，題也愈加重視。安全的不斷增加檢測系統的高誤報和漏報嚴重危害計算機，（1）基于網絡和主機的檢測系統所捕獲的進行集中式管理并提供實時的可視化（2）、合分析對于重要的日志數據源進行特殊的過濾和分析在該原型系統的基礎上，本文建立了安全信息知識庫，能夠實現異構檢測系統的知識互通，并完成語義級別的邏輯推理工作。本文主要從安全檢測和安全三個方面建立本體模型能夠根據過程的特征和用戶操作記錄推理得到可能的類型和用戶角色判、 檢測；安全分析；本體建Withtheadventoftheeraofbigdata,explosivedatagrowth,peoplepaymoreattentionontheknowledgeofinformationsecurityandmanagementissues.AsSecuritythreatscontinuetogrow,thefalsepositivesandfalsenegativesproblemoftheintrusiondetectionsystemareinseriousdamagetothecomputersecurity.Inaddition,theindependentmanagementofsecurityknowledgemakeitdifficulttolearnandsharetheencounteredsecuritythreatsmeaningfully.Therefore,thispaperpresentsamethodformodelingsecurityinformationmanagementprototypesystembasedonontology.Thispaperproposedasecurityinformationmanagementprototypesystem,whichmainlycoversthefollowingfunctions:(1)real-timemonitoringandmanagement,realizecentrallymanagedforsecuritycapturedbythenetwork-basedandhost-basedintrusiondetectionsystem,andprovidesreal-timevisualmonitoringchartsandsecurityreports;(2)logcollectionandsecurityysis,aggregation ysisforsecuritys,andfilter,storage,andysistheinformationfromimportantdatasources.Onthebasisoftheprototypesystem,thispaperestablishedasecurityinformationrepository,toachieveknowledgeinteroperabilityofheterogeneousintrusiondetectionsystemsandcompletethesemanticleveloflogicalreasoning.Theontologymodelestablishedinsecurityvulnerabilities,intrusiondetectionandsecurityeventaspects,onwhichcaninferenceapossibleattacktype,userrolesandotherinformationsreasoningonthecharacteristicsofinvasionprocessanduserrecords.Combinedwiththeimmunesystemknowledge,suchasconceptsandprinciplestosupporttheknowledgemodelingofartificialimmuneinformationrepository,andevaluateandillustrateofthebenefitsoftheknowledgebase.：Securityinformation;Intrusiondetection; ysis;摘 目 第一章引 課題來 研究內 第二章相關技術綜述及研究現 本體概 2.2.1檢測系 2.2.2檢測系統分 2.2.3檢測系統發展趨 安全分 本章小 第三章安全信息管理原型系統整體框 3.2檢測子系 3.4分析子系 3.5本章小 第四章基于本體的安全信息管理原型系統建 安全本體模 安全本體模 本章小 第五章安全信息管理原型系統的實 本章小 第六章基于本體的安全信息管理原型系統的應用與評 本章小 第七章總結與展 附 附錄一術語 附錄二索 參考文 致 圖2.1語義Web的體系結 圖2.2骨架法的本體構建流 圖 TOVE開發流程 圖2.4出現互補位和獨特位的抗 圖3.1安全信息管理原型系統邏輯層次結構 圖3.2安全信息管理原型系統執行流程 圖3.3檢測子系統部署 圖3.4日志收集子系統部署 圖3.5安全元模 圖3.6模 圖3.7系統安全模 圖3.8用戶操作記錄分 圖4.1安全本體頂級概念和關 圖4.2安全本體概念劃 圖4.3CVE本體模 圖4.4IT_Product的具體子 圖4.6Attack的具體子 圖4.7Attack_Method的具體子 圖4.8Consequence的具體子 圖4.9計算機模 圖4.10以目標為中心的計算機模型圖形化展 圖4.11安全生命周 圖4.12安全模型基本概 圖4.13人工免疫系統分層框 圖4.14免疫系統本體模 圖4.14檢測器的二進制編碼結 圖4.15檢測器產生過 圖4.16監 -self模 圖5.1Snort數據庫模 圖5.2安全實時......................................................................................................