빅데이터 시대를 맞이하여 정보 네트워크의 보안뿐만 아니라 드론, 무인운전, 기상분석, 군사, 교통 등의 측면에서 상황인식의 응용연구가 점점 더 보편화되고 필요해지고 있다. 레일 등!
일반적으로 상황 인식은 대규모 시스템 환경에서 시스템 상태의 변화를 일으킬 수 있는 보안 요소의 향후 개발 동향을 획득, 이해, 표시 및 예측하는 데 사용됩니다. 합동 작전 및 네트워크 중심 전쟁의 제안은 상황 인식의 출현과 지속적인 발전을 촉진했습니다. 상황 인식을 실현하기 위한 중요한 플랫폼이자 물질적 기반으로서 데이터 및 정보에 대한 상황 지도의 복잡한 요구 사항과 특성은 두드러진 빅데이터를 구성합니다. 빅데이터에 대한 고차원적인 사고와 상황인식에 따른 정보처리 문제의 해결은 합동작전상황인식의 데이터 유형, 구조, 특성을 분석함으로써 다음과 같은 결론을 도출한다. 상황인식은 빅데이터 문제에 직면해 있습니다. 첨단 정보기술의 해결이 필요한 문제와 적용 요구사항을 사전에 논의했으며, 최종적으로 핵심 데이터 및 정보처리 기술에 대한 연구를 수행했습니다. 군사정보처리 및 데이터 기반 의사결정 분야의 '빅데이터' 가치를 탐구합니다.
관련 참고자료(온라인 발췌):
1 서문
컴퓨터와 통신 기술의 급속한 발전으로 컴퓨터 네트워크의 응용이 점점 더 많아지고 있다. 그 규모가 점점 커지고 있으며, 다단계 네트워크 보안 위협과 보안 위험도 증가하고 있습니다. 네트워크 바이러스, Dos/DDos 공격 등으로 인한 위협과 손실도 점점 커지고 있습니다. 분산화, 대규모화, 복잡화되는 추세에 따라 방화벽, 침입 탐지, 바이러스 백신, 액세스 제어 등 단일 네트워크 보안 보호 기술에만 의존하는 것은 더 이상 네트워크 보안 요구 사항을 충족할 수 없습니다. 네트워크에서 이상 현상을 신속하게 발견하고, 네트워크 보안을 실시간으로 파악하는 기술이 시급하다. 사전에 자동 평가 및 예측을 수행하여 네트워크 보안 위험을 줄이고 네트워크 보안 보호 기능을 향상시킵니다.
사이버 보안 상황 인식 기술은 다양한 보안 요소를 통합하고, 네트워크 보안 상태를 전체적으로 동적으로 반영하며, 네트워크 보안 발전 추세를 예측하고 경고할 수 있습니다. 대용량 저장, 병렬 컴퓨팅 및 효율적인 쿼리와 같은 빅 데이터 기술의 고유한 특성은 빅 데이터 분석의 도움으로 수천 개의 네트워크 로그 및 기타 정보를 대규모 네트워크 보안 상황 인식 기술에서 획기적인 기회로 만들었습니다. 네트워크의 보안 상태를 심층적으로 분석, 평가하고, 이상 이벤트와 네트워크 전반의 보안 상황을 자동으로 분석 및 처리합니다.
2 네트워크 보안 상황과 관련된 개념
2.1 네트워크 상황 인식
상황 인식(Situation Awareness, SA)의 개념은 1988년 Endsley에 의해 제안되었습니다. 상황인식 일정한 시간과 공간 내에서 환경요인을 획득하고 이해하며 단기적인 예측을 하는 것이다. 전체 상황 인식 프로세스는 그림 1에 표시된 3단계 모델로 직관적으로 표현될 수 있습니다.
소위 네트워크 상황이란 각종 네트워크 장비의 가동 상태, 네트워크 행위, 사용자 행위 등의 요소로 구성된 전체 네트워크의 현황과 변화 추세를 말한다.
