面向网络安全态势感知的安全本体模型构建研究

Network security situation awareness is an important way for the effective implementation of the network security supervision. To make accurate, comprehensive, detailed description of the network, is a prerequisite for network security situation awareness. However, there is a lack of effective representation of network security situational knowledge. Ontology is an important method for knowledge representation. But the relevant researches on ontology in the field of information security mainly concentrated on the construction of basic security ontology and general methods based on security standards, or the construction of security ontology for specific sub field, lacking of inference rules, which can not be directly used in network security situation awareness. To address the above problems, based on the existing research achievements of network security situation awareness and security ontology, this project is proposed to study the network security situation awareness model with minimum function, the construction of network security situation ontology including the association rules of inference, the prediction of threat trend based on security ontology, the assessment of security ontology model. The final objective is to build a security ontology model to implement the network security situation awareness effectively. The achievements will promote the establishment and improvement of network security situational knowledge base, realize the effective integration of massive security data and collaborative management, and promote the development of the basic theory and key technology for network security situation awareness.

网络安全态势感知是有效实施网络安全监管的重要途径，对网络做出准确、全面、详尽的描述，是进行网络安全态势感知的前提，但目前缺乏对网络安全态势知识的有效表示；本体论是知识表示的重要方法，但信息安全领域引入本体论的相关研究，主要集中在基于相关标准构建基本的安全本体、通用的方法，或者针对特定子领域构建安全本体，缺乏推理规则，不能直接应用于网络安全态势感知。针对上述问题，本项目将基于网络安全态势感知和安全本体研究中已有的研究成果，从建立网络安全态势感知最小功能模型、构建网络安全态势本体（包括定义关联推理规则）、基于安全本体预测威胁趋势、评估安全本体模型等方面开展研究工作，最终构建一个能够有效执行网络安全态势感知的安全本体模型。其成果将推动网络安全态势知识库的建立和完善，实现海量安全数据的有效融合和协同管理，促进网络安全态势感知基础理论和关键技术的发展。

为了有效表示网络安全态势知识，项目组将本体论引入网络安全态势感知过程中，通过从多个维度分层次建立网络安全态势感知最小功能模型、融合信息安全公共数据库和行业标准构建安全本体模型、定义安全本体模型中核心类之间的推理规则预测网络威胁、设计仿真攻击场景验证安全本体模型的有效性，最终构建了一个能够有效执行网络安全态势感知的安全本体模型，推动了网络安全态势知识库的建立和完善。项目组成员共发表相关论文23篇，培养2名硕士研究生、1名博士后，邀请匈牙利德布勒森大学Andras Hajdu教授、英国格林威治大学马纪新教授、武汉大学应时教授等知名学者来校讲学和交流。主要研究工作包括：. 针对机密性、完整性和可用性等网络安全的基本属性，采用层次化分析方法，从系统存在的漏洞、受到的攻击威胁和基本运行情况等方面评估服务层、主机层和网络层的安全状况，设计一套量化的评估指标，建立一种多层次、多维度的网络安全态势评估模型。. 基于CVE、CWE、CAPEC等信息安全公共数据库、DARPA数据集和CVSS等行业公开标准，分析安全漏洞与软件缺陷之间的关系，并通过关联报警信息抽取攻击模式，构建一个能够反映缺陷、漏洞、攻击、威胁等网络安全态势要素及其之间关系的安全本体模型。. 定义安全本体模型中漏洞、缺陷、攻击等核心类之间的推理规则，用一阶谓词逻辑加以描述，采用马尔可夫逻辑网将推理规则中的硬性约束进行软化，实现由漏洞到威胁、由漏洞到漏洞、由威胁到威胁的知识推理，并通过仿真实验验证其有效性。