圖5.3日志管理 圖5.4安全詳細 圖5.5日志統計分析 圖6.1應用場景一重要概 圖6.2SynFlood判定規則定 圖6.3應用場景一推理結果 圖6.4應用場景一推理結果 圖6.5應用場景一推理結果 圖6.6應用場景一推理結果 圖6.7應用場景一推理結果 圖6.8應用場景一推理結果 圖6.9等級推理規則定 圖6.10相似Vulnerability的規則定 圖6.11相似Vulnerability推理結果 圖6.12相似Vulnerability推理結果 圖6.13用戶角色分 圖6.14應用場景二約定示例 圖6.15應用場景二約定示例 圖6.16應用場景二約定示例 圖6.17應用場景二規則示 圖6.18應用場景二推理結果 圖6.19應用場景二推理結果 圖6.20應用場景二推理結果 圖6.21應用場景二推理結果 圖6.22應用場景二推理結果 圖6.23應用場景二推理結果 表3-1Linux系統日志重要信 表4-1免疫系統與檢測的概念對 表5-1硬件環境需求 表5-2軟件工具需求 表5-3Snort重要數據庫 表5-4Snort數據庫表 表5-5Linux消息類 表5-6Linux優先級信 表5-7重要日志源分 表5-8重要日志消息匹配 表6-1用戶操作記錄分析 本課題方向主要來源于兩個方面：一方面，語義網（SemanticWeb）是導師的研人將本課題作為的研究方向。充分仍然是安全一直得以危害泛濫的重要原因之一。不齊，不夠全面，而且與其他組織的知識庫很難互用和共享，導致安全知識的表達方式各不相同，從而嚴重影響了安全等相關知識的共享性和可重用性[1]。為了解決這些問題，要從根本上減少或者消除安全知識概念層次的，達成共同的認識基礎[2]（ontology）TomGruberontology一致的基礎上共享計算機安全相關知識。此外，工程研究表明，從知識共享的角度來看本體能夠針對特定領域相關問題來表達共同認識當然也包括領域本文旨在擴展本體技術在領域的實際應用研究其領域知識并設計實現定程度上解決計算機安全不易于和重復利用的難題。本所研究內容的主要關鍵點有三個采用結合網絡和主機的分布式檢測集中管理方案以及日志收集相關傳統的基于網絡的和基于主機的檢測本身都存在著缺陷，安全信息的管理又需要多種數據源的支撐。因此，本文采取了一種綜合網絡和主機的分布式檢測、集中管理方案，統一管理網絡和系統安全，對安全相關日志的重要數據源采取集中收集和的方法，為安全后期處理做好鋪墊。針對安全的特征分基于本體的領域建模方法以及相關安全本體的研本文主要以領域知識為研究背景，以安全信息管理原型系統為主要研究對象，研究范圍包括計算機安全、檢測和安全分析等問題。通過對檢測的準確度，降低安全的漏報和誤報率，并促進安全信息知識的共享以本文所做的工作，主要包括以下三個方面針對目前主流的網絡檢測工具和系統檢測工具基于安全的整個提高安全檢測的準確度。、利用本體技術從安全檢測和安全三個角度入手構建模型、設計并實現安全信息管理原型系統，主要功能包括實時的安全可視化實時狀態監測、以及對安全相關日志源的集中收集和。更重要的是，利用本體推理得到的語義信息是隱藏在安全的一般信息之中的可以更準確更全面地認識安全的本質，從而及時的反應。的一些問題并了利用安全分析技術可以從一定程度上改善檢測存在的決安全知識獲取程度不一、速度慢、管理等問題。第2章詳細介紹了當前的技術、本體技術和安全分析技術的發展現狀，主要包括對現有檢測技術、本體建模技術和安全分析技術進行了描述。此外，大致描述了人工免疫系統的相關概念和原理，為基于人工免疫的檢測相關檢測、日志收集和分析三大模塊，并進行了詳細的架構描述。模的同時滿內外廣泛接受的安全標準將該原型系統所涉及的元素劃分為安全漏洞、檢測和安全等三個主要本體模型，并能夠進行本體推理。第5章是對該原型系統的實現部分按照第3章中的總體設計模塊設計方案，講述了如何實現Web端實時查看安全統計圖表，安全相關信息的收集、過濾、、本章將介紹本所涉及的相關理論和技術，包括本體概念和主要技術檢、eb（Semanticeb管理和安全知識庫。XML+NS（NameSpace）+XMLRDF+OntologyDigitalXML+NS（NameSpace）+XMLRDF+OntologyDigital2.1WebWebOWL語言的設計目標之OWLLite是精簡版，只擁有最基本的本體描述能力，可表達的分類層次和OWLDLOWLDL中的公理性OWLDL（DescriptionLogic，描述邏輯）基于描述邏輯的知識表示，具備CompletenessRDFRDF尤其是本體在計算機科學等領域得到廣泛應用且效果顯著之后。但是需要的是，在本體構建中最具備代表性意義的是TomGruber用于指導本體構建工作5個基本準則[8]：（TOVE（1）骨架法2.2所示：否否是2.2TOVE方法該方法是多倫多大學TOVE項目中使用的目標是為了建立一套特定知識的本體邏輯模型，構建形式化的集成本體模型，主要包括企業設計Ontology、項目OntologyOntologyOntology2.3所示：圖 TOVE開發流程與骨架法、TOVE建模方法不同的是，Methontology方法首先利用中間表示來表達知一般來說，在評判某個檢測系統性能優劣的時候，主要考慮以下兩個參數：漏報率和誤報率漏報率是指將原本應判定為的行為錯誤地判定為正常行為的比率；而誤報率是指將原本不是的行為錯誤地判定為行為的比率。在傳統的計算機技術中，技術、防護技術、安全掃描技術、認證和數字簽名技術、技術以及控制技術等技術得到了比較好的發展和相陷：比如說無法實現實時的和自動響應動作；功能相對來說較為獨立，缺乏協作人們提出了檢測的概念。審計能力、實時能力、特征識別和響應動作能力等，它與的協作使用能夠提高基礎設施的整體安全性能它通過從計算網絡環境中的關鍵資產訊息，則可能是了某項安全策略或是一種。4月JamesP.Anderson所做的一份技術性報告[12]，該報告，IDS實施即時監測網。檢測的問題就是如何發現已有安全策略的可疑網絡傳輸行為。