及人工免疫一种基于本体的安全信

，题也愈加重视。安全的不断增加检测系统的高误报和漏报严重危害计算机，（1）基于网络和主机的检测系统所捕获的进行集中式管理并提供实时的可视化（2）、合分析对于重要的日志数据源进行特殊的过滤和分析在该原型系统的基础上，本文建立了安全信息知识库，能够实现异构检测系统的知识互通，并完成语义级别的逻辑推理工作。本文主要从安全检测和安全三个方面建立本体模型能够根据过程的特征和用户操作记录推理得到可能的类型和用户角色判、 检测；安全分析；本体建Withtheadventoftheeraofbigdata,explosivedatagrowth,peoplepaymoreattentionontheknowledgeofinformationsecurityandmanagementissues.AsSecuritythreatscontinuetogrow,thefalsepositivesandfalsenegativesproblemoftheintrusiondetectionsystemareinseriousdamagetothecomputersecurity.Inaddition,theindependentmanagementofsecurityknowledgemakeitdifficulttolearnandsharetheencounteredsecuritythreatsmeaningfully.Therefore,thispaperpresentsamethodformodelingsecurityinformationmanagementprototypesystembasedonontology.Thispaperproposedasecurityinformationmanagementprototypesystem,whichmainlycoversthefollowingfunctions:(1)real-timemonitoringandmanagement,realizecentrallymanagedforsecuritycapturedbythenetwork-basedandhost-basedintrusiondetectionsystem,andprovidesreal-timevisualmonitoringchartsandsecurityreports;(2)logcollectionandsecurityysis,aggregation ysisforsecuritys,andfilter,storage,andysistheinformationfromimportantdatasources.Onthebasisoftheprototypesystem,thispaperestablishedasecurityinformationrepository,toachieveknowledgeinteroperabilityofheterogeneousintrusiondetectionsystemsandcompletethesemanticleveloflogicalreasoning.Theontologymodelestablishedinsecurityvulnerabilities,intrusiondetectionandsecurityeventaspects,onwhichcaninferenceapossibleattacktype,userrolesandotherinformationsreasoningonthecharacteristicsofinvasionprocessanduserrecords.Combinedwiththeimmunesystemknowledge,suchasconceptsandprinciplestosupporttheknowledgemodelingofartificialimmuneinformationrepository,andevaluateandillustrateofthebenefitsoftheknowledgebase.：Securityinformation;Intrusiondetection; ysis;摘 目 第一章引 课题来 研究内 第二章相关技术综述及研究现 本体概 2.2.1检测系 2.2.2检测系统分 2.2.3检测系统发展趋 安全分 本章小 第三章安全信息管理原型系统整体框 3.2检测子系 3.4分析子系 3.5本章小 第四章基于本体的安全信息管理原型系统建 安全本体模 安全本体模 本章小 第五章安全信息管理原型系统的实 本章小 第六章基于本体的安全信息管理原型系统的应用与评 本章小 第七章总结与展 附 附录一术语 附录二索 参考文 致 图2.1语义Web的体系结 图2.2骨架法的本体构建流 图 TOVE开发流程 图2.4出现互补位和独特位的抗 图3.1安全信息管理原型系统逻辑层次结构 图3.2安全信息管理原型系统执行流程 图3.3检测子系统部署 图3.4日志收集子系统部署 图3.5安全元模 图3.6模 图3.7系统安全模 图3.8用户操作记录分 图4.1安全本体顶级概念和关 图4.2安全本体概念划 图4.3CVE本体模 图4.4IT_Product的具体子 图4.6Attack的具体子 图4.7Attack_Method的具体子 图4.8Consequence的具体子 图4.9计算机模 图4.10以目标为中心的计算机模型图形化展 图4.11安全生命周 图4.12安全模型基本概 图4.13人工免疫系统分层框 图4.14免疫系统本体模 图4.14检测器的二进制编码结 图4.15检测器产生过 图4.16监 -self模 图5.1Snort数据库模 图5.2安全实时......................................................................................................