17:02
Пингвин, виртуализация и $23 млрд: как и почему облачные технологии навсегда изменили ИТ-мир

17:47
Как в Сингапуре работают с инновациями: от госрегулирования до ночных клубов

17:47
Путь курильщика: как войти в профессию программиста, если ты гуманитарий

18:32
[Перевод] Tesla сократит численность постоянных сотрудников по всему миру на 7%

18:32
[Из песочницы] Ticket to Ride.Европа — скромные шаги в арифметику игры

16:32
[Из песочницы] Комплексный подход к визуализации событий безопасности и измерению её эффективности

16:17
Улучшение агента на основе Q-Learning, торгующего stocks, путем добавления рекуррентности и формирования наград

16:02
Брайан Кребс: базе аккаунтов «мегаутечки», содержащей сотни миллионов записей, 2-3 года

16:02
[Перевод] Криптографические протоколы для электронного голосования

16:02
[Перевод] К чему готовиться в 2019 году: тренды в программировании

16:02
[Перевод] Python становится самым популярным языком программирования в мире

[Из песочницы] Комплексный подход к визуализации событий безопасности и измерению её эффективности18.01.2019 16:32

Привет, Хабр! Представляем вашему вниманию перевод статьи «A Full-Scale Security Visualization Effectiveness Measurement and Presentation Approach».

От автора перевода

Визуализация оказывает неоценимую помощь экспертам в получении выводов и знаний об объекте исследований, особенно, если такие исследования связаны с обработкой большого объёма данных. При этом, выбор способов визуализации, как правило, носит творческий характер и не является обоснованным выбором на основании каких-либо количественных оценок. В статье предпринята попытка получения количественных оценок визуализации.

Кроме того, необходимо отметить, что вопросам исследования визуализации в русскоязычных источниках уделяется мало внимания. Исследования, описанные в статье, находятся на стыке нескольких областей знаний: безопасность информации, психологии, науки о данных, что позволяет читателю познакомиться с ранее неизвестными для него темами. Также интерес представляет обширная библиография по теме изучения визуализации.

Основные термины, используемые в тексте статьи, отмечены курсивном и для них в скобках указано значение иностранного термина. Определения таких терминов приведены после текста статьи.

Что делает визуальное представление событий безопасности эффективным? Как мы измеряем эффективность визуализации в контексте изучения, анализа, понимания сообщений об инцидентах безопасности информации? Обнаружение и понимание компьютерных атак имеют определяющее значение для принятия решений не только на техническом уровне, но и на уровне управления политикой безопасности. Наше исследование охватывает оба вопроса, что позволило дополнить нашу систему/платформу оценки эффективности визуализации событий безопасности (SvEm), предоставляя комплексный подход к оценке эффективности как для теоретических, так и для ориентированных на пользователя методов визуализации. За счёт использования интерактивной трёхмерной визуализации наша платформа SvEm позволяет повысить эффективность как одного пользователя, так и нескольких пользователей в ходе их совместной работы. Были исследованы такие показатели эффективности, как зрительная наглядность (visual clarity), видимость (visibility), скорость искажений (distortion rate) и время отклика (просмотра) пользователя (user response (viewing) times).

Ключевыми компонентами платформы SvEm являются:

размер и разрешение дисплея мобильного устройства;
сущности (entity) инцидентов безопасности;
когнитивные активаторы (cognition activators) оповещения пользователя;
система оценки угроз;
нагрузка на рабочую память (working memory load);
управление использованием цвета.

