可视化 笔记
第二章
图像越简单越好
原则
pre-attentive visualproperties
pre-attentivevisual properties:使用形状,颜色,方向来包装数据,分为四种:form,color,position and motion。 Form包含 size,shape and orientation. Color包含hue和intensity
当对数据进行多维区分是,可以使用separabledimensions,如组合使用form和color,而不要使用form的子类,否则不易察觉
Expressiveness
展现并只展现需要的数据
Effectiveness
采用的技术最易懂
图形设计原则
Reducenondata ink:在一幅图中,有数据和非数据部分,如柱状图的边框,不需要的刻度,表格线等,应该减少非数据部分。
第三章可视化方式
1.各种图形及特点
1)数据类型:
categorical: 可分为几类数据,离散型,可枚举的,无内在顺序,如七种颜色
ordinal:顺序的categoricaldatas,如事件的级别,优先级等
interval(numeric) 有顺序且刻度间隔相同
radio:在interval基础上有0值,如filesize
x叫primaryvariables; y叫independentvariables(因变量)
2)颜色
作用:强调(10个中有一个为红色,其余为绿色);表示种类较少的categorical数据,如彩虹七色,灰度级别,五级安全
有连续的colorrange或distinctcolor range。 当维度为category时,使用distinct;当维度为continous时,使用渐变色;
选择颜色的工具是 colorBrewer color_wheel,选择标准: 对比突出; 相似颜色实现分组;
一些case:
用户权限:使用绿代表有,红色代表无
间谍软件端口:红色代表特定端口
机器的关键度:五级色彩
3)大小、形状和方向
大小只表示相对关系,不能表示精确的值
形状:椭圆、方形、菱形等
方向一般不用
颜色为首选,可以使用颜色和形状表示不同纬度
4)图标坐标轴
y轴从0开始
有时候,刻度非线性变化的坐标轴也需要
2. simple chart
饼图:用于比较同一维数据占到整体的百分比,数据为categorical;数据量不能过多;在label中指明精确value
柱图(barchart):该维每一值发生的个数;x轴为categorical;y轴从0开始,还可以表示sum,average等聚合值
折线图(linechart):x周为interval,y为continousrange;表示趋势,y轴可以使countsum average等
3dbar chart:显示二维的categorical数据;
3. stacked chart
在simplechart的基础上增加额外的纬度,使用范围同simplechart
stackedpie chart:对每个扇形再切一个纬度,由于按长度划分,从面积上看会有误解,则在每一块上写明value比较合适
stackedbar chart:不能精确表示每一块的长度,若很重视这方面,使用stackedline chart
stackedline chart:类似于linechart,不过是多条线
4. histograms 类似于bar chart
表示数据分布,x轴为continousdata,如一天按5分钟分段,则y轴为该5分钟内的值,如流量
用于检测:断裂、分布
不能得到某一值的精确时间
5. box plots
数据的分布情况,不只是平均值,还有最大、最小值等;用来显示categorical和continous数据
6. scatter plots
ordinal或者continous数据,用于表示二维数据的关系,预测数据走向。二维数据表示空间中(x,y)的一个点。
如果要显示更多维,可使用colorshape size等
当x轴为时间,则该图形为timetable,可表示trend和gap
y轴的顺序和要从图形上表示的内容相关
7. parallel coordinate
同时显示多维数据,用于显示彼此关联的多维数据
相互关联的dimension在图上相邻
8. link graph
数据结构中的图,显示关系,使用箭头表示方向
难点:节点和连接线的布局(线不能重叠,同一节点只有一个);显示大量节点(将节点分组,点击分组时进一步显示)
intelligentaggregation:尽量减少我们不关心的节点,根据关注的内容对Node进行分组
9. Map
显示地理位置相关数据
考虑两个问题:什么决定位置(经纬度、地址);数据如何表现(颜色、链接:图上源和目的的链接、图表:柱状图)
难点:密度按地理分布不均匀
10. TreeMap
显示多维树形数据、显示大量数据
对树的叶子节点编码,显示其pattern和异常,每个box的面积=times或bytes决定。color代表叶子节点的种类
用于找到问题:越有问题,面积越大+
优点:可显示树形关系; 可显示超过三维数据; cluster很容易被发现
11. Three-dimensionalview
三维chart(同时显示x,y, z三方向);支持Interactive
如三维linechart;三维scatterplots
12.交互与动画
从overflow到详细——交互:通过点击或使用放大、缩小。
沿指定路径移动——动画
通过时间变化了解,但要注意图片间变化不要太大。1)对于linkgraph,尽量保证原有布局不变;2)对于节点不变的图像,如网络图中的最大流量的路径,通过高亮该路径发生切换;3)原有图片缓慢淡出
13. sparklines
使用sparklines表示时间范围的波动、例外情况。用于在graph中显示大量的time-seriesdata point,在多个sparkline之间比较
14.选择正确的图形
考虑要显示的数据:1)几维数据2)表达的意图3)观众是谁
最简单办法:chartchooser工具
第四章 formdata to graph
1.可视化流程
1)定义问题
通过usercase驱动,定义需要的数据和展示
2)评估可用数据
3)处理信息
对数据进行归并和格式化
根据usercase 增加额外数据,如名称等
过滤数据
aggregation:对数据进行分组,并按组显示
4)visualtransformation
数据映射:要显示几维数据,哪个作为主要维度,其他维度怎么显示;在linegraph中,节点间的顺序
5)viewtransformation
目标:对于海量数据,高亮感兴趣的数据
方法:filter不关心的数据;aggragation:对不需要精确信息的数据分组
6)决定
选择graph:要得到的信息是否真能从图表中得到
第五章 安全数据可视化
1. reporting
从图形得到信息,首选简单图形:bar line scatter
在报表中要时刻思考:观众是谁? 什么是最好的表现形式? 当向管理层报告,说明attack是如何发生、怎么进入; 当向administrator报告时,要说明发生的细节。
2.historical 分析
Time-series可视化:5种分析方法
1)timetable:可分析 周期、temporalrelationship、gapsin activites 等,格式为时间-值的小间断数据
2)multiple-graph:
多维Line-graph:比较类型相同、意义相同的数据; 比较图形x轴相同;刻度相同
line-graph和TreeMap用于结构稳定只是流量变化的情况。
3)trend line —— line chart
根据描出的点画出trendline,用于预测未来,查找反常的数据
4)moving-averagecharts
在股票分析中,变化比较剧烈的曲线,可用于基于历史数据的决策支持。
5)sectorgraph
分析timeseries dataset的当前状态
选取当前点,计算其相对近期和远期的变化率,并在坐标系中以(x,y)标示,可以表示其近期和远期发展趋势。
6)correlationgraph
使用correlationmatrix
3.interative analysis:
通过修改graphattributes、zoom、filter 实时反映到图形上
使用linked实现从overview到details
barchart1和barchart2 相互点击发生变化
scatterplot:用于detectcluster of behavior
4.实时监测和分析
1)dashboard
实时数据主要用来比较,如同比和环比:同一策略和当前比,当前时间两者之间的比较
设计原则:一屏原则; 适量的细节; 使用简单图表; 高亮重要数据