图5.3日志管理 图5.4安全详细 图5.5日志统计分析 图6.1应用场景一重要概 图6.2SynFlood判定规则定 图6.3应用场景一推理结果 图6.4应用场景一推理结果 图6.5应用场景一推理结果 图6.6应用场景一推理结果 图6.7应用场景一推理结果 图6.8应用场景一推理结果 图6.9等级推理规则定 图6.10相似Vulnerability的规则定 图6.11相似Vulnerability推理结果 图6.12相似Vulnerability推理结果 图6.13用户角色分 图6.14应用场景二约定示例 图6.15应用场景二约定示例 图6.16应用场景二约定示例 图6.17应用场景二规则示 图6.18应用场景二推理结果 图6.19应用场景二推理结果 图6.20应用场景二推理结果 图6.21应用场景二推理结果 图6.22应用场景二推理结果 图6.23应用场景二推理结果 表3-1Linux系统日志重要信 表4-1免疫系统与检测的概念对 表5-1硬件环境需求 表5-2软件工具需求 表5-3Snort重要数据库 表5-4Snort数据库表 表5-5Linux消息类 表5-6Linux优先级信 表5-7重要日志源分 表5-8重要日志消息匹配 表6-1用户操作记录分析 本课题方向主要来源于两个方面：一方面，语义网（SemanticWeb）是导师的研人将本课题作为的研究方向。充分仍然是安全一直得以危害泛滥的重要原因之一。不齐，不够全面，而且与其他组织的知识库很难互用和共享，导致安全知识的表达方式各不相同，从而严重影响了安全等相关知识的共享性和可重用性[1]。为了解决这些问题，要从根本上减少或者消除安全知识概念层次的，达成共同的认识基础[2]（ontology）TomGruberontology一致的基础上共享计算机安全相关知识。此外，工程研究表明，从知识共享的角度来看本体能够针对特定领域相关问题来表达共同认识当然也包括领域本文旨在扩展本体技术在领域的实际应用研究其领域知识并设计实现定程度上解决计算机安全不易于和重复利用的难题。本所研究内容的主要关键点有三个采用结合网络和主机的分布式检测集中管理方案以及日志收集相关传统的基于网络的和基于主机的检测本身都存在着缺陷，安全信息的管理又需要多种数据源的支撑。因此，本文采取了一种综合网络和主机的分布式检测、集中管理方案，统一管理网络和系统安全，对安全相关日志的重要数据源采取集中收集和的方法，为安全后期处理做好铺垫。针对安全的特征分基于本体的领域建模方法以及相关安全本体的研本文主要以领域知识为研究背景，以安全信息管理原型系统为主要研究对象，研究范围包括计算机安全、检测和安全分析等问题。通过对检测的准确度，降低安全的漏报和误报率，并促进安全信息知识的共享以本文所做的工作，主要包括以下三个方面针对目前主流的网络检测工具和系统检测工具基于安全的整个提高安全检测的准确度。、利用本体技术从安全检测和安全三个角度入手构建模型、设计并实现安全信息管理原型系统，主要功能包括实时的安全可视化实时状态监测、以及对安全相关日志源的集中收集和。更重要的是，利用本体推理得到的语义信息是隐藏在安全的一般信息之中的可以更准确更全面地认识安全的本质，从而及时的反应。的一些问题并了利用安全分析技术可以从一定程度上改善检测存在的决安全知识获取程度不一、速度慢、管理等问题。第2章详细介绍了当前的技术、本体技术和安全分析技术的发展现状，主要包括对现有检测技术、本体建模技术和安全分析技术进行了描述。此外，大致描述了人工免疫系统的相关概念和原理，为基于人工免疫的检测相关检测、日志收集和分析三大模块，并进行了详细的架构描述。模的同时满内外广泛接受的安全标准将该原型系统所涉及的元素划分为安全漏洞、检测和安全等三个主要本体模型，并能够进行本体推理。第5章是对该原型系统的实现部分按照第3章中的总体设计模块设计方案，讲述了如何实现Web端实时查看安全统计图表，安全相关信息的收集、过滤、、本章将介绍本所涉及的相关理论和技术，包括本体概念和主要技术检、eb（Semanticeb管理和安全知识库。XML+NS（NameSpace）+XMLRDF+OntologyDigitalXML+NS（NameSpace）+XMLRDF+OntologyDigital2.1WebWebOWL语言的设计目标之OWLLite是精简版，只拥有最基本的本体描述能力，可表达的分类层次和OWLDLOWLDL中的公理性OWLDL（DescriptionLogic，描述逻辑）基于描述逻辑的知识表示，具备CompletenessRDFRDF尤其是本体在计算机科学等领域得到广泛应用且效果显著之后。但是需要的是，在本体构建中最具备代表性意义的是TomGruber用于指导本体构建工作5个基本准则[8]：（TOVE（1）骨架法2.2所示：否否是2.2TOVE方法该方法是多伦多大学TOVE项目中使用的目标是为了建立一套特定知识的本体逻辑模型，构建形式化的集成本体模型，主要包括企业设计Ontology、项目OntologyOntologyOntology2.3所示：图 TOVE开发流程与骨架法、TOVE建模方法不同的是，Methontology方法首先利用中间表示来表达知一般来说，在评判某个检测系统性能优劣的时候，主要考虑以下两个参数：漏报率和误报率漏报率是指将原本应判定为的行为错误地判定为正常行为的比率；而误报率是指将原本不是的行为错误地判定为行为的比率。在传统的计算机技术中，技术、防护技术、安全扫描技术、认证和数字签名技术、技术以及控制技术等技术得到了比较好的发展和相陷：比如说无法实现实时的和自动响应动作；功能相对来说较为独立，缺乏协作人们提出了检测的概念。审计能力、实时能力、特征识别和响应动作能力等，它与的协作使用能够提高基础设施的整体安全性能它通过从计算网络环境中的关键资产讯息，则可能是了某项安全策略或是一种。4月JamesP.Anderson所做的一份技术性报告[12]，该报告，IDS实施即时监测网。检测的问题就是如何发现已有安全策略的可疑网络传输行为。