最近，A 國 B 區(qū)發(fā)生了一起綁架案，為了破案，名偵探宅宅苦思冥想，把被綁架者、他的家庭、朋友等各類社交關(guān)系做成圖片貼在在白板上，差不多就是這樣吧：

然后，激動人心的 BGM 響起，宅宅拉開窗簾，對著朝陽深吸了一口氣：媽蛋，哪部電視劇又在騙人？這些線索圖我越看越混亂，現(xiàn)在腦子一團(tuán)漿糊。

你說，騙人的是不是你：

▲美劇《丑聞》里公關(guān)小組瘋狂地貼線索

又或者是你：

▲綜藝節(jié)目《潛行追蹤》尋找“被抓捕人”的線索分析現(xiàn)場

警察可能要罵人：我們真的還蠻電子化的呢。

比如：

這張圖你一定很熟悉，看著很像北京的某高速線路。

事實上，上述閃著熒光的小點拼成的路線是偽基站的移動路線圖。

這里說的偽基站并不是下面這種散熱雙肩背包：

也許是生意越做越大，背著這種偽基站雙肩背包的小哥已經(jīng)坐上了小汽車，他的車上就是一個大型移動偽基站，散播著全世界都有他們信號的夢想。

相關(guān)部門監(jiān)測到這種偽基站信號數(shù)據(jù)后，用一些軟件對數(shù)據(jù)進(jìn)行了處理，然后，就自動形成了這條路線圖。

根據(jù)這張路線圖，警察蜀黍大致可以知道應(yīng)該在哪里部署警力，在哪個高速路口攔下這一輛載著偽基站的車輛成功率最高。

在這種現(xiàn)代化工具的輔助下，2016年，警察蜀黍成功地端掉了窩在北京市昌平區(qū)的一些電信詐騙窩點。

利用計算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，這種技術(shù)就稱為可視化技術(shù)。

你看得一臉懵X，它卻可能是科學(xué)家的“量尺”

你可以這么理解，在一片浩渺的數(shù)據(jù)里，人類掙扎其中，就快被大量數(shù)據(jù)淹沒，突然，所有數(shù)據(jù)按照一定的程序和規(guī)律自動“勾搭”，最后按照一定模型在你眼前形成了色彩斑斕卻有跡可循的圖像，讓雙眼和大腦從混亂中抽離出來，一切似乎清晰可見。

比如，這是一種最常見的可視化技術(shù)應(yīng)用的場景：熱力圖。在這張熱力圖上，也許你知道這個節(jié)假日哪里人最多，哪里氣溫更高，從而作出一個出行決策。

你也可能看到一個新浪微博熱搜詞熱力圖，隨時把握潮流動態(tài)（最重要的是，像宅宅這種媒體狗知道什么時候要跟新聞了）。

更多時候，你也許看不懂可視化技術(shù)像魔術(shù)一樣把數(shù)據(jù)抽絲剝繭做成的圖像。

你不信？我們來試試：

▲上述圖片摘選自北大可視化實驗室官網(wǎng)

但對專業(yè)人士而言，這些圖片在他們眼里意味著許多。

在北京大學(xué)可視化實驗室教授袁曉如看來，它可能是一張模擬風(fēng)場的可視化呈現(xiàn)結(jié)果，通過中國的數(shù)據(jù)模擬接下來風(fēng)的變化，最終看看霧霾要吹到哪里去。

如果不是霧霾，而是某些可能和利益有關(guān)的預(yù)測，公說公有理，婆說婆有理怎么辦？

比如，面臨全球氣候變化這種大事，每個國家都有一批科學(xué)家來算，科學(xué)家提不同的模型。

即使是一樣的數(shù)據(jù)，也可能做出不同的菜，各國都會偏向自己一點，最后算出來的結(jié)果不一。這時，我們需要可視化方法進(jìn)行比較，這種比較并非屬于A和B較高低。假如有 8 個不同的風(fēng)場模擬圖，每個模擬線路有不同顏色，把 8 個模型的輸出結(jié)果結(jié)合對比，就可以發(fā)現(xiàn) 8個模型在全球預(yù)測的整體相似性。