特征檢測（Signature-basedDetection）或誤用檢測（Misuse該方法假定行為的發生都伴隨著一種特定的模式或一些可識別的的難點在于如何建立模式或特征庫可以有效識別已有行為同時又不會誤報Detection)行對比分析來發現行為這種檢測方法的難點在于如何定義合理正確的行為模式集合，要求既要能夠表達行為模式又不會涵蓋正常行為[14]。基于主機的檢測系統位并迅速作出反應。基于網絡的檢測系主要通過的網絡傳輸數據包捕獲并提取相關信息與已知的特征進擊，特定環境等。分布式檢測系通常情況下，這種檢測系統采用分布式的部署方案。前兩種檢測系統均Sensor，分別向服務器匯報和發送數據，從而提供跨平臺或跨網絡的檢測方法。也可以指在關鍵的主機上采用基于主機的檢測而在關鍵的網絡節點上采用基于網絡的檢測，這樣就可以同時分析來自主機的審計日志和來自網絡的數據流量，從而綜合的判斷是否受到。，早在1998年2月，組織（SecureNetworksInc.）就IDS存在有許多弱點，主要表現在對數據的檢測準確性和對系統本身行為的防護兩方面。由于網絡傳輸的提高速度遠大于檢測效率的增長，阻礙了檢測系統更高效的工作，同時也意味著檢測系統監測行為的可靠性大打折扣。另一方面檢測系統在應對對于系統本身的時對其他數據傳輸的檢測能力也會受到一定程度上的抑制[17]同時由于模式識別技術本身發展的不完善也造就了檢測系統另一題——高誤報率。該問題極大地影響了檢測系統的實際使用效果，然而檢測，，為了更好的適應網絡發展和用戶的實際需要檢測系統也在不斷地得到完善，而了真正的行為，難以定位。協議分析是目前檢測領域最為先進的檢測技術之一[18]，主要利用對網絡傳輸的數據包進行結構拆分字段解析來識別行，而是根據發生的上下文來確認是否發生以及行為是否生效因此對檢測系統的各項屬性也有越來越高的標準能否高效的監測網絡傳輸是衡量檢測產品質量好壞的一個重要指標。高度可集：即將其與網絡和網絡管理所具備的相關功能集成在一檢測系統的目前態勢。毋庸置疑的是，檢測系統的前景還是相當可觀的。安全分（1）服務 DoS（2）代碼，它有可能是、蠕蟲、木馬或其他自動執行代碼形式的（3），在的情況下，通過本地方式或方式相關不當使用，用戶行為了計算資源可接受的相關使用政策復合型安全，包含以上兩種或多種類型的安全好地處理這些問題就不能進行有效的安全分析和管理這些問題主要包括和記錄。此外，安全級別較高的網絡還容易出現“風暴，其中存在大量的雖然國際上已經了一些標準，但是安全產品的數據格式并沒有真正統一起來。毫存在嚴重的誤報問題，難以識別真正 級別高卻不會網絡檢測亟需解決的一題。對于一般的網絡檢測產品而言，它們只與其直接連接的網段，而不是對整個計算機網絡環境進行[23]。而安全的檢測大多數是依據預先定義好的特征庫來匹配的，這樣做就只是純粹地檢測到單一的、零碎的一般性安全，而無法將其前后所發生的安全都關聯起來進行分析若是遇到比較復雜的協同模式，這種相對單純的匹配檢測方法就為力了。正是由于產品難以實現實時的復雜計算，造成了安全數據的大量冗余、錯亂、難以辨識的問題，從一定程度上影響了分析和管理安全的整個過程，導致辨識本質的工作變得愈加艱難。此外，低級的機制無法檢測到真正的，（DDos才發現行為避開了安全檢測產品。聚合分（tio/Clusteringysis即聚類與合并方法能夠有效處理安全中的冗余數據因此在領域得到了廣泛應用聚合分析方法通常將從屬于同種或同類的信息聚合為一條總的信息主要用來減少冗余度。信息的聚合分析過程主要目的是減少的數量采用某種相似度的關聯算法聚類和分類法等算法對原始進行處理其主要功能之一是把由同一安全造成的多條融合為一條較高級的記錄從而大大減少了需要處理的數量另一個主要功能是能夠將來自不同設備但卻是針對同一安全所產生的重復關聯在一起聚類分析的主要思想就是分析安全之間存在的某種關聯關系然后與相似度達到一定閥值的安全進行合并得到精煉的安全，從而去除掉重復和冗余的，提高處理效率24。比較好的聚合算法能夠體現出安全等信息的詳細分布狀況及具備的一些特點，這些對于安全的分析和管理來說是相當有實際意義的。生物免疫系統（BiologicalImmuneSystem，簡稱BIS）能夠、區別和中和外BISBIS原理啟發，有一些新算法產生，作為計算智能的一個新分支，即人工免疫系統（ArtificialImmuneSystem，簡稱AIS）[26]。AIS正在成為一個活躍而具有的領域，它涵蓋模型、技術和應用，且具有巨大的多樣性。AIS提供強大且健壯的信息處理能力，能夠用來外來侵入物。一般來說，生物體會嘗試各種不同的機制來保護自身免受致病菌，包溫、低PH值和化學物質等能夠或殺死侵入者。更高級的生物（如脊椎動System（Antigen（（統的重要特性，對自子產生不適當的反應，將是致命的[28]。同樣地，人類免疫系統（TheHumanImmuneSystemHIS）是人類生命系統中最重要和最根本的組成部分它類本身與外部環境的一切相互作用和反應。從這個角度來說，HIS所擁有的功能是相當多的，它能夠幫助維持體內平衡，使夠識別來自外部的潛在的有害物質（叫作病原體或致病菌，并消滅受的表現異常的細胞，從而保護自身的組織。免疫系統能夠區分自身其他正常分子（、 （AnatomicBarrier）性免（InnateImmunity）和獲得性免（AdaptiveImmunity、組織，作為第一層，組織主要由皮膚和粘膜表面組成。實際上，皮膚的低PH值阻止了大多數致病菌的滲透大多數細菌生長。另一方面，有些致病菌通過粘合或粘膜進入體內；這些粘膜提供大量非特異性機制來幫助致病菌進入。唾液、眼淚等粘液分泌物行為能夠清除掉潛在的侵入物并且包含抗生素和抗物質等化，性免疫是在出生時從父母那里得到的免疫能力總和。對于外來侵入物，Barriers噬（PhagocyticBarriers）和炎癥反應（Infl toryResponse原特異性（AntigeneticSpecificity，使得免疫系統能夠識別抗原之間微小的差異；多（Diversity Memory Recognition，值得注意的是，獲得性免疫本身并不獨立于性免疫活動而存在；恰恰相反， cells體液免疫（HumoralImmunity）成B細胞在其表面表達綁定獨特抗原受ABR通過補償系統或通過抗原表現任何功能。