特征检测（Signature-basedDetection）或误用检测（Misuse该方法假定行为的发生都伴随着一种特定的模式或一些可识别的的难点在于如何建立模式或特征库可以有效识别已有行为同时又不会误报Detection)行对比分析来发现行为这种检测方法的难点在于如何定义合理正确的行为模式集合，要求既要能够表达行为模式又不会涵盖正常行为[14]。基于主机的检测系统位并迅速作出反应。基于网络的检测系主要通过的网络传输数据包捕获并提取相关信息与已知的特征进击，特定环境等。分布式检测系通常情况下，这种检测系统采用分布式的部署方案。前两种检测系统均Sensor，分别向服务器汇报和发送数据，从而提供跨平台或跨网络的检测方法。也可以指在关键的主机上采用基于主机的检测而在关键的网络节点上采用基于网络的检测，这样就可以同时分析来自主机的审计日志和来自网络的数据流量，从而综合的判断是否受到。，早在1998年2月，组织（SecureNetworksInc.）就IDS存在有许多弱点，主要表现在对数据的检测准确性和对系统本身行为的防护两方面。由于网络传输的提高速度远大于检测效率的增长，阻碍了检测系统更高效的工作，同时也意味着检测系统监测行为的可靠性大打折扣。另一方面检测系统在应对对于系统本身的时对其他数据传输的检测能力也会受到一定程度上的抑制[17]同时由于模式识别技术本身发展的不完善也造就了检测系统另一题——高误报率。该问题极大地影响了检测系统的实际使用效果，然而检测，，为了更好的适应网络发展和用户的实际需要检测系统也在不断地得到完善，而了真正的行为，难以定位。协议分析是目前检测领域最为先进的检测技术之一[18]，主要利用对网络传输的数据包进行结构拆分字段解析来识别行，而是根据发生的上下文来确认是否发生以及行为是否生效因此对检测系统的各项属性也有越来越高的标准能否高效的监测网络传输是衡量检测产品质量好坏的一个重要指标。高度可集：即将其与网络和网络管理所具备的相关功能集成在一检测系统的目前态势。毋庸置疑的是，检测系统的前景还是相当可观的。安全分（1）服务 DoS（2）代码，它有可能是、蠕虫、木马或其他自动执行代码形式的（3），在的情况下，通过本地方式或方式相关不当使用，用户行为了计算资源可接受的相关使用政策复合型安全，包含以上两种或多种类型的安全好地处理这些问题就不能进行有效的安全分析和管理这些问题主要包括和记录。此外，安全级别较高的网络还容易出现“风暴，其中存在大量的虽然国际上已经了一些标准，但是安全产品的数据格式并没有真正统一起来。毫存在严重的误报问题，难以识别真正 级别高却不会网络检测亟需解决的一题。对于一般的网络检测产品而言，它们只与其直接连接的网段，而不是对整个计算机网络环境进行[23]。而安全的检测大多数是依据预先定义好的特征库来匹配的，这样做就只是纯粹地检测到单一的、零碎的一般性安全，而无法将其前后所发生的安全都关联起来进行分析若是遇到比较复杂的协同模式，这种相对单纯的匹配检测方法就为力了。正是由于产品难以实现实时的复杂计算，造成了安全数据的大量冗余、错乱、难以辨识的问题，从一定程度上影响了分析和管理安全的整个过程，导致辨识本质的工作变得愈加艰难。此外，低级的机制无法检测到真正的，（DDos才发现行为避开了安全检测产品。聚合分（tio/Clusteringysis即聚类与合并方法能够有效处理安全中的冗余数据因此在领域得到了广泛应用聚合分析方法通常将从属于同种或同类的信息聚合为一条总的信息主要用来减少冗余度。信息的聚合分析过程主要目的是减少的数量采用某种相似度的关联算法聚类和分类法等算法对原始进行处理其主要功能之一是把由同一安全造成的多条融合为一条较高级的记录从而大大减少了需要处理的数量另一个主要功能是能够将来自不同设备但却是针对同一安全所产生的重复关联在一起聚类分析的主要思想就是分析安全之间存在的某种关联关系然后与相似度达到一定阀值的安全进行合并得到精炼的安全，从而去除掉重复和冗余的，提高处理效率24。比较好的聚合算法能够体现出安全等信息的详细分布状况及具备的一些特点，这些对于安全的分析和管理来说是相当有实际意义的。生物免疫系统（BiologicalImmuneSystem，简称BIS）能够、区别和中和外BISBIS原理启发，有一些新算法产生，作为计算智能的一个新分支，即人工免疫系统（ArtificialImmuneSystem，简称AIS）[26]。AIS正在成为一个活跃而具有的领域，它涵盖模型、技术和应用，且具有巨大的多样性。AIS提供强大且健壮的信息处理能力，能够用来外来侵入物。一般来说，生物体会尝试各种不同的机制来保护自身免受致病菌，包温、低PH值和化学物质等能够或杀死侵入者。更高级的生物（如脊椎动System（Antigen（（统的重要特性，对自子产生不适当的反应，将是致命的[28]。同样地，人类免疫系统（TheHumanImmuneSystemHIS）是人类生命系统中最重要和最根本的组成部分它类本身与外部环境的一切相互作用和反应。从这个角度来说，HIS所拥有的功能是相当多的，它能够帮助维持体内平衡，使够识别来自外部的潜在的有害物质（叫作病原体或致病菌，并消灭受的表现异常的细胞，从而保护自身的组织。免疫系统能够区分自身其他正常分子（、 （AnatomicBarrier）性免（InnateImmunity）和获得性免（AdaptiveImmunity、组织，作为第一层，组织主要由皮肤和粘膜表面组成。实际上，皮肤的低PH值阻止了大多数致病菌的渗透大多数细菌生长。另一方面，有些致病菌通过粘合或粘膜进入体内；这些粘膜提供大量非特异性机制来帮助致病菌进入。唾液、眼泪等粘液分泌物行为能够清除掉潜在的侵入物并且包含抗生素和抗物质等化，性免疫是在出生时从父母那里得到的免疫能力总和。对于外来侵入物，Barriers噬（PhagocyticBarriers）和炎症反应（Infl toryResponse原特异性（AntigeneticSpecificity，使得免疫系统能够识别抗原之间微小的差异；多（Diversity Memory Recognition，值得注意的是，获得性免疫本身并不独立于性免疫活动而存在；恰恰相反， cells体液免疫（HumoralImmunity）成B细胞在其表面表达绑定独特抗原受ABR通过补偿系统或通过抗原表现任何功能。