用于高熵信息安全威胁的3D抽象对象建模的系统和方法与流程

本发明涉及用于同时显示受到监控的多个计算机及其中介网络的实时信息安全威胁态势的系统和方法。尤其，本发明涉及显示三维抽象对象，已经根据可视化面板(如显示屏)的尺寸和定向缩放该三维抽象对象，以使得可以由显示器技术的观察者从整体上同时查看三维抽象对象的整体。所显示的三维抽象对象由次半透光三维形状(semi-translucentthree-dimensionalshape)的融合构成，次半透光三维形状被布置在一起以便实现统一形状和形式的三维抽象对象。三维抽象对象中的每一次半透光三维形状可以表示受到监控以便发现信息安全威胁和/或具有受到恶意源网络攻击的高概率的商贸业部门和/或其整个计算机网络。随着与次半透光三维形状相关联的计算机网络的信息安全状态改变，与受影响的三维形状相关联的设计也改变。

背景技术：

计算机安全专业人员通常掌管非常大量的计算机网络。这些专业人员需要不断保持警惕，且实时知悉所有受到他们监控的计算机网络的信息安全威胁情景和/或安全态势。这是为了使得这些计算机安全专业人员在他们展开时可以拥有对全球信息安全威胁的全面了解。通过这样做，这些专业人员将拥有关于这些威胁可以如何影响受到他们监控的计算机和中介网络的总体情况感知。

传统上，使用基于文本的方法将受到监控的计算机网络的状态显示为表中的行或列。表中的每一行将罗列受到监控的计算机网络的名称，同时相应的列将罗列受到监控的计算机网络的当前状态。该表可以在显示屏上四处移动且可以根据用户的偏好确定大小。由于表的内容通常太大而无法一次查看全部，即由于大量的计算机网络受到监控，用户将不得不在表中滚动，以便查看该表的所有内容。这种可视化方法是极度低效，且不必要地消耗了可以更好地利用的时间和资源。

即使可以利用采用二维(2d)或三维(3d)图形的网络示意图和/或映射的可视化方法，这些可视化方法也将发现同时显示受到监控的所有计算机和网络的状态是富于挑战的。在采用这种图元显示方法时，所显示的项目在这些2d和/或3d映射的有限可视化资产上被表示成极度微小的物体，且通常要求用户手动放大和缩小，以便获得微小的显示项目的更清楚的可视化。用户手动放大和缩小的这种要求导致管理信息安全威胁的可操作响应时间的显著延时。

网络攻击的频率的增加使得对拥有解决这些信息安全威胁的快速响应能力的要求成为必要。在负责安全的专业人员可以预测和执行补救性或预防性威胁缓解策略之前，监控这些计算机网络安全态势的人员必须立即知悉受到他们监控的计算机资产和中介网络的威胁级别或安全健康状态的改变。仅在负责人员知悉所预测的威胁时，然后才可以解决信息安全威胁。如果以表格格式或二维(2d)或三维(3d)图形的网络示意图和/或映射显示图形内容的现有方法太大或太小而不能一次全部可视化，则可能完全错过且没有解决影响受到监控的计算机网络的可怕的信息安全威胁。由于滚动和手动放大/缩小表格和映射以查找影响受到监控的计算机网络的信息安全威胁是一种低效、缓慢和乏味的执行计算机资产和它们的中介网络的总体信息监控的方式，可能不经意间忽略了这样的威胁。

出于上面的原因，本领域中的技术人员不断努力想出能够同时实时显示受到监控的商贸业部门和/或其整个计算机网络的已更新的信息安全形势的系统和方法。已更新的信息安全形势将允许用户/观察者立即知悉具有高概率对受到监控的商贸业部门和/或其整个计算机网络进行网络攻击的信息安全威胁和/或恶意源。

技术实现要素：

根据本发明的各实施例提供的系统和方法，可解决上面的和其他的问题，并且可以实现本领域中的进步。根据本发明的系统和方法的各实施例的第一优点是，可以在传统大小的显示屏上同时显示受到监控的商贸业部门和/或其整个计算机网络的实时信息安全状态。

