来源：https://www.researchgate.net/publication/334909513_Cognitive_security_A_comprehensive_study_of_cognitive_science_in_cybersecurity/link/5ee8bf3292851ce9e7e7f0d8/download

https://www.researchgate.net/profile/Roberto_Andrade7

https://apnews.com/Wired%20Release/eea7380ffe68392dba97fe98725c44b6

https://dailyscience.me/2020/04/02/cognitive-security-market-research-report-market-analysis-on-the-future-growth-prospects-and-market-trends-adopted-by-the-competitors-regions-with-forecast-by-2025-2/

北约

https://innovation-entrepreneurship.springeropen.com/articles/10.1186/s13731-019-0105-z

摘要：如今，物联网、云计算、移动和社交网络正在引发一场社会进程的变革。然而，这一技术变革带来了新的威胁和安全攻击，产生了新的、复杂的网络安全场景，其中包含大量数据和不同的攻击载体，超出了安全分析师的认知能力。在此背景下，认知科学可以增强认知过程，这可以帮助安全分析师在更短的时间内更有效地建立网络安全行动。该文提出了一个认知安全模型，该模型集成了大数据、机器学习等技术解决方案和支持决策系统，以及安全分析师用于生成知识、理解和执行安全响应行动的认知过程。该模型考虑了在执行网络操作过程中定义的认知任务时建立自动化过程的替代方案，并通过使用MAPE- K、OODA和Human in The Loop将分析师作为验证和决策过程的中轴。

1. 介绍

联合国组织在联合国开发计划署[49]和国际电信联盟的[18]互联2020议程中强调，互联世界所赋予的信息社会加速了各国社会的经济和社会发展。物联网、云计算、大数据和移动等技术通过对不同数据源的访问、海量数据和世界各地人们的协作，增强了信息社会;为了实现这一目标，每年都有数百万台设备联网。根据[13]，2017年有83亿连接设备，2018年有111.9亿设备被量化，到2020年将有约204亿设备被连接。Statista[35] -预计到2020年联网设备将达到307.3亿，到2025年将达到754.4亿，而福布斯[12]指出，2018年物联网设备的投资将增长2150亿，到2020年达到8350亿。所有(人、事物和过程)的相互联系和对大量信息的获取正在改变我们工作、学习和社交的方式。产生了城市管理和发展的新模式

如智慧城市[50]或敏感城市[17]。智慧城市建立感知层[41]和数据交换层[21]，为决策过程生成移行、交通、自然资源消耗或环境变化等方面的知识。在家里，电视、冰箱、电灯等联网设备以及Siri、Alexa或谷歌Assistant等虚拟助手改变了人们的社交互动。在这种情况下，一个人可以通过移动设备打开一扇门，或者从电脑上请求一首歌曲，然后在房子里不同地方的扬声器上播放。如今，玩具也与互联网互联，IBM推出了一款认知玩具，它由一只连接到沃森认知平台的恐龙组成，该平台可以基于结构化对话与儿童进行交互，并具有通过每次交互学习的能力。然而，这个互联互通的世界在网络空间中带来了新的威胁和风险，在网络空间中，人是网络安全动态的关键因素;例如,一个用户打开电子邮件被恶意软件感染,攻击者分析漏洞和空白构建攻击,寻找发现和控制机制的安全分析师攻击或首席信息安全官(CISO)必须安全风险分析的基础上做出决定。这一背景促使我们在这一工作中界定了我们的研究计划:

1. 在网络安全操作的背景下，人类行为的各个方面。

2. 建立网络安全态势感知(CSA)，以了解安全程序、操作任务和历史网络安全事件产生的知识，从而定义防御策略。

以心理学、计算科学、语言学、哲学和神经科学为研究对象的跨学科科学被定义为认知科学[32]。在网络安全领域的应用使得程序、安全实践、计算机系统产生的知识、安全博客、漏洞公告以及安全专家的经验之间相互关联，并根据他们每天执行的任务产生对网络安全状况的认知(意识或洞察力)。人与机器之间的协作、统计方法的应用、机器学习和大数据的使用可以增强或扩展安全操作中心(SOC)或安全事件响应团队(CSIRT)的安全专家的认知技能，提高了关注于网络安全过程的应用解决方案的研究兴趣。

