基于本體網(wǎng)絡安全態(tài)勢要素知識庫模型的構建研究

谷惠敏　商丘醫(yī)學高等?？茖W?！『幽仙糖稹?76100

?

基于本體網(wǎng)絡安全態(tài)勢要素知識庫模型的構建研究

谷惠敏商丘醫(yī)學高等?？茖W校河南商丘476100

【文章摘要】

針對當前網(wǎng)絡安全態(tài)勢信息的共享、復用問題，建立一種基于本體的網(wǎng)絡安全態(tài)勢要素知識庫模型，來解決無法統(tǒng)一的難題。利用網(wǎng)絡安全態(tài)勢要素知識的多源異構性，從分類和提取中建立由領域本體、應用本體和原子本體為組成的網(wǎng)絡安全態(tài)勢要素知識庫模型，并通過具體態(tài)勢場景來驗證其有效性。

【關鍵詞】

網(wǎng)絡安全態(tài)勢感知；本體；知識庫；態(tài)勢場景

現(xiàn)代網(wǎng)絡環(huán)境的復雜化、多樣化、異構化趨勢，對于網(wǎng)絡安全問題日益引起廣泛關注。網(wǎng)絡安全態(tài)勢作為網(wǎng)絡安全領域研究的重要難題，如何從網(wǎng)絡入侵檢測、網(wǎng)絡威脅感知中來提升安全目標，防范病毒入侵，自有從網(wǎng)絡威脅信息中進行協(xié)同操作，借助于網(wǎng)絡安全態(tài)勢感知領域的先進技術，實現(xiàn)對多源安全設備的信息融合。然而，面對網(wǎng)絡安全態(tài)勢問題，由于涉及到異構格式處理問題，而要建立這些要素信息的統(tǒng)一描述，迫切需要從網(wǎng)絡安全態(tài)勢要素知識庫模型構建上，解決多源異構數(shù)據(jù)間的差異性，提升網(wǎng)絡安全管理人員的防范有效性。

1　網(wǎng)絡安全態(tài)勢要素知識庫模型研究概述

對于知識庫模型的研究，如基于XML的知識庫模型，能夠從語法規(guī)則上進行跨平臺操作，具有較高的靈活性和延伸性；但因XML語言缺乏描述功能，對于語義豐富的網(wǎng)絡安全態(tài)勢要素知識庫具有較大的技術限制；對于基于IDMEF的知識庫模型，主要是通過對入侵檢測的交互式訪問來實現(xiàn)，但因針對IDS系統(tǒng)，無法實現(xiàn)多源異構系統(tǒng)的兼容性要求；對于基于一階邏輯的知識庫模型，雖然能夠從知識推理上保持一致性和正確性，但由于推理繁復，對系統(tǒng)資源占用較大；基于本體的多源信息知識庫模型，不僅能夠?qū)崿F(xiàn)對領域知識的一致性表達，還能夠滿足多源異構網(wǎng)絡環(huán)境，實現(xiàn)對多種語義描述能力的邏輯推理。如Alireza Sadighian等人通過對上下文環(huán)境信息的本體報警來進行本體表達和存儲警報信息，以降低IDS誤報率；Igor Kotenko等人利用安全指標本體分析方法，從拓撲指標、攻擊指標、犯罪指標、代價指標、系統(tǒng)指標、漏洞攻擊指標等方面，對安全細心及事件管理系統(tǒng)進行安全評估，并制定相應的安全策略；王前等人利用多維分類攻擊模型，從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用；吳林錦等人借助于入侵知識庫分類，從網(wǎng)絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體，能夠?qū)崿F(xiàn)對入侵知識的復用和共享?？偟膩砜?，對于基于本體的網(wǎng)絡安全態(tài)勢要素知識庫模型的構建，主要是針對IDS警報，從反應網(wǎng)絡安全狀態(tài)上來進行感知，對各安全要素的概念定義較為模糊和抽象，在實際操作中缺乏實用性。

