（計算機應用技術(shù)專業(yè)論文）基于本體的多源異構(gòu)安全數(shù)據(jù)聚合.pdf

c l a s s i f i e di n d e x ： u d c ： adiss e r t a tio nf o rt h ed e g r e eo fd e n g m u l t i s o u r c eh e t e r o g e n e o u ss e c u r i t yd a t a a g g r e g a t i o n ba s e do no n t o l o g y c a n di d a t e ：m e n gy u l o n g s u p e r v is o r ：p r o f y i ng u i s h e n g a c a d e m i cd e g r e ea p p i i e df o r ：d o c t o ro fe n g i n e e r i n g s p e cia lit y ：c o m p u t e ra p p lie dt e c h n o l o g y d a t eo fs u b m i s s i o n ：f e b r u a r y ，2 0 1 0 d a t eo fo r a l e x a m i n a ti o n ：a p r il ，2 0 1 0 u n i v e r s i t y ：h a r b i ne n g i n e e r i n gu n i v e r s i t y l 哈爾濱工程大學 學位論文原創(chuàng)性聲明 本人鄭重聲明：本論文的所有工作，是在導師的指導下，由 作者本人獨立完成的。有關觀點、方法、數(shù)據(jù)和文獻的引用已在 文中指出，并與參考文獻相對應。除文中已注明引用的內(nèi)容外， 本論文不包含任何其他個人或集體已經(jīng)公開發(fā)表的作品成果。對 本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式 標明。本人完全意識到本聲明的法律結(jié)果由本人承擔。 1 一 、 作者( 簽字) ：砬暫艫 日期：和年多月：7 日 哈爾濱工程大學 學位論文授權(quán)使用聲明 本人完全了解學校保護知識產(chǎn)權(quán)的有關規(guī)定，即研究生在校 攻讀學位期間論文工作的知識產(chǎn)權(quán)屬于哈爾濱工程大學。哈爾濱 工程大學有權(quán)保留并向國家有關部門或機構(gòu)送交論文的復印件。 本人允許哈爾濱工程大學將論文的部分或全部內(nèi)容編入有關數(shù)據(jù) 庫進行檢索，可采用影印、縮印或掃描等復制手段保存和匯編本 學位論文，可以公布論文的全部內(nèi)容。同時本人保證畢業(yè)后結(jié)合 學位論文研究課題再撰寫的論文一律注明作者第一署名單位為哈 爾濱工程大學。涉密學位論文待解密后適用本聲明。 本論文( 準授予學位后即可口在授予學位1 2 個月后 口 解密后) 由哈爾濱工程大學送交有關部門進行保存、匯編等。 作者( 簽字) ：琶字 日期：_ 唧d 年形月z 7 日 導師( 簽字) 加，年髟月 卅叫r 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合 摘要 安全數(shù)據(jù)是描述與安全相關的數(shù)據(jù)，信息領域存在大量分布的、彼此異 構(gòu)的安全數(shù)據(jù)，稱為多源異構(gòu)安全數(shù)據(jù)。隨著網(wǎng)絡依賴程度的提高，信息共 享和數(shù)據(jù)交換的范圍不斷擴大，具有語義分析和處理功能的數(shù)據(jù)聚合已經(jīng)成 為數(shù)據(jù)分析處理的有效方法和手段。如何在網(wǎng)絡安全態(tài)勢感知中有效地將攜 帶敏感信息的安全數(shù)據(jù)進行結(jié)構(gòu)、語法和語義的聚合，從海量的多源異構(gòu)安 全數(shù)據(jù)中提煉出簡潔、準確、可信以及語義明確的安全態(tài)勢影響要素，是一 個新的課題和挑戰(zhàn)。 網(wǎng)絡安全態(tài)勢感知是目前網(wǎng)絡安全領域的研究熱點之一，是實現(xiàn)網(wǎng)絡安 全監(jiān)控和評估的一種新技術(shù)。本文以網(wǎng)絡安全態(tài)勢感知為背景，以本體等相 關理論研究為基礎，以影響網(wǎng)絡安全態(tài)勢的要素為處理對象，通過對貝葉斯 網(wǎng)絡分類、安全策略等方法和策略進行改進，以其與本體描述、本體構(gòu)建和 本體推理的結(jié)合為手段，針對網(wǎng)絡安全態(tài)勢感知中多源異構(gòu)安全數(shù)據(jù)聚合的 相關關鍵技術(shù)進行了研究，主要研究工作如下。 網(wǎng)絡安全態(tài)勢感知中數(shù)據(jù)聚合框架是開展該方向研究的前提和基礎。首 先制定基于本體的框架構(gòu)建規(guī)則和構(gòu)建方法，提出一個面向網(wǎng)絡態(tài)勢感知的 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合框架，同時給出框架的完整描述，然后并 利用p e p a 形式化語言對該框架進行分析。該框架為基于本體的多源異構(gòu)安 全數(shù)據(jù)聚合提供了整體指導思路。 為進行網(wǎng)絡安全態(tài)勢感知中安全數(shù)據(jù)聚合框架及安全數(shù)據(jù)分類中的本體 表示，對現(xiàn)有本體描述語言進行分析。提出一種面向聚合的基于本體的表示 和推理方法。給出該方法的基本形式，對具有語義關系的分類數(shù)據(jù)建立相應 的本體行為特征輪廓描述，通過層次劃分和節(jié)點聚合有效表示了安全態(tài)勢要 素的x m l 等結(jié)構(gòu)化、半結(jié)構(gòu)化文檔的語義。