1. 首先将IP地址映射到所属的地址城市；
　　2. 根据第三方资源获得该城市的人口信息；
　　3. 根据从DShield获得的攻击日志统计每个城市的攻击事件（以天为单位）；
　　4. 根据IP地址和人口信息对攻击事件数量进行正则化处理。

　　根据SIR指数的计算，同样规模的大城市，东欧城市的SIR指数要远高于地处东亚的韩国和日本城市。这种SIR指数的差异有多种原因，一方面说明东亚国家在网络安全策略配置和用户安全意识上要远高于东欧国家，另一方面恶意代码传播的模型也会对SIR指数的分布有影响。Yu等人认为恶意代码倾向于本地传播的特性会加大SIR指数的不均匀性，导致了现实中城市的SIR指数呈现长尾分布，少数安全环境较差的城市会获得非常高的SIR指数，而大多数城市的SIR指数则在相当长的范围内分散。

　　安全事件发现

　　安全事件发现是安全事件可视化的传统研究重点，随着流量规模的不断扩大，利用可视化计划将流量完全展示出来让管理员发现安全事件也变得越来越难。来自IBM的苏黎世安全实验室的Eduard Glatz发表的“Visualizing Host Traffic through Graphs”展示了如何在高速流量下通过可视化技术发现可疑流量。

　　作者提出了一种名为主机应用性质图(HAP图)的方法来描述主机的连接，HAP图采用Socket机制来刻画主机连接信息，通过本地地址、协议号、本地端口、远程端口和远程地址的顺序将主机连接信息逐层连接成图。通过HAP图，作者首先对主机的性质进行描述，将主机划分为不同种类的服务器、客户端和P2P节点。根据主机的性质对连接中合法的流量进行剔除，那么剩下的就是可疑流量的候选。对于剩下的流量，作者举例说明如何再从其中寻找扫描、DDoS等攻击模式。

（文章来源：《中国教育网络》杂志2010年11月刊）