最近，A 國(guó) B 區(qū)發(fā)生了一起綁架案，為了破案，名偵探宅宅苦思冥想，把被綁架者、他的家庭、朋友等各類社交關(guān)系做成圖片貼在在白板上，差不多就是這樣吧：

然后，激動(dòng)人心的 BGM 響起，宅宅拉開窗簾，對(duì)著朝陽(yáng)深吸了一口氣：媽蛋，哪部電視劇又在騙人？這些線索圖我越看越混亂，現(xiàn)在腦子一團(tuán)漿糊。

你說(shuō)，騙人的是不是你：

▲美劇《丑聞》里公關(guān)小組瘋狂地貼線索

又或者是你：

▲綜藝節(jié)目《潛行追蹤》尋找“被抓捕人”的線索分析現(xiàn)場(chǎng)

警察可能要罵人：我們真的還蠻電子化的呢。

比如：

這張圖你一定很熟悉，看著很像北京的某高速線路。

事實(shí)上，上述閃著熒光的小點(diǎn)拼成的路線是偽基站的移動(dòng)路線圖。

這里說(shuō)的偽基站并不是下面這種散熱雙肩背包：

也許是生意越做越大，背著這種偽基站雙肩背包的小哥已經(jīng)坐上了小汽車，他的車上就是一個(gè)大型移動(dòng)偽基站，散播著全世界都有他們信號(hào)的夢(mèng)想。

相關(guān)部門監(jiān)測(cè)到這種偽基站信號(hào)數(shù)據(jù)后，用一些軟件對(duì)數(shù)據(jù)進(jìn)行了處理，然后，就自動(dòng)形成了這條路線圖。

根據(jù)這張路線圖，警察蜀黍大致可以知道應(yīng)該在哪里部署警力，在哪個(gè)高速路口攔下這一輛載著偽基站的車輛成功率最高。

在這種現(xiàn)代化工具的輔助下，2016年，警察蜀黍成功地端掉了窩在北京市昌平區(qū)的一些電信詐騙窩點(diǎn)。

利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來(lái)，這種技術(shù)就稱為可視化技術(shù)。

你看得一臉懵X，它卻可能是科學(xué)家的“量尺”

你可以這么理解，在一片浩渺的數(shù)據(jù)里，人類掙扎其中，就快被大量數(shù)據(jù)淹沒(méi)，突然，所有數(shù)據(jù)按照一定的程序和規(guī)律自動(dòng)“勾搭”，最后按照一定模型在你眼前形成了色彩斑斕卻有跡可循的圖像，讓雙眼和大腦從混亂中抽離出來(lái)，一切似乎清晰可見(jiàn)。

比如，這是一種最常見(jiàn)的可視化技術(shù)應(yīng)用的場(chǎng)景：熱力圖。在這張熱力圖上，也許你知道這個(gè)節(jié)假日哪里人最多，哪里氣溫更高，從而作出一個(gè)出行決策。

你也可能看到一個(gè)新浪微博熱搜詞熱力圖，隨時(shí)把握潮流動(dòng)態(tài)（最重要的是，像宅宅這種媒體狗知道什么時(shí)候要跟新聞了）。

更多時(shí)候，你也許看不懂可視化技術(shù)像魔術(shù)一樣把數(shù)據(jù)抽絲剝繭做成的圖像。

你不信？我們來(lái)試試：

▲上述圖片摘選自北大可視化實(shí)驗(yàn)室官網(wǎng)

但對(duì)專業(yè)人士而言，這些圖片在他們眼里意味著許多。

在北京大學(xué)可視化實(shí)驗(yàn)室教授袁曉如看來(lái)，它可能是一張模擬風(fēng)場(chǎng)的可視化呈現(xiàn)結(jié)果，通過(guò)中國(guó)的數(shù)據(jù)模擬接下來(lái)風(fēng)的變化，最終看看霧霾要吹到哪里去。

如果不是霧霾，而是某些可能和利益有關(guān)的預(yù)測(cè)，公說(shuō)公有理，婆說(shuō)婆有理怎么辦？

比如，面臨全球氣候變化這種大事，每個(gè)國(guó)家都有一批科學(xué)家來(lái)算，科學(xué)家提不同的模型。

即使是一樣的數(shù)據(jù)，也可能做出不同的菜，各國(guó)都會(huì)偏向自己一點(diǎn)，最后算出來(lái)的結(jié)果不一。這時(shí)，我們需要可視化方法進(jìn)行比較，這種比較并非屬于A和B較高低。假如有 8 個(gè)不同的風(fēng)場(chǎng)模擬圖，每個(gè)模擬線路有不同顏色，把 8 個(gè)模型的輸出結(jié)果結(jié)合對(duì)比，就可以發(fā)現(xiàn) 8個(gè)模型在全球預(yù)測(cè)的整體相似性。