Чтобы оценить нашу платформу комплексной оценки эффективности визуализации событий безопасности, мы разработали (с использованием веб- и мобильных технологий) приложение VisualProgger для визуализации событий безопасности в режиме реального времени. Наконец, визуализация SvEm направлена на повышение концентрации внимания (attention span) пользователей путём обеспечения постоянной когнитивной нагрузки (cognitive load) при увеличили нагрузки на рабочую память наблюдателя. В свою очередь визуализация событий безопасности предоставляет пользователю возможность для возникновения озарения (insight) о состоянии защищённости информации. Наша оценка показывает, что наблюдатели работают лучше с предварительным знанием (нагрузка на рабочую память) о событиях безопасности, а также что круговая визуализация лучше привлекает и поддерживает концентрацию внимания пользователя. Эти результаты позволили определить направления будущих исследований, связанных с оценкой эффективности визуализации событий безопасности.
1 Введение
2 История вопроса и область исследований
3 Связанные работы
3.1 Методы оценки визуальных представлений информации
3.2 Метод оценки: ранжирование визуальных представлений корреляций
3.3 Методы графического представления
3.4 Ошибки восприятия в визуализациях
3.5 Понятия когнитивности, восприятия и озарения в визуализации
4 Схема платформы SvEm
4.1 Архитектура серверной части системы
4.2 Технические аспекты визуализации событий безопасности
4.3 Сущности, отношения и пространства инцидентов безопасности
4.4 Цветовой стандарт визуализации безопасности
4.5 Когнитивные требования для визуализации безопасности
5 Результаты: платформа визуализации безопасности
5.1 Теория SvEm
5.2 Поток обработки данных
5.3 Пример 1. Приложение для совместной работы с визуализацией событий безопасности в режиме реального времени
5.4 Пример 2. Визуализация программы-вымогателя Locky
5.5 Пример 3. Эффективное взаимодействие с визуализацией дополненной реальности
5.6 Масштабирование визуализации в соответствии с размерами дисплея
6 Оценка и тестирование платформы SvEm
6.1 Концептуальная модель SvEm
6.2 Тестирование производительности платформы SvEm
6.3 SvEm-оценка пользователей
6.4 Оценка когнитивной нагрузки
6.5 Система обнаружения угроз
7 Заключение
8 Благодарности
9 Ссылки на использованные источники
Визуализации событий безопасности (security visualizations) оказываются полезными при формировании представления о состоянии защищённости, но насколько они эффективны? Помогает ли визуализация принятию решения в критической ситуации или только отвлекает внимание? Настоящее исследование создаёт основу для оценки эффективности и разработки визуальных представлений в области безопасности информации.

Наше основное внимание направлено на улучшение платформы SvEm [11] путём проведения комплексной оценки эффективности визуальных представлений событий безопасности на каждом этапе восприятия визуализации. Предполагается, что читатель уже имеет представление о визуализации в области безопасности информации.

Мы рассматриваем вопросы производительности процессов обработки данных, зрительной наглядности, а также удобного использованию функций интерактивной работы пользователя с данными. Для измерения эффективности визуализации событий безопасности требуется комплексная оценка как веб-, так и мобильных платформ, а также времени реакции пользователей при взаимодействии с ними.

В тот момент, когда пользователь взаимодействует с некоторым визуальным представлением событий безопасности, мы заинтересованы в том, чтобы, во-первых, понять, как визуализация может наиболее быстро привлечь внимание пользователя, а, во-вторых, каким образом можно измерить продолжительность концентрации его внимания. Для этого необходимо наблюдение за эффективностью когнитивной нагрузкой пользователя и нагрузкой на его рабочую память. Визуализация наиболее эффективна, когда когнитивная нагрузка уменьшается, а нагрузка на рабочую память растёт.

В большинстве научных исследований, направленных на изучение платформ визуализации и пользовательского интерфейса, понятие повышения эффективности означает повышение производительности за счёт сокращения времени достижения значимых результатов. В статье для разработанной нами платформы понятие «эффективность» связано с визуализацией событий безопасности как целостным и комплексным подходом, который призван максимально упростить восприятие существенной информации в результате взаимодействия пользователя с визуализацией.

В настоящей статье мы измеряем эффективность всего процесса визуализации безопасности: как процесса графического отображения, так и процесса взаимодействия с пользователем. Мы также уверены, что визуализация событий безопасности способствует автоматизированному анализу данных, получая полезные сведения из необработанных данные о событиях безопасности (сетевых атаках). Визуальные представления событий безопасности наглядно и в динамике показывают пользователю инциденты безопасности, а также связи инцидентов между собой [14]. Интерактивность вызывает интерес пользователя к совершению необходимых взаимодействий с визуализаций для формирования представления о пространстве проведения компьютерных атак. Визуализация также облегчает возможность обработки больших объёмов данных и наглядного отображения тенденций и модели.

