Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] The Security Assessment Domain: A Survey of Taxonomies and Ontologies

Ferrucio de Franco Rosa, Rodrigo Bonacin|arXiv (Cornell University)|2017. 01. 01.
Information and Cyber Security참고 문헌 57인용 수 12
한 줄 요약

이 논문은 정보보안 평가 분야의 온톨로지와 분류 체계에 대한 체계적 문헌 고찰을 제시하며, 47개의 온톨로지, 22개의 분류 체계, 11개의 종합 논문을 식별한다. 연구는 연구 품질 평가를 위한 새로운 평가 분류 체계를 도입하며, 취약성 식별, 자동 평가, 보안 표준화 등의 분야에서 심각한 격차를 드러낸다.

ABSTRACT

The use of ontologies and taxonomies contributes by providing means to define concepts, minimize the ambiguity, improve the interoperability and manage knowledge of the security domain. Thus, this paper presents a literature survey on ontologies and taxonomies concerning the Security Assessment domain. We carried out it to uncover initiatives that aim at formalizing concepts from the Information Security and Test and Assessment fields of research. We applied a systematic review approach in seven scientific databases. 138 papers were identified and divided into categories according to their main contributions, namely: Ontology, Taxonomy and Survey. Based on their contents, we selected 47 papers on ontologies, 22 papers on taxonomies, and 11 papers on surveys. A taxonomy has been devised to be used in the evaluation of the papers. Summaries, tables, and a preliminary analysis of the selected works are presented. Our main contributions are: 1) an updated literature review, describing key characteristics, results, research issues, and application domains of the papers; and 2) the taxonomy for the evaluation process. We have also detected gaps in the Security Assessment literature that could be the subject of further studies in the field. This work is meant to be useful for security researchers who wish to adopt a formal approach in their methods and techniques.

연구 동기 및 목표

  • 정보보안 및 테스트·평가 분야에서 개념을 공식화하는 데 기여하는 온톨로지와 분류 체계의 기여를 식별하고 분석하기 위해.
  • 현재 전문가의 직관에 크게 의존하고 있는 보안 평가 분야의 체계적이고 공식화된 지식의 부족을 해결하기 위해.
  • 보안 평가 연구의 품질과 기여도를 평가하기 위한 체계적 평가 프레임워크를 개발하기 위해.
  • 보안 평가 방법 및 기법의 공식화를 위한 향후 연구를 이끌 수 있도록 미흡하게 다뤄진 분야를 규명하기 위해.

제안 방법

  • IEEE Xplore, ACM 디지털 라이브러리, Scielo, ProQuest, ScienceDirect, SpringerLink, Google 학술 검색의 7개 데이터베이스를 대상으로 체계적 문헌 고찰을 수행하였다.
  • 보안, 프라이버시, 신뢰성, 온톨로지, 분류 체계, 테스트, 평가 및 평가와 관련된 关련 키워드를 사용하여 검색어를 정의하였다.
  • 최근성, 인용 수, 관련성, 개념적 기여도를 기반으로 포함 및 배제 기준을 적용하였다.
  • 주요 기여도에 따라 식별된 138편의 논문을 온톨로지, 분류 체계, 종합 논문의 세 가지 주요 범주로 분류하였다.
  • 연구 문제, 적용 분야, 방법론적 품질 등 11개 차원(예: 연구 문제, 적용 분야, 방법론적 품질)을 포함하는 새로운 분류 체계를 개발하고, 이를 적용하여 선택된 연구를 평가하고 비교하였다.
  • 요약 표와 비교 분석을 포함한 정성적 및 정량적 분석을 수행하여 80편의 선택 논문(47개 온톨로지, 22개 분류 체계, 11개 종합 논문)을 분석하였다.

실험 결과

연구 질문

  • RQ1보안 정보 평가 과정에 적용 가능한 지식 공식화를 위한 접근법과 기법은 무엇인가?
  • RQ2온톨로지와 분류 체계는 보안 평가에서 개념적 모호성을 어떻게 줄이고 상호운용성을 향상시킬 수 있는가?
  • RQ3기존 보안 평가 온톨로지 및 분류 체계의 핵심 연구 문제, 적용 분야, 방법론적 특성은 무엇인가?
  • RQ4현재 문헌에서 보안 평가의 공식화를 위한 향후 연구를 이끌 수 있는 연구 격차는 무엇인가?
  • RQ5보안 평가 연구의 품질과 기여도를 평가하기 위한 표준화된 평가 프레임워크는 어떻게 설계할 수 있는가?

주요 결과

  • 보안 평가 분야에서 핵심 기여로 47개의 온톨로지와 22개의 분류 체계를 식별하였으며, 대부분의 최근 연구는 기본 지식의 공식화(RI-FMK)에 집중하고 있다.
  • 지식 재사용(RI-RUS), 평가 프로세스 자동화(RI-APR), 평가 커버리지 증가(RI-CAS), 보안 표준 정의(RI-SSI) 분야에서 심각한 연구 격차가 존재한다.
  • 전자 건강(e-health, AD-EHE), 감사(audit, AD-AUD), 이벤트 처리(event processing, AD-EVT), 서비스 지향 아키텍처(service-oriented architectures, AD-SOA), 기업 거버넌스(enterprise governance, AD-EGV) 등의 적용 분야를 다루는 논문은 발견되지 않았다.
  • 최근 연구들은 적용 분야의 다양화를 보이며, 모바일 보안(MOB, AD-MOB) 및 IoT(IOT, AD-IOT)와 같은 신규 및 특수 분야의 공식화 잠재력을 시사하고 있다.
  • 종합 논문은 총 11편으로 식별되었으며, 일부(예: [95], [97])는 유용한 비교를 제공하지만, 노후화 및 범위 제한으로 인해 업데이트가 필요하다.
  • 제안된 평가 분류 체계는 보안 평가 연구의 체계적 분류 및 품질 평가가 가능하며, 향후 기여도를 포함할 수 있는 방법론(MC-MT)이나 시스템(MC-ST) 등으로 확장 가능성이 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.