CSA(Cyberspace Situation Awareness)는 1999년 Tim Bass에 의해 처음 제안되었습니다. Cyberspace Situation Awareness는 대규모 네트워크 환경에서 네트워크 상황의 변화를 일으킬 수 있는 보안 요소를 획득하는 것입니다. 그리고 최근 동향을 예측해 보세요.
상황은 하나의 상태이고 하나의 추세이며, 총체적이고 전체적인 개념이다. 어떤 하나의 상황이나 상태도 상황이라고 부를 수는 없다. 따라서 상황에 대한 이해는 환경, 역동성 및 무결성을 특히 강조합니다. 환경성은 상황 인식의 적용 환경이 더 큰 범위 내에서 특정 규모의 네트워크임을 의미합니다. 및 상황 정보 과거 및 현재 상태를 포함할 뿐만 아니라 미래 추세도 예측합니다. 무결성은 상황의 다양한 엔터티 간의 상호 관계를 반영합니다. 일부 네트워크 엔터티의 상태 변화는 다른 네트워크 엔터티의 상태에 영향을 미칩니다. , 이로 인해 전체 네트워크 상황에 영향을 미칩니다.
2.2 네트워크 보안 상황 인식
네트워크 보안 상황 인식은 데이터 융합, 데이터 마이닝, 지능형 분석 및 시각화 기술을 사용하여 네트워크 환경의 실시간 보안 상태를 직관적으로 표시하는 것입니다. 네트워크 보안을 제공합니다. 보호를 제공합니다. 네트워크 보안 상황 인식을 통해 네트워크 감독자는 네트워크 상태, 공격, 공격 소스, 공격에 취약한 서비스 등을 신속하게 파악하고 공격이 시작되는 네트워크에 대한 조치를 취할 수 있습니다. 사용자는 자신이 위치한 네트워크의 보안 상태와 동향을 명확하게 파악하고 네트워크 내 바이러스 및 악의적 공격으로 인한 손실을 방지하고 줄이기 위한 예방 준비를 할 수 있으며, 비상 대응 조직도 보안 상태와 개발 동향을 이해할 수 있습니다. 네트워크 보안 상황을 고려하여 서비스를 제공하고 예측 가능한 정책 개발을 준비합니다. 비상 대응 계획의 기초를 제공합니다.
3 네트워크 보안 상황 인식 관련 기술
대규모 네트워크의 경우 한편으로는 많은 네트워크 노드, 복잡한 분기, 대규모 데이터 트래픽 및 다양한 이기종 네트워크가 있습니다. 네트워크 환경 및 애플리케이션 반면, 네트워크 공격 기술과 방법은 플랫폼화, 통합 및 자동화를 향해 발전하고 있습니다. 네트워크 공격은 더욱 강력해지고 잠복 시간도 길어지고 있습니다. 전체 네트워크 보안 상황을 실시간으로 정확하게 표시하고 잠재적인 공격과 악의적인 공격을 탐지하기 위해서는 네트워크 자원 수집을 기반으로 데이터 전처리, 네트워크 보안 상황 특징 추출, 상황 평가를 통해 네트워크 보안 상황 인식이 이루어져야 합니다. 상황 예측 및 상황 표시를 통해 데이터 융합 기술, 데이터 마이닝 기술, 특징 추출 기술, 상황 예측 기술 및 시각화 기술 등 많은 관련 기술 문제가 포함된 프로세스를 완료합니다.
