鄒偉 陳懇 歐陽昭相

摘 ?要：面向海量異構(gòu)多源的高校網(wǎng)絡(luò)信息安全數(shù)據(jù)管理和輔助決策系統(tǒng)研究及應(yīng)用是目前高校信息安全體系建設(shè)的重點和難點課題。本文首先提出了基于語義本體技術(shù)的多源異構(gòu)高校網(wǎng)絡(luò)信息安全知識整合策略，在此基礎(chǔ)上構(gòu)建了基于可計算和推理信息資源的網(wǎng)絡(luò)信息安全輔助決策知識庫，設(shè)計并開發(fā)了面向高校網(wǎng)絡(luò)信息安全管理的輔助決策支持服務(wù)系統(tǒng)平臺。通過常用網(wǎng)絡(luò)攻擊知識問答庫數(shù)據(jù)對系統(tǒng)功能測試結(jié)果表明，該系統(tǒng)能夠較好地實現(xiàn)對高校網(wǎng)絡(luò)信息安全事件的關(guān)聯(lián)查詢、知識推理和輔助決策等支持服務(wù)，為高校網(wǎng)絡(luò)信息安全領(lǐng)域多源異構(gòu)數(shù)據(jù)整合、知識建模及智能管理提供了有效地解決方案。

關(guān)鍵詞：語義本體;網(wǎng)絡(luò)信息安全;知識庫

中圖分類號：TP301 ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： The research and application on data management and decision support system dealing with massive heterogeneous multi-source for network information security is the key and difficult subject in informationization process of universities. This paper firstly proposes a knowledge integration strategy for multi-source and heterogeneous university network information security knowledge based on semantic ontology technology. And then， a knowledge base for network information security decision support is built utilizing computable and inferential information resources， and a decision support service system is developed as well. The results of system function test on a constructed common network attack knowledge quiz library show that the proposed system can well implement the associated query， knowledge inference and decision-making support services for network information security incidents， which provides an effective solution to multi-source heterogeneous data integration， knowledge modeling and intelligent management in network information security domain.

Keywords： semantic ontology; network information security; knowledge base

1 ? 引言（Introduction）

對海量異構(gòu)多源的高校網(wǎng)絡(luò)信息安全數(shù)據(jù)進行整合，結(jié)合專家知識庫語義知識，為網(wǎng)絡(luò)信息安全管理提供決策支持，是目前擺在高校網(wǎng)絡(luò)信息安全管理者面前的一個難題。已有的研究主要集中于基于多源異構(gòu)安全數(shù)據(jù)聚合、網(wǎng)絡(luò)安全態(tài)勢知識庫模型構(gòu)建、網(wǎng)絡(luò)入侵知識庫模型構(gòu)建及網(wǎng)絡(luò)威脅推演及信息安全區(qū)劃分等方面[1-3]，這些研究在利用本體庫進行網(wǎng)絡(luò)入侵知識庫構(gòu)建、異構(gòu)網(wǎng)絡(luò)信息安全整合及威脅過程推演等方面，都取得了一定的進展。但是，缺乏以普通安全管理員為對象的決策支持知識庫系統(tǒng)構(gòu)建方面的研究。

利用語義本體集成海量異構(gòu)多源的網(wǎng)絡(luò)信息安全數(shù)據(jù)，將利用文檔、表格、圖片等形式存儲的網(wǎng)絡(luò)信息安全知識和專家知識轉(zhuǎn)化為計算機可以直接計算和推理的資源[4，5]，為安全管理運維人員形成有價值的決策支持信息，幫助開展網(wǎng)絡(luò)信息安全防護。本文提出以語義技術(shù)對信息安全知識和專家知識進行整合，形成可計算和推理的信息資源，并在此基礎(chǔ)上，整合網(wǎng)絡(luò)及安全設(shè)備實時數(shù)據(jù)，開發(fā)了網(wǎng)絡(luò)信息安全決策支持服務(wù)系統(tǒng)，實現(xiàn)了對網(wǎng)絡(luò)信息安全事件的知識推理和決策輔助支持服務(wù)。

2 ? 基于語義本體的網(wǎng)絡(luò)信息安全輔助決策框架模型（Framework model of network information security assistant decision based on semantic ontology）

2.1 ? 基于本體的網(wǎng)絡(luò)信息安全輔助決策框架

通過對現(xiàn)有網(wǎng)絡(luò)信息安全管理專家知識、安全防控規(guī)則及行業(yè)規(guī)范數(shù)據(jù)進行本體描述和語義集成，構(gòu)建一套輔助決策框架，利用語義查詢和語義推理技術(shù)，得到信息安全過程決策支持服務(wù)，協(xié)助網(wǎng)絡(luò)信息安全運維人員進行輔助決策[6，7]。如圖1所示。