Тем не менее, существуют проблемы, связанные с представлением информации и производительностью, поэтому целью настоящей статьи является измерение эффективности процессов визуализации событий безопасности. Наше исследование обеспечивает связь между когнитивными знаниями пользователей и платформой измерения эффективности визуализации событий безопасности (SvEm — security visualization effectiveness measurement) [11]. Наш подход измерения эффективности охватывает этапы планирования, проектирования, внедрения, оценки, валидации и взаимодействия с пользователем (целевой аудиторией).

В следующем разделе мы рассмотрим результаты существующих исследований по измерению эффективности визуализации. Затем обсудим результаты разработки платформы SvEm. В заключении мы представим направления будущих исследований.

Пока пользователи выбирают способы визуализации на основании своих индивидуальных предпочтений и потребностей, существует необходимость в оценке эффективности таких способов. Современные подходы [11], [12], [17], [40] используют такие показатели, как производительность пользователя (user performance), наглядность (clarity), степень качества/искажения изображения (image quality/distortion rate), оценка восприятия (perception assessment), мера визуализации взаимосвязей (visualization correlation measurement), измерения активности мозга (brain activity measurement) и степень соответствия визуализации (how well visualization). Рассмотрим имеющиеся источники более подробно.

3.1 Методы оценки визуальных представлений информации

В большинстве методов оценки учитываются только технические аспекты изображений, такие как наглядность и узнаваемость. Однако наиболее предпочтительными оказываются визуальные представления, которые привлекают наблюдателей и способны самостоятельно передать суть информации без необходимости дополнительных разъяснений. Это является самым ожидаемым результатом для большинства художников и экспертов по визуализации. Та основа, что присутствует как в визуализации, так и у пользователей, пробуждает у них познавательные способности, запускающие механизмы эффективности. Таким образом, для повышения эффективность требуются некоторые методы оценки, позволяющие улучшить визуализацию.

3.2 Метод оценки: ранжирование визуальных представлений корреляций

Подход, успешно используемый в учебных занятиях на наборах данных, обычно применяется для получения научных оценок производительности, прозрачности и целостности. Харрисон в [12] показал возможность применения закона Вебера [4], [15] и закона восприятия [15] при ранжировании визуализации корреляции [20]. Другие подходы рассматривают корреляцию обучающего и наилучшего наборов данных, изображаемую при помощи диаграмм рассеяния и диаграмм с параллельными координатами [33]. Последние психологические и когнитивные исследования [15] показали, что законы восприятия [20] могут быть применены для моделирования восприятия людьми в рассматриваемой визуализации определённых свойств данных. Ренсинк продемонстрировал использование закона Вебера [33] при создании модели Вебера Fit [12]. В этих исследованиях утверждается, что есть взаимосвязь между людьми и представленными данными. Человеческое восприятие способно различать взаимосвязи и объективные отличия в коррелируемых данных. Данное утверждение выражается следующей линейной зависимостью:

$dp=k\frac{dS}{S}$

где

$dp$ — дифференциал изменения восприятия;

$k$ — экспериментально полученный относительный порог (weber fraction);

$dS$ — дифференциал увеличения корреляции данных.

Ряд статистических исследований [12] было проведено при помощи ранговых критериев:

критерий Крускала-Уоллиса [26] для оценки отношения между визуализацией и корреляциями;
критерий Уилкоксона-Манна [16], [29] критерий для сравнения пар визуализаций;
коррекция Бонферрони [36] для решения проблемы множественных сравнений и уменьшения ложно положительных результатов.

Хотя данный метод ранжирования визуализации корреляций доказал свою эффективность, он не имеет отношения к настоящей работе.

3.3 Методы графического представления

Рис. 1. Схема платформы E3

Большинство устройств, подключённых к сети Интернет имеет возможность ведения журналов, что позволяет обеспечить высокую скорость сбора данных. Следовательно, требуется применение специальных способов представления информации, полученной из наборов данных. Рассмотрим в качестве примера графическую платформу для представления больших наборов данных E3, разработанную Леунгом К. Я и Апперли Д. Марком [24]. Аналитическая платформа E3 позволяет сравнивать различные способы представления данных с учётом объёмами таких данных. Основные характеристики, такие как выразительность (expressiveness), эффективность (efficiency) и результативность (effectiveness), позволяют ранжировать точность представления и задачи восприятия. На рис. 1 показана схема платформы E3, на которой отмечены ключевые компоненты и их связи с этапами проектирования системы представления больших наборов данных.

