谷惠敏　商丘醫(yī)學(xué)高等?？茖W(xué)?！『幽仙糖稹?76100

?

基于本體網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型的構(gòu)建研究

谷惠敏商丘醫(yī)學(xué)高等專科學(xué)校河南商丘476100

【文章摘要】

針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息的共享、復(fù)用問題，建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，來解決無法統(tǒng)一的難題。利用網(wǎng)絡(luò)安全態(tài)勢要素知識的多源異構(gòu)性，從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，并通過具體態(tài)勢場景來驗證其有效性。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全態(tài)勢感知；本體；知識庫；態(tài)勢場景

現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化、多樣化、異構(gòu)化趨勢，對于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題，如何從網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅感知中來提升安全目標(biāo)，防范病毒入侵，自有從網(wǎng)絡(luò)威脅信息中進(jìn)行協(xié)同操作，借助于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的先進(jìn)技術(shù)，實現(xiàn)對多源安全設(shè)備的信息融合。然而，面對網(wǎng)絡(luò)安全態(tài)勢問題，由于涉及到異構(gòu)格式處理問題，而要建立這些要素信息的統(tǒng)一描述，迫切需要從網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型構(gòu)建上，解決多源異構(gòu)數(shù)據(jù)間的差異性，提升網(wǎng)絡(luò)安全管理人員的防范有效性。

1　網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型研究概述

對于知識庫模型的研究，如基于XML的知識庫模型，能夠從語法規(guī)則上進(jìn)行跨平臺操作，具有較高的靈活性和延伸性；但因XML語言缺乏描述功能，對于語義豐富的網(wǎng)絡(luò)安全態(tài)勢要素知識庫具有較大的技術(shù)限制；對于基于IDMEF的知識庫模型，主要是通過對入侵檢測的交互式訪問來實現(xiàn)，但因針對IDS系統(tǒng)，無法實現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求；對于基于一階邏輯的知識庫模型，雖然能夠從知識推理上保持一致性和正確性，但由于推理繁復(fù)，對系統(tǒng)資源占用較大；基于本體的多源信息知識庫模型，不僅能夠?qū)崿F(xiàn)對領(lǐng)域知識的一致性表達(dá)，還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境，實現(xiàn)對多種語義描述能力的邏輯推理。如Alireza Sadighian等人通過對上下文環(huán)境信息的本體報警來進(jìn)行本體表達(dá)和存儲警報信息，以降低IDS誤報率；Igor Kotenko等人利用安全指標(biāo)本體分析方法，從拓?fù)渲笜?biāo)、攻擊指標(biāo)、犯罪指標(biāo)、代價指標(biāo)、系統(tǒng)指標(biāo)、漏洞攻擊指標(biāo)等方面，對安全細(xì)心及事件管理系統(tǒng)進(jìn)行安全評估，并制定相應(yīng)的安全策略；王前等人利用多維分類攻擊模型，從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識的描述、共享和復(fù)用；吳林錦等人借助于入侵知識庫分類，從網(wǎng)絡(luò)入侵知識庫模型中建立領(lǐng)域本體、任務(wù)本體、應(yīng)用本體和原子本體，能夠?qū)崿F(xiàn)對入侵知識的復(fù)用和共享?？偟膩砜矗瑢τ诨诒倔w的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型的構(gòu)建，主要是針對IDS警報，從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進(jìn)行感知，對各安全要素的概念定義較為模糊和抽象，在實際操作中缺乏實用性。

