Ein integrierter Ansatz zur Visualisierung von Sicherheitsereignissen und zum Messen der Wirksamkeit

Hi, Habr! Wir stellen Ihnen die Übersetzung des Artikels " Eine umfassende Sicherheitsvisualisierung - Wirksamkeitsmessung und Präsentationsansatz " vor.


Vom Autor der Übersetzung: Die

Visualisierung bietet Experten eine unschätzbare Hilfe, um Schlussfolgerungen und Wissen über den Untersuchungsgegenstand zu erhalten, insbesondere wenn solche Studien mit der Verarbeitung einer großen Datenmenge in Verbindung stehen. Gleichzeitig ist die Wahl der Visualisierungsmethoden in der Regel kreativer Natur und ist aufgrund quantitativer Schätzungen keine vernünftige Wahl. Der Artikel versucht, quantitative Visualisierungsschätzungen zu erhalten.

Darüber hinaus sollte beachtet werden, dass den Fragen der Visualisierungsforschung in russischsprachigen Quellen nur wenig Aufmerksamkeit gewidmet wird. Die in dem Artikel beschriebenen Studien stehen an einem Knotenpunkt verschiedener Wissensbereiche: Informationssicherheit, Psychologie, Datenwissenschaft, wodurch der Leser sich mit bisher unbekannten Themen vertraut machen kann. Interessant ist auch eine umfangreiche Bibliographie zum Thema Visualisierung.

Die im Text des Artikels verwendeten Grundbegriffe sind kursiv und für sie ist die Bedeutung eines Fremdbegriffs in Klammern angegeben. Definitionen dieser Begriffe werden nach dem Text des Artikels angegeben.


Zusammenfassung


Was macht eine visuelle Darstellung von Sicherheitsereignissen effektiv? Wie messen wir die Effektivität der Visualisierung im Zusammenhang mit dem Studium, der Analyse und dem Verständnis von Berichten über Informationssicherheitsvorfälle? Das Erkennen und Verstehen von Computerangriffen ist entscheidend, um Entscheidungen nicht nur auf technischer Ebene, sondern auch auf der Ebene der Verwaltung von Sicherheitsrichtlinien zu treffen. Unsere Studie befasst sich mit beiden Aspekten, wodurch wir unser System / unsere Plattform zur Bewertung der Wirksamkeit der Visualisierung von Sicherheitsereignissen (SvEm) ergänzen konnten und einen umfassenden Ansatz zur Bewertung der Wirksamkeit sowohl theoretischer als auch benutzerorientierter Visualisierungstechniken bieten. Durch die interaktive dreidimensionale Visualisierung verbessert unsere SvEm-Plattform die Effizienz als Einzelbenutzer. und mehrere Benutzer im Verlauf ihrer Zusammenarbeit. Leistungsindikatoren wievisuelle Klarheit (visuelle Klarheit), die Sicht (Sicht), die Geschwindigkeit der Verzerrung (Verzeichnung Rate) und Reaktionszeit (Zuschauen) der Benutzer (Benutzer - Antwort (viewing) mal) .

Die Schlüsselkomponenten der SvEm-Plattform sind:

  • die Größe und Auflösung der Anzeige des mobilen Geräts;
  • Sicherheitsvorfälle von Entitäten (Entitäten);
  • kognitive Aktivatoren (kognitive Aktivatoren) Benutzerbenachrichtigungen;
  • Bedrohungsanalyse-System;
  • Last auf Arbeitsspeicher (Arbeitsspeicher Last);
  • Farbmanagement.

Um unsere Plattform für eine umfassende Bewertung der Wirksamkeit der Visualisierung von Sicherheitsereignissen zu bewerten, haben wir (mithilfe von Web- und Mobiltechnologie) eine VisualProgger-Anwendung zur Visualisierung von Sicherheitsereignissen in Echtzeit entwickelt. Schließlich Visualisierung SVEM auf die Erhöhung richtet Konzentration , indem sichergestellt wird konstant (Aufmerksamkeitsspanne) Benutzer kognitive Belastung (kognitive Belastung) bei der erhöhten Last auf den Arbeitsspeicher des Betrachters. Im Gegenzug bietet die Visualisierung von Sicherheitsereignissen dem Benutzer die Möglichkeit für die Entstehung von Einsicht (Erkenntnis) über den Stand der Sicherheit von Informationen. Unsere Einschätzung zeigt, dass Beobachter mit Vorwissen besser abschneiden (Belastung des Arbeitsgedächtnisses ) über Sicherheitsereignisse sowie die zirkuläre Visualisierung, die die Aufmerksamkeit der Benutzer auf sich zieht und aufrechterhält . Diese Ergebnisse ermöglichten es uns, die Richtung zukünftiger Forschung zu bestimmen, die sich auf die Beurteilung der Wirksamkeit der Visualisierung von Sicherheitsereignissen bezieht.

Inhaltsverzeichnis


1 Einleitung
2 Hintergrund und Forschungsbereich
3 Verwandte Arbeiten
3.1 Methoden zur Bewertung visueller Repräsentationen von Informationen
3.2 Bewertungsmethode: Rangliste visueller Korrelationsdarstellungen
3.3 Grafische Darstellungsmethoden
3.4 Wahrnehmungsfehler in Visualisierungen
3.5 Kognitive, Wahrnehmungs- und Erkenntniskonzepte in der Visualisierung
4 SvEm-Plattformdiagramm
4.1 Serverarchitektur Teil des Systems
4.2 Technische Aspekte des Sicherheitsereignis Visualisierung
4.3 Entity Beziehung von Raum und Sicherheitsvorfällen
4.4 Color Imaging - Standard verwendet zopasnosti
4.5 Kognitive Sicherheitsanforderungen für die Visualisierung
5 Ergebnisse: Sicherheit Visualisierungsplattform
5.1 SvEm-Theorie
5.2 Datenverarbeitungsablauf
5.3 Beispiel 1. Anwendung zur Zusammenarbeit mit Visualisierung von Sicherheitsereignissen in Echtzeit
5.4 Beispiel 2. Locky Ransomware-Visualisierung
5.5 Beispiel 3. Effektive Interaktion mit Augmented Reality-
Visualisierung 5.6 Skalierung der Visualisierung anhand der Anzeigegröße
6 Bewertung und Test der SvEm-Plattform
6.1 Konzeptionelles Modell von SvEm
6.2 Testen der Leistung der SvEm-Plattform
6.3 SvEm-Benutzerbewertung
6.4 Bewertung der kognitiven Belastung
6.5 Bedrohungserkennungssystem
7 Fazit
8 Danksagungen
9 Hinweise auf verwendete Quellen

1 Einleitung


Sicherheitsereignisvisualisierungen (Sicherheitsvisualisierungen) sind hilfreich, um das Verständnis des Sicherheitszustands zu beeinflussen, aber wie effektiv sind sie? Hilft die Visualisierung in kritischen Situationen bei der Entscheidungsfindung oder lenkt sie nur ab? Diese Studie bietet eine Grundlage für die Bewertung der Wirksamkeit und die Entwicklung visueller Repräsentationen im Bereich der Informationssicherheit.

Unser Hauptaugenmerk liegt auf der Verbesserung der SvEm-Plattform [11] durch eine umfassende Bewertung der Wirksamkeit visueller Repräsentationen von Sicherheitsereignissen in jeder Phase der Visualisierungswahrnehmung. Es wird davon ausgegangen, dass der Leser bereits eine Vorstellung von der Visualisierung im Bereich der Informationssicherheit hat.

Wir betrachten Leistungsprobleme in der Datenverarbeitung,visuelle Klarheit sowie die komfortable Nutzung der Funktionen interaktiver Benutzerdaten. Um die Wirksamkeit der Visualisierung von Sicherheitsereignissen zu messen, müssen sowohl die Web- als auch die mobilen Plattformen sowie die Antwortzeiten der Benutzer bei der Interaktion mit ihnen umfassend bewertet werden.

In dem Moment, in dem der Benutzer mit visuellen Darstellungen von Sicherheitsereignissen interagiert, ist es zunächst einmal daran zu verstehen, wie die Visualisierung die Aufmerksamkeit des Benutzers am schnellsten erregen kann, und zweitens, wie seine Aufmerksamkeitsspanne gemessen werden kann . Dies erfordert die Überwachung der Effektivität der kognitiven Last des Benutzers und der Last in seinem Arbeitsspeicher.. Die Visualisierung ist am effektivsten, wenn die kognitive Last abnimmt und der Arbeitsspeicher steigt.

2 Hintergrund und Forschungsgebiet


In den meisten wissenschaftlichen Studien, die auf die Erkundung von Visualisierungsplattformen und Benutzeroberflächen abzielen, bedeutet das Konzept der Effizienzsteigerung eine Produktivitätssteigerung durch Verringerung der Zeit, um sinnvolle Ergebnisse zu erzielen. In dem von uns entwickelten Artikel für die Plattform wird der Begriff "Effizienz" mit der Visualisierung von Sicherheitsereignissen als ganzheitlicher und integrierter Ansatz verbunden, der die Wahrnehmung wesentlicher Informationen als Ergebnis der Benutzerinteraktion mit der Visualisierung maximal vereinfachen soll.