根据本发明的系统和方法的各实施例的第二优点是，相比于与其他类型的计算机网络相关联的其他三维形状的位置，表示重要计算机网络的计算机安全状态的三维形状可以位于显示屏上更显眼的位置。这样的布置确保了即使观察者可能正在留意正影响其他类型的计算机网络的网络威胁，观察者也将总是知悉这些计算机网络的当前状态。

根据本发明的系统和方法的各实施例的第三优点是，可以根据目前影响计算机网络的网络攻击或威胁的类型来群集和布置受到监控的计算机网络。这允许制定更快的响应来解决网络安全攻击的性质、类型或起源。

根据本发明的系统和方法的各实施例的第四优点是，在由于在受到监控的计算机网络上发生网络攻击或威胁而改变了受到监控的计算机网络的状态时，立即可以破坏这种攻击或威胁。在监控系统指示计算机网络的中间上游网关将产生攻击的源的因特网协议地址添加到该网关的访问控制列表并持续预先确定的时间段时，该攻击被破坏。

根据本发明的由按下列方式操作的系统的各实施例提供上面的优点。

根据本发明的第一方面，用于同时显示受到监控的计算机网络的实时信息安全状态以便获得计算机网络的态势感知的系统包括被配置成为受到监控的计算机网络中的每一种生成具有第一设计的次半透光三维形状的计算设备，其中，每一已生成的次半透光三维形状与受到监控的计算机网络相关联，并且将所有次半透光三维形状布置成三维物体。所述系统也包括可与计算设备一起操作的显示控制单元，所述显示控制单元被配置成接收显示屏尺寸和定向的参数，根据所接收的参数调整三维物体的大小，以便同时显示三维物体的整体，并且响应于计算设备从与次半透光三维形状相关联的计算机网络接收到事件通知，将三维物体中的次半透光三维形状的设计改变成第二设计。

参考第一方面，在第一方面的第一可能实现中，所述系统进一步包括可在所述计算设备中操作的控制逻辑单元，所述控制逻辑单元被配置成给所述三维物体中的每一次半透光三维形状指定权重，其中，由给每一次半透光三维形状指定的所述权重确定所述次半透光三维形状在所述三维物体中的定位。

参考第一方面，在第一方面的第二可能实现中，所述系统进一步包括可与所述计算设备一起操作的输入设备，所述输入设备被配置成从所述系统的用户接收输入，以便允许所述用户致使所述显示控制单元围绕多个轴旋转所述三维物体。

参考第一方面，在第一方面的第三可能实现中，所述系统进一步包括可与所述计算设备一起操作的输入设备，所述输入设备被配置成从所述系统的用户接收输入，以便允许所述用户致使所述显示控制单元变更所述三维物体的几何形状。

参考第一方面，在第一方面的第四可能实现中，所述系统进一步包括可与所述计算设备一起操作的输入设备，所述输入设备被配置成从所述系统的用户接收输入，以便允许所述用户创建所述三维物体的分解图，所述分解图向所述用户显示所述三维物体中的所有次半透光三维形状的设计。

参考第一方面，在第一方面的第五可能实现中，响应于所述显示控制单元将所述次半透光三维形状的设计改变成第二设计，与具有第二设计的每一次半透光三维形状相关联的每一计算机网络被配置成向与每一计算机网络相关联的中间上游网关发送命令，所述命令指示所述网关破坏来自触发将事件通知从每一计算机网络传送给所述计算设备的因特网协议地址的数据。

参考第一方面，在第一方面的第六可能实现中，所述显示控制单元还被配置成根据由所述关联计算机网络中的每一个发送的事件通知的类型将所述三维物体中的次半透光三维形状分类成群集，其中，在所述次半透光三维形状的分类期间维持所述三维物体的形式。

