本體論在網絡安全態勢感知中的應用

朱麗娜

摘要：網絡安全態勢感知是有效實施網絡安全監管的重要途徑，對網絡做出準確、全面的描述，是進行網絡安全態勢感知的前提，但目前缺乏對網絡安全態勢知識的有效表示；本體論是知識表示的重要方法，但信息安全領域引入本體論的相關研究，主要集中在構建基本的安全本體、通用的方法，或針對特定子領域構建安全本體，缺乏推理規則，不能直接應用于網絡安全態勢感知。針對上述問題，本文提出使用本體論方法建立網絡安全態勢要素知識庫，從而實現海量安全數據的有效融合和協同管理。

關鍵詞：本體論；網絡安全態勢感知；數據融合；安全本體

中圖分類號：B016；TP393.08 文獻標識碼：A 文章編號：1007-9416（2018）05-0188-02

隨著現代信息通信技術的飛速發展，傳統通信網絡向新型通信網絡過渡已是必然趨勢。然而凸顯的信息安全問題使未來網絡面臨嚴峻挑戰。在這種背景下，保障網絡的機密性、完整性、可用性等安全屬性顯得尤為重要和緊迫。現代網絡管理必須能夠在急劇動態變化的復雜環境中，高效組織不確定的網管信息并進行分析評估，提高網絡管理員對整個網絡運行狀況的認知和理解，輔助指揮人員迅速、準確地做出決策。對網絡安全態勢的準確掌握，是有效實施網絡安全監管的前提。網絡安全態勢感知[1]通過對影響網絡安全的諸多要素進行獲取、理解，評估網絡當前的安全狀態，并預測未來的發展趨勢。其中，對安全態勢要素的理解和預警都離不開領域知識。網絡作為復雜巨系統，面臨紛繁豐富的內容和錯綜復雜的關系，目前對其進行描述的能力很弱，而相關研究又很少。缺乏對網絡安全態勢知識的有效表示，已成為制約網絡安全態勢感知研究深入有效開展的一大瓶頸[2]。

本體論是知識表示的重要方法。本體（ontology）源于哲學概念，被引入計算機科學領域后，特指對共享概念模型所作的明確而規范的形式化說明。信息安全領域對本體的需求由Donner[3]于2003年明確提出，隨后出現了大量與安全本體相關的研究工作，但存在若干不足：研究主要集中在結合相關標準構建基本的安全本體，停留在理論層面，提出通用的方法，過于抽象，無法與網絡安全態勢評估工作相銜接；或者構建特定子領域的安全本體，如脆弱性本體、攻擊本體等，這些安全本體各自為戰，缺少推理規則，無法實現安全知識的重用、共享，不能充分體現網絡安全態勢整體、全局的特點，不能直接用于網絡安全態勢感知。

1 網絡安全態勢感知研究

由于反映網絡安全狀況的數據多源異構，網絡安全態勢感知需要采用數據融合的方法。通過對數據融合模型適當剪裁，進而建立能夠感知網絡安全狀態的模型。這類模型提供了態勢感知的過程框架，實際操作要借助具體的評估方法。網絡安全態勢評估方法很多，但良莠不齊，存在重復。網絡安全態勢評估方法的理論基礎包括數學模型[4]、知識推理[5]和模式識別[6]。數學模型用符號、函數關系描述評價目標和內容系統，把互相間的變化關系通過數學公式表達出來，只解決了網絡安全態勢要素的多屬性融合，沒有涉及多源數據融合，只能得到確定的評估結果，忽略了不確定性因素。知識推理模擬人類的智能推理方式，依據推理控制策略，利用形式化的知識求解問題。知識推理方法能夠處理不確定性信息，并通過推理匯聚多源多屬性信息，但如何獲取推理規則、先驗概率是其面臨的最大挑戰。模式識別具有強大的學習能力，能夠從訓練樣本或歷史數據中挖掘態勢模式。隨著網絡系統復雜化，與安全相關的數據日益增加，網絡安全態勢評估需要借助數據挖掘技術，并呈現多種方法綜合使用的趨勢。而有關網絡安全態勢知識表示的研究則很少，且起步較晚。

2 安全本體研究

安全本體相關研究中，Tsoumas等[7]先依據CIM（Common Information Model）標準構建一個基本的本體模型，并參照通用標準CC（Common Criteria）進一步充實，制定了一個可行的信息安全管理架構。Fenz等[8]針對風險定量分析和安全標準認證問題，結合ISO/IEC 27001標準設計安全本體。Hung等[9]構建了基于本體的入侵檢測框架。為檢測與抵抗針對分布式復雜軟件系統的攻擊，Vorobiev[10]提出一個由本體驅動的信息安全解決方案。為避免重復工作，Blanco等[11]在分析總結以往安全本體的基礎上，提出整合安全本體的關鍵要求。

