Das Internet ist ein gefährlicher Ort geworden: Schadcode breitet sich auf PCs auf der ganzen Welt aus und schafft damit sogenannte Botnets, welche jederzeit bereit sind, die Netzwerkinfrastruktur anzugreifen. Netzwerkverkehr zu überwachen und den Überblick über die gewaltige Anzahl von sicherheitsrelevanten Vorfällen oder Anomalien im Netzwerk zu behalten sind schwierige Aufgaben. Während Monitoring- und Intrusion-Detection-Systeme weit verbreitet sind, um operationale Daten in Echtzeit zu erheben, sind Bemühungen, ihren Output auf detaillierter Ebene manuell zu analysieren, oftmals ermüdend, benötigen viel Personal, oder schlagen vollständig fehl, die notwendigen Einsichten zu liefern aufgrund der Komplexität und des Volumens der zugrunde liegenden Daten.Diese Dissertation stellt ein Bestreben dar, automatische Überwachungs- und Intrusion-Detection-Systeme durch visuelle Explorationsschnittstellen zu ergänzen, welche menschliche Analysten befähigen, tiefere Einsichten in riesige, komplexe und sich dynamisch verändernde Datensätze zu gewinnen. In diesem Zusammenhang ist ein Hauptanliegen von visueller Analyse, bestehende Visualisierungsmethoden zu verfeinern, um ihre Skalierbarkeit in Bezug auf a) die Datenmenge, b) visuelle Beschränkungen von Computerbildschirmen und c) die Aufnahmefähigkeit der menschlichen Wahrnehmung zu verbessern. Darüber hinaus ist die Entwicklung von innovativen Visualisierungsmetaphern ein weiteres Hauptanliegen dieser Doktorarbeit. Insbesondere beschäftigt sich diese Dissertation mit skalierbaren Visualisierungstechniken für detaillierte Analyse von riesigen Netzwerk-Zeitreihen. Indem Zeitreihen einerseits in Pixelvisualisierungen anhand ihrer logischen Intervalle gruppiert werden und andererseits zur verbesserten Abgrenzung eingefärbt werden, erlauben unsere Methoden genaue Vergleiche von temporären Aspekten in Netzwerk-Sicherheits-Datensätzen.Um die Eigenheiten von Netzwerkverkehr und verteilten Attacken in Bezug auf die Verteilung der beteiligten Rechner aufzudecken, wird eine hierarchische Karte des IP Adressraums vorgeschlagen, welche sowohl geographische als auch topologische Aspekte des Internets berücksichtigt. Da naives Verbinden der wichtigsten Kommunikationspartner auf der Karte zu störenden visuellen Artefakten führen würde, können Hierarchical Edge Bundles dazu verwendet werden, die Verkehrsverbindungen anhand der Hierarchie der Karte zu gruppieren, um dadurch eine skalierbarere Analyse der Kommunikationspartner zu ermöglichen.Ferner wird die Karte durch eine multivariate Analysetechnik ergänzt, um auf visuelle Art und Weise die multidimensionale Natur des Netzwerkverkehrs und der Daten von sicherheitsrelevanten Vorfällen zu studieren. Insbesondere deckt die Interkation der implementierten Prototypen die Eignung der vorgeschlagenen Visualisierungsmethoden auf, einen Überblick zu verschaffen, Kommunikationspartner zuzuordnen, in interessante Regionen hineinzuzoomen, und detaillierte Informationen abzufragen. Für eine noch detailliertere Analyse der Rechner im Netzwerk, führen wir einen graphenbasierten Ansatz ein, um Veränderungen im Verhalten von Rechnern und abstrakteren Einheiten im Netzwerk zu beobachten. Diese Art von Information ist insbesondere nützlich, um Fehlverhalten der Rechner innerhalb der lokalen Netzwerkinfrastruktur aufzudecken, welche andernfalls die Sicherheit des Netzwerks beträchtlich gefährden können.Um die umfassende Sicht auf Netzwerkverkehr abzurunden, wurde eine Self-Organizing Map dazu verwendet, die Eignung der Visualisierungsmethoden zur Analyse nicht nur von strukturierten Daten der Netzwerkprotokolle, sondern auch von unstrukturierten Informationen, wie beispielsweise dem textuellen Kontext von Email Nachrichten, zu demonstrieren. Mittels der Extraktion der charakteristischen Eigenschaften aus den Emails, gruppiert der Neuronale-Netzwerk-Algorithmus ähnliche Emails und ist imstande, bis zu einem gewissen Grad zwischen Spam und legitimen Emails zu unterscheiden.Im Rahmen dieser Dissertation demonstrieren die präsentierten Prototypen die breite Anwendbarkeit der vorgeschlagenen Visualisierungsmethoden in zahlreichen Fallstudien und legen ihr unerschöpfliches Potential dar, in Kombination mit automatischen Intrusion-Detection-Methoden verwendet zu werden. Deswegen sind wir zuversichtlich, dass Visual-Analytics-Anwendungen in den Bereichen Netzwerküberwachung und -sicherheit schnell ihren Weg aus der Forschung in die Praxis finden werden, indem sie menschliches Hintergrundwissen und Intelligenz mit der Geschwindigkeit und Genauigkeit von Computern kombinieren
