一种网络防御模型构建方法及装置

技术领域

本申请涉及网络防御技术领域，具体而言，涉及一种网络防御模型构建方法及装置。

背景技术

在现有技术中，传统网络安全技术的防御理念在于如何提高系统自身安全性和健壮性，采用不断地更新杀毒软件、防火墙、入侵检测以及漏洞修复等方式来维护系统的安全。传统网络系统的静态配置方式和安全防御理念会导致防御方在面对层出不穷的系统漏洞和攻击方法时处于被动的局面。而网络空间中现有的防御系统必须掌握攻击来源、特征、行为、机制等方面的知识才能实现有效的防御。但是现有的信息系统和防御体系基本上是静态的、相似的、确定性的，具有透明和脆弱的体系结构，成为网络空间最大的安全黑洞。

动态目标防御技术(MTD,Moving Target Defense)用于改变防守方在时间和资源上所承受的不对称局面，其采用一种新的网络安全研究思路，不再追求建立一种完美无瑕的系统来对抗攻击，而是通过构建、评价和部署多样化、不断迁移并且随时间变化的机制及策略的方式，增加攻击者的攻击难度及代价，有效限制脆弱性的暴露及被攻击的机会，以此达到防护目标的目的。动态防御机制通过增加攻击者的攻击难度和成本，有效限制漏洞暴露和被攻击的机会，从而提高整个系统的安全性，其具有动态实现和部署安全防御解决方案由静态向动态、被动向主动转变的优势，充分利用了攻击威胁保护的时间、空间和物理环境的复杂性，能够及时响应复杂的网络攻击和安全防御需求，能够保护软件和设备免受网络攻击，并减少数据破坏的风险。在决策方案生成方面，研究人员利用人工智能算法(机器学习、强化学习、深度学习、优化算法等)，结合本体建模实现快速高效的知识查询、案例检索、多属性决策方案生成，尽可能简化了疑难问题，保证决策方案的可靠性和可操作性。

未来强对抗的网络环境下，网络防御的核心在于：如何根据实时变化的网络空间安全态势，快速调整防御资源的配属、服务功能、安全协议和安全策略，实现网络对抗防御资源动态重构，从基于安全策略的传统静态防御框架向基于威胁态势变化的动态防御转变。

发明内容

本申请的目的在于，为了克服现有的技术缺陷，提供了一种网络防御模型构建方法及装置，建立完整的网络安全动态防御模型能够发现和分析网络信息系统中的网络安全漏洞、可能受到网络攻击的攻击模式及相应的缓解措施。

本申请目的通过下述技术方案来实现：

第一方面，本申请提出了一种网络防御模型构建方法，所述方法包括：

使用Web本体语言和语义Web规则语言进行本体建模得到网络安全动态防御模型；

在所述网络安全动态防御模型中建立本体类和本体类之间的关系；

基于本体类之间的关系根据网络安全防御需求构建网络安全防御推理规则。

在一种可能的实施方式中，所述网络安全动态防御模型：O＝(C,R,I,D,A)，其中C是整个本体集合，R是两个本体类之间的关系，I是本体类和本体类的实例之间关系的集合，D是本体实例属性集和数据类型，A是一组公理和规则的集合。

在一种可能的实施方式中，所述本体类包括：信息系统本体类、漏洞本体类、网络攻击本体类、网络防御措施本体类、安全状态本体类。

在一种可能的实施方式中，安全状态本体类包括机密性服务子类、完整性服务子类、身份认证服务子类、不可否认服务子类、访问控制服务子类。

在一种可能的实施方式中，所述本体类之间的关系包括：有漏洞、消除、装备、利用、妥协、子类、归因于、使用、可通信、缺少、更新、版本相同。

在一种可能的实施方式中，网络安全防御推理规则是使用SWRL所建立的。

在一种可能的实施方式中，网络安全防御推理规则的设计规则为：网络信息系统实体中的漏洞具有被攻击者破坏的潜在风险、网络信息系统的实体配置存在安全漏洞且安全漏洞被攻击实体设备也面临受到攻击的风险、在网络信息系统实体上配置的安全策略/措施没有满足安全防护需求或缺失的情况下网络信息系统的安全状态会受到威胁、网络信息系统中的子网节点1存在安全漏洞且子网节点1与其相邻的子网节点2之间进行通信，子网节点2存在被攻击的潜在风险。

