網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知研究

趙淦森，吳杰超，陳梓豪，任雪琦，譚昊翔，馬朝輝，

（1. 華南師范大學(xué)計(jì)算機(jī)學(xué)院，廣東 廣州 510631；2. 廣東外語(yǔ)外貿(mào)大學(xué)思科信息學(xué)院，廣東 廣州 510006）

網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知研究

趙淦森1，吳杰超1，陳梓豪1，任雪琦1，譚昊翔1，馬朝輝1，2

（1. 華南師范大學(xué)計(jì)算機(jī)學(xué)院，廣東 廣州 510631；2. 廣東外語(yǔ)外貿(mào)大學(xué)思科信息學(xué)院，廣東 廣州 510006）

網(wǎng)絡(luò)空間是繼海、陸、空、太空后的第五大主權(quán)空間，其安全與國(guó)家安全緊密相關(guān)。如何在網(wǎng)絡(luò)空間中及時(shí)發(fā)現(xiàn)安全威脅、防御攻擊、溯源攻擊等是當(dāng)下面臨的困境之一。對(duì)網(wǎng)絡(luò)空間中多源、異構(gòu)、割裂的資產(chǎn)，在構(gòu)建可信IaaS的基礎(chǔ)上，通過基于本體論的鍵聯(lián)數(shù)據(jù)語(yǔ)義網(wǎng)關(guān)聯(lián)技術(shù)，構(gòu)建網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型，在保證融合數(shù)據(jù)訪問控制安全的同時(shí)，對(duì)網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行綜合分析，以感知網(wǎng)絡(luò)空間的安全態(tài)勢(shì)，對(duì)網(wǎng)絡(luò)空間治理具有一定的參考意義。

網(wǎng)絡(luò)空間安全；態(tài)勢(shì)感知；本體論；語(yǔ)義網(wǎng)

1 引言

在信息大爆炸的當(dāng)下，網(wǎng)絡(luò)空間治理面臨3個(gè)問題：1） 超大規(guī)模的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和資源，如何實(shí)現(xiàn)有效的管理和利用？2） 網(wǎng)絡(luò)空間中巨量的數(shù)據(jù)，如何將與業(yè)務(wù)相關(guān)的價(jià)值提取出來(lái)并且利用好？3） 如何保障網(wǎng)絡(luò)空間中的資產(chǎn)安全？為應(yīng)對(duì)網(wǎng)絡(luò)空間安全治理挑戰(zhàn)，研究者們已取得一些成果。

在網(wǎng)絡(luò)空間資產(chǎn)語(yǔ)義化方面，1998年，Beerners-Lee首次提出語(yǔ)義網(wǎng)（SW，semantic Web）［1］，語(yǔ)義網(wǎng)給網(wǎng)絡(luò)空間中的數(shù)據(jù)添加語(yǔ)義標(biāo)簽，方便數(shù)據(jù)分類和分析挖掘。隨著語(yǔ)義網(wǎng)的發(fā)展，缺少關(guān)聯(lián)關(guān)系的語(yǔ)義數(shù)據(jù)已經(jīng)不能滿足業(yè)務(wù)需求，Berners-Lee［2］在語(yǔ)義網(wǎng)的基礎(chǔ)上提出了鍵聯(lián)數(shù)據(jù)，鍵聯(lián)數(shù)據(jù)使用URI來(lái)唯一標(biāo)識(shí)資源，基于語(yǔ)義網(wǎng)，強(qiáng)調(diào)數(shù)據(jù)關(guān)聯(lián)性。建立數(shù)據(jù)源鏈接的方法分為：基于規(guī)則、基于圖算法以及基于屬性的算法等［3］?；谡Z(yǔ)義網(wǎng)的理論體系——本體論，為構(gòu)建鍵聯(lián)數(shù)據(jù)提供了方法論和模型［4］。本體論里互相連接的資產(chǎn)本體可以作為資產(chǎn)的標(biāo)準(zhǔn)表示形式［5］。在本體論應(yīng)用方面，文獻(xiàn)［6］中對(duì)安全信息和事件管理（SIEM，security information and event management）中的信息和操作創(chuàng)建了本體模型。文獻(xiàn)［7］創(chuàng)建了SIEM的漏洞本體數(shù)據(jù)模型以及混合架構(gòu)本體庫(kù)。文獻(xiàn)［8］描述了SIMS的知識(shí)庫(kù)本體?；谟?jì)算機(jī)的安全性和可靠性，可以設(shè)計(jì)安全本體［9］?；诠舻那凹秃蠹梢詾楣粜袨榻⒈倔w［10］。利用本體模型可檢測(cè)攻擊行為的上下文［11］?；谲浖┒唇⒈倔w模型，可對(duì)漏洞進(jìn)行靜態(tài)分析［12］。針對(duì)資源訪問控制，也可以構(gòu)建安全數(shù)據(jù)本體模型［13］。