3.1 데이터 융합 기술
사이버 공간 상황 인식을 위한 데이터는 수많은 네트워크 장치에서 발생하므로 데이터 형식, 데이터 내용, 데이터 품질은 저장 형태와 표현에 따라 매우 다양합니다. 의미론. 모두 동일하지는 않습니다. 서로 다른 채널을 사용하고 서로 다른 네트워크 위치에서 왔으며 서로 다른 형식을 가진 이러한 데이터를 이를 기반으로 전처리하고 정규화하고 융합할 수 있다면 네트워크 보안 상황 인식 소스에 대해 보다 포괄적이고 정확한 데이터를 제공하여 더 많은 정보를 얻을 수 있습니다. 정확한 네트워크 상황. 데이터 융합 기술은 주로 네트워크에서 유사하거나 다른 특성 패턴을 가진 다중 소스 정보의 보완적 통합을 완료하고 자동 모니터링, 연관, 상관 관계, 추정 및 결합을 완료하는 다단계, 다단계 데이터 처리 프로세스입니다. 보다 정확하고 신뢰할 수 있는 결론을 얻기 위해 데이터 등을 처리합니다. 데이터 융합은 정보 추상화 정도에 따라 낮은 수준부터 높은 수준까지 세 가지 수준으로 나눌 수 있습니다. 데이터 수준 융합, 기능 수준 융합, 결정 수준 융합 중 기능 수준 융합, 의사결정 수준 융합이 널리 사용됩니다. 상황인식 중.
3.2 데이터 마이닝 기술
네트워크 보안 상황 인식은 수집된 대량의 네트워크 장치 데이터를 데이터 융합 처리 후 통일된 형식의 데이터 단위로 변환합니다. 이러한 데이터 단위는 그 수가 방대하고 많은 정보를 담고 있으며, 유용한 정보와 쓸모없는 정보가 뒤섞여 있어 식별하기가 어렵습니다. 비교적 정확하고 실시간으로 네트워크 보안 상황을 파악하려면 간섭 정보를 제거해야 합니다. 데이터 마이닝은 대량의 데이터에서 유용한 정보를 마이닝하는 것을 의미합니다. 즉, 대량의 불완전하고, 시끄럽고, 퍼지적이고, 무작위적인 실제 응용 데이터에서 숨겨진 정보, 규칙적인 정보, 알려지지 않은 정보를 발견하지만, 잠재적으로 유용하고 궁극적으로 이해할 수 있는 정보와 지식입니다 [1]. 데이터 마이닝은 기술 마이닝과 예측 마이닝으로 나눌 수 있습니다. 기술 마이닝은 데이터베이스에 있는 데이터의 일반적인 특성을 설명하는 데 사용됩니다. 예측 마이닝은 현재 데이터를 추론하고 예측합니다. 데이터 마이닝 방법에는 주로 상관 분석, 시퀀스 패턴 분석, 분류 분석 및 클러스터 분석이 포함됩니다.
상관 분석 방법은 데이터 간의 연결을 마이닝하는 데 사용되며, 분류 분석 방법은 미리 정의된 클래스에 대한 분석 모델을 설정하여 데이터를 분류하는 데 중점을 둡니다. , 신경망 모델 등 클러스터 분석은 미리 정의된 클래스에 의존하지 않으며 그 구분이 알려져 있지 않습니다. 일반적으로 사용되는 방법에는 퍼지 클러스터링 방법, 동적 클러스터링 방법, 밀도 기반 방법 등이 있습니다.
3.3 특징 추출 기술
네트워크 보안 상황 특징 추출 기술은 일련의 수학적 방법을 통해 처리되어 대규모 네트워크 보안 정보를 특정 값 범위 내에서 하나 또는 여러 그룹으로 병합합니다. 이러한 값은 네트워크의 실시간 운영 상태를 나타내는 일련의 특성을 가지며, 네트워크 보안 상태 및 위협 수준을 반영하는 데 사용됩니다. 네트워크 보안 상황 특징 추출은 네트워크 보안 상황 평가 및 예측의 기초이며 전체 상황 평가 및 예측에 중요한 영향을 미칩니다. 네트워크 보안 상황 특징 추출 방법에는 주로 분석 계층 프로세스, 퍼지 분석 계층 프로세스, 델파이 방법 및 종합이 포함됩니다. 분석 방법.
