目前已知的对人类认知最有效的方式就是通过视觉感知。网络安全态势感知整个过程的任意部分几乎都可以进行可视化，这是由于大数据技术的推动。但是如何快速、准确、完整、有效地将态势传达给安全决策者是非常具有挑战性的问题。相对于地理空间和物理实体的可视化，态势感知的可视化挑战主要在于对抽象概念要素的处理，即数据信息的可视化。虽然对原始数据或海量数据进行可视化的技术很多，但仍难以解决如何表示态势以及如何呈现当前状态和未来趋势以更好地辅助决策等问题。从时空两个维度进行态势的呈现比单纯地通过地理空间进行展示要难得多。对于任何一种类型的可视化技术，整个过程可见、数据可追溯、可比对分析都是非常重要的。

在的整个数据信息交流过程中，能起到十分重要的支持作用，但它也不应该是数据交流的唯一方式。如果我们用一句话或者通过一个简单的表格就能很好地说明，那么也没有必要非用的形式表现。我们所要做的是将过去、现在以及未来串接成一个含有上下文的故事，而这个故事必须具备两个基本的属性，那就是真实性和关联性。用一堆假数据营造出一个个酷炫的效果图，不但无法还原事实真相，还会误导人们造成错误的决策。而缺少关联性的就像一盘散沙，让人难以对信息片段进行拼接和整合，还原出事件的来龙去脉。因此，态势的基本标准就是真实和可关联。

本文将从数据基本理论、态势定义、设计原则和思路、态势形式等方面，带领大家快速浏览态势涉及的关键问题。

1、数据可视化基本理论

（1）数据可视化一般流程

在早期的系统中，流程采用流水线模型。该模型以数据为中心，描述了从数据空间到空间的映射，对数据进行串行处理，主要包括数据采集、、数据预处理、数据滤波、数据的映射和绘制等阶段。流水线实际上是数据处理和图形绘制的嵌套组合。流水线模型如图1所示。

图1 数据可视化流水线模型图

分析的基本流程通过人机交互将自动和可视化分析方法紧密结合。典型的可视化分析流程如图2所示。该流程图的起点是原始输入数据，终点是对数据提炼形成的知识库。从数据到知识库有两个途径：交互的可视化方法和自动的数据挖掘方法，其中间结果分别是对数据的交互可视化结果和从数据中提炼的数据模型。也就是说，既可以通过参数调整来实现可视化结果的修正，也能够通过交互的方式修正可视化结果。

图2 典型的可视化分析流程

在多数情况下，异构数据需要在分析或自动分析之前进行数据整合，因此对于而言，起初就需要将数据进行预处理并变换，转换成不同的表达形式以便于后续分析。除此以外，预处理还应包括数据格式规范、数据源集成、数据分类、数据筛选等任务。

将数据进行变换后，人员可以选择自动分析或者分析方法。其中，自动分析方法采用数据挖掘方式生成数据模型，用于交互地评估和改进旧的数据模型；分析方法通过提供界面，在自动分析的基础上修改参数或选择分析，增强模型评估效率，为发现新的规律和结论提供支持。

在任意的分析模型中，人永远作为核心因子而存在。一方面，机器智能只能够部分替代人所承担的工作；另一方面，人是最终的决策者，是知识的加工者和使用者。因此，工具的目标是增强人的能力，而不能完全替代人。在很多情况下，问题十分复杂，机器很难解决，这就要求构建工具以提高工作效率。但要知道，工具是临时性监控与调试工具，不是长期的必需工具。

总之，流程中的核心因素包括数据表示与变换、数据的呈现和用户交互。

（2）可视化设计原则与步骤

最重要的任务就是准确展示和表达数据所包含的信息。在此基础上，针对特定的用户对象，设计者可根据用户的预期和需求，提供有效辅助手段以方便用户理解数据和完成可视化过程。可视化追求的目标是简单化的可视化表达，复杂的可视化可能导致误判和对原始数据的误解；直观交互控制方式有利于用户以主观上更直观的方式获得可视化包含的信息；美学因素会影响信息传播和表达手段。总之，良好的可视化可提高人们获取信息的能力。

下面提供了设计的指导原则和思路，有助于您从设计中获益。设计和制作一个视图包括三个主要步骤：确定数据到图形元素（即标记）和视觉通道的映射；视图选择与用户交互控制设计；数据筛选，通过有限的视图空间选择一定容量的信息完成编码操作，保持合理的数据信息密度。为了提高结果的有效性，设计还包括颜色、标记和动画设计等。

