使用测试/培训过滤数据集，并记录数据 [10]和已知威胁的特征数据库。异常检测是根据算法执行的，将在评估和验证部分中进行讨论。我们的基本数据集包括已知（先前检测到）的威胁，用户填充的日志以及已知的威胁模型和行为模式。这为控制和监视创造了更好的环境。

4.3安全事件的实体，关系和空间

4.3.1本质

从本质上讲，这种关系（实体的关系）和安全区（安全性景观）是我们的经营平台的主要组成部分。对于实体包括：威胁的对象，恶意代码泄露IP地址和其他许多人。这些目的是衡量SvEm有效性的理论如何起作用的兴趣。我们平台的性能受使用可视化在最短时间内识别这些实体的能力的影响。

4.3.2实体关系

实体关系（也称为链接）对我们的平台至关重要。实体关系函数将实体绑定在一起。这些链接还激活了用户的认知功能，这有助于他们感知隐藏的信息，并可能有助于洞悉安全状态。

4.3.3安全事件的空间

安全空间为用户（观察员）创建了一个事件区域和环境，以将其心理图像集中在特定的安全事件上。熟悉的空间可帮助用户在精神上限制其与可视化交互的区域。

4.4安全成像的颜色标准

标准化颜色的使用以可视化安全事件非常重要。为了加速信息处理，可能需要关注的有关实体的大量数据需要简化安全事件的可视化。例如，在同一视觉空间中使用“红色”和“橙色”颜色会自动为用户造成混乱，这会使整个可视化过程复杂化。我们的标准颜色设置如图2所示。 12：“红色，黄色，绿色，蓝色，紫色和橙色”。


图 12.用于可视化安全事件的颜色标准，

这些颜色分为两组：主要和次要。主要颜色是：红色，黄色，绿色和蓝色。另一组包括：紫色和橙色。其他颜色旨在用于执法机构使用与国际刑警组织通知系统 [1]， [18]相对应的颜色方案来对安全事件进行可视化。例如，橙色仅用于显示非法内容的营业额，并被视为独立的可视化类型。

颜色标准旨在在特别设计的舒适环境中提供易于熟悉的功能。从开发人员的角度来看，正确理解可视化中的颜色如何与安全事件的属性相关很重要。这带来了颜色管理的需求，以避免出现安全事件时由于可能的覆盖问题而导致的可视化错误解释。

4.5安全可视化的认知要求

信息处理是人类的自然功能，无法使用技术来控制。但是，有一些方法可用于处理信息，以特定形式的安全事件可视化为控制形式。使用旨在减少这些方法认知失真（认知偏差）[13] ，这往往会导致一个不正确的感知，判断和不合逻辑不准确的结论。

因此，我们的SvEm平台设计中最重要的部分是在安全事件可视化中定义认知心理属性。这使您可以设置可视化用户任务的整个过程的有效性要求。

要求认知负荷，对工作记忆的负荷，认知激活用户。

还定义了以下心理任务：

• 在关注级别（关注过程）；
• 在低于阈值的水平上（注意前的过程）；
• 在脑力劳动水平上（用于记忆）。

从安全事件可视化应用程序的角度来看，认知警报激活器旨在将观察者与所呈现的可视化联系起来。这些活化剂我们称为方面暂时搁置（半永久性保留），并永久保存（永久保留）。评估部分（第六部分）将展示它们在我们的平台中扮演的重要角色。

5结果：安全可视化平台

5.1 SvEm理论

让我们从对SvEm算法的更详细说明开始。SvEm算法基于以下指标：

• 失真的理论估计（$$d s v e m）;$d_{svem}$
• 时间的理论评估（$$$t_{svem}$ ）

失真和时间的理论估计分别由公式（1）和（2）计算：

$$

$$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad(1)$$

$$

$$t_{svem}=\frac{(Cl*t_{me})}{n_{clicks}*Sv_f/d_n}\leq0,25 \qquad(2)$$

在哪里

$$w ∗ h —移动设备工作表面的尺寸；$w*h$

$$S v f-视觉安全元素的数量（例如，受感染的IP数据包，时间戳等）；$Sv_f$

$$d n -n维安全事件可视化区域；$d_n$

$$Ç 升 -认知负荷（之前参考期间识别的特性数）;$Cl$

$$吨米ë -在工作存储器中的负载（基于临时工作存储器的估计力）;$t_{me}$

$$$n_ {clicks}$ -与可视化交互的次数。

SvEm理论估计是基于失真速度和时间的 。 尽管失真系数为50％，但相对于“高”或“低”评级来衡量我们的总体评级，这使其更加现实。 以下因素影响失真率：

• 手机尺寸和分辨率；
• 用户知识；
• 用户点击

SvEm 时间的测量是相对恒定的：0.25秒[27] ，在心理学上称为人在感知过程中理解信息所需的最短时间。 因此，我们的总得分将作为平均值计算，并与其他测量的众多结果进行比较。