In diesem Artikel messen wir die Effektivität des gesamten Sicherheitsvisualisierungsprozesses: sowohl den grafischen Anzeigeprozess als auch den Benutzerinteraktionsprozess. Wir sind auch zuversichtlich, dass die Visualisierung von Sicherheitsereignissen eine automatisierte Datenanalyse ermöglicht und nützliche Informationen aus den Rohdaten zu Sicherheitsereignissen (Netzwerkangriffe) abruft. Visuelle Darstellungen von Sicherheitsereignissen zeigen visuell und dynamisch die Sicherheitsvorfälle der Benutzer sowie die Verbindung von Vorfällen untereinander [14].. Interaktivität weckt das Interesse des Benutzers, die notwendigen Interaktionen mit Visualisierungen durchzuführen, um eine Vorstellung von dem Raum für die Durchführung von Computerangriffen zu erhalten. Durch die Visualisierung können auch große Datenmengen verarbeitet und Trends und Muster visualisiert werden.

Es gibt jedoch Probleme bei der Darstellung von Informationen und der Leistung. In diesem Artikel soll daher die Wirksamkeit der Visualisierung von Sicherheitsereignissen gemessen werden. Unsere Studie stellt eine Verbindung zwischen dem kognitiven Wissen der Benutzer und der Plattform zur Messung der Wirksamkeit der Visualisierung von Sicherheitsereignissen her (SvEm - Sicherheitsvisualisierung der Wirksamkeit) [11]. Unser Ansatz zur Leistungsmessung umfasst die Phasen Planung, Entwurf, Implementierung, Bewertung, Validierung und Interaktion mit dem Benutzer (Zielgruppe).

Im nächsten Abschnitt werden wir die Ergebnisse bestehender Forschungsarbeiten zur Messung der Visualisierungseffizienz betrachten. Anschließend diskutieren wir die Ergebnisse der Entwicklung der SvEm-Plattform. Abschließend werden wir die Richtungen für die zukünftige Forschung vorstellen.

3 Verwandte Arbeiten


Während Benutzer Visualisierungsmethoden aufgrund ihrer individuellen Vorlieben und Bedürfnisse auswählen, muss die Wirksamkeit dieser Methoden bewertet werden. Aktuelle Ansätze [11] , [12] , [17] , [40], unter Verwendung von Indikatoren wie der Benutzerdurchsatz (User Performance), Sichtbarkeit (Klarheit), der Grad der Qualität / verzerrungsBilder (Bildqualität / Verzerrungsrate), Wahrnehmungsbewertung (Wahrnehmungsbewertung), ein Maß für Visualisierungskorrelationen (Visualisierungskorrelationsmessung), Messungen der Gehirnaktivität (Hirnaktivitätsmessung) und den Grad der Übereinstimmung der Visualisierung (wie gut Visualisierung). Betrachten Sie die verfügbaren Quellen genauer.

3.1 Methoden zur Bewertung visueller Darstellungen von Informationen


Die meisten Bewertungsmethoden berücksichtigen nur die technischen Aspekte von Bildern wie Sichtbarkeit und Erkennung. Am meisten bevorzugt sind jedoch visuelle Darstellungen, die Betrachter anziehen und in der Lage sind, das Wesentliche der Informationen unabhängig zu vermitteln, ohne dass weitere Klärungen erforderlich sind. Dies ist das erwartete Ergebnis für die meisten Künstler und Visualisierungsexperten. Die Basis, die sowohl in der Visualisierung als auch bei den Benutzern vorhanden ist, erweckt ihre kognitiven Fähigkeiten, die Effizienzmechanismen auslösen. Um die Effizienz zu verbessern, sind daher einige Bewertungsmethoden erforderlich, um die Visualisierung zu verbessern.

3.2 Beurteilungsmethode: Rangfolge der visuellen Darstellung von Korrelationen


Ein Ansatz, der erfolgreich in Schulungen zu Datensätzen verwendet wird, wird häufig verwendet, um wissenschaftliche Bewertungen der Leistung, Transparenz und Integrität zu erhalten. Harrison zeigte in [12] die Möglichkeit, das Weber-Gesetz [4] , [15] und das Wahrnehmungsgesetz [15] anzuwenden , wenn die Korrelationsvisualisierung [20] eingestuft wurde . Andere Ansätze berücksichtigen die Korrelation von Training und besten Datensätzen, die mithilfe von Streudiagrammen und Diagrammen mit parallelen Koordinaten dargestellt werden [33] . Neuere psychologische und kognitive Studien [15] haben gezeigt, dass die Gesetze der Wahrnehmung [20]kann verwendet werden, um die Wahrnehmung der Menschen bei der Visualisierung bestimmter Eigenschaften der betreffenden Daten zu modellieren. Rensink demonstrierte die Anwendung des Weber-Gesetzes [33] bei der Erstellung des Weber-Fit-Modells [12] . Diese Studien zeigen, dass zwischen den Menschen und den präsentierten Daten ein Zusammenhang besteht. Die menschliche Wahrnehmung kann zwischen Beziehungen und objektiven Unterschieden in korrelierten Daten unterscheiden. Diese Aussage wird durch die folgende lineare Beziehung ausgedrückt:

$ dp = k \ frac {dS} {S} $


wo

$ dp $ - unterschiedliche Wahrnehmungsänderungen;

$ k $ - experimentell erhaltener relativer Schwellenwert (Weberfraktion);

$ dS $- die unterschiedliche Zunahme der Datenkorrelation.

Eine Reihe statistischer Studien [12] wurde anhand von Bewertungskriterien durchgeführt:

  • Kruskal-Wallis-Kriterium [26] zur Bewertung der Beziehung zwischen Visualisierung und Korrelationen;
  • Wilcoxon-Mann-Kriterium [16] , [29] Kriterium für den Vergleich von Visualisierungspaaren;
  • Bonferroni-Korrektur [36] , um das Problem der Mehrfachvergleiche zu lösen und falsch positive Ergebnisse zu reduzieren.

Diese Methode der Klassifizierung der Darstellung von Zusammenhängen hat sich zwar als wirksam erwiesen, ist aber für diese Arbeit nicht relevant.

3.3 Methoden der grafischen Darstellung



Abb. 1. Schema der Plattform E 3

Die meisten mit dem Internet verbundenen Geräte können protokollieren, was eine hohe Datenerfassungsgeschwindigkeit ermöglicht. Daher sind spezielle Methoden zur Darstellung von Informationen aus Datensätzen erforderlich. Als Beispiel sei dievon Leung K. I und Appley D. Mark [24] entwickeltegrafische Plattform für die Darstellung großer Datensätze E 3 genannt . Analyseplattform E 3ermöglicht den Vergleich verschiedener Darstellungsformen unter Berücksichtigung des Umfangs dieser Daten. Die Hauptmerkmale wie Ausdruckskraft, Effizienz und Effektivität ermöglichen es, die Genauigkeit der Präsentation und die Wahrnehmungsaufgaben zu bewerten. In fig. Abbildung 1 zeigt das Layout der E 3- Plattform , in der die wichtigsten Komponenten und ihre Verbindungen zu den Entwurfsphasen eines Darstellungssystems für große Datensätze hervorgehoben werden.

3.4 Wahrnehmungsfehler bei Visualisierungen


Ein anderes übliches Verfahren zum Messen der Visualisierung beinhaltet das Berechnen der Fehlerrate (Messrate) der Bildqualität oder Bildverzerrung. In fig. 2 zeigt die Struktur des Projekts, die die Stufen Vorverarbeitung, Filterung, Kanaltrennung und Fehlerpooling umfasst.


Abb. 2. Projektschema, Bewertung der Fehlerempfindlichkeit

In diesem Modell wird die Bildqualität anhand der Indikatoren für visuelle Klarheit und Bildverzerrung geschätzt. Durch das Vorverarbeiten und Filtern werden die Ergebnisse der Qualitäts- / Verzerrungsmessung verbessert (die leicht von einem in den anderen konvertiert werden können).

3.5 Die Begriffe Wahrnehmung, Wahrnehmung und Einsicht in die Visualisierung


In der Psychologie wird die Wirksamkeit der Visualisierung auf der Grundlage von Beurteilungen der Kognitivität (Kognition), der Wahrnehmung (Wahrnehmung), der Konzentration der Aufmerksamkeit und der Belastung des Arbeitsgedächtnisses einer Person gemessen . Die rationale Beziehung zwischen der kognitiven Fähigkeit des Benutzers und der Belastung des Arbeitsgedächtnisses kann durch Auswertung der mentalen Anstrengung (mentale Anstrengung) bestimmt werden (Abb. 3). Beispielsweise liegt die ideale Benutzerschätzung, bei der die Lesegeschwindigkeit hoch ist und die geistige Anstrengung gering ist, im Bereich A (Abb. 3) [30] .


Abb. 3. Die Wirksamkeit der mentalen Anstrengung [30]

Dies bedeutet auch, dass die Arbeitsspeicher des Benutzers hoch belastet werden . Die Nutzerforschung hat Werkzeuge zur Beurteilung der kognitiven Belastung [17] bereitgestellt, insbesondere zur Bewertung der geistigen Anstrengung und Leistung , die mit der Effizienz der Visualisierung zusammenhängen.