参考第一方面，在第一方面的第七可能实现中，所述显示控制单元通过将所述三维物体的图像投影到表面上来显示所述三维物体。

参考第一方面，在第一方面的第八可能实现中，响应于所述计算设备从与具有第二设计的所述次半透光三维形状相关联的计算机网络接收到事件通知，所述显示控制单元使得具有第二设计的次半透光三维形状围绕多个轴旋转。

参考第一方面，在第一方面的第九可能实现中，所述事件通知均包括：信息安全威胁的类型；触发将所述事件通知从所述计算机网络传送给所述计算设备的源的因特网协议地址；以及发送所述事件通知的所述计算机网络的中间上游网关的因特网协议地址。

参考第一方面，在第一方面的第十可能实现中，所述系统进一步包括所述显示控制单元被配置成响应于所述计算设备接收到向所述三维物体添加新的次半透光三维形状的请求减少所述三维物体中的所述次半透光三维形状的几何形状。

参考第一方面，在第一方面的第十一可能实现中，第二设计进一步包括围绕所述次半透光三维形状的多个轴旋转所述次半透光三维形状。

附图说明

通过根据在具体实施方式中描述且在下列附图中示出的本发明的系统和方法的特征和优点解决了上面的和其他的问题。

图1阐释根据本发明的各实施例用于为受到监控的每一计算机网络生成三维形状且用于将所生成的三维形状布置到三维物体中的系统的网络图；

图2阐释根据本发明的各实施例具有事件管理器和中间上游网关的计算机网络的网络图；

图3阐释根据本发明的各实施例从次半透光三维形状以及它们各自的计算机网络形成的三维物体；

图4阐释根据本发明的各实施例从次半透光三维形状形成的三维物体，由此两个三维形状被阐释为具有第二设计；

图5阐释根据本发明的各实施例从次半透光三维形状形成的三维物体，由此两个三维形状被阐释为围绕它们的轴旋转；

图6阐释根据本发明的各实施例从均表示受到监控的计算机网络的次半透光三维形状形成的三维物体；

图7阐释根据本发明的各实施例用于生成从次半透光三维形状形成的三维物体的过程的流程图，由此每一三维形状表示受到监控的计算机网络；以及

图8阐释表示提供根据本发明的各实施例的各实施例的处理系统的框图。

具体实施方式

本发明涉及用于同时显示大量受到监控的计算机网络的实时信息安全状态的系统和方法。尤其，本发明涉及显示已经根据显示屏的尺寸和定向确定其大小的三维抽象对象，以使得显示屏的观察者可以同时查看三维抽象对象的整体。从被布置在一起的次半透光三维形状的融合中形成所显示的三维抽象对象，以便实现统一形状和形式的三维抽象对象。三维抽象对象中的每一次半透光三维形状表示受到监控以发现信息安全威胁和/或具有经受高概率的网络安全攻击或威胁的计算机网络。随着与次半透光三维形状相关联的计算机网络的状态改变，与受影响的三维形状相关联的设计也改变，由此向系统的用户提供即时刺激。在计算机网络的事件管理器发送事件通知给本发明的计算设备时，计算机网络的状态改变。

图1阐释根据本发明的各实施例的系统的网络图，由此该系统包括计算机网络105和用于生成和显示示出计算机网络105的信息安全状态的次半透光三维形状110的中央监控系统100。监控系统105也同时通过三维抽象对象115显示受到监控的其他计算机网络的信息安全状态。计算机网络105包括多个计算机、服务器、事件管理器、网关、防火墙、路由器和各种其他类型的计算和/或网络设备，且下面参考图2更详细地讨论。使用包括各种计算设备、显示控制单元、控制逻辑单元、输入设备等等的中央监控系统100来监控计算机网络105的信息安全状态。计算机网络105可以经由无线或有线装置或两者的组合通信上连接到监控系统100。除了监控计算机网络105的信息安全状态之外，本领域中的技术人员应明白，监控系统100可以被配置成监控大量其他计算机网络的信息安全状态。