考虑到失真指示符和时间的最终值的质量的改善，实施应用程序性能以及数据管理方法。 在执行复杂的硬件可视化计算时，将对我们应用程序可视空间中的数据显示进行管理，以实现平衡。

认知负荷 （ $$$Cl$ ）并加载到工作内存 （ $$$t_ {我}$ ）是根据先前的理论研究结果计算得出的。 我们的SvEm算法实现了众所周知的方法。

5.2数据流

SvEm平台的优势之一是能够在整个过程中管理数据：从写入数据库到使用WebGL技术输出可视化图像。 在图。 图13是示出服务器侧的主要组件的数据流程图。


图 13.数据处理结果

使用Progger，Redis和MongoDB可以对数据流进行必要的控制。 考虑到所用移动平台的功能（设备的计算能力，显示尺寸和分辨率），大量数据被传输到安全性可视化界面。 这使我们的分析方案可以适当地缩放数据，以通过使用更简单的表示形式来提高可见性。

让我们考虑使用该平台的几个示例，这些示例是根据在测试该平台期间获得的数据的分析结果而开发的。 可以在以下链接中查看示例的视频演示： 使用SvEm安全可视化平台 （https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger） 的示例 。

5.3示例1.实时可视化安全事件协作的应用程序

我们的团队创建了VisualProgger安全日志可视化工具，以可视化方式检查Progger [21]记录的事件的历史记录。 VisualProgger专注于安全事件的实时可视化，由于可视性 ，高性能和认知激活器的使用，使您能够提高分析效率。 在使用动画可视化和及时通知机制进行的数据分析过程中，揭示了有关保护状态的重要信息。

VisualProgger的功能：VisualProgger提供了用于实时可视化安全事件和先前记录的数据的功能，例如，在红色和蓝色团队之间的网络演习（攻击和防御）中观察到的数据[10] 。 在实时可视化脚本中，我们开发并应用了一种通知方法，该方法使我们能够提高用户的注意力集中度。 我们称这种方法为“ SvEm认知激活剂”（SvEm：认知激活剂）。 实现了以下激活器 ：

1. “ Temporary Hold ”：图1所示的动画功能。 14，允许暂时隐藏最重要的（可疑）文件至少3秒钟，以引起观察者的注意；
2. “ 永久保留 ”：文件的恒定颜色指示器，指示恶意（可疑）文件。 根据文件的重要性使用红色或黄色。
3. 检测到关键文件：警报标识符，引起观察者的注意；
4. “ 声音警报 ”：可选的警报标识符，它引起观察者的注意（对于色盲者尤其重要）。

图 14. 激活剂 “临时保留”的演示

所考虑的SvEm认知激活器主要用于显示文件和恶意属性，这些信息和信息从信息安全的角度来看很重要。 将显示数据的文件和属性转换为安全事件的某些可视表示形式，以通过提供更好的信息内容来帮助做出决策。

5.4示例2. Locky勒索软件的可视化

Locky勒索软件安全事件的可视化如图2所示。 15使用Nested Rings项目，该项目专门设计用于仅将用户的注意力集中在所显示的可视化上。


图 15.可视化的Locky勒索软件加密文件

Nested Rings项目可让您在移动平台上以层的形式相互排列数据。 这样，可以显示受感染系统的库，进程和文件的分类。 在攻击实施之前对勒索软件（.docx，.png，.jpeg，.xlsx等）的锁定文件进行加密之前，可以直观地跟踪它们的检测能力，使用户可以清楚地了解勒索软件的运行方式。 然后，加密的文件将以红色突出显示，以显示已加密的文件。

观察者可以选择标记为红色的加密文件（关键文件）（在悬停，单击和其他操作时），以进行进一步分析（图16）。


图 16.可视化查看有关由锁定勒索软件加密的文件的事件

借助这些功能，用户对使用可视化进行交互研究感兴趣，这也增加了用户与可视化的交互。

5.5示例3.与增强现实可视化的有效交互

信息安全可视化领域的增强现实（AR）给用户带来了有趣的体验，并为他带来了新的机会。 通过使用可视化，它引起了观察者对安全事件的注意。 为观察者提供具有颜色解释的三维可视化功能，有助于提高分析速度，而无需花费很多精力 [28] 。 反过来，观察者试图学习其他细节，以获得必要的安全知识。