2　網(wǎng)絡安全態(tài)勢要素的分類與提取

針對多源異構網(wǎng)絡環(huán)境下的網(wǎng)絡安全狀態(tài)信息，在對各要素進行分類上，依據(jù)不同的數(shù)據(jù)來源、互補性、可靠性、實時性、冗余度等原則，主要分為網(wǎng)絡環(huán)境、網(wǎng)絡漏洞、網(wǎng)絡攻擊三類。對于網(wǎng)絡環(huán)境，主要是構建網(wǎng)絡安全態(tài)勢的基礎環(huán)境，如各類網(wǎng)絡設備、網(wǎng)絡主機、安全設備，以及構建網(wǎng)絡安全的拓撲結構、進程和應用配置等內(nèi)容；對于網(wǎng)絡漏洞，是構成網(wǎng)絡安全態(tài)勢要素的核心，也是對各類網(wǎng)絡系統(tǒng)中帶來威脅的協(xié)議、代碼、安全策略等內(nèi)容；這些程序缺陷是誘發(fā)系統(tǒng)攻擊、危害網(wǎng)絡安全的重點。對于網(wǎng)絡攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡信息、破壞網(wǎng)絡環(huán)境的攻擊對象，如攻擊工具、攻擊者、攻擊屬性等。在對網(wǎng)絡環(huán)境進行安全要素提取中，并非是直接獲取，而是基于相關的網(wǎng)絡安全事件，從大量的網(wǎng)絡安全事件中來提取態(tài)勢要素。這些構成網(wǎng)絡威脅的安全事件，往往被記錄到網(wǎng)絡系統(tǒng)的運行日志中，如原始事件、日志事件。

3　構建基于本體的網(wǎng)絡安全態(tài)勢要素知識庫模型

在構建網(wǎng)絡安全態(tài)勢要素知識庫模型中，首先要明確本體概念。對于本體，主要是基于邏輯、語義豐富的形式化模型，用于描述某一領域的知識。其次，在構建方法選擇上，利用本體的特異性，從本體的領域范圍、抽象出領域的關鍵概念來作為類，并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系；將網(wǎng)絡安全態(tài)勢要素知識進行分類，形成知識領域本體、應用本體和原子本體三個類別。

3.1態(tài)勢要素知識領域本體

領域本體是構建網(wǎng)絡安全態(tài)勢要素知識庫的最高本體，也是對領域內(nèi)關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類，即Context表示網(wǎng)絡環(huán)境、Attack表示網(wǎng)絡攻擊、Vulnerability表示網(wǎng)絡漏洞、Event表示網(wǎng)絡安全事件。在關系描述上設置五種關系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發(fā)生在網(wǎng)絡環(huán)境中；cause表示攻擊引發(fā)的事件；is-a表示為子類關系。

3.2態(tài)勢要素知識應用本體

對于領域本體內(nèi)的應用本體，主要是表現(xiàn)為網(wǎng)絡安全態(tài)勢要素的構成及方式，在描述上分為四類：一是用于描述網(wǎng)絡拓撲結構和網(wǎng)絡配置狀況；二是對網(wǎng)絡漏洞、漏洞屬性和利用方法進行描述；三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述；四是對原始事件或日志事件的描述。

3.3態(tài)勢要素知識原子本體

對于原子本體是可以直接運用的實例化說明，也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯，以實現(xiàn)語義的精確描述。對于網(wǎng)絡拓撲中的網(wǎng)絡節(jié)點、網(wǎng)關，以及網(wǎng)絡配置系統(tǒng)中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內(nèi)容。如對于某一節(jié)點，可以擁有一個地址，屬于某一網(wǎng)絡。對于網(wǎng)絡漏洞領域內(nèi)的原子本體，主要有漏洞嚴重程度、結果類型、訪問需求、發(fā)布情況；漏洞對象主要有代碼漏洞、配置漏洞、協(xié)議漏洞；對漏洞的利用方法有郵箱、可移動存儲介質(zhì)、釣魚等。以漏洞嚴重程度為例，可以設置為高、中、低三層次；對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問；對于結果類型有破壞機密性、完整性、可用性和權限提升等。

