设为首页 - 加入收藏
您的当前位置:主页 > 学术研究 > 学术 > 正文

本体论在网络安全态势感知中的应用

来源:《数字技术与应用》 编辑:朱丽娜 时间:2018-10-15

摘要:网络安全态势感知是有效实施网络安全监管的重要途径,对网络做出准确、全面的描述,是进行网络安全态势感知的前提,但目前缺乏对网络安全态势知识的有效表示;本体论是知识表示的重要方法,但信息安全领域引入本体论的相关研究,主要集中在构建基本的安全本体、通用的方法,或针对特定子领域构建安全本体,缺乏推理规则,不能直接应用于网络安全态势感知。针对上述问题,本文提出使用本体论方法建立网络安全态势要素知识库,从而实现海量安全数据的有效融合和协同管理。

关键词:本体论;网络安全态势感知;数据融合;安全本体

中图分类号:B016;TP393.08 文献标识码:A 文章编号:1007-9416(2018)05-0188-02

随着现代信息通信技术的飞速发展,传统通信网络向新型通信网络过渡已是必然趋势。然而凸显的信息安全问题使未来网络面临严峻挑战。在这种背景下,保障网络的机密性、完整性、可用性等安全属性显得尤为重要和紧迫。现代网络管理必须能够在急剧动态变化的复杂环境中,高效组织不确定的网管信息并进行分析评估,提高网络管理员对整个网络运行状况的认知和理解,辅助指挥人员迅速、准确地做出决策。对网络安全态势的准确掌握,是有效实施网络安全监管的前提。网络安全态势感知[1]通过对影响网络安全的诸多要素进行获取、理解,评估网络当前的安全状态,并预测未来的发展趋势。其中,对安全态势要素的理解和预警都离不开领域知识。网络作为复杂巨系统,面临纷繁丰富的内容和错综复杂的关系,目前对其进行描述的能力很弱,而相关研究又很少。缺乏对网络安全态势知识的有效表示,已成为制约网络安全态势感知研究深入有效开展的一大瓶颈[2]。

本體论是知识表示的重要方法。本体(ontology)源于哲学概念,被引入计算机科学领域后,特指对共享概念模型所作的明确而规范的形式化说明。信息安全领域对本体的需求由Donner[3]于2003年明确提出,随后出现了大量与安全本体相关的研究工作,但存在若干不足:研究主要集中在结合相关标准构建基本的安全本体,停留在理论层面,提出通用的方法,过于抽象,无法与网络安全态势评估工作相衔接;或者构建特定子领域的安全本体,如脆弱性本体、攻击本体等,这些安全本体各自为战,缺少推理规则,无法实现安全知识的重用、共享,不能充分体现网络安全态势整体、全局的特点,不能直接用于网络安全态势感知。

1 网络安全态势感知研究

由于反映网络安全状况的数据多源异构,网络安全态势感知需要采用数据融合的方法。通过对数据融合模型适当剪裁,进而建立能够感知网络安全状态的模型。这类模型提供了态势感知的过程框架,实际操作要借助具体的评估方法。网络安全态势评估方法很多,但良莠不齐,存在重复。网络安全态势评估方法的理论基础包括数学模型[4]、知识推理[5]和模式识别[6]。数学模型用符号、函数关系描述评价目标和内容系统,把互相间的变化关系通过数学公式表达出来,只解决了网络安全态势要素的多属性融合,没有涉及多源数据融合,只能得到确定的评估结果,忽略了不确定性因素。知识推理模拟人类的智能推理方式,依据推理控制策略,利用形式化的知识求解问题。知识推理方法能够处理不确定性信息,并通过推理汇聚多源多属性信息,但如何获取推理规则、先验概率是其面临的最大挑战。模式识别具有强大的学习能力,能够从训练样本或历史数据中挖掘态势模式。随着网络系统复杂化,与安全相关的数据日益增加,网络安全态势评估需要借助数据挖掘技术,并呈现多种方法综合使用的趋势。而有关网络安全态势知识表示的研究则很少,且起步较晚。

2 安全本体研究

安全本体相关研究中,Tsoumas等[7]先依据CIM(Common Information Model)标准构建一个基本的本体模型,并参照通用标准CC(Common Criteria)进一步充实,制定了一个可行的信息安全管理架构。Fenz等[8]针对风险定量分析和安全标准认证问题,结合ISO/IEC 27001标准设计安全本体。Hung等[9]构建了基于本体的入侵检测框架。为检测与抵抗针对分布式复杂软件系统的攻击,Vorobiev[10]提出一个由本体驱动的信息安全解决方案。为避免重复工作,Blanco等[11]在分析总结以往安全本体的基础上,提出整合安全本体的关键要求。

近年来,国内学者也陆续开展了安全本体的相关研究,但研究成果较少。张连华等[12]构建了基于目标/源头的脆弱性本体模型。张雪芹等[13]基于通用缺陷列表CWE(Common Weakness Enumeration)构建了信息安全漏洞本体,并用于漏洞关联分析。吴林锦等[14]构建了网络入侵知识本体,核心概念包括侦查、攻击、隐蔽。王前等[15]构建了攻击本体模型,核心概念包括利用漏洞、攻击过程、攻击目标、攻击结果。

梳理后发现,国际上关于安全本体的研究,主要集中在结合相关标准构建基本的安全本体,提出通用的方法,或针对安全管理、风险评估、安全标准认证、入侵检测等特定子领域,构建安全本体;国内相关研究主要关注特定子领域的本体描述、本体构建,极少涉及本体推理。信息安全领域引入本体的目的是为了有效表示知识,而要实现知识重用、共享,不仅需要一种计算机能够理解的、结构化的语义描述机制,还需要一系列的推理规则。另外,公开文献中极少有针对网络安全态势知识的本体研究。

3 结语

网络安全态势感知需要集成现有的各单元网络管理技术(如漏洞扫描、入侵检测等),网络安全态势要素进行全面而系统的研究,以实现对全局态势的综合评估与展现。能够对网络做出准确、全面、详尽的描述,是进行网络安全态势感知的前提。但目前缺乏对网络安全态势知识的有效表示。信息安全领域引入本体论的相关研究,主要集中在基于相关标准构建基本的安全本体、通用的方法,或者针对脆弱性分析、入侵检测等特定子领域构建安全本体,缺乏推理规则,无法实现知识重用、共享,不能直接用于网络安全态势感知。可以基于安全本体研究中已有的研究成果,针对网络安全态势感知的数据多源动态、多环节交叉、依赖领域知识等特点,基于网络安全态势感知基本模型,融合本体论相关理论知识,构建一个能够有效执行网络安全态势感知的本体模型,其成果将有力推动网络安全态势知识库的建立和完善,实现海量安全数据的有效融合和协同管理,促进网络安全态势感知基础理论和关键技术的发展。

网友评论:

栏目分类

Copyright © 2017-2019 就爱文摘网

Top