目前网络安全分析人员只能依靠一些网络安全产品来分析大量的日志信息，从而分析和处理网络异常。但随着网络数据量的急剧增大，攻击类型和复杂度的提升，这种传统的分析方式已经不再有效。网络安全可视化计算将海量高维数据以图形图象的方式表现出来，通过在人与数据之间实现图像通信，使人们能观察到网络安全数据中隐含的模式，能快速发现规律并发现潜在的安全威胁。

对于大规模的网络，主机间的数据交换以及连接的建立活动非常频繁，仅依靠流量数据无法准确地判断网络态势，于是提出了基于多数据源、多视图的可视化系统。

C.P.Lee等人¹提出Visual Firewal系统，包括IDS警报以及防火墙事件数据。系统使用Java语言实现，借助于JOGL和JFreechart实现图形的可视化。并有real－time traffic view、visual signature view、statistic view、IDS alert view四种视图，为网络的整体态势提供了一个全面的显示。

NVisionIP²和VisFlowConnect³以路由器上得到的NetFlow和tcpdump数据中得到的Argus NetFlow为数据源，对整体态势进行显示。区别是前者是基于主机的视图，后者是基于连接的视图。

1. 实时性
2. 可交互性
3. 攻击识别

采用颜色标示法，对连接行为进行颜色标识，使网络安全管理员快速对攻击行为进行定位。但是现有的网络安全工具都是针对某几种攻击行为而设计的，存在着适用范围狭窄等缺陷。

1. 可读性强

现有的可视化系统使用点以及线段对网络态势进行显示，且基本不做分析，只是对数据表面现象的显示。对于隐藏于数据内部的态势，还没有能够做进一步的挖掘。要将数据挖掘等方面的技术引入到态势感知中，提高系统对于已知、常见攻击的分析能力，提高系统对于安全态势的自我感知能力，提高系统在感知上的处理速度。

1. 现有的可视化方法，无论是基于协议的，还是基于特殊图形的显示，还是基于不同的可视化算法的，在可视化时都仅仅是针对某一种或者某几种攻击行为非常有效，对于通用的网络攻击行为识别，现在还没有有效的方法。将不同可视化系统的优点集成在一起，可以充分发挥各种方法的优势，提高态势感知能力。

通过借助可视化显示方式，融入人的视觉识别分析推理能力，大大提高了网络攻击的有效检测率。