基于本体网络安全态势要素知识库模型的构建研究

谷惠敏　商丘医学高等专科学校　河南商丘　476100



基于本体网络安全态势要素知识库模型的构建研究

谷惠敏商丘医学高等专科学校河南商丘476100

【文章摘要】

针对当前网络安全态势信息的共享、复用问题，建立一种基于本体的网络安全态势要素知识库模型，来解决无法统一的难题。利用网络安全态势要素知识的多源异构性，从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型，并通过具体态势场景来验证其有效性。

【关键词】

网络安全态势感知；本体；知识库；态势场景

现代网络环境的复杂化、多样化、异构化趋势，对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题，如何从网络入侵检测、网络威胁感知中来提升安全目标，防范病毒入侵，自有从网络威胁信息中进行协同操作，借助于网络安全态势感知领域的先进技术，实现对多源安全设备的信息融合。然而，面对网络安全态势问题，由于涉及到异构格式处理问题，而要建立这些要素信息的统一描述，迫切需要从网络安全态势要素知识库模型构建上，解决多源异构数据间的差异性，提升网络安全管理人员的防范有效性。

1　网络安全态势要素知识库模型研究概述

对于知识库模型的研究，如基于XML的知识库模型，能够从语法规则上进行跨平台操作，具有较高的灵活性和延伸性；但因XML语言缺乏描述功能，对于语义丰富的网络安全态势要素知识库具有较大的技术限制；对于基于IDMEF的知识库模型，主要是通过对入侵检测的交互式访问来实现，但因针对IDS系统，无法实现多源异构系统的兼容性要求；对于基于一阶逻辑的知识库模型，虽然能够从知识推理上保持一致性和正确性，但由于推理繁复，对系统资源占用较大；基于本体的多源信息知识库模型，不仅能够实现对领域知识的一致性表达，还能够满足多源异构网络环境，实现对多种语义描述能力的逻辑推理。如Alireza Sadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息，以降低IDS误报率；Igor Kotenko等人利用安全指标本体分析方法，从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面，对安全细心及事件管理系统进行安全评估，并制定相应的安全策略；王前等人利用多维分类攻击模型，从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用；吴林锦等人借助于入侵知识库分类，从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体，能够实现对入侵知识的复用和共享。总的来看，对于基于本体的网络安全态势要素知识库模型的构建，主要是针对IDS警报，从反应网络安全状态上来进行感知，对各安全要素的概念定义较为模糊和抽象，在实际操作中缺乏实用性。

2　网络安全态势要素的分类与提取

针对多源异构网络环境下的网络安全状态信息，在对各要素进行分类上，依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则，主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境，主要是构建网络安全态势的基础环境，如各类网络设备、网络主机、安全设备，以及构建网络安全的拓扑结构、进程和应用配置等内容；对于网络漏洞，是构成网络安全态势要素的核心，也是对各类网络系统中带来威胁的协议、代码、安全策略等内容；这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击，主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象，如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中，并非是直接获取，而是基于相关的网络安全事件，从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件，往往被记录到网络系统的运行日志中，如原始事件、日志事件。

3　构建基于本体的网络安全态势要素知识库模型

在构建网络安全态势要素知识库模型中，首先要明确本体概念。对于本体，主要是基于逻辑、语义丰富的形式化模型，用于描述某一领域的知识。其次，在构建方法选择上，利用本体的特异性，从本体的领域范围、抽象出领域的关键概念来作为类，并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系；将网络安全态势要素知识进行分类，形成知识领域本体、应用本体和原子本体三个类别。

3.1态势要素知识领域本体

领域本体是构建网络安全态势要素知识库的最高本体，也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类，即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系，如isExploitedBy表示为被攻击者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件发生在网络环境中；cause表示攻击引发的事件；is-a表示为子类关系。

3.2态势要素知识应用本体

对于领域本体内的应用本体，主要是表现为网络安全态势要素的构成及方式，在描述上分为四类：一是用于描述网络拓扑结构和网络配置状况；二是对网络漏洞、漏洞属性和利用方法进行描述；三是对攻击工具、攻击属性、安全状况、攻击结果的描述；四是对原始事件或日志事件的描述。

3.3态势要素知识原子本体

对于原子本体是可以直接运用的实例化说明，也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑，以实现语义的精确描述。对于网络拓扑中的网络节点、网关，以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点，可以拥有一个地址，属于某一网络。对于网络漏洞领域内的原子本体，主要有漏洞严重程度、结果类型、访问需求、发布情况；漏洞对象主要有代码漏洞、配置漏洞、协议漏洞；对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例，可以设置为高、中、低三层次；对于访问需求可以分为远程访问、用户访问、本地访问；对于结果类型有破坏机密性、完整性、可用性和权限提升等。

3.4网络安全态势知识库模型的特点

通过对网络安全态势要素知识库的构建分析，从多维度、多属性上来审视网络安全态势要素内容，其特点主要表现在：一是完备性，能够从一定逻辑关系上进行全面的描述网络安全态势要素信息；二是可扩展性，能够借助于本体的技术优势，在增加新的实例节点中并不破坏其它要素，便于知识库模型的更新；三是实用性，要能够从知识库模型的粒度管理上，能够全面反映网络安全态势，并易于被使用；四是交互性，从本体在异构网络环境中的应用实际，能够满足知识的复用和共享，能够较容易的与其他系统进行交互。

4　应用场景分析

由于网络安全态势涉及的要素较多，在不同网络环境下，面对网络入侵时，需要进行分阶段应对。通常情况下，依照不同要素的不同目的，可以从态势感知过程中进行态势片断划分，设置成相互连接的一个态势场景。通过对态势场景的分析，能够描述整个入侵过程，进而获得全面的网络安全态势。通过实例来分析基于态势场景的网络安全攻击过程，主要分为两个阶段：权限的获取和隐蔽控制。在权限获取上，通过对主机及应用程序相关信息的扫描来发现漏洞，针对漏洞来开展某种攻击行为，并获取系统管理权限；隐蔽控制是在获取管理权限后，为获得更大的控制范围、窃取更多的信息而采用的隐蔽控制行为。如对于攻击者首先利用网络探测攻击扫描开放的端口或服务，获得主机在AdobeReader应用程序存在缓冲区溢出漏洞，据此来攻击获取系统管理员账户权限。这一过程被事件日志进行记录。在获取主机控制权限后，为了实现对目标系统的深入控制，从目标系统中进行口令破解攻击，并安装后门程序来满足远程控制，实现对踪迹的隐藏。我们利用网络安全态势要素知识本体模型，可以从态势场景中来进行入侵过程分析，每一个态势片断都将与攻击行为进行细化和展示。总之，本文针对网络安全态势感知语言的描述、共享、复用，从多源异构网络中实现对网络安全态势要素信息的分类和提取，并通过构建领域本体、应用本体和原子本体来进行语义描述和定义，最后从态势场景和态势片断运用中，结合实例来分析知识获取过程，对模型进行了有效验证。

【参考文献】

[1]吴林锦,武东英,刘胜利,刘龙.基于本体的网络入侵知识库模型研究[J]. 计算机科学. 2013(09).

[2]华辉有,陈启买.基于本体的网络安全态势知识库模型[J]. 计算机应用. 2014(S2).

[3]周长建,司震宇,邢金阁,刘海波.基于Deep Learning网络态势感知建模方法研究[J]. 东北农业大学学报. 2013(05).