來(lái)源：https://www.researchgate.net/publication/334909513_Cognitive_security_A_comprehensive_study_of_cognitive_science_in_cybersecurity/link/5ee8bf3292851ce9e7e7f0d8/download

https://www.researchgate.net/profile/Roberto_Andrade7

https://apnews.com/Wired%20Release/eea7380ffe68392dba97fe98725c44b6

https://dailyscience.me/2020/04/02/cognitive-security-market-research-report-market-analysis-on-the-future-growth-prospects-and-market-trends-adopted-by-the-competitors-regions-with-forecast-by-2025-2/

北約

https://innovation-entrepreneurship.springeropen.com/articles/10.1186/s13731-019-0105-z

摘要：如今，物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)和社交網(wǎng)絡(luò)正在引發(fā)一場(chǎng)社會(huì)進(jìn)程的變革。然而，這一技術(shù)變革帶來(lái)了新的威脅和安全攻擊，產(chǎn)生了新的、復(fù)雜的網(wǎng)絡(luò)安全場(chǎng)景，其中包含大量數(shù)據(jù)和不同的攻擊載體，超出了安全分析師的認(rèn)知能力。在此背景下，認(rèn)知科學(xué)可以增強(qiáng)認(rèn)知過(guò)程，這可以幫助安全分析師在更短的時(shí)間內(nèi)更有效地建立網(wǎng)絡(luò)安全行動(dòng)。該文提出了一個(gè)認(rèn)知安全模型，該模型集成了大數(shù)據(jù)、機(jī)器學(xué)習(xí)等技術(shù)解決方案和支持決策系統(tǒng)，以及安全分析師用于生成知識(shí)、理解和執(zhí)行安全響應(yīng)行動(dòng)的認(rèn)知過(guò)程。該模型考慮了在執(zhí)行網(wǎng)絡(luò)操作過(guò)程中定義的認(rèn)知任務(wù)時(shí)建立自動(dòng)化過(guò)程的替代方案，并通過(guò)使用MAPE- K、OODA和Human in The Loop將分析師作為驗(yàn)證和決策過(guò)程的中軸。

1. 介紹

聯(lián)合國(guó)組織在聯(lián)合國(guó)開(kāi)發(fā)計(jì)劃署[49]和國(guó)際電信聯(lián)盟的[18]互聯(lián)2020議程中強(qiáng)調(diào)，互聯(lián)世界所賦予的信息社會(huì)加速了各國(guó)社會(huì)的經(jīng)濟(jì)和社會(huì)發(fā)展。物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和移動(dòng)等技術(shù)通過(guò)對(duì)不同數(shù)據(jù)源的訪問(wèn)、海量數(shù)據(jù)和世界各地人們的協(xié)作，增強(qiáng)了信息社會(huì);為了實(shí)現(xiàn)這一目標(biāo)，每年都有數(shù)百萬(wàn)臺(tái)設(shè)備聯(lián)網(wǎng)。根據(jù)[13]，2017年有83億連接設(shè)備，2018年有111.9億設(shè)備被量化，到2020年將有約204億設(shè)備被連接。Statista[35] -預(yù)計(jì)到2020年聯(lián)網(wǎng)設(shè)備將達(dá)到307.3億，到2025年將達(dá)到754.4億，而福布斯[12]指出，2018年物聯(lián)網(wǎng)設(shè)備的投資將增長(zhǎng)2150億，到2020年達(dá)到8350億。所有(人、事物和過(guò)程)的相互聯(lián)系和對(duì)大量信息的獲取正在改變我們工作、學(xué)習(xí)和社交的方式。產(chǎn)生了城市管理和發(fā)展的新模式

如智慧城市[50]或敏感城市[17]。智慧城市建立感知層[41]和數(shù)據(jù)交換層[21]，為決策過(guò)程生成移行、交通、自然資源消耗或環(huán)境變化等方面的知識(shí)。在家里，電視、冰箱、電燈等聯(lián)網(wǎng)設(shè)備以及Siri、Alexa或谷歌Assistant等虛擬助手改變了人們的社交互動(dòng)。在這種情況下，一個(gè)人可以通過(guò)移動(dòng)設(shè)備打開(kāi)一扇門(mén)，或者從電腦上請(qǐng)求一首歌曲，然后在房子里不同地方的揚(yáng)聲器上播放。如今，玩具也與互聯(lián)網(wǎng)互聯(lián)，IBM推出了一款認(rèn)知玩具，它由一只連接到沃森認(rèn)知平臺(tái)的恐龍組成，該平臺(tái)可以基于結(jié)構(gòu)化對(duì)話與兒童進(jìn)行交互，并具有通過(guò)每次交互學(xué)習(xí)的能力。然而，這個(gè)互聯(lián)互通的世界在網(wǎng)絡(luò)空間中帶來(lái)了新的威脅和風(fēng)險(xiǎn)，在網(wǎng)絡(luò)空間中，人是網(wǎng)絡(luò)安全動(dòng)態(tài)的關(guān)鍵因素;例如,一個(gè)用戶打開(kāi)電子郵件被惡意軟件感染,攻擊者分析漏洞和空白構(gòu)建攻擊,尋找發(fā)現(xiàn)和控制機(jī)制的安全分析師攻擊或首席信息安全官(CISO)必須安全風(fēng)險(xiǎn)分析的基礎(chǔ)上做出決定。這一背景促使我們?cè)谶@一工作中界定了我們的研究計(jì)劃:

1. 在網(wǎng)絡(luò)安全操作的背景下，人類(lèi)行為的各個(gè)方面。

2. 建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知(CSA)，以了解安全程序、操作任務(wù)和歷史網(wǎng)絡(luò)安全事件產(chǎn)生的知識(shí)，從而定義防御策略。

以心理學(xué)、計(jì)算科學(xué)、語(yǔ)言學(xué)、哲學(xué)和神經(jīng)科學(xué)為研究對(duì)象的跨學(xué)科科學(xué)被定義為認(rèn)知科學(xué)[32]。在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用使得程序、安全實(shí)踐、計(jì)算機(jī)系統(tǒng)產(chǎn)生的知識(shí)、安全博客、漏洞公告以及安全專(zhuān)家的經(jīng)驗(yàn)之間相互關(guān)聯(lián)，并根據(jù)他們每天執(zhí)行的任務(wù)產(chǎn)生對(duì)網(wǎng)絡(luò)安全狀況的認(rèn)知(意識(shí)或洞察力)。人與機(jī)器之間的協(xié)作、統(tǒng)計(jì)方法的應(yīng)用、機(jī)器學(xué)習(xí)和大數(shù)據(jù)的使用可以增強(qiáng)或擴(kuò)展安全操作中心(SOC)或安全事件響應(yīng)團(tuán)隊(duì)(CSIRT)的安全專(zhuān)家的認(rèn)知技能，提高了關(guān)注于網(wǎng)絡(luò)安全過(guò)程的應(yīng)用解決方案的研究興趣。