在網(wǎng)絡(luò)空間安全管理方面，文獻(xiàn)［14］中描述了安全管理平臺(tái)的主要組成部分。針對(duì)事件進(jìn)行分析是目前信息安全管理平臺(tái)進(jìn)行關(guān)聯(lián)分析的主要分析方法［15］。其中，對(duì)于分布式入侵行為，時(shí)間模式匹配主要針對(duì)時(shí)間維度進(jìn)行分析［16］?；赟IEM 的數(shù)據(jù)模型，混合本體存儲(chǔ)架構(gòu)，可以利用描述邏輯對(duì)資源做形式化的描述［17］。保障安全的重要方法之一是主動(dòng)防御，利用多種安全工具對(duì)系統(tǒng)進(jìn)行掃描和監(jiān)控，通過科學(xué)的分析方法找到系統(tǒng)漏洞，提前采取行動(dòng)提高系統(tǒng)的安全性［18］。常見的安全工具［19］分為掃描工具、監(jiān)控工具（如ntop、tcpdump等［20］）、入侵檢測(cè)工具（如NFR、Snort等［21］）和防火墻工具。安全管理平臺(tái)統(tǒng)一管理和運(yùn)營(yíng)分離的安全體系和工具，通過集成各種安全工具綜合管理系統(tǒng)［22］。

在網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施方面，云計(jì)算技術(shù)將大規(guī)模的IT物理資源虛擬化，實(shí)現(xiàn)大資源管理，大能力構(gòu)建，用戶以租戶的角色通過互聯(lián)網(wǎng)使用這些資源和服務(wù)。云計(jì)算面向用戶的服務(wù)方式主要有 3種：1） 基礎(chǔ)設(shè)施即服務(wù)（IaaS），如國(guó)內(nèi)的阿里云、盛大云，國(guó)外的亞馬遜云；2） 平臺(tái)即服務(wù)（PaaS），如國(guó)內(nèi)的新浪云、國(guó)外的GAE；3） 軟件即服務(wù)（SaaS），如Gmail。用戶不必再購(gòu)置機(jī)器、不必再購(gòu)買軟件光盤，取而代之的是通過互聯(lián)網(wǎng)去租用云計(jì)算提供的這些服務(wù)。將海量的數(shù)據(jù)清洗、融合、分析挖掘，結(jié)合相關(guān)業(yè)務(wù)，可以讓原本孤立的、多源的、異構(gòu)的數(shù)據(jù)產(chǎn)生巨大的價(jià)值。

2 網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知挑戰(zhàn)

1） 采集的數(shù)據(jù)多源、異構(gòu)、割裂

目前，網(wǎng)絡(luò)空間的安全管理基于多種安全工具，如nmap、awvs、openvas、ossec等，數(shù)據(jù)采集方式的多元化和網(wǎng)絡(luò)監(jiān)測(cè)方式的多樣化為網(wǎng)絡(luò)空間態(tài)勢(shì)感知提供豐富的數(shù)據(jù)資源。然而，網(wǎng)絡(luò)空間數(shù)據(jù)源很多，不同數(shù)據(jù)源產(chǎn)生的數(shù)據(jù)結(jié)構(gòu)不一致，不同安全工具所獲得的數(shù)據(jù)結(jié)構(gòu)也不一致。由于融合和關(guān)聯(lián)多層次數(shù)據(jù)方法的缺失，使對(duì)網(wǎng)絡(luò)空間安全監(jiān)控獲得的多維度的數(shù)據(jù)變孤立、割裂。這些問題對(duì)于綜合多方面的數(shù)據(jù)分析網(wǎng)絡(luò)空間安全態(tài)勢(shì)造成了一定的挑戰(zhàn)。

