지식 대중화-안보 상황

네트워크의 규모와 복잡성이 계속 증가함에 따라 네트워크 공격 기술은 계속해서 혁신되고 있으며, 기존의 네트워크 보안 기술이 미흡하여 네트워크 침입이 불가피하며 네트워크 보안 문제가 발생하고 있습니다. 점점 심각해지고 있습니다.

네트워크 보안 담당자의 초점도 개별 보안 문제 해결에서 전체 네트워크의 보안 상태와 변화를 연구하는 것으로 진화했습니다. 트렌드.

사이버보안 상황인식은 네트워크 보안에 영향을 미치는 다양한 요소의 미래 발전 동향을 파악, 이해, 평가, 예측하는 수단이다. 사이버 보안 2.0 시대에는 메트릭과 상황 인식이 보안 기술의 초점이 되었으며 네트워크 보안을 보장하는 데 매우 중요한 역할을 합니다.

1. 상황 인식의 기본 개념

1.1 상황 인식의 일반적인 정의

네트워크 보안 상황 인식에 대한 다양한 연구 분야를 통해 사람들의 정의와 정의 상황 인식 이해에도 큰 차이가 있습니다. 그 중에서 가장 잘 알려진 것은 Endsley 박사가 제시한 동적 환경에서의 상황 인식에 대한 일반적인 정의입니다.

상황 인식은 많은 수의 인식입니다. 시간과 공간의 환경 요소의 중요성을 이해하고 가까운 미래의 상태를 예측합니다.

이 정의에서는 상황인식의 세 가지 요소인 지각, 이해, 예측을 추출할 수 있습니다. 즉, 상황인식은 정보처리의 세 가지 수준, 즉 지각, 이해, 예측으로 나눌 수 있습니다. :

인식: 환경에서 중요한 단서나 요소를 인식하고 획득합니다.

이해: 인식된 데이터와 정보를 통합하고 관련성을 분석합니다.

예측: 기반; 환경정보에 대한 인식과 이해를 바탕으로 관련 지식의 향후 발전 동향을 예측한다.

1.2 네트워크 보안 상황 인식의 개념

현재 네트워크 보안 상황 인식에 대한 통일되고 포괄적인 정의는 없습니다. 상황 인식의 일반적인 정의를 결합하여 이해할 수 있습니다. 네트워크 보안 상황 인식은 기본적인 설명을 제공합니다.

네트워크 보안 상황 인식은 네트워크 보안 요소를 종합적으로 분석하고 네트워크 보안 상태를 평가하며 발전 추세를 예측하고 이를 시각적으로 사용자에게 표시하는 것입니다. 방식으로 대응하고 이에 대한 보고와 대응 조치를 제공합니다.

위의 개념 모델에 따르면 네트워크 보안 상황 인식 프로세스는 다음과 같은 네 가지 프로세스로 나눌 수 있습니다.

1) 데이터 수집: 다양한 탐지 도구를 통해 보안에 영향을 미치는 다양한 요소 시스템 보안 이 단계는 상황 인식을 위한 전제 조건입니다.

2) 상황 이해: 다양한 네트워크 보안 요소 데이터를 분류, 병합, 연관, 분석하여 이를 처리하고 융합하며, 융합된 데이터를 종합적으로 수행합니다. 네트워크에 영향을 미치는 전반적인 보안 상태를 파악하기 위한 정보 분석, 이 단계는 상황 인식의 기초입니다.

3) 상황 평가: 현재 보안 상태와 네트워크의 취약한 링크를 정성적, 정량적으로 분석합니다. 대응 조치를 제공합니다. 이 단계는 상황 인식의 핵심입니다.

4) 상황 예측: 상황 평가에서 출력된 데이터를 통해 네트워크 보안 상태의 발전 추세를 예측하는 이 단계는 상황 인식의 목표입니다. 의식.

네트워크 보안 상황 인식은 깊이와 폭을 모두 가져야 하며 시스템의 보안을 여러 수준, 여러 각도, 여러 세분성에서 분석하고 대응책을 제시하고 이를 다이어그램, 표 형식으로 사용자에게 제시해야 합니다. 및 보안 보고서.

