【文章摘要】
针对当前网络安全态势信息的共享、复用问题,建立一种基于本体的网络安全态势要素知识库模型,来解决无法统一的难题。利用网络安全态势要素知识的多源异构性,从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型,并通过具体态势场景来验证其有效性。
【关键词】
网络安全态势感知;本体;知识库;态势场景
现代网络环境的复杂化、多样化、异构化趋势,对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题,如何从网络入侵检测、网络威胁感知中来提升安全目标,防范病毒入侵,自有从网络威胁信息中进行协同操作,借助于网络安全态势感知领域的先进技术,实现对多源安全设备的信息融合。然而,面对网络安全态势问题,由于涉及到异构格式处理问题,而要建立这些要素信息的统一描述,迫切需要从网络安全态势要素知识库模型构建上,解决多源异构数据间的差异性,提升网络安全管理人员的防范有效性。
1网络安全态势要素知识库模型研究概述
对于知识库模型的研究,如基于XML的知识库模型,能够从语法规则上进行跨平台操作,具有较高的灵活性和延伸性;但因XML语言缺乏描述功能,对于语义丰富的网络安全态势要素知识库具有较大的技术限制;对于基于IDMEF的知识库模型,主要是通过对入侵检测的交互式访问来实现,但因针对IDS系统,无法实现多源异构系统的兼容性要求;对于基于一阶逻辑的知识库模型,虽然能够从知识推理上保持一致性和正确性,但由于推理繁复,对系统资源占用较大;基于本体的多源信息知识库模型,不仅能够实现对领域知识的一致性表达,还能够满足多源异构网络环境,实现对多种语义描述能力的逻辑推理。如AlirezaSadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息,以降低IDS误报率;IgorKotenko等人利用安全指标本体分析方法,从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面,对安全细心及事件管理系统进行安全评估,并制定相应的安全策略;王前等人利用多维分类攻击模型,从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用;吴林锦等人借助于入侵知识库分类,从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体,能够实现对入侵知识的复用和共享。总的来看,对于基于本体的网络安全态势要素知识库模型的构建,主要是针对IDS警报,从反应网络安全状态上来进行感知,对各安全要素的概念定义较为模糊和抽象,在实际操作中缺乏实用性。
2网络安全态势要素的分类与提取
针对多源异构网络环境下的网络安全状态信息,在对各要素进行分类上,依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则,主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境,主要是构建网络安全态势的基础环境,如各类网络设备、网络主机、安全设备,以及构建网络安全的拓扑结构、进程和应用配置等内容;对于网络漏洞,是构成网络安全态势要素的核心,也是对各类网络系统中带来威胁的协议、代码、安全策略等内容;这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击,主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象,如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中,并非是直接获取,而是基于相关的网络安全事件,从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件,往往被记录到网络系统的运行日志中,如原始事件、日志事件。
3构建基于本体的网络安全态势要素知识库模型
在构建网络安全态势要素知识库模型中,首先要明确本体概念。对于本体,主要是基于逻辑、语义丰富的形式化模型,用于描述某一领域的知识。其次,在构建方法选择上,利用本体的特异性,从本体的领域范围、抽象出领域的关键概念来作为类,并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系;将网络安全态势要素知识进行分类,形成知识领域本体、应用本体和原子本体三个类别。
3.1态势要素知识领域本体
领域本体是构建网络安全态势要素知识库的最高本体,也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类,即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系,如isExploitedBy表示为被攻击者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件发生在网络环境中;cause表示攻击引发的事件;is-a表示为子类关系。
3.2态势要素知识应用本体
对于领域本体内的应用本体,主要是表现为网络安全态势要素的构成及方式,在描述上分为四类:一是用于描述网络拓扑结构和网络配置状况;二是对网络漏洞、漏洞属性和利用方法进行描述;三是对攻击工具、攻击属性、安全状况、攻击结果的描述;四是对原始事件或日志事件的描述。
3.3态势要素知识原子本体
对于原子本体是可以直接运用的实例化说明,也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑,以实现语义的精确描述。对于网络拓扑中的网络节点、网关,以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点,可以拥有一个地址,属于某一网络。对于网络漏洞领域内的原子本体,主要有漏洞严重程度、结果类型、访问需求、情况;漏洞对象主要有代码漏洞、配置漏洞、协议漏洞;对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例,可以设置为高、中、低三层次;对于访问需求可以分为远程访问、用户访问、本地访问;对于结果类型有破坏机密性、完整性、可用性和权限提升等。
3.4网络安全态势知识库模型的特点
通过对网络安全态势要素知识库的构建分析,从多维度、多属性上来审视网络安全态势要素内容,其特点主要表现在:一是完备性,能够从一定逻辑关系上进行全面的描述网络安全态势要素信息;二是可扩展性,能够借助于本体的技术优势,在增加新的实例节点中并不破坏其它要素,便于知识库模型的更新;三是实用性,要能够从知识库模型的粒度管理上,能够全面反映网络安全态势,并易于被使用;四是交互性,从本体在异构网络环境中的应用实际,能够满足知识的复用和共享,能够较容易的与其他系统进行交互。
作者:谷惠敏 单位:商丘医学高等专科学校