细胞免疫（CellularImmunity，在成熟期间，T细胞在其表面表达独特的ABRTB细胞不同的地方在于，T细胞受MHCTMHC分子的抗原，T细胞增殖和变异成为T细胞和各种效应器T细胞。细胞免疫通过这些产生的效应器T细胞来完自我/异我识别（Self/-selfDiscrimination）在胸腺成过程中，T要由阳性选择PositiveSelection和选择NegativeSelection组成。其中选择的T细胞巨大多样性的一次过滤，只有不能识别自身肽的T细胞可以存。免疫（ImmuneMemory）免疫淋巴细胞能够识别特定抗原的ABR。大多数淋巴细胞在消除抗原时也会但是有少数淋巴细胞会存成为细胞。细胞有较长的，能够在下一次遇到相同抗原时快速响应人工免疫系统AIS的兴起是受到了人类免疫系统（HIS）的启发，并依此发展成免疫网络模型（ImmuneNetworkModel、选择（NegativeSelection、克隆选择Theory免疫网络模型最早由Jerne提出[32]，该模型免疫系统维持了一个互联细胞的2.4BB细胞独特位识别，因2.4T细胞才能从胸腺中释放出来。这个过程对于抗体不对自身正常细胞造成起到非常关键的作用。Forrest等人提出了最基本的选择算法思想，主要由如下几个步骤：a）在生查一个传入的数据实例是自我还是非自我；d）若它匹配上任何检测器，则被为。，ab当一个抗原或致病菌侵入组织时，能够识别这些抗原的抗体才能存；c）识别抗原的免疫细胞将进行细胞增殖在增殖期间体壁细胞以无性生殖方式增殖即细胞有丝时没有传递遗传物质新细胞是抗体的品；d）一部分克隆细胞将经历一种突变机制，被称为体细胞高频突变；e）每个细胞与其他细胞的亲和力是细胞间相似度的一种计算方法，计算细胞间的距离响应的抗体要比初次响应的抗体平均亲和力要高很多这种现象被称为成免疫应答在成熟过程中抗体的健康和亲和力都在发生变化每一次克和力低或能够自反应的受体必须清除；f）有效免疫细胞的每一次迭代都会使得一部分成为浆细胞其他部分作为细胞浆细胞分泌抗体细胞拥有更长的gbg的过程，直到终止条件满足。克隆选择算法有一些很有趣的特点，如群体大小的动态适应性、搜索空间的探索、多个最优解的位置、保持局部最优解以及定义终止条件的能力。。，Matzinger提出，为了使免疫系统运转正常，只识别正确的细胞是许多免疫学专家认为它们之间的区别是在生命早期学会的特别是在成过程中消TB细胞，对完成对自身的耐受性起到了非常重要的BTT根据理论在进行自我-非自我的区分时必然会有区别发生而另外一种观点统并成功迁移（不非自我。，理论允许非自我且无害自我但有害的侵入物思想是免疫系统不向非自我但却做出应答实际上也没有必要去来自外部的一切物质根据这个理论可以通过受破坏细胞的呼救信号来测量当细胞非自然时将发出呼救信号而清楚的定义一个适当的信号就具备一定性适当定义的信号能够克服自我-非自我选择的很多限制，它将非自我限制在一个可管理的范围内3]，消除了筛选所有自我的需要，能够适应性的处理自我（或非自我）随时间变化的场景。，、域的众多研究人员的注意。一些重大的应用包括最优解问题、计算机安全检测、及本体在计算机领域的发展状况检测详细介绍了当前环境下检测节将针对本文安全信息管理原型系统进行描述首先理清了安全信息管理的一产生的日志信息进行集中和分析它能够收集企业数据网络中所有重要资产的安也是安全信息的最初来源层的主要工作是针对安全对象部署相应的安全检测措施，完成对网络、主机和服务的检测，主要目标是安全对象产生的和日志（这里使用的是一种开源的日志收集管理工作，稍后会提到；层，顾名思义，将层收集到的安全相关信息进行，同时功能层处理后的安全日志、安全规则等信息；功能层是该原型系统的模块，主要分为日志处理、审计分析和安全管理等 聚类分析和系统安全的人工免疫算法提供数据接口和知识支持展示层提供统一展展存安3.13.2所示：3.23.2检测子系仅仅部署基于网络或基于主机的检测系统都会存在这样或那样的不可避免检测方案即综合网络和主机的分布式检测集中管理的方（如图3.3所示3.3Snort[34]：由Sourcefire组织开发，是一款开源的网络防御和检测系（IDS/IPSIDS/IPS技术解决方案。简单来说，Snort就是一种数据滤器，通过对网络传输的数据包进行过滤分析处理来判断是否符合已有的特征。顺便提一下，barnyard2是一款开源的专门用于处理的Snortunified2格式文件。Sagan[35]：由Softwink公司，主要用于对系统日志的。它是一个开源的、多线程的、实时的系统日志和日志系统。简单来说，sagan将会实时监视系统日志中发生的，发现异常时产生提醒。RubyOnRailsWeb应用程序，主要用于的实时，为当前主流的检BASE相比，要简单且好用很多。图3.3检测子系统部署Sensor，Agent，统传送到统一的中心服务器，实际上是传送到MySQL数据库，然后Snorby从web端展示出来。便能够有效地捕获和分析得到发生的所有但是这样的方式存在着严重的问将日志记录集中在一个指定的位置，便于进行统一地日志检关注近期相关变化，如失败、错误、状态变化等异常时间，重建发生前后的活研究发生的原理，并通过探索日志来证3-1所示：3-1服务器（或工作站）应用程序（Web服务器、数据库服务器）安全工具（如杀毒软件、变化检测、检测/防御系统）产生的日边界、终端用户程序产生的日与安全有关的其他来3-2系统安全系统信息用户操作记录服务器日志数据库操作记录力处理Linux操作系统的日志收集。通常情况下，Linux操作系统和应用程序的日志存放在/var/log下，而设备则通过Syslog服务来记录日志。、收集子系统的主要任务是对各种日志进行集中收集、过滤以及检索。