本发明专利技术公开了基于本体建模的网络风险评估方法,属于网络信息安全领域,该风险评估方法基于本体模型来构造攻击图进行安全评测。本方案用本体模型作为一种共同语言来表述攻击行为的知识,并提供给网络安全管理员用于本企业的安全评测;由此使得网络安全管理者仅需关注收集本企业网络信息,并根据本体模型推理结果构造攻击图,极大的提高网络风险评估的可操作性,有效解决目前方案所存在的缺陷。
【技术实现步骤摘要】
本专利技术涉及网络信息领域,具体涉及网络安全技术。
技术介绍
企业网络是企业中重要的基础性IT设施,对于企业业务正常运转有着至关重要的作用。同时由于网络中信息价值较高,也成为成为了网络攻击、入侵的主要目标。企业网络主机、服务组件多,配置复杂,系统存在的漏洞易成为攻击的目标。而且攻击者也逐渐倾向于利用通过攻击获取的主机,进一步实施多步骤、多主机的入侵攻击。针对该类别的攻击,目前有攻击图、本体建模等方式来进行网络安全评估。攻击图技术主要思想是在收集了网络配置以及存在漏洞信息以后,根据安全攻击相关知识,发现单步攻击,并通过诸如prolog等程序语言推导出可能的多步骤攻击路线图。本体建模方式目前主要应用于构建攻击、漏洞等相关知识库。现有方案在实际的应用过程中,攻击图的生成基本由网络安全管理者完成,由于缺乏一种机制复用安全领域专家经验,故对网络安全管理者经验要求较高。
技术实现思路
针对现有网络安全评估技术所存在的问题,本专利技术的目的在于提供一种可操作性强的网络风险评估方法,基于该风险评估方法使得网络安全管理者仅需关注收集本企业网络信息。为来达到上述目的,本专利技术采用如下的方案:基于本体建模的网络风险评估方法,所述风险评估方法基于本体模型来构造攻击图进行安全评测。优选的,所述风险评估方法构建表述网络安全知识和攻击行为知识的本体模型,并定制推理攻击行为的SWRL规则;利用本体模型和SWRL规则来模拟推导出可能存在的攻击行为,并据此构造网络攻击图进行安全评测。优选的,所述风险评估方法包括如下步骤:(1)根据网络安全知识和攻击行为知识构造相应的基本安全本体,并在基本安全本体中定义SWRL规则以推理攻击行为;(2)收集目标网络信息;(3)根据基本安全本体创建针对目标网络的实例化安全本体;(4)基于实例化安全本体生成攻击图。优选的,所述步骤(1)中在构造基本安全本体时,确定基本安全本体中的主要概念和关系,并基于网络安全知识和攻击行为知识为漏洞和攻击的概念创建诸多攻击个体,并为每个攻击个体创建一个攻击关系;同时针对攻击行为,定义SWRL规则表明攻击的前提和后果及攻击者可获取的资源。优选的,所述SWRL规则包括表述推理出攻击关系的SWRL规则和表述攻击之后能够获取被攻击对象权限和关系的SWRL规则。优选的,所述步骤(2)中收集目标网络信息包括目标网络的网络拓扑信息,机器列表,服务信息,组件列表,以及据已有的信息收集可能存在的漏洞信息。优选的,所述步骤(3)中根据基本安全本体的主要概念,为收集的目标网络信息创建对应的实例,并设定通过预定的基本对象属性来设定各个实例间的关系,最终形成一个针对目标网络的实例化安全本体。优选的,所述步骤(3)中针对新的漏洞信息可以定义新的安全本体,以及新的SWRL推理规则。优选的,所述步骤(4)中基于实例化安全本体模拟攻击者逐步攻击渗透到目标网络中,并根据模拟攻击结果逐步构造攻击图。优选的,所述步骤(4)中生成攻击图的过程如下:(1)收集攻击者的属性集,并将该属性集加入初始攻击图;(2)通过属性集收集受影响的设备集合;(3)抽取与属性集、设备集合有关的安全本体数据,包括SWRL规则,导入推理引擎,进行推理;(4)获取推理得到的攻击关系;(5)根据攻击关系对应SWRL规则,分别抽取出前提集合和后续结果集合;(6)在已有的攻击图,查找能满足步骤(5)中前提集合的顶点,并创建一条边表示推导出的攻击关系,创建攻击边的后续顶点;(7)对每一个推理出来的攻击关系执行(5)-(6)的操作;(8)更新攻击者属性集使其包括所有推理出来的属性;(9)通过属性集收集受影响的设备集合;(10)如设备集合不为空,转到第(3)步;(11)形成最终的攻击图。