3.4 Ошибки восприятия в визуализациях

Другой распространённый метод измерения визуализации включает расчёт частоты ошибок (error rate) измерения качества или искажения изображения. На рис. 2 показана структура проекта, включающего этапы предварительной обработки, фильтрации, разделения канала и объединения ошибок.

Рис. 2. Схема проекта, оценивающего чувствительность к ошибкам

В этой модели качество изображения оценивается по показателям зрительной наглядности и искажениям изображения. Выполнение предварительной обработки и фильтрации улучшает результаты измерения качества/искажения (которые достаточно легко преобразовываются из одного в другой).

3.5 Понятия когнитивности, восприятия и озарения в визуализации

В психологии измерение эффективности визуализации осуществляется на основе оценок когнитивности (сognition), восприятия (perception), концентрации внимания и нагрузки на рабочую память человека. Рациональное соотношение между познавательной способностью пользователя и нагрузкой на рабочую память может быть определено с помощью оценки умственных усилий (mental effort) (рис. 3). Например, оценка идеального пользователя (ideal user), при которой скорость чтения высока, а умственные усилия низкие, находится в области А (рис. 3) [30].

Рис. 3. Эффективность умственных усилий [30]

Это также означает, что нагрузка на рабочую память пользователя высока. Исследования пользователя предоставили средства для оценки когнитивной нагрузки [17], в частности способы оценки умственных усилий и производительности, которые связаны с эффективностью визуализации.

Исследования [40], [34], [35], проведённые InfoVis, показали возможность использования озарения в качестве меры оценки технологий. Озарение [40] определяется как мера точного и глубокого понимания чего-либо, т. е. единица измерения открытия. Озарение часто приходит не в ходе решения специально поставленных для этого задач, а, как правило, является побочным продуктом исследований без начальной цели на достижение озарения.

Также важную роль в определении озарения является процесс осмысления (sensemaking) [32], хотя модель «информация-схема-озарение-продукт», используемая в данной работе, включает озарение как компонент.

Обобщая результаты схожих работ, мы видим, что оценка эффективности визуализации затрагивает не только технологии, но и человека, который пользуется визуализацией. Рассмотрев в этом разделе ключевые сферы, связанные с эффективностью визуализации, у нас теперь есть чёткое понимание места настоящих исследований в методологии оценивания визуализации. Тем не менее, наша платформа ограничена визуализацией в области безопасности информации, связанной с оценкой эффективности измерений в отношении оперативной информации об инцидентах безопасности.

В целях реализации платформы, которая будет оценивать эффективность визуализации событий безопасности, важным этапом является этап проектирования. Поэтому в данном разделе мы представляем проектное решение нашей платформы. Платформа оценки эффективности визуализации безопасности SvEm состоит из следующих компонентов: рабочая поверхность мобильного дисплея, объекты инцидентов безопасности, события оповещения пользователя, система оценки угроз, загрузка оперативной памяти и компонент управления использованием цвета. Эти компоненты рассмотрены далее.

4.1 Архитектура серверной части системы

Инфраструктура серверной части платформы визуализации событий безопасности SvEm предназначена для размещения как статических, так и динамических (real-time) сценариев визуализации. Она управляет всеми процессами анализа, происходящими при работе с базой данных, а также в ходе сборки и агрегирования сведений. Архитектура нашей системы построена с использованием следующих технологий: Windows Progger (Logging Tool), Redis, MongoDB, Nodejs и WebGL. Windows progger (версия linux progger для Windows [21]) — это инструмент ведения журнала событий на системном уровне (уровне ядра), который в настоящее время разрабатывается с упором на обеспечение безопасности в компьютерных и облачных системах. Redis [2] облегчает связь между кешем и базой данных для Windows Progger и mongoDB. Все данные постоянно хранятся в mongoDB [3], в то время как nodejs [39] и webgl [5], [31] снижают сложность интерфейса клиентской части платформы визуализации.

Архитектура серверной части спроектирована с учётом особенностей процесса обработки данных при управлении их хранением. Предварительно обработанные данные создаются в результате выполнения сценария визуализации. Например, в режиме реального времени ведётся запись в журнал ядра системы компьютера с целью отслеживания и визуализации источников создания, изменения и удаления файлов.