3.4 상황 예측 기술
사이버 보안 상황 예측은 네트워크 운영 조건의 발전과 변화에 대한 실제 데이터와 역사적 데이터를 기반으로 과학적 이론과 방법 및 다양한 경험, 판단 및 지식 미래의 특정 기간에 발생할 수 있는 변화를 추측, 추정, 분석하는 것은 네트워크 보안 상황 인식의 중요한 부분입니다. 서로 다른 시점의 네트워크 보안 태세는 서로 연관되어 있으며, 보안 태세의 변화에는 일정한 내부 법칙이 있습니다. 이 법은 향후 네트워크의 보안 태세를 예측할 수 있으므로 보안 정책을 예측 가능하게 구성할 수 있습니다. 대규모 네트워크 보안 사고를 관리하고 예방할 수 있습니다. 네트워크 보안 상황 예측 방법에는 크게 신경망 예측 방법, 시계열 예측 방법, 회색 이론 기반 예측 방법이 있습니다.
3.5 시각화 기술
네트워크 보안 상황 생성은 대용량 데이터의 분석 결과를 기반으로 현재 상태와 미래 동향을 표시하고 전통적인 텍스트 또는 간단한 그래픽 표현을 통해 표시됩니다. , 유용하고 중요한 정보를 찾는 것이 매우 어렵습니다. 시각화 기술은 컴퓨터 그래픽과 영상처리 기술을 이용하여 데이터를 그래픽이나 이미지로 변환하여 화면에 표시하고 대화형 처리를 수행하는 이론, 방법 및 기술입니다. 여기에는 컴퓨터 그래픽, 이미지 처리, 컴퓨터 비전, 컴퓨터 지원 설계 및 기타 분야가 포함됩니다. 시각화 기술과 시각화 도구를 상황인식 분야에 적용한 연구는 많이 있다. 시각화 방법은 네트워크 보안 상황인식의 모든 단계에서 충분히 활용되며, 네트워크 보안 상황을 일관된 네트워크 보안 상황 맵으로 병합하여 네트워크를 신속하게 발견한다. 보안 위협, 네트워크 보안 상태를 직관적으로 파악합니다.
4 멀티 소스 로그 기반 네트워크 보안 상황 인식
네트워크 규모의 확장과 네트워크 공격의 복잡성 증가에 따라 침입 탐지, 방화벽, 안티 바이러스, 보안 감사 등 보안 장치는 네트워크에서 널리 사용됩니다. 이러한 보안 장치는 네트워크 보안에 있어서 일정한 역할을 하지만 큰 한계를 가지고 있는데, 이는 주로 다음과 같은 점에서 나타납니다. 첫째, 각 보안 장치의 대규모 경보 및 로그가 낮습니다. , 중복성이 높고 저장 공간을 많이 차지하며 허위 경보가 많아 실제 경보 정보가 잠기게 됩니다. 둘째, 대부분의 보안 장비는 단일 기능을 갖고 있으며 생성된 경보 정보가 다양한 형식으로 되어 있어 종합적인 분석 및 분류가 어렵고 정보 공유 및 데이터 상호 작용을 실현할 수 없습니다. 각 보안 장비를 완벽하게 발휘할 수 없습니다. 셋째, 각 보안 장비의 처리 결과는 네트워크의 특정 측면의 운영 상태만을 반영할 수 있어, 네트워크의 전반적인 보안 상태 및 동향에 대한 포괄적이고 직관적인 정보를 제공하기가 어렵습니다. 이러한 네트워크 보안 관리의 한계를 효과적으로 극복하기 위해 멀티소스 로그 기반의 네트워크 보안 상황 인식을 제안한다.
