網絡空間安全態勢感知研究

趙淦森，吳杰超，陳梓豪，任雪琦，譚昊翔，馬朝輝，

（1. 華南師范大學計算機學院，廣東 廣州 510631；2. 廣東外語外貿大學思科信息學院，廣東 廣州 510006）

網絡空間安全態勢感知研究

趙淦森1，吳杰超1，陳梓豪1，任雪琦1，譚昊翔1，馬朝輝1，2

（1. 華南師范大學計算機學院，廣東 廣州 510631；2. 廣東外語外貿大學思科信息學院，廣東 廣州 510006）

網絡空間是繼海、陸、空、太空后的第五大主權空間，其安全與國家安全緊密相關。如何在網絡空間中及時發現安全威脅、防御攻擊、溯源攻擊等是當下面臨的困境之一。對網絡空間中多源、異構、割裂的資產，在構建可信IaaS的基礎上，通過基于本體論的鍵聯數據語義網關聯技術，構建網絡空間安全態勢感知模型，在保證融合數據訪問控制安全的同時，對網絡空間資產進行綜合分析，以感知網絡空間的安全態勢，對網絡空間治理具有一定的參考意義。

網絡空間安全；態勢感知；本體論；語義網

1 引言

在信息大爆炸的當下，網絡空間治理面臨3個問題：1） 超大規模的網絡基礎設施和資源，如何實現有效的管理和利用？2） 網絡空間中巨量的數據，如何將與業務相關的價值提取出來并且利用好？3） 如何保障網絡空間中的資產安全？為應對網絡空間安全治理挑戰，研究者們已取得一些成果。

在網絡空間資產語義化方面，1998年，Beerners-Lee首次提出語義網（SW，semantic Web）［1］，語義網給網絡空間中的數據添加語義標簽，方便數據分類和分析挖掘。隨著語義網的發展，缺少關聯關系的語義數據已經不能滿足業務需求，Berners-Lee［2］在語義網的基礎上提出了鍵聯數據，鍵聯數據使用URI來唯一標識資源，基于語義網，強調數據關聯性。建立數據源鏈接的方法分為：基于規則、基于圖算法以及基于屬性的算法等［3］。基于語義網的理論體系——本體論，為構建鍵聯數據提供了方法論和模型［4］。本體論里互相連接的資產本體可以作為資產的標準表示形式［5］。在本體論應用方面，文獻［6］中對安全信息和事件管理（SIEM，security information and event management）中的信息和操作創建了本體模型。文獻［7］創建了SIEM的漏洞本體數據模型以及混合架構本體庫。文獻［8］描述了SIMS的知識庫本體。基于計算機的安全性和可靠性，可以設計安全本體［9］。基于攻擊的前件和后件，可以為攻擊行為建立本體［10］。利用本體模型可檢測攻擊行為的上下文［11］。基于軟件漏洞建立本體模型，可對漏洞進行靜態分析［12］。針對資源訪問控制，也可以構建安全數據本體模型［13］。

在網絡空間安全管理方面，文獻［14］中描述了安全管理平臺的主要組成部分。針對事件進行分析是目前信息安全管理平臺進行關聯分析的主要分析方法［15］。其中，對于分布式入侵行為，時間模式匹配主要針對時間維度進行分析［16］。基于SIEM 的數據模型，混合本體存儲架構，可以利用描述邏輯對資源做形式化的描述［17］。保障安全的重要方法之一是主動防御，利用多種安全工具對系統進行掃描和監控，通過科學的分析方法找到系統漏洞，提前采取行動提高系統的安全性［18］。常見的安全工具［19］分為掃描工具、監控工具（如ntop、tcpdump等［20］）、入侵檢測工具（如NFR、Snort等［21］）和防火墻工具。安全管理平臺統一管理和運營分離的安全體系和工具，通過集成各種安全工具綜合管理系統［22］。

在網絡空間基礎設施方面，云計算技術將大規模的IT物理資源虛擬化，實現大資源管理，大能力構建，用戶以租戶的角色通過互聯網使用這些資源和服務。云計算面向用戶的服務方式主要有 3種：1） 基礎設施即服務（IaaS），如國內的阿里云、盛大云，國外的亞馬遜云；2） 平臺即服務（PaaS），如國內的新浪云、國外的GAE；3） 軟件即服務（SaaS），如Gmail。用戶不必再購置機器、不必再購買軟件光盤，取而代之的是通過互聯網去租用云計算提供的這些服務。將海量的數據清洗、融合、分析挖掘，結合相關業務，可以讓原本孤立的、多源的、異構的數據產生巨大的價值。