1）数据到可视化元素的映射

首先要考虑数据语义和用户特征，以便选择合适的数据到元素（标记和视觉通道）的映射。的目的就是能为用户提供最短时间内获取数据整体信息的功能，而通过直接观察数据不能够完成这个目的。如果设计者能够预测用户在观察和使用结果时的行为和期望，从而指导设计流程，可在一定程度上提高设计的可用性和功能性。

为了减少对信息感知和认知所需的时间，数据到元素的映射需充分利用先验知识。数据到元素的映射还要求设计者使用正确的视觉通道以编码数据信息。视觉通道选择需要依据数据类别；对于有序数据而言，需要用定量或定序的方式进行编码，完成视觉通道的建立。

2）交互设计与视图选择

交互设计与视图选择因不同的数据类型而不同，简单的数据对应基本的视图，复杂的数据需要使用复杂的视图，还要抽象出新视图以有效展示数据所包含的信息。系统必须提供一系列交互手段，使用户按照自己的方式修改视图表现形式，无论使用多个视图还是一个视图，每个视图都必须使用简单有效的方式进行归类。视图常用的交互方式有：

数据映射方式的控制：在设计时，设计者首先要确定一个直观且易于理解的映射。完善的系统在提供默认数据映射方式的前提下，仍然需要保留数据映射方式的交互控制。

滚动与缩放：当数据无法在当前有限的分辨率下完成显示时，滚动和缩放变得十分有效。在对数据进行映射之前，用户通常会对数据进行缩放并裁剪可视化数据范围，进而控制最终的数据内容。

LOD（Level of Detail）控制：在不同条件下，细节层次控制有助于隐藏或突出显示数据的细节内容。

3）数据的筛选密度

一个良好的可视化方式应能够为用户提供数据的筛选操作，以展示合适的部分，使得用户可在恰当的时间选择恰当的内容。另一种解决方案是通过使用多视图，根据数据相关性来显示不同数据。

4）审美因素

在过程中，色彩是广泛使用的视觉通道形式，也是常常被过度甚至错误使用的一个重要视觉参数。使用多种不同颜色表示大量数据特征可能导致结果的视觉混乱，以致适得其反。除此以外，由于人的感知判断基于相对判断，对颜色来说尤其如此，因此在进行颜色选取时需要特别谨慎，在某些特殊领域还要考虑色觉障碍用户等因素，使得显示结果准确地表达将传递给用户的相关信息。的审美因素并不是最主要的目标，但具有更多美感的设计更容易吸引用户的注意力，完美的必定是功能与形式的完美结合。在设计的方法中，提高的美学特性可以总结为三点：将用户的注意力聚焦至最重要的核心区域；设计空间平衡；图形尽可能简单明了，不要有过多干扰信息。

5）图形元素参数设置

在色彩空间中，颜色通常采用三个分量值进行表示，因此在同一个视图中像素点的颜色仅有一种编码规则，当颜色的两种数据编码规则在用户所见的视图空间中存在相互遮挡时，的设计者必须从中选择一种予以显示。为了便于用户在观察和探索数据时从整体把握，可以引入透明度和颜色混合效果等，它们能够为视图提供的上下文信息内容，便于观察者对全局进行把握。

2、什么是网络安全态势可视化

随着信息技术和网络的快速发展，网络资源共享越来越普及，形势和挑战日益严峻。面对所面临的种种问题，必须寻求新的方法，以帮助安全分析人员更快速、有效地识别网络中的攻击和异常事件。一个较为实用的方法就是将网络数据以图像的方式表现出来，利用人们的视觉功能来处理这些庞大的数据信息，因此技术被引入领域。

态势可视化是将数据可视化技术应用于网络安全领域，利用人类视觉对模型和结构的获取能力，将抽象的网络和系统数据以图形图像的方式展现出来，帮助安全分析人员分析网络状态，识别网络异常和入侵，预测网络安全事件发展趋势。它不仅能有效解决传统分析方法在处理海量信息时面临的认知负担过重、缺乏对网络安全全局的认识、交互性不强、不能对网络安全事件提前预测和防御等一系列问题，而且通过在人与数据之间实现图像通信，使得人们能够观察到网络安全数据中所隐含的模式，为揭示事件发展规律和发现潜在安全威胁提供有力的支持。

“一图胜千言”，视觉感知方式是人类认知最有效的方式。与其他交流沟通方式相比，在中使用方式更有其独特优势，具体表现在以下几个方面。

态势可视化能快速地进行复杂的信息交流。描述性的统计（均值、中位数、方差等）能够进行一定程度的数据描述，但会存在丢失数据之间细微联系的问题。态势能够将数据损耗降到最小，而且也会在极短的时间内呈现出巨量的信息。