在一個網(wǎng)絡安全態(tài)勢感知實驗 中進行了驗證，實驗結(jié)果表明，這種語義表示方法能有效提升網(wǎng)絡安全態(tài)勢 感知中數(shù)據(jù)分析能力，為準確進行態(tài)勢評估提供參考。 針對網(wǎng)絡安全態(tài)勢要素分層、多源異構(gòu)的特點，分析目前已有分類方法 的不足，引入貝葉斯網(wǎng)絡分類器提出一個面向聚合的具有語義特征關聯(lián)的貝 葉斯網(wǎng)絡分類方法。詳細定義了網(wǎng)絡安全態(tài)勢感知中安全數(shù)據(jù)聚合框架內(nèi)的 哈爾濱t 程大學博十學位論文 處理對象，給出對象語義特征提取和網(wǎng)絡節(jié)點變遷規(guī)則、改進面向聚合的i j l l 練樣本選擇和參數(shù)學習。實驗結(jié)果表明，提出的方法適合面向聚合的多源異 構(gòu)安全數(shù)據(jù)的語義分類。 針對多源異構(gòu)數(shù)據(jù)進行聚合過程中，主體進程常常同時處理具有多種安 全等級客體的特殊性及聚合框架自身安全保障的問題，現(xiàn)有安全策略不能靈 活處理，導致聚合過程無法完全評估影響網(wǎng)絡安全態(tài)勢的要素，提出一種面 向網(wǎng)絡安全態(tài)勢感知中數(shù)據(jù)聚合的擴展權(quán)值多級安全策略。論文給出該策略 的完整定義和訪問規(guī)則，將其與本體表示相結(jié)合加入聚合框架內(nèi)，在保障聚 合過程安全同時實現(xiàn)了更靈活的主體訪問機制。實驗驗證在基本不影響系統(tǒng) 性能基礎上提高了安全態(tài)勢評估效果。 關鍵詞：網(wǎng)絡安全態(tài)勢感知；本體；多源異構(gòu)安全數(shù)據(jù)；數(shù)據(jù)聚合；安全策 略 產(chǎn) o 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合 a b s t r a c t s e c u r i t y d a t ad e s c r i b e sd a t a s e c u r i t y - r e l a t e d l o t s o fd i s t r i b u t e da n d h e t e r o g e n e o u ss e c u r i t yd a t aw i t he a c ho t h e ri si ne x i s t e n c ei ni n f o r m a t i o nd o m a i n w h i c hi sk n o w n 舔m u l t i s o u r c eh e t e r o g e n e o u s s e c u r i t y d a t a w i t ht h e i m p r o v e m e n to fn e t w o r kd e p e n d e n c ea n dt h ee x p a n s i o no fi n f o r m a t i o ns h a r e sa n d d a t ac h a n g e s ，i ti s b e c o m i n gak i n do fi m p o r t a n tm e t h o da n dm e a n sf o rd a t a a n a l y z i n ga n dp r o c e s s i n gt o u s ed a t aa g g r e g a t i o nw i t hs e m a n t i c a n a l y s i sa n d p r o c e s s i n g s o ，h o wt h es e c u r i t yd a t aw i t hs e n s i t i v ei n f o r m a t i o nt ob ea g g r e g a t e d i ns t r u c t u r e ，s y n t a xa n ds e m a n t i c si nn e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s sa n d h o wt oa b s t r a c tc o m p a c t ，a c c u r a t e ，t r u s t e ds e c u r i t ya w a r e n e s sf a c t o r sw i t hc l e a r s e m a n t i c si san e ws u b j e c ta n dc h a l l e n g e n e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s si so n eo fr e s e a r c hh o t s p o t si nd o m a i n o fn e t w o r ks e c u r i t ya tp r e s e n t i ti sn e wt e c h n o l o g yt or e a l i z en e t w o r ks e c u r i t y s u p e r v i s i o na n de v a l u a t i o n t h eb a c k g r o u n do ft h i st h e s i s i sn e t w o r ks e c u r i t y s i t u a t i o na w a r e n e s s i t st h e o r yb a s i si so n t o l o g ye t c t h ep r o c e s s i