2. 상황 인식을 위해 일반적으로 사용되는 분석 모델

네트워크 보안 상황 인식 분석 과정에서는 이러한 모델의 분석 방법이 다르지만 많은 성숙한 분석 모델이 적용됩니다. , 그러나 대부분은 인식, 이해 및 예측의 세 가지 요소를 포함합니다.

2.1 인식으로 시작: Endsley 모델

Endsley 모델에서 상황 인식은 인식으로 시작됩니다.

인식에는 네트워크 환경에서 중요한 구성 요소의 상태, 속성, 역학 등의 정보와 이를 분류하고 구성하는 프로세스가 포함됩니다.

이해는 이러한 중요한 구성요소의 정보를 통합하고 해석하는 것입니다. 단일 분석 개체에 대한 판단과 분석뿐만 아니라 여러 관련 개체를 통합하고 정렬하는 것입니다. 동시에 이해는 상황의 변화에 ​​따라 끊임없이 업데이트되고 진화하며, 새로운 정보가 끊임없이 통합되어 새로운 이해를 형성합니다.

상황요소의 상태와 변화에 대한 이해를 바탕으로, 상황의 각 요소의 향후 상태와 변화를 예측해 보세요.

2.2 순환적 대결: OODA 모델

OODA는 관찰(Oberve), 조정(Orient), 의사결정(Decide), 행동(Act)을 의미하는 모델입니다. 정보전 분야. OODA는 정보를 수집하고, 결정을 평가하고, 조치를 취하는 지속적인 프로세스입니다.

네트워크 보안 상황 인식에 OODA 사이클을 적용하면 공격자와 분석가 모두 관찰을 통해 공격을 인지하고 공격을 받고, 이해를 통해 공격 및 방어 방법을 조정하고 결정하고, 상대방의 다음 행보를 예측하는 사이클 과정에 직면하게 됩니다. 다음 관찰 라운드에 진입하는 동안 작업을 시작합니다.

분석가의 OODA 루프가 공격자의 루프보다 빠르면 분석가는 상대의 루프에 "들어가" 이점을 얻을 수 있습니다.

예를 들어 상대방이 무엇을 하고 있거나 무엇을 할 수 있는지 주목하는 것, 즉 상대방의 OODA 루프를 분석함으로써 상대방이 다음에 취할 행동을 판단하고, 상대방보다 먼저 행동을 취할 수 있다.

2.3 데이터 융합: JDL 모델

JDL(Joint Directors of Laboratories) 모델은 미국 국방부가 설립한 정보 융합 시스템의 정보 처리 방법입니다. 실험실에서 제안한 국방.

JDL 모델은 다양한 데이터 소스의 데이터와 정보를 종합적으로 분석하고 상호 관계를 기반으로 대상 식별, 신원 추정, 상황 평가 및 위협 평가를 수행하며, 평가 결과를 통해 융합 프로세스를 지속적으로 개선해 나갈 것입니다. 평가의 정확성.

네트워크 보안 상황 인식에 있어서 내부 및 외부 소스의 대량 보안 데이터에 직면하여 JDL 모델을 통한 데이터 융합 분석은 분석 대상에 대한 인식, 이해 및 영향 평가를 실현할 수 있으며, 후속 예측을 위한 기초를 제공하고 중요한 분석 기반과 지원을 제공합니다.

2.4 가정 및 추론: RPD 모델

RPD(Recognition Primed Decision) 모델은 상황 인식을 인식과 평가의 두 단계로 나누어 정의합니다.

인식 단계에서는 특징 매칭을 통해 현재 상황과 과거 상황을 비교하고, 유사도가 높은 과거 상황을 선정해 당시 취했던 조치 방안이 효과적이었는지 알아보는 단계다. 평가 단계에서는 과거 유사 상황에 대한 효과적인 실행 계획을 분석하고, 현재 상황의 전개 가능성을 추측하고 실행 계획을 조정합니다.