近年來，國內學者也陸續開展了安全本體的相關研究，但研究成果較少。張連華等[12]構建了基于目標/源頭的脆弱性本體模型。張雪芹等[13]基于通用缺陷列表CWE（Common Weakness Enumeration）構建了信息安全漏洞本體，并用于漏洞關聯分析。吳林錦等[14]構建了網絡入侵知識本體，核心概念包括偵查、攻擊、隱蔽。王前等[15]構建了攻擊本體模型，核心概念包括利用漏洞、攻擊過程、攻擊目標、攻擊結果。

梳理后發現，國際上關于安全本體的研究，主要集中在結合相關標準構建基本的安全本體，提出通用的方法，或針對安全管理、風險評估、安全標準認證、入侵檢測等特定子領域，構建安全本體；國內相關研究主要關注特定子領域的本體描述、本體構建，極少涉及本體推理。信息安全領域引入本體的目的是為了有效表示知識，而要實現知識重用、共享，不僅需要一種計算機能夠理解的、結構化的語義描述機制，還需要一系列的推理規則。另外，公開文獻中極少有針對網絡安全態勢知識的本體研究。

3 結語

網絡安全態勢感知需要集成現有的各單元網絡管理技術（如漏洞掃描、入侵檢測等），網絡安全態勢要素進行全面而系統的研究，以實現對全局態勢的綜合評估與展現。能夠對網絡做出準確、全面、詳盡的描述，是進行網絡安全態勢感知的前提。但目前缺乏對網絡安全態勢知識的有效表示。信息安全領域引入本體論的相關研究，主要集中在基于相關標準構建基本的安全本體、通用的方法，或者針對脆弱性分析、入侵檢測等特定子領域構建安全本體，缺乏推理規則，無法實現知識重用、共享，不能直接用于網絡安全態勢感知。可以基于安全本體研究中已有的研究成果，針對網絡安全態勢感知的數據多源動態、多環節交叉、依賴領域知識等特點，基于網絡安全態勢感知基本模型，融合本體論相關理論知識，構建一個能夠有效執行網絡安全態勢感知的本體模型，其成果將有力推動網絡安全態勢知識庫的建立和完善，實現海量安全數據的有效融合和協同管理，促進網絡安全態勢感知基礎理論和關鍵技術的發展。

參考文獻

[1]Bass T.Intrusion systems and multisensor data fusion[J].Communications of the ACM，2000，43（4）：99-105.

[2]龔正虎，卓瑩.網絡態勢感知研究[J].軟件學報，2010，21（7）：1605-1619.

[3]Donner M.Toward a security ontology[J].IEEE Security and Privacy，2003，1（3）：6-7.

[4]陳秀真，鄭慶華，管曉宏，等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報，2006，17（4）：885-897.

[5]rnes A， Valeur F， Vigna G， et al. Using Hidden Markov Models to Evaluate the Risks of Intrusions[C]// International Workshop on Recent Advances in Intrusion Detection. Springer Berlin Heidelberg，2006：145-164.

[6]席榮榮，云曉春，張永錚等.一種改進的網絡安全態勢量化評估方法[J].計算機學報，2015，38（4）：749-758.

[7]Tsoumas B， Dritsas S， Gritzalis D. An Ontology-Based Approach to Information Systems Security Management[C]// International Conference on Mathematical Methods， Models， and Architectures for Computer Network Security. Springer-Verlag，2005：151-164.

[8]Fenz S， Goluch G， Ekelhart A， et al. Information Security Fortification by Ontological Mapping of the ISO/IEC 27001 Standard[C]// Pacific Rim International Symposium on Dependable Computing. IEEE， 2007：381-388.

[9]Hung S， Liu D. A user-oriented ontology-based approach for network intrusion detection[J].Computer Standards & Interfaces，2008，（30）：78-88.

[10]Vorobiev A. An ontology-driven approach applied to information security[J].Journal of Research and Practice in Information Technology，2010，42（1）：61-76.

[11]Blanco C， Lasheras J， Fernandez-Medina E， et al.Basis for an integrated security ontology according to a systematic review of existing proposals[J].Computer Standards & Interfaces， 2011，（33）：372-388.

[12]張連華，張潔，白英彩.基于ontology的安全漏洞分析模型[J].計算機應用與軟件，2006，23（5）：121-123.

[13]張雪芹，徐金瑜，顧春華.基于本體的信息安全漏洞關聯分析[J].華東理工大學學報（自然科學版），2014，40（1）：125-131.

[14]吳林錦，武東英，劉勝利等.基于本體的網絡入侵知識庫模型研究[J].計算機科學，2013，40（9）：120-124.

[15]王前，馮亞軍，楊兆民等.基于本體的網絡攻擊模型及其應用[J].計算機科學，2010，37（6）：114-117.