n go b j e c t sa r e f a c t o r sw h i c ha f f e c tn e t w o r ks e c u r i t ya w a r e n e s s t h eb a y e sn e t w o r kc l a s s i f i c a t i o n a n ds e c u r i t yp o l i c ye t c i si m p r o v e d b yt h em e a n so fo n t o l o g yd e s c r i p t i o n ， o n t o l o g yc o n s t r u c t i o na n do n t o l o g yr e a s o n i n g ，t h er e l a t e dt e c h n o l o g i e sa i m e da t m u l t i s o u r c eh e t e r o g e n e o u ss e c u r i t yd a t aa g g r e g a t i o na r er e s e a r c h e d t h em a i n c o n t e n t sa r eo r g a n i z e da sf o l l o w s d a t aa g g r e g a t i o nf r a m e w o r ki nn e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s si sb a s i s a n dp r e m i s e so fr e s e a r c h i n g t h ef r a m e w o r kc o n s t r u c t i o nr u l e sa n dm e t h o d sa r e e s t a b l i s h e df i r s am u l t i s o u r c e h e t e r o g e n e o u ss e c u r i t yd a t aa g g r e g a t i o n f r a m e w o r kb a s e do no n t o l o g yi sp r o p o s e d t h ef r a m e w o r ki sd e s c r i b e df u l l ya n d b ea n a l y z e db yu s i n gp e p af o r m a l i z a t i o nl a n g u a g e i t p r o v i d e sai n t e g r a t e d m e t h o df o rm u l t i s o u r c eh e t e r o g e n e o u s s e c u r i t y d a t a a g g r e g a t i o nb a s e do n o n t o l o g y a i m e da th i e r a r c h i c a lm u l t i s o u r c eh e t e r o g e n e o u sf e a t u r e so fn e t w o r k s e c u r i t ys i t u a t i o n ，t h es h o r t a g e so fc u r r e n tc l a s s i f i c a t i o nm e t h o d sa r ea n a l y z e d a 哈爾濱工程大學博士學位論文 b a y e sn e t w o r kc l a s s i f i c a t i o nm e t h o df a c e dw i t ha g g r e g a t i o nw i t h s e m a n t i cf e a t u r e r e l a t i o n si sp r o p o s e d t h ep r o c e s s i n go b j e c t si nf r a m e w o r ko fs e c u r i t yd a t a a g g r e g a t i o no fn e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s sa r ed e f i n e dd e t a i l e d l y t h e r u l e so fo b j e c ts e m a n t i cf e a t u r ea b s t r a c t i o na n dn e t w o r kn o d ec h a n g ea r ep r o v i d e d t h ec h o o s i n go ft r a i n i n gs a m p l e sa n dp a r a m e t e r sl e a r n i n gf a c e dw i t ha g g r e g a t i o n i si m p r o v e d t h ee x p e r i m e n t a lr e s u l ts h o w st h a tt h ep r o p o s e dm e t h o di sa d a p t e d f o rs e m a n t i cc l a s s i f i c a t i o nf a c e dw i t hm u l t i - s o u r c eh e t e r o g e n e o u ss e c u r i t yd a t a a g g r e g a t i o n i no r d e rt od e s c r i b eo n t o