2 網絡空間安全態勢感知挑戰

1） 采集的數據多源、異構、割裂

目前，網絡空間的安全管理基于多種安全工具，如nmap、awvs、openvas、ossec等，數據采集方式的多元化和網絡監測方式的多樣化為網絡空間態勢感知提供豐富的數據資源。然而，網絡空間數據源很多，不同數據源產生的數據結構不一致，不同安全工具所獲得的數據結構也不一致。由于融合和關聯多層次數據方法的缺失，使對網絡空間安全監控獲得的多維度的數據變孤立、割裂。這些問題對于綜合多方面的數據分析網絡空間安全態勢造成了一定的挑戰。

2） 網絡空間基礎設施不可信

云計算時代，IaaS將云計算中心的物理資源轉化為由虛擬機組成的資源池，實施資源池化管理。這種資源池化管理方式將底層物理節點的管理細節對外隱藏。從安全的角度上看，資源池化管理模式限制了用戶鑒別部署服務的虛擬機是否由可信的物理節點承載的能力，使用戶對從IaaS云服務商獲取的虛擬機存在固有的不信任。網絡空間安全態勢感知平臺應該搭建于可信的基礎設施之上。

3） 用戶身份難以鑒別

一方面，網絡空間用戶的匿名化造成即使通過攻擊溯源找到了攻擊者的IP地址、MAC地址等信息，仍難以確認攻擊者的身份。另一方面，攻擊者可以通過僵尸機、肉雞等來實施攻擊行動，隱藏自己的身份，進一步加大了網絡空間攻擊的精確溯源難度。

4） 融合數據時訪問控制沖突

面對在網絡空間中采集到的多源、異構、割裂的數據，為了整合資源，解決信息孤島問題，需要進行數據融合。但在數據融合過程中，會遇到如何保證數據機密性的問題。在數據融合過程中，需要保護數據不被非授權用戶訪問，避免數據泄露。此外，不同的數據源使用各自的訪問控制策略，面對融合后的數據，不能直接使用原來某一數據源的訪問控制策略，需要產生新的融合訪問控制策略。其中，如何解決融合過程中的訪問控制策略沖突問題是網絡空間數據關聯分析的一個挑戰。

3 網絡空間安全態勢感知模型

3.1 模型簡介

網絡空間安全態勢感知模型如圖1所示。融合云計算技術和大數據技術，在構建可信IaaS的基礎上，通過基于本體論的鍵聯數據語義網關聯技術，構建網絡空間安全態勢感知模型，在保證融合數據訪問控制安全和融合數據搜索安全的同時，對網絡空間資產進行綜合分析，以感知網絡空間的安全態勢。

3.2 模型關鍵技術

3.2.1 云計算池化信任管理

為了構建可信的IaaS，支撐上層的網絡空間安全態勢感知平臺。根據面向資源池化管理的信任管理模型，設計由具有匿名信任關系的可信的物理機組成的可信集群和能夠提供可信虛擬機的可信資源池。將IaaS云服務中心的物理機組織成為物理主機集群，以集群為單位承載用戶的軟件服務。集群與用戶服務形成一對一的對應關系。以一種匿名的群簽名密碼系統為依托，在集群內部的物理主機之間構建起具有匿名的可驗證的信任關系，將普通的物理主機集群變為物理主機之間具有信任關系的可信集群，實現可信集群內物理主機的信任關系的建立、驗證和撤銷。可信集群能夠滿足資源池化管理模式下對物理主機匿名的信任管理需求，允許在物理主機之間建立信任關系同時又實現對物理主機真實身份的隱藏。以可信集群為基礎，構建能夠提供可信虛擬機的可信資源池。可信資源池讓用戶參與到可信資源池的創建過程，將創建可信資源池的責任由用戶和IaaS提供者共同承擔。根據資源的實時安全屬性和基準安全屬性，用戶在使用虛擬機之前，先通過虛擬機提供的信任驗證接口獲取虛擬機的實時安全屬性，然后與虛擬機的基準安全屬性對比，如果一致就表明虛擬機是可信的；否則，虛擬機就是不可信的。另外，根據虛擬機遷移協議能夠在遷移源節點和遷移目的節點建立可靠的傳輸通道，能夠抵抗中間人攻擊。