圖1是基于語義本體的高校網(wǎng)絡(luò)信息安全輔助決策框架。該框架的基礎(chǔ)數(shù)據(jù)核心是網(wǎng)絡(luò)信息安全設(shè)備實時數(shù)據(jù)及網(wǎng)絡(luò)信息安全專家知識、安全事件庫及網(wǎng)絡(luò)信息安全攻擊行為庫等語義知識數(shù)據(jù)，它由局域網(wǎng)實時安全數(shù)據(jù)采集、網(wǎng)絡(luò)信息安全專家知識及攻擊行為知識庫等知識的語義集成和決策輔助服務(wù)，核心是網(wǎng)絡(luò)信息安全決策支持應(yīng)用程序，通過RDF查詢語言進行語義查詢和語義推理，生成決策支持信息，通過不同類型終端，為安全管理運維人員提供輔助決策。

（1）局域網(wǎng)實時安全數(shù)據(jù)采集。通過部署在校園網(wǎng)絡(luò)的多臺日志采集服務(wù)器，將網(wǎng)絡(luò)交換設(shè)備、防火墻設(shè)備、上網(wǎng)行為審計設(shè)備、應(yīng)用防火墻、統(tǒng)一身份認(rèn)證設(shè)備及漏洞掃描設(shè)備的相關(guān)日志數(shù)據(jù)進行采集，進行清洗、過濾和歸并操作，存入關(guān)系數(shù)據(jù)庫。

（2）知識數(shù)據(jù)語義集成。利用語義技術(shù)，將現(xiàn)有的網(wǎng)絡(luò)信息安全中的專家知識、安全事件庫及網(wǎng)絡(luò)信息安全攻擊行為等知識數(shù)據(jù)進行語義集成，轉(zhuǎn)化為RDF三元組，構(gòu)建出網(wǎng)絡(luò)信息安全本體，實現(xiàn)對網(wǎng)絡(luò)信息安全知識的一致性描述，為建立推理規(guī)則、進行自動推理打下基礎(chǔ)。通過構(gòu)建的網(wǎng)絡(luò)信息安全過程本體庫，生成語義數(shù)據(jù)庫。

（3）輔助決策服務(wù)。形成了關(guān)系數(shù)據(jù)庫和語義數(shù)據(jù)庫的基礎(chǔ)上，由網(wǎng)絡(luò)信息安全支持應(yīng)用程序進行調(diào)用，通過RDF查詢語言進行語義查詢和語義推理，生成決策支持信息，通過WEB終端，為網(wǎng)絡(luò)信息安全管理者提供輔助決策支持。

2.2 ? 基于本體的網(wǎng)絡(luò)信息安全輔助決策三層結(jié)構(gòu)模型

基于本體高校網(wǎng)絡(luò)信息安全輔助決策系統(tǒng)，采用三層B/S架構(gòu)體系，其結(jié)構(gòu)體系分為三個層次，即數(shù)據(jù)資源層、決策層和用戶接口層，如圖2所示。數(shù)據(jù)資源層主要是對支持信息安全決策所需的數(shù)據(jù)資源進行獲取和存儲，決策層主要實現(xiàn)把接口層輸入的用戶任務(wù)，進行計算和推理，并映射成數(shù)據(jù)資源層中相應(yīng)數(shù)據(jù)組合;用戶接口層負(fù)責(zé)用戶決策需求輸入和決策結(jié)果顯示。

（1）數(shù)據(jù)資源層。數(shù)據(jù)資源層主要包含通過校園網(wǎng)絡(luò)安全設(shè)備采集的實時日志數(shù)據(jù)及網(wǎng)絡(luò)信息安全決策的各類知識數(shù)據(jù)。實時日志數(shù)據(jù)主要包含網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理系統(tǒng)、反病毒軟件、遠(yuǎn)程漏洞檢測系統(tǒng)、反垃圾郵件網(wǎng)關(guān)、應(yīng)用防火墻、數(shù)據(jù)庫審計系統(tǒng)、堡壘主機等日志數(shù)據(jù)等，進行標(biāo)準(zhǔn)化處理后存放在關(guān)系數(shù)據(jù)庫。知識數(shù)據(jù)主要包含網(wǎng)絡(luò)信息安全事件規(guī)則特征、防護規(guī)則，以及日常處理知識數(shù)據(jù)，進行本體描述和語義集成后，存放在語義數(shù)據(jù)庫。

（2）決策層。決策層主要是通過RDF查詢語言進行語義查詢和語義推理，分為決策本體、決策請求和決策計算三部分。決策本體是對網(wǎng)絡(luò)信息安全領(lǐng)域知識的形式化表達(dá)與描述。因此在決策層中，用戶通過接口層輸入決策請求，決策層對用戶的決策請求進行解析，將以自然語言描述的決策請求轉(zhuǎn)換為決策本體實例，決策計算模塊進行計算和推理，并映射成數(shù)據(jù)資源層中相應(yīng)數(shù)據(jù)組合。完成決策任務(wù)的計算，并向接口層中返回計算結(jié)果。

（3）用戶接口層。用戶接口層主要由信息安全決策需求輸入與決策結(jié)果展示這兩個功能模塊組成。用戶通過自然語言輸入決策需求，隨后系統(tǒng)開始對需求進行解析和計算，得到?jīng)Q策結(jié)果后，通過表格和圖表方式進行決策結(jié)果展示。系統(tǒng)不僅可以在安全管理運維人員發(fā)出請求時提供決策支持信息，并且可以提前設(shè)置推送策略，將一些決策結(jié)論主動推送給相關(guān)人員。

3 ?網(wǎng)絡(luò)信息安全本體庫構(gòu)建（Construction of network information security ontology library）

構(gòu)建網(wǎng)絡(luò)信息安全本體庫，首先明確本體涉及的范圍，在此基礎(chǔ)上抽象出網(wǎng)絡(luò)信息安全領(lǐng)域的關(guān)鍵概念作為本體的類，并通過定義類之間的關(guān)系來描述概念之間的聯(lián)系、定義類與實例之間的屬性來描述概念與個體之間的聯(lián)系[8-10]。網(wǎng)絡(luò)信息安全本體庫構(gòu)建流程圖如圖3所示。

3.1 ? 網(wǎng)絡(luò)信息安全要素的分類提取

網(wǎng)絡(luò)信息安全要素，是指在多源異構(gòu)的數(shù)據(jù)源中能夠引起網(wǎng)絡(luò)信息安全狀態(tài)發(fā)生變化的一些列基本元素[9]。根據(jù)這些要素數(shù)據(jù)來源、實時性、可靠性及冗余度的不同，可以分為物理安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全：

（1）物理安全：物理安全是包含計算機網(wǎng)絡(luò)設(shè)備設(shè)備、網(wǎng)絡(luò)拓?fù)渑渲?、機房空調(diào)、供配電、監(jiān)控系統(tǒng)等設(shè)施的日志記錄。

（2）網(wǎng)絡(luò)安全：主機安全、反病毒、系統(tǒng)安全檢測、審計分析網(wǎng)絡(luò)運行安全、WEB應(yīng)用防火墻、網(wǎng)絡(luò)安全檢測、入侵檢測、第二代防火墻、實名認(rèn)證系統(tǒng)、上網(wǎng)行為管理系統(tǒng)等網(wǎng)絡(luò)信息安全系統(tǒng)日志信息。

（3）數(shù)據(jù)安全：主要涉及信息傳輸?shù)陌踩?、信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三個方面[11]，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲安全、數(shù)據(jù)庫安全、終端安全、信息的防泄密、信息內(nèi)容審計、用戶授權(quán)等數(shù)據(jù)庫操作日志[12，13]。

3.2 ? 從領(lǐng)域知識到RDF三元組

德國學(xué)者Studer等人首次提出了較完整的本體定義[14]。本體是對世界上客觀存在事物的系統(tǒng)的描述，是領(lǐng)域知識的規(guī)范表示，它定義了概念以及概念之間的關(guān)系，是表達(dá)、組織、理解、展示和預(yù)測知識的常用方式之一[15-17]。目前本體被廣泛應(yīng)用于知識工程、智能信息集成、數(shù)據(jù)挖掘、海量信息的組織和處理等領(lǐng)域中[18，19]。目前普遍認(rèn)為本體是對某一領(lǐng)域內(nèi)的概念及其關(guān)系的一種概念化描述[18]。采用如下方式來定義三元組：