Untersuchungen von [40] , [34] , [35] , die von InfoVis durchgeführt wurden, zeigten die Möglichkeit, Erkenntnisse als Maß für die Technologiebewertung zu verwenden. Beleuchtung [40]ist definiert als Maß für ein genaues und tiefes Verständnis von etwas, das heißt eine Maßeinheit für die Entdeckung. Illumination kommt oft nicht im Zuge der Lösung von speziell für diesen Zweck gestellten Aufgaben, sondern ist in der Regel ein Nebenprodukt der Forschung ohne anfängliches Ziel, Einsicht zu erlangen.

Eine wichtige Rolle bei der Definition von Einsicht ist auch der Prozess des Verstehens (Sensemaking) [32] , obwohl das in dieser Arbeit verwendete Modell „Information-Schema-Insight-Product“ die Einsicht als Komponente beinhaltet.

Wenn wir die Ergebnisse ähnlicher Arbeiten zusammenfassen, sehen wir, dass die Beurteilung der Wirksamkeit der Visualisierung nicht nur die Technologie beeinflusst, sondern auch die Person, die die Visualisierung verwendet. Nachdem wir in diesem Abschnitt die wichtigsten Bereiche im Zusammenhang mit der Wirksamkeit der Visualisierung betrachtet haben, haben wir jetzt ein klares Verständnis für den Ort der realen Forschung in der Visualisierungsbewertungsmethodik. Unsere Plattform beschränkt sich jedoch auf die Sicherheitsvisualisierung von Informationen im Zusammenhang mit der Messung der Messleistung in Bezug auf betriebliche Informationen zu Sicherheitsvorfällen.

4 Schema-Plattform SvEm


Ein wichtiger Schritt in der Entwurfsphase ist die Implementierung einer Plattform, mit der die Wirksamkeit der Visualisierung von Sicherheitsereignissen bewertet wird. Deshalb stellen wir Ihnen in diesem Abschnitt die Designlösung unserer Plattform vor. Die Leistungsbewertungsplattform für die Sicherheitsvisualisierung von SvEm besteht aus den folgenden Komponenten: einer mobilen Anzeigearbeitsoberfläche, Sicherheitsereignisobjekten, Alarmmeldungen für Benutzer, einem Bedrohungsanalyse-System, dem Laden des Speichers und einer Farbmanagementkomponente. Diese Komponenten werden im Folgenden beschrieben.

4.1 Architektur des Serverteils des Systems


Die serverseitige Infrastruktur der SvEm-Plattform zur Visualisierung von Sicherheitsereignissen kann sowohl statische als auch dynamische (Echtzeit-) Visualisierungsskripts hosten. Es verwaltet alle Analyseprozesse, die beim Arbeiten mit einer Datenbank sowie beim Zusammenstellen und Sammeln von Informationen auftreten. Die Architektur unseres Systems basiert auf den folgenden Technologien: Windows Progger (Logging Tool), Redis, MongoDB, Nodejs und WebGL. Windows Progger (die Linux Progger-Version für Windows [21] ) ist ein Ereignisprotokollierungstool auf Systemebene (Kernelebene), das derzeit mit einem Fokus auf Sicherheit in Computer- und Cloud-Systemen entwickelt wird. Redis [2]erleichtert die Kommunikation zwischen Cache und Datenbank für Windows Progger und MongoDB. Alle Daten werden dauerhaft in mongoDB gespeichert [3] , während NodeJS [39] und webgl [5] , [31] , die Komplexität der Schnittstellen Client - Teil Visualisierungsplattform reduziert.

Die Architektur des Serverteils ist unter Berücksichtigung der Besonderheiten des Datenverarbeitungsprozesses bei der Verwaltung ihres Speichers konzipiert. Vorverarbeitete Daten werden als Ergebnis des Rendering-Skripts erstellt. Im Echtzeitmodus wird zum Beispiel ein Protokoll in das Systemkernprotokoll des Computers geschrieben, um Quellen zum Erstellen, Ändern und Löschen von Dateien zu verfolgen und zu visualisieren .

Darüber hinaus sind die Daten standardisiert, um die Wirksamkeit von Sicherheitsvisualisierungen in Web- und mobilen Plattformen bewerten zu können. Die Anforderungen an Web- und mobile Geräte stellten die effektive Lösung der Aufgaben zur Anforderung, Verarbeitung, Analyse, Wiedergabe und Skalierung von Daten sicher, die zur Visualisierung von Sicherheitsereignissen gelöst wurden. In fig. Abbildung 4 zeigt die wichtigsten Tools und Bibliotheken, die zum Hosten der Serverseite der SvEm-Sicherheitsvisualisierungsplattform erforderlich sind.


Abb. 4. Die Architektur des Serverteils von SvEm

Beim Entwerfen einer Plattform müssen viele Funktionen der Anwendung berücksichtigt werden. Zu den Hauptfunktionen zählen die Sicherheit, die Datenverarbeitungsleistung und die visuelle Darstellung der Visualisierung. Diese Aufgaben für unsere Plattform sind grundlegend.

4.2 Technische Aspekte der Visualisierung von Sicherheitsereignissen


Bei der Entwicklung visueller Darstellungen müssen die Abmessungen des mobilen Geräts berücksichtigt werden. Zum Beispiel machen die Anzeigebeschränkungen von 1920 x 1080 Pixeln für das iPhone 6s Plus mit einer Höhe von 122 mm und einer Breite von 68 mm (Abb. 5) die Anzeige von Steuerelementen in einer visuellen Darstellung erforderlich.


Abb. 5. Anzeigeparameter

für mobile Geräte: Die Steuerelemente umfassen Elemente zur Regulierung der zu verarbeitenden Datenmenge, die Wahl der Visualisierungsmethode und die Visualisierungsarten, die der Bildschirmgröße am besten entsprechen.

Ein klares Verständnis dieser Einschränkungen ermöglicht Entwicklern die Visualisierung von Sicherheitsereignissen, um die Möglichkeit einer mehrdimensionalen und / oder kreisförmigen Anzeige zu berücksichtigen. Solche Projekte lassen eine große Anzahl von Datenattributen für Sicherheitsvorfälle zu.

4.2.1 Imaging - Projekt - Tracking (Zuschreibung Visualisierung Design)


Der Prozess der Verfolgung (Attribution) [38] im Kontext der Informationssicherheit ist mit der Ermittlung der Quelle eines Computerangriffs verbunden. Bei der Visualisierung von Sicherheitsereignissen ist das Bild dieses Prozesses eine ziemliche Herausforderung. Sie müssen über ausreichende Quellendaten verfügen und den Nachverfolgungsprozess genau verstehen . Unser Tracking- Projekt zielt darauf ab, einen Pfad zwischen der Quelle und den Angriffszielen zu schaffen. Der Schwerpunkt liegt auf der Ermittlung der Quelle des Computerangriffs, da die meisten Flugbahnpunkte Opfer sind. Trotz unseres Tracking- Visualisierungsprojekts ist es nicht möglich, den Tracking- Prozess basierend auf Daten über echte Angriffe vollständig zu visualisieren.. Daher bieten wir eine Reihe von Mustern für Predictive Analytics an, mit denen Punkte zwischen wichtigen Angriffsbezeichnern für die Verfolgung von einer höheren Ebene mithilfe von Visualisierung verbunden werden können.

4.2.2 Quellvisualisierungsprojekt (Provenienzvisualisierungsdesign)


Ein weiteres wichtiges Merkmal der Plattform ist die effiziente Anzeige von Quellen basierend auf der großen Menge an gesammelten Daten. Eine große Datenmenge wird für mobile Plattformen in eine Visualisierung konvertiert, wobei der Skalierungsbedarf und der begrenzte Arbeitsbereich des Bildschirms berücksichtigt werden.

Unsere Plattform verwendet Tracking- Visualisierungsprojekte und -quellen mit einer kurzen Zusammenfassung der Daten, um Benutzer auf Sicherheitsereignisse hinzuweisen. Die Zuordnung von Quellen ist für Sicherheitsexperten und Endbenutzer entscheidend, um sich der Situation bewusst zu sein. In fig. 6 zeigt ein Projekt zur Visualisierung von Quellen mit Informationen zu Zeitpunkt, Art und Quelle des Angriffs.


Abb. 6. Projekt zur Visualisierung von Quellen für ein mobiles Gerät:

Dieses zirkuläre Projekt soll den Benutzer auf die bereitgestellten Informationen aufmerksam machen und die Anzahl der Bewegungen auf den Registerkarten reduzieren, um weitere Informationen zu erhalten.

4.2.3 Arten von Visualisierungsprojekten


Ein weiterer wichtiger Aspekt der Visualisierungseffizienz besteht darin, Benutzern (Beobachtern) die Möglichkeit zu geben, aus verschiedenen Varianten von Visualisierungsprojekten zu wählen, abhängig von den Anforderungen für die Anzeige der angezeigten Daten. So können Sie die Bedürfnisse eines breiteren Publikums erfüllen.

Als Elemente zur Visualisierung von Sicherheitsereignissen in Echtzeit bietet unsere Infrastruktur die folgenden visuellen Projektoptionen [6] : Curl (Spiral), Sphere und Grid.

Wie in Abb. In 7 basiert das Projekt Curl (Spiral) auf dem Prinzip / Gesetz der Gestalt-Kontinuität [37] .


Abb. 7.