监控系统100将为受到监控系统100监控的每一计算机网络生成次半透光三维形状。这可以使用在监控系统100内提供的计算设备来完成。正如图1中所阐释的，由于计算机网络105被示出为受到监控系统100监控，监控系统100将为计算机网络105生成具有第一设计的次半透光三维形状110。换句话说，三维形状110被监控系统100用作计算机网络105的信息安全状态的表示，由此三维形状110的设计将根据计算机网络105的信息安全状态的改变而改变。将由监控系统100在从计算机网络105接收到事件通知时发起次半透光三维形状的设计的改变。如果计算机网络105正常地操作，则三维形状110将被示出为具有第一设计或其初始设计，即最初为该三维形状生成的设计。相反，如果计算机网络105受到网络攻击或经受信息安全威胁，则监控系统100将相应地由计算机网络105通知，且监控系统100将更新计算机网络105的信息安全状态。在这发生时，监控系统100将使得三维形状110将其设计改变成另一设计。三维形状110的设计的这种改变发生使得向系统的观察者通知由三维形状110表示的计算机网络105目前受到信息安全攻击或经受计算机安全威胁。一旦解决了信息安全威胁或攻击，则将由计算机网络105相应地通知监控系统100，且然后监控系统100将使得三维形状110的设计返回到第一设计或其初始设计。

在本发明的各实施例中，监控系统100将为其关心的每一计算机网络生成次半透光三维形状。这意味着如果监控系统100正在监控八个不同的计算机网络的信息安全状态，则监控系统100将生成八个相应的次半透光三维形状，由此每一三维形状将与受到监控的每一计算机网络的信息安全状态相关联。本领域中的技术人员应理解，三维形状可以是指三维多面体、三维球面、立方体或任何其他这样的三维设计。在本发明的各实施例中，三维形状是被阐释为三维立方体。图1阐释该实施例，由此监控系统100正在这样监控四个不同的计算机网络的信息安全状态；监控系统100已经生成四个相应的次半透光三维形状。

在已经为受到监控的每一计算机网络生成次半透光三维形状之后，监控系统100然后将这些三维形状布置成单个三维物体，该三维物体具有与那些相应次半透光三维形状相同的形状和形式。由于图1中所阐释的次半透光三维形状110被成型为立方体，然后，监控系统100进行到将这些三维立方体形状布置到单个三维抽象对象115中，三维抽象对象115具有立方体的总体形状和形式，即魔方。由于监控系统100即将生成大量的三维形状，每一已生成的三维形状有必要是次半透光的或半透明的。如果三维形状是被生成为实心形状，则在将实心形状布置到单个三维物体中时，系统的观察者将无法注意到在三维物体的后面或中间处的实心形状的设计的改变，这是由于在后面或中间的这种实心形状将被位于它前面的实体形状所阻挡。因而，本发明要求将三维形状生成为次半透光的或半透明的形状。这是为了使得系统的观察者将容易地注意到三维抽象对象(例如三维物体115)的后面或中间的三维形状的设计的改变。

在监控系统100已经将个体次半透光三维形状布置到具有与那些相应体次半透光三维形状相同的形状和形式的单个三维物体中之后，三维物体将被显示在显示屏上，以供由系统的用户查看。在显示三维物体之前，在监控系统100内提供的显示控制单元将获得在其上显示三维物体的显示屏的参数。这些参数可以包括但不限于屏幕的尺寸和/或定向、屏幕的类型以及任何其他相关的细节。然后，监控系统100利用所获得的参数来相应地调整三维物体大小，以使得显示控制单元可以将三维物体的整体同时显示在显示屏上。在本发明的各实施例中，显示屏可以是计算机显示屏、液晶显示器、投影仪屏幕或墙壁上的平坦表面或显示器可以投影到其上的任何相似类型的表面。