在图1中，我们展示了网络安全对恶意行为检测过程的演变，重点关注于对关键基础设施和用户信息的保护。尽管技术在网络安全中扮演着重要的角色，但人在网络空间中扮演着不同的角色:用户、攻击者和防御者。安全分析人员必须通过使用认知科学关注组织的网络安全状况，这可以改善网络安全过程的检测和安全事件的反应。

2. 背景

2.1 在网络安全挑战

技术和社会变化正在给商业和学术环境中的安全专家带来新的挑战。

根据《福布斯》和Gartner的预测，美国国家安全局(NSA)、NIST和欧盟委员会(European Commission)等政府机构认为，网络安全面临的一些挑战是:

•人工智能(AI)的算法，使用组织或个人数据产生预测，这些数据可能是敏感的，因此有必要加强信息保护机制，特别是个人数据。在AI中，攻击者可以篡改数据，从而影响所获得的结果，这是保证数据完整性所必需的。人工智能也有可能被滥用，被用来攻击系统甚至人，比如杀戮机器人，也就是使用人工智能搜索并杀死政客的无人机。使用人工智能在网络安全方面面临的一些挑战是:

-在AI中使用的信息隐私。

- AI中使用的信息的完整性。

-滥用人工智能。

•勒索软件已经成为网络犯罪的强大武器。2012年以来，reventon、cryptolocker、cryptowall、wannacry等勒索软件遭遇了数次攻击。然而，他们并不是唯一的受害者，在2014年到2017年期间，已经有327个勒索软件家庭被确认，总共产生了1.84亿次攻击。Statista(2017)估计2019年勒索软件攻击造成的损失为115亿美元。在这方面，网络安全面临的一些挑战是:

-识别勒索软件模式。

-建立竞争进程，以防止勒索软件分发。

-定义数据保护方案。

•区块链，使用加密货币可能被视为优化银行、健康或商业电子转账流程的一种选择。但是，在安全级别上存在一些挑战:

-提高分散管理失败时的恢复时间。

-确保智能合同的正确运行。

-确保支持区块链的基础设施。

•物联网安全，据Gartner[13]称，到2020年，29亿美元的投资和大约200亿连接设备将产生全球物联网。自2016年以来，物联网Bonet的攻击增加了600%，成为最著名的Mirai Bonet，影响了CNN、Netflix、Reddit和twitter等网站。需要面对与网络安全相关的物联网挑战:

-物联网设备之间的安全通信。

-设备的授权和认证。

-隐私和数据完整性。

-设备更新管理。

-设备的身份盗窃。

•无服务器应用安全，云中的容器可以降低操作成本，加速交付给用户的时间，当使用云中的可用服务模型来实现应用和服务时，一些安全考虑是:

-认证被破坏。

-不安全的无服务器配置。

不充分的监测。

-依赖于第三方的不安全感。

为了从学术角度分析安全挑战，我们对2016年至2018年举办的30场由大学ACM和IEEE赞助的会议进行了分析。表1列出了网络安全领域三个层次的研究课题:战略、战术和运营。从学术和商业的角度来看，未来几年在网络安全领域有广泛的研究和发展。

2.2 安全事件响应

虽然保护网络安全的技术解决方案已经有所改进，但更有必要考虑建立主动防御战略，尤其是随着威胁和攻击的大量变体不断扩大，以及新兴技术的使用和人类社会互动的变化。一些组织每天面临的攻击是:

•对物联网工业系统的攻击。

•恶意软件传播。

•物联网僵尸网络。

•ddos和远程攻击。

安全事件响应的目标是减少或包含允许组织返回到定义为可接受[51]的安全状态的安全攻击的影响。一些组织定义为处理安全事件的策略建立安全事件响应团队称为CSIRT, CERT或SIRT[19]。此外，安全事件响应允许组织遵守其他方面，如:

•提高对法规或标准的遵守程度。

•快速的威胁检测和补救。

•减少利用漏洞的风险。

•简化安全操作的努力。

triange。组织同时面临着不同的安全攻击，因为在安全事件过程中，triange的活动被定义为基于先前根据网络安全攻击的风险影响所做的分类，对安全事件的关注进行优先排序。为了执行triange过程，组织必须事先建立以下步骤[37]:

1. 确认事件，

2. 事件登记,

3. 事件的分类，

4. 事件的优先顺序，

5. 早期诊断,

6. 事件升级，

7. 事件的解决，和

8. 事件结束。

在一个适当的triange过程中，安全分析人员必须了解组织内的网络安全状况，以识别并预测威胁或安全攻击。要实现这种情况意识，分析人员需要处理大量的信息，并在时间和空间变量中关联它们。此活动需要安全分析人员的高度集中和认知技能，可能受到不同因素的影响:

•高压力,

•误报率高，

•少量态势感知，

•经验少,

•非结构化的任务,

•识别和应对攻击的非标准化方法，

•大量的数据和信息，

•信息来源不确定，和

•缺乏来自分析师和安全操作中心(SOC)或CSIRTs的性能指标

2.3 网络安全的认知科学

心理学和网络安全。意识是心理学领域定义的一个概念，指的是一个人根据自己的经验对自己的生活产生理解的能力(Baker, 1987)。这一概念被许多研究人员应用到工程和计算机系统领域，例如Lewis等人(2016)[27]将计算系统的自我意识定义为基于内部和外部事件获取自身知识的能力。在Camara[8]的工作中，自我意识被定义为一种自主能力、社会能力和主动能力，计算机系统可以产生关于自身和环境的知识，并决定将根据这些知识执行的行动。此外，Kounev等人[22]和Lewis等人(2011)[26]定义了计算系统的自寡性，如计算机系统在执行时获得以下三个特性的过程或能力:

•自动反射:了解其软件架构、硬件基础设施和执行环境，以实现其操作目标。

•自动预测:能够预测由于可能的适应行动而产生的动态变化的影响。

•自适应:能够主动适应环境，继续实现经营目标。

2.4 认知系统的弱点

组织中产生的网络安全态势级别的能力允许确定威胁和攻击的类型，维持足够的安全级别，并定义积极主动的战略，以面对当前和未来的攻击或威胁。提出的认知安全模型寻求整合不同的解决方案，以提高网络安全运营;然而，它仍然存在与每个组件的固有弱点相关的弱点。

在网络安全中使用人工智能的情况下，由安全分析师生成一个知识库，用于建立应对攻击的最佳决策;如果之前没有对事件进行编目，或者知识库有限，或者没有明确定义具体任务，那么解决方案将无法充分响应。

这种被称为“窄化”的情况会产生不可预测的行为，在智能电网和核电站等关键环境中可能造成危险。在大数据等数据分析组件的情况下，如果不考虑数据质量，安全分析师可能会根据不准确的信息做出决策;这种情况会导致组织中不可预测的行为。以下是应确保质量数据的最小特征:

•一致性

•精度

•完整性

•可审核性

•整齐

考虑到认知系统中如何集成大数据和人工智能的重要性，我们建议考虑CRISP-DM方法来保持足够的数据质量。这种方法也允许建立一个基于数据分析的建模过程;可以从认知模型的预处理、处理和建模三个层面来考虑。认知系统仍然缺乏自我意识状态，无法自行理解某一事件的积极或消极状态，因此不建议在100%自动化水平上实施。认知系统的组成部分也容易受到攻击，这些攻击可以操纵数据并引发负面决策。提出的认知安全模型考虑了上述弱点，并包括诸如mape - k之类的控制技术，通过OODA和HITL将分析师作为模型的一部分，并提出了允许数据质量分析的分层模型。

3. 研究方法

为了分析认知科学在网络安全领域的贡献，本研究发展了四个阶段，如图3所示。在第一阶段我们提出关于网络安全的文献综述,然后在第二阶段,我们识别的主要特征,区分认知科学的贡献的网络安全策略,然后在第三阶段,我们整合认知安全的特性提出了一个概念模型,最后我们讨论认知安全将面临的问题。

4. 文献综述

为了维护信息安全，组织建立了网络安全和防御行动的焦点，即安全行动中心(SOCs)或安全事件反应小组(CSIRTs)。为了处理网络安全问题，SOC或CSIRT建立由安全分析师执行的日常操作或活动。其中大部分是:

1. 建立安全态势意识，

2. 识别攻击或威胁，

3. 安全应急响应,

4. 吸取教训的过程。

根据MITRE[30]，自1990年以来，几个事件改变了SOC运行的方式;其中包括:

•高级持续威胁(APT)的增长

•IT和云计算的整合。

•移动技术的发展。

•从网络攻击到客户端攻击的转变。

目前有不同的技术解决方案用于保护和检测网络基础设施中的安全威胁。然而，人类仍然是安全链中最薄弱的一环。SOC或CSIRT不仅要面对技术带来的问题，还要面对与人和进程相关的问题。这是一个引起人们兴趣的研究课题，是通过认知科学来理解和增强安全分析师的过程和认知任务。将认知理论与网络安全领域应用的方法和模型相结合，可以改善网络空间参与者的决策过程。这项工作中提出的研究方法包括根据SOC的业务活动进行的文献综述，它使我们能够理解认知科学在网络防御战略中的贡献。图4显示了我们在文献综述中考虑的主题。我们首先调查了网络安全中的态势感知概念，然后分析了新兴技术的使用给安全专家带来的新挑战所带来的攻击和威胁，然后对安全行动中的认知进行了研究，随后探索了认知活动或任务，以识别安全分析师所需要的认知技能。

4.1 网络安全态势感知(CSA)

态势感知(SA)的概念描述了组织关于威胁和攻击的现状，可能的攻击的影响，以及攻击者的识别和用户行为。这些允许在不久的将来投射组织的状态Scott[43]。态势感知的建立是SOC的主要活动。在网络安全环境下，[47]将态势感知定义为三个级别:

1. 感知，由网络空间元素的信息如防火墙、SIEM或安全新闻产生。

2. 基于对攻击的分析，根据威胁或风险的程度来确定当前的形势。

3. 预测，建立对漏洞、威胁或攻击类型的预测。

分析人员必须了解安全情况并确定影响的可能性。在军事领域，美国空军飞行员认为，可以根据约翰·博伊德上校提出的OODA循环的四个阶段建立态势感知。OODA提案基于对决策过程环境的观察和理解。OODA循环有两个关键方面:时间约束和信息不确定性，研究人员提出了变量，其中我们可以提到:

•扩展的OODA循环

•迭代的OODA循环

•ceca模型

•适应网络中心战的ooda循环

•适应基于效果的操作的ooda循环

•模块化OODA循环

•认知OODA循环

由Breton和Rousseau(2018)提出的认知OODA循环[6]是基于感知、理解和投射的认知过程。表2展示了认知阶段、认知过程和根据Brenton的提议产生的产品之间的关系。

为了建立一个计算系统的自我意识能力，可以使用以下技术:

（1）基于反馈控制的技术，

（2）有限制的度量优化，

（3）基于自动学习的技术，

（4）组合编程,

（5）自我意识架构的重新配置，

（6）以及随机性能模型。

2001年，IBM提出了一项基于反馈控制的计算机系统技术，称为mape - k[3]。图5展示了MAPE-K的五个阶段:监测、分析、规划、执行和知识。

4.1.1 网络认知态势感知(CCSA)

建立网络安全形势。我们可以依靠面向决策过程的认知方面的支持。适应了网络空间的感知、理解和投射的认知过程，我们将拥有如表3所示的关系。

4.2。网络安全攻击和威胁

安全攻击可以导致电力系统故障、银行系统崩溃或交通控制问题。有些袭击是由自然事件引起的，而另一些则是由恐怖主义国家或组织支持的。MITRE[30]提到，技术变化和威胁的变体是改变SOC运行形式的因素。

因此，我们考虑对物联网、云和大数据等技术的使用所带来的威胁进行相关分析。这种分析是SOC的第二个基本活动。在物联网方面，Alaba[2]对蓝牙、zigbee、rfid等所使用的硬件、软件或技术相关的攻击和威胁进行了调查，而周[53]则提到了物联网面临的挑战和新的安全威胁。Mirza[31]，基于智能家居、医疗设备和工业应用中的物联网安全研究，提出了不同的威胁和攻击。Yazan[52]回顾了大数据中的攻击和威胁，Amara[1]提到了云基础设施中的攻击和威胁。在表4-6中，我们基于对科学数据库的回顾，给出了大数据、物联网和云计算中的攻击和威胁安全概要;思科、IBM、卡巴斯基、赛门铁克、检查站的技术和安全商业报告;国际组织，如:NIST, NSA, SANS和;来自Gartner和Forbes等咨询公司的报告。在表中显示的信息中，一个威胁可以与不同的攻击相关联，没有显示直接的威胁攻击关系。