在圖1中，我們展示了網(wǎng)絡(luò)安全對(duì)惡意行為檢測(cè)過(guò)程的演變，重點(diǎn)關(guān)注于對(duì)關(guān)鍵基礎(chǔ)設(shè)施和用戶信息的保護(hù)。盡管技術(shù)在網(wǎng)絡(luò)安全中扮演著重要的角色，但人在網(wǎng)絡(luò)空間中扮演著不同的角色:用戶、攻擊者和防御者。安全分析人員必須通過(guò)使用認(rèn)知科學(xué)關(guān)注組織的網(wǎng)絡(luò)安全狀況，這可以改善網(wǎng)絡(luò)安全過(guò)程的檢測(cè)和安全事件的反應(yīng)。

2. 背景

2.1 在網(wǎng)絡(luò)安全挑戰(zhàn)

技術(shù)和社會(huì)變化正在給商業(yè)和學(xué)術(shù)環(huán)境中的安全專(zhuān)家?guī)?lái)新的挑戰(zhàn)。

根據(jù)《福布斯》和Gartner的預(yù)測(cè)，美國(guó)國(guó)家安全局(NSA)、NIST和歐盟委員會(huì)(European Commission)等政府機(jī)構(gòu)認(rèn)為，網(wǎng)絡(luò)安全面臨的一些挑戰(zhàn)是:

?人工智能(AI)的算法，使用組織或個(gè)人數(shù)據(jù)產(chǎn)生預(yù)測(cè)，這些數(shù)據(jù)可能是敏感的，因此有必要加強(qiáng)信息保護(hù)機(jī)制，特別是個(gè)人數(shù)據(jù)。在AI中，攻擊者可以篡改數(shù)據(jù)，從而影響所獲得的結(jié)果，這是保證數(shù)據(jù)完整性所必需的。人工智能也有可能被濫用，被用來(lái)攻擊系統(tǒng)甚至人，比如殺戮機(jī)器人，也就是使用人工智能搜索并殺死政客的無(wú)人機(jī)。使用人工智能在網(wǎng)絡(luò)安全方面面臨的一些挑戰(zhàn)是:

-在AI中使用的信息隱私。

- AI中使用的信息的完整性。

-濫用人工智能。

?勒索軟件已經(jīng)成為網(wǎng)絡(luò)犯罪的強(qiáng)大武器。2012年以來(lái)，reventon、cryptolocker、cryptowall、wannacry等勒索軟件遭遇了數(shù)次攻擊。然而，他們并不是唯一的受害者，在2014年到2017年期間，已經(jīng)有327個(gè)勒索軟件家庭被確認(rèn)，總共產(chǎn)生了1.84億次攻擊。Statista(2017)估計(jì)2019年勒索軟件攻擊造成的損失為115億美元。在這方面，網(wǎng)絡(luò)安全面臨的一些挑戰(zhàn)是:

-識(shí)別勒索軟件模式。

-建立競(jìng)爭(zhēng)進(jìn)程，以防止勒索軟件分發(fā)。

-定義數(shù)據(jù)保護(hù)方案。

?區(qū)塊鏈，使用加密貨幣可能被視為優(yōu)化銀行、健康或商業(yè)電子轉(zhuǎn)賬流程的一種選擇。但是，在安全級(jí)別上存在一些挑戰(zhàn):

-提高分散管理失敗時(shí)的恢復(fù)時(shí)間。

-確保智能合同的正確運(yùn)行。

-確保支持區(qū)塊鏈的基礎(chǔ)設(shè)施。

?物聯(lián)網(wǎng)安全，據(jù)Gartner[13]稱(chēng)，到2020年，29億美元的投資和大約200億連接設(shè)備將產(chǎn)生全球物聯(lián)網(wǎng)。自2016年以來(lái)，物聯(lián)網(wǎng)Bonet的攻擊增加了600%，成為最著名的Mirai Bonet，影響了CNN、Netflix、Reddit和twitter等網(wǎng)站。需要面對(duì)與網(wǎng)絡(luò)安全相關(guān)的物聯(lián)網(wǎng)挑戰(zhàn):

-物聯(lián)網(wǎng)設(shè)備之間的安全通信。

-設(shè)備的授權(quán)和認(rèn)證。

-隱私和數(shù)據(jù)完整性。

-設(shè)備更新管理。

-設(shè)備的身份盜竊。

?無(wú)服務(wù)器應(yīng)用安全，云中的容器可以降低操作成本，加速交付給用戶的時(shí)間，當(dāng)使用云中的可用服務(wù)模型來(lái)實(shí)現(xiàn)應(yīng)用和服務(wù)時(shí)，一些安全考慮是:

-認(rèn)證被破壞。

-不安全的無(wú)服務(wù)器配置。

不充分的監(jiān)測(cè)。

-依賴于第三方的不安全感。

為了從學(xué)術(shù)角度分析安全挑戰(zhàn)，我們對(duì)2016年至2018年舉辦的30場(chǎng)由大學(xué)ACM和IEEE贊助的會(huì)議進(jìn)行了分析。表1列出了網(wǎng)絡(luò)安全領(lǐng)域三個(gè)層次的研究課題:戰(zhàn)略、戰(zhàn)術(shù)和運(yùn)營(yíng)。從學(xué)術(shù)和商業(yè)的角度來(lái)看，未來(lái)幾年在網(wǎng)絡(luò)安全領(lǐng)域有廣泛的研究和發(fā)展。

2.2 安全事件響應(yīng)

雖然保護(hù)網(wǎng)絡(luò)安全的技術(shù)解決方案已經(jīng)有所改進(jìn)，但更有必要考慮建立主動(dòng)防御戰(zhàn)略，尤其是隨著威脅和攻擊的大量變體不斷擴(kuò)大，以及新興技術(shù)的使用和人類(lèi)社會(huì)互動(dòng)的變化。一些組織每天面臨的攻擊是:

?對(duì)物聯(lián)網(wǎng)工業(yè)系統(tǒng)的攻擊。

?惡意軟件傳播。

?物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

?ddos和遠(yuǎn)程攻擊。

安全事件響應(yīng)的目標(biāo)是減少或包含允許組織返回到定義為可接受[51]的安全狀態(tài)的安全攻擊的影響。一些組織定義為處理安全事件的策略建立安全事件響應(yīng)團(tuán)隊(duì)稱(chēng)為CSIRT, CERT或SIRT[19]。此外，安全事件響應(yīng)允許組織遵守其他方面，如:

?提高對(duì)法規(guī)或標(biāo)準(zhǔn)的遵守程度。

?快速的威脅檢測(cè)和補(bǔ)救。

?減少利用漏洞的風(fēng)險(xiǎn)。

?簡(jiǎn)化安全操作的努力。

triange。組織同時(shí)面臨著不同的安全攻擊，因?yàn)樵诎踩录^(guò)程中，triange的活動(dòng)被定義為基于先前根據(jù)網(wǎng)絡(luò)安全攻擊的風(fēng)險(xiǎn)影響所做的分類(lèi)，對(duì)安全事件的關(guān)注進(jìn)行優(yōu)先排序。為了執(zhí)行triange過(guò)程，組織必須事先建立以下步驟[37]:

1. 確認(rèn)事件，

2. 事件登記,

3. 事件的分類(lèi)，

4. 事件的優(yōu)先順序，

5. 早期診斷,

6. 事件升級(jí)，

7. 事件的解決，和

8. 事件結(jié)束。

在一個(gè)適當(dāng)?shù)膖riange過(guò)程中，安全分析人員必須了解組織內(nèi)的網(wǎng)絡(luò)安全狀況，以識(shí)別并預(yù)測(cè)威脅或安全攻擊。要實(shí)現(xiàn)這種情況意識(shí)，分析人員需要處理大量的信息，并在時(shí)間和空間變量中關(guān)聯(lián)它們。此活動(dòng)需要安全分析人員的高度集中和認(rèn)知技能，可能受到不同因素的影響:

?高壓力,

?誤報(bào)率高，

?少量態(tài)勢(shì)感知，

?經(jīng)驗(yàn)少,

?非結(jié)構(gòu)化的任務(wù),

?識(shí)別和應(yīng)對(duì)攻擊的非標(biāo)準(zhǔn)化方法，

?大量的數(shù)據(jù)和信息，

?信息來(lái)源不確定，和

?缺乏來(lái)自分析師和安全操作中心(SOC)或CSIRTs的性能指標(biāo)

2.3 網(wǎng)絡(luò)安全的認(rèn)知科學(xué)

心理學(xué)和網(wǎng)絡(luò)安全。意識(shí)是心理學(xué)領(lǐng)域定義的一個(gè)概念，指的是一個(gè)人根據(jù)自己的經(jīng)驗(yàn)對(duì)自己的生活產(chǎn)生理解的能力(Baker, 1987)。這一概念被許多研究人員應(yīng)用到工程和計(jì)算機(jī)系統(tǒng)領(lǐng)域，例如Lewis等人(2016)[27]將計(jì)算系統(tǒng)的自我意識(shí)定義為基于內(nèi)部和外部事件獲取自身知識(shí)的能力。在Camara[8]的工作中，自我意識(shí)被定義為一種自主能力、社會(huì)能力和主動(dòng)能力，計(jì)算機(jī)系統(tǒng)可以產(chǎn)生關(guān)于自身和環(huán)境的知識(shí)，并決定將根據(jù)這些知識(shí)執(zhí)行的行動(dòng)。此外，Kounev等人[22]和Lewis等人(2011)[26]定義了計(jì)算系統(tǒng)的自寡性，如計(jì)算機(jī)系統(tǒng)在執(zhí)行時(shí)獲得以下三個(gè)特性的過(guò)程或能力:

?自動(dòng)反射:了解其軟件架構(gòu)、硬件基礎(chǔ)設(shè)施和執(zhí)行環(huán)境，以實(shí)現(xiàn)其操作目標(biāo)。

?自動(dòng)預(yù)測(cè):能夠預(yù)測(cè)由于可能的適應(yīng)行動(dòng)而產(chǎn)生的動(dòng)態(tài)變化的影響。

?自適應(yīng):能夠主動(dòng)適應(yīng)環(huán)境，繼續(xù)實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)。

2.4 認(rèn)知系統(tǒng)的弱點(diǎn)

組織中產(chǎn)生的網(wǎng)絡(luò)安全態(tài)勢(shì)級(jí)別的能力允許確定威脅和攻擊的類(lèi)型，維持足夠的安全級(jí)別，并定義積極主動(dòng)的戰(zhàn)略，以面對(duì)當(dāng)前和未來(lái)的攻擊或威脅。提出的認(rèn)知安全模型尋求整合不同的解決方案，以提高網(wǎng)絡(luò)安全運(yùn)營(yíng);然而，它仍然存在與每個(gè)組件的固有弱點(diǎn)相關(guān)的弱點(diǎn)。

在網(wǎng)絡(luò)安全中使用人工智能的情況下，由安全分析師生成一個(gè)知識(shí)庫(kù)，用于建立應(yīng)對(duì)攻擊的最佳決策;如果之前沒(méi)有對(duì)事件進(jìn)行編目，或者知識(shí)庫(kù)有限，或者沒(méi)有明確定義具體任務(wù)，那么解決方案將無(wú)法充分響應(yīng)。

這種被稱(chēng)為“窄化”的情況會(huì)產(chǎn)生不可預(yù)測(cè)的行為，在智能電網(wǎng)和核電站等關(guān)鍵環(huán)境中可能造成危險(xiǎn)。在大數(shù)據(jù)等數(shù)據(jù)分析組件的情況下，如果不考慮數(shù)據(jù)質(zhì)量，安全分析師可能會(huì)根據(jù)不準(zhǔn)確的信息做出決策;這種情況會(huì)導(dǎo)致組織中不可預(yù)測(cè)的行為。以下是應(yīng)確保質(zhì)量數(shù)據(jù)的最小特征:

?一致性

?精度

?完整性

?可審核性

?整齊

考慮到認(rèn)知系統(tǒng)中如何集成大數(shù)據(jù)和人工智能的重要性，我們建議考慮CRISP-DM方法來(lái)保持足夠的數(shù)據(jù)質(zhì)量。這種方法也允許建立一個(gè)基于數(shù)據(jù)分析的建模過(guò)程;可以從認(rèn)知模型的預(yù)處理、處理和建模三個(gè)層面來(lái)考慮。認(rèn)知系統(tǒng)仍然缺乏自我意識(shí)狀態(tài)，無(wú)法自行理解某一事件的積極或消極狀態(tài)，因此不建議在100%自動(dòng)化水平上實(shí)施。認(rèn)知系統(tǒng)的組成部分也容易受到攻擊，這些攻擊可以操縱數(shù)據(jù)并引發(fā)負(fù)面決策。提出的認(rèn)知安全模型考慮了上述弱點(diǎn)，并包括諸如mape - k之類(lèi)的控制技術(shù)，通過(guò)OODA和HITL將分析師作為模型的一部分，并提出了允許數(shù)據(jù)質(zhì)量分析的分層模型。

3. 研究方法

為了分析認(rèn)知科學(xué)在網(wǎng)絡(luò)安全領(lǐng)域的貢獻(xiàn)，本研究發(fā)展了四個(gè)階段，如圖3所示。在第一階段我們提出關(guān)于網(wǎng)絡(luò)安全的文獻(xiàn)綜述,然后在第二階段,我們識(shí)別的主要特征,區(qū)分認(rèn)知科學(xué)的貢獻(xiàn)的網(wǎng)絡(luò)安全策略,然后在第三階段,我們整合認(rèn)知安全的特性提出了一個(gè)概念模型,最后我們討論認(rèn)知安全將面臨的問(wèn)題。

4. 文獻(xiàn)綜述

為了維護(hù)信息安全，組織建立了網(wǎng)絡(luò)安全和防御行動(dòng)的焦點(diǎn)，即安全行動(dòng)中心(SOCs)或安全事件反應(yīng)小組(CSIRTs)。為了處理網(wǎng)絡(luò)安全問(wèn)題，SOC或CSIRT建立由安全分析師執(zhí)行的日常操作或活動(dòng)。其中大部分是:

1. 建立安全態(tài)勢(shì)意識(shí)，

2. 識(shí)別攻擊或威脅，

3. 安全應(yīng)急響應(yīng),

4. 吸取教訓(xùn)的過(guò)程。

根據(jù)MITRE[30]，自1990年以來(lái)，幾個(gè)事件改變了SOC運(yùn)行的方式;其中包括:

?高級(jí)持續(xù)威脅(APT)的增長(zhǎng)

?IT和云計(jì)算的整合。

?移動(dòng)技術(shù)的發(fā)展。

?從網(wǎng)絡(luò)攻擊到客戶端攻擊的轉(zhuǎn)變。

目前有不同的技術(shù)解決方案用于保護(hù)和檢測(cè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全威脅。然而，人類(lèi)仍然是安全鏈中最薄弱的一環(huán)。SOC或CSIRT不僅要面對(duì)技術(shù)帶來(lái)的問(wèn)題，還要面對(duì)與人和進(jìn)程相關(guān)的問(wèn)題。這是一個(gè)引起人們興趣的研究課題，是通過(guò)認(rèn)知科學(xué)來(lái)理解和增強(qiáng)安全分析師的過(guò)程和認(rèn)知任務(wù)。將認(rèn)知理論與網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的方法和模型相結(jié)合，可以改善網(wǎng)絡(luò)空間參與者的決策過(guò)程。這項(xiàng)工作中提出的研究方法包括根據(jù)SOC的業(yè)務(wù)活動(dòng)進(jìn)行的文獻(xiàn)綜述，它使我們能夠理解認(rèn)知科學(xué)在網(wǎng)絡(luò)防御戰(zhàn)略中的貢獻(xiàn)。圖4顯示了我們?cè)谖墨I(xiàn)綜述中考慮的主題。我們首先調(diào)查了網(wǎng)絡(luò)安全中的態(tài)勢(shì)感知概念，然后分析了新興技術(shù)的使用給安全專(zhuān)家?guī)?lái)的新挑戰(zhàn)所帶來(lái)的攻擊和威脅，然后對(duì)安全行動(dòng)中的認(rèn)知進(jìn)行了研究，隨后探索了認(rèn)知活動(dòng)或任務(wù)，以識(shí)別安全分析師所需要的認(rèn)知技能。

4.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知(CSA)

態(tài)勢(shì)感知(SA)的概念描述了組織關(guān)于威脅和攻擊的現(xiàn)狀，可能的攻擊的影響，以及攻擊者的識(shí)別和用戶行為。這些允許在不久的將來(lái)投射組織的狀態(tài)Scott[43]。態(tài)勢(shì)感知的建立是SOC的主要活動(dòng)。在網(wǎng)絡(luò)安全環(huán)境下，[47]將態(tài)勢(shì)感知定義為三個(gè)級(jí)別:

1. 感知，由網(wǎng)絡(luò)空間元素的信息如防火墻、SIEM或安全新聞產(chǎn)生。

2. 基于對(duì)攻擊的分析，根據(jù)威脅或風(fēng)險(xiǎn)的程度來(lái)確定當(dāng)前的形勢(shì)。

3. 預(yù)測(cè)，建立對(duì)漏洞、威脅或攻擊類(lèi)型的預(yù)測(cè)。

分析人員必須了解安全情況并確定影響的可能性。在軍事領(lǐng)域，美國(guó)空軍飛行員認(rèn)為，可以根據(jù)約翰·博伊德上校提出的OODA循環(huán)的四個(gè)階段建立態(tài)勢(shì)感知。OODA提案基于對(duì)決策過(guò)程環(huán)境的觀察和理解。OODA循環(huán)有兩個(gè)關(guān)鍵方面:時(shí)間約束和信息不確定性，研究人員提出了變量，其中我們可以提到:

?擴(kuò)展的OODA循環(huán)

?迭代的OODA循環(huán)

?ceca模型

?適應(yīng)網(wǎng)絡(luò)中心戰(zhàn)的ooda循環(huán)

?適應(yīng)基于效果的操作的ooda循環(huán)

?模塊化OODA循環(huán)

?認(rèn)知OODA循環(huán)

由Breton和Rousseau(2018)提出的認(rèn)知OODA循環(huán)[6]是基于感知、理解和投射的認(rèn)知過(guò)程。表2展示了認(rèn)知階段、認(rèn)知過(guò)程和根據(jù)Brenton的提議產(chǎn)生的產(chǎn)品之間的關(guān)系。

為了建立一個(gè)計(jì)算系統(tǒng)的自我意識(shí)能力，可以使用以下技術(shù):

（1）基于反饋控制的技術(shù)，

（2）有限制的度量?jī)?yōu)化，

（3）基于自動(dòng)學(xué)習(xí)的技術(shù)，

（4）組合編程,

（5）自我意識(shí)架構(gòu)的重新配置，

（6）以及隨機(jī)性能模型。

2001年，IBM提出了一項(xiàng)基于反饋控制的計(jì)算機(jī)系統(tǒng)技術(shù)，稱(chēng)為mape - k[3]。圖5展示了MAPE-K的五個(gè)階段:監(jiān)測(cè)、分析、規(guī)劃、執(zhí)行和知識(shí)。

4.1.1 網(wǎng)絡(luò)認(rèn)知態(tài)勢(shì)感知(CCSA)

建立網(wǎng)絡(luò)安全形勢(shì)。我們可以依靠面向決策過(guò)程的認(rèn)知方面的支持。適應(yīng)了網(wǎng)絡(luò)空間的感知、理解和投射的認(rèn)知過(guò)程，我們將擁有如表3所示的關(guān)系。

4.2。網(wǎng)絡(luò)安全攻擊和威脅

安全攻擊可以導(dǎo)致電力系統(tǒng)故障、銀行系統(tǒng)崩潰或交通控制問(wèn)題。有些襲擊是由自然事件引起的，而另一些則是由恐怖主義國(guó)家或組織支持的。MITRE[30]提到，技術(shù)變化和威脅的變體是改變SOC運(yùn)行形式的因素。

因此，我們考慮對(duì)物聯(lián)網(wǎng)、云和大數(shù)據(jù)等技術(shù)的使用所帶來(lái)的威脅進(jìn)行相關(guān)分析。這種分析是SOC的第二個(gè)基本活動(dòng)。在物聯(lián)網(wǎng)方面，Alaba[2]對(duì)藍(lán)牙、zigbee、rfid等所使用的硬件、軟件或技術(shù)相關(guān)的攻擊和威脅進(jìn)行了調(diào)查，而周[53]則提到了物聯(lián)網(wǎng)面臨的挑戰(zhàn)和新的安全威脅。Mirza[31]，基于智能家居、醫(yī)療設(shè)備和工業(yè)應(yīng)用中的物聯(lián)網(wǎng)安全研究，提出了不同的威脅和攻擊。Yazan[52]回顧了大數(shù)據(jù)中的攻擊和威脅，Amara[1]提到了云基礎(chǔ)設(shè)施中的攻擊和威脅。在表4-6中，我們基于對(duì)科學(xué)數(shù)據(jù)庫(kù)的回顧，給出了大數(shù)據(jù)、物聯(lián)網(wǎng)和云計(jì)算中的攻擊和威脅安全概要;思科、IBM、卡巴斯基、賽門(mén)鐵克、檢查站的技術(shù)和安全商業(yè)報(bào)告;國(guó)際組織，如:NIST, NSA, SANS和;來(lái)自Gartner和Forbes等咨詢公司的報(bào)告。在表中顯示的信息中，一個(gè)威脅可以與不同的攻擊相關(guān)聯(lián)，沒(méi)有顯示直接的威脅攻擊關(guān)系。