對于科學(xué)家而言，這是一個重要參考：這種可視化分析結(jié)果提供了一把尺子，讓你對比不同方法導(dǎo)致的不同的結(jié)果。

再說一個比較接地氣的案例。

如果一個跨國公司的員工被綁架，警察要破案，并不需要抓一堆人回來問口供，用人力來分析數(shù)據(jù)看上去可行，事實上不可能在很短時間內(nèi)分析出結(jié)果。

如果面對幾千條文本，用交互式可視化進(jìn)行分析，比如相同的顏色代表同一個單位，在建立相關(guān)模型后，可以發(fā)現(xiàn)一部分是該單位的員工，這些員工之前和該被綁架的員工有經(jīng)歷和行為的交集：他們是否都參加了某次聚會，他們是否認(rèn)識同一個人，他們是否也在另一家公司一同工作過……比人工分析耗時更短，分析數(shù)據(jù)一目了然。

可視化技術(shù)并不是一個新東西，它早在1987年開始被科學(xué)界推動形成學(xué)科，后運用在計算機(jī)科學(xué)領(lǐng)域中。袁曉如也在2001年就開始關(guān)注可視化技術(shù)領(lǐng)域。

兩年前，雷鋒網(wǎng)參加一個虛擬現(xiàn)實與可視化計算大會時，就曾領(lǐng)略過可視化技術(shù)：在奧地利某小城的畫面中，根據(jù)此前的洪水入侵城鎮(zhèn)數(shù)據(jù)、城鎮(zhèn)地理、街道及高度數(shù)據(jù)與相關(guān)模型，可以模擬預(yù)測，在哪一條街道設(shè)置防洪板，可以將洪水導(dǎo)流到哪一條街道，與此同時，又將對哪一條街道產(chǎn)生影響。

現(xiàn)在，除了之前提到的在地圖等領(lǐng)域的應(yīng)用，我們還可以看到一些可視化技術(shù)的精彩案例：

1.美國兩百年間移民的變化。

2.2016年溫布爾網(wǎng)球錦標(biāo)賽的贏家和輸家。

3.暴雨、暴曬等天氣變化

和網(wǎng)絡(luò)安全有什么關(guān)系？

隨著數(shù)據(jù)從“大”走向了“大數(shù)據(jù)”，依托于數(shù)據(jù)開花結(jié)果的可視化技術(shù)未來有更多用武之地。在網(wǎng)絡(luò)安全領(lǐng)域，已經(jīng)有落地的成果——可視化技術(shù)絕對是各種安全研究人員的好幫手。

1.謬斯女神

360天眼團(tuán)隊技術(shù)負(fù)責(zé)人張卓告訴雷鋒網(wǎng)，比如，在追蹤各種復(fù)雜的 APT 攻擊時，之前需要一個一個分析樣本，手動統(tǒng)計區(qū)別，然后找出交集，再一步步追蹤溯源，找到一次 APT 攻擊的最終潛在源頭。分析完了之后，再做出一張表，拿過去和同事討論，沒有直接分析樣本的同事有時可能一臉懵X。 

結(jié)果，最終呈現(xiàn)出的圖片表格或得出的結(jié)論還是靠人力。

360天眼團(tuán)隊可視化技術(shù)專家黃鑫介紹：“追蹤海蓮花時，通過查詢域名DNS解析記錄關(guān)聯(lián)出相關(guān)的IP地址，然后對這些IP地址進(jìn)行樣本查詢關(guān)聯(lián)出一段時間內(nèi)的樣本記錄，這些樣本記錄再結(jié)合云端大數(shù)據(jù)和威脅情報數(shù)據(jù)進(jìn)而分析出整個海蓮花的攻擊過程，鏈路以及涉及的各種資源?！?/p>

此時，追擊APT組織的網(wǎng)絡(luò)研究員再也不是拿著數(shù)據(jù)列表開始一項“雞同鴨講”的表演，而是真正“先有分析圖”，一步一步讓思路順其自然地流淌，從而啟發(fā)他們找到最關(guān)鍵的線索。

“因為是用程序和算法自動生成的圖，同時也支持分析人員進(jìn)行自定義的探索交互，整個分析思路、數(shù)據(jù)都保存在當(dāng)前畫布，便于后續(xù)的討論和繼續(xù)分析，極大提高了分析人員的分析效率和效果?！秉S鑫說。