Кроме того, данные стандартизированы для возможности оценки эффективности визуализаций безопасности в веб-и мобильных платформах. Требования к веб- и мобильным устройствам обеспечили эффективное решение задач запроса, обработки, анализа, рендеринга и масштабирования данных, решаемых в интересах визуализации событий безопасности. На рис. 4 показаны основные инструменты и библиотеки, необходимые для размещения серверной части платформы визуализации безопасности SvEm.

Рис. 4. Архитектура серверной части SvEm

При проектировании платформы необходимо учитывать множество особенностей приложения, к основным из которых также относятся обеспечение безопасности, производительности обработки данных и наглядности представления визуализации. Данные задачи для нашей платформы являются основными.

4.2 Технические аспекты визуализации событий безопасности

При разработке визуальных представлений должны быть учтены размеры мобильного устройства. Например, ограничения дисплея в 1920×1080 пикселей для IPhone 6s Plus с высотой 122 мм и шириной 68 мм (рис. 5), делают необходимым наличие элементов управления отображением в визуальном представлении.

Рис. 5. Параметры дисплея мобильного устройство

Элементы управления включают элементы регулирования объёма обрабатываемых данных, выбора способа визуализации и типов визуализации, которые лучше всего соответствуют размерам экрана.

Чёткое понимание этих ограничений позволяет разработчикам визуализации событий безопасности принять во внимание возможность многомерного и/или кругового отображения. Подобные проекты позволят учесть большое количество атрибутов данных об инциденте безопасности.

4.2.1 Проект визуализации отслеживания (attribution visualization design)

Процесс отслеживания (attribution) [38] в контексте информационной безопасности связан с определением источника компьютерной атаки. В визуализации событий безопасности изображение данного процесса является достаточно сложной задачей. Необходимо наличие достаточного набора исходных данных и чёткое понимание процесса отслеживания. Наш проект отслеживания направлен на построение пути между источником и целями атаки. Основное внимание уделяется установлению источника компьютерной атаки, поскольку большинство точек траектории относятся к жертвам. Несмотря на наш проект визуализации отслеживания, на основании данных о реальных атаках нельзя в полном объёме визуализировать процесс отслеживания. Поэтому мы предлагаем набором шаблонов для прогнозной аналитики, при помощи которых могут быть связаны точки между ключевыми идентификаторами атаки для отслеживания с более высокого уровня при помощи визуализации.

4.2.2 Проект визуализации источников (provenance visualization design)

Ещё одна ключевая особенность платформы — эффективное отображения источников на основании большого объёма собранных данных. Большой объем данных преобразуется в визуализацию для мобильных платформ с учётом необходимости масштабирования и ограниченности рабочей области экрана.

Наша платформа использует проекты визуализации отслеживания и источников с краткой сводкой данных для оповещения пользователей о событиях безопасности. Отображение источников имеет решающее значение для экспертов по безопасности и конечных пользователей, чтобы быть в курсе обстановки. На рис. 6 представлен проект визуализации источников с информацией о времени, типе и источнике атаки.

Рис. 6. Проект визуализации источников для мобильного устройства

Этот круговой проект призван обратить внимание пользователя на предоставленной информации и уменьшить количество перемещений по вкладкам для получения дополнительной информации.

4.2.3 Типы проектов визуализации

Другой важный аспект эффективности визуализации — предоставление пользователям (наблюдателям) возможность выбора из нескольких вариантов проектов визуализации в зависимости от требований к просмотру отображаемых данных. Это позволяет удовлетворить потребности более широкого круга аудитории.

В качестве элементов для визуализации событий безопасности в режиме реального времени наша инфраструктура предоставляет следующие варианты визуальных проектов [6]: «Завиток (спираль)», «Сфера» и «Сетка».

Как показано на рис. 7, проект «Завиток (спираль)» основан на принципе/законе Гештальта о непрерывности [37].

Рис. 7. Проект визуализации «Завиток (спираль)»

Данная визуализация отображает порядок выполнения файлов и процессов в соответствии с подходом «первым вошёл, первым показал». Когда пользователь обратил внимание на конкретный файл, шаблон или некоторую группу с одинаковым поведением/цветом, он мысленно воспринимает наглядный образ, который легко понять.