4.3 网络安全事件响应

SOC的第三个操作活动考虑建立安全事件响应流程，以使面临攻击的组织保持适当的安全状态。为了执行此活动，安全专家必须分析大量的日志，以确定可能的异常情况，从而检测到可能对组织产生负面影响的威胁和攻击。SIEM之类的解决方案将日志和事件关联起来，从而为分析人员简化了此活动。另一种选择是使用统计技术或数据挖掘来确定不容易检测到的攻击或威胁模式。然而，尽管技术的进步允许自动响应，但由于一个正常的时间事件可能会被归类为假警报，从而导致有效连接的中断，因此并不总是实现动作。网络的复杂性和规模以及攻击者行为的动态性可能会产生很高的误报率。根据[39]，大约20,000小时被用来测试假警报，在这个意义上，需要基于经验和相信的决策标准在自动化过程中需要(人在循环)。

4.3.1 事件管理流程

事件管理过程建立了一组阶段，允许确定检测安全事件的机制，并定义恢复行动，以在攻击造成负面影响的情况下保持适当的网络安全状态。NIST(2012)建立了四个阶段:

1. 准备,

2. 检测和分析,

3. 遏制、根除和恢复，以及

4. 事后的活动

处理事件的过程已经由几个组织提出，在表7中，我们列出了组织和准则的合并列表。

4.3.2 自动化的事件响应

事件响应过程的操作活动通常是冗长乏味的，需要网络安全分析师的认知技能。人的限制处理大量的数据和影响人的认知的因素，如压力和情绪，会降低安全事件响应的准确性和有效性。一些通过任务自动化来支持事件响应过程的替代方案可以解决这一局限性。在图1中，我们展示了安全事件响应自动化策略的整合。

动态模型:静态模型在安全事件响应中的限制是基于安全分析人员预定义的一组可能的响应，因此如果攻击发生变化，模型无法预测可能的响应动作。其次，动态模型的主要优势在于其对数字环境变化的适应性。

认知地图模型:认知地图基于基于安全团队共识的价矩阵的创建，这取决于对如何解决突发事件[20]所分析的不同选择。建议中规定的步骤包括:

•生成攻击场景。

•建立概率事件反应选项，以生成认知地图。

•选择最合适的答案。

决策模型:决策模型基于一个验证条件的公理，并基于它的完成执行一个动作。待评价条件的选择可以基于不同的准则，提出的一些决策模型有:

•模糊决策与风险评估[5]

•ontologies-based[24]。

•规划分级任务网络[9]。

•对风险影响的承受力[44]。

•攻击伤害消耗[45]。

•马尔科夫决策[16]。

博弈论模型:博弈论的使用是基于建立两个攻击和防御角色来预测可能执行的攻击序列。为了实施博弈论，建议基于:

•均衡策略[54]中的纳什。

•随机模型[23]。

•贝叶斯学习[28]。

多智能体模型:多智能体系统(MAS)执行任务来解决与事件处理相关的问题。多个代理的目标是提供一个自治和分散的架构，它基于以下活动[25]:

•识别和注册。

•分类和优先级。

•诊断和分级。

•项目的解决和恢复。

•事件结束。

提案定义了代理的不同角色:

•用户代理:是系统中能够看到事件细节的用户。

•管理员代理:负责系统的管理。

•主管代理:负责监控IT服务，以发现可能的异常或问题。

•事件代理:负责处理事件。它的任务包括:存储事件信息，在事件数据库中验证类似的事件，在找到解决方案时通知;如果事件是新的，请告知相关信息

•诊断代理:根据服务水平协议(SLA)，负责评估事件的影响。

•支持代理:在没有解决方案的情况下与事件代理协同工作，并根据硬件、软件或网络将信息分组。

4.3.3 网络安全分析师技能

安全分析人员集成经验和实践知识来评估和解释观察结果，以便生成关于可能发生攻击的事件的假设。为此，需要对多个数据源和信息进行处理，并建立它们与数字环境的相关性。安全分析人员应负责以下活动:

•监控网络。

•识别威胁。

•修复漏洞。

为了执行这些活动，分析师执行以下认知过程:

•观察,

•产生假设，

•假设研究。

在2017年的RSA(2017)会议上，IBM[40]认知任务，安全分析师必须执行一个安全事件，如下所示:

1. 识别

•tc-1。回顾事件数据。

•tc-2。从感兴趣的方面回顾事件。

2. 观察

•tc-3。在数据中查找非典型值或异常值。

•tc-4。扩展搜索以找到更多的数据。

3. 假设的生成。

•tc-5。调查威胁发展经验。

•tc-6。发现新的威胁。

•tc-7。确定其他来源的承诺指标。

4. 研究假设。

•tc-8。运用情报调查该事件。

•tc-9。发现潜在感染的IPs。

•tc-10。根据对威胁的调查所产生的知识对事件进行定性。

•tc-11。攻击剖面的规范性分析。

•tc-12。基于攻击分散图的教训分析。

安全分析师执行认知任务所需的认知能力包括:

•思维策略

•故障排除

•创新思维

•决策。

•学习。

为了提高分析师的认知能力，有以下几种选择:

•动手实践。

有使用工具的经验。

•模拟环境。

•基于态势感知的工作流程。

数字时代和威胁和攻击的复杂性在严重程度上有所增加，产生了数百万需要高处理能力的数据。在网络安全的不同层面，人的作用是一个重要的因素，不能仅仅通过实施自动化解决方案来最小化，还需要提高安全分析师的认知能力。在图6中，我们在文献综述的基础上对认知安全的各个组成部分进行了整合。

从我们的分析中，我们认为认知属性应该是横向的，与网络安全层面相关的，包括攻击和威胁的检测、网络安全操作、事件响应的处理以及从战略视角来提高组织安全的决策。在表8中，我们给出了认知在本工作提出的不同安全层中的应用。

5. 认知功能

提出的认知安全模型考虑了不同的角色:攻击者、防御者和用户，方式如下:

攻击者:安全分析师评估攻击者的认知或行为方面，即他们的动机、攻击类型和模式，以获得竞争优势。根据[42]示例，由于文化特征、攻击者的偏好和地理位置，攻击的建模可能会比较复杂。提出的认知模型考虑了使用大数据、机器学习和自然语言处理进行地理参照，分析攻击者的感受，检测攻击模式，建立攻击者的轮廓。针对攻击者的动机，Meyers[29]建立了对手的分类，如表9所示。

关于攻击的类型，Simmons[46]提出了基于五个主要分类器来描述攻击的性质:攻击矢量、作战影响、攻击目标、防御和信息影响。Venkatesan[50]提出，对攻击者的描述基于两个特征:风险-负面和经验水平。

攻击者的建模至少要考虑以下几个方面:

•文化特征,

•行为模式,

•攻击的类型。

用户:所提议的模型考虑了用户的认知和行为方面。样本[42]提出的工作提到，袭击的受害者有相关的文化方面;而社会工程攻击/认知攻击就是基于这些特征。因此，重要的是分析人员能够确定允许他们检测用户是否是攻击的受害者的模式。由Gratian[14]提供的研究表明，年龄、性别、外向性、神经质和开放性等个人因素是如何影响网络安全行为的。用户行为建模至少可以考虑以下几个方面:

•正常的流量安排，

•反复应用,

•设备,

•网络,

•地理定位。

对于用户和攻击者的行为建模，系统可以考虑Hofstede[15]提出的文化框架，该文化框架有六个维度:

•权力距离指数(pdi)，

•个人主义vs集体主义(ivc)，

•男性vs女性(mvf)，

•不确定性规避(uai)，

•长期导向与短期导向(lvs)，

•放纵与克制(ivr)。

安全分析师:提出的认知安全模型以安全分析师为中心轴心，其有效性基于网络安全认知任务的自动化。基于我们的文献综述，我们在图7中列出了生成过程、任务和安全分析师技能认知特征的元素，这些特征在前面的表8中已经确定。

根据OODA模型，建立了四个阶段:

•观察，指的是数据收集的过程

•定位、融合信息，构建态势感知

•决策，在分析所有假设的基础上做出最终决策的过程。

•行动，定义了分析推理的过程。

在图8中，我们提出了建立网络安全态势感知的三相工作流，安全分析师可以基于认知任务[11]开发网络安全态势感知(D’amico, 2005)。

1. 检测，分析人员检查和关联数据以检测可疑的活动。将数据转换为信息。

2. 态势评估，分析人员提取特征数据，建立组织安全状态。把信息转化为知识。

3. 威胁评估，分析员将威胁关联起来，以确定敌人的身份、动机和支持。将信息转化为知识和预测。

对于知识的生成，分析人员可以使用不同的信息来源:

•威胁数据库

•安全报告

•脆弱性报告

•安全网站

•安全事件

•用户活动

•信息配置

•漏洞结果

•系统和应用程序日志

根据适应于网络安全操作的OODA模型，认知任务和认知过程之间的联系显示在表10中。

6. 认知安全模型

网络安全态势感知允许组织建立与网络安全相关的当前状态，如:风险、漏洞、攻击和漏洞，基于这些知识组织可以预测他们在不久的将来的状态。[38]网络安全态势感知有两种可能的水平，低水平是原始数据处理和最常见的技术解决方案，使其自动化;允许基于信息抽象过程建立战略决策的高层;高度的情况意识通常是由人手动执行的，这是工作密集型的、耗时的和容易出错的。网络安全领域能够增强安全分析师构建主动安全战略认知能力的技术解决方案分布在网络安全可视化、网络安全人工智能、网络安全大数据等不同领域。在这项工作中，我们的目标是提出一个认知模型，该模型整合了不同级别的网络安全认知的不同贡献，以帮助安全分析师建立网络安全态势感知。

提案的安全认知模型如图9所示，我们通过包含以下方法和组件来命名NOTAS-MH: Newstrom、OODA、技术、获取、态势感知、mape - k和Human in The loop。提案模型定义了知识、信息和认知三层，并试图支持心理地图建模、知识生成、数据融合和处理与网络安全事件相关的海量数据的过程。该模型的最终目标是确定安全分析人员的网络安全态势感知水平和任务自动化开发。分析人员可以使用不同的信息源来生成与每个任务相关的知识，然后定义自动化过程并建立安全防御策略。

这种知识的产生和任务的执行需要方法的、可重复的、可测量的和正式的过程。在网络安全领域，协作工作是重要的，因此我们考虑Newstrom和Davis[36]提出的建立任务执行的组织结构并随后测量其有效性的模型。建立网络安全态势感知的安全分析师将遵循图10所示的阶段，在这些阶段中，信息来源、任务组织和认知过程的执行是相关的。安全认知模型的知识领域考虑不同的信息源来建立态势感知(Scott, 2017):

1. HUMINT是由人类通过采访、对话或论坛生成的。

2. SIGINT，是由截获由计算机设备、网络设备或电信设备产生的信号而产生的。

3. OSINT是由开放资源衍生而来，包括新闻、社会媒体和商业数据库。它还考虑来自WHOIS等平台的技术信息。

4. MASINT是由传感仪器获得的数据产生的。传感器可以在战术上或战略上用于产生这类信息。

5. GEOINT是由地理空间系统产生的，可以完全由任何卫星或航空图像产生。

信息的数量可能超过安全专家的分析能力，使用推荐系统(RS)或专家决策支持系统(DSS)可以支持决策过程。为了分析大量信息，我们建议使用不同的技术解决方案，如:传感器、大数据和机器学习;在“认知安全模型下的信息安全指标管理”[4]中，我们提出了一个由七层组成的模型，该模型集成了不同的技术解决方案，可以提高安全分析师的认知技能。

1. 信息源层:该层考虑设备服务器、网络设备、周边安全设备和用户设备生成的不同数据源。

2. 传感器层:建立分布在多个位置的安全传感器通信的同质化。

3. 收集层:在这一层完成数据管理过程。数据管理过程包括:数据验证、数据清理、离群值去除、数据转换和数据聚合;数据分区。

4. 预处理层:在这一层中建立异常行为的模式，在此基础上判断可能的攻击是否存在。模式是基于网络流量数据、用户行为、已建立的连接和所使用的网络地址的相关性而建立的。