細胞免疫（CellularImmunity，在成熟期間，T細胞在其表面表達獨特的ABRTB細胞不同的地方在于，T細胞受MHCTMHC分子的抗原，T細胞增殖和變異成為T細胞和各種效應器T細胞。細胞免疫通過這些產生的效應器T細胞來完自我/異我識別（Self/-selfDiscrimination）在胸腺成過程中，T要由陽性選擇PositiveSelection和選擇NegativeSelection組成。其中選擇的T細胞巨大多樣性的一次過濾，只有不能識別自身肽的T細胞可以存。免疫（ImmuneMemory）免疫淋巴細胞能夠識別特定抗原的ABR。大多數淋巴細胞在消除抗原時也會但是有少數淋巴細胞會存成為細胞。細胞有較長的，能夠在下一次遇到相同抗原時快速響應人工免疫系統AIS的興起是受到了人類免疫系統（HIS）的啟發，并依此發展成免疫網絡模型（ImmuneNetworkModel、選擇（NegativeSelection、克隆選擇Theory免疫網絡模型最早由Jerne提出[32]，該模型免疫系統維持了一個互聯細胞的2.4BB細胞獨特位識別，因2.4T細胞才能從胸腺中釋放出來。這個過程對于抗體不對自身正常細胞造成起到非常關鍵的作用。Forrest等人提出了最基本的選擇算法思想，主要由如下幾個步驟：a）在生查一個傳入的數據實例是自我還是非自我；d）若它匹配上任何檢測器，則被為。，ab當一個抗原或致病菌侵入組織時，能夠識別這些抗原的抗體才能存；c）識別抗原的免疫細胞將進行細胞增殖在增殖期間體壁細胞以無性生殖方式增殖即細胞有絲時沒有傳遞遺傳物質新細胞是抗體的品；d）一部分克隆細胞將經歷一種突變機制，被稱為體細胞高頻突變；e）每個細胞與其他細胞的親和力是細胞間相似度的一種計算方法，計算細胞間的距離響應的抗體要比初次響應的抗體平均親和力要高很多這種現象被稱為成免疫應答在成熟過程中抗體的健康和親和力都在發生變化每一次克和力低或能夠自反應的受體必須清除；f）有效免疫細胞的每一次迭代都會使得一部分成為漿細胞其他部分作為細胞漿細胞分泌抗體細胞擁有更長的gbg的過程，直到終止條件滿足。克隆選擇算法有一些很有趣的特點，如群體大小的動態適應性、搜索空間的探索、多個最優解的位置、保持局部最優解以及定義終止條件的能力。。，Matzinger提出，為了使免疫系統運轉正常，只識別正確的細胞是許多免疫學專家認為它們之間的區別是在生命早期學會的特別是在成過程中消TB細胞，對完成對自身的耐受性起到了非常重要的BTT根據理論在進行自我-非自我的區分時必然會有區別發生而另外一種觀點統并成功遷移（不非自我。，理論允許非自我且無害自我但有害的侵入物思想是免疫系統不向非自我但卻做出應答實際上也沒有必要去來自外部的一切物質根據這個理論可以通過受破壞細胞的呼救信號來測量當細胞非自然時將發出呼救信號而清楚的定義一個適當的信號就具備一定性適當定義的信號能夠克服自我-非自我選擇的很多限制，它將非自我限制在一個可管理的范圍內3]，消除了篩選所有自我的需要，能夠適應性的處理自我（或非自我）隨時間變化的場景。，、域的眾多研究人員的注意。一些重大的應用包括最優解問題、計算機安全檢測、及本體在計算機領域的發展狀況檢測詳細介紹了當前環境下檢測節將針對本文安全信息管理原型系統進行描述首先理清了安全信息管理的一產生的日志信息進行集中和分析它能夠收集企業數據網絡中所有重要資產的安也是安全信息的最初來源層的主要工作是針對安全對象部署相應的安全檢測措施，完成對網絡、主機和服務的檢測，主要目標是安全對象產生的和日志（這里使用的是一種開源的日志收集管理工作，稍后會提到；層，顧名思義，將層收集到的安全相關信息進行，同時功能層處理后的安全日志、安全規則等信息；功能層是該原型系統的模塊，主要分為日志處理、審計分析和安全管理等 聚類分析和系統安全的人工免疫算法提供數據接口和知識支持展示層提供統一展展存安3.13.2所示：3.23.2檢測子系僅僅部署基于網絡或基于主機的檢測系統都會存在這樣或那樣的不可避免檢測方案即綜合網絡和主機的分布式檢測集中管理的方（如圖3.3所示3.3Snort[34]：由Sourcefire組織開發，是一款開源的網絡防御和檢測系（IDS/IPSIDS/IPS技術解決方案。簡單來說，Snort就是一種數據濾器，通過對網絡傳輸的數據包進行過濾分析處理來判斷是否符合已有的特征。順便提一下，barnyard2是一款開源的專門用于處理的Snortunified2格式文件。Sagan[35]：由Softwink公司，主要用于對系統日志的。它是一個開源的、多線程的、實時的系統日志和日志系統。簡單來說，sagan將會實時監視系統日志中發生的，發現異常時產生提醒。RubyOnRailsWeb應用程序，主要用于的實時，為當前主流的檢BASE相比，要簡單且好用很多。圖3.3檢測子系統部署Sensor，Agent，統傳送到統一的中心服務器，實際上是傳送到MySQL數據庫，然后Snorby從web端展示出來。便能夠有效地捕獲和分析得到發生的所有但是這樣的方式存在著嚴重的問將日志記錄集中在一個指定的位置，便于進行統一地日志檢關注近期相關變化，如失敗、錯誤、狀態變化等異常時間，重建發生前后的活研究發生的原理，并通過探索日志來證3-1所示：3-1服務器（或工作站）應用程序（Web服務器、數據庫服務器）安全工具（如殺毒軟件、變化檢測、檢測/防御系統）產生的日邊界、終端用戶程序產生的日與安全有關的其他來3-2系統安全系統信息用戶操作記錄服務器日志數據庫操作記錄力處理Linux操作系統的日志收集。通常情況下，Linux操作系統和應用程序的日志存放在/var/log下，而設備則通過Syslog服務來記錄日志。、收集子系統的主要任務是對各種日志進行集中收集、過濾以及檢索。