图2阐释可以包括在计算机网络105内的计算和网络设备。计算机网络105可以包括诸如计算设备205、206和207之类的计算机资产。这些计算设备可以包括任何类型的计算设备且可以包括但不限于智能电话、膝上型计算机、平板、计算机、服务器、工作站等等。正如图2中所阐释的，计算设备205、206和207都经由中间上游网关218连接到网络220。计算设备205、206和207经由有线装置、无线装置或两者的组合在通信上连接到中间上游网关218。有线装置可以包括诸如广域网(wan)或局域网(lan)之类有线网络，而无线装置包括经由射频(rf)信号、红外信号或任何其他无线传输装置建立的连接。

中间上游网关218是网络105的节点，它充当从网络220到网络105的接入/退出点。中间上游网关218可以包括可以从位于该网关后面的任何数量的计算设备到位于外部网络的计算设备路由因特网流量的任何网络节点。这样的网络节点包括但不限于利用边界网关协议、dsl路由器、电缆路由器、vlan、桥、交换机等等的设备。对于网络220，网络220是允许一个计算机网络上的计算设备和/或处理系统通过有线装置、无线装置或两者的组合与其他计算机网络上的一个设备通信的诸如因特网之类的通信网络。

计算机网络105也包括监控设备215、216、217，且这些监控设备是监控计算机网络的活动以发现恶意活动且在已经检测到这样的活动时可以随后发送警报的网络安全设备。此外，在记录关于已检测到恶意的活动的信息时，这些监控设备也可以解析、记录和发送发起攻击的源的ip地址，以及攻击穿过其以访问在网络105内计算设备的网络的网关的ip地址和身份。这样的网络安全设备可以包括但不限于硬件或软件防火墙、安装在计算机模块内的杀毒软件程序、入侵检测系统和/或入侵防御系统。

监控设备215、216和217全部都经由有线装置、无线装置或两者的组合通信上连接到事件管理器210(evm)。事件管理器210包括用于执行各种功能的各种计算机模块，例如但不限于用于接收和处理来自监控设备的警报的计算模块、用于将所接收的警报存储在事件管理器210内提供的数据库中的计算模块、用于经由带外网络与网关通信的计算模块以及从因特网接收/向因特网发送数据的收发器模块。除了以上之外，事件管理器210也可以包括用于确定信息安全网络攻击通过其进入网络105的中间上游网关的ip地址或身份的计算模块。然后，将使用适当的指令集来编译要发送给网关以便破坏来自恶意源的数据传送的指令。

事件管理器210也包括用于向监控系统例如监控系统100发送事件通知的计算模块。可以通过网络220或通过其他有线或无线电信网络发送这种事件通知。一旦事件管理器210(由从监控设备接收到的警报)确定计算机网络105受到网络攻击或威胁，就将发送这样的事件通知。监控系统100一旦接收到这样的事件通知，就将更新其内部数据库，以示出计算机网络105的信息安全状态已经从“正常”改变成“受到攻击”。在这发生时，与计算机网络105相关联的次半透光三维形状110将从第一设计改变成第二设计。三维形状的设计的这种改变向系统的观察者告知计算机网络105受到网络攻击，且因而要求进一步的注意。

事件管理器210可以经由电信网络或经由带外网络通信上连接到网关218。如果经由电信网络将数据从事件管理器210数据发送到中间上游网关218，则事件管理器210将首先经由有线装置、无线装置或两者的组合将该数据发送到网络220。然后，经由网关218上的电信接口将数据从网络220发送给中间上游网关218。可以用来在事件管理器210和中间上游网关218之间发送数据的电信网络可以包括但不限于tcp/ip数据网络或光传输网络。在中间上游网关218的电信接口受破坏或阻塞的情况下，可以利用带外网络来将数据从事件管理器210发送给中间上游网关218。在利用带外网络时，将经由因特网220使用安全外壳(ssh)、安全套接字层(ssl)、telnet和rs-232协议首先将数据从事件管理器210发送给网关218。然后，将数据从网络220发送给在网关218处提供的带外接口。带外接口通常被构建到网关218中，且可以用来接收配置网关218的访问控制列表的指令。根据本发明的实施例，网关218处的带外接口可以包括标准rs-232串行端口，标准rs-232串行端口可以用来接收修改诸如网关的访问控制列表之类的管理和报告功能的指令。