l o g yi nf r a m e w o r ko fs e c u r i t yd a t aa g g r e g a t i o no f n e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s sa n ds e c u r i t yd a t ac l a s s i f i c a t i o n t h ec u r r e n t o n t o l o g yd e s c r i p t i o nl a n g u a g e sa r ea n a l y z e da n dd e s c r i p t i o nm e t h o db a s e do n o n t o l o g yf a c e dw i t ha g g r e g a t i o n t h eb a s i c f o r m sa r eg i v e na n do n t o l o g y b e h a v i o rf e a t u r ep r o f i l ed e s c r i p t i o ni ss e tf o rc l a s s i f i c a t i o nd a t aw i t hs e m a n t i c r e l a t i o n i ts h o w se f f e c t i v e l ys t r u c t u r e da n dh a l fs t r u c t u r e dd o c u m e n ts e m a n t i c so f x m le t c o ff a c t o r so fs e c u r i t ys i t u a t i o na w a r e n e s sb yh i e r a r c h i c a lp a r t i t i o na n d 、n o d ea g g r e g a t i o n t 1 l ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h e s e m a n t i cd e s c r i p t i o n m e t h o dc a ni m p r o v ep o w e re f f e c t i v e l yi na n a l y z i n gd a t ai nn e t w o r ks e c u r i t y s i t u a t i o na w a r e n e s sa n dp r o v i d er e f e r e n c ef o re v a l u a t i n gs i t u a t i o na c c u r a t e l y i nt h ep r o c e s so fm u l t i s o u r c eh e t e r o g e n e o u ss e c u r i t yd a t a , t h ep r o b l e m s e x i s ti nw h e nm a i np r o c e s so f t e np r o c e s s e sm u l t i g r a d eo b j e c t sa n di t s e l fs e c u r i t y g u a r a n t e eo fa g g r e g a t i o nf r a m e w o r kc a l ln o ts o l v e dn e a t l yb yc u r r e n ts e c u r i t y s t r a t e g y t h ea g g r e g a t i o np r o c e s sc a nn o te v a l u a t ef a c t o r sf u l l ya f f e c t e db y n e t w o r ks e c u r i t ys i t u a t i o n aw e i g h t v a l u e - e x t e n d e dm u l t i l a y e rs e c u r i t ys t r a t e g y f a c e dw i t hd a t aa g g r e g a t i o no fn e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s si sp r o p o s e d t h ei n t e g r a t e dd e f i n i t i o na n da c c e s sr u l e sa r eg i v e n i ti sa d d e di n t of r a m e w o r kb y a s s o c i a t i n go n t o l o g yd e s c r i p t i o n i tr e a l i z i n gm o r ef l e x i b l em a i nb o d ya c c e s s m e c h a n i s ma tt h es a m et i m ew h e np r o t e c t sa g g r e g a t i o ns a f e t y t h ee x p e r i m e n t s h o w st h a tb e t t e rs e c u r i t ys i t u a t i o ne v a l u a t i o ni sa c h i e v e d k e yw o r d s ：n e t w o r ks e c u r i t ys i t u a t i o na w a r e n e s s ；o n t o l o l g y ；m