基于本体网络安全态势要素知识库模型的构建研究

谷惠敏 商丘医学高等专科学校 河南商丘 476100

【文章摘要】

 　　针对当前网络安全态势信息的共享、复用问题，建立一种基于本体的网络安全态势要素知识库模型，来解决无法统一的难题。利用网络安全态势要素知识的多源异构性，从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型，并通过具体态势场景来验证其有效性。

【关键词】

网络安全态势感知；本体；知识库；态势场景

现代网络环境的复杂化、多样化、异构化趋势，对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题，如何从网络入侵检测、网络威胁感知中来提升安全目标，防范病毒入侵，自有从网络威胁信息中进行协同操作，借助于网络安全态势感知领域的先进技术，实现对多源安全设备的信息融合。然而，面对网络安全态势问题，由于涉及到异构格式处理问题，而要建立这些要素信息的统一描述，迫切需要从网络安全态势要素知识库模型构建上，解决多源异构数据间的差异性，提升网络安全管理人员的防范有效性。

1 网络安全态势要素知识库模型研究概述

对于知识库模型的研究，如基于XML 的知识库模型，能够从语法规则上进行跨平台操作，具有较高的灵活性和延伸性；但因XML 语言缺乏描述功能，对于语义丰富的网络安全态势要素知识库具有较大的技术限制；对于基于IDMEF 的知识库模型，主要是通过对入侵检测的交互式访问来实现，但因针对IDS 系统，无法实现多源异构系统的兼容性要求；对于基于一阶逻辑的知识库模型，虽然能够从知识推理上保持一致性和正确性，但由于推理繁复，对系统资源占用较大；基于本体的多源信息知识库模型，不仅能够实现对领域知识的一致性表达，还能够满足多源异构网络环境，实现对多种语义描述能力的逻辑推理。如Alireza Sadighian 等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息，以降低IDS 误报率； Igor Kotenko 等人利用安全指标本体分析方法，从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面，对安全细心及事件管理系统进行安全评估，并制定相应的安全策略；王前等人利用多维分类攻击模型，从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用；吴林锦等人借助于入侵知识库分类，从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体，能够实现对入侵知识的复用和共享。总的来看，对于基于本体的网络安全态势要素知识库模型的构建，主要是针对IDS 警报，从反应网络安全状态上来进行感知，对各安全要素的概念定义较为模糊和抽象，在实际操作中缺乏实用性。

2 网络安全态势要素的分类与提取

针对多源异构网络环境下的网络安全状态信息，在对各要素进行分类上，依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则，主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境，主要是构建网络安全态势的基础环境，如各类网络设备、网络主机、安全设备，以及构建网络安全的拓扑结构、进程和应用配置等内容；对于网络漏洞，是构成网络安全态势要素的核心，也是对各类网络系统中带来威胁的协议、代码、安全策略等内容；这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击，主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象，如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中，并非是直接获取，而是基于相关的网络安全事件，从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件，往往被记录到网络系统的运行日志中，如原始事件、日志事件。

3 构建基于本体的网络安全态势要素知识库模型

在构建网络安全态势要素知识库模型中， 首先要明确本体概念。对于本体，主要是基于逻辑、语义丰富的形式化模型，用于描述某一领域的知识。其次，在构建方法选择上，利用本体的特异性，从本体的领域范围、抽象出领域的关键概念来作为类，并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系；将网络安全态势要素知识进行分类，形成知识领域本体、应用本体和原子本体三个类别。

3.1 态势要素知识领域本体

领域本体是构建网络安全态势要素知识库的最高本体，也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类，即Context 表示网络环境、Attack 表示网络攻击、Vulnerability 表示网络漏洞、Event 表示网络安全事件。在关系描述上设置五种关系，如isExploitedBy 表示为被攻击者利用； hasVulnerability 表示存在漏洞； happenIn 表示安全事件发生在网络环境中； cause 表示攻击引发的事件； is-a 表示为子类关系。

3.2 态势要素知识应用本体

对于领域本体内的应用本体，主要是表现为网络安全态势要素的构成及方式，在描述上分为四类：一是用于描述网络拓扑结构和网络配置状况；二是对网络漏洞、漏洞属性和利用方法进行描述；三是对攻击工具、攻击属性、安全状况、攻击结果的描述；四是对原始事件或日志事件的描述。

3.3 态势要素知识原子本体

对于原子本体是可以直接运用的实例化说明，也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑，以实现语义的精确描述。对于网络拓扑中的网络节点、网关，以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点，可以拥有一个地址， 属于某一网络。对于网络漏洞领域内的原子本体，主要有漏洞严重程度、结果类型、访问需求、发布情况；漏洞对象主要有代码漏洞、配置漏洞、协议漏洞；对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例，可以设置为高、中、低三层次；对于访问需求可以分为远程访问、用户访问、本地访问；对于结果类型有破坏机密性、完整性、可用性和权限提升等。

3.4 网络安全态势知识库模型的特点

通过对网络安全态势要素知识库的构建分析，从多维度、多属性上来审视网络安全态势要素内容，其特点主要表现在：一是完备性，能够从一定逻辑关系上进行全面的描述网络安全态势要素信息；二是可扩展性，能够借助于本体的技术优势，在增加新的实例节点中并不破坏其它要素，便于知识库模型的更新；三是实用性，要能够从知识库模型的粒度管理上，能够全面反映网络安全态势，并易于被使用； 四是交互性，从本体在异构网络环境中的应用实际，能够满足知识的复用和共享，能够较容易的与其他系统进行交互。080