我们的增强现实可视化（图17）允许移动电话用户使用个人移动平台可视化红蓝团队的网络演习（进攻/防御）。


图 17.增强现实可视化客户端部分的项目

创建增强现实体验可增强观察者感知信息的能力[41] 。 因此，由于使用了AR可视化选择了正确的信息，观察者能够处理大量数据并做出更好的决策，从而有助于提高安全性。

使用彩色球体（图17）表示攻击的各个方面，可以实时演示模拟的计算机攻击。 通过与交互式AR可视化交互，用户可以了解红色团队进行的计算机攻击的特征。

5.6缩放可视化以适合显示

鉴于对移动平台施加的限制以及由于不断收集大量数据，需要一种特殊的可视化方法来可视化计算机攻击。 具有平行坐标[9] ， [19]的图使创建包含所有必要数据量的三维可视化设计成为可能。 在图。 图18显示了具有应用程序，系统和网络层之间的安全性数据的网络流量的分布。


图18.使用带有平行坐标的图表对安全事件进行多维可视化。

6 SvEm平台的评估和测试

6.1 SvEm概念模型

我们基于计算机技术和心理学领域的科学研究结果建立了SvEm模型，其中包括采用集成方法来测量以下主要组件的效率：

• 使用者
• 可视化
• 用户的认知（用户认知）。

这使我们能够开发一种概念模型，该模型考虑了用户在可视化安全事件中获得的经验。 在图。 图19显示了SvEm模型，该模型由效率的上述所有要素组成：用户，可视化和相关因素，用户的认知感知。


图 19. SvEm模型，说明组件“用户”，“可视化”和“用户的认知”之间的关系

这些组件的交叉点确定了表征从可视化提取安全知识目标的模式。

SvEm模型的中心是一种机制，通过这种机制， 认知认知 ， 用户和可视化相结合而产生了感知 。 作为用户在感知过程中进行观察的结果，在次阈值关注 （预先关注）级别出现了请求。 在比较安全事件的可视化的情况下，用户（观察者）引起的精神努力会使用他的认知能力，这与思维过程有关。 这整个过程取决于所呈现的安全事件的特定可视化， 在用户的工作内存上造成了负担 。 给定用户 ， 用户的认知感知和可视化之间的关系，我们有效的可视化方法将在用户与所呈现的可视化之间建立最终关系。 结果，确定失真和/或时间 。 当SvEm模型的所有组件都匹配时，就会发生SvEm 洞察 ，并且将精神努力的值定义为低，这会导致转换和传输有关安全事件的正确信息，以供用户处理。

6.2测试SvEm平台的性能

我们在以下方面测试了SvEm平台的性能：

• 可视化
• 服务器和客户端之间的数据传输性能；
• 认知激活剂作图的评估。

可视化显示可视化测试是在应用程序开发阶段进行的。 它包括根据安全可视化标准（SCeeVis）设计数据处理节点的体系结构。 例如，WebGL 3D图形技术的使用为用户界面提供了在处理大量信息时进行交互式视觉查看的新可能性。 应用程序的体系结构允许处理大量数据并将其呈现在客户端。

在图。 图20示出了数据传输期间的性能估计。


图 20. VisualProgger应用程序性能评估

为了评估性能，当传输不同类型和大小的数据时，记录了各种可执行文件（.exe）的平均数据传输时间（以毫秒为单位）。

6.3 SvEm用户评级

在评估过程中，得出以下结论：为了使可视化有效， 工作存储器上的负载对于高读取性能至关重要。 为了评估SvEm平台的有效性，使用了用户响应。 颜色标准通过使用户能够通过分类和跟踪关系来更快地处理行为模式，从而帮助改善了用户体验。 如果用户知道颜色标准，那么他们可以比使用安全性属性代替颜色的可视化方法更快地处理事件点之间的链接。