u l t i s o u r c e h e t e r o g e n e o u ss e c u r i t yd a t a ；d a t aa g g r e g a t i o n ；s e c u r i t yp o l i c y 盧 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合 目錄 第1 章緒論l 1 1 課題背景及意義1 1 2 國內(nèi)外研究現(xiàn)狀3 1 2 1 數(shù)據(jù)聚合的產(chǎn)生和發(fā)展3 1 2 2 網(wǎng)絡安全態(tài)勢感知中的多源異構(gòu)安全數(shù)據(jù)聚合8 1 2 3 本體研究現(xiàn)狀9 1 3 存在問題和發(fā)展趨勢15 1 3 1 存在問題15 1 3 2 發(fā)展趨勢16 1 4 論文主要內(nèi)容和組織結(jié)構(gòu)1 6 第2 章基于本體的多源異構(gòu)安全數(shù)據(jù)聚合框架1 9 2 1 問題的提出1 1 9 2 2 框架的構(gòu)造原則和過程2 0 2 2 1 構(gòu)造原則2 0 2 2 2 構(gòu)造過程2 l 2 3 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合框架2 l 2 3 1 框架描述2 3 2 3 2 框架的擴展性2 4 2 3 3 本體服務框架2 5 2 4 形式化描述2 8 2 4 1 基于p e p a 的聚合框架描述2 8 2 4 2 框架模型的分析3 0 2 5 實驗與結(jié)果分析3 2 2 5 1 內(nèi)部擴張能力實驗3 2 2 5 2 外部擴張能力實驗3 3 哈爾濱工程大學博士學位論文 2 6 本章小結(jié)3 4 第3 章面向聚合的本體表示和推理方法3 5 3 1 問題的提出3 5 3 2 相關理論分析3 6 3 2 1 本體、概念與領域的關系3 6 3 2 2 描述邏輯基本形式3 7 3 2 3 本體描述語言4 0 3 3 面向聚合的本體表示和推理方法4 0 3 3 1 基本形式4 l 3 3 2 本體表示層次與節(jié)點聚合4 2 3 3 3 對象關系4 4 3 3 4 本體描述過程4 5 3 3 5 描述模板。5 0 3 4 仿真實驗與結(jié)果分析5 3 3 4 1 實驗環(huán)境5 3 3 4 2 實驗結(jié)果和分析5 4 3 5 本章小結(jié)5 7 第4 章面向聚合的具有語義特征關聯(lián)的貝葉斯網(wǎng)絡分類方法5 8 4 1 問題的提出5 8 4 2 相關理論研究5 9 4 2 1 樸素貝葉斯分類器特點分析5 9 4 2 2 貝葉斯網(wǎng)絡分類器及其構(gòu)造過程6 1 4 3 面向聚合的語義特征關聯(lián)貝葉斯網(wǎng)絡分類方法6 2 4 3 1 基本思想6 2 4 3 2 處理對象及其集合6 2 4 3 3 訓練樣本選擇6 3 4 3 4 語義特征提取及關聯(lián)6 4 4 3 5 網(wǎng)絡節(jié)點變遷。6 6 一 廣 基于本體的多源異構(gòu)安全數(shù)據(jù)聚合 4 3 6 參數(shù)學習6 7 4 3 7s b n 推理7 0 4 4 仿真實驗與結(jié)果分析7 l 4 4 1 實驗環(huán)境和樣本選擇7 l 4 4 2 實驗結(jié)果和分析7 2 4 5 本章小結(jié)7 4 第5 章網(wǎng)絡安全態(tài)勢感知中數(shù)據(jù)聚合的安全策略7 6 5 1 問題的提出7 6 5 2 相關安全策略分析7 7 5 2 1 典型安全策略模型7 7 5 2 2 多級安全策略分析8 0 5 3 面向聚合的擴展權(quán)值多級安全策略j 。8 1 5 3 1 策略思想8 2 5 3 2 定義和規(guī)則8 2 5 3 3 安全策略模型。8 4 5 3 4 策略分析8 6 5 4 實驗與結(jié)果分析8 8 5 4 1 實驗環(huán)境8 8 5 4 2 實驗結(jié)果和分析8 9 5 5 本章小結(jié)9 1 結(jié)論9 2 參考文獻9 4 攻讀博士學位期間發(fā)表的論文和取得的科研成果1 0 6 致謝1 0 7 個人簡歷10 8 ， 第1 章緒論 1 1 課題背景及意義 第1 章緒論 隨著計算機技術(shù)的快速發(fā)展、網(wǎng)絡的廣泛應用，各部門信息化工作的進 一步深入，幾乎不可避免的，在國家部門和現(xiàn)代企業(yè)中使用不同的操作系統(tǒng)、 不同的網(wǎng)絡系統(tǒng)以及不同的數(shù)據(jù)管理系統(tǒng)來存儲和管理其重要數(shù)據(jù)【啦 3 ，4 】。與 此同時，由于目前黑客技術(shù)日益公開化，職業(yè)化，各種攻擊日益頻繁，病毒 日益泛濫，重大網(wǎng)絡安全事件日益增加，用戶的防范意識也迅速提高，安全 服務已經(jīng)逐漸引起重視。2 0 0 8 年，公安部調(diào)查顯示，6 2 7 的被調(diào)查單位發(fā) 生過網(wǎng)絡安全事件，其中網(wǎng)絡入侵事件占有很大的比重p j 。在傳統(tǒng)網(wǎng)絡安全 技術(shù)逐漸無法滿足人們的安全需求的背景下，網(wǎng)絡安全態(tài)勢感知研究應運而 生。網(wǎng)絡安全態(tài)勢感知是建立在網(wǎng)絡安全事件檢測基礎之上的，對能夠引起 網(wǎng)絡安全態(tài)勢發(fā)生變化要素的提取，通過對當前態(tài)勢的評估以及未來安全態(tài) 勢的預測的一種網(wǎng)絡安全總體狀態(tài)的綜合評價，其采用的評價指標是一個綜 合多種因素的有機體系。