4.3 網(wǎng)絡(luò)安全事件響應(yīng)

SOC的第三個(gè)操作活動(dòng)考慮建立安全事件響應(yīng)流程，以使面臨攻擊的組織保持適當(dāng)?shù)陌踩珷顟B(tài)。為了執(zhí)行此活動(dòng)，安全專(zhuān)家必須分析大量的日志，以確定可能的異常情況，從而檢測(cè)到可能對(duì)組織產(chǎn)生負(fù)面影響的威脅和攻擊。SIEM之類(lèi)的解決方案將日志和事件關(guān)聯(lián)起來(lái)，從而為分析人員簡(jiǎn)化了此活動(dòng)。另一種選擇是使用統(tǒng)計(jì)技術(shù)或數(shù)據(jù)挖掘來(lái)確定不容易檢測(cè)到的攻擊或威脅模式。然而，盡管技術(shù)的進(jìn)步允許自動(dòng)響應(yīng)，但由于一個(gè)正常的時(shí)間事件可能會(huì)被歸類(lèi)為假警報(bào)，從而導(dǎo)致有效連接的中斷，因此并不總是實(shí)現(xiàn)動(dòng)作。網(wǎng)絡(luò)的復(fù)雜性和規(guī)模以及攻擊者行為的動(dòng)態(tài)性可能會(huì)產(chǎn)生很高的誤報(bào)率。根據(jù)[39]，大約20,000小時(shí)被用來(lái)測(cè)試假警報(bào)，在這個(gè)意義上，需要基于經(jīng)驗(yàn)和相信的決策標(biāo)準(zhǔn)在自動(dòng)化過(guò)程中需要(人在循環(huán))。

4.3.1 事件管理流程

事件管理過(guò)程建立了一組階段，允許確定檢測(cè)安全事件的機(jī)制，并定義恢復(fù)行動(dòng)，以在攻擊造成負(fù)面影響的情況下保持適當(dāng)?shù)木W(wǎng)絡(luò)安全狀態(tài)。NIST(2012)建立了四個(gè)階段:

1. 準(zhǔn)備,

2. 檢測(cè)和分析,

3. 遏制、根除和恢復(fù)，以及

4. 事后的活動(dòng)

處理事件的過(guò)程已經(jīng)由幾個(gè)組織提出，在表7中，我們列出了組織和準(zhǔn)則的合并列表。

4.3.2 自動(dòng)化的事件響應(yīng)

事件響應(yīng)過(guò)程的操作活動(dòng)通常是冗長(zhǎng)乏味的，需要網(wǎng)絡(luò)安全分析師的認(rèn)知技能。人的限制處理大量的數(shù)據(jù)和影響人的認(rèn)知的因素，如壓力和情緒，會(huì)降低安全事件響應(yīng)的準(zhǔn)確性和有效性。一些通過(guò)任務(wù)自動(dòng)化來(lái)支持事件響應(yīng)過(guò)程的替代方案可以解決這一局限性。在圖1中，我們展示了安全事件響應(yīng)自動(dòng)化策略的整合。

動(dòng)態(tài)模型:靜態(tài)模型在安全事件響應(yīng)中的限制是基于安全分析人員預(yù)定義的一組可能的響應(yīng)，因此如果攻擊發(fā)生變化，模型無(wú)法預(yù)測(cè)可能的響應(yīng)動(dòng)作。其次，動(dòng)態(tài)模型的主要優(yōu)勢(shì)在于其對(duì)數(shù)字環(huán)境變化的適應(yīng)性。

認(rèn)知地圖模型:認(rèn)知地圖基于基于安全團(tuán)隊(duì)共識(shí)的價(jià)矩陣的創(chuàng)建，這取決于對(duì)如何解決突發(fā)事件[20]所分析的不同選擇。建議中規(guī)定的步驟包括:

?生成攻擊場(chǎng)景。

?建立概率事件反應(yīng)選項(xiàng)，以生成認(rèn)知地圖。

?選擇最合適的答案。

決策模型:決策模型基于一個(gè)驗(yàn)證條件的公理，并基于它的完成執(zhí)行一個(gè)動(dòng)作。待評(píng)價(jià)條件的選擇可以基于不同的準(zhǔn)則，提出的一些決策模型有:

?模糊決策與風(fēng)險(xiǎn)評(píng)估[5]

?ontologies-based[24]。

?規(guī)劃分級(jí)任務(wù)網(wǎng)絡(luò)[9]。

?對(duì)風(fēng)險(xiǎn)影響的承受力[44]。

?攻擊傷害消耗[45]。

?馬爾科夫決策[16]。

博弈論模型:博弈論的使用是基于建立兩個(gè)攻擊和防御角色來(lái)預(yù)測(cè)可能執(zhí)行的攻擊序列。為了實(shí)施博弈論，建議基于:

?均衡策略[54]中的納什。

?隨機(jī)模型[23]。

?貝葉斯學(xué)習(xí)[28]。

多智能體模型:多智能體系統(tǒng)(MAS)執(zhí)行任務(wù)來(lái)解決與事件處理相關(guān)的問(wèn)題。多個(gè)代理的目標(biāo)是提供一個(gè)自治和分散的架構(gòu)，它基于以下活動(dòng)[25]:

?識(shí)別和注冊(cè)。

?分類(lèi)和優(yōu)先級(jí)。

?診斷和分級(jí)。

?項(xiàng)目的解決和恢復(fù)。

?事件結(jié)束。

提案定義了代理的不同角色:

?用戶代理:是系統(tǒng)中能夠看到事件細(xì)節(jié)的用戶。

?管理員代理:負(fù)責(zé)系統(tǒng)的管理。

?主管代理:負(fù)責(zé)監(jiān)控IT服務(wù)，以發(fā)現(xiàn)可能的異常或問(wèn)題。

?事件代理:負(fù)責(zé)處理事件。它的任務(wù)包括:存儲(chǔ)事件信息，在事件數(shù)據(jù)庫(kù)中驗(yàn)證類(lèi)似的事件，在找到解決方案時(shí)通知;如果事件是新的，請(qǐng)告知相關(guān)信息

?診斷代理:根據(jù)服務(wù)水平協(xié)議(SLA)，負(fù)責(zé)評(píng)估事件的影響。

?支持代理:在沒(méi)有解決方案的情況下與事件代理協(xié)同工作，并根據(jù)硬件、軟件或網(wǎng)絡(luò)將信息分組。

4.3.3 網(wǎng)絡(luò)安全分析師技能

安全分析人員集成經(jīng)驗(yàn)和實(shí)踐知識(shí)來(lái)評(píng)估和解釋觀察結(jié)果，以便生成關(guān)于可能發(fā)生攻擊的事件的假設(shè)。為此，需要對(duì)多個(gè)數(shù)據(jù)源和信息進(jìn)行處理，并建立它們與數(shù)字環(huán)境的相關(guān)性。安全分析人員應(yīng)負(fù)責(zé)以下活動(dòng):

?監(jiān)控網(wǎng)絡(luò)。

?識(shí)別威脅。

?修復(fù)漏洞。

為了執(zhí)行這些活動(dòng)，分析師執(zhí)行以下認(rèn)知過(guò)程:

?觀察,

?產(chǎn)生假設(shè)，

?假設(shè)研究。

在2017年的RSA(2017)會(huì)議上，IBM[40]認(rèn)知任務(wù)，安全分析師必須執(zhí)行一個(gè)安全事件，如下所示:

1. 識(shí)別

?tc-1。回顧事件數(shù)據(jù)。

?tc-2。從感興趣的方面回顧事件。

2. 觀察

?tc-3。在數(shù)據(jù)中查找非典型值或異常值。

?tc-4。擴(kuò)展搜索以找到更多的數(shù)據(jù)。

3. 假設(shè)的生成。

?tc-5。調(diào)查威脅發(fā)展經(jīng)驗(yàn)。

?tc-6。發(fā)現(xiàn)新的威脅。

?tc-7。確定其他來(lái)源的承諾指標(biāo)。

4. 研究假設(shè)。

?tc-8。運(yùn)用情報(bào)調(diào)查該事件。

?tc-9。發(fā)現(xiàn)潛在感染的IPs。

?tc-10。根據(jù)對(duì)威脅的調(diào)查所產(chǎn)生的知識(shí)對(duì)事件進(jìn)行定性。

?tc-11。攻擊剖面的規(guī)范性分析。

?tc-12?；诠舴稚D的教訓(xùn)分析。

安全分析師執(zhí)行認(rèn)知任務(wù)所需的認(rèn)知能力包括:

?思維策略

?故障排除

?創(chuàng)新思維

?決策。

?學(xué)習(xí)。

為了提高分析師的認(rèn)知能力，有以下幾種選擇:

?動(dòng)手實(shí)踐。

有使用工具的經(jīng)驗(yàn)。

?模擬環(huán)境。

?基于態(tài)勢(shì)感知的工作流程。

數(shù)字時(shí)代和威脅和攻擊的復(fù)雜性在嚴(yán)重程度上有所增加，產(chǎn)生了數(shù)百萬(wàn)需要高處理能力的數(shù)據(jù)。在網(wǎng)絡(luò)安全的不同層面，人的作用是一個(gè)重要的因素，不能僅僅通過(guò)實(shí)施自動(dòng)化解決方案來(lái)最小化，還需要提高安全分析師的認(rèn)知能力。在圖6中，我們?cè)谖墨I(xiàn)綜述的基礎(chǔ)上對(duì)認(rèn)知安全的各個(gè)組成部分進(jìn)行了整合。

從我們的分析中，我們認(rèn)為認(rèn)知屬性應(yīng)該是橫向的，與網(wǎng)絡(luò)安全層面相關(guān)的，包括攻擊和威脅的檢測(cè)、網(wǎng)絡(luò)安全操作、事件響應(yīng)的處理以及從戰(zhàn)略視角來(lái)提高組織安全的決策。在表8中，我們給出了認(rèn)知在本工作提出的不同安全層中的應(yīng)用。

5. 認(rèn)知功能

提出的認(rèn)知安全模型考慮了不同的角色:攻擊者、防御者和用戶，方式如下:

攻擊者:安全分析師評(píng)估攻擊者的認(rèn)知或行為方面，即他們的動(dòng)機(jī)、攻擊類(lèi)型和模式，以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。根據(jù)[42]示例，由于文化特征、攻擊者的偏好和地理位置，攻擊的建模可能會(huì)比較復(fù)雜。提出的認(rèn)知模型考慮了使用大數(shù)據(jù)、機(jī)器學(xué)習(xí)和自然語(yǔ)言處理進(jìn)行地理參照，分析攻擊者的感受，檢測(cè)攻擊模式，建立攻擊者的輪廓。針對(duì)攻擊者的動(dòng)機(jī)，Meyers[29]建立了對(duì)手的分類(lèi)，如表9所示。

關(guān)于攻擊的類(lèi)型，Simmons[46]提出了基于五個(gè)主要分類(lèi)器來(lái)描述攻擊的性質(zhì):攻擊矢量、作戰(zhàn)影響、攻擊目標(biāo)、防御和信息影響。Venkatesan[50]提出，對(duì)攻擊者的描述基于兩個(gè)特征:風(fēng)險(xiǎn)-負(fù)面和經(jīng)驗(yàn)水平。

攻擊者的建模至少要考慮以下幾個(gè)方面:

?文化特征,

?行為模式,

?攻擊的類(lèi)型。

用戶:所提議的模型考慮了用戶的認(rèn)知和行為方面。樣本[42]提出的工作提到，襲擊的受害者有相關(guān)的文化方面;而社會(huì)工程攻擊/認(rèn)知攻擊就是基于這些特征。因此，重要的是分析人員能夠確定允許他們檢測(cè)用戶是否是攻擊的受害者的模式。由Gratian[14]提供的研究表明，年齡、性別、外向性、神經(jīng)質(zhì)和開(kāi)放性等個(gè)人因素是如何影響網(wǎng)絡(luò)安全行為的。用戶行為建模至少可以考慮以下幾個(gè)方面:

?正常的流量安排，

?反復(fù)應(yīng)用,

?設(shè)備,

?網(wǎng)絡(luò),

?地理定位。

對(duì)于用戶和攻擊者的行為建模，系統(tǒng)可以考慮Hofstede[15]提出的文化框架，該文化框架有六個(gè)維度:

?權(quán)力距離指數(shù)(pdi)，

?個(gè)人主義vs集體主義(ivc)，

?男性vs女性(mvf)，

?不確定性規(guī)避(uai)，

?長(zhǎng)期導(dǎo)向與短期導(dǎo)向(lvs)，

?放縱與克制(ivr)。

安全分析師:提出的認(rèn)知安全模型以安全分析師為中心軸心，其有效性基于網(wǎng)絡(luò)安全認(rèn)知任務(wù)的自動(dòng)化?；谖覀兊奈墨I(xiàn)綜述，我們?cè)趫D7中列出了生成過(guò)程、任務(wù)和安全分析師技能認(rèn)知特征的元素，這些特征在前面的表8中已經(jīng)確定。

根據(jù)OODA模型，建立了四個(gè)階段:

?觀察，指的是數(shù)據(jù)收集的過(guò)程

?定位、融合信息，構(gòu)建態(tài)勢(shì)感知

?決策，在分析所有假設(shè)的基礎(chǔ)上做出最終決策的過(guò)程。

?行動(dòng)，定義了分析推理的過(guò)程。

在圖8中，我們提出了建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知的三相工作流，安全分析師可以基于認(rèn)知任務(wù)[11]開(kāi)發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)感知(D’amico, 2005)。

1. 檢測(cè)，分析人員檢查和關(guān)聯(lián)數(shù)據(jù)以檢測(cè)可疑的活動(dòng)。將數(shù)據(jù)轉(zhuǎn)換為信息。