圖1 網絡空間安全態勢感知模型

3.2.2 融合數據搜索的多級安全模型

為了解決融合網絡空間數據時出現的訪問控制沖突問題，設計面向多級安全訪問控制的數據融合模型。假設所有數據源都基于BLP訪問控制模型，即訪問策略由Lattice、安全級別映射函數以及訪問矩陣3個部分組成。將訪問策略融合的Lattice合并轉化為Hasse圖的合并，訪問策略融合的3個步驟分別為：初始處理、沖突處理和化簡處理。在Hasse圖中添加關聯線段、刪除沖突線段并進行化簡。映射函數轉換是根據原始Hasse圖與融合后Hasse圖上的節點進行映射；而策略融合中的訪問矩陣融合是對訪問用戶和數據集的擴充合并。對于融合數據的安全級別標識問題，根據原始數據集之間的關系選擇最小上界安全級別方法，保證其在原有數據集都被訪問的情況下新融合數據集才允許訪問。通過數據機密性進行形式化定義和理論推導，可以證明基于多級安全的融合數據搜索模型是正確的、安全的。結合訪問策略融合中的3個處理步驟，可以證明融合策略與原始的訪問策略具有一致性。

3.2.3 基于鍵聯數據語義關聯分析的安全管理

為了對割裂的數據進行關聯分析、攻擊溯源以及管理，基于本體論和鍵聯數據的理論依據，為安全數據融合和關聯分析構建安全本體模型，實現基于鍵聯數據語義關聯分析的安全管理。首先，根據綜合分析安全管理的需求以及安全數據的特征，利用本體論和鍵聯數據建立安全本體模型，通過計算公共屬性的語義距離的方式，基于屬性和規則構建安全數據之間的關聯關系，融合不同數據源的安全數據，關聯同一實體的不同實例數據，實現數據的整合和關聯；其次，針對安全本體模型實例化的數據，從不同維度對資產的關聯數據進行分析，通過設定基于屬性和語義距離的方式關聯資產與其他實體，關聯不同數據源的同一資產實體，實現去冗余的過程；最后，結合安全本體模型，對鍵聯數據進行語義關聯分析，設計安全本體實例化算法和溯源分析算法，基于資產的日志語義屬性對日志進行密度聚類，從日志的語義屬性中分析資產狀態，根據資產日志從鍵聯數據中找到資產異常日志相關數據，從多角度的語義關聯關系得到發生異常狀態的關聯數據。

3.2.4 基于語義網技術的安全態勢評估

為了對網絡空間安全態勢進行客觀全面的評估，運用語義網技術，將多源異構的安全數據進行有效的融合及語義化，對大規模分布式基礎設施系統進行形式化的描述，將物理世界的分布式系統以更有利于機器理解的 RDF圖形式呈現到信息世界中。并在此基礎上運用邏輯推理推導分布式系統中資產的安全態勢情況，進而得到整個分布式基礎設施系統的安全態勢情況。首先，運用語義網技術將收集到的數據語義化，從而對分布式系統進行形式化描述。構建針對分布式系統態勢評估的安全本體，根據基于語義網技術的原始數據實例化算法和關聯跨數據集的資產實例的關聯規則，合并同一資產實體的資產實例。其次，基于推理規則推導分布式基礎設施系統中資產的安全態勢情況，根據推理Host的安全態勢的推理規則模型，匯總Host安全態勢得出網絡空間安全態勢。

4 模型實現

1） 可信IaaS搭建

基于 OpenStack構建可信集群和可信資源池。用戶與IaaS資源之間的信任認證關系如圖2所示。信任驗證原理就是用戶在使用虛擬機之前，先獲取虛擬機和虛擬機所在集群成員主機（物理機）的實時安全屬性；然后分別對比虛擬機的實時安全屬性和虛擬機的基準屬性、集群成員主機的實時安全屬性和基準安全屬性，如果都一致，說明虛擬機是可信的，虛擬機所在物理機也是可信的。

2） 數據管理模塊

數據管理模塊基于jena框架及TDB存儲模塊設計與鍵聯數據操作相關的接口，包括本體模型的創建、提取，鍵聯數據的增加、刪除、修改等操作，以及鍵聯數據規則推理接口。

圖2 可信IaaS的資源信任驗證

3） 數據采集模塊

數據采集模塊集成多種安全掃描工具，負責掃描和監控網絡空間環境，采集相關數據（如資產分布情況、目前的開放情況、提供的服務信息、當前的運行狀態、存在的漏洞等信息）。該模塊程序根據一個預設的頻率f定時執行，周期性地采集和更新網絡空間中的資產狀態（如圖3所示）。

圖3 數據采集模塊

4） 語義化模塊

語義化模塊對數據采集模塊中不同的安全工具采集回來的數據進行融合，針對安全數據設計安全本體模型，用融合后的數據實例化安全概念，根據規則對實例數據設定關聯關系，為數據添加語義標簽，將關聯后的數據以三元組的方式存儲為鍵聯數據（如圖4所示）。

圖4 語義化模塊

5） 分析模塊

分析模塊利用鍵聯數據對融合后的安全日志數據進行分析，使用基于語義屬性密度聚類的算法對日志內容進行分析，并在鍵聯數據中回溯異常日志相關的數據，對其關聯數據進行分析以得到異常的相關信息，最終發現網絡空間中的異常事件（如圖5所示）。

圖5 分析模塊

6） 可視化模塊

可視化模塊通過Web網頁為系統提供友好的可視化界面，用戶可以在界面上設定掃描的工具、目標監控的網絡范圍、采集數據的頻率等參數，同時為用戶提供了該網絡范圍相關的鍵聯數據關系情況，以及資產分析結果，方便用戶查看相關的數據（如圖6所示）。

圖6 可視化模塊

5 結束語

沒有網絡安全就沒有國家安全，網絡空間作為繼海、陸、空、太空后的第五大主權空間，其安全與國家安全緊密相關。云計算技術能夠有效地管理和利用超級大規模的基礎設施跟資源，大數據技術在巨量的數據中將與業務相關的價值給提取出來并且利用好。融合云計算和大數據技術，在網絡空間中發現資產、對資產進行提取、分析挖掘，進而掌握整個網絡空間的安全態勢，有助于為網民提供一個安全的網絡環境、有助于為企業保駕護航、有助于為國家發現和防御網絡攻擊保障國家網絡空間安全提供支撐。但無論是哪一種技術，其本身都存在著一定的安全問題。本文提出的網絡空間安全態勢感知模型，融合云計算技術和大數據技術，在構建可信IaaS的基礎上，通過基于本體論的鍵聯數據語義網關聯技術，構建網絡空間安全態勢感知模型，在保證融合數據訪問控制安全和融合數據搜索安全的同時，對網絡空間資產進行綜合分析，以感知網絡空間的安全態勢，對網絡空間安全治理有一定的參考意義。然而目前本文所能獲得的網絡空間資產有限，非實時發現與分析，數據處理規模較小，未來可以改進的地方還很多。

［1］ BERNERS-LEE T， HENDLER J， LASSILA O. The semantic Web［J］. Scientific American， 2001， 284（5）: 28-37.

［2］ BERNERS-LEE T， CHEN Y， CHILTON L， et al. Tabulator: exploring and analyzing linked data on the semantic Web［C］//The 3rd International Semantic Web User Interaction Workshop. 2006.

［3］ POULOVASSILIS A， WOOD P T. Combining approximation and relaxation in semantic Web path queries［M］//The Semantic Web-ISWC 2010. Berlin Heidelberg: Springer， 2010: 631 -646.

［4］ MCCRAE J， SPOHR D， CIMIANO P. Linking lexical resources and ontologies on the semantic Web with lemon［M］//The Semantic Web: Research and Applications. Berlin Heidelberg: Springer， 2011: 245-259.

［5］ BIRKHOLZ H， SIEVERDINGBECK I， SOHR K， et al. IO: an interconnected asset ontology in support of risk management processes［C］//The 7th International Conference on Availability， Reliability and Security （ARES）. 2012: 534-541.

［6］ GRANADILLO G G， MUSTAPHA Y B， HACHEM N， et al. An ontology-based model for siem environments［M］//Global Security，Safety and Sustainability & e-Democracy. Berlin Heidelberg: Springer， 2012: 148-155.

［7］ KOTENKO I， POLUBELOVA O， SAENKO I. The ontological approach for siem data repository implementation［C］//2012 IEEE International Conference on Green Computing and Communications. 2012: 761-766.

［8］ DEVERGARA J E L， VILLAGRá V A， HOLGADO P， et al. A semantic Web approach to share alerts among security information management systems［M］//Web Application Security. Berlin Heidelberg: Springer， 2010: 27-38.