Visualisierungsprojekt „Curl (Spiral)“ Diese Visualisierung zeigt die Reihenfolge der Ausführung von Dateien und Prozessen gemäß dem Ansatz „zuerst eingegeben, zuerst gezeigt“. Wenn der Benutzer einer bestimmten Datei, einem Muster oder einer Gruppe mit demselben Verhalten / derselben Farbe Beachtung geschenkt hat, nimmt er ein leicht verständliches visuelles Bild wahr.

Das Sphere-Visualisierungsprojekt basiert auf dem Gestaltgesetz der Schließung / Vollendung, bei dem alles als Teil des Ganzen wahrgenommen wird. In fig. 8 zeigt die Visualisierung des Systeminhalts (wichtige Elemente sind farblich hervorgehoben).


Abb. 8. Projekt zur Kugelvisualisierung

Diese Methode ist einfach und unkompliziert. Die Visualisierung kann abhängig von den Anzeigeparametern des Mobilgeräts skaliert werden. Unabhängig davon, wie viele Dateien oder Prozesse gezeigt werden müssen, bildet der sphärische Ansatz eine Visualisierung, in der alle Teile die Summe eines Ganzen sind.

Das Visualisierungsprojekt „Grid“ implementiert einen mehrstufigen Visualisierungsansatz, bei dem neue Dateien visuell im Vordergrund des Visualisierungsrasters angezeigt werden. Dieses Design lenkt die Aufmerksamkeit der Beobachter auf neue Akten / Prozesse von Interesse. Die ständige Aufmerksamkeit des Beobachters hält sie im Fokus, während andere Alarmmechanismen die Möglichkeit haben, Informationen an den Beobachter zu übermitteln. In fig. 9 zeigt ein Beispiel des Grid-Projekts mit mehreren Ebenen für Dateien und Prozesse.


Abb. 9. Visualisierungsprojekt „Grid“.

Zusätzlich bieten wir das Projekt „Circular-Layered“ (Abb. 1) an. 10


Abb. 10. Visualisierungsprojekt für mobile Geräte von Ransomware Mit Locky

Project können Sie verschiedene Attribute und Kategorien verschiedener Dateien und Prozesse verknüpfen. Die Wirksamkeit manifestiert sich in diesem Fall in Übergängen zwischen den Schichten, sodass Beobachter sehen und verstehen können, wie verschiedene Dateisysteme funktionieren. Wenn Sie den Ansatz zum Erstellen von mehrstufigen Visualisierungen verwenden, können Sie sowohl verschiedene Ebenen der Informationshierarchie als auch Informationsbeziehungen miteinander verbinden.

4.2.4 Bedrohungsbewertungskomponenten


Eine weitere wichtige Komponente der SvEm-Infrastruktur ist die Komponente Threat Assessment, mit der Bedrohungen erkannt und visualisiert werden können. Unser Bedrohungsbewertungsschema (Abbildung 11) behandelt Anomalien, Malware und benutzerdefinierte Erkennungsmechanismen.


Abb. 11. Diagramm des Bedrohungsanalysemechanismus:

Datensätze werden mithilfe von Test / Training und erfassten Daten [10] und Signaturdatenbanken bekannter Bedrohungengefiltert. Die Erkennung von Anomalien wird gemäß dem Algorithmus durchgeführt, der im Abschnitt Bewertung und Validierung besprochen wird. Unser Basis-Datensatz besteht aus bekannten (zuvor erkannten) Bedrohungen, von Benutzern gefüllten Protokollen sowie bekannten Bedrohungsmodellen und Verhaltensmustern. Dies schafft eine bessere Umgebung für die Steuerung und Überwachung.

4.3 Entitäten, Beziehungen und Sicherheitsvorfallsräume


4.3.1 Essenz


Im Wesentlichen ist die Beziehung (Entitäten Beziehungen) und Sicherheitsbereich sind (Sicherheits Landschaften) die Hauptkomponenten unserer operativen Plattform. Für Einheiten umfassen: die Themen Bedrohungen, kompromittiert bösartigen Payloads IP-Adresse und viele andere. Diese Objekte sind für die Funktionsweise der Theorie der SvEm-Leistungsmessung von Interesse. Die Leistung unserer Plattform wird durch die Fähigkeit beeinflusst, diese Entitäten durch Visualisierung in kürzester Zeit zu identifizieren .

4.3.2 Entitätenbeziehungen


Entity-Beziehungen , auch als Links bezeichnet , sind für unsere Plattform von entscheidender Bedeutung. Funktionseinheit Beziehungen assoziierten Gesellschaften zusammen. Diese Links aktivieren auch die kognitiven Funktionen des Benutzers, die ihm helfen, verborgene Informationen wahrzunehmen und möglicherweise zu Erkenntnissen über den Sicherheitszustand beitragen .

4.3.3 Sicherheitsvorfallsräume


Sicherheitsbereiche erstellen einen Vorfallbereich und eine Umgebung für Benutzer (Zuschauer), um ihre mentalen Bilder auf einen bestimmten Sicherheitsvorfall zu konzentrieren. Der vertraute Raum hilft dem Benutzer, den Bereich seiner Interaktion auf die Visualisierung zu beschränken.

4.4 Sicherheitsvisualisierungsfarbstandard


Es ist sehr wichtig, die Verwendung von Farben zur Visualisierung von Sicherheitsereignissen zu standardisieren. Große Datenmengen über möglicherweise interessierende Entitäten erfordern die Vereinfachung der Visualisierung von Sicherheitsereignissen, um die Verarbeitung von Informationen zu beschleunigen. Wenn Sie beispielsweise die Farben „rot“ und „orange“ in einem Bildraum verwenden, entsteht automatisch Verwirrung für den Benutzer, was den gesamten Visualisierungsprozess erschwert. Unser standardisiertes Farbset ist in Abb. 1 dargestellt. 12: "rot, gelb, grün, blau, violett und orange."


Abb. 12. Farbstandard zur Visualisierung von Sicherheitsereignissen

Diese Farben sind in zwei Gruppen unterteilt: primäre und sekundäre. Die Hauptgruppe der Farben sind: Rot, Gelb, Grün und Blau. Zusätzliche Gruppe beinhaltet: Lila und Orange. Komplementärfarben dienen der Visualisierung von Sicherheitsereignissen durch Strafverfolgungsbehörden in Farbschemata, die dem Benachrichtigungssystem von Interpol entsprechen [1] , [18] . Beispielsweise wird die Farbe Orange nur zur Anzeige des Umsatzes illegaler Inhalte verwendet und als unabhängige Art der Visualisierung betrachtet.

Der Farbstandard zielt darauf ab, die vorherige Bekanntschaft in einer speziell für diese komfortable Umgebung entwickelten Umgebung zu gewährleisten. Aus Sicht des Entwicklers ist es wichtig, richtig zu verstehen, wie sich Farben in der Visualisierung auf die Attribute von Sicherheitsereignissen beziehen. Dies erfordert ein Farbmanagement, um eine Fehlinterpretation der Visualisierung aufgrund möglicher Farbüberlappungsprobleme bei der Darstellung von Sicherheitsvorfällen zu vermeiden.

4.5 Kognitive Anforderungen an die Sicherheitsvisualisierung


Informationsverarbeitung ist eine natürliche Funktion des Menschen, die von der Technologie nicht gesteuert werden kann. Es gibt jedoch Methoden, die bei der Verarbeitung von Informationen für eine bestimmte Visualisierung von Sicherheitsereignissen als Verwaltungsformen angewendet werden können. Die Verwendung solcher Methoden zur Förderung der Verringerung der kognitiven Verzerrung (kognitive Verzerrung) [13] , die oft zu einer falschen Wahrnehmung führen, Beurteilung und unlogisch ungenau Schlussfolgerungen.

Daher ist der wichtigste Teil des Designs unserer SvEm-Plattform die Definition kognitiv-psychologischer Anzeichen in der Visualisierung von Sicherheitsereignissen. Auf diese Weise können Sie die Leistungsanforderungen für den gesamten Prozess der Visualisierung von Benutzeraufgaben festlegen.

Erforderliche Voraussetzungen fürkognitive Belastung , Belastung des Arbeitsspeichers , kognitive Aktivatoren des Benutzers.

Die folgenden psychologischen Aufgaben sind ebenfalls definiert:

  • auf der Aufmerksamkeitsebene ;
  • auf der Ebene der subliminalen Aufmerksamkeit (voraufsichtlicher Prozess);
  • auf der Ebene der geistigen Anstrengung (für das Gedächtnis).

Aus Sicht der Visualisierungsanwendung für Sicherheitsereignisse sollen Aktivatoren für kognitive Alarme den Betrachter mit der präsentierten Visualisierung verbinden. Diese Aktivatoren genannt wir die Begriffe vorübergehende Einbehaltung (Semi-permanente Hold) und dauerhafte Beibehaltung (Permanent Hold). Der Evaluierungsabschnitt (Abschnitt VI) zeigt die wichtige Rolle, die sie in unserer Plattform spielen.

5 Ergebnisse: Sicherheitsvisualisierungsplattform


5.1 SvEm-Theorie


Beginnen wir mit einer detaillierteren Erklärung unseres SvEm-Algorithmus. Der SvEm-Algorithmus basiert auf den folgenden Indikatoren:

  • theoretische Schätzung der Verzerrung ($ d_ {svem} $);
  • theoretische Schätzung der Zeit ($ t_ {svem} $).

