前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的網(wǎng)絡(luò)安全知識庫模型構(gòu)建，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

【文章摘要】

針對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息的共享、復(fù)用問題，建立一種基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，來解決無法統(tǒng)一的難題。利用網(wǎng)絡(luò)安全態(tài)勢要素知識的多源異構(gòu)性，從分類和提取中建立由領(lǐng)域本體、應(yīng)用本體和原子本體為組成的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型，并通過具體態(tài)勢場景來驗證其有效性。

【關(guān)鍵詞】

網(wǎng)絡(luò)安全態(tài)勢感知；本體；知識庫；態(tài)勢場景

現(xiàn)代網(wǎng)絡(luò)環(huán)境的復(fù)雜化、多樣化、異構(gòu)化趨勢，對于網(wǎng)絡(luò)安全問題日益引起廣泛關(guān)注。網(wǎng)絡(luò)安全態(tài)勢作為網(wǎng)絡(luò)安全領(lǐng)域研究的重要難題，如何從網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)威脅感知中來提升安全目標(biāo)，防范病毒入侵，自有從網(wǎng)絡(luò)威脅信息中進行協(xié)同操作，借助于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的先進技術(shù)，實現(xiàn)對多源安全設(shè)備的信息融合。然而，面對網(wǎng)絡(luò)安全態(tài)勢問題，由于涉及到異構(gòu)格式處理問題，而要建立這些要素信息的統(tǒng)一描述，迫切需要從網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型構(gòu)建上，解決多源異構(gòu)數(shù)據(jù)間的差異性，提升網(wǎng)絡(luò)安全管理人員的防范有效性。

1網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型研究概述

對于知識庫模型的研究，如基于XML的知識庫模型，能夠從語法規(guī)則上進行跨平臺操作，具有較高的靈活性和延伸性；但因XML語言缺乏描述功能，對于語義豐富的網(wǎng)絡(luò)安全態(tài)勢要素知識庫具有較大的技術(shù)限制；對于基于IDMEF的知識庫模型，主要是通過對入侵檢測的交互式訪問來實現(xiàn)，但因針對IDS系統(tǒng)，無法實現(xiàn)多源異構(gòu)系統(tǒng)的兼容性要求；對于基于一階邏輯的知識庫模型，雖然能夠從知識推理上保持一致性和正確性，但由于推理繁復(fù)，對系統(tǒng)資源占用較大；基于本體的多源信息知識庫模型，不僅能夠?qū)崿F(xiàn)對領(lǐng)域知識的一致性表達，還能夠滿足多源異構(gòu)網(wǎng)絡(luò)環(huán)境，實現(xiàn)對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環(huán)境信息的本體報警來進行本體表達和存儲警報信息，以降低IDS誤報率；IgorKotenko等人利用安全指標(biāo)本體分析方法，從拓?fù)渲笜?biāo)、攻擊指標(biāo)、犯罪指標(biāo)、代價指標(biāo)、系統(tǒng)指標(biāo)、漏洞攻擊指標(biāo)等方面，對安全細(xì)心及事件管理系統(tǒng)進行安全評估，并制定相應(yīng)的安全策略；王前等人利用多維分類攻擊模型，從邏輯關(guān)系和層次化結(jié)構(gòu)上來構(gòu)建攻擊知識的描述、共享和復(fù)用；吳林錦等人借助于入侵知識庫分類，從網(wǎng)絡(luò)入侵知識庫模型中建立領(lǐng)域本體、任務(wù)本體、應(yīng)用本體和原子本體，能夠?qū)崿F(xiàn)對入侵知識的復(fù)用和共享?？偟膩砜?，對于基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型的構(gòu)建，主要是針對IDS警報，從反應(yīng)網(wǎng)絡(luò)安全狀態(tài)上來進行感知，對各安全要素的概念定義較為模糊和抽象，在實際操作中缺乏實用性。

2網(wǎng)絡(luò)安全態(tài)勢要素的分類與提取

針對多源異構(gòu)網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全狀態(tài)信息，在對各要素進行分類上，依據(jù)不同的數(shù)據(jù)來源、互補性、可靠性、實時性、冗余度等原則，主要分為網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊三類。對于網(wǎng)絡(luò)環(huán)境，主要是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢的基礎(chǔ)環(huán)境，如各類網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)主機、安全設(shè)備，以及構(gòu)建網(wǎng)絡(luò)安全的拓?fù)浣Y(jié)構(gòu)、進程和應(yīng)用配置等內(nèi)容；對于網(wǎng)絡(luò)漏洞，是構(gòu)成網(wǎng)絡(luò)安全態(tài)勢要素的核心，也是對各類網(wǎng)絡(luò)系統(tǒng)中帶來威脅的協(xié)議、代碼、安全策略等內(nèi)容；這些程序缺陷是誘發(fā)系統(tǒng)攻擊、危害網(wǎng)絡(luò)安全的重點。對于網(wǎng)絡(luò)攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網(wǎng)絡(luò)信息、破壞網(wǎng)絡(luò)環(huán)境的攻擊對象，如攻擊工具、攻擊者、攻擊屬性等。在對網(wǎng)絡(luò)環(huán)境進行安全要素提取中，并非是直接獲取，而是基于相關(guān)的網(wǎng)絡(luò)安全事件，從大量的網(wǎng)絡(luò)安全事件中來提取態(tài)勢要素。這些構(gòu)成網(wǎng)絡(luò)威脅的安全事件，往往被記錄到網(wǎng)絡(luò)系統(tǒng)的運行日志中，如原始事件、日志事件。

