前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全知識庫模型構建，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【文章摘要】

針對當前網絡安全態勢信息的共享、復用問題，建立一種基于本體的網絡安全態勢要素知識庫模型，來解決無法統一的難題。利用網絡安全態勢要素知識的多源異構性，從分類和提取中建立由領域本體、應用本體和原子本體為組成的網絡安全態勢要素知識庫模型，并通過具體態勢場景來驗證其有效性。

【關鍵詞】

網絡安全態勢感知；本體；知識庫；態勢場景

現代網絡環境的復雜化、多樣化、異構化趨勢，對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題，如何從網絡入侵檢測、網絡威脅感知中來提升安全目標，防范病毒入侵，自有從網絡威脅信息中進行協同操作，借助于網絡安全態勢感知領域的先進技術，實現對多源安全設備的信息融合。然而，面對網絡安全態勢問題，由于涉及到異構格式處理問題，而要建立這些要素信息的統一描述，迫切需要從網絡安全態勢要素知識庫模型構建上，解決多源異構數據間的差異性，提升網絡安全管理人員的防范有效性。

1網絡安全態勢要素知識庫模型研究概述

對于知識庫模型的研究，如基于XML的知識庫模型，能夠從語法規則上進行跨平臺操作，具有較高的靈活性和延伸性；但因XML語言缺乏描述功能，對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制；對于基于IDMEF的知識庫模型，主要是通過對入侵檢測的交互式訪問來實現，但因針對IDS系統，無法實現多源異構系統的兼容性要求；對于基于一階邏輯的知識庫模型，雖然能夠從知識推理上保持一致性和正確性，但由于推理繁復，對系統資源占用較大；基于本體的多源信息知識庫模型，不僅能夠實現對領域知識的一致性表達，還能夠滿足多源異構網絡環境，實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息，以降低IDS誤報率；IgorKotenko等人利用安全指標本體分析方法，從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面，對安全細心及事件管理系統進行安全評估，并制定相應的安全策略；王前等人利用多維分類攻擊模型，從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用；吳林錦等人借助于入侵知識庫分類，從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體，能夠實現對入侵知識的復用和共享。總的來看，對于基于本體的網絡安全態勢要素知識庫模型的構建，主要是針對IDS警報，從反應網絡安全狀態上來進行感知，對各安全要素的概念定義較為模糊和抽象，在實際操作中缺乏實用性。

2網絡安全態勢要素的分類與提取

針對多源異構網絡環境下的網絡安全狀態信息，在對各要素進行分類上，依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則，主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境，主要是構建網絡安全態勢的基礎環境，如各類網絡設備、網絡主機、安全設備，以及構建網絡安全的拓撲結構、進程和應用配置等內容；對于網絡漏洞，是構成網絡安全態勢要素的核心，也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容；這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊，主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象，如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中，并非是直接獲取，而是基于相關的網絡安全事件，從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件，往往被記錄到網絡系統的運行日志中，如原始事件、日志事件。

3構建基于本體的網絡安全態勢要素知識庫模型

在構建網絡安全態勢要素知識庫模型中，首先要明確本體概念。對于本體，主要是基于邏輯、語義豐富的形式化模型，用于描述某一領域的知識。其次，在構建方法選擇上，利用本體的特異性，從本體的領域范圍、抽象出領域的關鍵概念來作為類，并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系；將網絡安全態勢要素知識進行分類，形成知識領域本體、應用本體和原子本體三個類別。

3.1態勢要素知識領域本體

領域本體是構建網絡安全態勢要素知識庫的最高本體，也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類，即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系，如isExploitedBy表示為被攻擊者利用；hasVulnerability表示存在漏洞；happenIn表示安全事件發生在網絡環境中；cause表示攻擊引發的事件；is-a表示為子類關系。

3.2態勢要素知識應用本體

對于領域本體內的應用本體，主要是表現為網絡安全態勢要素的構成及方式，在描述上分為四類：一是用于描述網絡拓撲結構和網絡配置狀況；二是對網絡漏洞、漏洞屬性和利用方法進行描述；三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述；四是對原始事件或日志事件的描述。

3.3態勢要素知識原子本體

對于原子本體是可以直接運用的實例化說明，也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯，以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關，以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點，可以擁有一個地址，屬于某一網絡。對于網絡漏洞領域內的原子本體，主要有漏洞嚴重程度、結果類型、訪問需求、情況；漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞；對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例，可以設置為高、中、低三層次；對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問；對于結果類型有破壞機密性、完整性、可用性和權限提升等。

3.4網絡安全態勢知識庫模型的特點

通過對網絡安全態勢要素知識庫的構建分析，從多維度、多屬性上來審視網絡安全態勢要素內容，其特點主要表現在：一是完備性，能夠從一定邏輯關系上進行全面的描述網絡安全態勢要素信息；二是可擴展性，能夠借助于本體的技術優勢，在增加新的實例節點中并不破壞其它要素，便于知識庫模型的更新；三是實用性，要能夠從知識庫模型的粒度管理上，能夠全面反映網絡安全態勢，并易于被使用；四是交互性，從本體在異構網絡環境中的應用實際，能夠滿足知識的復用和共享，能夠較容易的與其他系統進行交互。

作者：谷惠敏 單位：商丘醫學高等?？茖W校