2　網(wǎng)絡(luò)安全態(tài)勢要素的分類與提取

針對多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息，在對各要素進(jìn)行分類上，依據(jù)不同的數(shù)據(jù)來源、互補性、可靠性、實時性、冗余度等原則，主要分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊三類。對于網(wǎng)絡(luò)環(huán)境，主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)環(huán)境，如各類網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)主機、安全設(shè)備，以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)、進(jìn)程和應(yīng)用配置等內(nèi)容；對于網(wǎng)絡(luò)漏洞，是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢要素的核心，也是對各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議、代碼、安全策略等內(nèi)容；這些程序缺陷是誘發(fā)系統(tǒng)攻擊、危害網(wǎng)絡(luò)安全的重點。對于網(wǎng)絡(luò)攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息、破壞網(wǎng)絡(luò)環(huán)境的攻擊對象，如攻擊工具、攻擊者、攻擊屬性等。在對網(wǎng)絡(luò)環(huán)境進(jìn)行安全要素提取中，并非是直接獲取，而是基于相關(guān)的網(wǎng)絡(luò)安全事件，從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件，往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運行日志中，如原始事件、日志事件。

3　構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型中，首先要明確本體概念。對于本體，主要是基于邏輯、語義豐富的形式化模型，用于描述某一領(lǐng)域的知識。其次，在構(gòu)建方法選擇上，利用本體的特異性，從本體的領(lǐng)域范圍、抽象出領(lǐng)域的關(guān)鍵概念來作為類，并從類與實例的定義中來描述概念與個體之間的關(guān)系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關(guān)系；將網(wǎng)絡(luò)安全態(tài)勢要素知識進(jìn)行分類，形成知識領(lǐng)域本體、應(yīng)用本體和原子本體三個類別。

3.1態(tài)勢要素知識領(lǐng)域本體

領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫的最高本體，也是對領(lǐng)域內(nèi)關(guān)系概念進(jìn)行分類和定義的集合。如核心概念類、關(guān)鍵要素類等。從本研究中設(shè)置四個關(guān)鍵類，即Context表示網(wǎng)絡(luò)環(huán)境、Attack表示網(wǎng)絡(luò)攻擊、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件。在關(guān)系描述上設(shè)置五種關(guān)系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中；cause表示攻擊引發(fā)的事件；is-a表示為子類關(guān)系。

3.2態(tài)勢要素知識應(yīng)用本體

對于領(lǐng)域本體內(nèi)的應(yīng)用本體，主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢要素的構(gòu)成及方式，在描述上分為四類：一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況；二是對網(wǎng)絡(luò)漏洞、漏洞屬性和利用方法進(jìn)行描述；三是對攻擊工具、攻擊屬性、安全狀況、攻擊結(jié)果的描述；四是對原始事件或日志事件的描述。

3.3態(tài)勢要素知識原子本體

對于原子本體是可以直接運用的實例化說明，也最底層的本體。如各類應(yīng)用本體、類、以及相互之間的關(guān)系等。利用形式化模型來構(gòu)建基于本體的描述邏輯，以實現(xiàn)語義的精確描述。對于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點、網(wǎng)關(guān)，以及網(wǎng)絡(luò)配置系統(tǒng)中的程序、服務(wù)、進(jìn)程和用戶等。這些原子本體都是進(jìn)行邏輯描述的重點內(nèi)容。如對于某一節(jié)點，可以擁有一個地址，屬于某一網(wǎng)絡(luò)。對于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體，主要有漏洞嚴(yán)重程度、結(jié)果類型、訪問需求、發(fā)布情況；漏洞對象主要有代碼漏洞、配置漏洞、協(xié)議漏洞；對漏洞的利用方法有郵箱、可移動存儲介質(zhì)、釣魚等。以漏洞嚴(yán)重程度為例，可以設(shè)置為高、中、低三層次；對于訪問需求可以分為遠(yuǎn)程訪問、用戶訪問、本地訪問；對于結(jié)果類型有破壞機密性、完整性、可用性和權(quán)限提升等。

