하나 이상의 보안 기술만으로는 복잡한 보안 문제를 해결하기 어렵고, 네트워크 보안 인력의 관심사는 단일 보안 문제 해결에서 전체 네트워크의 보안 상태 및 변화 추세 연구에 이르기까지 다양합니다.
네트워크 보안 상황 인식은 네트워크 보안에 영향을 미치는 여러 요소의 향후 추세를 수집, 이해, 평가 및 예측함으로써 네트워크 보안을 정량적으로 분석하고 세밀하게 측정하는 수단입니다. 태세 인식은 이미 사이버 보안 2.0 시대 보안 기술의 초점이 되었으며, 사이버 보안을 보장하는 데 매우 중요한 역할을 하고 있다.
첫째, 상황 의식의 기본 개념
1..1시나리오 의식의 일반적인 정의
사이버 보안 태세 인식 연구 분야에 따라 태세 인식에 대한 정의와 이해가 다르며, 그 중 Endsley 박사가 제시한 동적 환경에서의 태세 인식에 대한 일반적인 정의는 높이 인정받고 있다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 인터넷명언)
태세 인식은 시간과 공간의 대량의 환경 요소를 인식하고, 그 의미를 이해하고, 최근의 상태를 예측하는 것이다.
이 정의에서 우리는 상황 의식의 세 가지 요소, 즉 인식, 이해, 예측을 추출할 수 있습니다. 즉, 상황 의식은 세 가지 수준의 정보 처리로 나눌 수 있습니다.
인식: 환경에서 중요한 단서나 요소에 대한 인식과 획득
이해: 인식된 데이터와 정보를 통합하고 상관 관계를 분석합니다.
예측: 환경 정보에 대한 인식과 이해를 바탕으로 관련 지식의 미래 추세를 예측합니다.
1.2 네트워크 보안 상황 인식 개념
현재, 사이버 보안 태세 인식은 아직 통일되고 전면적인 정의가 없다. 태세 인식의 일반적인 정의와 함께, 우리는 네트워크 보안 태세 인식에 대한 기본적인 설명을 제공할 수 있습니다.
네트워크 보안 상황 인식은 네트워크 보안 요소를 종합적으로 분석하고, 네트워크 보안 상태를 평가하고, 발전 추세를 예측하며, 사용자에게 시각화하여 적절한 보고서와 대책을 제공하는 것입니다.
위의 개념 모델에 따르면 네트워크 보안 상황 인식 프로세스는 다음 네 가지 프로세스로 나눌 수 있습니다.
1) 데이터 수집: 다양한 감지 도구를 통해 시스템 보안에 영향을 미치는 다양한 요소를 감지하고 수집하는 것이 태세 감지의 전제 조건입니다.
2) 상황 이해: 분류, 합병, 상관 분석 등의 수단을 통해 다양한 네트워크 보안 요소의 데이터를 처리하고 융합하며 통합 정보를 종합적으로 분석하여 네트워크에 영향을 미치는 전반적인 보안 태세를 산출하는 것이 태세 인식의 기초이다.
3) 태세 평가: 인터넷의 현재 안전상태와 약한 부분에 대한 정성과 정량 분석을 실시하고 그에 상응하는 대책을 제시하는 것이 태세 인식의 핵심이다.
4) 태세 예측: 태세 인식의 목표는 태세 평가를 통해 출력된 데이터를 통해 네트워크 보안의 발전 추세를 예측하는 것이다.
네트워크 보안 상황 인식은 깊이와 폭, 다단계, 다중 각도, 다중 입도 분석 시스템의 보안을 분석하고 지도, 양식, 보안 보고서 등으로 사용자에게 제공할 수 있는 대책을 제공해야 합니다.
둘째, 상황 의식의 일반적인 분석 모델
네트워크 보안 태세 인식을 분석하는 과정에서 성숙한 분석 모델이 많이 사용됩니다. 이러한 모델의 분석 방법은 다르지만 대부분 감지, 이해 및 예측의 세 가지 요소로 구성됩니다.
2. 1 인식으로 시작: Endsley 모델
Endsley 모델에서 상황 인식은 인식으로 시작됩니다.
인식에는 네트워크 환경에서 중요한 요소의 상태, 속성 및 동적, 구성 프로세스가 포함됩니다.
이해는 이러한 중요한 요소에 대한 정보를 융합하고 해석하는 것으로, 단일 분석 대상에 대한 판단과 분석뿐만 아니라 여러 관련 대상에 대한 통합과 빗질도 포함합니다. 동시에, 인식은 형세의 변화에 따라 끊임없이 업데이트되고 진화하며, 끊임없이 새로운 정보를 통합하여 새로운 인식을 형성한다.
태세 요소의 상태와 변화를 이해하는 것을 바탕으로 태세에 있는 각 요소의 상태와 변화를 예측한다.
2.2 순환 대결: OODA 모드
OODA 는 관찰 (Oberve), 조정 (orientation), 의사 결정 (decision) 및 행동 (act) 을 의미하며, 이는 정보전 분야의 개념이다. OODA 는 정보를 지속적으로 수집하고, 의사 결정을 평가하고, 조치를 취하는 과정입니다.
OODA 루프가 네트워크 보안 상황 인식에 적용될 때 공격자와 분석가는 모두 관찰에서 공격과 공격을 감지하고 이해에서 공방 방식을 조정 및 결정하고 상대방의 다음 행동을 예측하고 행동을 시작하며 다음 관찰 라운드로 진입하는 과정에 직면해 있다.