态势可视化能识别潜在模式。统计学方法或者其他数据描述方式很难发现一些模式特征，通过方法却可以揭示出来。在使用方式展现态势时，数据中存在的模式或者多个数据之间的关系都会展现出来。

态势可视化能实现质量控制。借助于方法往往能在态势提取，也就是数据的收集准备预处理阶段发现错误和异常数据。方式是快速检测工作结果合理性的好办法。

态势可视化可引导发现知识。用的方法辅助进行头脑风暴式的讨论交流，能够引发很多新颖想法，将人员导向不同的观察视角，有助于思考、发现更多的潜在威胁和风险。

3、网络安全态势可视化形式

（1）层次化数据的可视化

层次化数据是常见的数据类型，重点表示个体之间的某种关系。这种关系主要表现为两类：包含和从属。在社会或组织中，同样存在着分层的从属关系。除了包含和从属关系外，层次化数据也可以表示逻辑上的承接关系。例如决策树，其中一个节点表示一个问题，相应的答案对应不同分支而连接到下一层节点，最底层的叶节点则通常对应最后的决策。家谱图描述父母和子女关系，是一种前后承接的层次关系图。在现实世界中数据间都有内在的层次化关系，这是一种非线性结构关系，也称作图形结构。

与各类层次化数据相关的是长期研究的题目。层次化的要点是对数据中层次关系（图形结构）的有效刻画，可采用不同的视觉符号来表示不同的关系类型，层次化数据可视化有以下几种主要类别。

节点间的链接：由点到线的绘制方式，节点之间的链接表示某种承接的连接关系。代表技术有空间树、二叉树等。该方法直观清晰，特别擅长表示承接的层次关系。但是当个体数目太多时，其可读性会变得很差，大量数据节点聚集在局部范围，屏幕空间利用率很低。

空间填充：采用空间中的块状区域表示数据个体，用外层区域对内层区域的包围表示彼此之间的层次关系。树图是其典型的代表方法。与节点间的链接法相比，这种方法更适合于包含和从属关系的数据的可视化，具有高效的屏幕利用率，可呈现更多的数据。此方法的缺点在于数据中的层次信息表达不如节点链接法清晰，相对来说复杂一点。

混合方法：混合的思路是在前面的基础上，根据空间维度（二维或三维）及布局方法（正交、径向、自由布局）做了进一步分类。这样的层层分类本身也是一种层次结构，可采用空间填充方法进行可视化。

（2）网络数据的可视化

在数据结构层面，“网络”也称作图，相比于树形结构，这是一种非线性关系数据类型，但表达的关系更自由和复杂。在图结构中，图G由一个有穷节点集合V和一个边集合E组成。常将节点称为顶点，边是顶点的有序偶对，若顶点间存在一条边，表示这两个顶点具有相邻关系。

类似地，在数据层面，网络型数据也有别于层次化数据，现实人类社会和虚拟网络社会的方方面面都存在网络型数据，如电话通信、邮件往来、、学术合作网、生物基因网、城市交通网、金融交易网等。相对应地对网络型数据的和分析可揭示数据背后所隐藏的模式，在此基础上帮助把握整体状况，为管理和决策提供支撑。

网络数据的最重要的是进行图形的制作，包括三个方面：网络布局、网络属性的以及用户交互。其中网络布局确定图的结构关系，是核心组成要素。常用的网络布局方法有节点链接法、相邻矩阵法和混合方法。

节点链接法。以节点为中心，用线（或边）表示关系。它是一种自然的布局表达方式，更容易被用户理解和接受，帮助人们快速建立事物之间的联系，能够显式地表达事物之间的关系，因而是网络的首要选择。

相邻矩阵法。相邻矩阵（又称邻接矩阵）指代表N个节点之间关系的N×N的矩阵，矩阵内的位置（i，j）表达了第i个节点和第j个节点之间的关系。它能更好地表示一个两两关联的网络完全图，且简单易用，其缺点在于不能够呈现整个网络的拓扑结构以及网络中心和关系的传递性质。在实际应用中，相邻矩阵往往稀疏，节点数目增多时，并不是两两之间都存在关系，应尽可能地将非零元素放到主对角线附近，以便进行矩阵计算，展示网络结构所隐含的规律，增强可读性。常用的稀疏矩阵排序算法有高维嵌入方法和最近邻旅行商问题估计方法。高维嵌入方法通过计算矩阵最大特征值，然后运用降维方法计算比原矩阵维度小很多的矩阵，得出重排结果。