将SvEm 认知激活剂整合到我们的平台中，为用户提供了一种在跟踪安全事件时吸引注意力的机制。 这会自动激发观察者的认知能力，促使他进一步与呈现的可视化进行交互。

6.4认知负荷的评估

心理学领域的先前研究对用户培训做出了重大贡献，理论证据[7] [8]增进了对用户认知负荷的理解。 为了确定感知，认知与SvEm平台之间的关系，我们使用了一种与确定认知负荷和工作记忆负荷的方法以及用户感知与认知过程之间的关系的概念有关的著名心理学方法。 该方法适用于在与安全事件的可视化交互期间用户的意识能够感知对象（例如安全节点的图像）的情况。 因此，用户可以考虑与安全节点的所呈现图像有关的关键字，从而改善他们的感知，而感知又与先前与可视化进行交互的经验相关联。 所提出的安全事件中的此过程是在工作内存上进行的高负载下进行的。


图 21.观察者的认知负荷和工作记忆负荷估计值的比较

因此，我们与用户进行了各种实验，并获得了以下结果（图21）。 实验证明了认知负荷的表现和观察者的工作记忆负荷的恒定性：随着工作记忆负荷的增加，认知负荷也有所增加，但保持了极限。 在图。 最佳拟合的21条线显示这两个特征都是线性的，并且认知负荷具有恒定的负荷极限（容量），因此不与工作记忆的负荷容量重叠。 对于用户（观察者）分析安全事件的可视化效果是一种理想的情况。

6.5威胁检测系统

为了过滤使用Progger收集的数据，使用了众所周知的签名算法来检测异常和恶意软件。 根据实际数据，我们临时选择了以下满足我们期望的算法：局部离群因子（LOF） [22] ，DBscan [23]和K近邻（KNN） [25] 。 这使我们能够测试威胁检测评估系统的性能。 正常行为的得分在10到80之间，异常行为则表示为负值。 同样，系统也会基于存储的签名数据库来扫描系统上的可疑文件。 在图。 图22显示了正常和异常行为以及恶意条目。


图 22.异常检测系统的结果

此外，扫描系统上的文件并具有预先配置的日志历史记录有助于确定已知的文件路径。 因此，如果已知文件或可疑文件出现在其他位置，则会自动将其标记为黄色或红色。

我们在准备的真实数据集上分析了威胁评估系统的性能。 几种用于检测异常和恶意签名的算法被用作过滤器。 为了评估异常和恶意文件，我们的评估系统使用Progger应用程序（事件日志记录机制）。 为感兴趣的文件的图像选择了以下颜色方案：恶意数据（红色），可疑数据（黄色），可追溯的操作信息（蓝色）和合法数据（绿色）。

7结论

本文提供了一种评估平台可视化安全事件的有效性的综合方法，指出了同时考虑用户的技术方面和心理特征的方法。 提出了一个概念模型，该模型说明了“ 用户 ”，“ 可视化 ”和“ 用户的认知 ”组件之间的交互，这使人们可以获取和改进对安全事件可视化有效性的估计。 使用SvEm的认知激活剂可以使用户集中注意力并增加他们的注意力量。 我们根据现有平台和基本数据集对SvEm平台进行了评级。因此，我们确认用户可以很好地应对高工作负载，并可以有效地与开发的可视化工具进行交互，以获得有关安全事件的必要信息。

7.1进一步研究领域

将来，我们希望进一步评估该平台对其他领域（医疗保健，金融教育等）用户的有效性，并分析他们在与平台交互时的反应。

8致谢

作者要感谢Mark A.Will，Cameron Brown，Mina Mungro，怀卡托网络安全研究员（CROW Lab）的成员以及新加坡南洋理工学院的实习生[以赛亚·王（Isaiah Wong），贾成业，文良国，新立元]的贡献。该项目由STRATUS（“提供云服务的透明性，信任和用户导向安全技术”）（https://stratus.org.nz）支持，这是一项由新西兰商业，创新和就业部资助的科学投资项目。（MBIE）。这项工作还得到了新西兰和太平洋奖学金计划（NZAid）的部分支持。