4.1 멀티 소스 로그 기반 네트워크 보안 상황 인식 요소 획득
멀티 소스 로그 기반 네트워크 보안 상황 인식은 네트워크에 배포된 다양한 보안 장치에서 제공하는 로그 정보입니다. 네트워크 추출, 분석 및 처리를 수행하여 네트워크 상황을 실시간으로 모니터링하고 잠재적이고 악의적인 네트워크 공격을 식별 및 조기 경고하며 각 보안 장치의 전반적인 효과를 최대한 발휘하고 네트워크 보안 관리 기능을 향상시킵니다.
다중 소스 로그 기반 네트워크 보안 상황 인식은 주로 네트워크 입구의 방화벽 로그, 침입 탐지 로그, 네트워크 내 주요 호스트 로그, 호스트 취약점 정보를 수집합니다. 실제적이고 효과적인 네트워크 보안 상황 관련 정보를 심층적으로 발굴하면 단일 로그 소스만으로 네트워크 보안 상황을 분석하는 것보다 네트워크 보안 상황의 포괄성과 정확성을 높일 수 있습니다.
4.2 멀티 소스 로그 분석 및 처리에 빅데이터 활용
멀티 소스 로그 기반 네트워크 보안 상황 인식은 다양한 탐지 방법과 이벤트 보고 메커니즘에서 생성된 데이터를 수집합니다. 그러나 이러한 원본 로그정보는 대용량, 중복성, 오류 등의 결함을 갖고 있어 상황인식을 위한 직접적인 정보원으로 활용될 수 없으며, 상관분석 및 데이터 융합을 통해 처리되어야 한다. 이러한 방대하고 다양한 형식의 데이터를 신속하게 분석하고 처리하려면 어떤 기술을 사용할 수 있습니까?
빅데이터의 출현으로 컴퓨팅 및 저장 자원이 확장되었습니다. 빅데이터의 다양성은 다중 유형 데이터 형식, 볼륨 대용량 데이터 저장 및 속도 빠른 처리라는 세 가지 주요 특성을 지원합니다. - 소스 로그. 네트워크 보안 상황 인식 분석 및 처리에 필요합니다. 빅데이터의 다중 유형 데이터 형식은 네트워크 보안 상황 인식을 통해 네트워크 및 보안 장치 로그, 네트워크 운영 정보, 비즈니스 및 애플리케이션 로그 기록 등을 포함한 더 많은 유형의 로그 데이터를 얻을 수 있습니다. 데이터 대용량 로그 저장 및 처리에 꼭 필요한 것입니다. 빅데이터의 신속한 처리는 고속 네트워크 트래픽에 대한 심층적인 보안 분석을 위한 기술 지원을 제공하고 고도로 지능적인 모델 알고리즘을 위한 컴퓨팅 리소스를 제공합니다. 따라서 빅데이터가 제공하는 기본 플랫폼과 대용량 데이터 처리를 위한 기술 지원을 활용하여 네트워크 보안 상황을 분석하고 처리합니다.
상관관계 분석. 방화벽 로그와 네트워크 침입 탐지 로그는 모두 네트워크에 진입하는 보안 이벤트의 트래픽을 설명합니다. 특정 공격 이벤트에 대해서는 많은 수의 로그와 관련 경보 기록이 생성됩니다. 따라서 먼저 획득한 원본 로그에 대해 단일 소스 상관 분석을 수행하고, 대용량 원본 로그를 네트워크에 해를 끼칠 수 있는 직관적이고 이해 가능한 보안 이벤트로 변환해야 합니다. 다중 소스 로그를 기반으로 하는 네트워크 보안 상황 인식은 유사성 기반 경보 상관 관계를 사용하므로 상관된 경보 수를 더 잘 제어하고 복잡성을 줄이는 데 도움이 됩니다. 처리 프로세스는 다음과 같습니다. 먼저 알람 로그의 주요 속성을 추출하여 원래 알람을 생성한 다음 반복된 알람 집계를 통해 집계 알람의 각 속성에 대한 유사성 계산 방법을 정의하고 두 가지 집계를 계산합니다. 경보 유사도와 유사도 임계값을 비교하여 집계된 경보에 대한 슈퍼 경보 여부를 결정하고, 최종적으로 동일한 유형의 경보에 속하는 주소 범위와 경보 정보를 출력하여 보안 이벤트를 발생시킵니다.