相邻矩阵可对节点间的直接关系进行表达，而对于间接关系，其关系传递性表达较弱。因此相邻矩阵的关系可视化变得尤为重要，需要通过最短路径算法得到间接关系的传递过程节点，并用折线图表示出来，若存在交叉则通过曲线或带框直线避免视觉上的错乱。

混合方法。采用节点链接与相邻矩阵相结合的方法能够兼顾两者的优点，在一定程度上取长补短，优于单一布局方法，多数情况下的节点数据规模是适中的，兼顾稀疏数据和稠密数据，单独的任何一种布局都不能很好地表达数据内容，此时采用混合方法将是一种较好的选择。

总之，任何一种方法都不可能具有普适性，环境条件是前提，构建布局应在一定的场景下完成。如何选择布局设计方法需要具体问题具体分析，选择恰当的方法以解决问题。

网络数据的可视化主要包括以下类型。

地理图形可视化。地理图形是常见的图形样式，通过将数据以及数据分类表示成地图的形式，以便更容易理解数据的集合关系。网络图形用地图形式表达也称为“GMap”，是一种用平面表示集合的方式，平面划分表示数据聚类的可视化策略，地图上国家之间的关系隐含地表示数据以及数据之间的临近度关系。GMap制作包含4个步骤：将数据放置于二维空间、用聚类分析的方法对节点类别进行划分、构造区域图、对区域染色。

在实际应用中，关系网络中的节点可能是多维度的，需要首先完成数据降维操作，常用的有LLE、IsoMap、谱聚类等。GMap中的聚类标准决定了可视化结果的导向性。但GMap不太适合处理本身带地理信息的数据，因为它会混淆实际地理位置信息与抽象的位置信息。后续可依据权重变化（势力范围的扩大与缩小），采用动态方法展示GMap的变化情况。

动态网络数据可视化。动态网络数据是一种流数据，其“动态”体现在图节点、关系以及关系权重的变化上。由于动态网络数据可视化的数据不断更新，这给可视化领域带来了一定的挑战。系统观察者对某一固定的数据状态会产生视觉感知，并且大脑中会对认知结果进行短时间暂留，此时若重新布局网络动态数据帧（刷新可视化布局），将影响视觉连续性，这不仅没有利用用户前一帧的记忆，同时会与当前布局产生冲突，降低了读图效率。连续性和一致性是对网络数据可视化的最基本要求。

随着网络数据规模的不断扩大，人们逐渐发现，在使用传统方法绘制的结果中，节点和边经常出现互相遮挡，形成极高的视觉混杂度，甚至会阻碍我们对真实数据的认知，因此在可视化领域，逐渐出现大量的成果以解决这些问题，这些成果的基本思路是在尽量不减少原图信息量的前提下对图进行层次化简化，尤其是简化网络拓扑结构。

网络拓扑结构组成包括两个部分：节点和边。因此，简化拓扑结构主要从节点和边两个方面展开。对于N个节点的无向图，最多有N（N-1）/2条边，对于边数多的网络拓扑，适合于通过代价最小的最小生成树的方式进行简化。这是从边的角度进行的简化。除了对边的提取外，另一种方法是从节点的角度进行简化，将强连通的节点进行聚类，从而聚类算法便成为关键。

（3）可视化系统交互

除了视觉呈现外，系统的另一个核心要素就是用户交互。交互可以比喻为用户与系统之间的对话和互动。通过互动，可在有限的空间载入和展示更加丰富的数据，更有利于用户对数据的理解和分析。系统的视觉呈现和交互两部分是相辅相成、密不可分的。

下面简单介绍常见的交互方式及各自的特点。

观察点的交互。常见的观察点交互有平移、缩放和旋转等操作，有很多技术可以实现这种交互。例如，Link Sliding技术的实现方式是寻找较长边的两个端点，即固定一个点对鼠标动作进行跟踪，沿着边滑动到达另一个点。又如，Bring&Go交互操作的目的是帮助用户将焦点从一个节点转移到邻居节点。当用户点击某个节点时，与之相邻的其他节点按照距离远近和实际方位被放置到若干同心圆周上。

图形元素的交互。图形元素交互是指对于一个可视化元素的交互，相比于观察点的交互，这是一种更粗粒度的交互，常见的有节点的展开与收缩、高亮、删除、移动等操作，在恰当的场景下使用将会使布局更美观，更吸引交互用户的注意力，有利于形成更好的用户体验。

图形结构的交互。在图形元素交互的基础上，图形结构的交互从更粗粒度上进行变换，也就是图形变换的内容更多了，可以在图的搜索过程中对用户关注的焦点进行有针对性的放大和缩小，从节点和边上的综合变化来揭示局部区域内节点的链接关系。