Theoretische Schätzwerte für Verzerrung und Zeit werden mit den Formeln (1) bzw. (2) berechnet:

$ d_ {svem} = \ frac {(w * h) / Sv_f * d_n} {Cl * t_ {me} * n_ {clicks}}> 50 \% \ qquad (1) $


$ t_ {svem} = \ frac {(Cl * t_ {me})} {n_ {clicks} * Sv_f / d_n} \ leq0,25 Sekunden \ qquad (2) $


wo

$ w * h $ - Abmessungen der Arbeitsfläche des mobilen Geräts;

$ Sv_f $- die Anzahl der visuellen Sicherheitselemente (z. B. ein infiziertes IP-Paket, ein Zeitstempel usw.);

$ d_n $- n- dimensionaler Bereich der Visualisierung von Sicherheitsereignissen;

$ Cl $- kognitive Belastung (Anzahl der identifizierbaren Merkmale während der Vorprüfung);

$ t_ {me} $- Belastung des Arbeitsgedächtnisses (Aufwand basierend auf temporären Schätzungen des Arbeitsgedächtnisses);

$ n_ {Klicks} $- die Anzahl der Interaktionen mit der Visualisierung.

Theoretische Abschätzung der Geschwindigkeit basierend auf SVEM Verzerrung und Zeit . Obwohl die Verzerrungsrate bei 50% liegt, wird unsere Gesamtbewertung an einer hohen oder einer niedrigen Bewertung gemessen, was sie realistischer macht. Die folgenden Faktoren beeinflussen die Geschwindigkeit der Verzerrung:

  • die Größe und Auflösung des Telefons;
  • Benutzerwissen;
  • die Anzahl der Benutzerklicks.

Die SvEm- Zeit wird relativ konstant gemessen: 0,25 Sekunden [27] . In der Psychologie ist dies die Mindestzeit, die eine Person benötigt, um Informationen im Prozess ihrer Wahrnehmung zu verstehen. Daher wird unsere Gesamtschätzung als Durchschnitt berechnet und mit zahlreichen Ergebnissen aus anderen Messungen verglichen.

Anwendungsleistung und Datenmanagement implementiert Methoden im Hinblick auf die Qualität der endgültigen Werte des Indikatoren Verbesserung der Verzerrung und Zeit . Die Anzeige der Daten im visuellen Bereich unserer Anwendung wird so gesteuert, dass bei komplexen Hardware-Visualisierungsberechnungen ein Gleichgewicht erzielt wird.

Kognitive Belastung ($ Cl $) und die Belastung des Arbeitsspeichers ($ t_ {me} $) werden auf der Grundlage vorheriger Ergebnisse theoretischer Studien berechnet. Unser Algorithmus SvEm implementiert die bekannten Methoden.

5.2 Verarbeitungsablauf


Einer der Vorteile der SvEm-Plattform ist die Möglichkeit, Daten während des gesamten Prozesses zu verwalten: vom Schreiben in die Datenbank bis zum Rendern der Visualisierung mithilfe der WebGL-Technologie. In fig. Abbildung 13 zeigt ein Datenflussdiagramm, das die Hauptkomponenten des Serverteils zeigt.


Abb. 13. Datenverarbeitungsergebnisse

Mit Progger, Redis und MongoDB wird die Steuerung des Datenflusses sichergestellt. Eine große Datenmenge wird an die Sicherheitsvisualisierungsschnittstelle übertragen, wobei die Merkmale der verwendeten mobilen Plattform (Rechenleistung des Geräts, Größe der Anzeige und Auflösung) berücksichtigt werden. Dadurch können unsere Analyseszenarien die Daten entsprechend skalieren, um die Sichtbarkeit zu verbessern, indem einfachere Präsentationsformulare verwendet werden.

Betrachten wir einige Beispiele für die Verwendung unserer Plattform: Beispiele werden auf der Grundlage der Ergebnisse der Analyse von Daten entwickelt, die während des Testens der Plattform erhalten wurden. Eine Videodemo mit Beispielen finden Sie unter folgendem Link: Ein Beispiel für die Verwendung der SvEm-Sicherheitsvisualisierungsplattform (https://wiki.dataprivacyfoundation.org/index.php/Visual_Progger).

5.3 Beispiel 1. Anwendung zur Zusammenarbeit mit Visualisierung von Sicherheitsereignissen in Echtzeit


Das VisualProgger-Visualisierungstool für Sicherheitsprotokolle wurde von unserem Team erstellt, um den Verlauf des vom Programm Progger aufgezeichneten Ereignisses visuell zu untersuchen [21] . VisualProgger konzentriert sich auf die Visualisierung von Sicherheitsereignissen in Echtzeit und ermöglicht es Ihnen, die Effizienz der Analyse aufgrund von Sichtbarkeit , hoher Leistung und Verwendung von kognitiven Wahrnehmungsaktivatoren zu steigern . Im Zuge der Datenanalyse mit animierten Visualisierungen und Mechanismen für die zeitnahe Benachrichtigung wurden wichtige Informationen zum Sicherheitszustand aufgedeckt.

VisualProgger-Funktionalität: VisualProgger bietet Funktionen zur Visualisierung von Sicherheitsereignissen sowohl in Echtzeit als auch für zuvor erfasste Daten, die beispielsweise bei Cyber-Übungen zwischen dem roten und dem blauen Team (Angriff und Verteidigung) beobachtet werden [10] . In einem Echtzeit-Visualisierungsszenario haben wir eine Alarmierungsmethode entwickelt und angewendet, mit der Sie den Benutzerfokus erhöhen können. Wir haben diese Methode "kognitive Aktivatoren SvEm" (SvEm: kognitive Aktivatoren) genannt. Folgende Aktivatoren sind implementiert :

  1. " Temporärer Halt ": Eine animierte Funktion, die in Abb. Damit können Sie die wichtigsten (verdächtigen) Dateien für mindestens 3 Sekunden vorübergehend ausblenden, um die Aufmerksamkeit des Betrachters auf sich zu ziehen.
  2. Dauerhafter Halt “: Ein permanenter Farbindikator einer Datei, der eine schädliche (verdächtige) Datei markiert. Die Farben Rot oder Gelb werden abhängig davon verwendet, wie wichtig die Datei ist.
  3. " Kritische Datei gefunden » (Critical-Datei erkannt): Alarm - ID, die die Aufmerksamkeit des Betrachters zieht;
  4. " Tonalarm " (Tonalarm): Ein zusätzlicher Bezeichner des Alarms, der es ermöglicht, die Aufmerksamkeit des Beobachters auf sich zu ziehen (besonders wichtig für Farbenblinde).



Abb. 14. Demonstration Aktivator „Temporary Halten“

untersucht kognitive Aktivatoren SVEM hauptsächlich verwendetDateien und bösartige Attribute anzuzeigendie aus der Sicht der InformationssicherheitBedeutung sind. Dateien und Attribute der angezeigten Daten werden in visuelle Darstellungen von Sicherheitsereignissen umgewandelt, um durch die Bereitstellung besserer Informationen Entscheidungen zu treffen.

5.4 Beispiel 2. Locky Ransomware-Visualisierung.


Die Visualisierung der Sicherheitsereignisse des Locky Ransomware-Programms (siehe Abb. 1). In 15 wird das Nested Rings-Projekt verwendet, das die Aufmerksamkeit des Benutzers nur auf die dargestellte Visualisierung lenken soll.


Abb. 15. Visualisierung des Locky Ransomware-Programms, das Dateien verschlüsselt.

Das Nested Rings-Projekt ermöglicht es mobilen Plattformen, Daten in Form von Schichten übereinander anzuordnen. Auf diese Weise kann die Klassifizierung von Bibliotheken, Prozessen und Dateien des infizierten Systems angezeigt werden. Die Möglichkeit, visuell zu verfolgen, wie Locky Dateien (.docx, .png, .jpeg, .xlsx und andere) vor der Verschlüsselung während eines Angriffs verfügbar macht, vermittelt dem Benutzer ein klares Bild der Arbeit des Erpressers. Verschlüsselte Dateien werden dann rot markiert, um anzuzeigen, welche Datei verschlüsselt wurde.

Verschlüsselte Dateien (kritische Dateien), die rot markiert sind, können von Beobachtern (durch Klicken mit der Maus, Klicken oder andere Aktionen) zur weiteren Analyse ausgewählt werden (Abb. 16).


Abb. 16. Visualisierung der Anzeige von Ereignissen über Dateien, die mit dem Lösegeldsperrprogramm verschlüsselt wurden

Dank dieser Funktionen sind Benutzer an interaktiver Recherche mit Visualisierung interessiert, wodurch auch die Interaktionszeit der Benutzer mit Visualisierung erhöht wird.

5.5 Beispiel 3. Effektive Interaktion mit Augmented Reality-Visualisierung.


Augmented Reality (Augmented Reality, AR) im Bereich der Informationssicherheitsvisualisierung gibt dem Benutzer ein interessantes Erlebnis und eröffnet ihm neue Möglichkeiten. Es macht den Betrachter durch Visualisierung auf Sicherheitsvorfälle aufmerksam. Die dreidimensionale Visualisierung von Beobachtern mit Farbinterpretationen trägt zu einer höheren Analysegeschwindigkeit bei geringerem mentalem Aufwand bei [28] . Beobachter wiederum versuchen zusätzliche Details zu erfahren, um das notwendige Sicherheitswissen zu erlangen.

