“我亲眼看到的!”
这个句子通常表达确定性和确信。这是一个强烈的句子。这比“我亲耳听到的”更有力。通常,这句话被理解为表达说话人确信她知道一些真相。我们把这种信念视为真实的。如果她看到了,那一定是真的。我们希望人们对我们分析的安全数据也这么说。我们希望他们看到我们的工作成果,并有这样的经验。一张图片胜过千言万语。数据的可视化表示可以以一种即时可访问且有意义的方式传达大量细节。
人类大脑中更多的精力用于视觉处理而不是其他感官。它是理解的“宽带”途径。人类大脑快速处理视觉输入的能力使信息可视化成为一种有用且经常是必要的工具,使我们能够将数据转化为信息和知识。
图像非常有趣。它们在许多方面不同于书面或口头的文字。这不仅仅是可以传输的信息带宽。还有一个更有趣的现象叫做关键的教师或者是怀疑过滤器。1当你听别人说话的时候,或者当你读这些话的时候,你不断地问自己:“他说的是真的吗?”这和我的经验相符吗?”如果你看一张图片,这个怀疑主义过滤器似乎并没有在第一时间出现。我们相信一张照片。我们做什么?乍一看,我们似乎是这样认为的。然而,我们看得越近,看到的细节就越多,分析得越多,我们就越怀疑。发生了什么?
- 巴内特,大肠。分析催眠疗法:原理与实践(加州格伦代尔:韦斯特伍德出版公司,1989)。
大脑要处理一幅图像并理解它的内容,就必须围绕图像形成句子和单词。图像,更确切地说是颜色,被放入句子中。2我们看一幅图像的时间越长,大脑构建的句子就越多。句子越多,我们的大脑就越有理由使用怀疑主义过滤器。
- A. Franklin等人,“从封面上看:婴儿对颜色的分类感知是右半球偏侧的,而成人是左半球偏侧的。”PNAS105, 2008, 322 - 3225。
你可能会想,这与视觉化有什么关系呢?当我们可视化数据时,我们必须确保输出尽可能的简单和清晰。我们必须确保观众需要尽可能少的句子来解释图表。这不仅减少了人们处理和理解可视化所需的时间,还减少了观看者应用怀疑论过滤器的表面积。我们希望他们相信图像正确地代表了数据。
本章探讨可视化,鼓励您可视化安全数据,并解释一些基本原则,任何试图以可视化形式交流信息的人都应该理解这些原则。
可视化是什么?
有句谚语说:“一幅画胜过千言万语。”图像被用来有效地交流信息。一张照片可以捕捉到日落的全部美景。要用语言表达同样的印象是不可能的。我喜欢这么说
一张图片胜过一千条日志记录。
您可以使用图片,即日志记录的可视化表示,而不是向某人提供描述攻击如何发生的日志文件。这张照片一眼就能看出日志的内容。查看器可以在读取原始日志所需的一小部分时间内处理信息。
可视化,因此,在安全意义上,是基于日志记录生成图像的过程。它定义了如何将日志记录映射到可视化表示。
为什么可视化?
我们为什么要对形象化感兴趣?因为人类的视觉系统是一个有着巨大力量和微妙的模式探索者。眼睛和大脑的视觉皮层形成了一个巨大的并行处理器,为人类认知中心提供了最高带宽的通道。
——科林·威尔,《信息可视化:设计的感知
数据的可视化表示使我们能够向观众传达大量信息。信息经常被编码为文本。如果只是用语言来描述,立即抓住事物的本质是比较困难的。事实上,大脑很难处理文本。另一方面,图片或图像可以处理得非常好。它们可以对丰富的信息进行编码,因此非常适合向人类传递大量的数据。图片可以使用形状、颜色、大小、相对位置等对信息进行编码,从而增加信息与消费者或观众之间的带宽。
许多学科都面临着需要分析、处理和交流的不断增长的数据量。我们正处在一个信息爆炸的时代。其中很大一部分信息是以文本形式存储或表示的:数据库、文档、网站、电子邮件等等。我们需要新的方法来处理这些数据。必须查看、浏览或理解数据的人需要以图形方式显示相关信息,以帮助理解数据、分析数据并记住其中的部分内容。浏览大量数据对于查找信息和探索结果集的细节至关重要。与可视化的交互是这个过程中的关键元素之一。可视化不仅可以提供快速浏览功能,而且与文本表示相比,可视化表示还可以帮助我们发现隐藏在丰富数据中的关系。找到这些关系是至关重要的。
主流可视化应用程序的一个简单例子是Friend Wheel,即Facebook3.应用程序生成所有Facebook好友的可视化(参见图1 - 1).我在Facebook上的每一个朋友都被安排在一个圈里。我认识的朋友都是血脉相连的。我不必用书面形式解释我的朋友是谁,他们属于什么不同的群体,这种可视化将所有的关系总结在一个简单易懂的图片中。
- Facebook (http://facebook.com)是一个社交网络平台。
图1 - 1朋友转盘可以可视化Facebook上的朋友关系。
在许多学科中都需要数据可视化。朋友转盘是可视化如何成为主流的一个简单例子。数据爆炸和由此产生的可视化需求对计算机安全的影响超过许多其他领域。安全分析师面临着需要分析和掌握的不断增加的数据量。导致数据增长的一个领域是需要安全人员查看的信息范围的扩大。它不再仅仅是基于网络的设备日志,比如来自防火墙和入侵检测系统的日志。今天,整个堆栈都需要分析:从网络层开始,一直到应用程序,这些应用程序惊人地擅长生成难以管理的大量数据。
可视化的好处
如果您曾经分析过包含数万个条目的大型日志文件,您就会知道这是多么困难。与使用基于文本的工具相比,可视化方法大大简化了任务。与文本数据分析相比,可视化提供了许多好处。这些好处是基于人们有效处理图像的能力。人们可以快速扫描、识别和回忆图像。此外,人类的大脑是一个惊人的模式识别工具,它可以非常有效地检测大小、颜色、形状、运动和纹理的变化。以下是可视化的好处:
回答一个问题:可视化使您能够为您可能拥有的关于数据集的每个问题创建图像。您可以使用以简洁的形式传递数据的图像,而不是费力地浏览文本数据并试图记住各个条目之间的所有关系。
提出了新的问题:视觉表示的一个有趣方面是,它们会导致查看者提出新的问题。人类能够查看数据的可视化表示和模式。通常,这些模式在生成可视图像时并没有预期到。这个离群值是多少?这些机器为什么要相互通信呢?