第二方面，本申请提出了一种网络防御模型构建装置，所述装置包括：

本体建模单元，用于使用Web本体语言和语义Web规则语言进行本体建模得到网络安全动态防御模型；

关系构建单元，用于在所述网络安全动态防御模型中建立本体类和本体类之间的关系；

需求构建单元，用于基于本体类之间的关系根据网络安全防御需求构建网络安全防御推理规则。

在一种可能的实施方式中，所述网络安全动态防御模型：O＝(C,R,I,D,A)，其中C是整个本体集合，R是两个本体类之间的关系，I是本体类和本体类的实例之间关系的集合，D是本体实例属性集和数据类型，A是一组公理和规则的集合。

在一种可能的实施方式中，所述本体类包括：信息系统本体类、漏洞本体类、网络攻击本体类、网络防御措施本体类、安全状态本体类。

上述本申请主方案及其各进一步选择方案可以自由组合以形成多个方案，均为本申请可采用并要求保护的方案；且本申请，(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本申请方案后根据现有技术和公知常识可明了有多种组合，均为本申请所要保护的技术方案，在此不做穷举。

本申请公开了一种网络防御模型构建方法及装置，首先使用Web本体语言和语义Web规则语言进行本体建模得到网络安全动态防御模型，然后在网络安全动态防御模型中建立本体类和本体类之间的关系，最后基于本体类之间的关系根据网络安全防御需求构建网络安全防御推理规则。通过使用Web本体语言表示网络对抗环境下与安全防御相关的威胁监测、决策、响应、防御等四个方面的本体类和关系，使用语义Web规则语言设计了该模型的威胁发现和防御决策推理规则，经过验证，根据上述步骤建立完整的网络安全动态防御模型能够发现和分析网络信息系统中的网络安全漏洞、可能受到网络攻击的攻击模式及相应的缓解措施。

附图说明

图1示出了本申请实施例提出的一种网络防御模型构建方法的流程示意图。

图2示出了本申请实施例提出的网络安全动态防御模型的本体类和本体类之间的关系示意图。

图3示出了本申请实施例提供的一种推理规则的图形化示意图。

图4示出了本申请实施例所示出的威胁推理仿真结果示意图。

具体实施方式

以下通过特定的具体实例说明本申请的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本申请的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在现有技术中，网络防御的核心在于：如何根据实时变化的网络空间安全态势，快速调整防御资源的配属、服务功能、安全协议和安全策略，实现网络对抗防御资源动态重构，从基于安全策略的传统静态防御框架向基于威胁态势变化的动态防御转变。

因此，为了解决上述的问题，本申请实施例提出了一种网络防御模型构建方法及装置，通过使用Web本体语言表示网络对抗环境下与安全防御相关的威胁监测、决策、响应、防御等四个方面的本体类和关系，使用语义Web规则语言设计了该模型的威胁发现和防御决策推理规则，经过验证，根据上述步骤建立完整的网络安全动态防御模型能够发现和分析网络信息系统中的网络安全漏洞、可能受到网络攻击的攻击模式及相应的缓解措施，接下来对其进行详细说明。

请参照图1，图1示出了本申请实施例提出的一种网络防御模型构建方法的流程示意图，该方法包括以下各个步骤：

S100、使用Web本体语言和语义Web规则语言进行本体建模得到网络安全动态防御模型。

Web本体语言(Ontology Web Language，OWL)是一种可用于描述网络文档和应用之中所固有的那些类及其之间关系的语言。其功能在于为网络文档和应用中固有的类以及其间的逻辑关系提供描述，使得基于此技术的网络应用更加人性化和智能化，节省用户自身资源搜索时间并将这些处理交给计算机系统内部处理。语义Web规则语言(Semantic WebRule Language，SWRL)是由以语义的方式呈现规则的一种语言。