Mit unserer Augmented-Reality-Visualisierung (Abb. 17) können Handynutzer persönliche mobile Plattformen verwenden, um Cyber-Übungen von roten und blauen Teams (Angriff / Verteidigung) zu visualisieren.


Abb. 17. Das Projekt der Kundenseite der Augmented-Reality-Visualisierung:

Das Erstellen einer Augmented-Reality- Erfahrung erhöht die Fähigkeit des Beobachters, Informationen wahrzunehmen [41] . Dank der korrekten Informationen, die mithilfe der AR-Visualisierung ausgewählt wurden, konnten die Beobachter mehr Daten verarbeiten und bessere Entscheidungen treffen, die zur Erhöhung der Sicherheit beitragen.

Mit Hilfe von mehrfarbigen Kugeln (Abb. 17), die verschiedene Aspekte eines Angriffs ausdrücken, wird die Ausführung eines simulierten Computerangriffs in Echtzeit demonstriert. Durch Interaktion mit interaktiver AR-Visualisierung kann der Benutzer die Merkmale von Computerangriffen verstehen, die vom roten Team ausgeführt werden.

5.6 Skalierung der Visualisierung entsprechend der Anzeigegröße.


Angesichts der Einschränkungen, die mobilen Plattformen auferlegt werden, und aufgrund der großen Menge ständig gesammelter Daten, sind spezielle Visualisierungsansätze erforderlich, um Computerangriffe zu visualisieren. Ein Diagramm mit parallelen Koordinaten [9] , [19] ermöglichte uns die Erstellung eines dreidimensionalen Visualisierungsdesigns, das alle erforderlichen Daten enthält. In fig. 18 veranschaulicht die Verteilung des Netzwerkverkehrs mit Sicherheitsdaten zwischen Anwendungs-, System- und Netzwerkschichten.


Abbildung 18. Mehrdimensionale Visualisierung von Sicherheitsereignissen mithilfe eines Diagramms mit parallelen Koordinaten

6 Bewertung und Test der SvEm-Plattform


6.1 Konzeptmodell SvEm


Wir haben das SvEm-Modell basierend auf den Ergebnissen der wissenschaftlichen Forschung auf dem Gebiet der Computertechnologie und -psychologie entwickelt, das darin bestand, einen integrierten Ansatz zur Messung der Leistung für die folgenden Hauptkomponenten anzuwenden:

  • benutzer ;
  • Visualisierung ;
  • kognitive Wahrnehmung des Benutzers (User Cognition).

Dies ermöglichte uns die Entwicklung eines konzeptionellen Modells, das die Benutzererfahrung bei der Visualisierung von Sicherheitsvorfällen berücksichtigt. In fig. 19 zeigt das SvEm-Modell, das aus allen oben genannten Komponenten der Effizienz besteht: dem Benutzer, der Visualisierung und verwandten Faktoren, der kognitiven Wahrnehmung des Benutzers.


Abb. 19. Modell SvEm, das die Wechselbeziehung der Komponenten „Benutzer“, „Visualisierung“ und „Kognitive Wahrnehmung des Benutzers“ veranschaulicht.

Die Schnittpunkte dieser Komponenten definieren die Muster, die die Ziele der Gewinnung von Sicherheitswissen aus der Visualisierung charakterisieren.

Im Zentrum des SvEm-Modells steht der Mechanismus, durch den Wahrnehmung entsteht, wenn kognitive Wahrnehmung , Benutzer und Visualisierung kombiniert werden. Durch die Beobachtung, die der Benutzer während des Wahrnehmungsprozesses macht, entstehen Anforderungen auf der Ebene der subliminalen Aufmerksamkeit (Voraufmerksamkeit). Im Falle eines Visualisierungsvergleichs für Sicherheitsereignisse, mentaler Aufwandaus dem Benutzer (dem Beobachter) hervorgehen, nutzen Sie seine kognitiven Fähigkeiten, die in den Denkprozess involviert sind. Dieser gesamte Prozess führt zu einer Belastung des Arbeitsspeichers des Benutzers, abhängig von der spezifischen Visualisierung der dargestellten Sicherheitsereignisse. Unter Berücksichtigung der reduzierten Korrelationsbeziehung zwischen dem Benutzer , der Benutzer kognitiven Wahrnehmung und Visualisierung , produzieren unsere effizienten bildgebenden Verfahren ein Endverhältnis der Verbindung zwischen dem Benutzer und vorgesehen Visualisierung . Das Ergebnis ist eine Verzerrung und / oder Zeit . Die Entstehung von SvEm- Insight(SvEm-Insight) tritt auf, wenn alle Komponenten des SvEm-Modells übereinstimmen, während der Wert der mentalen Anstrengung als niedrig definiert wird, was zur Konvertierung und Übertragung der korrekten Informationen über Sicherheitsereignisse für die Verarbeitung durch den Benutzer führt.

6.2 Testen der Leistung der Plattform SvEm


Wir haben die Leistung der SvEm-Plattform in folgenden Bereichen getestet:

  • Visualisierung der Visualisierungsanzeige ;
  • Datenübertragungsleistung zwischen Server und Client;
  • Bewertung der Anzeige von kognitiven Aktivatoren .

Der Test der Visualisierung der Visualisierungskartierung wurde in der Anwendungsentwicklungsphase durchgeführt. Es bestand darin, die Architektur von Datenverarbeitungseinheiten basierend auf dem Sicherheitsvisualisierungsstandard (SCeeVis) zu entwerfen. Beispielsweise ermöglicht die Verwendung der 3-dimensionalen Grafiktechnologie WebGL der Benutzeroberfläche neue interaktive visuelle Übersicht bei der Verarbeitung großer Informationsmengen. Die Anwendungsarchitektur erlaubte es, eine größere Datenmenge zu verarbeiten und auf der Clientseite darzustellen.

In fig. 20 zeigt Leistungsbewertungen während der Datenübertragung.


Abb. 20. VisualProgger-Anwendungsleistungsbewertung

Um die Leistung zu bewerten, wurde die durchschnittliche Datenübertragungszeit (in Millisekunden) von verschiedenen ausführbaren Dateien (.exe) aufgezeichnet, wenn Daten verschiedener Typen und Größen übertragen wurden.

6,3 SvEm Nutzerbewertung


Bei der Bewertung wurde folgendes Fazit gezogen: Damit die Visualisierung effektiv ist, ist die Belastung des Arbeitsspeichers entscheidend für eine hohe Leseleistung. Um die Wirksamkeit der SvEm-Plattform zu bewerten, wurden Benutzerantworten verwendet. Der Farbstandard hat dazu beigetragen, das Benutzererlebnis zu verbessern, indem Verhaltensmuster durch Klassifizierung und Nachverfolgung von Beziehungen schneller verarbeitet werden können. Wenn die Benutzer den Farbstandard kennen, können sie die Verbindungen zwischen den Ereignispunkten schneller handhaben als im Fall eines Visualisierungsansatzes, bei dem Sicherheitsattribute anstelle von Farbe verwendet wurden.

Die Einführung kognitiver AktivatorenSvEm in unserer Plattform hat Benutzern einen Mechanismus zur Verfügung gestellt, um Aufmerksamkeit bei der Verfolgung von Sicherheitsereignissen zu erhalten. Dies stimuliert automatisch die kognitiven Fähigkeiten des Beobachters und fordert ihn auf, weiter mit der präsentierten Visualisierung zu interagieren.

6.4 Beurteilung der kognitiven Belastung


Frühere Studien auf dem Gebiet der Psychologie haben einen wesentlichen Beitrag zur Benutzerschulung geleistet, und theoretische Nachweise [7] , [8] haben das Verständnis der kognitiven Belastung der Benutzer verbessert . Um die Beziehung zwischen Wahrnehmung, Kognition und der SvEm-Plattform zu bestimmen, verwendeten wir den bekannten psychologischen Ansatz, der mit der Methode zur Bestimmung der kognitiven Belastung und der Arbeitsspeicherbelastung verbunden ist.sowie das Konzept der kommunikativen Wahrnehmung des Benutzers und kognitiver Prozesse. Der Ansatz wurde unter Bedingungen verwendet, unter denen das Bewusstsein des Benutzers Objekte (z. B. Bilder von Sicherheitsknoten) im Verlauf der Interaktion mit der Visualisierung von Sicherheitsereignissen wahrnehmen konnte. Dementsprechend könnten Benutzer sich Schlüsselwörter vorstellen, die sich auf die präsentierten Bilder von Sicherheitsknoten beziehen, und so ihre Wahrnehmung verbessern, was wiederum mit früheren Erfahrungen mit der Interaktion mit Visualisierung zusammenhängt. Dieser Vorgang wurde im vorgestellten Sicherheitsvorfall unter hoher Belastung des Arbeitsspeichers durchgeführt.