下面簡單、LogstashElasticsearch[38]ApacheLucene開發的實時分布式搜索引Kibana[39]LogstashElasticsearchWeb接口，能夠對重要數據進行匯總、分析和高效搜web界面；3.4iewer在收集目標服務器上的客戶端，負責收集相關日志消息；Inder可以按照配置中指定的方式（Filter）ShipperInder分別完成有所區別；Broker為消息，默認配置使用Redis，它是一個開源的Key/Value數ShipperInder之間建立通信：每個Shipper把日志消息傳送到的Redis服務器，Inder則從Redis服務器中供數據和搜索服務；WebUI采用Kibana，它能夠與ElasticSearch很好的集安全元模型，它包含了安全必須具備的一般屬性，如圖3.5所示：圖3.5安全元模信息管理原型系統采取的是基于 屬性相似度的聚合分析方法。鑒于Snort主要依賴于規則匹配以及協議分析來檢測異常網絡傳輸，其產生的數在Snort捕獲的中，比較受關注的安全屬性主要包括于信息所指示的時間信息，必須保證各臺服務器時間是同步的。時間，雜干擾安全監測的準確性，喪失了的意義。對不同時間段的進行統計分源IP地址：它可能是行為的，可以通過統計分析源IP地址的分布特點，確定來源的IP范圍，然后對來自這些網段的請求進行，也是一種有效保護自身資產安全的重要。目標端端也同樣提供了很多信息比如說在某段時間內發生了大量的端口信息，那么有可能在進行端口掃描。端會當前系統可用的端，進而可用來猜測可能的服務進程并發起行為。傳感器ID：傳感器往往部署在多臺服務器上復雜不同的網段或資源，傳感器ID標記能夠快速定位問題發生的位置，從而減小安全的影響。：協議名行為是通過滲透何種協議進來的，這也是有證可查的。根據協議的不同特點對進行分析可以從中發現一些規律有助于更好編寫檢：）（6級別：這種評估嚴重級別的信息，自然是十分重要的。對）通過對Snort所捕獲的屬性和規則特點分析，總結得出了3.6所示：圖3.6模全兩部分能夠自主學習，從而進一步提高了檢測的準確度，降低了安全的漏報率。3.7所示：圖3.7系統安全模除了利用檢測工具檢測到的安全外，該原型系統還結合了與安全信息可安全，從歷史的日志后期挖掘處理操作中發現異常，從而與檢測的實時Linux服務器的，LinuxLinux3-13-1Linuxpassword”“Accepted“authenticationfailure”,“failed“session“passwordchanged”,“newuser”,“deleteSudoCOMMAND=…”“AILED“failed”or3.8所示。3.8；模塊具體介紹了相關框架設計和主要思想其中檢測子系統主要介紹了開源檢測工具的配合使用以及檢測的運行過程日志收集子系統首先對關鍵的數據源進行了分析和確定，然后描述了基于開源工具搭建的日志收集管理框架設計分析子；、，體模型，針對安全信息管理原型系統的本體建模，主要分為安全檢測和安全等三個主要模型不僅僅是建立了使計算機系統從可讀變得可理解的安全信息本體知識庫，而是根據通用的安全知識庫來預測與分析潛在的可能性目前、，本文所使用的本體編輯工具為Protégé4.3[40]，它是由斯坦福大學負責研發的由Java語言編寫的用于編輯本體和知識的工具。它提供用戶友好的圖形界面和交互體外，Protégé4.x版本更換為OWLAPI[41]，能夠支持OWL2.0標準的新特性。、元素、內在聯系以及特征進行較為全面的分析，然后從系統資產自身弱點者攻方面：CVE本體模型、計算機本體模型和安全本體模型。此外，對于、為了使傳統的CVE數據庫能夠被機器所理解，本文針對CVE這種結構組織良好的安全知識索引進行本體建模，從中發掘安全之間的內在聯系或隱藏聯系。對于檢測和安全來說，它們本身是一個過程，因此本文采用以目標為中心的建模方法通過分析過程和產生過程的特征從而發掘其隱藏的屬性和關系涉及的安全、檢測以及安全等方面依次介紹具體的建模情況。1995年和技術NationalInstituteofStandardsandTechnology，簡稱NIST）在其特800-12中描述了安全關系模型的概念。4.1圖4.1描述了安全本體頂級層次的相關概念以及概念之間的關系。下面我們簡單梳理一下上述模型：一個（Threat）將導致后續的，對組織的資產（Asset）表現為一個潛在的，并影響特定的安全屬性（如性、完整性和可用性。一旦它利用一個（可能是物理方面、技術方面或管理方面的弱點，它將對某些資產造成損害。此外，每一個可以描述為潛在的（人為或自然原因）和威脅源（偶然或故意源。對每一個，分配一個嚴重程度值和可能被利用的資產列表安全控（Control）必須能夠減輕一個已識別的并且采取預防糾正、的實現都看作一個資產概念或它們的組合安全控制都源自控制標準和最佳實踐（如GermanITGrundschutzManual和ISO/IEC27001）且與之相對應，從而確保準所復用。實現了安全控制的同時，就已經隱含地符合了各種各樣 標準安全本體的開發目標是提供一個知識模型，結合最相關的概念（資產安全控制以及它們的實現然后建立一個領域的通用知識庫。領域的全局模型，包括那些非的概念，例如的基礎設施。（1）（2）（3）源于最佳實踐標準和標準從而確保所使用的概念及其相互關系是基于廣泛事實上，大多數領域的現有本體只能應用非常有限的范圍，盡管如此，4.2

4.2Location安全子本體是安全本體的由五個概念組（AttributeThreatRating、Control和Vulnerability，它們都源自已建立的良好的標準，如德國IT基本保障手冊[42]（TheGermanITGrundschutzManual、ISO270001、法國EBIOS標準、NIST計算機全手冊和NIST風險管理指導。企業子本體提供一個框架能夠使用本體化的方式展示及其環境，從而與領域的概念聯系在一起因此企業子本體由以下三個頂級概念組成：Assert、和Organization。位置子本體將一系列位置信息可以將信息與位置相關聯從而通用披露[43]（CommonVulnerabilities&Exposures，簡稱CVE）的概念在1999年被提出，當時大多數產品都使用各自的數據庫來安全名稱，導致了安全覆蓋的潛在差距、分離的數據庫與安全工具之間互操作性差效率問題。