2） 網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施不可信

云計(jì)算時(shí)代，IaaS將云計(jì)算中心的物理資源轉(zhuǎn)化為由虛擬機(jī)組成的資源池，實(shí)施資源池化管理。這種資源池化管理方式將底層物理節(jié)點(diǎn)的管理細(xì)節(jié)對(duì)外隱藏。從安全的角度上看，資源池化管理模式限制了用戶鑒別部署服務(wù)的虛擬機(jī)是否由可信的物理節(jié)點(diǎn)承載的能力，使用戶對(duì)從IaaS云服務(wù)商獲取的虛擬機(jī)存在固有的不信任。網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知平臺(tái)應(yīng)該搭建于可信的基礎(chǔ)設(shè)施之上。

3） 用戶身份難以鑒別

一方面，網(wǎng)絡(luò)空間用戶的匿名化造成即使通過攻擊溯源找到了攻擊者的IP地址、MAC地址等信息，仍難以確認(rèn)攻擊者的身份。另一方面，攻擊者可以通過僵尸機(jī)、肉雞等來(lái)實(shí)施攻擊行動(dòng)，隱藏自己的身份，進(jìn)一步加大了網(wǎng)絡(luò)空間攻擊的精確溯源難度。

4） 融合數(shù)據(jù)時(shí)訪問控制沖突

面對(duì)在網(wǎng)絡(luò)空間中采集到的多源、異構(gòu)、割裂的數(shù)據(jù)，為了整合資源，解決信息孤島問題，需要進(jìn)行數(shù)據(jù)融合。但在數(shù)據(jù)融合過程中，會(huì)遇到如何保證數(shù)據(jù)機(jī)密性的問題。在數(shù)據(jù)融合過程中，需要保護(hù)數(shù)據(jù)不被非授權(quán)用戶訪問，避免數(shù)據(jù)泄露。此外，不同的數(shù)據(jù)源使用各自的訪問控制策略，面對(duì)融合后的數(shù)據(jù)，不能直接使用原來(lái)某一數(shù)據(jù)源的訪問控制策略，需要產(chǎn)生新的融合訪問控制策略。其中，如何解決融合過程中的訪問控制策略沖突問題是網(wǎng)絡(luò)空間數(shù)據(jù)關(guān)聯(lián)分析的一個(gè)挑戰(zhàn)。

3 網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型

3.1 模型簡(jiǎn)介

網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型如圖1所示。融合云計(jì)算技術(shù)和大數(shù)據(jù)技術(shù)，在構(gòu)建可信IaaS的基礎(chǔ)上，通過基于本體論的鍵聯(lián)數(shù)據(jù)語(yǔ)義網(wǎng)關(guān)聯(lián)技術(shù)，構(gòu)建網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型，在保證融合數(shù)據(jù)訪問控制安全和融合數(shù)據(jù)搜索安全的同時(shí)，對(duì)網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行綜合分析，以感知網(wǎng)絡(luò)空間的安全態(tài)勢(shì)。

3.2 模型關(guān)鍵技術(shù)