首先进行本体模型构建，使用Web本体语言和语义Web规则语言对提出的网络安全动态防御机制流程进行本体建模，其中网络安全动态防御模型：O＝(C,R,I,D,A)，其中C是整个本体集合，C＝C

R是两个本体类之间的关系，表示为：R＝{relationship about(c

I是本体类和本体类的实例之间关系的集合，其可以表示为：

D是本体实例属性集和数据类型，可以表示为：D＝{(c

A是一组公理和规则的集合，表示为：A＝{condition(C

S200、在网络安全动态防御模型中建立本体类和本体类之间的关系。

建立网络安全动态防御模型的本体类(包括子类)和本体类之间关系(类与类之间)，请参照图2，图2示出了本申请实施例提出的网络安全动态防御模型的本体类和本体类之间的关系示意图，图中有信息系统本体类、防御策略本体类、安全状态本体类、安全服务器组件类、网络脆弱性相关类和网络攻击本体类，其中标有圆点的矩形框代表本体类，带有菱形的矩形框代表实例，连接两个类的线上的框表示本体类之间的关系。

本体类包括：信息系统本体类、漏洞本体类、网络攻击本体类、网络防御措施本体类、安全状态本体类。

信息系统本体类：表示包括安全平台组件的系统组件集合，其包括网络、应用程序、路由器、交换机、管理中心、安全平台、安全资源服务节点、被入侵信息系统实体等子类。其中，安全平台子类包括终端安全平台、边界安全平台、骨干网安全平台子类。用Web本体语言描述：终端安全平台subClassOf安全平台；边界安全平台subClassOf安全平台。

漏洞本体类：表示安全对象中的一组系统漏洞，如安全漏洞或后门，描述网络信息系统可能存在的安全风险点，包括：

1、网络信息系统本体类中的网络实体在技术层和管理层存在的后门漏洞(操作系统漏洞，数据库漏洞，应用程序漏洞等)。这种漏洞可以被一些特定的攻击方法所利用，来发动网络安全攻击，破坏信息系统安全，甚至在最坏的情况下获得控制权。漏洞数据库采用通用漏洞披露(Common Vulnerabilities&Exposures，CVE)漏洞库进行获取。CVE由客户前置设备(Customer Premise Equipment，CPE)上可被利用的一系列通用弱点枚举(CommonWeakness Enumeration，CWE)组成，可以使用漏洞评分系统(Common VulnerabilityScoring System，CVSS)获得其严重程度评分。对所枚举的CVE，现有CVE知识库一般包含CVE编号、版本和一段文本描述。例如，从CVE漏洞库中获得了漏洞CVE-2015-5115位于AdobeAcrobat中。然后，将Adobe Acrobat映射到DBpedia和YAGO中对应的实体，查询得到与AdobeAcrobat相关的其他漏洞(CVE-2002-2435、CVE-2002-2436和CVE-2002-2437)。

2、网络信息系统内部的安全平台实体安全措施缺少，如终端安全平台不提供所需的加密参数资源、加密服务资源等，造成信息数据的机密性和完整性等风险。

3、内部安全平台的物理安全策略设置不足或不足，如骨干网络安全平台具有冗余接口和无安全控制策略等，这会造成病毒、网络攻击、非法访问等风险。此外，通过描述漏洞本体类和信息系统本体类之间的关系，可以跟踪安全状态。

在一种可能的实施例中，可以通过以下语句判断网络的漏洞。

CVE subClassOf(编号some xsd:string)；

CVE subClassOf(版本some xsd:string)；

CVE subClassOf(文本描述some xsd:string)；

CVE subClassOf(评分some CVSS)；

网络空间态势感知领域中软硬件平台枚举库所列的一些通用软硬件：边界安全平台subClassOf(包含some CPE)。

在一种可能的实施例中，可通过如下语句对网络脆弱性进行判断。

网络攻击本体类：表示网络信息系统面临的一组网络攻击，其主要的攻击是常见的安全性攻击，包括但不限于拒绝服务(DoS)、代码执行、缓冲区溢出、存储腐败、SQL注入、跨站点脚本(XSS)、Directory遍历、HTTP响应拆分、IP地址伪造、中间人攻击、嗅探攻击。如果结合相应的网络漏洞，就会存在安全风险。网络攻击本体类可用于对攻击者进行本体模型建模和推理配置。“Use”表示攻击者可以使用一些网络攻击来实现目标：