Проект визуализации «Сфера» опирается на закон Гештальта о замкнутости/завершении, где все воспринимается как часть целого. На рис. 8 показана визуализация контента системы (цветом отмечены важные элементы).

Рис. 8. Проект визуализации «Сфера»

Данный способ является простым и понятным, а визуализацию можно масштабировать в зависимости от параметров дисплея мобильного устройства. Независимо от того, сколько файлов или процессов требуется показать, сферический подход формирует визуализацию, в которой все части представляют собой сумму целого.

Проект визуализации «Сетка» реализует многоуровневый подход к визуализации, при котором новые файлы визуально отображаются на переднем плане сетки визуализации. Этот дизайн привлекает внимание наблюдателей к новым файлам/процессам, представляющим интерес. Постоянное внимание наблюдателя удерживает их в фокусе, в то же время оставляя возможность другим механизмам оповещения передать информации наблюдателю. На рис. 9 показан пример проекта «Сетка» с несколькими слоями для файлов и процессов.

Рис. 9. Проект визуализации «Сетка»

Дополнительно мы предоставляем проект «Вложенные кольца» (circular-layered), показанный на рис. 10.

Рис. 10. Проект визуализации для мобильного устройства программы-вымогателя Locky

Проект позволяет связать несколько атрибутов и категорий различных файлов и процессов. Результативность в этом случае проявляется в переходах между слоями, позволяя наблюдателям увидеть и понять, как работают различные файловые системы. Использование подхода к построению многоуровневых визуализаций позволяет связать между собой как различные уровни иерархии информации, так и информационные отношения.

4.2.4 Компоненты оценки угроз

Компоненты оценки угроз, который позволяет выявить и наглядно представить угрозы, является ещё одним важным компонент инфраструктуры SvEm. Наша схема оценки угроз (рис. 11) охватывает аномалии, вредоносные программы и настраиваемые механизмы обнаружения.

Рис. 11. Схема механизма анализа угроз

Наборы данных фильтруются с помощью тестовых/обучающих и зафиксированных данных [10] и баз данных сигнатур известных угроз. Обнаружение аномалий осуществляется в соответствии с алгоритмом, который будет рассмотрен в разделе об оценке и валидации. Наш базовый набор данных состоит из известных (предварительно обнаруженных) угроз, журналов, заполненных пользователем, а также известных моделей угроз и схемы поведения. Это создаёт лучшую среду для контроля и мониторинга.

4.3 Сущности, отношения и пространства инцидентов безопасности

4.3.1 Сущность

Сущности, отношения (entities relationships) и пространства безопасности (security landscapes) являются основными рабочими компонентами нашей платформы. К сущностям относятся: субъекты угроз, вредоносные полезные нагрузки, скомпрометированные IP-адреса и многие другие. Эти объекты представляют интерес для того, как работает теория измерения эффективности SvEm. На производительность нашей платформы влияет возможность идентификации этих сущностей с помощью визуализации за наименьшее время.

4.3.2 Отношения сущностей

Отношения сущностей, также известные как ссылки (links), жизненно необходимы для нашей платформы. Функции отношений сущностей связывают сущности вместе. Эти ссылки также активируют когнитивные функции пользователя, которые помогают ему воспринимать скрытую информацию и потенциально способствуют озарениям о состоянии защищённости.

4.3.3 Пространства инцидентов безопасности

Пространства безопасности создают область инцидентов и среду для пользователей (наблюдателей), чтобы сконцентрировать их мысленные образы на определённом инциденте безопасности. Привычное пространство помогает пользователю мысленно ограничить область его взаимодействия с визуализацией.

4.4 Цветовой стандарт визуализации безопасности

Очень важно стандартизировать использование цветов для визуализации событий безопасности. Большие объёмы данных о сущностях, которые могут представлять интерес, требует упрощения визуализации событий безопасности в интересах ускорения процесса обработки информации. Например, использование цветов «красный» и «оранжевый» в одном визуальном пространстве автоматически создаёт путаницу для пользователей, что усложняет весь процесс визуализации. Наш стандартизированный набор цветов показан на рис. 12: «красный, жёлтый, зелёный, синий, фиолетовый и оранжевый».