图3阐释计算机网络302a-316a以及它们各自的次半透光三维形状302b-316b。三维形状302b-316b已经被组合和布置为三维物体300。在本发明的各实施例中，响应于接收到输入或外部信号，监控系统100可以被配置成使得在三维物体300内各个次半透光三维形状302a-316a分开。这样的三维物体300的分解图被阐释为图3中的分解三维物体310。在该分解图中，用户将可以获得位于三维物体后面的次半透光三维形状例如形状308b和314b的设计的更清楚的视图。

正如图3中所阐释的，每一个体三维形状与个体计算机网络相关联和这些三维形状中的每一个的设计表示与该三维形状相关联的计算机网络的当前信息安全状态。在计算机网络的信息安全状态改变时，即在受影响的计算机网络的事件管理器向监控系统发送事件通知时，与受影响的计算机网络相关联的次半透光三维形状的设计将改变成不同的设计。

次半透光三维形状的设计的改变可以涉及但不限于三维形状的轮廓的改变、三维形状的颜色的改变、三维形状的填充图案的改变或三维形状的轮廓的色调的改变。在图4中阐释了说明这些改变的一些实施例的三维物体400。形状410阐释三维形状的轮廓的改变，而三维形状的填充图案的改变被示出为图4中的形状405。

在本发明的另一实施例中，为了指示关联的计算机网络的信息安全状态的改变，可以使得次半透光三维形状围绕其轴“扭动”或旋转。在图5中阐释此实施例，由此将三维物体500阐释为具有围绕多个它们各自的轴旋转的两个次半透光三维形状505。

本领域中的技术人员应明白，可以利用监控系统来生成大量的次半透光三维形状，这些次半透光三维形状链接到它们各自的计算机网络的信息安全状态。然后，可以随后合并这些三维形状以便产生单个三维物体。这些个体次半透光三维形状中的每一个的尺寸取决于从显示屏获得的参数。如果存在构成三维物体的大量的次半透光三维形状，则这意味着将必须减少这些各体三维形状中的每一个的尺寸。然而，由于这些三维形状在三维物体中的唯一布置，即使在减少了这些个体三维形状的几何尺寸时，也不会牺牲这些个体三维形状的可读性和识别性。在图6中阐释了这一点，图6示出由总共二十七个次半透光三维形状构成的三维物体600。在与次半透光三维形状605(它位于三维物体600的后面)相关联的计算机网络的信息安全状态改变时，设计的这种改变容易引起使用监控系统100的观察者的注意。

在本发明的实施例中，可以给监控系统100提供被配置成从监控系统100的用户接收输入信号的输入设备。这种输入设备可以包括但不限于可以检测用户的手移动的触觉输入设备或诸如鼠标、键盘、触控板、跟踪球或任何其他这样的设备之类的计算输入/输出设备。所提供的输入设备可以被配置成允许系统的用户从所显示的三维物体选择一个或多个次半透光三维形状。在选择了次半透光三维形状时，监控系统100将使得关联的计算机网络的计算设备向用户显示。将显示的计算设备可以包括受到信息安全攻击的计算设备，或者可以包括在计算机网络内包含的所有计算设备。在本发明的优选实施例中，仅显示受到信息安全攻击的计算设备。