探索和发现:通过可视化数据,您有了一种查看和调查数据的新方法。可视化表示提供了对给定数据集的新见解。不同的图形和配置突出显示数据集中的各种不同属性,并帮助识别之前未知的信息。如果事先知道属性和关系,就可以在不可视化的情况下检测这些事件。但是,必须首先发现它们,而可视化工具最适合这样做。交互式可视化支持更丰富的调查,并帮助发现数据集的隐藏属性。
决策支持:可视化有助于快速分析大量数据。决策可以基于大量数据,因为可视化有助于将数据提炼成有意义的东西。更多的数据也有助于支持决策。环境意识是帮助决策支持的主要工具。
沟通信息:作为一种通信手段,数据的图形表示比文本日志文件更有效。一个故事可以讲得更有效率,理解一幅图片所需的时间只是理解文本数据所需时间的一小部分。图片很适合讲故事。试着把漫画写成文字。它就是不起作用。
提高效率:与其费力地浏览数千行文本日志数据,不如用图形显示数据的某些属性,以查看趋势和异常值,这种方法要有效得多。分析日志文件所需的时间大大减少。这节省了人们的时间,并允许他们思考在数据中发现的模式和关系。它还加快了对新事态发展的发现和反应。更少的人需要处理更多的数据。
激励:图像激发。在可视化分析这本书中的一些数据集时,我多次受到启发,尝试一种新的可视化方法,一种查看相同数据的新方法。有时候这些灵感是死胡同。然而,很多时候,它们会带来新的发现,并有助于更好地理解手头的数据。
如果数据可视化具有所有这些好处,那么我们应该探索可视化可以为安全性做些什么。
安全可视化
领域的安全可视化很年轻。迄今为止,在这一领域只做了有限的工作。考虑到分析安全问题需要大量的数据,可视化似乎是正确的方法:
在IT环境中收集的数据越来越多,需要新的方法和工具来处理它们。
事件和日志分析正在成为安全分析人员调查和理解其网络、主机、应用程序和业务流程状态的主要工具之一。所有这些任务都需要处理大量需要分析的数据。
法规遵从性要求定期进行日志分析。分析人员需要更好、更有效的工具来执行任务。
犯罪形势正在发生变化。攻击正在向网络堆栈上方移动。基于网络的攻击不再是安全问题的主要来源。今天的攻击正转移到应用程序层:Web 2.0、即时通讯攻击、欺诈、信息盗窃和犯罪软件只是新类型攻击的一些例子,这些攻击会产生大量需要收集和分析的数据。小心!应用程序非常繁琐,会生成大量数据。
今天,你真正需要保护自己免受的攻击成为了目标。你不会是一个随机的受害者。攻击者知道他们要攻击谁。您需要做好准备,并且必须主动地分析日志文件。攻击者不会触发你的警报。
由于需要分析大量的日志数据,经典的安全工具,如防火墙和入侵检测系统,随着时间的推移增加了报告功能和使用图表和图形的仪表板。大多数情况下,这些显示器用于向用户传递信息。它们不是支持数据探索的交互式工具。此外,大多数视觉显示都是相当基本的,而且在大多数情况下是事后才想到的。安全产品的设计还没有考虑到可视化。然而,这种情况正在慢慢改善。公司开始意识到可视化对他们来说是一个竞争优势,用户任务通过可视化辅助显著简化。
这些工具的问题在于它们是专门化的。它们只可视化由特定解决方案收集或生成的信息。我们需要可视化来自多个工具和这些工具不支持的用例的信息。需要新的方法来进行日志和安全数据分析。