위의 방법으로 만족스럽지 못한 매칭 결과가 나오면 스토리를 구성하는 방법, 즉 경험을 바탕으로 잠재적인 가정을 탐색한 후 각 가정과 실제 상황의 일관성을 평가하는 방법을 채택하게 됩니다. RPD 모델의 인식, 이해, 예측의 세 가지 요소는 주로 가정을 기반으로 관련 정보 수집(인식), 특징 매칭 및 스토리 구성(이해), 가설 중심 사고 시뮬레이션 및 추측(예측)에 반영됩니다.

3. 상황 인식 적용의 요점

현재 단일 차원 네트워크 보안 방어 기술 수단으로는 더 이상 복잡한 네트워크 환경과 수많은 숫자에 대처할 수 없습니다. 특정 인식 모델 및 기술에 대한 연구가 2.0 시대 네트워크 보안 기술의 초점이 되었습니다. 동시에 많은 기관에서 네트워크 보안 상황 인식 제품을 출시했습니다. 그리고 솔루션.

그러나 현재 시중에 나와 있는 관련 제품과 솔루션은 상대적으로 네트워크 보안 상황의 하나 또는 몇 가지 측면에 대한 인식에 초점을 맞추고 있으며, 네트워크 보안 상황 인식을 위한 데이터 분석의 깊이와 폭은 여전히 ​​부족합니다. 동시에 네트워크 보안 상황 인식과 기타 시스템 플랫폼 간의 연계는 상황 인식과 보안 운영을 깊이 통합하기에는 부족합니다.

이를 위해 Taiji Security는 네트워크 보안 상황 인식 플랫폼 구축이 다음 측면에 중점을 두어야 한다고 믿습니다.

1. 데이터 수집 측면에서 네트워크 보안 데이터 소스는 최대한 풍부해야 하며 네트워크 구조 데이터, 네트워크 서비스 데이터, 취약점 데이터, 취약점 데이터, 위협 및 침입 데이터, 비정상적인 사용자 행동 데이터 등을 포함해야 합니다. 그래야만 상황 평가 결과가 정확할 수 있습니다.

2. 상황 평가 측면에서 상황 인식 평가는 다양한 수준과 각도로 평가해야 하며, 비즈니스 보안, 데이터 보안, 인프라 보안 및 네트워크의 전반적인 보안 상태를 평가할 수 있어야 하며 대상이 되어야 합니다. 다양한 애플리케이션 배경과 다양한 네트워크 크기에는 다양한 평가 방법이 필요합니다.

3. 상황인식 과정에서는 상황인식 과정을 표준화하고, 사용하는 알고리즘이 단순해야 하며, 표준화되고 조작이 용이한 평가 모델과 예측 모델을 선택하여 현실화해야 합니다. 시간과 정확한 네트워크 평가.

4. 상황 예측 측면에서 상황 인식은 다양한 평가 결과를 바탕으로 발전 동향 예측을 지원하고 대규모 보안 사고 발생을 예방할 수 있어야 합니다.

5. 상황 인식 결과 표시 측면에서 상황 인식은 다양한 형태의 시각적 표시를 지원하고 사용자와의 상호 작용을 지원하며 다양한 애플리케이션 요구 사항에 따라 상황 평가 보고서를 생성하고 해당 개선 조치를 제공할 수 있습니다.

4. 요약

위의 모델과 응용 핵심 사항은 네트워크 보안 상황 인식에 매우 중요합니다. 이러한 기본 개념과 핵심 사항을 깊이 이해하고 실천해야 합니다. 우리는 의사 결정자가 네트워크 보안 상황을 인식할 수 있도록 진정으로 지원합니다.

타이지 시큐리티는 네트워크 보안 상황 인식 플랫폼의 구축이 '비즈니스 + 데이터 정의 보안' 전략을 핵심으로, 보다 광범위하고 심층적인 데이터 소스 분석을 기반으로 추진되어야 한다고 믿습니다. 포괄적인 보안, 비즈니스 보안, 데이터 보안, 정보 인프라 보안 및 기타 차원은 사용자의 실제 요구 사항을 인식, 이해 및 예측을 기반으로 사용자에게 비즈니스를 이해하는 데 도움이 됩니다. 위협, 위험을 확인하고 의사결정을 지원합니다.

CSDN Taofa-Natural에서 발췌