Esta aplicación analiza el tráfico web y luego muestra los ataques en un mapa global. ¿Cómo intercepta el tráfico web para que pueda analizarlo? ¿El tráfico web no es privado para todos, excepto para los ISP y las agencias gubernamentales poderosas como la NSA? ¿Cómo detecta y diferencia los ataques MYSQL de las consultas regulares de MySQL?
La compañía que creó esto, Norse, en realidad tiene honeypots (redes intencionalmente vulnerables) establecidas en varios países de todo el mundo. Al instalar varias piezas de software, ver registros, etc., la gente de Norse puede determinar la IP (aparente) del ataque. Si bien no creo que Norse esté mintiendo, como parece parecer @Dmitry, creo que dada la facilidad con que se pueden falsificar las IP, el mapa no debería considerarse confiable.
Fuente: enlace
Lea otras preguntas en las etiquetas attacks