其中，態(tài)勢可以理解為是一種狀態(tài)或是一種趨勢； 引起網(wǎng)絡安全態(tài)勢發(fā)生變化的要素可以理解為那些攜帶敏感信息的、描述與 安全相關信息的數(shù)據(jù)，稱為安全數(shù)據(jù)。在網(wǎng)絡安全態(tài)勢感知中，安全數(shù)據(jù)的 主要特征體現(xiàn)為生成節(jié)點多源分布、存儲、傳輸和處理方式異構(gòu)、時間序列 異構(gòu)、結(jié)構(gòu)異構(gòu)、語法異構(gòu)和語義異構(gòu)等，同時，其在承載與安全相關信息 的同時，自身也具有一定的機密性和完整性需求。網(wǎng)絡安全態(tài)勢感知平臺可 利用這些安全數(shù)據(jù)和相應服務機制制定安全解決方案及進行安全態(tài)勢評估。 在網(wǎng)絡安全態(tài)勢感知中，網(wǎng)絡日志是一種典型的多源異構(gòu)安全數(shù)據(jù)。這 些網(wǎng)絡日志在生成節(jié)點、生成時間、生成結(jié)構(gòu)以及承載語義上的不同形成了 大量的“多源異構(gòu)”現(xiàn)象。其多源性體現(xiàn)在日志生成方式、存放方式和處理 方式的多樣化，即數(shù)據(jù)源分布在分散的，彼此可以通信的多個節(jié)點上，如布 置在交換機、服務器上的日志傳感器所采集到的日志：其異構(gòu)性主要體現(xiàn)為 系統(tǒng)異構(gòu)、結(jié)構(gòu)異構(gòu)、生成時間異構(gòu)、語法異構(gòu)和語義異構(gòu)，系統(tǒng)異構(gòu)和結(jié) 哈爾濱工程大學博士學位論文 構(gòu)異構(gòu)表現(xiàn)為操作系統(tǒng)、硬件、數(shù)據(jù)模型的不同，語法異構(gòu)一般指源數(shù)據(jù)和 目的數(shù)據(jù)之間命名規(guī)則及數(shù)據(jù)類型存在不同，其中語義異構(gòu)會導致不同數(shù)據(jù) 的語義區(qū)分問題。系統(tǒng)是動態(tài)變化的、具有活性的，其活性越積極則數(shù)據(jù)的 語義匹配越困難。這些海量的多源異構(gòu)的安全數(shù)據(jù)使得安全信息共享和安全 業(yè)務協(xié)同處理出現(xiàn)了嚴重的阻塞，對系統(tǒng)本身的安全檢測、分析、度量、預 防和處理帶來極大時間、空間復雜度。另一方面，就網(wǎng)絡日志本身而言，其 除具有描述安全的特性外，一般均擁有一定的密級，可以在相應的安全信息 流中進行流通，所以，網(wǎng)絡安全態(tài)勢感知中處理安全數(shù)據(jù)同時需要選取適合 的安全策略進行保障。但是網(wǎng)絡安全態(tài)勢感知系統(tǒng)自身安全性的研究在以前 的研究中并未受到重視【6 】。從用戶角度來看，其更加需要在優(yōu)質(zhì)網(wǎng)絡安全產(chǎn) 品基礎之上的完整的、直觀的以及明確的安全解決方案。所以，如何在浩如 煙海的“安全數(shù)據(jù) 中清晰、明確地檢測和還原出安全事件并加以分析、解 決和反饋是目前網(wǎng)絡安全態(tài)勢感知的研究熱點之一。在這一點上，安全事件 檢測與安全態(tài)勢評估問題可規(guī)約為網(wǎng)絡安全態(tài)勢感知中的多源異構(gòu)安全數(shù)據(jù) 聚合問題，這里，數(shù)據(jù)聚合是指通過同時聚集和分析多個數(shù)據(jù)源的多種不同 類型的數(shù)據(jù)來取得信息的全貌，數(shù)據(jù)聚合要考慮數(shù)據(jù)上下文關系。 目前已有的安全解決方案大多是將大量的安全數(shù)據(jù)進行各種方式數(shù)據(jù)集 成，然后通過數(shù)據(jù)過濾等手段總結(jié)安全事件，沒有注重原始安全數(shù)據(jù)本身所 固有的語義特征。因此，無法解決異構(gòu)安全數(shù)據(jù)的語義異構(gòu)分析并以此來還 原安全事件的問題【7 , 8 , 9 】。 數(shù)據(jù)聚合是指通過同時聚集和分析多個數(shù)據(jù)源的多種不同類型的數(shù)據(jù)來 取得信息的全貌。多源異構(gòu)安全數(shù)據(jù)的語義異構(gòu)使得其聚合過程需要引入本 體的支持。本體具有良好的概念層次結(jié)構(gòu)和對邏輯推理的支持，是客觀存在 的一個系統(tǒng)的解釋或說明，在知識檢索中有廣泛應用。本體關心的是客觀現(xiàn) 實的抽象本質(zhì)，是一種用來說明事物內(nèi)在含義( 即語義) 的邏輯理論，因此， 本體可以用來承載事物最原子的語義。不同系統(tǒng)的字段往往不能一一對應， 相似的字段定義也經(jīng)常不完全一致，而且數(shù)據(jù)的組織方式( 信息模型) 也可 能不同，所以要實現(xiàn)不同數(shù)據(jù)庫之間的映射往往很困難。而利用o w l 的 r d f s ：s u b c l a s s o f , o w l ：s a m c c l a s s a s ，r d f s ：s u b p r o p e r t y o f , o w l ：s a m e p r o p e r t ya s 等， 可以實現(xiàn)很復雜的語義映射。這些特點使得利用本體進行多源異構(gòu)安全數(shù)據(jù) 2 卜 第1 章緒論 聚合成為網(wǎng)絡安全態(tài)勢感知的一個重要研究方向。在上述需求背景和技術(shù)背 景下，本文嘗試以網(wǎng)絡安全態(tài)勢感知為切入點，從基于本體的多源異構(gòu)安全 數(shù)據(jù)聚合中相關技術(shù)問題出發(fā)，借鑒本體理論對多源異構(gòu)安全數(shù)據(jù)聚合進行 本體建模和本體描述，對原始的多源異構(gòu)安全數(shù)據(jù)逐步進行數(shù)據(jù)語義分類、 本體描述和邏輯推理，以期能夠準確、真實地檢測出隱藏在海量多源異構(gòu)安 全數(shù)據(jù)中的網(wǎng)絡安全事件。 