簡而言之，可視化技術(shù)運用在其中成了安全研究員的謬斯女神，大部分時候還把數(shù)據(jù)整理、關(guān)聯(lián)等“打雜”的活攬下來。

這對大部分哭著喊著很缺高級安全研究員的安全公司而言，應(yīng)該十分興奮：人力都用在更高智力層次的分析上。

2.態(tài)勢感知：偽基站、勒索病毒似乎“真的看得見”

如同開頭所舉的案例一樣，在打擊偽基站與電信詐騙上，通過搜集的數(shù)據(jù)，你可以實時監(jiān)測到某天某一時刻某一地區(qū)的偽基站活躍情況、詐騙短信內(nèi)容、發(fā)送區(qū)域、數(shù)量等，對于警察而言，作用不言而喻。

▲某一時間北京地區(qū)的詐騙短信發(fā)送密集區(qū)域

且僅從上述兩位安全研究員基于自身的介紹，重點網(wǎng)站監(jiān)控、DDoS攻擊監(jiān)控、蠕蟲木馬監(jiān)控、網(wǎng)站事件運營、高級威脅云端監(jiān)測、Petya 勒索病毒等都能處于“真的看得見”的級別。

所謂真的看得見，是在“大數(shù)據(jù)”的基礎(chǔ)上，你在可視化界面中看到了一張中國地圖，隨手點開一個省份，一個城市，一條街道，一個單位，都能看到被攻擊單位的具體位置、名稱、被攻擊時間……

在本地化企業(yè)資產(chǎn)盤點和威脅感知中，只要該地相關(guān)負(fù)責(zé)人同意，接入數(shù)據(jù)后，整個區(qū)域所在企業(yè)的IT資產(chǎn)信息、網(wǎng)絡(luò)安全狀況、負(fù)責(zé)人聯(lián)系方式……一應(yīng)俱全，在緊急安全事件發(fā)生時，系統(tǒng)可以自動通知。

按照黃鑫的說法，今年下半年他們想把“應(yīng)急處理”推廣開，不僅局限在本地化中，當(dāng)然，這就是另外可以再說的故事了。

雷鋒網(wǎng)了解到，其實很多威脅感知平臺都應(yīng)用了可視化技術(shù)，而決定可視化精度和實時性的依然還是那個老問題——數(shù)據(jù)、流量。

如果說，上述是決定可視化技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的這一落地應(yīng)用效果的關(guān)鍵因素之一，袁曉如，這一身處科研界的可視化技術(shù)資深科研人還有另外兩個煩惱：第一，可視化技術(shù)的工程化、商業(yè)化應(yīng)用——這幾年，他和360天眼團(tuán)隊在安全可視化上進(jìn)行了合作摸索，但可視化技術(shù)要想在安全領(lǐng)域的商業(yè)應(yīng)用突飛猛進(jìn)，恐怕還要不斷探索；

第二，可視化人才缺乏，為此，苦惱自己實驗室人才缺乏的北大教授不得不走出實驗室，辦了四屆中國可視化與可視分析大會 (chinavis) ，目的還是選拔人才，促進(jìn)整個鏈條的發(fā)展。

黃鑫對此感同身受，搞了好幾年，天眼的可視化團(tuán)隊依然只有幾個人，最關(guān)鍵的是，既懂安全、又懂可視化技術(shù)的復(fù)合型人才實在太少。除了安全，可視化技術(shù)與其它學(xué)科能通曉的既專又復(fù)合的人才也不多。

雷鋒網(wǎng)讓黃鑫列舉他今年看中的人才，他數(shù)了數(shù)，一聲嘆息。他最看中的那個可視化和安全都十分精通的稀缺人才，目前正在袁曉如的實驗室讀博士，暫時想挖過來是不可能了。

▲表示我已經(jīng)看開了（其實求賢若渴）的黃鑫（左）、張卓（右）

注：本文所列舉的天眼可視化技術(shù)應(yīng)用不代表目前可視化技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的所有應(yīng)用，僅為案例之一。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。