网络防御措施本体类：表示网络信息系统配置的一组安全防御策略，包括大量的安全服务集合和服务组件池，如访问控制组件、安全审计组件等。其用于描述针对当前网络对抗环境下的安全威胁所生成的安全防御实施方案，是一种包含多个动态编排的安全服务的集合。为了有效生成支撑方案，安全策略本体还包含了安全服务子类和安全组件池子类，其中安全组件池子类包含安全资源组件池子类，安全服务组件池子类以及安全策略组件池子类。安全策略本体允许新的安全服务组件通过聚合的方式进行动态集成，生成最优安全防御实施方案。

安全状态本体类：表示网络信息系统相应的安全属性(如机密性、完整性、可用性等)的安全状态集。表示网络信息系统当前是否存在安全风险，安全状态本体类包含五个子类，分别为机密性服务子类、完整性服务子类、身份认证服务子类、不可否认服务子类、访问控制服务子类。在模型中，可通过描述网络攻击来跟踪网络安全状态。网络攻击本体类和安全状态本体类之间的关系：

本体类之间的关系包括：有漏洞、消除、装备、利用、妥协、子类、归因于、使用、可通信、缺少、更新、版本相同，基于图2请参照下面表1，表1展示出了本体类之间的关系类别：

表1

S300、基于本体类之间的关系根据网络安全防御需求构建网络安全防御推理规则。

网络安全防御推理规则是使用SWRL所建立的。为了模拟攻击场景，使用语义网规则语言(Semantic Web Rule Language，SWRL)设计对应的网络安全防御推理规则，其既服务于网络对抗防御资源动态重构本体模型定义，又服务于网络安全领域实例数据描述。网络安全防御推理规则在补充本体描述语言的语义描述能力的同时，也可用于描述领域专家提供的启发式经验知识。

例如，记R

本申请实施例可以采用知识推理语句来发现系统资产、漏洞、安全机制和威胁之间的隐式关系。因此，可以设计不同的推理规则，根据相关已知条件发现网络信息系统中的潜在安全风险。

例如，建立“网络信息系统实体安全漏洞推理规则”，通过推理规则语句描述“网络信息系统的实体上的漏洞具有被攻击者攻破的潜在风险”：ISComponents(？ISC)^hasVulnerability(？ISC,？vul)^Vulnerability(？vul)^Attacker(？attacker)^Uses(？vul,？Network)->CompromisedBy(？ISC,？attacker)。请参照图3，图3示出了本申请实施例提供的一种推理规则的图形化示意图。图中实线箭头代表已知关系，虚线箭头代表推理得到的新知识。该条推理规则解读为：网络信息系统的实体如果存在安全漏洞，且该漏洞可以被攻击者配备的某种网络攻击手段所利用，则实体具有被攻击者攻破的潜在风险。

本申请实施例所使用的用于发现网络信息系统潜在安全风险的网络安全防御推理规则的设计规则为：网络信息系统实体中的漏洞具有被攻击者破坏的潜在风险、网络信息系统的实体配置存在安全漏洞且安全漏洞被攻击实体设备也面临受到攻击的风险、在网络信息系统实体上配置的安全策略/措施没有满足安全防护需求或缺失的情况下网络信息系统的安全状态会受到威胁、网络信息系统中的子网节点1存在安全漏洞且子网节点1与其相邻的子网节点2之间进行通信，子网节点2存在被攻击的潜在风险。

其中，推理规则1：网络信息系统实体中的漏洞具有被攻击者破坏的潜在风险：ISComponents(？ISC)^hasVulnerability(？ISC,？vul)^Vulnerability(？vul)^ExploitedWith(？Vul,？NA)^NetworkAttack(？NA)^Uses(？attacker,？NA)->CompromisedBy(？ISC,？attacker)。

