A set of semantic data flow diagrams and its security analysis based on ontologies and knowledge graphs

要約

長い間、脅威のモデル化は手動の複雑なプロセスとして扱われてきました。
しかし、最新のアジャイル開発手法とクラウド コンピューティング テクノロジでは、自動脅威モデリング アプローチを追加する必要があります。
この作業では、2 つの課題を考慮しています。実際のクラウド ベースのアプリケーションを表す一連の機械可読データ フロー図を作成します。
また、そのようなアプリケーションのセキュリティ面を自動分析するためのドメイン固有の知識を使用します。
180 個のセマンティック ダイアグラム (オントロジーとナレッジ グラフ) のセットは、クラウド構成 (Docker Compose) に基づいて作成されます。
このセットには、Web ベースおよびデータ処理アプリケーションの設計および機能面を定義できる手動の分類法が含まれています。
このセットは、脅威モデリング分野のさまざまな研究に使用できます。
この作業では、オントロジーとナレッジ グラフを使用して、ダイアグラム内のパターン (セキュリティ脅威にマッピングされたもの) を自動的に認識する方法についても評価します。
パターンは、ダイアグラムのセマンティック表現での認識を可能にするナレッジ ベースへの要求の形式でダイアグラムの機能を表します。
実験では、パターンの 4 つのグループ (Web アプリケーション、データ処理、ネットワーク、および Docker 固有) が作成され、パターンによってダイアグラムが検査されます。
Web アプリケーションおよびデータ処理パターンについて受信した自動結果は、自動脅威モデリングの課題を研究するために、手動の分類法と比較されます。

要約(オリジナル)

For a long time threat modeling was treated as a manual, complicated process. However modern agile development methodologies and cloud computing technologies require adding automatic threat modeling approaches. This work considers two challenges: creating a set of machine-readable data flow diagrams that represent real cloud based applications; and usage domain specific knowledge for automatic analysis of the security aspects of such applications. The set of 180 semantic diagrams (ontologies and knowledge graphs) is created based on cloud configurations (Docker Compose); the set includes a manual taxonomy that allows to define the design and functional aspects of the web based and data processing applications; the set can be used for various research in the threat modeling field. This work also evaluates how ontologies and knowledge graphs can be used to automatically recognize patterns (mapped to security threats) in diagrams. A pattern represents features of a diagram in form of a request to a knowledge base, what enables its recognition in a semantic representation of a diagram. In an experiment four groups of the patterns are created (web applications, data processing, network, and docker specific), and the diagrams are examined by the patterns. Automatic results, received for the web applications and data processing patterns, are compared with the manual taxonomy in order to study challenges of automatic threat modeling.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google