此外，每一個產品供應商沒有使用統一的標準來描述已檢測到的CVE解決了這些問題，它作為通用的標識的一種字典索引，主要包括CVE標識符編號、相關描述以及與該相關的參考文獻等內容。CVE可以是一個或披露的名稱，可以是一個或披露的標準化描述，它是一個字典索引而不是數據庫，可以將不同數據庫與產品擁有共同的參考和評估標準，從而提高互操作性和安度。CVE是公認的的工業標準這些安全均可從國家數據就是說不理解什么資產可能會受此的影響或者這個將會產生何種危害以及本章節的主要目標是構建機器可讀的CVE本體模型，并進一步建立安全通抽取安全概念模型利用概念模型對具體進行建模，即實例化 MITRE公司列出了CVE的詳細，通過研究CVE的具體實例，抽取重要概念并在此基礎上提出了CVE本體的頂層概念模 圖4.3CVE本體模4.3，用來獲取某個系統或網絡的機會。若者利用了軟件中的一個錯誤了系統的相關安全政策，那么CVE則認定這個錯誤為一個。當然，這些錯誤不包含分類，本文采用CVE的研究視角，將CVE中的每種安全缺陷都作為一種。，Introduction_Phase是指軟件開發生命周期（SystemDevelopmentLife，一個階段都可能會出現。隨著對這個概念的進一步詳述與開發生命周期之，是系統配置文件，在系統初始化時是活躍的。IT系統。本文將軟件產品與硬件產品分開考慮，并4.4。4.4IT_ProductIT_VendorIT_Product的供應商，負責生產軟件或者硬件產品。供應商可以是一個IT公司、一個開源項目、一個學術機構、或者是程序員，參考圖4.5。IT_ProductIT_VendorITIT_VendorIT_Product CPE，CPE標準命名規則，目的是為每一個目標IT系統提供一個清晰無歧義名。Attack指一個概念，這個概念描述了利用執行并造成相應結果的人或機構。上述模型是基于常用模式枚舉和分類（CommonAttackPatternEnumerationSpoofin（，ExploitationofAuthentication（認證利用，Injection（注入）4.6。4.6AttackAttack_Intent是指一個描述了的一般目的或最初意圖的概念它有多個子類，每一個子類代表一種意圖，包括Exploitation（利用，Penetration（侵入）與Obfuscation（迷惑）等。但一般情況下，者利用對系統發起時，很難判斷其意圖。因此，根據Attack_Intent無法對vulnerability進行太多研究，但是Attack_Intent在保證系統的穩定性有很重要的作用。Attack_Method是這樣一個概念它描述了所使用的方法它有多個子類每Spoofin（，Modification_of_Resourc（修改，API_Abuse（API ，Social_Engineering（社會工程，Time_and_State（時間與狀態，Brute_（蠻力，如圖4.7所示。4.7Attack_MethodAttacker指發動的人，即者。Attacker可分為RemoteAttacker和LocalAttacker兩種。Consequence指受到影響的部分由者利用特定的發起的導致，它的每一個子類代表了一種Consequence，主要包括Denial_of_Service（服務，Data_Modificatio（Information_Leakage，Arbitrary_Code_Ecution（，4.8ConsequenceCountermeasure用來描述可以或減輕潛在風險的行為或方法。這些解決方案或緩解方法的目的是為了提高目標軟件系統的抵抗力減少者成功的可能和提高目標軟件系統的恢復力，從而減少對軟件系統的影響。它主要包括除以上重要概念外，CVE本體模型中還包括將各個概念連接起來的屬性，比如Consequence。檢測系統和安全管理系統在推理和管理安全時所必須的本體中也包含分類學的一般來說，IDS會比較或可協同定位目標，這是勢在必行的。用來表示的任何一種分類方案都是以目標為中心的而任何一種分類特征都是由目的屬性特點來建立計算機模型。、、標的系統組件的和者的位置。該模型是以目標中心建立起來的Process；AttackDirectedto、EffectedbyResultingin來描述，分別SystemComponent、InputConsequence；ConsequenceDenialofService、UserAccessProbe等子類；InputReceivedfromCausing為特征，Causing定義了MeansofAttack和一些inputReceivedfrom將Input和Location聯系起來；LocationSystemComponentNetworkProcessMeansofAttackInputValidationError和LogicExploits、、圖4.9計算機模LossofUsertoToDenialof圖4.10以目標為中心的計算機模型圖形化展結合本文安全信息管理原型系統分析該原型系統所涉及的檢測相關的概念和關系，對計算機的具體模型進行了一定程度上的復用和擴展，如圖4.10所安全本體模、或 、或圖4.11安全生命周為了更好地幫助安全管理人員管理安全，MartimianoandMoreira在2005年ONTOSEC[46]。ONTOSECProtégéOWL語言建立的，主要4.12所示。impliesactsrelateshasrelateshappensexploredhashashasr 圖4.12安全模型基本概免疫本體（ImmunologyOntology）多用于處理臨床數據，一般會結合本OntologyOntology連續r-4.13imis等人研究重點在于前兩個元素上，開發一個統一的框架來幫助定義系統AIS統中。（1本文采用圖4.14來描述免疫系統本體模型，將免疫系統分為兩類：性免InnateImmunity和獲得性免疫AdaptiveImmunity。