推理规则2：如果网络信息系统中的实体配置中存在一些安全漏洞，且这些安全漏洞可以通过某种网络攻击手段攻击，例如操作系统漏洞，那么网络信息系统中配置有相同版本操作系统的实体设备也面临受到攻击的风险：ISComponents(？ISC_1)^CompromisedBy(？ISC_1,？attacker)^EqualVersion(？ISC_1,？ISC_2)->CompromisedBy(？ISC_2,？attacker)

推理规则3：如果网络信息系统实体上配置的安全策略/措施没有满足安全防护需求或缺失，那么该网络信息系统的安全状态会受到威胁：ISComponents(？ISC)^LackOf(？ISC,？str)^DefensiveMeasures(？str)^SecurityState(？sta)->AttributedTo(？ISC,？sta)

例如，网络信息系统的操作系统存在漏洞，且针对该漏洞的安全策略未设置或不存在；网络信息系统中骨干交换机存在冗余接口且该冗余接口没有设置安全控制策略，则与其相邻的骨干节点会面临被非法访问攻击的风险；局域网终端具有USB接口，未对接口进行认证措施。这些都是可能存在的安全风险。

推理规则4：如果网络信息系统中的子网节点1存在安全漏洞，且节点1与其相邻的子网节点2之间可以进行通信，那么节点2也存在被攻击的潜在风险：ISComponents(？ISC_1)^hasVulnerability(？ISC_1,？vul)^CommunicatesTo(？ISC_1,？ISC_2)->hasVulnerability(？ISC_2,？vul)。

通过上述四条推理规则的描述，可以对网络信息系统中的威胁信息、漏洞、安全风险等进行全面的展示。基于本体模型的推理可以得到网络拓扑结构安全态势分析的结果，实现“信息系统实体→漏洞→威胁影响→攻击模式”整个网络信息系统的威胁分析。

接下来对上述的网络防御模型构建方法进行仿真验证：在试验设计与环境构建中采用了斯坦福大学开发的Protégé(5.5.0版)作为本体平台，采用OWL语言类建立本体模型，并选用推理机HermiT(Version1.4.3.456)作为安全威胁推理引擎来验证构建模型知识体系的一致性，能够正确推导出隐含的知识及关联关系，即基于推理后的知识库发现和分析网络信息系统中的网络安全漏洞、可能受到网络攻击的攻击模式及相应的缓解措施。

接下来说明本申请中提出的本体模型可用于安全威胁推理和决策推理的合理性和有效性，展示本发明中本体模型的主要性能优势，在一个真实的网络信息系统拓扑上进行了仿真实验，其包括4个骨干网络节点和3个用户子网，每个用户子网包含相应的计算机终端或数据中心终端。整个仿真过程主要面向系统漏洞、安全措施、安全策略来开展。将其分为三个阶段对系统中的所有安全威胁进行推理分析，其中涉及四个推理规则语句。

请参照图4，图4示出了本申请实施例所示出的威胁推理仿真结果示意图，其展示了网络信息系统内部实体的网络威胁情况以及漏洞、安全策略和安全措施的最新信息，背景项代表推理发现的隐式知识。基于4条推理规则的3层安全威胁分析：

第一层推理分析：通过推理规则1，得到系统中实体潜在的安全漏洞：

1、由于Cisco Small Business RV系列路由器，骨干网络平台面临受到攻击的风险。

2、用户子网1的终端计算平台1由于安装了Microsoft Windows HTTP协议栈，可能容易受到攻击者发起的权限和访问控制攻击，风险水平为“critical”，CVSS为9.8。

3、用户子网2中的数据中心由于安装Oracle WebLogic服务器，可能受到攻击者发起的权限和访问控制攻击的攻击。风险水平为“medium”，CVSS为6.3。

4、用户子网3中的数据中心由于安装了Apache CouchDB数据库，可能受到攻击者发起的权限和访问控制攻击。风险水平为“critical”，CVSS为9.8。

第二层推理分析：通过推理规则2，得出系统中由于缺乏安全措施或安全策略不足所造成的安全风险。由于缺乏边界安全平台(如防火墙)，用户子网1对系统的安全状态(如机密性、完整性、身份验证、不可否认性和访问控制)带来严重的威胁。