下面简单、LogstashElasticsearch[38]ApacheLucene开发的实时分布式搜索引Kibana[39]LogstashElasticsearchWeb接口，能够对重要数据进行汇总、分析和高效搜web界面；3.4iewer在收集目标服务器上的客户端，负责收集相关日志消息；Inder可以按照配置中指定的方式（Filter）ShipperInder分别完成有所区别；Broker为消息，默认配置使用Redis，它是一个开源的Key/Value数ShipperInder之间建立通信：每个Shipper把日志消息传送到的Redis服务器，Inder则从Redis服务器中供数据和搜索服务；WebUI采用Kibana，它能够与ElasticSearch很好的集安全元模型，它包含了安全必须具备的一般属性，如图3.5所示：图3.5安全元模信息管理原型系统采取的是基于 属性相似度的聚合分析方法。鉴于Snort主要依赖于规则匹配以及协议分析来检测异常网络传输，其产生的数在Snort捕获的中，比较受关注的安全属性主要包括于信息所指示的时间信息，必须保证各台服务器时间是同步的。时间，杂干扰安全监测的准确性，丧失了的意义。对不同时间段的进行统计分源IP地址：它可能是行为的，可以通过统计分析源IP地址的分布特点，确定来源的IP范围，然后对来自这些网段的请求进行，也是一种有效保护自身资产安全的重要。目标端端也同样提供了很多信息比如说在某段时间内发生了大量的端口信息，那么有可能在进行端口扫描。端会当前系统可用的端，进而可用来猜测可能的服务进程并发起行为。传感器ID：传感器往往部署在多台服务器上复杂不同的网段或资源，传感器ID标记能够快速定位问题发生的位置，从而减小安全的影响。：协议名行为是通过渗透何种协议进来的，这也是有证可查的。根据协议的不同特点对进行分析可以从中发现一些规律有助于更好编写检：）（6级别：这种评估严重级别的信息，自然是十分重要的。对）通过对Snort所捕获的属性和规则特点分析，总结得出了3.6所示：图3.6模全两部分能够自主学习，从而进一步提高了检测的准确度，降低了安全的漏报率。3.7所示：图3.7系统安全模除了利用检测工具检测到的安全外，该原型系统还结合了与安全信息可安全，从历史的日志后期挖掘处理操作中发现异常，从而与检测的实时Linux服务器的，LinuxLinux3-13-1Linuxpassword”“Accepted“authenticationfailure”,“failed“session“passwordchanged”,“newuser”,“deleteSudoCOMMAND=…”“AILED“failed”or3.8所示。3.8；模块具体介绍了相关框架设计和主要思想其中检测子系统主要介绍了开源检测工具的配合使用以及检测的运行过程日志收集子系统首先对关键的数据源进行了分析和确定，然后描述了基于开源工具搭建的日志收集管理框架设计分析子；、，体模型，针对安全信息管理原型系统的本体建模，主要分为安全检测和安全等三个主要模型不仅仅是建立了使计算机系统从可读变得可理解的安全信息本体知识库，而是根据通用的安全知识库来预测与分析潜在的可能性目前、，本文所使用的本体编辑工具为Protégé4.3[40]，它是由斯坦福大学负责研发的由Java语言编写的用于编辑本体和知识的工具。它提供用户友好的图形界面和交互体外，Protégé4.x版本更换为OWLAPI[41]，能够支持OWL2.0标准的新特性。、元素、内在联系以及特征进行较为全面的分析，然后从系统资产自身弱点者攻方面：CVE本体模型、计算机本体模型和安全本体模型。此外，对于、为了使传统的CVE数据库能够被机器所理解，本文针对CVE这种结构组织良好的安全知识索引进行本体建模，从中发掘安全之间的内在联系或隐藏联系。对于检测和安全来说，它们本身是一个过程，因此本文采用以目标为中心的建模方法通过分析过程和产生过程的特征从而发掘其隐藏的属性和关系涉及的安全、检测以及安全等方面依次介绍具体的建模情况。1995年和技术NationalInstituteofStandardsandTechnology，简称NIST）在其特800-12中描述了安全关系模型的概念。4.1图4.1描述了安全本体顶级层次的相关概念以及概念之间的关系。下面我们简单梳理一下上述模型：一个（Threat）将导致后续的，对组织的资产（Asset）表现为一个潜在的，并影响特定的安全属性（如性、完整性和可用性。一旦它利用一个（可能是物理方面、技术方面或管理方面的弱点，它将对某些资产造成损害。此外，每一个可以描述为潜在的（人为或自然原因）和威胁源（偶然或故意源。对每一个，分配一个严重程度值和可能被利用的资产列表安全控（Control）必须能够减轻一个已识别的并且采取预防纠正、的实现都看作一个资产概念或它们的组合安全控制都源自控制标准和最佳实践（如GermanITGrundschutzManual和ISO/IEC27001）且与之相对应，从而确保准所复用。实现了安全控制的同时，就已经隐含地符合了各种各样 标准安全本体的开发目标是提供一个知识模型，结合最相关的概念（资产安全控制以及它们的实现然后建立一个领域的通用知识库。领域的全局模型，包括那些非的概念，例如的基础设施。（1）（2）（3）源于最佳实践标准和标准从而确保所使用的概念及其相互关系是基于广泛事实上，大多数领域的现有本体只能应用非常有限的范围，尽管如此，4.2