图6中阐释了这样的实施例，由此假设监控系统100的用户使用在监控系统100内提供的输入设备选择具有第二设计的次半透光三维形状610。在这发生时，监控系统100将从事件通知(是从与三维形状610相关联的计算机网络发送的)确定正经历信息安全攻击的受影响的计算机网络中的计算设备的身份。一旦监控系统100已经确认这些计算设备的身份，然后，监控系统100将使得受影响的计算设备611-614被显示。可以在分开的窗口如窗口615中显示计算设备611-614，或者可以将其显示在三维物体600邻近。小的状态窗口即状态620被定位为邻近计算设备611、612、613和614中的每一个。状态620可以被配置成显示但不限于正在影响特定计算设备的独特信息安全攻击的数量、影响计算设备以获得特定权限的攻击的数量、正在威胁计算设备的不同类型的计算机安全攻击的列表等等。例如，邻近计算设备611的状态620示出数字“2”。这意味着计算设备611目前经历两个独特信息安全攻击。

在本发明的再一实施例中，输入设备可以被配置成从系统的用户接收输入，以便允许用户使得显示控制单元围绕多个轴旋转三维物体或变更三维物体的几何形状。这允许用户获得位于三维物体的后面和侧面的次半透光三维形状的更清楚的视图。输入设备也可以被配置成从系统的用户接收输入，以便允许用户创建三维物体的分解图。在分解图中，用户将可以获得位于三维物体的中间的次半透光三维形状的设计的更清楚的视图。

在本发明的另一实施例中，在受影响的计算机网络的事件管理器向监控系统发送事件通知时，事件管理器可以被配置成同时向受影响的计算机网络(即与所选择的次半透光三维形状相关联的计算机网络)的中间上游网关发送命令。该命令将指令计算机网络的中间上游网关破坏来自使得受影响的计算机网络向监控系统发送事件通知的因特网协议地址的数据。可以通过将涉嫌的恶意源的因特网协议地址添加到网关的访问控制列表来启动对数据的破坏，由此防止从恶意源进一步把数据传输到受影响的计算机网络。这意味着随着监控系统正改变与受影响的计算机网络相关联的次半透光三维形状的设计，受影响的计算机网络的事件管理器将同时破坏来自恶意源的数据的传输。

在本发明的各实施例中，给监控系统100提供控制逻辑单元，该控制逻辑单元被配置成给三维物体中的次半透光三维形状中的每一个指定权重。在布置各次半透光三维形状以便形成三维物体时，将根据它们的指定权重布置各次半透光三维形状，由此具有较高的权重的次半透光三维形状将位于更突出的位置，即接近前面，而具有较少权重的次半透光三维形状将位于较不突出的位置，即处于后面。

在本发明的其他实施例中，在监控系统100内的显示控制单元可以被配置成根据每一相应计算机网络生成的事件通知的类型群集三维物体中的次半透光三维形状。例如，如果第一组计算机网络发送指示它们的攻击的来源是来自a国的事件通知，而第二组计算机网络发送指示它们的攻击的来源是来自b国的事件通知，则用户可以触发显示控制单元重新整理在三维物体内的各个次半透光三维形状，以使得根据所接收的事件通知中所指示的攻击的来源来群集这些形状。

在本发明的各实施例中，需要用于生成由各个次半透光三维形状构成的三维物体的过程，由此每一形状表示受到监控的计算机网络的信息安全状态。下列的描述和图7描述根据本发明的过程的实施例。

图7阐释过程700，过程700由计算机系统执行，以便生成各个次半透光三维形状，由此每一形状表示受到监控的计算机网络的信息安全状态。然后，该过程组合这些各个形状以便形成三维物体，由此，随着它们相应的计算机网络的信息安全状态相应地改变，这些各个形状的设计也将改变。

过程700在步骤705开始，由此过程700选择受到系统监控的计算机网络。然后，过程700为所选择的计算机网络生成次半透光三维形状。将借助于第一设计或初始设计生成所生成的次半透光三维形状。然后，过程700进行到步骤715。在步骤715，过程700将判断其记录中是否存在没有用关联的次半透光三维形状表示的另一计算机网络。如果过程700判断存在没有用次半透光三维形状表示的另一计算机网络，则过程700进行到步骤750。在步骤750，选择未表示的计算机网络且过程700进行到在步骤710为该未表示的计算机网络生成次半透光三维形状。步骤710-750重复，直到由次半透光三维形状表示了受到监控系统关心的所有计算机网络。当过程700在步骤715判断受到监控的所有计算机网络都由它们各自的次半透光三维形状表示时，然后，过程700进行到步骤720。在步骤720，过程700将所有个别生成的次半透光三维形状布置到单个三维物体中。然后，过程700在步骤725接收在其上显示该三维物体的显示屏的参数。在步骤730，基于所接收的参数，过程700将使得三维物体被相应地调整大小，以使得可以在显示屏上显示三维物体整体。然后，随后显示经调整大小的三维物体。

