基于語義本體的高校網絡信息安全管理輔助決策系統研究及應用

鄒偉 陳懇 歐陽昭相

摘 ?要：面向海量異構多源的高校網絡信息安全數據管理和輔助決策系統研究及應用是目前高校信息安全體系建設的重點和難點課題。本文首先提出了基于語義本體技術的多源異構高校網絡信息安全知識整合策略，在此基礎上構建了基于可計算和推理信息資源的網絡信息安全輔助決策知識庫，設計并開發了面向高校網絡信息安全管理的輔助決策支持服務系統平臺。通過常用網絡攻擊知識問答庫數據對系統功能測試結果表明，該系統能夠較好地實現對高校網絡信息安全事件的關聯查詢、知識推理和輔助決策等支持服務，為高校網絡信息安全領域多源異構數據整合、知識建模及智能管理提供了有效地解決方案。

關鍵詞：語義本體;網絡信息安全;知識庫

中圖分類號：TP301 ? ? 文獻標識碼：A

Abstract： The research and application on data management and decision support system dealing with massive heterogeneous multi-source for network information security is the key and difficult subject in informationization process of universities. This paper firstly proposes a knowledge integration strategy for multi-source and heterogeneous university network information security knowledge based on semantic ontology technology. And then， a knowledge base for network information security decision support is built utilizing computable and inferential information resources， and a decision support service system is developed as well. The results of system function test on a constructed common network attack knowledge quiz library show that the proposed system can well implement the associated query， knowledge inference and decision-making support services for network information security incidents， which provides an effective solution to multi-source heterogeneous data integration， knowledge modeling and intelligent management in network information security domain.

Keywords： semantic ontology; network information security; knowledge base

1 ? 引言（Introduction）

對海量異構多源的高校網絡信息安全數據進行整合，結合專家知識庫語義知識，為網絡信息安全管理提供決策支持，是目前擺在高校網絡信息安全管理者面前的一個難題。已有的研究主要集中于基于多源異構安全數據聚合、網絡安全態勢知識庫模型構建、網絡入侵知識庫模型構建及網絡威脅推演及信息安全區劃分等方面[1-3]，這些研究在利用本體庫進行網絡入侵知識庫構建、異構網絡信息安全整合及威脅過程推演等方面，都取得了一定的進展。但是，缺乏以普通安全管理員為對象的決策支持知識庫系統構建方面的研究。

利用語義本體集成海量異構多源的網絡信息安全數據，將利用文檔、表格、圖片等形式存儲的網絡信息安全知識和專家知識轉化為計算機可以直接計算和推理的資源[4，5]，為安全管理運維人員形成有價值的決策支持信息，幫助開展網絡信息安全防護。本文提出以語義技術對信息安全知識和專家知識進行整合，形成可計算和推理的信息資源，并在此基礎上，整合網絡及安全設備實時數據，開發了網絡信息安全決策支持服務系統，實現了對網絡信息安全事件的知識推理和決策輔助支持服務。

2 ? 基于語義本體的網絡信息安全輔助決策框架模型（Framework model of network information security assistant decision based on semantic ontology）

2.1 ? 基于本體的網絡信息安全輔助決策框架

通過對現有網絡信息安全管理專家知識、安全防控規則及行業規范數據進行本體描述和語義集成，構建一套輔助決策框架，利用語義查詢和語義推理技術，得到信息安全過程決策支持服務，協助網絡信息安全運維人員進行輔助決策[6，7]。如圖1所示。

圖1是基于語義本體的高校網絡信息安全輔助決策框架。該框架的基礎數據核心是網絡信息安全設備實時數據及網絡信息安全專家知識、安全事件庫及網絡信息安全攻擊行為庫等語義知識數據，它由局域網實時安全數據采集、網絡信息安全專家知識及攻擊行為知識庫等知識的語義集成和決策輔助服務，核心是網絡信息安全決策支持應用程序，通過RDF查詢語言進行語義查詢和語義推理，生成決策支持信息，通過不同類型終端，為安全管理運維人員提供輔助決策。

（1）局域網實時安全數據采集。通過部署在校園網絡的多臺日志采集服務器，將網絡交換設備、防火墻設備、上網行為審計設備、應用防火墻、統一身份認證設備及漏洞掃描設備的相關日志數據進行采集，進行清洗、過濾和歸并操作，存入關系數據庫。

（2）知識數據語義集成。利用語義技術，將現有的網絡信息安全中的專家知識、安全事件庫及網絡信息安全攻擊行為等知識數據進行語義集成，轉化為RDF三元組，構建出網絡信息安全本體，實現對網絡信息安全知識的一致性描述，為建立推理規則、進行自動推理打下基礎。通過構建的網絡信息安全過程本體庫，生成語義數據庫。

（3）輔助決策服務。形成了關系數據庫和語義數據庫的基礎上，由網絡信息安全支持應用程序進行調用，通過RDF查詢語言進行語義查詢和語義推理，生成決策支持信息，通過WEB終端，為網絡信息安全管理者提供輔助決策支持。

2.2 ? 基于本體的網絡信息安全輔助決策三層結構模型

基于本體高校網絡信息安全輔助決策系統，采用三層B/S架構體系，其結構體系分為三個層次，即數據資源層、決策層和用戶接口層，如圖2所示。數據資源層主要是對支持信息安全決策所需的數據資源進行獲取和存儲，決策層主要實現把接口層輸入的用戶任務，進行計算和推理，并映射成數據資源層中相應數據組合;用戶接口層負責用戶決策需求輸入和決策結果顯示。

（1）數據資源層。數據資源層主要包含通過校園網絡安全設備采集的實時日志數據及網絡信息安全決策的各類知識數據。實時日志數據主要包含網絡防火墻、上網行為管理系統、反病毒軟件、遠程漏洞檢測系統、反垃圾郵件網關、應用防火墻、數據庫審計系統、堡壘主機等日志數據等，進行標準化處理后存放在關系數據庫。知識數據主要包含網絡信息安全事件規則特征、防護規則，以及日常處理知識數據，進行本體描述和語義集成后，存放在語義數據庫。

（2）決策層。決策層主要是通過RDF查詢語言進行語義查詢和語義推理，分為決策本體、決策請求和決策計算三部分。決策本體是對網絡信息安全領域知識的形式化表達與描述。因此在決策層中，用戶通過接口層輸入決策請求，決策層對用戶的決策請求進行解析，將以自然語言描述的決策請求轉換為決策本體實例，決策計算模塊進行計算和推理，并映射成數據資源層中相應數據組合。完成決策任務的計算，并向接口層中返回計算結果。

（3）用戶接口層。用戶接口層主要由信息安全決策需求輸入與決策結果展示這兩個功能模塊組成。用戶通過自然語言輸入決策需求，隨后系統開始對需求進行解析和計算，得到決策結果后，通過表格和圖表方式進行決策結果展示。系統不僅可以在安全管理運維人員發出請求時提供決策支持信息，并且可以提前設置推送策略，將一些決策結論主動推送給相關人員。

3 ?網絡信息安全本體庫構建（Construction of network information security ontology library）

構建網絡信息安全本體庫，首先明確本體涉及的范圍，在此基礎上抽象出網絡信息安全領域的關鍵概念作為本體的類，并通過定義類之間的關系來描述概念之間的聯系、定義類與實例之間的屬性來描述概念與個體之間的聯系[8-10]。網絡信息安全本體庫構建流程圖如圖3所示。

3.1 ? 網絡信息安全要素的分類提取

網絡信息安全要素，是指在多源異構的數據源中能夠引起網絡信息安全狀態發生變化的一些列基本元素[9]。根據這些要素數據來源、實時性、可靠性及冗余度的不同，可以分為物理安全、網絡安全和數據安全：

（1）物理安全：物理安全是包含計算機網絡設備設備、網絡拓撲配置、機房空調、供配電、監控系統等設施的日志記錄。

（2）網絡安全：主機安全、反病毒、系統安全檢測、審計分析網絡運行安全、WEB應用防火墻、網絡安全檢測、入侵檢測、第二代防火墻、實名認證系統、上網行為管理系統等網絡信息安全系統日志信息。

（3）數據安全：主要涉及信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三個方面[11]，具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、數據庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權等數據庫操作日志[12，13]。

3.2 ? 從領域知識到RDF三元組

德國學者Studer等人首次提出了較完整的本體定義[14]。本體是對世界上客觀存在事物的系統的描述，是領域知識的規范表示，它定義了概念以及概念之間的關系，是表達、組織、理解、展示和預測知識的常用方式之一[15-17]。目前本體被廣泛應用于知識工程、智能信息集成、數據挖掘、海量信息的組織和處理等領域中[18，19]。目前普遍認為本體是對某一領域內的概念及其關系的一種概念化描述[18]。采用如下方式來定義三元組：

NetSecurity=（S，V，O）

其中，S為主語、V為謂語、O為賓語。一個三元組由主語、謂語、賓語構成，那么網絡信息安全本體可以看成是由多個SVO三元組組成的集合。網絡信息安全知識主要由文本型、表格型、圖片型和網頁型知識經預處理提取而來。文本型知識需要由領域專家進行分析，提煉成問答形式，然后由軟件開發人員根據系統建設需求，建立相應的類、實例和屬性，最終轉化為RDF三元組。表格型知識可以直接轉換為RDF三元組，表格的各個行的第一個單元格內容一般轉換為三元組的主語，各個列的第一個元素的內容轉換為三元組的謂語，各個行與各個列相交的單元格內容則轉換為三元組的賓語。圖片型知識通過屬性rdfs：seealso把圖片型知識連接進去，圖片型知識直接轉換為賓語。網頁型知識把整個網頁、網頁的一部分、或者網頁的集合的資源轉換為主語，把描述某個資源的特征、性質或關系等網頁型知識的屬性轉換為謂語，把描述網頁型知識的資源的屬性值轉換為賓語。

3.3 ? 網絡信息安全本體SPARQL查詢

當網絡信息安全本體構建好以后，就要對所構建的本體創建一些測試實例，通過測試實例來檢測所構建的本體模型是否達到預期目的，所構建的網絡信息安全本體模型是否存在錯誤。語義本體可以通過SPARQL語言來處理，它是RDF數據的標準查詢語言。采用SPARQL查詢作為測試方法，檢測計算機理解的網絡信息安全本體三元組和人所理解的網絡信息安全本體三元組的一致性。

SPARQL的SELECT查詢語句查詢變量和包含查詢變量的三元組兩個部分。比如，在前面對ARP攻擊問題進行描述時，當關于ARP攻擊及其類型的本體構建好以后，就可以運用SPARQL來做查詢，可以把查詢的問題表述為：“特洛伊木馬攻擊的特征及解決辦法是什么？”對應的SPARQL查詢語句為：

SELECT ？x？y？z

WHERE{

？x rdfs：label “特洛伊木馬”，

？x：PorosityMin ？y，

？x：PorosityMax ？z

}

4 ?系統實現及功能驗證（System implementation and functional verification）

4.1 ? 系統實現

系統前端采集的網絡信息安全日志，存放于ORACLE數據庫。網絡信息安全本體和推理規則存放于語義本體數據庫。軟件采用Protégé對網絡信息安全本體庫進行建模，TopBraid Composer進行開發，內置Pellet進行語義查詢推理，構建了網絡信息安全知識庫檢索及輔助決策功能。

4.2 ? 功能驗證

為了驗證該模塊的正確性，我們根據采集的“常用網絡攻擊知識問答庫”進行測試。如表1是從網絡信息安全知識檢索庫中提取的九條驗證樣本。

查詢用戶搜索相關內容，系統對內容進行解析，通過本體推理，將推理結果返回給用戶。在系統驗證過程中，輸入為攻擊行為，數據輸出為攻擊特征及解決辦法。

驗證結論：將測試數據輸入網絡信息安全知識庫查詢系統，得到的運行結果如圖5所示。將系統運行結果與測試數據輸出結論相比較完全一致。由此可以證明，輔助決策知識庫系統能夠根據安全運維管理人員的輸入問題，得到正確的描述及解決辦法，為網絡信息安全輔助決策提供支持。

5 ? 結論（Conclusion）

本文提出了基于本體的網絡信息安全輔助決策框架模型，并在此基礎上通過網絡信息安全本體庫構建，實現了高校網絡信息安全輔助決策知識庫原型系統，經測試表明系統具有一定的輔助決策能力，本體技術作為網絡信息安全決策支持系統的支撐技術是可行的。由于網絡信息安全決策分析過程復雜，下一步需要繼續對語義本體進行擴展，以保障系統在復雜決策分析過程中更加智能。

參考文獻（References）

[1] 王世偉.論信息安全、網絡安全、網絡空間安全[J].中國圖書館學報，2015，41（02）：72-84.

[2] 馬民虎，張敏.信息安全與網絡社會法律治理：空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述[J].西安交通大學學報（社會科學版），2015，35（02）：92-97.

[3] 華輝有，陳啟買.基于本體的網絡安全態勢知識庫模型[J].計算機應用，2014，34（S2）：95-98;107.

[4] 朱穎.基于語義技術的柑橘園土壤環境判定決策支持系統[D].西南大學，2014.

[5] 朱麗娜.本體論在網絡安全態勢感知中的應用[J].數字技術與應用，2018，36（05）：188-189.

[6] 李彥旭，巴大志，成立.網絡信息安全技術綜述[J].半導體技術，2002（10）：9-12;30.

[7] 韋勇，連一峰，馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展，2009，46（03）：353-362.

[8] 司成，張紅旗，汪永偉，等.基于本體的網絡安全態勢要素知識庫模型研究[J].計算機科學，2015，42（05）：173-177.

[9] 華輝有，陳啟買.基于本體的網絡安全態勢知識庫模型[J].計算機應用，2014，34（S2）：95-98;107.

[10] 張殊.基于語義Web服務的組合方案研究及其在電子商務中的應用[D].南京理工大學，2009.

[11] 洪大翔.基于本體的信息系統安全域劃分的研究與應用[D].重慶大學，2014.

[12] 張德祥，劉勛，扈炳良.校園信息網絡安全體系構建研究[J].情報科學，2009，27（10）：1542-1544.

[13] 邵雪航，周洪玉.企業網絡安全體系構建[J].機械工程師，2007（09）：104-105.

[14] Studer B， Benjamins V R， Fensel D. Knowledge engineering： Principles and methods[J]. Data and Know Ledge Engineering， 1998， 25（2）： 161-197.

[15] Rodriguez G D， Velasco D. Ontologies for network secu-rity and future challenges[C]. 12th International Conferenceon Cyber Warfare and Security， 2017.

[16] Simmonds A， Sandilands P， Ekert L. An ontology for net-work security attacks[C]. Second Asian Applied ComputingConference on Applied Computing， 2004.

[17] Staab S，Studer R.Handbook on ontologies[M].International handbooks on information systems.Berlin：Springer， 2004： 227-255.

[18] 華輝有，陳啟買.基于本體的網絡安全態勢知識庫模型[J].計算機應用，2014，34（S2）：95-98;107.

[19] 陶曉玲，韋毅，孔德艷，等.基于本體的網絡流量分類方法[J].計算機工程與設計，2016，37（01）：31-36;54.

[20] 張淑權.黑客攻擊電腦的幾種常見手法以及防御技巧[J].計算機與網絡，2014，40（17）：59.

[21] 周啟惠，鄧祖強，鄒萍，等.基于區塊鏈的防護物聯網設備DDoS攻擊方法[J].應用科學學報，2019，37（02）：213-223.

作者簡介：

鄒 ? ? 偉（1985-），男，碩士，講師.研究領域：教育信息化，高校網絡信息安全和智慧黨建.

陳 ? ? ? 懇（1978-），男，碩士，講師. 研究領域：教育信息化.

歐陽昭相（1978-），男，本科，講師. 研究領域：本體技術及信息化.