4.2Location安全子本体是安全本体的由五个概念组（AttributeThreatRating、Control和Vulnerability，它们都源自已建立的良好的标准，如德国IT基本保障手册[42]（TheGermanITGrundschutzManual、ISO270001、法国EBIOS标准、NIST计算机全手册和NIST风险管理指导。企业子本体提供一个框架能够使用本体化的方式展示及其环境，从而与领域的概念联系在一起因此企业子本体由以下三个顶级概念组成：Assert、和Organization。位置子本体将一系列位置信息可以将信息与位置相关联从而通用披露[43]（CommonVulnerabilities&Exposures，简称CVE）的概念在1999年被提出，当时大多数产品都使用各自的数据库来安全名称，导致了安全覆盖的潜在差距、分离的数据库与安全工具之间互操作性差效率问题。此外，每一个产品供应商没有使用统一的标准来描述已检测到的CVE解决了这些问题，它作为通用的标识的一种字典索引，主要包括CVE标识符编号、相关描述以及与该相关的参考文献等内容。CVE可以是一个或披露的名称，可以是一个或披露的标准化描述，它是一个字典索引而不是数据库，可以将不同数据库与产品拥有共同的参考和评估标准，从而提高互操作性和安度。CVE是公认的的工业标准这些安全均可从国家数据就是说不理解什么资产可能会受此的影响或者这个将会产生何种危害以及本章节的主要目标是构建机器可读的CVE本体模型，并进一步建立安全通抽取安全概念模型利用概念模型对具体进行建模，即实例化 MITRE公司列出了CVE的详细，通过研究CVE的具体实例，抽取重要概念并在此基础上提出了CVE本体的顶层概念模 图4.3CVE本体模4.3，用来获取某个系统或网络的机会。若者利用了软件中的一个错误了系统的相关安全政策，那么CVE则认定这个错误为一个。当然，这些错误不包含分类，本文采用CVE的研究视角，将CVE中的每种安全缺陷都作为一种。，Introduction_Phase是指软件开发生命周期（SystemDevelopmentLife，一个阶段都可能会出现。随着对这个概念的进一步详述与开发生命周期之，是系统配置文件，在系统初始化时是活跃的。IT系统。本文将软件产品与硬件产品分开考虑，并4.4。4.4IT_ProductIT_VendorIT_Product的供应商，负责生产软件或者硬件产品。供应商可以是一个IT公司、一个开源项目、一个学术机构、或者是程序员，参考图4.5。IT_ProductIT_VendorITIT_VendorIT_Product CPE，CPE标准命名规则，目的是为每一个目标IT系统提供一个清晰无歧义名。Attack指一个概念，这个概念描述了利用执行并造成相应结果的人或机构。上述模型是基于常用模式枚举和分类（CommonAttackPatternEnumerationSpoofin（，ExploitationofAuthentication（认证利用，Injection（注入）4.6。4.6AttackAttack_Intent是指一个描述了的一般目的或最初意图的概念它有多个子类，每一个子类代表一种意图，包括Exploitation（利用，Penetration（侵入）与Obfuscation（迷惑）等。但一般情况下，者利用对系统发起时，很难判断其意图。因此，根据Attack_Intent无法对vulnerability进行太多研究，但是Attack_Intent在保证系统的稳定性有很重要的作用。Attack_Method是这样一个概念它描述了所使用的方法它有多个子类每Spoofin（，Modification_of_Resourc（修改，API_Abuse（API ，Social_Engineering（社会工程，Time_and_State（时间与状态，Brute_（蛮力，如图4.7所示。4.7Attack_MethodAttacker指发动的人，即者。Attacker可分为RemoteAttacker和LocalAttacker两种。Consequence指受到影响的部分由者利用特定的发起的导致，它的每一个子类代表了一种Consequence，主要包括Denial_of_Service（服务，Data_Modificatio（Information_Leakage，Arbitrary_Code_Ecution（，4.8ConsequenceCountermeasure用来描述可以或减轻潜在风险的行为或方法。这些解决方案或缓解方法的目的是为了提高目标软件系统的抵抗力减少者成功的可能和提高目标软件系统的恢复力，从而减少对软件系统的影响。它主要包括除以上重要概念外，CVE本体模型中还包括将各个概念连接起来的属性，比如Consequence。检测系统和安全管理系统在推理和管理安全时所必须的本体中也包含分类学的一般来说，IDS会比较或可协同定位目标，这是势在必行的。用来表示的任何一种分类方案都是以目标为中心的而任何一种分类特征都是由目的属性特点来建立计算机模型。、、标的系统组件的和者的位置。该模型是以目标中心建立起来的Process；AttackDirectedto、EffectedbyResultingin来描述，分别SystemComponent、InputConsequence；ConsequenceDenialofService、UserAccessProbe等子类；InputReceivedfromCausing为特征，Causing定义了MeansofAttack和一些inputReceivedfrom将Input和Location联系起来；LocationSystemComponentNetworkProcessMeansofAttackInputValidationError和LogicExploits、、图4.9计算机模LossofUsertoToDenialof图4.10以目标为中心的计算机模型图形化展结合本文安全信息管理原型系统分析该原型系统所涉及的检测相关的概念和关系，对计算机的具体模型进行了一定程度上的复用和扩展，如图4.10所安全本体模、或 、或图4.11安全生命周为了更好地帮助安全管理人员管理安全，MartimianoandMoreira在2005年ONTOSEC[46]。ONTOSECProtégéOWL语言建立的，主要4.12所示。impliesactsrelateshasrelateshappensexploredhashashasr 图4.12安全模型基本概免疫本体（ImmunologyOntology）多用于处理临床数据，一般会结合本OntologyOntology连续r-4.13imis等人研究重点在于前两个元素上，开发一个统一的框架来帮助定义系统AIS统中。（1本文采用图4.14来描述免疫系统本体模型，将免疫系统分为两类：性免InnateImmunity和获得性免疫AdaptiveImmunity。