本課題來源于國家8 6 3 科研項目“基于自律計算的分布式系統(tǒng)自恢復性 關鍵技術(shù)研究( 項目編號：2 0 0 7 a a 0 1 2 4 0 1 ) ”和國防十一五預研項目“x x 網(wǎng)絡安全態(tài)勢感知系統(tǒng)信息獲取技術(shù)( 項目編號：5 1 3 x x 0 2 ) ”。主要解決網(wǎng) 絡安全態(tài)勢感知中基于本體的多源異構(gòu)安全數(shù)據(jù)聚合框架及與其相關的若干 關鍵問題。通過本課題的研究，首先可以為改變傳統(tǒng)數(shù)據(jù)集成思想和方法提 供一定參考，推進本體構(gòu)建等相關理論的研究。其次，本文研究內(nèi)容對網(wǎng)絡 安全態(tài)勢感知中安全數(shù)據(jù)聚合框架、語義分類、本體描述和推理以及制定安 全策略等研究有一定的意義。第三，本文對網(wǎng)絡日志聚合的研究為解決網(wǎng)絡 安全態(tài)勢感知提供了強有力的分析手段，可以高效組織和整合安全數(shù)據(jù)資源， 提高安全數(shù)據(jù)分析處理效率，為迅速、明確地進行網(wǎng)絡安全態(tài)勢感知評估提 供一定理論研究基礎。 1 2 國內(nèi)外研究現(xiàn)狀 為解決多源異構(gòu)數(shù)據(jù)處理問題，早期人們提出了數(shù)據(jù)集成技術(shù)并展開了 廣泛研究，但是沒有解決數(shù)據(jù)的語義異構(gòu)問題。例如x m l 可以將不同來源 的異構(gòu)數(shù)據(jù)結(jié)合在一起，為解決多源異構(gòu)數(shù)據(jù)的聚合提供了機會，因此x m l 迅速成為描述異構(gòu)文檔的標準語言并得到廣泛應用。在十九世紀末二十世紀 初，研究人員嘗試將人工智能領域的本體引入到異構(gòu)數(shù)據(jù)的聚合中用以解決 數(shù)據(jù)語義異構(gòu)問題。 1 2 1 數(shù)據(jù)聚合的產(chǎn)生和發(fā)展 對多源異構(gòu)數(shù)據(jù)的處理，一般可采用數(shù)據(jù)集成和數(shù)據(jù)聚合的方法，常見 的數(shù)據(jù)集成方法主要有聯(lián)邦數(shù)據(jù)庫法、數(shù)據(jù)倉庫法、中介器法。數(shù)據(jù)聚合方 3 哈爾濱工程大學博士學位論文 法是主要基于語義數(shù)據(jù)模型的數(shù)據(jù)分析和處理方法，如骨架法掣1 0 】【1 1 】【1 2 】。 1 2 1 1 傳統(tǒng)的多源異構(gòu)數(shù)據(jù)集成 美國國家科學基金會( n s f ) 在上世紀9 0 年代舉行了未來數(shù)據(jù)庫討論會 ( w o r k s h o po f f u t u r ed a t a b a s er e s e a r c h ) 。該會議確立“構(gòu)建異構(gòu)、自治數(shù)據(jù) 庫中支持可控的信息共享與交換環(huán)境”為未來數(shù)據(jù)庫研究的關鍵問題。異構(gòu) 數(shù)據(jù)集成不僅僅是簡單的數(shù)據(jù)庫模式集成或者建立一個全局數(shù)據(jù)庫視圖，而 是讓彼此異構(gòu)、自治的信息系統(tǒng)能跨平臺的進行信息協(xié)作【1 3 , 1 4 】。數(shù)據(jù)集成的 目的是將相互關聯(lián)的分布式異構(gòu)數(shù)據(jù)源集成到一起，使得用戶能夠以透明的 方式訪問這些數(shù)據(jù)源【1 5 】。圖1 1 顯示了傳統(tǒng)數(shù)據(jù)集成的典型模式。 目前，國內(nèi)外許多行業(yè)組織己采用公共的建模或數(shù)據(jù)交換工具( 如u m l 和x m l ) 開展領域業(yè)務對象的標準化工作，他們建造針對特定領域復雜信息 資源的規(guī)范及標準，即元模型【l6 1 。由于各個標準組織的發(fā)展歷史不同，關注 的業(yè)務領域不同，并且采用的技術(shù)也不盡相同。所以，各個標準化組織在進 行元模型標準化的時候都只針對其所屬范圍，采取一種特定的方式去制定自 己的標準。這樣，在不同組織所定義的元模型之間，仍然存在概念定義不同 和采用的技術(shù)不同的雙重分歧【ll 博j 。 在一個典型的數(shù)據(jù)集成系統(tǒng)中，最主要的任務就是在全局模式下的異構(gòu)數(shù)據(jù) 源間建立映射，這樣的映射要適當考慮到數(shù)據(jù)集成系統(tǒng)的標準化【l9 1 。數(shù)據(jù)集 成模式形式化框架可描述如下：一個數(shù)據(jù)集成系統(tǒng)，是一個三元組( g ，j ，朋) ， 其中：g 是全局模式，j 是源數(shù)據(jù)， t 是g 和s 之間的映射，肌存在三種不同 的映射方法：以全局模式為中心的方法、以數(shù)據(jù)源為中心的方法以及二者結(jié) 合的方法【2 0 , 2 1 , 2 2 ，2 3 1 。 1 聯(lián)邦數(shù)據(jù)庫法 聯(lián)邦數(shù)據(jù)庫的數(shù)據(jù)源相互獨立，但通過數(shù)據(jù)源之間的數(shù)據(jù)交換格式進行 一一映射，一個數(shù)據(jù)源可以訪問任何其他數(shù)據(jù)源提供的信息。好象所有數(shù)據(jù) 都位于一個數(shù)據(jù)庫中，盡管事實上數(shù)據(jù)可能存儲在異構(gòu)的數(shù)據(jù)源集合中【2 4 1 。 聯(lián)邦數(shù)據(jù)庫方法的優(yōu)點是容易實現(xiàn)，而缺點則是工作量極大，擴展性差。