對(duì)于科學(xué)家而言，這是一個(gè)重要參考：這種可視化分析結(jié)果提供了一把尺子，讓你對(duì)比不同方法導(dǎo)致的不同的結(jié)果。

再說(shuō)一個(gè)比較接地氣的案例。

如果一個(gè)跨國(guó)公司的員工被綁架，警察要破案，并不需要抓一堆人回來(lái)問(wèn)口供，用人力來(lái)分析數(shù)據(jù)看上去可行，事實(shí)上不可能在很短時(shí)間內(nèi)分析出結(jié)果。

如果面對(duì)幾千條文本，用交互式可視化進(jìn)行分析，比如相同的顏色代表同一個(gè)單位，在建立相關(guān)模型后，可以發(fā)現(xiàn)一部分是該單位的員工，這些員工之前和該被綁架的員工有經(jīng)歷和行為的交集：他們是否都參加了某次聚會(huì)，他們是否認(rèn)識(shí)同一個(gè)人，他們是否也在另一家公司一同工作過(guò)……比人工分析耗時(shí)更短，分析數(shù)據(jù)一目了然。

可視化技術(shù)并不是一個(gè)新東西，它早在1987年開始被科學(xué)界推動(dòng)形成學(xué)科，后運(yùn)用在計(jì)算機(jī)科學(xué)領(lǐng)域中。袁曉如也在2001年就開始關(guān)注可視化技術(shù)領(lǐng)域。

兩年前，雷鋒網(wǎng)參加一個(gè)虛擬現(xiàn)實(shí)與可視化計(jì)算大會(huì)時(shí)，就曾領(lǐng)略過(guò)可視化技術(shù)：在奧地利某小城的畫面中，根據(jù)此前的洪水入侵城鎮(zhèn)數(shù)據(jù)、城鎮(zhèn)地理、街道及高度數(shù)據(jù)與相關(guān)模型，可以模擬預(yù)測(cè)，在哪一條街道設(shè)置防洪板，可以將洪水導(dǎo)流到哪一條街道，與此同時(shí)，又將對(duì)哪一條街道產(chǎn)生影響。

現(xiàn)在，除了之前提到的在地圖等領(lǐng)域的應(yīng)用，我們還可以看到一些可視化技術(shù)的精彩案例：

1.美國(guó)兩百年間移民的變化。

2.2016年溫布爾網(wǎng)球錦標(biāo)賽的贏家和輸家。

3.暴雨、暴曬等天氣變化

和網(wǎng)絡(luò)安全有什么關(guān)系？

隨著數(shù)據(jù)從“大”走向了“大數(shù)據(jù)”，依托于數(shù)據(jù)開花結(jié)果的可視化技術(shù)未來(lái)有更多用武之地。在網(wǎng)絡(luò)安全領(lǐng)域，已經(jīng)有落地的成果——可視化技術(shù)絕對(duì)是各種安全研究人員的好幫手。

1.謬斯女神

360天眼團(tuán)隊(duì)技術(shù)負(fù)責(zé)人張卓告訴雷鋒網(wǎng)，比如，在追蹤各種復(fù)雜的 APT 攻擊時(shí)，之前需要一個(gè)一個(gè)分析樣本，手動(dòng)統(tǒng)計(jì)區(qū)別，然后找出交集，再一步步追蹤溯源，找到一次 APT 攻擊的最終潛在源頭。分析完了之后，再做出一張表，拿過(guò)去和同事討論，沒(méi)有直接分析樣本的同事有時(shí)可能一臉懵X。 

結(jié)果，最終呈現(xiàn)出的圖片表格或得出的結(jié)論還是靠人力。

360天眼團(tuán)隊(duì)可視化技術(shù)專家黃鑫介紹：“追蹤海蓮花時(shí)，通過(guò)查詢域名DNS解析記錄關(guān)聯(lián)出相關(guān)的IP地址，然后對(duì)這些IP地址進(jìn)行樣本查詢關(guān)聯(lián)出一段時(shí)間內(nèi)的樣本記錄，這些樣本記錄再結(jié)合云端大數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)而分析出整個(gè)海蓮花的攻擊過(guò)程，鏈路以及涉及的各種資源?！?/p>

此時(shí)，追擊APT組織的網(wǎng)絡(luò)研究員再也不是拿著數(shù)據(jù)列表開始一項(xiàng)“雞同鴨講”的表演，而是真正“先有分析圖”，一步一步讓思路順其自然地流淌，從而啟發(fā)他們找到最關(guān)鍵的線索。

“因?yàn)槭怯贸绦蚝退惴ㄗ詣?dòng)生成的圖，同時(shí)也支持分析人員進(jìn)行自定義的探索交互，整個(gè)分析思路、數(shù)據(jù)都保存在當(dāng)前畫布，便于后續(xù)的討論和繼續(xù)分析，極大提高了分析人員的分析效率和效果?！秉S鑫說(shuō)。