Abb. 21. Vergleich der Schätzungen der kognitiven Belastung und Belastung des Arbeitsgedächtnisses von Beobachtern

So führten wir verschiedene Experimente mit dem Benutzer durch und erzielten die folgenden Ergebnisse (Abb. 21). Das Experiment demonstrierte die Konstanz der Leistung der kognitiven Last und der Arbeitsspeicher des Beobachters: Mit zunehmender Belastung des Arbeitsspeichers nahm auch die kognitive Last zu, hielt jedoch das Limit. In fig. 21 Zeilen mit optimaler Anpassung zeigen, dass beide Eigenschaften linear sind und die kognitive Last eine konstante Lastgrenze (Kapazität) aufweist, die die Leistung des Arbeitsspeichers nicht überlappt. Dies ist eine ideale Situation für den Benutzer (Beobachter) bei der Analyse der Visualisierung von Sicherheitsereignissen.

6.5 Bedrohungserkennungssystem


Um die mit dem Progger erfassten Daten zu filtern, wurden bekannte Signaturanomalien und Malware-Erkennungsalgorithmen verwendet. Basierend auf realen Daten haben wir die folgenden Algorithmen vorausgewählt, die unsere Erwartungen erfüllen: Local Outlier Factor (LOF) [22] , DBscan [23] und K-Nearest Neighbors (KNN) [25] . Dies ermöglichte uns, die Leistung des Bedrohungserkennungssystems zu testen. Normale Aktionen weisen eine Bewertung im Bereich von 10 bis 80 auf und abnormales Verhalten wird als negativer Wert ausgedrückt. Ebenso werden verdächtige Dateien in den Systemen anhand der gespeicherten Signaturdatenbank geprüft. In fig. 22 zeigt normales und anormales Verhalten und schädliche Einträge.


Abb. 22. Ergebnisse des Anomalieerkennungssystems

: Durch das Durchsuchen von Dateien im System und durch das Vorkonfigurieren des Protokollverlaufs können bekannte Dateipfade ermittelt werden. Wenn eine bekannte oder verdächtige Datei an einem anderen Ort angezeigt wird, wird sie automatisch gelb oder rot markiert.

Wir haben die Leistung unseres Bedrohungsanalyse-Systems anhand von vorbereiteten realen Datensätzen analysiert. Als Filter wurden verschiedene Algorithmen zum Erkennen von Anomalien und schädlichen Signaturen verwendet. Um Anomalien und schädliche Dateien zu identifizieren, verwendet unser Bewertungssystem die Anwendung Progger (Mechanismus zur Ereignisregistrierung). Für das Bild der interessierenden Dateien wurde das folgende Farbschema gewählt: bösartige Daten (rot), verdächtige Daten (gelb), verfolgbare Betriebsinformationen (blau) und rechtmäßige Daten (grün).

7 Schlussfolgerung


In dem Artikel wird ein umfassender Ansatz zur Bewertung der Wirksamkeit einer Plattform zur Visualisierung von Sicherheitsereignissen vorgestellt. Dabei werden Techniken angegeben, die sowohl technische Aspekte als auch psychologische Merkmale der Benutzer berücksichtigen. Es wurde ein konzeptionelles Modell vorgestellt, das die Interaktion zwischen den Komponenten „ Benutzer “, „ Visualisierung “ und „ kognitive Wahrnehmung des Benutzers “ veranschaulicht und die Bewertung der Effektivität der Visualisierung von Sicherheitsereignissen ermöglicht und verbessert. Die Verwendung kognitiver Aktivatoren SvEm ermöglicht es Ihnen, die Konzentration der Benutzer zu erhöhen und die Aufmerksamkeitsspanne zu erhöhen. Wir haben unsere SvEm-Plattform basierend auf vorhandenen Plattformen und Basisdatensätzen bewertet. Damit bestätigen wir, dass die Nutzer mit High gut zurechtkommenlädt den Arbeitsspeicher auf und interagiert effektiv mit den entwickelten Visualisierungen, um die notwendigen Informationen über Sicherheitsereignisse zu erhalten.

7.1 Hinweise für weitere Forschung


Zukünftig möchten wir die Effektivität unserer Plattform für Benutzer aus anderen Bereichen (Gesundheitswesen, finanzielle Bildung usw.) weiter bewerten und analysieren, wie sie bei der Interaktion mit der Plattform reagieren.

8 Danke


Die Autoren danken Mark A. Will, Cameron Brown, Minu Mungro, Mitgliedern der Waikato Cybersecurity Researchers (CROW Lab) und dem Beitrag unserer Praktikanten [Isaiah Wong, Jia Cheng Yip, Wen Liang Guo, Xin Li Yuan] vom Polytechnischen Institut Nanyang, Singapur. Dieses Projekt wird von STRATUS ("Sicherheitstechnologien zur Gewährleistung von Transparenz, Vertrauen und Nutzerorientierung bei der Bereitstellung von Cloud-Diensten") ( https://stratus.org.nz ) unterstützt, einem Investitionsinvestitionsprojekt in Wissenschaft, das vom neuseeländischen Ministerium für Wirtschaft, Innovation und Beschäftigung finanziert wird . (MBIE)). Diese Arbeit wurde auch teilweise vom New Zealand and Pacific Scholarship Program (NZAid) unterstützt.

9 Verweise auf verwendete Quellen


1. M. Anderson. Policing the world: Interpol und die internationale Zusammenarbeit. Clarendon Press Oxford, 1989.

2. JL Carlson. Redis in Aktion. Bemannen von Publikationen Co., Greenwich, CT, USA, 2013.

3. K. Chodorow. MongoDB: Das endgültige Handbuch: Leistungsfähige und skalierbare Datenspeicherung. "O'Reilly Media, Inc.", 2013.

4. H. Choo und S. Franconeri. Die Aufzählung kleiner Sammlungen verstößt gegen das Webers Gesetz. Psychonomic Bulletin & Review, 21 (1): 93–99, 2014.

5. J. Congote, A. Segura, L. Kabongo, A. Moreno, J. Posada und O. Ruiz. Interaktive Visualisierung von Live-Daten mit webgl in Echtzeit. In Proceedings der 16. Internationalen Konferenz für 3D-Web-Technologie, Seiten 137–146. ACM, 2011.

6. EOOD und M. Angelov. 20 beeindruckende Beispiele für das Lernen von WebGL mit Three.js, Nov. 2017

7. C. Firestone und BJ Scholl. Verbessertes visuelles Bewusstsein für Moral und Schlafanzüge? Wahrnehmung vs. Speicher in Top-Down-Effekten. Erkenntnis, 136: 409–416, 2015.

8. C. Firestone und BJ Scholl. Die Wahrnehmung hat keinen Einfluss auf die Wahrnehmung: Bewertung der Evidenz für „Top-Down“ -Effekte. Verhaltens- und Hirnwissenschaften, 39, 2016.

9. Y.-H. Fua, MO Ward und EA Rundensteiner. Hierarchische Parallelkoordinaten zur Erkundung großer Datensätze. Untersuchung der Visualisierungskonferenz 1999: Zehn Jahre feiern, Seite 43–50. IEEE Computer Society Press, 1999.

10. J. Garae, RK Ko, J. Kho, S. Suwadi, MA Will und M. Apperley. Visualisierung der neuseeländischen Cyber-Security-Herausforderung für Angriffsverhalten. In Trustcom / BigDataSE / ICESS, 2017 IEEE, Seiten 1123–1130. IEEE, 2017.

11. J. Garae und RKL Ko. Trends in der Entscheidungsunterstützung für Cybersicherheit, Seiten 243–270. Springer International Publishing, Cham, 2017.

12. L. Harrison, F. Yang, S. Franconeri und R. Chang. Ranking-Visualisierungen der Korrelation anhand des Weber-Gesetzes. IEEE-Transaktionen zu Visualisierung und Computergrafik, 20 (12): 1943–1952, 2014.

13. MG Haselton, D. Nettle und DR Murray. Die Entwicklung der kognitiven Verzerrung. Das Handbuch der Evolutionspsychologie, 2005.

14. J. Heer, FB Vi´egas und M. Wattenberg. Voyagers und Voyeurs: Unterstützung der asynchronen kollaborativen Informationsvisualisierung. In Proceedings der SIGCHI-Konferenz über menschliche Faktoren in Computersystemen, Seiten 1029-1038. ACM, 2007.

15. Vac Henmon. Die Zeit der Wahrnehmung. Nummer 8. Science Press, 1906.

16. RV Hogg und AT Craig. Einführung in die mathematische Statistik. (5-Zoll-Ausgabe). Oberer Sattelfluß, New Jersey: Prentice Hall, 1995.

17. W. Huang, P. Eades und S.-H. Hong. Messen der Wirksamkeit von Diagrammvisualisierungen: Eine Perspektive der kognitiven Belastung. Informationsvisualisierung, 8 (3): 139-152, 2009.

18. JJ Imhoff und SP Cutler. Interpol: Ausweitung der Strafverfolgung auf der ganzen Welt. FBI L. Enforcement Bull., 67: 10, 1998.

19. A. Inselberg und B. Dimsdale. Parallele Koordinaten zur Visualisierung von mehrdimensionaler Geometrie. In Computer Graphics 1987, Seiten 25–44, Springer, 1987.

20. M. Kay und J. Heer. Jenseits des Weber-Gesetzes IEEE-Transaktionen zu Visualisierung und Computergrafik, 22 (1): 469–478, 2016.