9引用二手货源

1.安德森先生。监管世界：国际刑警组织与国际警察合作的政治。克拉伦登出版社牛津，1989年。

2. JL卡尔森。Redis在行动。Manning Publications Co.，美国康涅狄格州格林威治，2013年。

3. K. Chodorow。MongoDB：权威指南：强大且可扩展的数据存储。O'Reilly Media，Inc.，2013年。

4. H. Choo和S. Franconeri。枚举小收藏品违反韦伯法律。心理公告与评论，2014年，第21（1）期：93–99。

5. J. Congote，A。Segura，L。Kabongo，A。Moreno，J。Posada和O. Ruiz。使用webgl实时交互式显示体积数据。在第16届3D Web技术国际会议论文集中，第137-146页。ACM，2011年。

6. EOOD和M. Angelov。11月，使用Three.js学习WebGL的20个令人印象深刻的示例。 2017。

7. C.凡士通和BJ Scholl。增强对道德和睡衣的视觉意识？感知与 自上而下的效果。认知136：409-416，2015。

8. C.凡士通和BJ Scholl。认知不影响感知：评估“自上而下”效应的证据。行为与脑科学，39，2016。

9. Y.-H. Fua，MO Ward和EA Rundensteiner。用于探索大型数据集的分层并行坐标。在“ 99可视化会议论文集：庆祝十年”，第43-50页。IEEE计算机协会出版社，1999年。

10. J. Garae，RK K，J。Kho，S。Suwadi，MA Will和M. Apperley。可视化针对攻击行为的新西兰网络安全挑战。在Trustcom / BigDataSE / ICESS中，2017 IEEE，第1123-1130页。IEEE，2017年。

11. J. Garae和RKL Ko。网络安全决策支持中的可视化和数据来源趋势，第243-270页。施普林格国际出版社，湛，2017年。

12. L. Harrison，F。Yang，S。Franconeri和R. Chang。使用韦伯定律对相关性的可视化进行排序。IEEE可视化和计算机图形学交易，20（12）：1943-1952，2014年。

13. MG Haselton，D。Nettle和DR Murray。认知偏差的演变。进化心理学手册，2005年。

14. J. Heer，FB Vi´egas和M. Wattenberg。旅行者和偷窥者：支持异步协作信息可视化。在SIGCHI关于计算系统中人为因素会议的论文集中，第1029-1038页。ACM，2007年。

15. VAC Henmon。感知时间作为感知差异的量度。8号科学出版社，1906年。

16. RV Hogg和AT Craig。数理统计入门。（5英寸）。新泽西州萨德尔河上游：Prentice Hall，1995年。

17. W. Huang，P。Eades和S.-H。洪 测量图形可视化效果的方法：认知负载的角度。信息可视化，8（3）：139–152，2009年。

18. JJ Imhoff和SP卡特勒。国际刑警组织：在全球范围内扩大执法范围。FBI L.Enforcement Bull。，67:10，1998。

19. A. Inselberg和B. Dimsdale。用于可视化多维几何的平行坐标。在1987年的《计算机图形学》（Computer Graphics 1987）第25-44页中，施普林格（Springer），1987年。

20. M. Kay和J. Heer。超越韦伯定律：再看相关性的可视化排名。IEEE可视化和计算机图形学交易，22（1）：469–478，2016。

21. RK Ko和MA Will。Progger：高效，防篡改的内核空间记录器，用于跟踪云数据来源。在云计算（CLOUD）中，2014 IEEE第七届国际会议，第881–889页。IEEE，2014年。

22. A. Lazarevic，L。Ertoz，V。Kumar，A。Ozgur和J. Srivastava。网络入侵检测中异常检测方案的比较研究。在2003年SIAM国际数据挖掘会议的论文集中，第25–36页。SIAM，2003年。

23. K. Leung和C. Leckie。使用群集的网络入侵检测中的无监督异常检测。在第二十八届澳大利亚计算机科学会议论文集第38卷，第333-342页上，澳大利亚计算机学会，2005年。

24.梁永康和MD Apperley。E3：对大型数据集的图形表示技术进行度量。在人机交互国际会议上，第125-140页。施普林格，1993年。

25.廖Y和VR Vemuri。使用k最近邻分类器过滤器进行入侵检测。计算机与安全，21（5）：439–448，2002。

26. PE McKight和J. Najab。Kruskal-wallis测试。科西尼岛心理学百科全书，2010年。

27. T. Okoshi，J。Ramos，H。Nozaki，J.Nakazawa，AK Day和H. Tokuda。Attelia：减少由于智能手机上的中断通知而导致的用户认知负担。在2015年IEEE国际会议的普及计算和通信（PerCom）中，第96-104页。IEEE，2015年。

28. T. Olsson，E。Lagerstam，T。Kåarkkainen和K.Vâanéanen-VainioMattila。移动增强现实服务的预期用户体验：在购物中心范围内的用户研究。个人和普适计算，17（2）：287-304，2013年。

