朱丽娜

摘要：网络安全态势感知是有效实施网络安全监管的重要途径，对网络做出准确、全面的描述，是进行网络安全态势感知的前提，但目前缺乏对网络安全态势知识的有效表示；本体论是知识表示的重要方法，但信息安全领域引入本体论的相关研究，主要集中在构建基本的安全本体、通用的方法，或针对特定子领域构建安全本体，缺乏推理规则，不能直接应用于网络安全态势感知。针对上述问题，本文提出使用本体论方法建立网络安全态势要素知识库，从而实现海量安全数据的有效融合和协同管理。

关键词：本体论；网络安全态势感知；数据融合；安全本体

中图分类号：B016；TP393.08 文献标识码：A 文章编号：1007-9416（2018）05-0188-02

随着现代信息通信技术的飞速发展，传统通信网络向新型通信网络过渡已是必然趋势。然而凸显的信息安全问题使未来网络面临严峻挑战。在这种背景下，保障网络的机密性、完整性、可用性等安全属性显得尤为重要和紧迫。现代网络管理必须能够在急剧动态变化的复杂环境中，高效组织不确定的网管信息并进行分析评估，提高网络管理员对整个网络运行状况的认知和理解，辅助指挥人员迅速、准确地做出决策。对网络安全态势的准确掌握，是有效实施网络安全监管的前提。网络安全态势感知[1]通过对影响网络安全的诸多要素进行获取、理解，评估网络当前的安全状态，并预测未来的发展趋势。其中，对安全态势要素的理解和预警都离不开领域知识。网络作为复杂巨系统，面临纷繁丰富的内容和错综复杂的关系，目前对其进行描述的能力很弱，而相关研究又很少。缺乏对网络安全态势知识的有效表示，已成为制约网络安全态势感知研究深入有效开展的一大瓶颈[2]。

本體论是知识表示的重要方法。本体（ontology）源于哲学概念，被引入计算机科学领域后，特指对共享概念模型所作的明确而规范的形式化说明。信息安全领域对本体的需求由Donner[3]于2003年明确提出，随后出现了大量与安全本体相关的研究工作，但存在若干不足：研究主要集中在结合相关标准构建基本的安全本体，停留在理论层面，提出通用的方法，过于抽象，无法与网络安全态势评估工作相衔接；或者构建特定子领域的安全本体，如脆弱性本体、攻击本体等，这些安全本体各自为战，缺少推理规则，无法实现安全知识的重用、共享，不能充分体现网络安全态势整体、全局的特点，不能直接用于网络安全态势感知。

1 网络安全态势感知研究

由于反映网络安全状况的数据多源异构，网络安全态势感知需要采用数据融合的方法。通过对数据融合模型适当剪裁，进而建立能够感知网络安全状态的模型。这类模型提供了态势感知的过程框架，实际操作要借助具体的评估方法。网络安全态势评估方法很多，但良莠不齐，存在重复。网络安全态势评估方法的理论基础包括数学模型[4]、知识推理[5]和模式识别[6]。数学模型用符号、函数关系描述评价目标和内容系统，把互相间的变化关系通过数学公式表达出来，只解决了网络安全态势要素的多属性融合，没有涉及多源数据融合，只能得到确定的评估结果，忽略了不确定性因素。知识推理模拟人类的智能推理方式，依据推理控制策略，利用形式化的知识求解问题。知识推理方法能够处理不确定性信息，并通过推理汇聚多源多属性信息，但如何获取推理规则、先验概率是其面临的最大挑战。模式识别具有强大的学习能力，能够从训练样本或历史数据中挖掘态势模式。随着网络系统复杂化，与安全相关的数据日益增加，网络安全态势评估需要借助数据挖掘技术，并呈现多种方法综合使用的趋势。而有关网络安全态势知识表示的研究则很少，且起步较晚。

2 安全本体研究

安全本体相关研究中，Tsoumas等[7]先依据CIM（Common Information Model）标准构建一个基本的本体模型，并参照通用标准CC（Common Criteria）进一步充实，制定了一个可行的信息安全管理架构。Fenz等[8]针对风险定量分析和安全标准认证问题，结合ISO/IEC 27001标准设计安全本体。Hung等[9]构建了基于本体的入侵检测框架。为检测与抵抗针对分布式复杂软件系统的攻击，Vorobiev[10]提出一个由本体驱动的信息安全解决方案。为避免重复工作，Blanco等[11]在分析总结以往安全本体的基础上，提出整合安全本体的关键要求。

近年来，国内学者也陆续开展了安全本体的相关研究，但研究成果较少。张连华等[12]构建了基于目标/源头的脆弱性本体模型。张雪芹等[13]基于通用缺陷列表CWE（Common Weakness Enumeration）构建了信息安全漏洞本体，并用于漏洞关联分析。吴林锦等[14]构建了网络入侵知识本体，核心概念包括侦查、攻击、隐蔽。王前等[15]构建了攻击本体模型，核心概念包括利用漏洞、攻击过程、攻击目标、攻击结果。

梳理后发现，国际上关于安全本体的研究，主要集中在结合相关标准构建基本的安全本体，提出通用的方法，或针对安全管理、风险评估、安全标准认证、入侵检测等特定子领域，构建安全本体；国内相关研究主要关注特定子领域的本体描述、本体构建，极少涉及本体推理。信息安全领域引入本体的目的是为了有效表示知识，而要实现知识重用、共享，不仅需要一种计算机能够理解的、结构化的语义描述机制，还需要一系列的推理规则。另外，公开文献中极少有针对网络安全态势知识的本体研究。

3 结语

网络安全态势感知需要集成现有的各单元网络管理技术（如漏洞扫描、入侵检测等），网络安全态势要素进行全面而系统的研究，以实现对全局态势的综合评估与展现。能够对网络做出准确、全面、详尽的描述，是进行网络安全态势感知的前提。但目前缺乏对网络安全态势知识的有效表示。信息安全领域引入本体论的相关研究，主要集中在基于相关标准构建基本的安全本体、通用的方法，或者针对脆弱性分析、入侵检测等特定子领域构建安全本体，缺乏推理规则，无法实现知识重用、共享，不能直接用于网络安全态势感知。可以基于安全本体研究中已有的研究成果，针对网络安全态势感知的数据多源动态、多环节交叉、依赖领域知识等特点，基于网络安全态势感知基本模型，融合本体论相关理论知识，构建一个能够有效执行网络安全态势感知的本体模型，其成果将有力推动网络安全态势知识库的建立和完善，实现海量安全数据的有效融合和协同管理，促进网络安全态势感知基础理论和关键技术的发展。

参考文献

[1]Bass T.Intrusion systems and multisensor data fusion[J].Communications of the ACM，2000，43（4）：99-105.

[2]龚正虎，卓莹.网络态势感知研究[J].软件学报，2010，21（7）：1605-1619.

[3]Donner M.Toward a security ontology[J].IEEE Security and Privacy，2003，1（3）：6-7.

[4]陈秀真，郑庆华，管晓宏，等.层次化网络安全威胁态势量化评估方法[J].软件学报，2006，17（4）：885-897.

[5]rnes A， Valeur F， Vigna G， et al. Using Hidden Markov Models to Evaluate the Risks of Intrusions[C]// International Workshop on Recent Advances in Intrusion Detection. Springer Berlin Heidelberg，2006：145-164.

[6]席荣荣，云晓春，张永铮等.一种改进的网络安全态势量化评估方法[J].计算机学报，2015，38（4）：749-758.

[7]Tsoumas B， Dritsas S， Gritzalis D. An Ontology-Based Approach to Information Systems Security Management[C]// International Conference on Mathematical Methods， Models， and Architectures for Computer Network Security. Springer-Verlag，2005：151-164.

[8]Fenz S， Goluch G， Ekelhart A， et al. Information Security Fortification by Ontological Mapping of the ISO/IEC 27001 Standard[C]// Pacific Rim International Symposium on Dependable Computing. IEEE， 2007：381-388.

[9]Hung S， Liu D. A user-oriented ontology-based approach for network intrusion detection[J].Computer Standards & Interfaces，2008，（30）：78-88.

[10]Vorobiev A. An ontology-driven approach applied to information security[J].Journal of Research and Practice in Information Technology，2010，42（1）：61-76.

[11]Blanco C， Lasheras J， Fernandez-Medina E， et al.Basis for an integrated security ontology according to a systematic review of existing proposals[J].Computer Standards & Interfaces， 2011，（33）：372-388.

[12]张连华，张洁，白英彩.基于ontology的安全漏洞分析模型[J].计算机应用与软件，2006，23（5）：121-123.

[13]张雪芹，徐金瑜，顾春华.基于本体的信息安全漏洞关联分析[J].华東理工大学学报（自然科学版），2014，40（1）：125-131.

[14]吴林锦，武东英，刘胜利等.基于本体的网络入侵知识库模型研究[J].计算机科学，2013，40（9）：120-124.

[15]王前，冯亚军，杨兆民等.基于本体的网络攻击模型及其应用[J].计算机科学，2010，37（6）：114-117.