21. RK Ko und MA Will. Prog: eine effiziente, manipulationssichere Kernelspace-Verfolgung. In Cloud Computing (CLOUD), 2014 IEEE 7. Internationale Konferenz, auf den Seiten 881–889. IEEE, 2014.

22. A. Lazarevic, L. Ertoz, V. Kumar, A. Ozgur und J. Srivastava. Eine vergleichende Studie über Anomalie-Erkennungsschemata bei der Erkennung von Netzwerk-Intrusionen. In Proceedings der Internationalen SIAM-Konferenz von 2003 zu Data Mining, Seiten 25–36. SIAM, 2003.

23. K. Leung und C. Leckie. Unüberwachte Erkennung in Netzwerken Intrusion Detection mithilfe von Clustern. Die Australasian Computer Society, Inc., 2005.

24. YK Leung und MD Apperley. E3: Auf dem Weg zur Messung grafischer Darstellungstechniken für große Datenmengen. In der Internationalen Konferenz über die Mensch-Computer-Interaktion, Seiten 125–140. Springer, 1993.

25. Y. Liao und VR Vemuri. Verwendung der k-next Neighbor Classifi Intrusion Detection. Computers & Security, 21 (5): 439–448, 2002.

26. PE McKight und J. Najab. Kruskal-wallis-Test. Corsini-Enzyklopädie der Psychologie, 2010.

27. T. Okoshi, J. Ramos, H. Ozaki, J.Nakazawa, AKDey und H. Tokuda. Attelia: Verringerung der Belastung der Smartphones. In Pervasive Computing und Kommunikation (PerCom), IEEE International Conference 2015, Seiten 96–104. IEEE, 2015.

28. T. Olsson, E. Lagerstam, T. Køarkköainen und K. Véananen-VainioMattila. Erwartete Benutzererfahrung von Augmented Reality-Diensten: eine Nutzerstudie im Kontext von Einkaufszentren. Personal and Ubiquitous Computing, 17 (2): 287–304, 2013.

29. ¨ O. ¨ Öztürk und DA Wolfe. Ein verbesserter Mann-Whitney-Wilcoxon-Test mit zwei Stichproben. Canadian Journal of Statistics, 28 (1): 123–135, 2000.

30. F. Paas, JE Tuovinen, H. Tabbers und PW Van Gerven. Theorie der kognitiven Belastung. Pädagogischer Psychologe, 38 (1): 63–71, 2003.

31. T. Parisi. WebGL: läuft. "O'Reilly Media, Inc.", 2012.

32. P. Pirolli und S. Card. Identifiziert durch kognitive Aufgabenanalyse. Untersuchungen der internationalen Konferenz zur Aufklärungsanalyse, Band 5, Seiten 2-4, 2005.

33. RA Rensink und G. Baldridge. Die Wahrnehmung der Korrelation in Streudiagrammen. In Computer Graphics Forum, Band 29, Seiten 1203– 1210. Wiley Online Library, 2010.

34. P. Saraiya, C. North und K. Duca. Eine auf Erkenntnissen basierende Methodik zur Bewertung von Bioinformatik-Visualisierungen. IEEE-Transaktionen zu Visualisierung und Computergrafik, 11 (4): 443–456, 2005.

35. P. Saraiya, C. North, V. Lam und KA Duca. Eine auf Erkenntnissen basierende Längsschnittstudie zur visuellen Analyse. IEEE-Transaktionen zu Visualisierung und Computergraphik, 12 (6): 1511–1522, 2006.

36. EW Weisstein. Bonferroni-Korrektur. 2004.

37. M. Wertheimer. Identifizierung der wichtigsten Theorien und Prinzipien. Psychol Forsch, 4: 301–350, 1923.

38. DA Wheeler und GN Larsen. Techniken zur Zuordnung von Cyberangriffen. Technischer Bericht, INSTITUT FÜR VERTEIDIGUNGSANALYSE ALEXANDRIA VA, 2003.

39. JR Wilson und J. Carter. Knoten Der richtige Weg: Praktisches serverseitiges Javascript, das skaliert. Pragmatisches Bücherregal, 2013.

40. JS Yi, Y.-a. Kang, JT Stasko und JA Jacko. Einblicke verstehen und charakterisieren: Wie erhalten Menschen Einblicke durch Informationsvisualisierung? Die Perspektiven des Workshops 2008 zu Verhaltens- und Visualisierungsverhalten, Seite 4. ACM, 2008.

41. F. Zhou, HB-L. Duh und M. Billinghurst. Trends bei der Verfolgung, Interaktion und Anzeige von Augmented Reality: Ein Rückblick auf zehn Jahre Ismar. In Proceedings des 7. Internationalen IEEE / ACM-Symposiums über gemischte und erweiterte Realität, Seiten 193–202. Computer Society IEEE 2008.

Über den Autor Artikel



von Jeffrey Garay (Jeffery Garae), Doktorand Labor Cyber Institut für Informatik University of Waikato (Neuseeland)



Ryan Ko (Ryan Ko), PhD, Leiter Labor Cyber der Fakultät für Informatik, Universität Waikato (Neuseeland)



Mark Mark Apperley, PhD, Leiter der Informatik, Universität Waikato (Neuseeland)

Begriffe und Definitionen, die im Artikel verwendet werden


Aufmerksamkeit (Aufmerksamkeit) - Konzentration der geistigen Anstrengung auf sensorische oder geistige Ereignisse. (Robert Solso - Cognitive Psychology)

Wahrnehmung ist das gemeinsame Ergebnis dessen, was durch unser sensorisches System kommt und was wir durch Erfahrung bereits über die Welt wissen. (Robert Solso - Kognitive Psychologie)

Visuelle Klarheit - speziell erstellte oder ausgewählte Grafiken (Diagramme, Tabellen), künstlerische und visuelle (Zeichnungen, Reproduktionen), natürliche (Objekte der Realität), die zur visuellen Wahrnehmung bestimmt sind, als Mittel Überwachung und Bewertung des Tests während des Testvorgangs.

Kognitive Belastung (kognitive Belastung)

1. Ein mehrdimensionales Konstrukt, das bestimmt, wie die Last die Ausführung bestimmter Aufgaben durch den Schüler beeinflusst. (Paas F. et al. "Kognitive Belastungstheorie" // Pädagogische Psychologin. - 2003. - V. 38. -

Nr . 1. - S. 63-71) 2. Anzahl der erkennbaren Zeichen in die vorläufige Untersuchung.

Cognitive Vorspannungen (kognitive bias) - der systematische Fehler in Beurteilung (Aleksandrov AA Integrative Psychotherapie).

Konzentrationen der Aufmerksamkeit (Aufmerksamkeitsspanne) - eines der Merkmale der Aufmerksamkeit, um den Grad oder die Intensität der Konzentration vorbehaltlich der Erfüllung einer Aktivität reflektierender oder zu jedem Thema. (Psychologie des Menschen von Geburt bis zum Tod. - SPb.: PRIME -EUROZNAK. Unter der allgemeinen Redaktion von A. A. Rean. 2002.)

Einsicht / Einsicht / Einsicht - Intuitive Einsicht in den Kern einer Aufgabe. (Robert Solso - Kognitive Psychologie)

Unterschwellige Aufmerksamkeit (vor Aufmerksamkeit) - unbewusste Erkennung eines Monitor-Stimulus mit einer Geschwindigkeit von weniger als 200 ms auf dem Bildschirm. (http://humanoit.ru/blog/166)

Mentale Anstrengung (mentale Anstrengung) - ein Aspekt der kognitiven Belastung, der sich auf die kognitive Fähigkeit bezieht, die tatsächlich den Erfordernissen der Aufgabe entspricht; Daher kann davon ausgegangen werden, dass es die tatsächliche kognitive Belastung widerspiegelt. Die mentale Anstrengung wird gemessen, während die Forschungsteilnehmer an einer Aufgabe arbeiten ([40]).

Visualisierung der Herkunftsgeschichte.(Provenienzvisualisierung) - Anzeige von Quellen basierend auf einer großen Menge gesammelter Daten.

Attribution-Visualisierung (Mapping) - Pfadzuordnung zwischen Quell- und Angriffszielen.

Temporärer Halt (semi-permanenter Halt) ist ein kognitiver Aktivator, eine animierte Funktion, mit der Sie die wichtigsten (verdächtigen) Dateien für mindestens 3 Sekunden vorübergehend ausblenden können, um die Aufmerksamkeit des Beobachters zu erlangen.

Kognitiver Aktivator (kognitiver Aktivator) - Ein Mechanismus, der die Aufmerksamkeit des Benutzers während der Verfolgung von Sicherheitsereignissen auf sich zieht.

Die Last an Arbeitsspeicher (Arbeitsspeicherauslastung) - den Aufwand, basierend auf dem temporären Arbeitsspeicher Assessments.

Tracking / Zuordnung(Attribution) - der Prozess der Bestimmung der Identität und / oder des Ortes des Angreifers oder Vermittlers, durch den er handelt.

Permanenter Halt (permanenter Halt) ist ein kognitiver Aktivator. Dies ist ein permanenter Farbindikator einer Datei, die eine schädliche (verdächtige) Datei markiert.


Jetzt auch beliebt: