英语原文共 11 页,剩余内容已隐藏,支付完成后下载完整资料
基于语义本体和用户自定义规则的网络安全态势感知物联网
摘要:物联网(IoT)带来了全球信息产业的第三次发展浪潮,使得用户,网络和感知设备更加紧密地合作。但是,如果物联网存在安全问题,可能会造成各种损害,甚至威胁到人身和财产安全。为提高监控能力,提供应急响应,预测物联网安全的发展趋势,提出了一种称为网络安全态势感知(NSSA)的新模式。但是,它受能够从多源异构网络安全信息中挖掘和评估安全情况要素的能力限制。为了解决这个问题,本文提出了一种基于语义本体和用户定义规则的情境推理方法的物联网网络安全态势感知模型。本体技术可以提供一个统一的形式化描述来解决物联网安全领域的语义异构问题。在本文中,提出了四个关键子域来反映物联网安全状况:环境,攻击,脆弱性和网络流量。此外,用户定义的规则可以弥补本体的有限描述能力,因此可以提高我们提出的本体模型的推理能力。实际物联网场景中的例子表明,采用我们的情境推理方法的网络安全态势感知能力比传统的NSSA方法更全面和更强大的推理能力。
关键词:网络安全,语义本体,情景意识,情境推理,推理规则
- 绪言
物联网(IoT)是新一代信息技术的重要组成部分。目前,物联网通过智能感知,识别技术,普适计算和其他通信技术广泛应用于网络集成。因此,在计算机和互联网之后,它被称为世界信息产业发展的第三次浪潮。随着物联网技术的发展,其应用正日益扩展到日常的所有领域。其中最突出的领域是智能家居,智能能源,智慧城市,智慧城市医疗等智能行业[1]。由于物联网的应用领域众多,物联网的安全问题尤其突出。如果物联网遭受网络攻击,可能会造成各种伤害甚至威胁人的生命和财产。然而,物联网中的设备会产生并交换大量的安全关键和隐私敏感数据,这使得它们成为各种攻击的有吸引力的目标。如图1所示,物联网的架构由三层构成:感知层,网络层和应用层。感知层负责通过RFID,各种传感器,GPS,激光扫描仪,二维码等收集原始信息。然而,感知节点的抗攻击能力由于其自身有限的计算能力和长时间的无人值守状态而较弱。网络层负责将感知层收集的信息传输到应用层。由于物联网是基于互联网构建的,在传输过程中互联网的所有威胁也会对物联网(DoS攻击,中间攻击等)造成危害。 此外,在物联网中对异质网络的攻击更为突出。 应用层处理信息以满足用户的需求(智能交通,智能电源,智能医疗等)。应用层由于其不同的应用类型和技术立场和规定而面临各种安全问题。 任何受到攻击的图层都会影响整个系统和用户。 更重要的是,网络层和应用层的安全性更加重要,因此物联网需要全面的实时安全管理,其中包括实时攻击和漏洞检测和预测可能的攻击[2]。但是,由于物联网设备的异质设备和非均匀数据,物联网的安全管理极具挑战性。它需要实时处理和分析异构数据输入以作出适当和适时的决定。 然而,现有的安全解决方案是不适合的,因为它们不能扩展到大型异构设备网络并满足实时检测的要求[3]。针对这些问题,提出了一种新的网络安全监控技术 - 网络安全态势感知。 如果物联网网络安全态势感知技术取得突破性进展,将对物联网的安全起到重要的支撑作用。
Endsley [4]认为,情境意识是在时间和空间的大量空间内感知环境要素,理解它们的意义,以及在不久的将来对其状态的预测。 但是,这个概念并不适用于网络环境。 Bas [5]于1999年首次提出了网络安全态势感知(NSSA)的概念,以基于情境意识概念的整体方法来解决网络安全问题。
NSSA可以提供网络安全状况的全面实时视图,但其中一个挑战是其基于多源异构网络安全状况信息的网络状况感知。 本体已被证明在解决语义异构性方面发挥重要作用,提供特定领域的知识形式化[6] - [9]。 虽然目前对网络安全态势本体的研究往往根据应用需求定义情境信息,但研究人员既没有全面考虑情境信息,也没有为物联网的NSSA建立统一的,可重用的知识库模型。 这严重限制了物联网网络安全态势意识的普及和应用。
因此,本文从整体角度出发,提出了一种基于语义本体和用户定义规则的物联网网络安全态势感知情境推理方法。 该方法不仅实现了物联网异构网络安全态势信息的统一化,形式化描述和重用,而且还能实时检测网络安全状况。
本文的其余部分安排如下:第2节总结了NSSA的相关工作,并描述了我们工作的背景。 第3部分基于上述本体模型和用户定义的规则概述了情境推理的框架。 第4节是我们提出的NSSA的本体模型。 第5节介绍了我们模型中使用的用户定义的规则语言。 第6节提供了一些例子来验证我们提出的模型的有效性。 第7部分包括本文,并为未来的研究提供方向。
- 现状
根据[3],[10] - [12],IoT是一个由感知层,网络层和应用层组成的大规模信息系统。 物联网的核心架构主要包括:ordm;感知层:其主要功能是收集各种基本信息。 它包含CARDS,RFID电子标签,传感器网络等。 ordm;网络层:其主要功能是实现信息交流和沟通。 它包含互联网,无线网络等。 copy;应用层:主要负责数据分析,信息处理和控制决策,以实现智能应用和服务。 物联网的架构如图1所示。目前,感知层技术较为成熟,网络层和应用层面临的安全问题比较严重。 网络层和应用层不仅面临着传统的网络安全问题,而且由于大量的多源异构信息而面临着更为复杂的网络安全问题。 对物联网的着名攻击之一是Slammer蠕虫,它使美国银行的ATM陷入瘫痪,感染了美国核电站的监控系统,并且阻断了韩国一些电话公司的电话线[13]。一种计算机病毒感染美国交通网络的控制系统,停止旅客列车。 Stuxnet袭击了伊朗的铀浓缩设施,并推迟了伊朗核电站的发电[14]。 对于提高物联网的安全性有丰富的研究。 IEEE设计了IEEE 802.15.4标准来支持通信范围和数据速率并提供安全服务。 更重要的是,已经提出了许多安全架构。如基于虚拟化和基于软件的隔离[15],英特尔软件防护扩展(SGX)[16],基于安全硬件的可信计算,AEGIS [17]等。这些解决方案实现了通过安全设计他们自己的架构,主要基于硬件强制隔离其他软件。然而,由于大量的嵌入式设备和无处不在的无线网络,物联网的潜在安全风险客观存在,物联网更容易受到攻击。一方面要增强物联网的抗攻击能力,另一方面要实时监控物联网的安全状况,尽早发现威胁,减少损失。物联网安全态势意识的挑战是从大量异构数据生成的形式传感器中挖掘有用的信息,并实时感知当前的安全状况。但是,NSSA概念的提案可以解决这些问题。
根据Bas [5],NSSA是多传感器数据融合在网络安全情境领域的应用。 他提出了一种基于多传感器数据融合的网络态势感知功能模型,称为JDL功能模型,它是NSSA的主要模型。这个模型是其他模型的基础。 通过结合Endsley [4]提出的情景意识概念模型和JDL功能模型,我们提供了NSSA的概念模型,如图2所示.NSSA模型分为三个层次:安全情境感知,情境评估, 和情景预测。情境感知是NSSA的基础。 该级别主要接收来自大量多源异构数据的网络安全状况信息,将其转换为可理解的格式,并为下一级准备信息。 情境评估是NSSA的核心。 这是对当前安全形势的动态理解过程。 它识别安全事件并分析这些事件之间的关系以获得整个网络的安全状况。状态预测根据安全情况信息,当前网络安全情况和网络状况的历史情况,预测未来网络状况的变化趋势。
本文重点介绍NSSA的前两个级别。 我们使用本体来正式描述网络的安全状况信息,并进一步确定当前的网络安全状况。 本体论是事物本质和规律的理论,是哲学的范畴。Studer等人 结合Gruber [18]和Borst [19]提出的本体论的定义,并开发了研究人员普遍接受的本体论的概念:共享概念模型的明确的形式化规范[20]。 本体论早期是为了支持AI系统中正式表示的知识的共享和重用。 在将本体应用到网络安全领域已有一些研究。 在[21]中,提出使用本体来定义安全事件的检测和反应过程。作者提出了一种基于本体的方法来实例化特定攻击环境下的安全策略。 首先,定义警报并将其映射到特定的攻击上下文中。 在识别出攻击后,使用规则识别用于抵制攻击的策略。 在[22] - [24]中,引入了基于本体的多智能体Web服务攻击的IDS。 该模型的知识库由攻击本体和实例组成。 知识库包含许多数据属性并表示许多攻击类型。 执行分析时,它会将IDS中的许多警报的属性与知识库中的实例进行比较。虽然它没有显示具体的本体论,但这种设计可以帮助未来的研究。 Razzaq等人 [25]介绍了如何使用本体进行入侵检测,但仅使用了三个类的例子。 Bhandari和Singh [26]提出了一个基于网络的基于网络的工具来进行网络安全状态预测。 该工具只关注网络的脆弱性。
这些作品都使用本体来指定单向的网络安全域来满足他们的需求,但是他们没有提供网络安全情况的整体观点。 这些域的本体不足以用于NSSA,并且不能在NSSA域中重用。 在本文中,我们研究了NSSA领域中元素的分类和关系,并为NSSA提供了一个更完整的本体模型。
- 基于语义本体和用户自定义规则的情景推理框架概述
在本文中,我们提出了基于语义本体的NSSA模型和用于物联网安全的使用规则。 该模型可以从所有安全级别中感知当前的安全状况。 我们利用本体对统计异构安全数据进行统一描述和形式化描述,利用用户自定义规则弥补本体的有限描述能力,提高NSSA模型的推理能力。 推理引擎可以基于本体模型和用户定义的规则来确定当前的网络安全情况。 我们的情境推理方法的框架如图3所示。
推理过程如下:
- 多源异构信息从嵌入在物联网中的数据传感器获得,包括警报,漏洞信息,网络流和上下文信息。 这些数据的数量是巨大的,并且这些数据的结构如果不同。
(2)将网络安全状况数据格式化为本体模型的相应格式。
(3)通过实体发现和实例映射将格式化后的数据映射到本体模型中,并将生成的实例添加到本体库中。
(4)推理引擎根据实例和用户自定义规则推理异常,达到安全态势感知的目的。
接下来,将详细描述本体模型和用户定义规则的形式。 并给出一些例子来说明这个模型的有效性。
- NSSA本体建模
目前,建立本体模型不是一项系统化的工程活动,而是使用手动方法。 这些方法包括TOVE,企业本体,Ontoweb,ODE和本体生命周期。
这些方法的分析和构建领域本体的基本过程可以概括为图4。
在构建本体的过程中,应遵循以下四项基本原则:
(1)清晰性:在定义相关术语时尽可能使用形式公理化描述并尽可能避免模糊术语;
(2)一致性:本体定义必须满足推理机的一致性检查;
(3)可扩展性:在设计相关概念时尽可能考虑未来可能使用的本体概念;
(4)最小编码偏差:在概念表示中,不要局限于一种编码方法。
在本文中,我们构建了NSSA领域的本体模型。 为了从多个角度和层面反映网络的安全状况,网络安全态势要素可以分为以下四种基本类型:
(1)上下文
背景是物联网网络安全形势的基础和载体。 它由各种网络,安全和主机设备组成,可以根据实际用户需求进行更改。
(2)中的漏洞
该漏洞是网络安全形势的核心组成部分,反映了物联网环境的脆弱性。 攻击者利用工具扫描的漏洞实现非法访问,系统攻击或其他非法目的。
(3)攻击
攻击是网络安全形势的重点,也是网络安全形势面临的主要威胁。 攻击者使用各种攻击手段破坏系统的软件,硬件设施和数据。
(4)网络流量
网络流量是一个有用的数据源。 它不仅可以反映网络流量的使用情况,还可以帮助检测网络的异常行为。
我们的本体是基于上述网络安全形势概念而构建的。 为了构建本体,使用了Web本体语言(OWL)。 由于其表达能力和推理能力,OWL是首选语言。 这些概念被实现为类,关系被实现为属性并且公理被实现为限制。 有两种类型的属性:对象类型和数据类型。 对象类型属性被定义为属于类的实例之间的关系。 数据类型属性是类和文字实例之间的关系。另外,OWL的表达能力仅限于描述逻辑; 这种推理只能通过基于相关性和推理的类别来实现,而不能表达不确定性的知识,如事件随时间和空间的变化,统计数据流和如果...然后...等语义关系。为了支持这些需求,本文的后半部分将使用基于语义Web规则语言(SWRL)的规则。
我们构建的本体包含六个顶级类,如图5所示。 :上下文,传感器,警报,攻击,易受攻击性和Netflow。 对象属性描述了类之间的内部关系。 #39;hasVulnerability#39;是Context和Vulnerability之间的对象属性,并且表示上下文中存在漏洞。 #39;#39;exploitedby#39;#39;是Vulnerability和Attack之间的对象属性,#39;#39;exploit#39;#39;是#39;#39;exploitedby#39;#39;的反义词。 它表明漏洞可以被攻击利用。#39;#39;supplyInformation#39;#39;是Netflow和Context之间的对象属性,并指出网络流可以反映网络上下文中的网络流量情况。 #39;#39;反映#39;#39;是Netflow和Attack之间的对象属性,并且表明网络流量可以反映一些具有特定网络流量特征的常见攻击。传感器#39;#39;生成#39;#39;警报和警报可以#39;#39;推理#39;#39;在#39;上下文中#39;发生了什么攻击#39;。 本体模型将这些对象属性定义为关联反映网络安全情况的顶级类别,并制定适当的推理规则来描述隐式消息,从而形成统一的网络安全情况元素描述。 以下段落提供了NSSA子域的各种本体描述。
- 上下文描述
Context的本体如图6所示。Context的子类是Hardware和Element,代表了物联网系统中的各种设备,并且有相应的属性来描述它们。 例如,使用描述逻辑来描述上下文中的主机,描述可以使用基于描述逻辑(OWL
全文共17728字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[13354],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