5. 建模层:在这一层中，需要对收集到的信息进行建模，描述数据流，并建立存在于网络内部的最常见的交互类型。

6. 处理层:这一层也使用机器学习解决方案，目的是分析可视化层中的异常行为或参数。在这一层中，处理层生成的可视化信息被表示为既没有损坏也没有操作的源

7. 决策层:将处理层生成的信息可视化。可以采用推荐系统或决策支持系统。

我们在表11中列出了能够增强安全分析师认知过程的技术解决方案与能够促进所提出的认知安全模型应用的研究领域之间的关系。

使用OODA循环决定模式,通过数据的分析确定产生心理模型的基础概要文件的攻击,威胁,用户和攻击者的行为,允许建立组织的大局意识,并定义投影操作维护网络安全状态。OODA通过推荐系统或决策支持系统向安全分析师共享知识。图11显示了每个技术层与安全分析师的每个认知过程之间的关系。

基于mape - k的网络安全状态连续监测;控制变量为建模层的网络安全态势感知状态。将数据源中采集的数据在信息、感知和采集层中传递到预处理层和建模层进行分析;根据网络安全指标预先设定了一些具体的执行措施。

认知模型考虑的建议包含人类模型的循环(HITL)解决人机交互技术解决方案的不同层,该方法允许创建机器理解模型的训练和自动化人工智能和自主计算的解决方案,允许生成知识的认知能力和增强的安全分析师。HITL允许通过控制承诺的指示器来控制错误警报的生成。HITL还执行执行器的控制，执行器负责执行自动事件响应行动，以避免可能对计算机系统产生负面影响的行动，特别是当它们是错误警报的产物时。

7. 认知的安全问题

认知安全面临的第一个问题或挑战是，对于预测分析来说，数据源没有被操纵或损坏，因此有必要建立数据质量过程和安全机制，以避免对数据源的更改。如果攻击者改变了数据，可能会导致数据挖掘、机器学习或大数据解决方案产生错误的分析，从而导致分析师做出错误的决定。

第二个问题是认知解决方案的局限性，它使人类有能力建立一种处理困境或表现同情的常识。麻省理工学院开发了一个名为“道德机器”的项目，该项目确定了在自动化系统[33]中认知解决方案可能面临的困境。

最后，第三个问题是，认知解决方案仍然缺乏泛化和抽象的能力，这些能力使人类能够解决问题并分析所做决策的可能影响。基于这个标准，由于存在假阳性的风险，不是每个过程都是自动的。在完全自动化的情况下，假阳性可能导致一个关键系统的完全关闭，这就是为什么有必要维护模型，如在循环中的人。

8. 结论和未来工作

意识是心理学领域广泛定义的一个概念，一些研究人员分析了如何将其原则应用到网络安全领域。达到这种意识在网络安全评估的参数是必要的(自我意识)和环境(环境意识)基于安全指标,允许我们理解网络安全的现状和项目安全风险,可能的攻击、操作和执行的可能影响执行一个特定的行动在未来的时间。

认知科学的使用网络安全领域的允许我们解决心理学的贡献,人工智能、语言学的认知过程和人机交互,提高安全分析师为了提高时间的响应和有效性决定行为检测,包含或减轻安全攻击。认知安全考虑四个组成部分:过程、知识、技术和认知能力，以建立心理地图、复杂数据融合、处理海量数据和维护知识。

为了管理SOC或CSIRT中的安全操作，他们必须专注于四个宏观过程:网络安全态势感知、网络安全攻击和威胁、网络安全事件响应和安全分析师的技能。情境意识中认知的生成可以通过运用知觉、理解和投射这三个认知过程来实现。在这个过程中，我们识别相关数据，然后对数据进行解释和关联，然后对未来事件进行评估和预测。

我们应该考虑并不是每个任务或流程都是自动化的，因为执行操作的影响可能比安全攻击的影响更负面。在这方面，在执行网络安全行动或任务时，将人置于决策中心是很重要的。

要建立对来自不同来源的信息的持续监控，使产生认知和决策过程，有必要使用控制技术。在计算机科学和网络安全领域，一些建议如mape - k、OODA和Human In the loop等得到了应用。本研究中提出的安全认知模型将技术解决方案与认知过程和控制技术相结合，可以提供一个完整的网络安全态势感知视角。