性免疫主要“uses”巨噬细ImmunewerebornBonegrowsgrows（lymphocyImmunewerebornBonegrowsgrows4.14免疫系统是保护身体不受外物，而检测系统保护计算机网络和主机资源不受或，二者的作用场景极其相似：都处于随时可能发生变化的环境中，都努力去维持保护系统的稳定性[48]而免疫系统具有丰富的多样性耐受性免疫、自适用以及鲁棒性等特点，将免疫原理引入到检测中，能够有效的弥补传统网络检测系统的缺陷，如高误报率和漏报率问题。疫思想的检测所必需的数据或知识支持对于缓解检测自身存在的一些诟病和提高检测的性能效率等都具有非常重大的意义根据上述免疫系统的原理概念等分析，对比得到了免疫系统与检测的概念对比表[49]，如表4-1中所示。表4-1生物免疫术语与检测术语对、网络或其他检测目B细胞、T抗原与抗体的结合检测器的的检测部分就需要增加新的构成元素，主要构成元素如下：self类似地,检测系统中,自我集合可能是指计算机系统中的受保护内容，如系统数U是完备的和有限的集合；且从表4-1可知，检测中的检测器与免疫系统中的免疫细胞相对应，可将每一4.14所示。4.14即Self集合P，然后基于选择算法生成一个检测器集合M，负责不属于Self集合P的所有元素，也就是 -self元素；运行过程如图4.15所示：采用相同的表示随机生成候选元素C；与P中元素进行匹配，若某元素C匹配成功则丢弃该元素，反之则放入检测器集合M中。否否4.15否是受保护模式集合检测器集合否是受保护模式集合检测器集合图4.16监测-self模、作为本文的重点章节，本章详细介绍了在本文所安全信息管理原型系统的之后讲述了目前比较流行的建模工具以及建模过程，然后从安全检测和安全的角度对安全信息进行建模，并进行实例化，构建出一个较为完备的本体知识、、要包括：统一管理网络和主机安全，提供Web端实时，友好的交全日志，提供全文检索功能；根据安全检测和安全三个方面建立相应、首先，需要的是由于本课题涉及多个领域且工作量比较大，因此本文安全信息管理原型系统的实现实际上是由本人和赵同学合作完成的的信息可以参考他的[51]本章所涉及的实现部分主要包含本研究课题所设计的模块在安全信息管理原型系统的具体实现中本人负责的模块主要包括安全的统一管理、实时以及图表统计等功能，对安全相关日志的过滤、集中收集以及检索等功5-15-2所示：Linux（Ubuntu12.0464位2G作为安全检测的一部分，检测和日志收集的开源软件工具也是不可缺少的，5-2所示：网络检测工Snort主机检测工SnorbyLogstashElasticsearchKibanarefsystem <pi> R_refref<pi>refsystem <pi> R_refref<pi>encodingtype<pi>Integerdetailtype<pi>Integersigid<pi>Integer<M>refseq<pi>Integersigclass<pi>sig <pi><pi>Integer<M>R_sensor_event<pi>Integer<pi>IntegerInteger<pi>Integer<pi>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M>vseq<pi>Integer <pi>Integer<pi>Integer<pi>Integer<M><pi>Integer<pi>Integer<pi>IntegerInteger<pi>IntegerIntegerInteger记录捕获的实例，是分析的重记录捕获的实例，是分析的重IPTCPUDP5-3列出了重要的数据库表，Event5-45-4Snortint(10)int(10)捕获的传感器编int(10)int(10)int(10)IPsmallint(5)源端IPsmallint(5)目的端了Snorby工具进行展示，可看到时间跨度可操作的实警分析图表。5-5LinuxSyslog01234567UUCP8916-事实上，Sagan是通过Syslog服务514端口来捕获安全的，首先明确系统服务Syslog和Linux系统本身的一些基本有助于更好地分析主机安全。先级时，Syslog将记录等于或高于该优先级的消息。Linux系统中一些重要的消息类5-55-6所示。5-6LinuxSyslog76eNot5432103.3节中所确定的日志源，并针对一些具体的数据源进行5-7Http5-8所示：Grokst}(?:HTTP/%{NUMBER:httpversion})?-)"%{NUMBER:response}(?:%{NUMBER:bytes}|-)%{QS:referrer}%{QS:agent}User%{SYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:logHost}USER:User}:\[euid=%{USER:authUser}\]:from:%{IP:logIp}%{NUMBEAuthSYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:srcHost}本文所使用的开发框架为目前较为流行的SSH框架,使型的dao、actionservice图5.2安全实，图5.2展示了实时的网络和主机安全的监视控制台首页，可以选择不同的时间跨度会按照预定义的高中低优先级进行分类以及各种统计图表展示。控制台右侧可查看检测到安全最多的传感器登录的系统用户以及分类安全统计等信息此外还可以查看具体的日志列表和安全详细如图5.3和5.4所示，5.3图5.4安全详细的工作有过滤关键字段，统一和检索，以及统计图表展示，如图5.5所示。5.5述了和系统安全的主要特点以及对不同数据源的日志进行收集过上一章节中对本文所安全信息管理原型的主要实现部分进行了详细描述，接下来将基于该原型系统建立的本体模型设定类型判定以及用户判定的应本文从类型和用户角色的判定推理两个角度来验证本文所本体知识应的特征知识库并构建一些基本原则进行推理得到隐藏的语义信息如确定的类型，从而降低检测的误报和漏报率，促进提高检测的准确性。