可视化技术为安全态势感知、大规模网络安全预警提供了十分现实的解决方法。人作为信息保障的一个重要环节,可视化技术提供了让人有效参与安全态势分析并做出正确决策的有效途经。本文重点研究了基于业务影响度进行安全态势评估的方法,并提出多种3D可视化模型进行相关数据的分析和展现,从不同的角度加强人对安全态势的感知能力。最后给出构建安全感知系统所经常采用的体系结构和数据流程。

现威胁的地理分布和网络分布，强化观测者相关的感知能力。

图7：从安全告警到业务目标的跟踪 

一种更复杂的数据分析可视化场景可以帮助评估人员，跟踪导致安全告警的威胁是如何最终影响业务运行的，如图6，由4层立体的饼图构成主体显示平面，每层的饼图按分类进行数据统计并分割。最底层的有安全告警组成，不同分类的告警被放置在响应的区块内。往上的第二层面表示较微观的资产内容，如：文件、应用模块、主机、数据库等。再往上的第三层面表示中观的资产内容，如：子系统、应用服务等，它们由微观的内容构成或者支撑。有一个典型例子可以说明，如果PowerPoint和Word程序放置在第二层，则Office应用软件应该放置在第三层。图中最高层面表示宏观的业务目标，它依赖于中观层面的资产内容。 

5. 基于可视化技术的态势感知系统的架构 

态势感知系统在安全体系的建设中一般处于安全管理系统的上层，用于对安全管理系统产生数据进行分析，并辅助决策系统完成策略的调整。 

从数据流与功能角度，安全管理系统是安全态势系统的重要的数据提供者，特别是实时的数据。安全管理系统需要对着重解决的是数据的标准化和可靠性，消除误报和漏报，而态势系统着重解决的是人的感知。可见两者区别在于态势系统把“人”也作为系统构成的一部分，如果没有一个常态的“观察者”态势系统也就失去了其根本的价值；而安管系统把“安全设备”作为其有机组成部分，强调的是无人干预的自动数据处理能力。而且态势系统信息源不只是安全管理系统，还有人的知识。 

从图8可以看出安全态势感知有两个环节，其一着重实时分析、其二着重历史分析，如果用可视化的方法进行态势分析，在两个环节上所使用的算法也应该是不同的。本文前面介绍的可视化场景主要用于历史分析，数据剖面的时间窗比较长，基于历史统计的算法有时需要几天甚至几个月的数据量才能有比较理想的输出。