3.4網(wǎng)絡安全態(tài)勢知識庫模型的特點

通過對網(wǎng)絡安全態(tài)勢要素知識庫的構建分析，從多維度、多屬性上來審視網(wǎng)絡安全態(tài)勢要素內(nèi)容，其特點主要表現(xiàn)在：一是完備性，能夠從一定邏輯關系上進行全面的描述網(wǎng)絡安全態(tài)勢要素信息；二是可擴展性，能夠借助于本體的技術優(yōu)勢，在增加新的實例節(jié)點中并不破壞其它要素，便于知識庫模型的更新；三是實用性，要能夠從知識庫模型的粒度管理上，能夠全面反映網(wǎng)絡安全態(tài)勢，并易于被使用；四是交互性，從本體在異構網(wǎng)絡環(huán)境中的應用實際，能夠滿足知識的復用和共享，能夠較容易的與其他系統(tǒng)進行交互。

4　應用場景分析

由于網(wǎng)絡安全態(tài)勢涉及的要素較多，在不同網(wǎng)絡環(huán)境下，面對網(wǎng)絡入侵時，需要進行分階段應對。通常情況下，依照不同要素的不同目的，可以從態(tài)勢感知過程中進行態(tài)勢片斷劃分，設置成相互連接的一個態(tài)勢場景。通過對態(tài)勢場景的分析，能夠描述整個入侵過程，進而獲得全面的網(wǎng)絡安全態(tài)勢。通過實例來分析基于態(tài)勢場景的網(wǎng)絡安全攻擊過程，主要分為兩個階段：權限的獲取和隱蔽控制。在權限獲取上，通過對主機及應用程序相關信息的掃描來發(fā)現(xiàn)漏洞，針對漏洞來開展某種攻擊行為，并獲取系統(tǒng)管理權限；隱蔽控制是在獲取管理權限后，為獲得更大的控制范圍、竊取更多的信息而采用的隱蔽控制行為。如對于攻擊者首先利用網(wǎng)絡探測攻擊掃描開放的端口或服務，獲得主機在AdobeReader應用程序存在緩沖區(qū)溢出漏洞，據(jù)此來攻擊獲取系統(tǒng)管理員賬戶權限。這一過程被事件日志進行記錄。在獲取主機控制權限后，為了實現(xiàn)對目標系統(tǒng)的深入控制，從目標系統(tǒng)中進行口令破解攻擊，并安裝后門程序來滿足遠程控制，實現(xiàn)對蹤跡的隱藏。我們利用網(wǎng)絡安全態(tài)勢要素知識本體模型，可以從態(tài)勢場景中來進行入侵過程分析，每一個態(tài)勢片斷都將與攻擊行為進行細化和展示?？傊?，本文針對網(wǎng)絡安全態(tài)勢感知語言的描述、共享、復用，從多源異構網(wǎng)絡中實現(xiàn)對網(wǎng)絡安全態(tài)勢要素信息的分類和提取，并通過構建領域本體、應用本體和原子本體來進行語義描述和定義，最后從態(tài)勢場景和態(tài)勢片斷運用中，結合實例來分析知識獲取過程，對模型進行了有效驗證。

【參考文獻】

[1]吳林錦,武東英,劉勝利,劉龍.基于本體的網(wǎng)絡入侵知識庫模型研究[J]. 計算機科學. 2013(09).

[2]華輝有,陳啟買.基于本體的網(wǎng)絡安全態(tài)勢知識庫模型[J]. 計算機應用. 2014(S2).

[3]周長建,司震宇,邢金閣,劉海波.基于Deep Learning網(wǎng)絡態(tài)勢感知建模方法研究[J]. 東北農(nóng)業(yè)大學學報. 2013(05).