本应用场景主要描述的是SYNFlood，利用TCP协议，可造成与目标Service的目标主机，Host01是受Host02信任的主机。过程主要描述如下：者开始Host02的TCP连接，目的是预测Host02当前生成的TCP序列号值；者假装是Host01并向Host02发送SYN数据包，建立TCP会话；Host01受到后，无法发会话，此时者拥有一个与目标主机Host02的会话并且可以执行命令。TCPHost01SYNTCP序列号RST消息。本应用场景的主要目标是通过对日志收集子系统收集起来的用户操作记录进行对异常检测的准确性。3.8所示的用户NameNameTimePermissionPath（Command一般情况下，扮演不同角色的计算机操作用户所使用令基本上是一个基本固间段依据这些用户操作以及各个项目组的具体规定来编写相关的本体推理规（SWRL（1）（2（3）应判断结果（6-1所示，并根据它们来建立本体实例，进而完成推理工作。1web账户就能满sudorootweb用户执行sudo命令程序员误操作或异常2程序员正常工作时间为上午18:00web2:00时执行mysql程序员紧急操作或异3系统管理员使用执行rootmysqlrootor色4ps、cdweb/root用户cd、orProtégé4.3OWL-DL实现本体建模工作，并根据已有知识如CVE等对本体模型进行实例化。OWL-DL的推理工作由Protégé自带Hermit推理机以及第插件Pellet推理机来完成。本章节的组织结构（1）类型判SYNFlood6.1中列举了本应用场景所涉及的重要概念。其中Connection表示者Attacker发起的一TCPTimeSpan，11秒，且发送超10SYNSYNFlood的主要特征，之后也将以此为根据建立规则推6.1第二步针对本应用场景的特征建立相应的规则用于确定具体的类型，6.2TCP连接的（AbnormalState只将SynFlood造成的TCP异常看做是异常状态的充要条件并以此为条件来判断是否为SynFlood。图6.2SynFlood判定规则定6.36.8。6.36.3TCP15SYN消息，根6.46.4TCP1100SYN消息，根6.56.5展示的是一次建立TCPAttack01110006.66.6展示的是一次建立TCPAttack0111000消息，根据SynFlood的规则定义得到Attack01为SynFlood6.76.7TCPAttack0213SYN消6.86.8TCPAttack0213SYN消Attack02Attack。此外，本文通过对安全知识库中大量实例分析，发现知识库中的之间、与概念之间以及概念之间存在着某种联系。例如，本文定义了一种相似属性（similarVulnerability）将两个Vulnerability联系起来，表明这两个Vulnerability品中，可被同一种所利用，且表现出相同的特征，并导致同样的。若以上条件均能满足，则两个Vulnerability是相似的。HIGH76.9所示。图6.9等级推理规则定6.116.12图6.10相似Vulnerability的规则定图6.11相似Vulnerability推理结果图6.12相似Vulnerability推理结果User（ester统管理员（SystemAdmin）和安全管理员（SecurityAdmin。6所示：6.14（commonauthority6.156.15中定义了程序员（Developer）Common权限且操作时间86点之间的用户角色（UserRole6.166.16Root权限且可在任意时间操作的用户6-86.23所示：6.18图6.18展示了用户角色的主要分类层次，这里设定了一个异常用户角色6.196.19Common12sudo命令，Root权限，根据推理规则得到的结果为26.236.23展示了一个拥有Common12rootmysql原型系统建模是实的正确性和实际应用价值应用场景的描述没有涉及将网络用的词汇集（如CVE安全）以及主流的本体概念模型建立起来的。对于大多数量的安全实例，并从中挖掘其内在的关系，利用本体推理技术推知隐藏的语义信 SynFlood的特征以此建立本体规则并完成推理得到可能的类型应用场景二从用户角色判定的角度根据各种用户角色的操作规范或约定建立相应的本体安全内容的自动化构建意义重大对构建机器可理解的安全也具有一定的参的检测系统所需要的相关知识。安全领域的知识范围广阔，安全检测工具和管理产品数不胜数，而安全也是层出多的安全实例还需要不断更新和补充本体的构建过程本身就是一个不断迭代和使用等。而这些都可能是检测和安全的某些特征，这也是之后的工作重点， OWLWebOntologyLanguage RDFTheResourceDescriptionFramework资源描述框架DLDescriptionLogic IDSIntrusionDetection 检测系BISBiologicalImmune AISArtificialImmuneSystem SIMSecurityInformationManagement安全信息管理NISTNationalInstituteofStandardsand

和技术研 CommonVulnerabilities& 通用披 NationalVulnerabilityDatabase 国家数据库 SystemDevelopmentLifeCycle CommontformEnumeration

常用模式枚举和分本 本体是共享概念模型的明确的形式化规范说本体模型在本体中由类、关系、属性等抽象元素构成的概念层次结构安全信息管理计算化工具，根据企业需求解决解决安全、合规和效率问题漏报率将原本是的行为判定为正常行为的比率误报率将非行为判定为

Snort,VII,VIII,23,24,28,29,51,52,21,26,28,29,50,52,,12,13,30,24323435,I,50