性免疫主要“uses”巨噬細ImmunewerebornBonegrowsgrows（lymphocyImmunewerebornBonegrowsgrows4.14免疫系統是保護身體不受外物，而檢測系統保護計算機網絡和主機資源不受或，二者的作用場景極其相似：都處于隨時可能發生變化的環境中，都努力去維持保護系統的穩定性[48]而免疫系統具有豐富的多樣性耐受性免疫、自適用以及魯棒性等特點，將免疫原理引入到檢測中，能夠有效的彌補傳統網絡檢測系統的缺陷，如高誤報率和漏報率問題。疫思想的檢測所必需的數據或知識支持對于緩解檢測自身存在的一些詬病和提高檢測的性能效率等都具有非常重大的意義根據上述免疫系統的原理概念等分析，對比得到了免疫系統與檢測的概念對比表[49]，如表4-1中所示。表4-1生物免疫術語與檢測術語對、網絡或其他檢測目B細胞、T抗原與抗體的結合檢測器的的檢測部分就需要增加新的構成元素，主要構成元素如下：self類似地,檢測系統中,自我集合可能是指計算機系統中的受保護內容，如系統數U是完備的和有限的集合；且從表4-1可知，檢測中的檢測器與免疫系統中的免疫細胞相對應，可將每一4.14所示。4.14即Self集合P，然后基于選擇算法生成一個檢測器集合M，負責不屬于Self集合P的所有元素，也就是 -self元素；運行過程如圖4.15所示：采用相同的表示隨機生成候選元素C；與P中元素進行匹配，若某元素C匹配成功則丟棄該元素，反之則放入檢測器集合M中。否否4.15否是受保護模式集合檢測器集合否是受保護模式集合檢測器集合圖4.16監測-self模、作為本文的重點章節，本章詳細介紹了在本文所安全信息管理原型系統的之后講述了目前比較流行的建模工具以及建模過程，然后從安全檢測和安全的角度對安全信息進行建模，并進行實例化，構建出一個較為完備的本體知識、、要包括：統一管理網絡和主機安全，提供Web端實時，友好的交全日志，提供全文檢索功能；根據安全檢測和安全三個方面建立相應、首先，需要的是由于本課題涉及多個領域且工作量比較大，因此本文安全信息管理原型系統的實現實際上是由本人和趙同學合作完成的的信息可以參考他的[51]本章所涉及的實現部分主要包含本研究課題所設計的模塊在安全信息管理原型系統的具體實現中本人負責的模塊主要包括安全的統一管理、實時以及圖表統計等功能，對安全相關日志的過濾、集中收集以及檢索等功5-15-2所示：Linux（Ubuntu12.0464位2G作為安全檢測的一部分，檢測和日志收集的開源軟件工具也是不可缺少的，5-2所示：網絡檢測工Snort主機檢測工SnorbyLogstashElasticsearchKibanarefsystem <pi> R_refref<pi>refsystem <pi> R_refref<pi>encodingtype<pi>Integerdetailtype<pi>Integersigid<pi>Integer<M>refseq<pi>Integersigclass<pi>sig <pi><pi>Integer<M>R_sensor_event<pi>Integer<pi>IntegerInteger<pi>Integer<pi>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M>vseq<pi>Integer <pi>Integer<pi>Integer<pi>Integer<M><pi>Integer<pi>Integer<pi>IntegerInteger<pi>IntegerIntegerInteger記錄捕獲的實例，是分析的重記錄捕獲的實例，是分析的重IPTCPUDP5-3列出了重要的數據庫表，Event5-45-4Snortint(10)int(10)捕獲的傳感器編int(10)int(10)int(10)IPsmallint(5)源端IPsmallint(5)目的端了Snorby工具進行展示，可看到時間跨度可操作的實警分析圖表。5-5LinuxSyslog01234567UUCP8916-事實上，Sagan是通過Syslog服務514端口來捕獲安全的，首先明確系統服務Syslog和Linux系統本身的一些基本有助于更好地分析主機安全。先級時，Syslog將記錄等于或高于該優先級的消息。Linux系統中一些重要的消息類5-55-6所示。5-6LinuxSyslog76eNot5432103.3節中所確定的日志源，并針對一些具體的數據源進行5-7Http5-8所示：Grokst}(?:HTTP/%{NUMBER:httpversion})?-)"%{NUMBER:response}(?:%{NUMBER:bytes}|-)%{QS:referrer}%{QS:agent}User%{SYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:logHost}USER:User}:\[euid=%{USER:authUser}\]:from:%{IP:logIp}%{NUMBEAuthSYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:srcHost}本文所使用的開發框架為目前較為流行的SSH框架,使型的dao、actionservice圖5.2安全實，圖5.2展示了實時的網絡和主機安全的監視控制臺首頁，可以選擇不同的時間跨度會按照預定義的高中低優先級進行分類以及各種統計圖表展示。控制臺右側可查看檢測到安全最多的傳感器登錄的系統用戶以及分類安全統計等信息此外還可以查看具體的日志列表和安全詳細如圖5.3和5.4所示，5.3圖5.4安全詳細的工作有過濾關鍵字段，統一和檢索，以及統計圖表展示，如圖5.5所示。5.5述了和系統安全的主要特點以及對不同數據源的日志進行收集過上一章節中對本文所安全信息管理原型的主要實現部分進行了詳細描述，接下來將基于該原型系統建立的本體模型設定類型判定以及用戶判定的應本文從類型和用戶角色的判定推理兩個角度來驗證本文所本體知識應的特征知識庫并構建一些基本原則進行推理得到隱藏的語義信息如確定的類型，從而降低檢測的誤報和漏報率，促進提高檢測的準確性。