第七届网络安全可视化（International Symposium on Visualization for Cyber Security ，后文简称VizSec会议）最近在加拿大的渥太华市举行。这是一个专注于安全领域可视化技术的小型国际会议，第一届只是大型安全会议RAID（Recent Advance in Intrusion Detection）的一个小型讨论会（Workshop），随着这几年的发展，已经成为和RAID一起举办的国际会议，并吸引了国际一流安全研究人员的投稿和关注。

　　传统的VizSec主题集中在如何可视化入侵检测系统的结果和对网络报文的属性进行可视化，以便通过人工发现警报，目前的VizSec的主题已扩展到更一般的网络事件，数据源也从警报和报文扩展到流和流摘要这样的网络数据。本届会议的文章主题更囊括了入侵检测系统、流、拓扑、代码安全、密钥安全等多个方面，我们挑选出这次会议的两篇文章，为大家简单展示安全可视化在国际的发展现状。

　　安全的地理可视化

　　通过地理视图标注安全事件可以帮助用户从全局把握恶意代码的传播痕迹和分布特点，但传统的通过不同颜色的点来标注不同地区地理安全状态的方法有很大的缺陷，本届会议上，来自MIT的Tamara Yu等人发表的“EMBER: A Global Perspective on Extreme Malicious Behavio”一文，从另一个角度来展示地理安全视图。Yu等人指出传统的标注方法没有考虑到拥有大量人口和网络的大城市的安全事件的绝对数量自然要比发展中城市大，如果要对城市的安全水平有更好的了解，必须根据城市的计算机人口对安全事件进行正则化处理。

　　作者提出了EMBER（过度恶意行为观测系统），该系统可以对城市的恶意行为活动等级进行观测和分析。EMBER系统使用了名为标准事件率（SIR）的测度来评估不同城市的安全等级。直观来看，该测度就是每个城市单位数量主机所呈现的恶意行为统计。EMBER通过以下的算法来进行SIR指数的计算：