2. 態(tài)勢(shì)評(píng)估，分析人員提取特征數(shù)據(jù)，建立組織安全狀態(tài)。把信息轉(zhuǎn)化為知識(shí)。

3. 威脅評(píng)估，分析員將威脅關(guān)聯(lián)起來(lái)，以確定敵人的身份、動(dòng)機(jī)和支持。將信息轉(zhuǎn)化為知識(shí)和預(yù)測(cè)。

對(duì)于知識(shí)的生成，分析人員可以使用不同的信息來(lái)源:

?威脅數(shù)據(jù)庫(kù)

?安全報(bào)告

?脆弱性報(bào)告

?安全網(wǎng)站

?安全事件

?用戶活動(dòng)

?信息配置

?漏洞結(jié)果

?系統(tǒng)和應(yīng)用程序日志

根據(jù)適應(yīng)于網(wǎng)絡(luò)安全操作的OODA模型，認(rèn)知任務(wù)和認(rèn)知過(guò)程之間的聯(lián)系顯示在表10中。

6. 認(rèn)知安全模型

網(wǎng)絡(luò)安全態(tài)勢(shì)感知允許組織建立與網(wǎng)絡(luò)安全相關(guān)的當(dāng)前狀態(tài)，如:風(fēng)險(xiǎn)、漏洞、攻擊和漏洞，基于這些知識(shí)組織可以預(yù)測(cè)他們?cè)诓痪玫膶?lái)的狀態(tài)。[38]網(wǎng)絡(luò)安全態(tài)勢(shì)感知有兩種可能的水平，低水平是原始數(shù)據(jù)處理和最常見(jiàn)的技術(shù)解決方案，使其自動(dòng)化;允許基于信息抽象過(guò)程建立戰(zhàn)略決策的高層;高度的情況意識(shí)通常是由人手動(dòng)執(zhí)行的，這是工作密集型的、耗時(shí)的和容易出錯(cuò)的。網(wǎng)絡(luò)安全領(lǐng)域能夠增強(qiáng)安全分析師構(gòu)建主動(dòng)安全戰(zhàn)略認(rèn)知能力的技術(shù)解決方案分布在網(wǎng)絡(luò)安全可視化、網(wǎng)絡(luò)安全人工智能、網(wǎng)絡(luò)安全大數(shù)據(jù)等不同領(lǐng)域。在這項(xiàng)工作中，我們的目標(biāo)是提出一個(gè)認(rèn)知模型，該模型整合了不同級(jí)別的網(wǎng)絡(luò)安全認(rèn)知的不同貢獻(xiàn)，以幫助安全分析師建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

提案的安全認(rèn)知模型如圖9所示，我們通過(guò)包含以下方法和組件來(lái)命名NOTAS-MH: Newstrom、OODA、技術(shù)、獲取、態(tài)勢(shì)感知、mape - k和Human in The loop。提案模型定義了知識(shí)、信息和認(rèn)知三層，并試圖支持心理地圖建模、知識(shí)生成、數(shù)據(jù)融合和處理與網(wǎng)絡(luò)安全事件相關(guān)的海量數(shù)據(jù)的過(guò)程。該模型的最終目標(biāo)是確定安全分析人員的網(wǎng)絡(luò)安全態(tài)勢(shì)感知水平和任務(wù)自動(dòng)化開(kāi)發(fā)。分析人員可以使用不同的信息源來(lái)生成與每個(gè)任務(wù)相關(guān)的知識(shí)，然后定義自動(dòng)化過(guò)程并建立安全防御策略。

這種知識(shí)的產(chǎn)生和任務(wù)的執(zhí)行需要方法的、可重復(fù)的、可測(cè)量的和正式的過(guò)程。在網(wǎng)絡(luò)安全領(lǐng)域，協(xié)作工作是重要的，因此我們考慮Newstrom和Davis[36]提出的建立任務(wù)執(zhí)行的組織結(jié)構(gòu)并隨后測(cè)量其有效性的模型。建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知的安全分析師將遵循圖10所示的階段，在這些階段中，信息來(lái)源、任務(wù)組織和認(rèn)知過(guò)程的執(zhí)行是相關(guān)的。安全認(rèn)知模型的知識(shí)領(lǐng)域考慮不同的信息源來(lái)建立態(tài)勢(shì)感知(Scott, 2017):

1. HUMINT是由人類(lèi)通過(guò)采訪、對(duì)話或論壇生成的。

2. SIGINT，是由截獲由計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或電信設(shè)備產(chǎn)生的信號(hào)而產(chǎn)生的。

3. OSINT是由開(kāi)放資源衍生而來(lái)，包括新聞、社會(huì)媒體和商業(yè)數(shù)據(jù)庫(kù)。它還考慮來(lái)自WHOIS等平臺(tái)的技術(shù)信息。

4. MASINT是由傳感儀器獲得的數(shù)據(jù)產(chǎn)生的。傳感器可以在戰(zhàn)術(shù)上或戰(zhàn)略上用于產(chǎn)生這類(lèi)信息。

5. GEOINT是由地理空間系統(tǒng)產(chǎn)生的，可以完全由任何衛(wèi)星或航空?qǐng)D像產(chǎn)生。

信息的數(shù)量可能超過(guò)安全專(zhuān)家的分析能力，使用推薦系統(tǒng)(RS)或?qū)＜覜Q策支持系統(tǒng)(DSS)可以支持決策過(guò)程。為了分析大量信息，我們建議使用不同的技術(shù)解決方案，如:傳感器、大數(shù)據(jù)和機(jī)器學(xué)習(xí);在“認(rèn)知安全模型下的信息安全指標(biāo)管理”[4]中，我們提出了一個(gè)由七層組成的模型，該模型集成了不同的技術(shù)解決方案，可以提高安全分析師的認(rèn)知技能。

1. 信息源層:該層考慮設(shè)備服務(wù)器、網(wǎng)絡(luò)設(shè)備、周邊安全設(shè)備和用戶設(shè)備生成的不同數(shù)據(jù)源。

2. 傳感器層:建立分布在多個(gè)位置的安全傳感器通信的同質(zhì)化。

3. 收集層:在這一層完成數(shù)據(jù)管理過(guò)程。數(shù)據(jù)管理過(guò)程包括:數(shù)據(jù)驗(yàn)證、數(shù)據(jù)清理、離群值去除、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)聚合;數(shù)據(jù)分區(qū)。

4. 預(yù)處理層:在這一層中建立異常行為的模式，在此基礎(chǔ)上判斷可能的攻擊是否存在。模式是基于網(wǎng)絡(luò)流量數(shù)據(jù)、用戶行為、已建立的連接和所使用的網(wǎng)絡(luò)地址的相關(guān)性而建立的。

5. 建模層:在這一層中，需要對(duì)收集到的信息進(jìn)行建模，描述數(shù)據(jù)流，并建立存在于網(wǎng)絡(luò)內(nèi)部的最常見(jiàn)的交互類(lèi)型。

6. 處理層:這一層也使用機(jī)器學(xué)習(xí)解決方案，目的是分析可視化層中的異常行為或參數(shù)。在這一層中，處理層生成的可視化信息被表示為既沒(méi)有損壞也沒(méi)有操作的源