聯(lián) 邦數(shù)據(jù)庫法體系結(jié)構(gòu)如圖1 1 所示。 4 卜 第1 章緒論 圖1 1 聯(lián)邦數(shù)據(jù)庫法體系結(jié)構(gòu) f i g 1 1a r c h i t e c t u r eo ff e d e r a t e dd a t a b a s e s 2 數(shù)據(jù)倉庫法 數(shù)據(jù)倉庫法將來自幾個數(shù)據(jù)源的數(shù)據(jù)副本按照一個集中、統(tǒng)一的視圖要 求進行預處理和轉(zhuǎn)換，以符合數(shù)據(jù)倉庫的模式并存儲到數(shù)據(jù)倉庫中。數(shù)據(jù)倉 庫的出現(xiàn)并不是要取代數(shù)據(jù)庫。目前，大部分數(shù)據(jù)倉庫還是用關系數(shù)據(jù)庫管 理系統(tǒng)來管理的。數(shù)據(jù)倉庫是面向主題設計的，存儲的一般是歷史數(shù)據(jù)。數(shù) 據(jù)倉庫在設計的時候一般有意引入冗余，采用反范式的方式來設計。其設計 目的主要是進行數(shù)據(jù)分析，所以數(shù)據(jù)倉庫并不是嚴格意義上的數(shù)據(jù)集成。數(shù) 據(jù)倉庫方法的缺點是當數(shù)據(jù)源中的數(shù)據(jù)發(fā)生變化時，數(shù)據(jù)倉庫中的數(shù)據(jù)也要 做相應的修改，因此會造成數(shù)據(jù)更新不及時以及數(shù)據(jù)的重復存儲。數(shù)據(jù)倉庫 法體系結(jié)構(gòu)如圖1 2 所示。 圖1 2 數(shù)據(jù)倉庫法體系結(jié)構(gòu) f i g 1 2a r c h i t e c t u r eo f d a t aw a r e h o u s e 哈爾濱工程大學博士學何論文 3 中介器法 中介器法集成異構(gòu)數(shù)據(jù)源的方式與數(shù)據(jù)倉庫的方式相似，但中介器法使 用與數(shù)據(jù)倉庫法完全不同的結(jié)構(gòu)。中介器法中，數(shù)據(jù)仍然保存在各異構(gòu)數(shù)據(jù) 源上，集成系統(tǒng)僅提供一個虛擬的集成視圖和對該視圖的查詢的處理機制。 該種方法的缺點是沒有實現(xiàn)真正意義上的數(shù)據(jù)集成，僅僅提供了一個數(shù)據(jù)封 裝，如果用戶提出一個查詢，必須通過中介器在源數(shù)據(jù)源中得到查詢結(jié)果， 并使用源數(shù)據(jù)源形式對查詢進行回答。中介器法體系結(jié)構(gòu)如圖1 3 所示。 圖1 3 中介器法體系結(jié)構(gòu) f i g 1 3a r c h i t e c t u r eo fm e d i a t o r 1 2 1 2 基于x m l 的多源異構(gòu)數(shù)據(jù)聚合 傳統(tǒng)的關系型數(shù)據(jù)仍是目前最為成熟的數(shù)據(jù)表示方法之一，其主要優(yōu)點 是：實體間聯(lián)系固定，具有良好的完整性支持；描述自然、直觀、容易理解； 建立在嚴格的數(shù)學概念的基礎上，概念單一，實體與實體間的聯(lián)系都用關系 表示，故其數(shù)據(jù)結(jié)構(gòu)簡單、清晰；存取路徑對用戶透明，有更高的數(shù)據(jù)獨立 性和更好的安全保密性。缺點是對數(shù)據(jù)操作限制比較多，而且隨著應用環(huán)境 的擴大，數(shù)據(jù)庫的結(jié)構(gòu)越來越復雜，不利于用戶掌握；其d d l ，d m l 語言 復雜，用戶不容易使用：無法解決語義異構(gòu)。除傳統(tǒng)的關系型數(shù)據(jù)之外，半 結(jié)構(gòu)化數(shù)據(jù)( s e m i s t m c t e dd a t a ) 也是一種重要的數(shù)據(jù)表示方法，半結(jié)構(gòu)化數(shù) 據(jù)是指缺乏嚴格模式結(jié)構(gòu)的數(shù)據(jù)，通?？梢杂梦臋n樹來描述。作為表示半結(jié) 6 卜 第l 章緒論 構(gòu)化數(shù)據(jù)的標準之一，x m l 被廣泛應用于異構(gòu)數(shù)據(jù)交換【2 讓6 i 。同時，圍繞 x m l 的相關研究也逐漸成熟。2 0 0 0 年，基于x m l 的異構(gòu)數(shù)據(jù)集成中間件研 究受到美國政府o p a l 計劃支持【27 1 ，x m l 具有平臺獨立性，所以x m l 可以 用來解決多源異構(gòu)數(shù)據(jù)中的互操作問題，其作為數(shù)據(jù)傳輸?shù)囊环N中介格式具 有良好的自描述性和擴展性，可以用來同時表示多種類型的數(shù)據(jù)，同時x m l s c h e m a 可用來進行數(shù)據(jù)模式之間的映射，將異構(gòu)數(shù)據(jù)源的類型映射為x m l 數(shù)據(jù)類型，因此x m l 技術(shù)可以比較有效地解決多源異構(gòu)數(shù)據(jù)聚合問題。在 x m l 的數(shù)據(jù)聚合研究中，比較著名的有i b m 的x p e r a n t o 2 8 1 、a t & t 的 s i l k r o u t e t 2 9 】和華盛頓大學的t u k w i l a t 3 0 】。目前x m l 主要應用于電子商務中。 雖然x m l 作為一種有效的異構(gòu)數(shù)據(jù)交換格式得到了廣泛應用并逐漸為 人們所接受，但x m l 無法解決數(shù)據(jù)的語義異構(gòu)問題。首先，x m l 中存在的 很多模式級規(guī)范，如x m ls c h e m a 或d t d