NetSecurity=（S，V，O）

其中，S為主語、V為謂語、O為賓語。一個三元組由主語、謂語、賓語構(gòu)成，那么網(wǎng)絡(luò)信息安全本體可以看成是由多個SVO三元組組成的集合。網(wǎng)絡(luò)信息安全知識主要由文本型、表格型、圖片型和網(wǎng)頁型知識經(jīng)預(yù)處理提取而來。文本型知識需要由領(lǐng)域?qū)＜疫M行分析，提煉成問答形式，然后由軟件開發(fā)人員根據(jù)系統(tǒng)建設(shè)需求，建立相應(yīng)的類、實例和屬性，最終轉(zhuǎn)化為RDF三元組。表格型知識可以直接轉(zhuǎn)換為RDF三元組，表格的各個行的第一個單元格內(nèi)容一般轉(zhuǎn)換為三元組的主語，各個列的第一個元素的內(nèi)容轉(zhuǎn)換為三元組的謂語，各個行與各個列相交的單元格內(nèi)容則轉(zhuǎn)換為三元組的賓語。圖片型知識通過屬性rdfs：seealso把圖片型知識連接進去，圖片型知識直接轉(zhuǎn)換為賓語。網(wǎng)頁型知識把整個網(wǎng)頁、網(wǎng)頁的一部分、或者網(wǎng)頁的集合的資源轉(zhuǎn)換為主語，把描述某個資源的特征、性質(zhì)或關(guān)系等網(wǎng)頁型知識的屬性轉(zhuǎn)換為謂語，把描述網(wǎng)頁型知識的資源的屬性值轉(zhuǎn)換為賓語。

3.3 ? 網(wǎng)絡(luò)信息安全本體SPARQL查詢

當(dāng)網(wǎng)絡(luò)信息安全本體構(gòu)建好以后，就要對所構(gòu)建的本體創(chuàng)建一些測試實例，通過測試實例來檢測所構(gòu)建的本體模型是否達(dá)到預(yù)期目的，所構(gòu)建的網(wǎng)絡(luò)信息安全本體模型是否存在錯誤。語義本體可以通過SPARQL語言來處理，它是RDF數(shù)據(jù)的標(biāo)準(zhǔn)查詢語言。采用SPARQL查詢作為測試方法，檢測計算機理解的網(wǎng)絡(luò)信息安全本體三元組和人所理解的網(wǎng)絡(luò)信息安全本體三元組的一致性。

SPARQL的SELECT查詢語句查詢變量和包含查詢變量的三元組兩個部分。比如，在前面對ARP攻擊問題進行描述時，當(dāng)關(guān)于ARP攻擊及其類型的本體構(gòu)建好以后，就可以運用SPARQL來做查詢，可以把查詢的問題表述為：“特洛伊木馬攻擊的特征及解決辦法是什么？”對應(yīng)的SPARQL查詢語句為：

SELECT ？x？y？z

WHERE{

？x rdfs：label “特洛伊木馬”，

？x：PorosityMin ？y，

？x：PorosityMax ？z

}

4 ?系統(tǒng)實現(xiàn)及功能驗證（System implementation and functional verification）

4.1 ? 系統(tǒng)實現(xiàn)

系統(tǒng)前端采集的網(wǎng)絡(luò)信息安全日志，存放于ORACLE數(shù)據(jù)庫。網(wǎng)絡(luò)信息安全本體和推理規(guī)則存放于語義本體數(shù)據(jù)庫。軟件采用Protégé對網(wǎng)絡(luò)信息安全本體庫進行建模，TopBraid Composer進行開發(fā)，內(nèi)置Pellet進行語義查詢推理，構(gòu)建了網(wǎng)絡(luò)信息安全知識庫檢索及輔助決策功能。

4.2 ? 功能驗證

為了驗證該模塊的正確性，我們根據(jù)采集的“常用網(wǎng)絡(luò)攻擊知識問答庫”進行測試。如表1是從網(wǎng)絡(luò)信息安全知識檢索庫中提取的九條驗證樣本。

查詢用戶搜索相關(guān)內(nèi)容，系統(tǒng)對內(nèi)容進行解析，通過本體推理，將推理結(jié)果返回給用戶。在系統(tǒng)驗證過程中，輸入為攻擊行為，數(shù)據(jù)輸出為攻擊特征及解決辦法。

驗證結(jié)論：將測試數(shù)據(jù)輸入網(wǎng)絡(luò)信息安全知識庫查詢系統(tǒng)，得到的運行結(jié)果如圖5所示。將系統(tǒng)運行結(jié)果與測試數(shù)據(jù)輸出結(jié)論相比較完全一致。由此可以證明，輔助決策知識庫系統(tǒng)能夠根據(jù)安全運維管理人員的輸入問題，得到正確的描述及解決辦法，為網(wǎng)絡(luò)信息安全輔助決策提供支持。

5 ? 結(jié)論（Conclusion）

本文提出了基于本體的網(wǎng)絡(luò)信息安全輔助決策框架模型，并在此基礎(chǔ)上通過網(wǎng)絡(luò)信息安全本體庫構(gòu)建，實現(xiàn)了高校網(wǎng)絡(luò)信息安全輔助決策知識庫原型系統(tǒng)，經(jīng)測試表明系統(tǒng)具有一定的輔助決策能力，本體技術(shù)作為網(wǎng)絡(luò)信息安全決策支持系統(tǒng)的支撐技術(shù)是可行的。由于網(wǎng)絡(luò)信息安全決策分析過程復(fù)雜，下一步需要繼續(xù)對語義本體進行擴展，以保障系統(tǒng)在復(fù)雜決策分析過程中更加智能。

參考文獻(xiàn)（References）

[1] 王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報，2015，41（02）：72-84.

[2] 馬民虎，張敏.信息安全與網(wǎng)絡(luò)社會法律治理：空間、戰(zhàn)略、權(quán)利、能力——第五屆中國信息安全法律大會會議綜述[J].西安交通大學(xué)學(xué)報（社會科學(xué)版），2015，35（02）：92-97.

[3] 華輝有，陳啟買.基于本體的網(wǎng)絡(luò)安全態(tài)勢知識庫模型[J].計算機應(yīng)用，2014，34（S2）：95-98;107.

[4] 朱穎.基于語義技術(shù)的柑橘園土壤環(huán)境判定決策支持系統(tǒng)[D].西南大學(xué)，2014.

[5] 朱麗娜.本體論在網(wǎng)絡(luò)安全態(tài)勢感知中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2018，36（05）：188-189.

[6] 李彥旭，巴大志，成立.網(wǎng)絡(luò)信息安全技術(shù)綜述[J].半導(dǎo)體技術(shù)，2002（10）：9-12;30.

[7] 韋勇，連一峰，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展，2009，46（03）：353-362.

[8] 司成，張紅旗，汪永偉，等.基于本體的網(wǎng)絡(luò)安全態(tài)勢要素知識庫模型研究[J].計算機科學(xué)，2015，42（05）：173-177.

[9] 華輝有，陳啟買.基于本體的網(wǎng)絡(luò)安全態(tài)勢知識庫模型[J].計算機應(yīng)用，2014，34（S2）：95-98;107.

[10] 張殊.基于語義Web服務(wù)的組合方案研究及其在電子商務(wù)中的應(yīng)用[D].南京理工大學(xué)，2009.

[11] 洪大翔.基于本體的信息系統(tǒng)安全域劃分的研究與應(yīng)用[D].重慶大學(xué)，2014.

[12] 張德祥，劉勛，扈炳良.校園信息網(wǎng)絡(luò)安全體系構(gòu)建研究[J].情報科學(xué)，2009，27（10）：1542-1544.

[13] 邵雪航，周洪玉.企業(yè)網(wǎng)絡(luò)安全體系構(gòu)建[J].機械工程師，2007（09）：104-105.

[14] Studer B， Benjamins V R， Fensel D. Knowledge engineering： Principles and methods[J]. Data and Know Ledge Engineering， 1998， 25（2）： 161-197.

[15] Rodriguez G D， Velasco D. Ontologies for network secu-rity and future challenges[C]. 12th International Conferenceon Cyber Warfare and Security， 2017.

[16] Simmonds A， Sandilands P， Ekert L. An ontology for net-work security attacks[C]. Second Asian Applied ComputingConference on Applied Computing， 2004.

[17] Staab S，Studer R.Handbook on ontologies[M].International handbooks on information systems.Berlin：Springer， 2004： 227-255.

[18] 華輝有，陳啟買.基于本體的網(wǎng)絡(luò)安全態(tài)勢知識庫模型[J].計算機應(yīng)用，2014，34（S2）：95-98;107.

[19] 陶曉玲，韋毅，孔德艷，等.基于本體的網(wǎng)絡(luò)流量分類方法[J].計算機工程與設(shè)計，2016，37（01）：31-36;54.

[20] 張淑權(quán).黑客攻擊電腦的幾種常見手法以及防御技巧[J].計算機與網(wǎng)絡(luò)，2014，40（17）：59.

[21] 周啟惠，鄧祖強，鄒萍，等.基于區(qū)塊鏈的防護物聯(lián)網(wǎng)設(shè)備DDoS攻擊方法[J].應(yīng)用科學(xué)學(xué)報，2019，37（02）：213-223.

作者簡介：

鄒 ? ? 偉（1985-），男，碩士，講師.研究領(lǐng)域：教育信息化，高校網(wǎng)絡(luò)信息安全和智慧黨建.

陳 ? ? ? 懇（1978-），男，碩士，講師. 研究領(lǐng)域：教育信息化.

歐陽昭相（1978-），男，本科，講師. 研究領(lǐng)域：本體技術(shù)及信息化.