3.2.1 云計(jì)算池化信任管理

為了構(gòu)建可信的IaaS，支撐上層的網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知平臺(tái)。根據(jù)面向資源池化管理的信任管理模型，設(shè)計(jì)由具有匿名信任關(guān)系的可信的物理機(jī)組成的可信集群和能夠提供可信虛擬機(jī)的可信資源池。將IaaS云服務(wù)中心的物理機(jī)組織成為物理主機(jī)集群，以集群為單位承載用戶的軟件服務(wù)。集群與用戶服務(wù)形成一對(duì)一的對(duì)應(yīng)關(guān)系。以一種匿名的群簽名密碼系統(tǒng)為依托，在集群內(nèi)部的物理主機(jī)之間構(gòu)建起具有匿名的可驗(yàn)證的信任關(guān)系，將普通的物理主機(jī)集群變?yōu)槲锢碇鳈C(jī)之間具有信任關(guān)系的可信集群，實(shí)現(xiàn)可信集群內(nèi)物理主機(jī)的信任關(guān)系的建立、驗(yàn)證和撤銷?？尚偶耗軌驖M足資源池化管理模式下對(duì)物理主機(jī)匿名的信任管理需求，允許在物理主機(jī)之間建立信任關(guān)系同時(shí)又實(shí)現(xiàn)對(duì)物理主機(jī)真實(shí)身份的隱藏。以可信集群為基礎(chǔ)，構(gòu)建能夠提供可信虛擬機(jī)的可信資源池?？尚刨Y源池讓用戶參與到可信資源池的創(chuàng)建過程，將創(chuàng)建可信資源池的責(zé)任由用戶和IaaS提供者共同承擔(dān)。根據(jù)資源的實(shí)時(shí)安全屬性和基準(zhǔn)安全屬性，用戶在使用虛擬機(jī)之前，先通過虛擬機(jī)提供的信任驗(yàn)證接口獲取虛擬機(jī)的實(shí)時(shí)安全屬性，然后與虛擬機(jī)的基準(zhǔn)安全屬性對(duì)比，如果一致就表明虛擬機(jī)是可信的；否則，虛擬機(jī)就是不可信的。另外，根據(jù)虛擬機(jī)遷移協(xié)議能夠在遷移源節(jié)點(diǎn)和遷移目的節(jié)點(diǎn)建立可靠的傳輸通道，能夠抵抗中間人攻擊。

圖1 網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型

3.2.2 融合數(shù)據(jù)搜索的多級(jí)安全模型

為了解決融合網(wǎng)絡(luò)空間數(shù)據(jù)時(shí)出現(xiàn)的訪問控制沖突問題，設(shè)計(jì)面向多級(jí)安全訪問控制的數(shù)據(jù)融合模型。假設(shè)所有數(shù)據(jù)源都基于BLP訪問控制模型，即訪問策略由Lattice、安全級(jí)別映射函數(shù)以及訪問矩陣3個(gè)部分組成。將訪問策略融合的Lattice合并轉(zhuǎn)化為Hasse圖的合并，訪問策略融合的3個(gè)步驟分別為：初始處理、沖突處理和化簡(jiǎn)處理。在Hasse圖中添加關(guān)聯(lián)線段、刪除沖突線段并進(jìn)行化簡(jiǎn)。映射函數(shù)轉(zhuǎn)換是根據(jù)原始Hasse圖與融合后Hasse圖上的節(jié)點(diǎn)進(jìn)行映射；而策略融合中的訪問矩陣融合是對(duì)訪問用戶和數(shù)據(jù)集的擴(kuò)充合并。對(duì)于融合數(shù)據(jù)的安全級(jí)別標(biāo)識(shí)問題，根據(jù)原始數(shù)據(jù)集之間的關(guān)系選擇最小上界安全級(jí)別方法，保證其在原有數(shù)據(jù)集都被訪問的情況下新融合數(shù)據(jù)集才允許訪問。通過數(shù)據(jù)機(jī)密性進(jìn)行形式化定義和理論推導(dǎo)，可以證明基于多級(jí)安全的融合數(shù)據(jù)搜索模型是正確的、安全的。結(jié)合訪問策略融合中的3個(gè)處理步驟，可以證明融合策略與原始的訪問策略具有一致性。

