문제 도메인 온톨로지를 통한 보안 요구사항의 이해와 추천: 3계층 접근법의 활용
Understanding and Recommending Security Requirements from Problem Domain Ontology: A three-layered Approach
- 주제(키워드) 보안 요구사항 , 온톨로지 , PIC 프레임워크
- 발행기관 아주대학교
- 지도교수 이석원
- 발행년도 2016
- 학위수여년월 2016. 8
- 학위명 석사
- 학과 및 전공 일반대학원 NCW학과
- 실제URI http://www.dcollection.net/handler/ajou/000000022829
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
[Context Motivation] Socio-technical System(STS)는 다양한 이해당사자들의 관점과 구성요소들간의 이기종적인 특성으로부터 유래된 복잡한 요구사항으로 구성되어 있다. STS안에서 보안 이슈는 침투피해 발생에 따른 피해 비용 및 엔터프라이즈 시스템의 영향에서 알 수 있듯이, 지속적으로 문제가 되는 사안이다. [Question / Problem] 보안관련 이슈가 발생하는 원인으로 먼저 STS의 설계, 개발, 실행을 위한 지식이 널리 분산되어 있어, 정확한 이해를 가지고 문제를 이해하기 위한 시스템적인 지식 및 모델링 활용이 이루어지지 않은 문제가 있다. 두번째로, 대부분의 보안 요구사항 도출시 기술적인 접근에만 집중하여 다양한 이해당사자들간의 합의를 이루어내지 못하여 보안요구사항 결점 등의 문제가 발생한다. 마지막으로 많은 보안 요구공학 접근법이 지식의 재사용적인 측면의 접근이 다소 미흡하며, 이에 대한 비용 효율적인 문제가 발생한다. [Principal Idea/result] 이러한 문제점을 해결하기 위해, 우리는 문제 도메인 온톨로지를 기반으로 보안 요구공학적 접근법을 통해 보안 요구사항 추천을 위한 PIC 프레임워크를 제시한다. 이러한 프레임워크를 사용하여 어떻게 다양한 지식을 활용하여 보안 상황을 이해하고, PDO를 바탕으로 위협 분석 및 위험 평가로부터 보안 요구사항이 추천되는지를 제시할 것이다. 그리고 구현된 웹 어플리케이션을 바탕으로 실제 위협 시나리오에 기초하여 사례연구를 실시하여 제시하는 프레임워크의 적용가능성을 논의하고, 어떠한 연구목표가 어떻게 달성되는지를 확인하여, 제시한 프레임워크를 평가할 것이다. [Contribution] 이 논문은 다양한 지식을 조직화한 PDO를 활용하여 PIC 프레임워크에 따라 정확한 보안 상황 이해와 보안 요구사항을 도출할 수 있다. 그리고 다양한 보안 요구공학적 접근법을 활용하여 보안 요구사항 명세를 제공함과 동시에 지식의 분류를 활용하여 지식의 재사용성을 높이는 접근법을 통한 비용 효율적인 방법론을 제시하는데 기여한다.
more목차
제 1 장 서론 1
제 1 절 배경 1
제 2 절 STS 보안 관련 이슈의 발생한 이유 1
제 3 절 군사 도메인에서의 보안 요구사항과 관련한 문제점 2
제 4 절 연구 문제점 정의 3
제 5 절 제안하고자 하는 아이디어 및 접근법 3
제 6 절 진행순서 설명 4
제 2 장 관련 연구 6
제 1 절 보안 요구공학 모델링 기법과 관련한 연구 6
제 1 항 다차원적 접근법 (Multilateral Approaches) 6
제 2 항 Universal Modeling Language(UML) 기반 접근법 7
제 3 항 목표 기반 접근법(Goal-Oriented Approaches) 9
제 4 항 위험분석 기반 접근법 (Risk Analysis-based Approach) 12
제 5 항 Common Criteria 기반 접근법 13
제 6 항 보안 요구공학 모델링 기법의 비교 15
제 2 절 위험 평가 관련 연구 16
제 3 절 문제 도메인 온톨로지와 관련한 연구 17
제 4 절 보안요구사항 구성 요소와 관련된 지식 17
제 3 장 연구 기반 아이디어 19
제 1 절 인지와 관련한 3계층적 접근법 19
제 2 절 지식 분류 19
제 3 절 요구사항 정의 20
제 4 절 보안 요구사항 21
제 4 장 제안하는 프레임워크 소개 23
제 1 절 PIC 프레임워크 개요 23
제 1 항 프레임워크 개념적인 모델 23
제 2 항 프레임워크 활용 24
제 3 항 프레임워크 산출물 25
제 2 절 PIC 프레임워크 프로세스 27
제 1 항 Phase 1: Build General Purpose Knowledge Base 29
제 2 항 Phase 2: Build Domain Specific Knowledge Base 33
제 3 항 Phase 3: Recommending Security Requirements 35
제 5 장 Tool Support 39
제 1 절 Web Application 소개 39
제 2 절 Framework와 Web Application간의 관계 40
제 3 절 Web Application의 활용 40
제 6 장 사례연구: Hacktool.eventlog 46
제 1 절 사례연구 시나리오 46
제 1 항 위협 시나리오: Butterfly (Hacktool.eventlog) 46
제 2 항 Case Study Environment Introduction 46
제 2 절 프레임워크를 적용한 사례연구 48
제 1 항 Build General Purpose Knowledge Base 48
제 2 항 Build Domain Specific Knowledge Base 49
제 3 항 Security Requirements Generation 51
제 3 절 웹 어플리케이션을 활용한 사례 연구 적용 54
제 4 절 프레임워크 검증 명제 및 분석 단위 정의 57
제 5 절 사례 연구 결과를 바탕으로 한 증거 수집 58
제 6 절 프레임워크 검증 결과 해석 및 기여점 64
제 7 장 결론 및 공헌 65
참고 문헌 66
Abstracts 70