분석가의 OODA 루프가 공격자보다 빠르면 분석가는 상대방의 순환에 "진입" 하여 이점을 얻을 수 있습니다. 예를 들어, 상대방이 하고 있거나 할 수 있는 일, 즉 상대의 OODA 고리를 분석해 상대가 다음에 취해야 할 행동을 판단하고 상대를 앞지르기 전에 행동을 취할 수 있다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 도전명언)
2.3 데이터 융합: JDL 모델
JDL (Joint Directors of Laboratories) 모델은 정보 융합 시스템의 정보 처리 방법으로 미국 국방부가 설립한 데이터 융합 공동 지휘 연구실에서 제시했다.
JDL 모델은 서로 다른 데이터 소스의 데이터와 정보를 종합적으로 분석하여 상호 관계에 따라 목표 식별, ID 추정, 상황 평가 및 위협 평가를 수행합니다. 융합 프로세스는 평가 결과를 지속적으로 개선하여 평가의 정확성을 높입니다.
네트워크 보안 상황 인식에서 내부 및 외부의 대량의 보안 데이터에 직면하여 JDL 모델을 통한 데이터 융합 분석을 통해 분석 목표에 대한 인식, 이해 및 영향 평가를 수행할 수 있으며 후속 예측에 중요한 분석 기반과 지원을 제공합니다.
2.4 가정 및 추론: RPD 모델
RPD 모델의 상황 인식은 인식과 평가의 두 단계로 나눌 수 있습니다.
인식 단계에서 특징 일치를 통해 기존 시나리오를 과거 시나리오와 비교하고 유사성이 높은 과거 시나리오를 선택하여 당시 어떤 행동 방안이 유효한지 파악합니다. 평가 단계에서 이전의 유사한 상황에 대한 효과적인 행동 방안을 분석하고, 현재 상황의 가능한 진화 과정을 추측하고, 행동 방안을 조정하다.
위 방법의 일치 결과가 만족스럽지 않은 경우 경험을 바탕으로 잠재적 가정을 발굴한 다음 각 가설과 실제 상황의 일관성을 평가하는 스토리를 구성하는 방법을 사용합니다. RPD 모델에서 인식, 이해 및 예측의 세 가지 요소는 주로 가정을 기반으로 관련 정보 수집 (인식), 특징 일치 및 스토리 구축 (이해), 가정 중심 사고 시뮬레이션 및 추측 (예측) 입니다.
셋째, 상황 의식 응용의 요점
현재, 단일 차원의 네트워크 보안 방어 기술은 복잡한 네트워크 환경과 대량의 보안 문제를 해결하기 어렵다. 사이버 보안 태세 인식의 구체적인 모델과 기술 연구는 2.0 시대 사이버 보안 기술의 초점이 되었으며, 많은 기관들이 네트워크 보안 태세 인식 제품과 솔루션을 출시했습니다.
그러나 현재 시장의 관련 제품과 솔루션은 네트워크 보안 상황의 한 측면이나 여러 측면에 대한 인식에 상대적으로 편향되어 있으며, 네트워크 보안 상황 인식의 데이터 분석 깊이와 폭은 더욱 강화되어야 합니다. 한편, 네트워크 보안 태세 인식은 다른 시스템 플랫폼과의 연계가 부족하여 태세 인식과 안전한 운영 깊이를 융합할 수 없습니다.
이를 위해 태극교장은 사이버 보안 태세 인식 플랫폼의 건설이 다음과 같은 측면에 초점을 맞춰야 한다고 판단했다.
1. 데이터 수집의 경우 네트워크 구조 데이터, 네트워크 서비스 데이터, 취약성 데이터, 위협 및 침입 데이터, 사용자 비정상 행동 데이터 등 네트워크 보안 데이터의 출처가 가능한 한 풍부해야 합니다. 그래야만 태세 평가 결과가 정확해질 수 있다.
2. 태세 평가의 경우 태세 인식 평가는 여러 가지 측면과 각도에서 네트워크의 비즈니스 보안, 데이터 보안, 인프라 보안 및 전체 보안을 평가하고 어플리케이션 배경과 네트워크 규모에 따라 다른 평가 방법을 선택해야 합니다.
3. 태세 인식 과정 방면에서 태세 인식 과정은 표준화되고 채택된 알고리즘은 간단해야 한다. 표준화되고 조작하기 쉬운 평가 모델과 예측 모델을 선택하여 네트워크 보안 상태를 실시간으로 정확하게 평가해야 합니다.
4. 태세 예측 방면에서 태세 인식은 각기 다른 평가 결과를 지원하여 그 발전 추세를 예측하고 대규모 보안 사건의 발생을 막을 수 있어야 한다.
5. 태세 인식 결과 표시의 경우 태세 인식은 다양한 형태의 시각화 디스플레이를 지원하고, 사용자와의 상호 작용을 지원하며, 다양한 애플리케이션 요구 사항에 따라 태세 평가 보고서를 생성하고, 적절한 개선 조치를 제공합니다.
넷째, 요약
이러한 모델과 응용 프로그램 포인트는 네트워크 보안 상황 인식에 매우 중요합니다. 이러한 기본 개념과 핵심 사항을 깊이 이해하고 실천해야 의사 결정자가 네트워크 보안 태세 인식 기능을 얻을 수 있습니다.
태극교장은 네트워크 보안 태세 인식 플랫폼의 건설이' 비즈니스+데이터 정의 보안' 전략에 따라 데이터 소스와 사용자의 실제 요구에 대한 보다 광범위하고 심층적인 분석을 바탕으로 통합 보안, 비즈니스 보안, 데이터 보안, 정보 인프라 보안 등 여러 차원에서 사용자에게 포괄적인 보안 태세 인식을 제공해야 한다고 주장했다. 인지, 이해, 예측을 바탕으로 사용자가 비즈니스를 보고 위협을 이해하는 데 도움이 됩니다.
"CSDN 도학-자연" 에서 발췌했습니다