本應用場景主要描述的是SYNFlood，利用TCP協議，可造成與目標Service的目標主機，Host01是受Host02信任的主機。過程主要描述如下：者開始Host02的TCP連接，目的是預測Host02當前生成的TCP序列號值；者假裝是Host01并向Host02發送SYN數據包，建立TCP會話；Host01受到后，無法發會話，此時者擁有一個與目標主機Host02的會話并且可以執行命令。TCPHost01SYNTCP序列號RST消息。本應用場景的主要目標是通過對日志收集子系統收集起來的用戶操作記錄進行對異常檢測的準確性。3.8所示的用戶NameNameTimePermissionPath（Command一般情況下，扮演不同角色的計算機操作用戶所使用令基本上是一個基本固間段依據這些用戶操作以及各個項目組的具體規定來編寫相關的本體推理規（SWRL（1）（2（3）應判斷結果（6-1所示，并根據它們來建立本體實例，進而完成推理工作。1web賬戶就能滿sudorootweb用戶執行sudo命令程序員誤操作或異常2程序員正常工作時間為上午18:00web2:00時執行mysql程序員緊急操作或異3系統管理員使用執行rootmysqlrootor色4ps、cdweb/root用戶cd、orProtégé4.3OWL-DL實現本體建模工作，并根據已有知識如CVE等對本體模型進行實例化。OWL-DL的推理工作由Protégé自帶Hermit推理機以及第插件Pellet推理機來完成。本章節的組織結構（1）類型判SYNFlood6.1中列舉了本應用場景所涉及的重要概念。其中Connection表示者Attacker發起的一TCPTimeSpan，11秒，且發送超10SYNSYNFlood的主要特征，之后也將以此為根據建立規則推6.1第二步針對本應用場景的特征建立相應的規則用于確定具體的類型，6.2TCP連接的（AbnormalState只將SynFlood造成的TCP異常看做是異常狀態的充要條件并以此為條件來判斷是否為SynFlood。圖6.2SynFlood判定規則定6.36.8。6.36.3TCP15SYN消息，根6.46.4TCP1100SYN消息，根6.56.5展示的是一次建立TCPAttack01110006.66.6展示的是一次建立TCPAttack0111000消息，根據SynFlood的規則定義得到Attack01為SynFlood6.76.7TCPAttack0213SYN消6.86.8TCPAttack0213SYN消Attack02Attack。此外，本文通過對安全知識庫中大量實例分析，發現知識庫中的之間、與概念之間以及概念之間存在著某種聯系。例如，本文定義了一種相似屬性（similarVulnerability）將兩個Vulnerability聯系起來，表明這兩個Vulnerability品中，可被同一種所利用，且表現出相同的特征，并導致同樣的。若以上條件均能滿足，則兩個Vulnerability是相似的。HIGH76.9所示。圖6.9等級推理規則定6.116.12圖6.10相似Vulnerability的規則定圖6.11相似Vulnerability推理結果圖6.12相似Vulnerability推理結果User（ester統管理員（SystemAdmin）和安全管理員（SecurityAdmin。6所示：6.14（commonauthority6.156.15中定義了程序員（Developer）Common權限且操作時間86點之間的用戶角色（UserRole6.166.16Root權限且可在任意時間操作的用戶6-86.23所示：6.18圖6.18展示了用戶角色的主要分類層次，這里設定了一個異常用戶角色6.196.19Common12sudo命令，Root權限，根據推理規則得到的結果為26.236.23展示了一個擁有Common12rootmysql原型系統建模是實的正確性和實際應用價值應用場景的描述沒有涉及將網絡用的詞匯集（如CVE安全）以及主流的本體概念模型建立起來的。對于大多數量的安全實例，并從中挖掘其內在的關系，利用本體推理技術推知隱藏的語義信 SynFlood的特征以此建立本體規則并完成推理得到可能的類型應用場景二從用戶角色判定的角度根據各種用戶角色的操作規范或約定建立相應的本體安全內容的自動化構建意義重大對構建機器可理解的安全也具有一定的參的檢測系統所需要的相關知識。安全領域的知識范圍廣闊，安全檢測工具和管理產品數不勝數，而安全也是層出多的安全實例還需要不斷更新和補充本體的構建過程本身就是一個不斷迭代和使用等。而這些都可能是檢測和安全的某些特征，這也是之后的工作重點， OWLWebOntologyLanguage RDFTheResourceDescriptionFramework資源描述框架DLDescriptionLogic IDSIntrusionDetection 檢測系BISBiologicalImmune AISArtificialImmuneSystem SIMSecurityInformationManagement安全信息管理NISTNationalInstituteofStandardsand

和技術研 CommonVulnerabilities& 通用披 NationalVulnerabilityDatabase 國家數據庫 SystemDevelopmentLifeCycle CommontformEnumeration

常用模式枚舉和分本 本體是共享概念模型的明確的形式化規范說本體模型在本體中由類、關系、屬性等抽象元素構成的概念層次結構安全信息管理計算化工具，根據企業需求解決解決安全、合規和效率問題漏報率將原本是的行為判定為正常行為的比率誤報率將非行為判定為

Snort,VII,VIII,23,24,28,29,51,52,21,26,28,29,50,52,,12,13,30,24323435,I,50