［9］ EKELHART A， FENZ S， KLEMEN M， et al. Security ontologies: improving quantitative risk analysis［C］//International Conference on System Sciences. 2007 :156a.

［10］ AHMAD S， MORTEZA A. Predicting network attacks using ontology-driven inference［J］. International Journal of Information and Communication Technology， 2013， 4（9）:13.

［11］ RAZZAQ A， ANWAR Z， AHMAD H F， et al. Ontology for attack detection: an intelligent approach to Web application security［J］. computers & security， 2014， 45: 124-146.

［12］ YU L， WU S Z， GUO T， et al. Ontology model-based static analysis of security vulnerabilities［M］//Information and Communications Security. Berlin Heidelberg :Springer ， 2011: 330-344.

［13］ MENG Y L，YIN G S，WANG H Q. Study on the ontology modeling method of Heterogeneous security data integration［J］. Computer Engineering and Applications， 2010， 46（19）:138-140.

［14］ BIDOU R. Security operation center concepts & implementation［EB/OL］. http://www.iv2-technologies. com.

［15］ YUAN S， ZOU C. The security operations center based on correlation analysis［C］//International Conference on Communication Software and Networks （ICCSN）. 2011: 334-337.

［16］ ZHANG D， ZHANG D. The analysis of event correlation in security operations center［C］//International Conference on Intelligent Computation Technology and Automation （ICICTA）. 2011（2）: 1214-1216.

［17］ KOTENKO I， POLUBELOVA O， SAENKO I. The ontological approach for siem data repository implementation［C］//Green Computing and Communications （GreenCom）. 2012: 761 -766.

［18］ KUMAR G， KUMAR K. Network security-an updated perspective［J］. Systems Science & Control Engineering: An Open Access Journal， 2014， 2（1）: 325-334.

［19］ KAUR A， SALUJA M. Study of network security along with network security tools and network simulators［J］. International Journal of Computer Science & Information Technologies， 2014， 5（1）: 88-92.

［20］ BEJTLICH R. The practice of network security monitoring: understanding incident detection and response［M］. No Starch Press，2013:100-120.

［21］ ANAND V. Intrusion detection: tools， techniques and strategies［C］// The 2014 ACM Siguccs Annual Conference on User Services. 2014:69-73.

［22］ SUNDARAMURTHY S C， CASE J， TRUONG T， et al. A tale of three security operation centers［C］//The 2014 ACM Workshop on Security Information Workers. 2014: 43-50.

趙淦森（1977-），男，廣東東莞人，博士，華南師范大學計算機學院副院長、教授、博士生導師，主要研究方向為云計算、大數據、信息安全。

吳杰超（1993-），男，廣東廉江人，華南師范大學碩士生，主要研究方向為云計算與信息安全。

陳梓豪（1992-），男，廣東廣州人，華南師范大學碩士生，主要研究方向為云計算與信息安全。

任雪琦（1993-），女，廣東惠州人，華南師范大學碩士生，主要研究方向為云計算與信息安全。

譚昊翔（1990-），男，廣東江門人，華南師范大學碩士生，主要研究方向為云計算與信息安全。

馬朝輝（1974-），男，湖南湘潭人，華南師范大學博士生、廣東外語外貿大學講師，主要研究方向為網絡安全、云計算和大數據等。

Research on cyberspace security situation awareness

ZHAO Gan-sen1， WU Jie-chao1， CHEN Zi-hao1， REN Xue-qi1， TAN Hao-xiang1， MA Zhao-hui1，2

（1. School of Computer Science， South China Normal University， Guangzhou 510631， China；2. Cisco School of Informatics， Guangdong University of Foreign Studies， Guangzhou 510006， China）

Cyberspace is the fifth sovereignty space after the sea， land， sky and space. The security of cyberspace is closely relative to national security. How to discover threat in time， how to defense network attack， how to trace attackers were the problems to be selved. Facing the polyphyletic， isomeric， disconnected properties in the cyberspace，bases on a credible IaaS， a cyberspace security situation awareness was constructed by ontology， semantic Web and linked data theory. While guarantee the access security of integrating data， the model could make a comprehensive analysis on the properties in the cyberspace， which contributes to cyberspace governance.

cyber security， situation awareness， ontology， semantic Web

TP309

A

10.11959/j.issn.2096-109x.2016.00090

2016-08-03；

2016-08-28。通信作者：趙淦森，Gzhao@scnu.edu.cn