3.4網(wǎng)絡(luò)安全態(tài)勢知識庫模型的特點

通過對網(wǎng)絡(luò)安全態(tài)勢要素知識庫的構(gòu)建分析，從多維度、多屬性上來審視網(wǎng)絡(luò)安全態(tài)勢要素內(nèi)容，其特點主要表現(xiàn)在：一是完備性，能夠從一定邏輯關(guān)系上進(jìn)行全面的描述網(wǎng)絡(luò)安全態(tài)勢要素信息；二是可擴展性，能夠借助于本體的技術(shù)優(yōu)勢，在增加新的實例節(jié)點中并不破壞其它要素，便于知識庫模型的更新；三是實用性，要能夠從知識庫模型的粒度管理上，能夠全面反映網(wǎng)絡(luò)安全態(tài)勢，并易于被使用；四是交互性，從本體在異構(gòu)網(wǎng)絡(luò)環(huán)境中的應(yīng)用實際，能夠滿足知識的復(fù)用和共享，能夠較容易的與其他系統(tǒng)進(jìn)行交互。

4　應(yīng)用場景分析

由于網(wǎng)絡(luò)安全態(tài)勢涉及的要素較多，在不同網(wǎng)絡(luò)環(huán)境下，面對網(wǎng)絡(luò)入侵時，需要進(jìn)行分階段應(yīng)對。通常情況下，依照不同要素的不同目的，可以從態(tài)勢感知過程中進(jìn)行態(tài)勢片斷劃分，設(shè)置成相互連接的一個態(tài)勢場景。通過對態(tài)勢場景的分析，能夠描述整個入侵過程，進(jìn)而獲得全面的網(wǎng)絡(luò)安全態(tài)勢。通過實例來分析基于態(tài)勢場景的網(wǎng)絡(luò)安全攻擊過程，主要分為兩個階段：權(quán)限的獲取和隱蔽控制。在權(quán)限獲取上，通過對主機及應(yīng)用程序相關(guān)信息的掃描來發(fā)現(xiàn)漏洞，針對漏洞來開展某種攻擊行為，并獲取系統(tǒng)管理權(quán)限；隱蔽控制是在獲取管理權(quán)限后，為獲得更大的控制范圍、竊取更多的信息而采用的隱蔽控制行為。如對于攻擊者首先利用網(wǎng)絡(luò)探測攻擊掃描開放的端口或服務(wù)，獲得主機在AdobeReader應(yīng)用程序存在緩沖區(qū)溢出漏洞，據(jù)此來攻擊獲取系統(tǒng)管理員賬戶權(quán)限。這一過程被事件日志進(jìn)行記錄。在獲取主機控制權(quán)限后，為了實現(xiàn)對目標(biāo)系統(tǒng)的深入控制，從目標(biāo)系統(tǒng)中進(jìn)行口令破解攻擊，并安裝后門程序來滿足遠(yuǎn)程控制，實現(xiàn)對蹤跡的隱藏。我們利用網(wǎng)絡(luò)安全態(tài)勢要素知識本體模型，可以從態(tài)勢場景中來進(jìn)行入侵過程分析，每一個態(tài)勢片斷都將與攻擊行為進(jìn)行細(xì)化和展示。總之，本文針對網(wǎng)絡(luò)安全態(tài)勢感知語言的描述、共享、復(fù)用，從多源異構(gòu)網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢要素信息的分類和提取，并通過構(gòu)建領(lǐng)域本體、應(yīng)用本體和原子本體來進(jìn)行語義描述和定義，最后從態(tài)勢場景和態(tài)勢片斷運用中，結(jié)合實例來分析知識獲取過程，對模型進(jìn)行了有效驗證。

【參考文獻(xiàn)】

[1]吳林錦,武東英,劉勝利,劉龍.基于本體的網(wǎng)絡(luò)入侵知識庫模型研究[J]. 計算機科學(xué). 2013(09).

[2]華輝有,陳啟買.基于本體的網(wǎng)絡(luò)安全態(tài)勢知識庫模型[J]. 計算機應(yīng)用. 2014(S2).

[3]周長建,司震宇,邢金閣,劉海波.基于Deep Learning網(wǎng)絡(luò)態(tài)勢感知建模方法研究[J]. 東北農(nóng)業(yè)大學(xué)學(xué)報. 2013(05).