第三层分析：通过推理规则3和规则4，得到系统中由于内在关联关系或相同配置所存在的潜在安全隐患和风险：

1、用户子网1中存在漏洞，推测用户子网1具有可利用的漏洞和被攻击者攻击的风险。

2、用户子网1中的终端计算机2由于安装了与用户子网1的终端计算平台1相同的Microsoft Windows操作系统版本，导致用户子网1中的终端计算机2面临与计算机1相同的权限和访问控制攻击。风险水平为“critical”，CVSS为9.8。同时，由于缺乏USB接口协议认证措施的安全策略，安全状态存在身份认证风险。

3、用户子网3中的终端计算机1由于安装了与用户子网1的终端计算平台1相同的Microsoft Windows操作系统版本，导致用户子网3中的终端计算机1面临与用户子网1的终端计算平台1相同的权限和访问控制攻击。风险水平为“critical”，CVSS为9.8。同时，由于缺乏安全策略“视频加密服务”，安全状态存在机密性的风险。

4、用户子网1和用户子网2可以在正常情况下通信，由于攻击者发起的权限和访问控制攻击的潜在风险，导致用户子网2也面临同样的安全风险。

接下来请参照表2，表2展示了推理分析的仿真结果：

与现有技术相比，本申请实施例具有以下有益效果：

第一、建立了基于本体的网络安全动态防御五元组模型。提出了一种基于本体的网络安全动态防御模型构建方法，该方法使用Web本体语言OWL构建了5个在网络安全防御中的威胁监测、响应、决策、防御四个主要流程中涉及的主要本体类，构建了12个关联关系。使用语义Web规则语言SWRL建立了4条基于本体的威胁发现和防御决策推理规则，并结合4条不同的推理规则建立了符合实际使用方式的3个推理分析过程，利用该规则实现网络威胁事件的安全处置。

第二、将数量众多的安全威胁、系统硬件、系统软件、安全防护平台、安全防御组件、推理规则进行集成，形成动态、弹性、灵活的“监测-决策-响应-防御”防御体系，提供动态防御能力，进一步促进了网络空间防御向动态、主动防御方向转变。在面向未来网络空间形态表现为多种网络信息系统之间(如电力网、任务网、业务网、供应链网等)的相互接入和深度融合的场景下，该方法不仅可以应用于解决单个的网络信息系统安全防御决策问题，同时还可以应用于解决包含多个网络的复杂系统的安全防御决策问题，从而为复杂网络系统提供动态安全防御决策支撑。

因此，本申请所提出的网络安全动态防御机制的优势在于：面向复杂多变的攻击，可以及时感知、发现当前网络信息系统中的网络安全威胁，动态生成安全防御决策知识，实时改变网络空间的安全态势，指导网络管理员快速调整防御决策资源的配置结构，包括参数、服务、协议和策略，保持软件和设备免受网络攻击威胁，减少数据泄露的风险。实现从传统的基于安全策略的静态防御向基于威胁态势变化的动态防御模式的转变。

下面给出一种网络防御模型构建装置可能的实现方式，其用于执行上述实施例及可能的实现方式中示出的网络防御模型构建方法各个执行步骤和相应的技术效果，该装置包括：

本体建模单元，用于使用Web本体语言和语义Web规则语言进行本体建模得到网络安全动态防御模型；

关系构建单元，用于在网络安全动态防御模型中建立本体类和本体类之间的关系；

需求构建单元，用于基于本体类之间的关系根据网络安全防御需求构建网络安全防御推理规则。

在一种可能的实施例中，网络安全动态防御模型：O＝(C,R,I,D,A)，其中C是整个本体集合，R是两个本体类之间的关系，I是本体类和本体类的实例之间关系的集合，D是本体实例属性集和数据类型，A是一组公理和规则的集合。

在一种可能的实施例中，本体类包括：信息系统本体类、漏洞本体类、网络攻击本体类、网络防御措施本体类、安全状态本体类。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本申请的保护范围之内。