3.2.3 基于鍵聯(lián)數(shù)據(jù)語(yǔ)義關(guān)聯(lián)分析的安全管理

為了對(duì)割裂的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、攻擊溯源以及管理，基于本體論和鍵聯(lián)數(shù)據(jù)的理論依據(jù)，為安全數(shù)據(jù)融合和關(guān)聯(lián)分析構(gòu)建安全本體模型，實(shí)現(xiàn)基于鍵聯(lián)數(shù)據(jù)語(yǔ)義關(guān)聯(lián)分析的安全管理。首先，根據(jù)綜合分析安全管理的需求以及安全數(shù)據(jù)的特征，利用本體論和鍵聯(lián)數(shù)據(jù)建立安全本體模型，通過計(jì)算公共屬性的語(yǔ)義距離的方式，基于屬性和規(guī)則構(gòu)建安全數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，融合不同數(shù)據(jù)源的安全數(shù)據(jù)，關(guān)聯(lián)同一實(shí)體的不同實(shí)例數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的整合和關(guān)聯(lián)；其次，針對(duì)安全本體模型實(shí)例化的數(shù)據(jù)，從不同維度對(duì)資產(chǎn)的關(guān)聯(lián)數(shù)據(jù)進(jìn)行分析，通過設(shè)定基于屬性和語(yǔ)義距離的方式關(guān)聯(lián)資產(chǎn)與其他實(shí)體，關(guān)聯(lián)不同數(shù)據(jù)源的同一資產(chǎn)實(shí)體，實(shí)現(xiàn)去冗余的過程；最后，結(jié)合安全本體模型，對(duì)鍵聯(lián)數(shù)據(jù)進(jìn)行語(yǔ)義關(guān)聯(lián)分析，設(shè)計(jì)安全本體實(shí)例化算法和溯源分析算法，基于資產(chǎn)的日志語(yǔ)義屬性對(duì)日志進(jìn)行密度聚類，從日志的語(yǔ)義屬性中分析資產(chǎn)狀態(tài)，根據(jù)資產(chǎn)日志從鍵聯(lián)數(shù)據(jù)中找到資產(chǎn)異常日志相關(guān)數(shù)據(jù)，從多角度的語(yǔ)義關(guān)聯(lián)關(guān)系得到發(fā)生異常狀態(tài)的關(guān)聯(lián)數(shù)據(jù)。

3.2.4 基于語(yǔ)義網(wǎng)技術(shù)的安全態(tài)勢(shì)評(píng)估

為了對(duì)網(wǎng)絡(luò)空間安全態(tài)勢(shì)進(jìn)行客觀全面的評(píng)估，運(yùn)用語(yǔ)義網(wǎng)技術(shù)，將多源異構(gòu)的安全數(shù)據(jù)進(jìn)行有效的融合及語(yǔ)義化，對(duì)大規(guī)模分布式基礎(chǔ)設(shè)施系統(tǒng)進(jìn)行形式化的描述，將物理世界的分布式系統(tǒng)以更有利于機(jī)器理解的 RDF圖形式呈現(xiàn)到信息世界中。并在此基礎(chǔ)上運(yùn)用邏輯推理推導(dǎo)分布式系統(tǒng)中資產(chǎn)的安全態(tài)勢(shì)情況，進(jìn)而得到整個(gè)分布式基礎(chǔ)設(shè)施系統(tǒng)的安全態(tài)勢(shì)情況。首先，運(yùn)用語(yǔ)義網(wǎng)技術(shù)將收集到的數(shù)據(jù)語(yǔ)義化，從而對(duì)分布式系統(tǒng)進(jìn)行形式化描述。構(gòu)建針對(duì)分布式系統(tǒng)態(tài)勢(shì)評(píng)估的安全本體，根據(jù)基于語(yǔ)義網(wǎng)技術(shù)的原始數(shù)據(jù)實(shí)例化算法和關(guān)聯(lián)跨數(shù)據(jù)集的資產(chǎn)實(shí)例的關(guān)聯(lián)規(guī)則，合并同一資產(chǎn)實(shí)體的資產(chǎn)實(shí)例。其次，基于推理規(guī)則推導(dǎo)分布式基礎(chǔ)設(shè)施系統(tǒng)中資產(chǎn)的安全態(tài)勢(shì)情況，根據(jù)推理Host的安全態(tài)勢(shì)的推理規(guī)則模型，匯總Host安全態(tài)勢(shì)得出網(wǎng)絡(luò)空間安全態(tài)勢(shì)。

4 模型實(shí)現(xiàn)

