基于本體模型的網絡系統安全參數采集過程

李濤，林九川，胡愛群

（1. 東南大學信息科學與工程學院，江蘇 南京 210096；2. 公安部第三研究所，上海 200031）

基于本體模型的網絡系統安全參數采集過程

李濤1，林九川2，胡愛群1

（1. 東南大學信息科學與工程學院，江蘇 南京 210096；2. 公安部第三研究所，上海 200031）

提出一種通用的網絡系統安全參數采集過程，將層次化的安全參數采集框架和本體化采集模型融入到整體網絡架構中，根據實際網絡環境對安全數據進行屬性分類和關聯性描述，對安全參數進行了多維度擴展，抽象出信源、層級等多種屬性，有利于對參數進行進一步的分析。在此基礎上，描述了在實際系統中應用本框架進行參數采集的步驟，能夠有效地為整體網絡安全評估提供指導和基礎參數的支撐。

安全評估；安全參數采集；本體論；系統安全

1 引言

網絡空間安全不僅關乎經濟安全、社會穩定，甚至關乎國家安全。掌握大規模網絡系統的安全狀況，保護網絡系統正常運轉至關重要。然而，大規模網絡系統的異構性、多樣性和復雜性，使網絡空間的安全評估面臨嚴峻挑戰[1]，主要原因在于網絡安全參數的采集途徑和手段單一，缺乏統一的采集方法和參數刻畫標準，從而不能為整體安全評估提供有效的基礎數據支撐，無法形成全局性、可量化性的安全度量標準。

網絡系統中已有的漏洞掃描、入侵檢測、流量分析、惡意代碼檢測、滲透測試等設備和工具已經能夠提供安全參數采集的途徑，但這些設備產生的安全相關參數處于分散、孤立的狀態，缺少立體、全面的方法和理論模型。在安全參數采集方面，目前的研究主要針對單個安全屬性參數，如UC Berkeley的Ariel和Randy針對網絡設備的日志信息獲取提出一種層次化處理方法[2]，有效地對大規模、分布式的安全日志進行獲取和統一分析。

涉及多種安全參數采集和處理的研究主要是面向異常流量、僵尸網絡和高級持續威脅檢測，由于這些事件關系到多個網絡數據的融合，因此需要對多種安全參數進行關聯性分析[3～5]。國內有多家研究機構進行大規模網絡安全相關參數獲取和分析方法研究，如國家計算機網絡應急技術處理協調中心（CNCERT/CC）以及北京大學的狩獵女神項目通過在可控安全實驗環境中部署蜜罐系統進行僵尸程序檢測[6]?，F有一體化安全管理平臺中涉及了多種網絡安全參數的采集方法，但由于其在基礎數據感知能力方面并沒有明顯優勢，感知數據的精確性和全面性無法得到保證，在數據采集方面也缺乏有效的理論成果的支撐。

在安全參數的處理方面，傳統方法實施的依據主要有兩類：基于信息安全相關標準的符合與違反，基于網絡系統關鍵部件控制權的爭奪。從網絡系統安全運維與保障的角度出發，可以將上述兩類依據統一視為一種網絡系統安全策略。目前，常見的信息安全相關標準（如ISO27K和等級保護系列）主要基于自然語言描述，要規范化這些安全要求語句以及它們之間的邏輯關系，保證這些規則可以被運用在任何網絡系統安全評估過程中，則需要對其進行結構化，形成形式化的網絡系統安全要求規約。

由上述分析可以看出，由于缺少統一理論框架的指導，安全參數的采集沒有形成統一的體系，都是針對單一目標或幾個目標對獲取數據進行挖掘，其抽象和分析過程也是針對單一的數據進行處理。安全屬性基本以自然語言形式刻畫，缺乏形式化的描述方法。安全特性的定義含糊、安全屬性與安全特性之間以及安全特性彼此之間的關系描述不明確、缺乏清晰度、不同屬性的安全參數之間無法進行統一，缺乏系統性的應用理論基礎支撐。這些問題將損害基于安全參數采集進行整體網絡安全評估過程的嚴謹性和客觀性。

描述邏輯和OWL均是面向對象本體建模的常見語言之一，它們能夠將特定對象的概念、屬性以及約束關系進行形式化描述，構成清晰明確的規范說明[7,8]。本體（ontology）最早來源于哲學的概念，后來這個哲學范疇被人工智能界賦予了新的定義，從而被引入到信息科學中[9～11]，用于解決領域概念的形式化表述、概念屬性之間的關系清晰刻畫，以及復雜性特征問題的建模，并形成了統一的本體概念，“本體是共享概念模型的明確的形式化規范說明”[12,13]。安全本體概念主要是Landwehr[14,15]提出的，后續的研究主要是對其提出安全本體的擴充。

本文在本體論的指導下，研究并提出面向整個網絡系統的、多目標的、立體化的安全參數采集方法和機制，制定提供一個立體化的全面相應的采集、轉換和呈現標準規范和相應的理論技術和方法，綜合漏洞掃描、入侵檢測、流量分析、惡意代碼檢測、滲透測試等安全參數采集途徑，采用本體論的方法對安全參數抽象，有利于將來源不同的各種網絡安全參數進行整理獲取和融合。旨在解決目前大規模網絡環境下安全參數分散、孤立的問題，形成統一的規范化參數。

2 網絡系統安全參數采集過程

現有網絡系統安全相關參數存在分散、孤立的問題，各大安全相關廠商已經形成固有的技術優勢領域，因此需要對現有的網絡安全設備進行功能擴展，研究數據規范化方法，以統一的標準對輸出數據進行規范化改造，打破系統脆弱性評估方法采用的任務分發模式。在此基礎上對網絡安全相關參數進行融合處理，將數據分析的相關方法與網絡安全對象和事件的本質特征相結合，增強基于數據分析的態勢感知能力。

大規模網絡包含多種網元要素，其部署方式和產生的網絡安全參數也存在差異性，因此，需要從整個網絡系統的架構考慮，設計統一的采集框架，適用于各類網絡系統安全信息的采集。從整個采集流程分析，對安全參數的采集包含以下步驟（如圖1所示）。

1) 基于網絡現有結構查看可以獲取的網絡安全相關參數，根據采集框架和評估目標研究是否需要增加新的采集設備、工具、軟件等。

2) 對整體網絡結構信息進行獲取，包括網絡的拓撲結構、服務器、無線接入點、活動端口、提供的服務、部署的安全相關設備和工具等。這些基本的結構信息和網元信息是產生本體屬性的基礎。

3) 根據整體采集框架抽象出安全需求，指導描述基本本體屬性之間的相互關系，完成本體模型的構建。

4) 基于本體模型對獲取的網絡安全參數進行抽象描述，并進一步進行去冗余、相關性分析等操作，對數據進行融合呈現。

圖1 基于本體化模型的安全參數采集架構

3 層次化安全參數采集框架

在采集架構的基礎上，包含對安全相關參數的獲取和分析的過程。數據獲取是基于部署在網絡中的安全相關工具、設備、軟件等進行主動或被動的參數數據搜集。在全面獲取數據的基礎上對網絡安全相關數據進行融合分析處理，并根據整體模型的需要進行標準化呈現，為安全性度量和評估提供基礎數據層面支撐，這就需要根據整個安全參數處理的過程研究采集方法。本文提出一種結合安全相關數據感知、數據融合、數據呈現的一整套網絡系統安全態勢采集方法，從多維度、多層次、細粒度方面對網絡安全參數進行本體化獲取與處理。

在研究現有各類網絡系統結構以及安全參數的特征和關聯性的基礎上，構建網絡系統安全參數的采集框架，如圖2所示，該框架包含3個層次：感知層、融合層和呈現層。

感知層對現有惡意代碼檢測、漏洞掃描、入侵檢測、滲透測試、網絡異常行為分析等安全相關設備和工具進行擴展，在不破壞現有網絡系統的基礎上增強立體感知能力，獲取不同粒度的網絡指標參數，提升面向采集對象的漏洞自動檢測及判別能力。并根據統一標準對數據輸出接口進行規范化改造，對安全相關日志、參數、報告等進行規范化處理，為數據融合提供基礎支撐。

融合層對多種安全參數進行分析處理，根據數據來源進行本體化描述，對網絡系統的各種痕跡參數和安全事件的關聯性進行分析，去除冗余，從數據表象發現本質安全問題和安全態勢。為了提升分析效率和準確性，采用粗粒度和細粒度結合的機制，先對數據使用多維度采樣分析進行定位，再使用深度分析進行數據挖掘，觸發參數的精細化調整，必要時通過人工方法進行輔助決策。

呈現層將分析處理的數據按照整體度量體系的要求進行封裝和聚合，為整體網絡安全評估模型提供輸入參數，根據現有標準中關于數據呈現的方法，結合整體評估體系和模型的需要，對聚合后的數據進行不同粒度的抽象，面向網絡安全評估需求對安全參數進行不同粒度的封裝和聚合，為評估模型提供輸入參數和決策支持數據。

圖2 安全參數采集框架

4 信源安全參數本體化提取

本體在網絡安全參數采集方面的作用主要有兩點。一是利用本體提供準確的屬性集，為數據采集提供引導，減少冗余和無用知識的產生，從而為參數處理更精準的知識發現。二是借助建立完善的領域本體知識體系，對數據挖掘的維度進行擴展，從而得到更加全面、新穎的規則集。具體來說，可以結合具體的網絡架構，分析與抽取其表述的常見形式與結構，研究描述網絡安全評估領域內的基本概念，以及概念之間的關系，使用網絡系統安全評估領域本體來形式化地描述網絡系統安全參數采集的過程方法，以形成一種描述清晰、無二義性的網絡系統安全參數分析規約，從而為網絡安全參數采集建立領域本體模型并研究形式化的安全模型校驗方法。

因此，在對獲取的安全參數進行處理方面，首先需要研究現有相關檢測標準中對安全參數的定義和規范化描述，找出各種安全相關數據的通用性和差異性，在此基礎上制定出一種具有廣泛適用性、簡潔、充實的本體化模型。基于標準化處理后的安全參數，結合整體度量框架，利用本體抽象的方法表達各種參數之間以及參數與整體度量模型之間的關系，抽象出參數的內在屬性和繼承關系，對行為特征相同的數據、繼承關系低于關聯門限值的數據進行去冗余化處理，最后對有效數據進行聚合和呈現。

4.1 安全參數采集的本體化模型

在安全參數采集的整體框架中構建了一種包含感知層、融合層和呈現層的安全參數處理過程，其中感知層獲取的是直接的網絡安全參數，數據種類復雜、多變，對其進行本體化建模尤為重要，本體化建模包含了本體基本要素的分類和要素之間依賴關系的描述。

根據大規模網絡系統的構成元素，本文描述了一種通用的網元本體化分類架構，如圖3所示。根據網絡的基本要素抽象出安全要素分類，將網絡元素劃分為4個區域：主機域、網絡域、數據域和應用域，基于此，對4個域的安全參數進行本體化抽象和關系描述。

主機域為分布在網絡空間中的終端實體，產生的安全相關參數包括終端已經部署的安全防護機制、檢測到的惡意代碼情況和檢測到的漏洞、威脅情況。

網絡域為從網絡傳輸數據探測到的安全相關參數，包括網絡安全邊界的安全域、防火墻相關的配置和日志數據、入侵檢測設備的配置和探測到的威脅、通過主動滲透測試探測到的威脅、通過高級持續威脅檢測探測到的攻擊、檢測到的異常流量數據、檢測到的僵尸網絡數據。

數據域為與應用數據的存儲、傳輸相關的安全參數，包括建立VPN通道的相關參數、數據庫的安全相關參數、災難備份系統的參數、文檔加密安全的參數。

應用域為與應用相關的安全參數，包括Web安全檢測到的威脅和漏洞、掃描到的垃圾郵件、進行域名安全檢測和惡意網站檢測獲取到的參數。

上述網元安全參數分類是一個通用的架構，可以方便地進行擴展，根據具體網絡安全環境和安全評估的需要進行子類的劃分和層次的添加，并基于本體化建模的需求，進一步添加實例和依賴關系，如對主機域中的漏洞、威脅檢測進行本體關系擴展。如圖4所示，箭頭表示的是類繼承關系，底層子要素“數據處理漏洞”分類到“源代碼漏洞”中，并屬于一級要素“漏洞”的范疇。

圖4 漏洞要素的繼承關系

圖3 網元安全參數分類框架

在對安全參數本體的基本要素和繼承關系進行建模后，可以使用OWL語言[16]和Protégé本體編輯器[17]對對象本體和對應實例進行編輯，抽象成機器容易處理的語言，有利于進行自動化處理。

4.2 安全參數提取

在對安全參數的屬性和關系進行本體化建模后，能夠清晰地描述具體參數的分類和參數間的關系，在此基礎上對參數進行提取處理。本體論本身是注釋語法，提供常用的和直接的結構形式化地定義相關領域的屬性資源[18]，在本模型中，對抽象的安全屬性參數可以形式化地描述為一個五元組(C, HC, R, HR, I)，其中，C代表一系列的基本安全屬性或分類，這些屬性根據HC的定義進行層次化排列，R表示2個屬性間的關系，Ri∈R，并且Ri→C×C。HC和HR分別描述了元素和關系的層次。I代表分類或關系的個體信息。

由于大規模網絡環境下安全參數較為復雜，僅抽象出其本體化的屬性和關系特征并不能滿足后續數據處理的要求，需根據需要抽象其他特征屬性。常用特征屬性描述如下。

1) (C, HC, R, HR, I)，本體化屬性和關系特征。

2) S ∶= {D, T, C}，信息源參數，其中D為日志信息，T為流量信息，C為配置信息。

3) EL ∶= {1, 2, 3, 4, 5}，安全參數所處的層級，其中，1級為部署的設備、工具、軟件等直接產生的安全異常事件，如病毒掃描工具上報的病毒參數、漏洞掃描工具掃描的漏洞、入侵檢測設備檢測到的入侵事件等；2級為系統運行過程中的異常事件，如主機異常關機、網絡突然阻塞等；3級為通過簡單分析發現的異常事件，如通過數據分組地址的分析，可以發現DDoS攻擊來源和目的；4級為通過數據重組發現的異常事件，如將網絡傳輸的數據分組進行重組，可以發現應用層存在的病毒；5級為通過深入分析發現的異常事件，如通過關聯性分析，發現高級持續威脅的攻擊。

4) CM ∶= {SecDev, NetDev, NetProbe, Software, ActiveDet, InfoGather}，獲取安全參數的采集方法，其中，SecDev表示從安全設備獲取的參數，如防火墻、入侵檢測系統、漏洞掃描系統、病毒掃描工具等；NetDev表示從網絡設備獲取的參數，如交換機、路由器、服務器等；NetProbe表示部署的網絡探針獲取的參數，一般為主動部署，用于有針對性地監控特定數據；Software表示部署在網絡節點和終端的采集軟件獲取的參數；ActiveDet表示采用滲透測試這種主動式安全探測獲取的參數；InfoGather表示采用信息匯聚進行綜合分析后獲取的參數。

通過上述抽象處理，形成了安全參數的多維度、層次化的結構，安全參數的來源、性質、所處的層級結構、處理的深度等信息都能得到體現，為進一步的評估處理奠定了基礎。

5 采集框架應用示例

上文提出了針對網絡空間的安全參數采集的通用過程，并描述了其采集的框架和數據本體化處理的方法，圖5描述了將該框架應用到實際網絡環境中的必要步驟。

圖5 網絡安全參數采集分析步驟

首先，根據整體網絡安全評估的需要在網絡中部署6大類采集方法，形成安全設備、網絡設備、網絡探針、采集軟件、主動安全探測和采集信息匯聚的多種采集能力。通過部署的采集方法獲取安全參數后，提取信息源包含的安全參數，對3類信息源（日志信息、流量信息、配置信息）進行規范化處理，按照處理的深度，形成5級安全參數。

接著，對數據進行分析，分析過程如圖6所示，包含5個步驟：1) 基于本體化理論模型對數據進行抽象，刻畫其多維度的特征；2) 去除冗余操作，由于網絡安全設備數量眾多，很多數據都存在某種關聯性，若一個屬性可以由其他相關屬性推導出來或對整體評估沒有幫助，該屬性就可以被認定為冗余屬性；3) 分區域、分維度進行分析，橫向上由點到面，形成區域事件到整體事件的覆蓋，縱向上進行不同維度的分析，建立不同維度的數據關聯網絡；4) 綜合分析，根據預處理的數據得到精煉的、較為直觀的安全參數；5) 將參數輸入到整體安全評估模型中進行安全評估。

圖6 網絡安全參數分析步驟

6 結束語

本文提出了一種通用的網絡安全參數采集過程，為安全參數采集過程構建層次化框架，有利于將現有的技術手段與全新的評估模型和方法進行結合。在數據規范化處理后以基于領域本體模型的網絡安全評估方法為指導，將本體模型貫穿到安全數據的處理過程中。本體論的特點在于對對象特征的本質化描述，可以實現網絡安全參數的多維屬性特征提取，有利于清晰描述參數之間的關聯性。這種全新的安全參數采集方法為安全參數獲取提供了理論指導，有利于形成優化的、適用的安全評估方法。

在應用中，本框架實施的最大優勢在于充分考慮了現有的安全工具，不同的安全廠商具有鮮明的技術特點，在病毒和漏洞掃描、防火墻和入侵檢測、Web安全檢測等方面有各自的優勢，在不改變現有設備功能的基礎上對數據進行規范化處理，有利于為整個評估模型中安全相關參數的獲取提供基礎性支撐。利用現有的技術優勢，通過進一步研究相關的規范化標準，對現有的數據進行規范化改造，能夠解決現有網絡系統安全相關參數分散、孤立的問題，有利于形成大規模網絡環境下的立體化、全面的安全參數獲取能力和安全態勢感知能力。

[1] 張煥國, 韓文報, 來學嘉, 等. 網絡空間安全概述[J]. 中國科學:信息科學, 2016, 46(2): 125-164. ZHANG H G, HAN W B, LAI X J, et al. Survey on cyberspace security[J]. Scientia Sinica Informations, 2016, 46(2): 125-164.

[2] A system for reliable large-scale log collection[EB/OL]. http://www. eecs.berkeley.edu/Pubs/TechRpts/2010/EECS-2010-25.html.

[3] JONGHOON K. PsyBoG: a scalable botnet detection method for large-scale DNS traffic[J]. Computer Networks, 2016, 97(14): 48-73.

[4] KIRUBAVATHI G, ANITHA R. Botnet detection via mining of traffic flow characteristics[J]. Computers & Electrical Engineering, 2016, 50: 91-101.

[5] ZHANG Y, An adaptive flow counting method for anomaly detection in SDN[C]//The 9th ACM Conference on Emerging Networking Experiments and Technologies. 2013: 25-30.

[6] 王威, 方濱興, 崔翔. 基于終端行為特征的IRC僵尸網絡檢測[J].計算機學報, 2009, 32(10): 1980-1988. WANG W, FANG B X, CUI X. IRC botnet detection based on host behavior[J]. Chinese Journal of Computers, 2009, 32(10): 1980-1988.

[7] BHANDARI P, GUJRAL M S. Ontology based approach for per-ception of network security state[C]//Recent Advances in Engineering and Computational Sciences (RAECS). 2014: 1-6.

[8] G′ OMEZ -P′EREZ A, FERN′ANDEZ-L′OPEZ M, CORCHO O. Ontological engineering[M]//Metasynthetic Computing and Engineering of Complex System. Berlin: Springer, 2004.

[9] GUARINO N. Formal ontology and information systems[C]// FOIS'98. 1998: 3-15.

[10] FRANK A U. Spatial ontology: a geographical information point of view[M]. Berlin: Springer, 1997.

[11] ARANGO G, WILLIAMS G, ISCOE N. Domain modeling for software engineering[C]//The 13th International Conference on Software Engineering. 1991: 340-343.

[12] GRUBER T R. A translation approach to portable ontologies[J]. Knowledge Acquisition, 1993, 5(2): 199-220.

[13] BORST W N. Construction of engineering ontologies for knowledge sharing and reuse[D]. Enschede: University Twente, 1997.

[14] AVIZIENIS A, LAPRIE J C, RANDELL B, et al. Basic concepts and taxonomy of dependable and secure computing[J]. IEEE Trans. Dependable Sec. Computer, 2004, 1(1): 11-33.

[15] LANDWEHR C E, BULL A R, MCDERMOTT J P. et al. A taxonomy of computer program security flaws[J]. ACM Computer Survay, 1994, 26(3): 211-254.

[16] Owl Web ontology language[EB/OL]. http://www.w3.org/ TR/owlfeatures.

[17] The protege ontology editor and knowledge acquisition system [EB/OL]. http://protege.stanford.edu.

[18] GRUBER T R. A translation approach to portable ontology specification[J]. International Journal Human-Computer Studies, 1993 (43): 907-928.

李濤（1984-），男，江蘇鎮江人，博士，東南大學講師，主要研究方向為安全評估、移動終端防護。

林九川（1980-），男，江蘇鹽城人，公安部第三研究所副研究員，主要研究方向為系統安全評估、漏洞挖掘。

胡愛群（1964-），男，江蘇如皋人，博士，東南大學教授、博士生導師，主要研究方向為網絡與信息安全、物理層安全技術。

Ontology model based on security parameters capturing process for network systems

LI Tao1, LIN Jiu-chuan2, HU Ai-qun1

(1. School of Information Science and Engineering, Southeast University, Nanjing 210096, China; 2. The Third Research Institute of Ministry of Public Security, Shanghai 200031, China)

A general security data capturing process for network system was proposed, which combined hierarchical capturing framework and ontology model to whole network architecture. Attributes of security parameter were divided and relationships of parameter were descripted. Security parameters were extended to multiple dimensions. Multiple attributes such as information source and hierarchy were abstracted, which were benefit for analysis of security parameters. Based on the proposed framework, the process of application in real systems were described. The whole processes and framework efficiently provided guidance for network security evaluation and supporting of basic parameters.

security evaluation, security parameter capture, ontology theory, system security

TN929.53

A

10.11959/j.issn.2096-109x.2017.00131

2016-10-10；

2016-11-25。通信作者：林九川，linjiuchuan@stars.org. cn

國家自然科學基金資助項目(No.61601113)；國家重點基礎研究發展計劃基金資助項目（No.2103CB338003）；公安部第三研究所開放課題基金資助項目（No.C15606）

Foundation Items: The National Natural Science Foundation of China (No.61601113), The National Key Basic Research Development Program(No.2013CB338003), The Open Research Fund from the Third Research Institute of Ministry of Public Security(No.C15606)