当采用可视化系统交互时，需要考虑三方面目的：

一是用于增强的交互。如果添加交互时的能力可以帮助加速或者自动化用户通常手工执行的任务，那么采用交互绝对是正确的选择。

二是用于探索的交互。如果一个数据集的维度的数量和自身的大小或者多样性增长到充分大，或许最好让用户自己探索这些关系和结果，而不是试着猜出哪组静态图会最有用。

三是用于启发的交互。如果遇到比较困难的场景应用，或许应采用一个可良好执行的交互式可视化系统或应用，为所要呈现的态势数据提供一个用户友好的界面以进行直接或间接的导航，从而对问题的解决提供帮助。

（4）安全仪表盘

借鉴汽车或者其他设备的仪表盘的思路，在领域仪表盘也是一种很常用的态势展示方式，如我们生活中常见的或者是手机的整体安全体检得分，就是一个典型的仪表盘。所谓仪表盘，就是一种对重要信息的视觉展示。这些信息是为了达成一个或多个目标而被统一组织在一个屏幕内，以便一眼就能监控到。

为了更好地展示效果，仪表盘应该让人看起来赏心悦目，因此在设计仪表盘时可以引入适当的艺术成分，同时，仪表盘的设计也需要符合一些限制条件。实际上，限制条件不但不会妨碍设计，反倒可以为发挥创造力提供适宜的情景，如下所示。

限制图表的类型。当将信息编码成一个图表时，最好使用那些对用户来说最容易解码的图表，如环形图、柱状图、扇子图、线图、热点图等。但是在单个仪表盘中不要使用太多不同类型的图表，应当选择适合体现所要表达信息的图表。

考虑空间的限制。体现网络安全态势的空间往往只有一个屏幕大，在这个有限空间里，必须考虑所选择元素类型是否合适，将元素“塞”进单个屏幕并使用空白来组合或分离元素的做法并不值得推荐。如果仪表盘上的元素密度太高以至于没有空白空间，可以考虑放置一些淡色的线条和边框来实现相同的组合和分离效果。

注意颜色的一致性。相同的颜色能将元素进行整合，即使它们处在屏幕的不同位置。对元素选择固定的颜色，并将其贯穿整个仪表盘，即保持相同元素具有颜色的一致性是很重要的。如果仪表盘颜色缺乏一致性，容易引起用户的误解和错误的关联。

采用合适的字体。对于整个仪表盘，最好采用一种字体。字体的一致性使用户的观感更佳，即使是采用一些更现代、更高级的字体，也要确保它能一致地伸缩，要能支持可变宽度的文本，并且有固定宽度的数字。对那些需要强调的内容可以使用与字体相协调的加粗、协调或颜色等方法。

在态势中，仪表盘的设计和定量定度需要重点回答两个问题：

●过去发生了什么？

●会造什么样的影响？

网络安全 态势仪表盘应当提供给用户最有用的信息，对最为关注的方面进行呈现，同时根据情况的变化而不断跟进调整。一个安全仪表盘的开发过程中的标准步骤如下：

●利益相关方或者用户需求的分析和判定。

●理解需求并确认可以获得真实的数据来支持仪表盘和仪表盘元素的设计。

●为仪表盘绘制一套粗略的概念图，再用线框图或者模型来进一步描绘其中最佳的图。

●选择一个最终模型并找到最有效过程来度量，然后编码以满足开发的频率要求。

4、网络安全态势可视化的前景

通过前面对态势可视化的分析，网络安全态势可视化未来的研究前景可以聚焦于网络拓扑结构不同规模情况下的可视化展现。一种可视化方法可能在处理上百量级的数据节点时有比较好的效果，但在面对上千、上万甚至是百万量级节点时未必有好的展示效果，性能是一个重要的因素。

除此以外，用户交互上的创新也是新的要求。随着用户认知水平的提高，针对具有不同文化和背景的人具有不同的视觉感知能力，更是可视化能否有效传递信息的一个重要因素，这也是有待开发的领域。同时，网络安全态势可视化效果评估标准也是一个挑战，评估标准不同所对应的交互级别也不同，用户对布局的印象与所对应的用户的感知效果是实时变化的。

设计的好坏取决于对用户需求的满足，具有很强的针对性，是多种因素的综合，不仅包含数据特性、用户认知水平、用户的可视化需求，而且具有开放性，是一个变化的容器，设计人员应保持发散的思维和具体问题具体分析的态度。正如《人月神话》中所说的，“可视化没有‘银弹’”。

• 上一篇：化繁为简,安全可见:一招搞定网络资产安全管理
• 下一篇：网络安全监测与预警，刻不容缓