1） 可信IaaS搭建

基于 OpenStack構(gòu)建可信集群和可信資源池。用戶與IaaS資源之間的信任認(rèn)證關(guān)系如圖2所示。信任驗(yàn)證原理就是用戶在使用虛擬機(jī)之前，先獲取虛擬機(jī)和虛擬機(jī)所在集群成員主機(jī)（物理機(jī)）的實(shí)時(shí)安全屬性；然后分別對(duì)比虛擬機(jī)的實(shí)時(shí)安全屬性和虛擬機(jī)的基準(zhǔn)屬性、集群成員主機(jī)的實(shí)時(shí)安全屬性和基準(zhǔn)安全屬性，如果都一致，說明虛擬機(jī)是可信的，虛擬機(jī)所在物理機(jī)也是可信的。

2） 數(shù)據(jù)管理模塊

數(shù)據(jù)管理模塊基于jena框架及TDB存儲(chǔ)模塊設(shè)計(jì)與鍵聯(lián)數(shù)據(jù)操作相關(guān)的接口，包括本體模型的創(chuàng)建、提取，鍵聯(lián)數(shù)據(jù)的增加、刪除、修改等操作，以及鍵聯(lián)數(shù)據(jù)規(guī)則推理接口。

圖2 可信IaaS的資源信任驗(yàn)證

3） 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊集成多種安全掃描工具，負(fù)責(zé)掃描和監(jiān)控網(wǎng)絡(luò)空間環(huán)境，采集相關(guān)數(shù)據(jù)（如資產(chǎn)分布情況、目前的開放情況、提供的服務(wù)信息、當(dāng)前的運(yùn)行狀態(tài)、存在的漏洞等信息）。該模塊程序根據(jù)一個(gè)預(yù)設(shè)的頻率f定時(shí)執(zhí)行，周期性地采集和更新網(wǎng)絡(luò)空間中的資產(chǎn)狀態(tài)（如圖3所示）。

圖3 數(shù)據(jù)采集模塊

4） 語(yǔ)義化模塊

語(yǔ)義化模塊對(duì)數(shù)據(jù)采集模塊中不同的安全工具采集回來(lái)的數(shù)據(jù)進(jìn)行融合，針對(duì)安全數(shù)據(jù)設(shè)計(jì)安全本體模型，用融合后的數(shù)據(jù)實(shí)例化安全概念，根據(jù)規(guī)則對(duì)實(shí)例數(shù)據(jù)設(shè)定關(guān)聯(lián)關(guān)系，為數(shù)據(jù)添加語(yǔ)義標(biāo)簽，將關(guān)聯(lián)后的數(shù)據(jù)以三元組的方式存儲(chǔ)為鍵聯(lián)數(shù)據(jù)（如圖4所示）。

圖4 語(yǔ)義化模塊

5） 分析模塊

分析模塊利用鍵聯(lián)數(shù)據(jù)對(duì)融合后的安全日志數(shù)據(jù)進(jìn)行分析，使用基于語(yǔ)義屬性密度聚類的算法對(duì)日志內(nèi)容進(jìn)行分析，并在鍵聯(lián)數(shù)據(jù)中回溯異常日志相關(guān)的數(shù)據(jù)，對(duì)其關(guān)聯(lián)數(shù)據(jù)進(jìn)行分析以得到異常的相關(guān)信息，最終發(fā)現(xiàn)網(wǎng)絡(luò)空間中的異常事件（如圖5所示）。

圖5 分析模塊

6） 可視化模塊

可視化模塊通過Web網(wǎng)頁(yè)為系統(tǒng)提供友好的可視化界面，用戶可以在界面上設(shè)定掃描的工具、目標(biāo)監(jiān)控的網(wǎng)絡(luò)范圍、采集數(shù)據(jù)的頻率等參數(shù)，同時(shí)為用戶提供了該網(wǎng)絡(luò)范圍相關(guān)的鍵聯(lián)數(shù)據(jù)關(guān)系情況，以及資產(chǎn)分析結(jié)果，方便用戶查看相關(guān)的數(shù)據(jù)（如圖6所示）。

圖6 可視化模塊

5 結(jié)束語(yǔ)

沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，網(wǎng)絡(luò)空間作為繼海、陸、空、太空后的第五大主權(quán)空間，其安全與國(guó)家安全緊密相關(guān)。云計(jì)算技術(shù)能夠有效地管理和利用超級(jí)大規(guī)模的基礎(chǔ)設(shè)施跟資源，大數(shù)據(jù)技術(shù)在巨量的數(shù)據(jù)中將與業(yè)務(wù)相關(guān)的價(jià)值給提取出來(lái)并且利用好。融合云計(jì)算和大數(shù)據(jù)技術(shù)，在網(wǎng)絡(luò)空間中發(fā)現(xiàn)資產(chǎn)、對(duì)資產(chǎn)進(jìn)行提取、分析挖掘，進(jìn)而掌握整個(gè)網(wǎng)絡(luò)空間的安全態(tài)勢(shì)，有助于為網(wǎng)民提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境、有助于為企業(yè)保駕護(hù)航、有助于為國(guó)家發(fā)現(xiàn)和防御網(wǎng)絡(luò)攻擊保障國(guó)家網(wǎng)絡(luò)空間安全提供支撐。但無(wú)論是哪一種技術(shù)，其本身都存在著一定的安全問題。本文提出的網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型，融合云計(jì)算技術(shù)和大數(shù)據(jù)技術(shù)，在構(gòu)建可信IaaS的基礎(chǔ)上，通過基于本體論的鍵聯(lián)數(shù)據(jù)語(yǔ)義網(wǎng)關(guān)聯(lián)技術(shù)，構(gòu)建網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知模型，在保證融合數(shù)據(jù)訪問控制安全和融合數(shù)據(jù)搜索安全的同時(shí)，對(duì)網(wǎng)絡(luò)空間資產(chǎn)進(jìn)行綜合分析，以感知網(wǎng)絡(luò)空間的安全態(tài)勢(shì)，對(duì)網(wǎng)絡(luò)空間安全治理有一定的參考意義。然而目前本文所能獲得的網(wǎng)絡(luò)空間資產(chǎn)有限，非實(shí)時(shí)發(fā)現(xiàn)與分析，數(shù)據(jù)處理規(guī)模較小，未來(lái)可以改進(jìn)的地方還很多。

［1］ BERNERS-LEE T， HENDLER J， LASSILA O. The semantic Web［J］. Scientific American， 2001， 284（5）: 28-37.

［2］ BERNERS-LEE T， CHEN Y， CHILTON L， et al. Tabulator: exploring and analyzing linked data on the semantic Web［C］//The 3rd International Semantic Web User Interaction Workshop. 2006.

［3］ POULOVASSILIS A， WOOD P T. Combining approximation and relaxation in semantic Web path queries［M］//The Semantic Web-ISWC 2010. Berlin Heidelberg: Springer， 2010: 631 -646.

［4］ MCCRAE J， SPOHR D， CIMIANO P. Linking lexical resources and ontologies on the semantic Web with lemon［M］//The Semantic Web: Research and Applications. Berlin Heidelberg: Springer， 2011: 245-259.

［5］ BIRKHOLZ H， SIEVERDINGBECK I， SOHR K， et al. IO: an interconnected asset ontology in support of risk management processes［C］//The 7th International Conference on Availability， Reliability and Security （ARES）. 2012: 534-541.

［6］ GRANADILLO G G， MUSTAPHA Y B， HACHEM N， et al. An ontology-based model for siem environments［M］//Global Security，Safety and Sustainability & e-Democracy. Berlin Heidelberg: Springer， 2012: 148-155.

［7］ KOTENKO I， POLUBELOVA O， SAENKO I. The ontological approach for siem data repository implementation［C］//2012 IEEE International Conference on Green Computing and Communications. 2012: 761-766.

［8］ DEVERGARA J E L， VILLAGRá V A， HOLGADO P， et al. A semantic Web approach to share alerts among security information management systems［M］//Web Application Security. Berlin Heidelberg: Springer， 2010: 27-38.

［9］ EKELHART A， FENZ S， KLEMEN M， et al. Security ontologies: improving quantitative risk analysis［C］//International Conference on System Sciences. 2007 :156a.

［10］ AHMAD S， MORTEZA A. Predicting network attacks using ontology-driven inference［J］. International Journal of Information and Communication Technology， 2013， 4（9）:13.

［11］ RAZZAQ A， ANWAR Z， AHMAD H F， et al. Ontology for attack detection: an intelligent approach to Web application security［J］. computers & security， 2014， 45: 124-146.