7. 決策層:將處理層生成的信息可視化。可以采用推薦系統(tǒng)或決策支持系統(tǒng)。

我們?cè)诒?1中列出了能夠增強(qiáng)安全分析師認(rèn)知過(guò)程的技術(shù)解決方案與能夠促進(jìn)所提出的認(rèn)知安全模型應(yīng)用的研究領(lǐng)域之間的關(guān)系。

使用OODA循環(huán)決定模式,通過(guò)數(shù)據(jù)的分析確定產(chǎn)生心理模型的基礎(chǔ)概要文件的攻擊,威脅,用戶和攻擊者的行為,允許建立組織的大局意識(shí),并定義投影操作維護(hù)網(wǎng)絡(luò)安全狀態(tài)。OODA通過(guò)推薦系統(tǒng)或決策支持系統(tǒng)向安全分析師共享知識(shí)。圖11顯示了每個(gè)技術(shù)層與安全分析師的每個(gè)認(rèn)知過(guò)程之間的關(guān)系。

基于mape - k的網(wǎng)絡(luò)安全狀態(tài)連續(xù)監(jiān)測(cè);控制變量為建模層的網(wǎng)絡(luò)安全態(tài)勢(shì)感知狀態(tài)。將數(shù)據(jù)源中采集的數(shù)據(jù)在信息、感知和采集層中傳遞到預(yù)處理層和建模層進(jìn)行分析;根據(jù)網(wǎng)絡(luò)安全指標(biāo)預(yù)先設(shè)定了一些具體的執(zhí)行措施。

認(rèn)知模型考慮的建議包含人類(lèi)模型的循環(huán)(HITL)解決人機(jī)交互技術(shù)解決方案的不同層,該方法允許創(chuàng)建機(jī)器理解模型的訓(xùn)練和自動(dòng)化人工智能和自主計(jì)算的解決方案,允許生成知識(shí)的認(rèn)知能力和增強(qiáng)的安全分析師。HITL允許通過(guò)控制承諾的指示器來(lái)控制錯(cuò)誤警報(bào)的生成。HITL還執(zhí)行執(zhí)行器的控制，執(zhí)行器負(fù)責(zé)執(zhí)行自動(dòng)事件響應(yīng)行動(dòng)，以避免可能對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生負(fù)面影響的行動(dòng)，特別是當(dāng)它們是錯(cuò)誤警報(bào)的產(chǎn)物時(shí)。

7. 認(rèn)知的安全問(wèn)題

認(rèn)知安全面臨的第一個(gè)問(wèn)題或挑戰(zhàn)是，對(duì)于預(yù)測(cè)分析來(lái)說(shuō)，數(shù)據(jù)源沒(méi)有被操縱或損壞，因此有必要建立數(shù)據(jù)質(zhì)量過(guò)程和安全機(jī)制，以避免對(duì)數(shù)據(jù)源的更改。如果攻擊者改變了數(shù)據(jù)，可能會(huì)導(dǎo)致數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)或大數(shù)據(jù)解決方案產(chǎn)生錯(cuò)誤的分析，從而導(dǎo)致分析師做出錯(cuò)誤的決定。

第二個(gè)問(wèn)題是認(rèn)知解決方案的局限性，它使人類(lèi)有能力建立一種處理困境或表現(xiàn)同情的常識(shí)。麻省理工學(xué)院開(kāi)發(fā)了一個(gè)名為“道德機(jī)器”的項(xiàng)目，該項(xiàng)目確定了在自動(dòng)化系統(tǒng)[33]中認(rèn)知解決方案可能面臨的困境。

最后，第三個(gè)問(wèn)題是，認(rèn)知解決方案仍然缺乏泛化和抽象的能力，這些能力使人類(lèi)能夠解決問(wèn)題并分析所做決策的可能影響。基于這個(gè)標(biāo)準(zhǔn)，由于存在假陽(yáng)性的風(fēng)險(xiǎn)，不是每個(gè)過(guò)程都是自動(dòng)的。在完全自動(dòng)化的情況下，假陽(yáng)性可能導(dǎo)致一個(gè)關(guān)鍵系統(tǒng)的完全關(guān)閉，這就是為什么有必要維護(hù)模型，如在循環(huán)中的人。

8. 結(jié)論和未來(lái)工作

意識(shí)是心理學(xué)領(lǐng)域廣泛定義的一個(gè)概念，一些研究人員分析了如何將其原則應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。達(dá)到這種意識(shí)在網(wǎng)絡(luò)安全評(píng)估的參數(shù)是必要的(自我意識(shí))和環(huán)境(環(huán)境意識(shí))基于安全指標(biāo),允許我們理解網(wǎng)絡(luò)安全的現(xiàn)狀和項(xiàng)目安全風(fēng)險(xiǎn),可能的攻擊、操作和執(zhí)行的可能影響執(zhí)行一個(gè)特定的行動(dòng)在未來(lái)的時(shí)間。

認(rèn)知科學(xué)的使用網(wǎng)絡(luò)安全領(lǐng)域的允許我們解決心理學(xué)的貢獻(xiàn),人工智能、語(yǔ)言學(xué)的認(rèn)知過(guò)程和人機(jī)交互,提高安全分析師為了提高時(shí)間的響應(yīng)和有效性決定行為檢測(cè),包含或減輕安全攻擊。認(rèn)知安全考慮四個(gè)組成部分:過(guò)程、知識(shí)、技術(shù)和認(rèn)知能力，以建立心理地圖、復(fù)雜數(shù)據(jù)融合、處理海量數(shù)據(jù)和維護(hù)知識(shí)。

為了管理SOC或CSIRT中的安全操作，他們必須專(zhuān)注于四個(gè)宏觀過(guò)程:網(wǎng)絡(luò)安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全攻擊和威脅、網(wǎng)絡(luò)安全事件響應(yīng)和安全分析師的技能。情境意識(shí)中認(rèn)知的生成可以通過(guò)運(yùn)用知覺(jué)、理解和投射這三個(gè)認(rèn)知過(guò)程來(lái)實(shí)現(xiàn)。在這個(gè)過(guò)程中，我們識(shí)別相關(guān)數(shù)據(jù)，然后對(duì)數(shù)據(jù)進(jìn)行解釋和關(guān)聯(lián)，然后對(duì)未來(lái)事件進(jìn)行評(píng)估和預(yù)測(cè)。

我們應(yīng)該考慮并不是每個(gè)任務(wù)或流程都是自動(dòng)化的，因?yàn)閳?zhí)行操作的影響可能比安全攻擊的影響更負(fù)面。在這方面，在執(zhí)行網(wǎng)絡(luò)安全行動(dòng)或任務(wù)時(shí)，將人置于決策中心是很重要的。

要建立對(duì)來(lái)自不同來(lái)源的信息的持續(xù)監(jiān)控，使產(chǎn)生認(rèn)知和決策過(guò)程，有必要使用控制技術(shù)。在計(jì)算機(jī)科學(xué)和網(wǎng)絡(luò)安全領(lǐng)域，一些建議如mape - k、OODA和Human In the loop等得到了應(yīng)用。本研究中提出的安全認(rèn)知模型將技術(shù)解決方案與認(rèn)知過(guò)程和控制技術(shù)相結(jié)合，可以提供一個(gè)完整的網(wǎng)絡(luò)安全態(tài)勢(shì)感知視角。