Рис. 12. Цветовой стандарт визуализации событий безопасности

Эти цвета подразделяются на две группы: основную и дополнительную. Основную группу цветов составляют: красный, жёлтый, зелёный и синий цвета. К дополнительной группе относятся: фиолетовый и оранжевый. Дополнительные цвета предназначены для визуализации событий безопасности правоохранительными органами, использующими цветовые схемы, соответствующие системе уведомлений Интерпола [1], [18]. Например, оранжевый цвет используется только для отображения оборота незаконного контента и рассматривается как самостоятельный тип визуализации.

Цветовой стандарт направлен на обеспечение простоты предварительного ознакомления в специально созданной для этого комфортной среде. С точки зрения разработчика, важно правильно понимать, как в визуализации цвета соотносятся с атрибутами событий безопасности. Это создаёт необходимость управления цветом во избежание неправильной интерпретации визуализации из-за возможных проблем наложения цветов при представлении инцидентов безопасности.

4.5 Когнитивные требования для визуализации безопасности

Обработка информации является естественной функцией человека, которую невозможно контролировать при помощи технологий. Однако существуют методы, которые можно применить при обработке информации для конкретной визуализации событий безопасности, в качестве форм управления. Применение таких методов направлено на снижение когнитивного искажения (cognitive bias) [13], которое часто приводит к неправильному восприятию, неточным суждениям и нелогичным выводам.

Поэтому наиболее важной частью проектирования нашей платформы SvEm является определение когнитивно-психологических признаков в визуализации событий безопасности. Это позволяет задать требования к эффективности всего процесса визуализации пользовательских задач.

Заданы требования к когнитивной нагрузке, нагрузке на рабочую память, когнитивным активаторам пользователя.

Также определены следующие психологические задачи:

на уровне внимания (attention process);
на уровне подпорогового внимания (pre-attentive process);
на уровне умственного усилия (для памяти).

С точки зрения приложения визуализации событий безопасности когнитивные активаторы оповещения предназначены для связи наблюдателя с представленной визуализацией. Данные активаторы мы называли терминами временное удержание (Semi-permanent Hold) и постоянное удержание (Permanent Hold). В разделе, посвящённом оценке (раздел VI), будет показано, какую важную роль они играют в нашей платформе.

5.1 Теория SvEm

Начнём с более детального объяснения нашего алгоритма SvEm. Алгоритм SvEm основан на следующих показателях:

теоретической оценке искажения ( $d_{svem}$ );
теоретической оценке времени ( $t_{svem}$ ).

Теоретические оценки искажения и времени рассчитываются по формулам (1) и (2) соответственно:

$$d_{svem}=\frac{(w*h)/Sv_f*d_n}{Cl*t_{me}*n_{clicks}}>50\%\qquad (1)$» /></p> <p><img src=$

где

$w*h$ — размеры рабочей поверхности мобильного устройства;

$Sv_f$ — количество визуальных элементов безопасности (например, инфицированный IP-пакет, метка времени и др.);

$d_n$ — n-размерная область визуализации событий безопасности;

$Cl$ — когнитивная нагрузка (количество идентифицируемых признаков во время предварительного ознакомления);

$t_{me}$ — нагрузка на рабочую память (усилие, основанное на временных оценках рабочей памяти);

$n_{clicks}$ — количество взаимодействий с визуализацией.

Теоретические оценки SvEm основаны на скорости искажения и времени. Несмотря на то, что коэффициент искажений составляет 50%, наша общая оценка измеряется относительно «высокой» или «низкой» оценки, что делает её более реалистичной. На скорость искажений влияют следующие факторы:

размеры и разрешение телефона;
знания пользователей;
количество кликов пользователя.

SvEm-время измеряется относительно постоянной: 0,25 секунды [27], известной в психологии как минимальное время, необходимое человеку для понимания информации в процессе её восприятия. Таким образом, наша общая оценка рассчитывается как среднее значение и сравнивается с многочисленными результатами других измерений.

Производительность приложений, а также способы управления данными реализованы с учётом улучшения качества итоговых значений показателей искажения и времени. Управление отображением данных в визуальном пространстве нашего приложения осуществляется для достижения баланса при выполнении сложных аппаратных вычислений визуализации.

Когнитивная нагрузка ( $Cl$ ) и нагрузка на рабочую память ( $t_{me}$ ) рассчитываются на основании предшествующих результатов теоретических исследований. Наш алгоритм SvEm реализует известные методы.