［12］ YU L， WU S Z， GUO T， et al. Ontology model-based static analysis of security vulnerabilities［M］//Information and Communications Security. Berlin Heidelberg :Springer ， 2011: 330-344.

［13］ MENG Y L，YIN G S，WANG H Q. Study on the ontology modeling method of Heterogeneous security data integration［J］. Computer Engineering and Applications， 2010， 46（19）:138-140.

［14］ BIDOU R. Security operation center concepts & implementation［EB/OL］. http://www.iv2-technologies. com.

［15］ YUAN S， ZOU C. The security operations center based on correlation analysis［C］//International Conference on Communication Software and Networks （ICCSN）. 2011: 334-337.

［16］ ZHANG D， ZHANG D. The analysis of event correlation in security operations center［C］//International Conference on Intelligent Computation Technology and Automation （ICICTA）. 2011（2）: 1214-1216.

［17］ KOTENKO I， POLUBELOVA O， SAENKO I. The ontological approach for siem data repository implementation［C］//Green Computing and Communications （GreenCom）. 2012: 761 -766.

［18］ KUMAR G， KUMAR K. Network security-an updated perspective［J］. Systems Science & Control Engineering: An Open Access Journal， 2014， 2（1）: 325-334.

［19］ KAUR A， SALUJA M. Study of network security along with network security tools and network simulators［J］. International Journal of Computer Science & Information Technologies， 2014， 5（1）: 88-92.

［20］ BEJTLICH R. The practice of network security monitoring: understanding incident detection and response［M］. No Starch Press，2013:100-120.

［21］ ANAND V. Intrusion detection: tools， techniques and strategies［C］// The 2014 ACM Siguccs Annual Conference on User Services. 2014:69-73.

［22］ SUNDARAMURTHY S C， CASE J， TRUONG T， et al. A tale of three security operation centers［C］//The 2014 ACM Workshop on Security Information Workers. 2014: 43-50.

趙淦森（1977-），男，廣東東莞人，博士，華南師范大學(xué)計(jì)算機(jī)學(xué)院副院長(zhǎng)、教授、博士生導(dǎo)師，主要研究方向?yàn)樵朴?jì)算、大數(shù)據(jù)、信息安全。

吳杰超（1993-），男，廣東廉江人，華南師范大學(xué)碩士生，主要研究方向?yàn)樵朴?jì)算與信息安全。

陳梓豪（1992-），男，廣東廣州人，華南師范大學(xué)碩士生，主要研究方向?yàn)樵朴?jì)算與信息安全。

任雪琦（1993-），女，廣東惠州人，華南師范大學(xué)碩士生，主要研究方向?yàn)樵朴?jì)算與信息安全。

譚昊翔（1990-），男，廣東江門人，華南師范大學(xué)碩士生，主要研究方向?yàn)樵朴?jì)算與信息安全。

馬朝輝（1974-），男，湖南湘潭人，華南師范大學(xué)博士生、廣東外語(yǔ)外貿(mào)大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、云計(jì)算和大數(shù)據(jù)等。

Research on cyberspace security situation awareness

ZHAO Gan-sen1， WU Jie-chao1， CHEN Zi-hao1， REN Xue-qi1， TAN Hao-xiang1， MA Zhao-hui1，2

（1. School of Computer Science， South China Normal University， Guangzhou 510631， China；2. Cisco School of Informatics， Guangdong University of Foreign Studies， Guangzhou 510006， China）

Cyberspace is the fifth sovereignty space after the sea， land， sky and space. The security of cyberspace is closely relative to national security. How to discover threat in time， how to defense network attack， how to trace attackers were the problems to be selved. Facing the polyphyletic， isomeric， disconnected properties in the cyberspace，bases on a credible IaaS， a cyberspace security situation awareness was constructed by ontology， semantic Web and linked data theory. While guarantee the access security of integrating data， the model could make a comprehensive analysis on the properties in the cyberspace， which contributes to cyberspace governance.

cyber security， situation awareness， ontology， semantic Web

TP309

A

10.11959/j.issn.2096-109x.2016.00090

2016-08-03；

2016-08-28。通信作者：趙淦森，Gzhao@scnu.edu.cn