3構(gòu)建基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型中，首先要明確本體概念。對于本體，主要是基于邏輯、語義豐富的形式化模型，用于描述某一領(lǐng)域的知識。其次，在構(gòu)建方法選擇上，利用本體的特異性，從本體的領(lǐng)域范圍、抽象出領(lǐng)域的關(guān)鍵概念來作為類，并從類與實例的定義中來描述概念與個體之間的關(guān)系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關(guān)系；將網(wǎng)絡(luò)安全態(tài)勢要素知識進行分類，形成知識領(lǐng)域本體、應(yīng)用本體和原子本體三個類別。

3.1態(tài)勢要素知識領(lǐng)域本體

領(lǐng)域本體是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢要素知識庫的最高本體，也是對領(lǐng)域內(nèi)關(guān)系概念進行分類和定義的集合。如核心概念類、關(guān)鍵要素類等。從本研究中設(shè)置四個關(guān)鍵類，即Context表示網(wǎng)絡(luò)環(huán)境、Attack表示網(wǎng)絡(luò)攻擊、Vulnerability表示網(wǎng)絡(luò)漏洞、Event表示網(wǎng)絡(luò)安全事件。在關(guān)系描述上設(shè)置五種關(guān)系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發(fā)生在網(wǎng)絡(luò)環(huán)境中；cause表示攻擊引發(fā)的事件；is-a表示為子類關(guān)系。

3.2態(tài)勢要素知識應(yīng)用本體

對于領(lǐng)域本體內(nèi)的應(yīng)用本體，主要是表現(xiàn)為網(wǎng)絡(luò)安全態(tài)勢要素的構(gòu)成及方式，在描述上分為四類：一是用于描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置狀況；二是對網(wǎng)絡(luò)漏洞、漏洞屬性和利用方法進行描述；三是對攻擊工具、攻擊屬性、安全狀況、攻擊結(jié)果的描述；四是對原始事件或日志事件的描述。

3.3態(tài)勢要素知識原子本體

對于原子本體是可以直接運用的實例化說明，也最底層的本體。如各類應(yīng)用本體、類、以及相互之間的關(guān)系等。利用形式化模型來構(gòu)建基于本體的描述邏輯，以實現(xiàn)語義的精確描述。對于網(wǎng)絡(luò)拓?fù)渲械木W(wǎng)絡(luò)節(jié)點、網(wǎng)關(guān)，以及網(wǎng)絡(luò)配置系統(tǒng)中的程序、服務(wù)、進程和用戶等。這些原子本體都是進行邏輯描述的重點內(nèi)容。如對于某一節(jié)點，可以擁有一個地址，屬于某一網(wǎng)絡(luò)。對于網(wǎng)絡(luò)漏洞領(lǐng)域內(nèi)的原子本體，主要有漏洞嚴(yán)重程度、結(jié)果類型、訪問需求、情況；漏洞對象主要有代碼漏洞、配置漏洞、協(xié)議漏洞；對漏洞的利用方法有郵箱、可移動存儲介質(zhì)、釣魚等。以漏洞嚴(yán)重程度為例，可以設(shè)置為高、中、低三層次；對于訪問需求可以分為遠(yuǎn)程訪問、用戶訪問、本地訪問；對于結(jié)果類型有破壞機密性、完整性、可用性和權(quán)限提升等。

3.4網(wǎng)絡(luò)安全態(tài)勢知識庫模型的特點

通過對網(wǎng)絡(luò)安全態(tài)勢要素知識庫的構(gòu)建分析，從多維度、多屬性上來審視網(wǎng)絡(luò)安全態(tài)勢要素內(nèi)容，其特點主要表現(xiàn)在：一是完備性，能夠從一定邏輯關(guān)系上進行全面的描述網(wǎng)絡(luò)安全態(tài)勢要素信息；二是可擴展性，能夠借助于本體的技術(shù)優(yōu)勢，在增加新的實例節(jié)點中并不破壞其它要素，便于知識庫模型的更新；三是實用性，要能夠從知識庫模型的粒度管理上，能夠全面反映網(wǎng)絡(luò)安全態(tài)勢，并易于被使用；四是交互性，從本體在異構(gòu)網(wǎng)絡(luò)環(huán)境中的應(yīng)用實際，能夠滿足知識的復(fù)用和共享，能夠較容易的與其他系統(tǒng)進行交互。

作者：谷惠敏 單位：商丘醫(yī)學(xué)高等?？茖W(xué)校