29. O. Ozturk和DA Wolfe。改进的排名集两样本曼惠特尼－威尔科克森检验。加拿大统计杂志，28（1）：123-135，2000。

30. F. Paas，JE Tuovinen，H。Tabbers和PW Van Gerven。认知负荷测量是推进认知负荷理论的一种手段。教育心理学家，38（1）：63-71，2003年。

31. T. Parisi。WebGL：启动并运行。O'Reilly Media，Inc.，2012年。

32. P. Pirolli和S. Card。通过认知任务分析可以识别分析人员技术的意义形成过程和杠杆作用点。在国际情报分析会议论文集，第5卷，第2-4页，2005年。

33. RA Rensink和G. Baldridge。散点图中的相关性感知。在《计算机图形学论坛》，第29卷，第1203-1210页上。Wiley在线图书馆，2010年。

34. P. Saraiya，C。North和K. Duca。基于洞察力的方法，用于评估生物信息学可视化。IEEE可视化和计算机图形学交易，11（4）：443–456，2005年。

35. P. Saraiya，C。North，V。Lam和KA Duca。基于洞察力的视觉分析纵向研究。IEEE Transactions on Visualization and Computer Graphics，12（6）：1511-1522，2006。

36. EW魏斯斯坦。Bonferroni校正。 2004。

37. M.沃特海默。格式塔简介，确定关键理论和原则。Psychol Forsch，4：301-350，1923年。

38. DA Wheeler和GN Larsen。网络攻击归因技术。技术报告，国防分析研究所，弗吉尼亚州，2003年。

39. JR威尔逊和J.卡特。节点。js正确的方法：可扩展的实用服务器端javascript。实用书架，2013年。

40.易建元，Y.-a。Kang，JT Stasko和JA Jacko。了解和表征见解：人们如何使用信息可视化获得见解？在《超越时间和错误的2008年研讨会论文集：信息可视化的新颖评估方法》，第4页，ACM，2008年。

41. F.周，HB-L。Duh和M. Billinghurst。增强现实跟踪，交互和显示的趋势：ismar十年回顾。在第七届IEEE / ACM国际研讨会上，第193-202页。IEEE计算机协会，2008年。

关于文章的作者



Jeffery Garae，



Ryan Ko博士，新西兰怀卡托大学计算机科学系网络安全实验室研究生，



Mark Mark怀卡托大学（新西兰），Upperli（Mark Apperley），博士，计算机科学系系主任

本文中使用的术语和定义

注意是精神努力集中在感觉或精神事件上。 （罗伯特·索索-认知心理学）

知觉是通过我们的感官系统产生的结果以及我们已经通过经验了解到世界的普遍结果。 （罗伯特·索索-认知心理学）

视觉清晰度-专门创建或选择的图形（图表，表格），艺术和视觉（绘画，复制品），自然（环境物体）辅助工具，旨在进行视觉感知，用作一种手段监视和评估测试过程中主题的活动。

认知负荷（认知负荷）

1.一个多维结构，确定负载如何影响学生执行某些任务。 （Paas F.等人，“认知负荷测量作为一种促进认知负荷理论的手段//教育心理学家。-2003.-T. 38.-No. 1-P. 63-71）

2。经初步审查，

认知偏差（认知偏差） -在判断系统误差（亚历山德罗夫AA综合心理治疗）

的注意力集中（注意力） -的关注的特征之一，反映了浓度主题的程度或强度的任何活动的性能或（从出生到死亡的人类心理学。-SPb。：PRIME -EUROPEAR SIGN，由A. A. Rean。2002年编辑。）

洞察力/洞察力/启蒙力（insight）-对任务本质的直观洞察力。 （罗伯特·索尔索-认知心理学）

亚阈值注意力（注意力不集中）-在监视器屏幕上以小于200毫秒的速度无意识地识别刺激。 （http://humanoit.ru/blog/166）

心力（心力） -认知负荷，从而为认知，这实际上是分配给满足任务的需求方面;因此，我们可以假设它反映了实际的认知负荷。在研究参与者执行任务时测量精神努力（[40]）

可视化起源历史（来源可视化）-基于收集的大量数据的源映射。

可视化跟踪（归属可视化） -在源和攻击目标之间的路径的显示。

保留时间（半永久保持） -认知激活，是一个动画功能，让你暂时隐藏的最重要的（可疑）文件最少3秒钟，以吸引观众的注意力。

认知激活器（cognitive activator）-一种在跟踪安全事件期间吸引用户注意力的机制。

工作内存负载是基于工作内存的临时估计而进行的工作。

跟踪/归因（归因）-确定攻击者或中介通过其进行活动的身份和/或位置的过程。

永久保留（permanent hold）-一种认知激活剂，它是文件的恒定颜色指示，指示恶意（可疑）文件。