在步骤735，过程700将执行检查，以判断是否已经由受其关心的受到监控的计算机网络生成任何新的事件通知。如果过程700判断已经从受其监控的计算机网络接收到事件通知，则过程700将进行到步骤745，由此过程700将表示受其监控的发送事件通知的计算机网络的次半透光三维形状的设计改变成第二设计。然后，过程700进行到在步骤740在显示屏上显示三维物体，由此也显示带有第二设计的次半透光三维形状。过程735-740不断重复自身，由此三维物体中的次半透光三维形状的设计依赖于受到监控的各个计算机网络的信息安全状态。

可以由存储在非暂态计算机可读介质中且由计算机系统中的处理单元执行的指令提供以上所描述的过程。为了避免引起困惑，应当将非暂态计算机可读介质理解成包括除了暂态传播信号之外的所有计算机可读介质。可以在一个或多个移动设备和/或计算机服务器中提供计算机系统，以提供本发明。指令可以被存储为固件、硬件或软件。图8阐释这样的处理系统的示例。处理系统800可以是执行指令以执行用于提供根据本发明的各实施例的方法和/或系统的过程的监控系统中的处理系统。本领域中的技术人员应明白，每一处理系统的确切配置可以不同，且每一移动设备中的处理系统的确切配置可以改变，且仅作为示例而给出图8。

处理系统800包括中央处理单元(cpu)805。cpu805是执行指令以执行根据本发明的过程的处理器、微处理器或处理器和微处理器的任何组合。cpu805连接到存储器总线810和输入/输出(i/o)总线815。存储器总线810将cpu805连接到存储器820和825以便在存储器820、825和cpu805之间发送数据和指令。i/o总线815将cpu805连接到外围设备以便在cpu805和外围设备之间发送数据。本领域中的技术人员应明白，i/o总线815和存储器总线810可以被组合成一个总线或细分成许多其他总线，且确切配置留给本领域中的技术人员。

诸如只读存储器(rom)之类的非易失性存储器820被连接到存储器总线810。非易失性存储器820存储操作处理系统800的各种子系统以及在启动时引导系统所需要的指令和数据。本领域中的技术人员应明白，可以使用任何数量的类型的存储器来执行该功能。

诸如随机存取存储器(ram)之类的易失性存储器825也被连接到存储器总线810。易失性存储器825存储cpu805执行用于各过程(例如提供根据本发明的各实施例的系统所要求的过程)的软件指令所需要的指令和数据。本领域中的技术人员应明白，可以将任何数量的类型的存储器用作易失性存储器，且所使用的确切类型作为设计选择留给本领域中的技术人员。

i/o设备830、键盘835、显示器840、存储器845、网络设备850和任何数量的其他外围设备连接到i/o总线815，以便与cpu805交换数据，以供由cpu805正在执行的应用使用。i/o设备830是从cpu805发送和/或接收数据的任何设备。键盘835是接收用户输入且向cpu805发送该输入的特定类型的i/o。显示器840从cpu805接收显示数据并在屏幕上显示图像以供用户观看。存储器845是向cpu805发送且从cpu805接收数据以便将数据存储到介质的设备。网络设备850将cpu805连接到网络，以供传输去往和来自其他处理系统的数据。

上面是在下列权利要求中叙述的根据本发明的系统和过程的各实施例的描述。可以想象，其他人可以且即将设计落在下列的权利要求的范围内的替代品。