융합 분석. 다중 소스 로그는 중복성, 보완성 등의 특성을 가지고 있습니다. 상황 인식은 데이터 융합 기술을 사용하여 여러 데이터 소스에서 서로의 장단점을 보완함으로써 인식 프로세스에 대한 보호를 제공하고 보안 상황을 보다 정확하게 생성합니다. 단일 소스 로그 알람 상관 과정을 거쳐 각각의 보안 이벤트를 획득합니다. 방화벽 및 침입탐지 로그에서 발생하는 다중 소스 보안 이벤트에 대해서는 D-S 증거 이론(1967년 Dempster가 제안하고 이후 1976년 Shafer가 대중화 및 개발함) 방법을 사용하여 융합 및 차별성을 평가하여 정확도를 더욱 향상시키고 침입 감소를 최소화합니다. 잘못된 경보. D-S 증거 이론을 보안 이벤트 융합에 적용하는 기본 아이디어: 먼저 실행 가능한 초기 신뢰 할당 방법을 연구하고 방화벽 및 침입 탐지에 정보 기능을 할당한 다음 D-S 합성 규칙을 통해 융합 보안의 신뢰성을 얻습니다. 이벤트 지출.
상황요인 분석. 네트워크 입구의 보안 장비 로그에 대한 보안 분석을 통해, 대상 네트워크에 침입할 가능성이 있는 공격 정보만 얻을 수 있으며, 실제로 네트워크 보안 상황에 결정적인 영향을 미치는 보안 이벤트는 공격 지식 기반과 특정 네트워크에 대한 종합적인 분석이 필요합니다. 환경을 확인하세요.
이는 주로 세 단계로 구분됩니다. 첫째, 수많은 네트워크 공격 사례에 대한 연구를 통해 다양한 네트워크 공격의 원리, 특성 및 운영 환경을 주로 포함하는 사용 가능한 공격 지식 기반을 확보합니다. 주요 호스트의 존재 분석 시스템 취약점 및 수행되는 서비스의 가능한 취약점, 현재 네트워크 환경의 취약점 지식 기반 구축, 현재 네트워크 환경의 토폴로지 구조, 성능 지표 등을 분석하여 네트워크 환경 지식 기반 획득 세 번째는 취약점 지식베이스 특성을 통해 보안 이벤트, 즉 현재 네트워크에 영향을 미치는 네트워크 공격 이벤트의 유효성을 확인하는 것이다. 네트워크 보안 이벤트를 생성하고 공격 이벤트를 확인하는 과정에서, 주로 네트워크 전체가 직면한 보안 위협, 지점 네트워크가 직면한 보안 위협, 호스트가 직면한 보안 위협, 네트워크 보안 위협 등 전체 네트워크 보안 상황을 평가하는 데 사용되는 상황 요소가 추출됩니다. 이러한 위협의 정도 등
5 결론
점점 심각해지는 네트워크 보안 위협과 과제를 해결하기 위해 상황 인식 기술을 네트워크 보안에 적용하면 현재 네트워크 보안 상태를 완벽하게 파악할 수 있을 뿐만 아니라 예측도 가능합니다. 미래. 본 논문에서는 네트워크 보안 상황과 관련된 개념과 기술 소개를 바탕으로 멀티소스 로그 기반 네트워크 보안 상황인식을 논의하고, 멀티소스 로그 기반 네트워크 보안 상황인식 요소 획득과 활용에 대해 논의한다. 다중 소스 로그에 대한 빅데이터는 상관 분석, 융합 분석, 상황 요소 분석 등의 관련 내용에 대한 연구가 진행되어 왔으며, 상황 평가, 상황 예측, 상황 표시 등의 관련 내용에 대해서는 아직 더 많은 논의와 연구가 필요합니다.