簡(jiǎn)而言之，可視化技術(shù)運(yùn)用在其中成了安全研究員的謬斯女神，大部分時(shí)候還把數(shù)據(jù)整理、關(guān)聯(lián)等“打雜”的活攬下來(lái)。

這對(duì)大部分哭著喊著很缺高級(jí)安全研究員的安全公司而言，應(yīng)該十分興奮：人力都用在更高智力層次的分析上。

2.態(tài)勢(shì)感知：偽基站、勒索病毒似乎“真的看得見(jiàn)”

如同開頭所舉的案例一樣，在打擊偽基站與電信詐騙上，通過(guò)搜集的數(shù)據(jù)，你可以實(shí)時(shí)監(jiān)測(cè)到某天某一時(shí)刻某一地區(qū)的偽基站活躍情況、詐騙短信內(nèi)容、發(fā)送區(qū)域、數(shù)量等，對(duì)于警察而言，作用不言而喻。

▲某一時(shí)間北京地區(qū)的詐騙短信發(fā)送密集區(qū)域

且僅從上述兩位安全研究員基于自身的介紹，重點(diǎn)網(wǎng)站監(jiān)控、DDoS攻擊監(jiān)控、蠕蟲木馬監(jiān)控、網(wǎng)站事件運(yùn)營(yíng)、高級(jí)威脅云端監(jiān)測(cè)、Petya 勒索病毒等都能處于“真的看得見(jiàn)”的級(jí)別。

所謂真的看得見(jiàn)，是在“大數(shù)據(jù)”的基礎(chǔ)上，你在可視化界面中看到了一張中國(guó)地圖，隨手點(diǎn)開一個(gè)省份，一個(gè)城市，一條街道，一個(gè)單位，都能看到被攻擊單位的具體位置、名稱、被攻擊時(shí)間……

在本地化企業(yè)資產(chǎn)盤點(diǎn)和威脅感知中，只要該地相關(guān)負(fù)責(zé)人同意，接入數(shù)據(jù)后，整個(gè)區(qū)域所在企業(yè)的IT資產(chǎn)信息、網(wǎng)絡(luò)安全狀況、負(fù)責(zé)人聯(lián)系方式……一應(yīng)俱全，在緊急安全事件發(fā)生時(shí)，系統(tǒng)可以自動(dòng)通知。

按照黃鑫的說(shuō)法，今年下半年他們想把“應(yīng)急處理”推廣開，不僅局限在本地化中，當(dāng)然，這就是另外可以再說(shuō)的故事了。

雷鋒網(wǎng)了解到，其實(shí)很多威脅感知平臺(tái)都應(yīng)用了可視化技術(shù)，而決定可視化精度和實(shí)時(shí)性的依然還是那個(gè)老問(wèn)題——數(shù)據(jù)、流量。

如果說(shuō)，上述是決定可視化技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的這一落地應(yīng)用效果的關(guān)鍵因素之一，袁曉如，這一身處科研界的可視化技術(shù)資深科研人還有另外兩個(gè)煩惱：第一，可視化技術(shù)的工程化、商業(yè)化應(yīng)用——這幾年，他和360天眼團(tuán)隊(duì)在安全可視化上進(jìn)行了合作摸索，但可視化技術(shù)要想在安全領(lǐng)域的商業(yè)應(yīng)用突飛猛進(jìn)，恐怕還要不斷探索；

第二，可視化人才缺乏，為此，苦惱自己實(shí)驗(yàn)室人才缺乏的北大教授不得不走出實(shí)驗(yàn)室，辦了四屆中國(guó)可視化與可視分析大會(huì) (chinavis) ，目的還是選拔人才，促進(jìn)整個(gè)鏈條的發(fā)展。

黃鑫對(duì)此感同身受，搞了好幾年，天眼的可視化團(tuán)隊(duì)依然只有幾個(gè)人，最關(guān)鍵的是，既懂安全、又懂可視化技術(shù)的復(fù)合型人才實(shí)在太少。除了安全，可視化技術(shù)與其它學(xué)科能通曉的既專又復(fù)合的人才也不多。

雷鋒網(wǎng)讓黃鑫列舉他今年看中的人才，他數(shù)了數(shù)，一聲嘆息。他最看中的那個(gè)可視化和安全都十分精通的稀缺人才，目前正在袁曉如的實(shí)驗(yàn)室讀博士，暫時(shí)想挖過(guò)來(lái)是不可能了。

▲表示我已經(jīng)看開了（其實(shí)求賢若渴）的黃鑫（左）、張卓（右）

注：本文所列舉的天眼可視化技術(shù)應(yīng)用不代表目前可視化技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的所有應(yīng)用，僅為案例之一。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。