网络通信

Network Communication

电子制作

4 应用场景分析

由于网络安全态势涉及的要素较多，在不同网络环境下，面对网络入侵时，需要进行分阶段应对。通常情况下，依照不同要素的不同目的，可以从态势感知过程中进行态势片断划分，设置成相互连接的一个态势场景。通过对态势场景的分析，能够描述整个入侵过程，进而获得全面的网络安全态势。通过实例来分析基于态势场景的网络安全攻击过程，主要分为两个阶段：权限的获取和隐蔽控制。在权限获取上，通过对主机及应用程序相关信息的扫描来发现漏洞，针对漏洞来开展某种攻击行为，并获取系统管理权限；隐蔽控制是在获取管理权限后，为获得更大的控制范围、窃取更多的信息而采用的隐蔽控制行为。如对于攻击者首先利用网络探测攻击扫描开放的端口或服务，获得主机在AdobeReader 应用程序存在缓冲区溢出漏洞，据此来攻击获取系统管理员账户权限。这一过程被事件日志进行记录。在获取主机控制权限后，为了实现对目标系统的深入控制，从目标系统中进行口令破解攻击，并安装后门程序来满足远程控制，实现对踪迹的隐藏。我们利用网络安全态势要素知识本体模型，可以从态势场景中来进行入侵过程分析，每一个态势片断都将与攻击行为进行细化和展示。总之，本文针对网络安全态势感知语言的描述、共享、复用，从多源异构网络中实现对网络安全态势要素信息的分类和提取，并通过构建领域本体、应用本体和原子本体来进行语义描述和定义，最后从态势场景和态势片断运用中，结合实例来分析知识获取过程，对模型进行了有效验证。

【参考文献】

[1] 吴林锦, 武东英, 刘胜利, 刘龙. 基于本体的网络入侵知识库模型研究[J]. 计算机科学. 2013(09).

[2] 华辉有, 陈启买. 基于本体的网络安全态势知识库模型[J]. 计算机应用. 2014(S2).

[3] 周长建, 司震宇, 邢金阁, 刘海波. 基于Deep Learning 网络态势感知建模方法研究[J]. 东北农业大学学报. 2013(05).

（上接100 页）

表2 年龄权值数据表

数进行权值计算。系统以Z(z)=i 进行表示，其中， z 为职称种类，可分为教授、副教授、讲师、助教等， i 可根据职务繁忙度灵活定义。

2.1.2 乘性参数

在特殊条件中，特殊因子y 的值随特殊情况变化而确定。如表1 分析，将特殊因子y 作为乘性参数决定监考最终值。

表1 乘性参数的设置

2.2 公平度计算

定义公平度函数w(x,y,z,S)= （A(x)+S+Z(z)） *y。通过加性参数和乘性参数相结合进行运算，优化了算法的合理性。监考可能值P=1/n*w，其中， n 为教师数量， 每位教师在完全等概监考条件下加以权值w 限定，得到最终监考可能值。

2.3 算法步骤

步骤一：随机数产生器随机产生一部分教师（可设定具体比例）作为监考候选人；

步骤二：综合教师因素约束，根据公平度函数计算出每位候选人监考可能值；

步骤三：进行降序排序；

步骤四：根据所需监考教师人数n，选取排名前n 名教师。

需要指出的是，监考候选人数一定要大于所需监考人数，可参照差额选举办法设定一定比例，如120%。

3 算法的比较与分析

在自动排监考算法中, 年龄系数A 在临界点MA 存在权值突变现象，如图1 所示。在条件选择算法的优化下， A 能随年龄x 变化而变化，同时，构建不同类型函数可满足不同需求。图2 曲线对比图中明显看出，构建连续函数得到的年龄权值解决了临界点突变问题。同时，抛物线型和三角函数型变化趋势由慢变快，充分照顾了偏老结构的教师群体。

在教师其他因素均相同的情况下，通过控制年龄的变化，观察年龄权值的变化。以下选取部分年龄进行数据分析：

由表2 中可看出，通过构建连续函数解决了在同等条件下由于系数的单一化，而无法确定监考教师的漏洞，如45 岁和65 岁的教师， 由于年龄系数值相同而无法选择谁去监考。同时，由ΔA 值看出，在构建不同连续函数中， 尤其曲线型函数考虑了年龄结构偏大的教师， 年龄越大， ΔA 值越大变化越陡，即权值越低。

以上着重分析了不同算法中年龄权值的变化特点，同理也可分析，性别和职称通过连续函数确定权值更加公平化和人性化。

4 结语

本文提出基于连续函数的条件选择算法， 在随机选取监考候选人的基础上通过构建各因素的连续函数进行权值约束，充分体现了公平原则下的“以人为本”教学管理理念，最大优化监考安排。此算法不仅能应用于监考安排中，同样适用于各单位公差勤务安排等。

【参考文献】

[ 1 ］ C a r t e r M W ， L a p o r t e G ， L e e S Y . E x a m i n a t i o n t i m e t a b l i n g ： Algorithmic strategies and application ［J］.The Journal of theOperational Research Society，1996，47（03）： 373-383.

［2］Casey S，Thompson J.Grasping the examination scheduling problem［R］. Practice and Theoryof Automated T i m e t a b l i n g I V ， S p r i n g e r B e r l i n Heidelberg，2003 ：232-244.

［3］张 恒，卢亚玲，温红艳. 高校监考安排管理系统的研究［J］. 科技信息，2013（34）： 85-86.