本专利技术提供的方案用本体模型作为一种共同语言来表述攻击行为的知识,并提供给网络安全管理员用于本企业的安全评测;由此使得网络安全管理者仅需关注收集本企业网络信息,并根据本体模型推理结果构造攻击图,极大的提高网络风险评估的可操作性,有效解决目前方案所存在的缺陷。附图说明以下结合附图和具体实施方式来进一步说明本专利技术。图1为本专利技术实例中基于本体模型来构造攻击图的框架示意图;图2为本专利技术实例中攻击图示意图。具体实施方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本专利技术。本实例中利用本体模型来表述网络安全知识和攻击行为知识,并定制SWRL规则语言来描述攻击行为的前提、影响。由此可借助本体模型的推理功能,推导出单步攻击以及攻击者在攻击后可获取的资源和权限。据此,进一步结合本体模型的特点(如推导模拟攻击行为)来构造网络攻击图进行安全评测。由此可见,本方案中用本体模型作为一种共同语言来表述攻击行为的知识,并提供给网络安全管理员用于本企业的安全评测,使得网络安全管理者仅需关注收集本企业网络信息,并根据本体模型推理结果构造攻击图。以下通过一具体应用实例来说明本方案的实现过程。参见图1,其所示为基于上述原理来实现基于本体模型来构造攻击图的框架示意图。由图可知,基于本体模型来构造攻击图的过程如下:(一)构造基本安全本体该步骤可由安全领域专家根据知识库(网络安全知识库和攻击行为知识库)构造基本安全本体,以表述网络安全知识和攻击行为知识。在构造基本安全本体时,包含了本体中的主要概念(Class)、关系(Property),并基于领域知识库为漏洞和攻击的概念创建诸多个体(Individual),并为每个攻击个体创建一个攻击关系。这里的概念(Class)即为“类”。作为举例,“攻击”可定义为一个类,“钓鱼攻击”可定义为“攻击”的子类;具体采用某个漏洞的具体攻击方案,可定义为某个攻击类的一个实例(也称为个体);再者例如,“设备”是一个类,“服务器”是其子类,ip为192.168.43.30的FTP服务器是一个个体。这里的关系(Property)是个体间的二元关系。作为举例,“利用(攻击个体,漏洞个体)”,利用就是一个关系定义,攻击个体会利用某个漏洞个体。另外还需针对攻击行为,定义SWRL规则或SWRL推导规则,以表明攻击的前提和后果及攻击者可获取的资源。据此,构造基本安全本体的基本过程如下:(1)定义基本的概念(Classes)和基本对象属性(Objectproperties)。具体定义Device、Component、Vulnerability、Attack四个类,并按需要定义其子类;这里的基本对象属性(Objectproperties)是一个二元关系。下面定义基本常用关系:A)Has关系,has(Dev,Cmpt),has(Cmpt,Vul),表示设备拥有组件,组件中存在漏洞;B)Exploit关系,exploit(Attack,Vul),表示攻击会利用漏洞C)访问及权限等关系,例如:hasAccess(Dev,Cmpt)表示设备可以访问(其他设备上的)某个组件提供的服务,例如web服务;hasPrivilegeRoot(Dev,Dev)表示设备能具有另一设备的root权限;hasShellRemote(Dev,Dev)表示设备能够通过远程shell访问另一设备。对于访问及权限等关系并不限于此,除了上述例子,还可根据实际需要,自定义其他关系。(2)添加漏洞本文档来自技高网...
【技术保护点】
基于本体建模的网络风险评估方法,其特征在于,所述风险评估方法基于本体模型来构造攻击图进行安全评测。
【技术特征摘要】
1.基于本体建模的网络风险评估方法,其特征在于,所述风险评估方法基于本体模型来构造攻击图进行安全评测。2.根据权利要求1所述的基于本体建模的网络风险评估方法,其特征在于,所述风险评估方法构建表述网络安全知识和攻击行为知识的本体模型,并定制推理攻击行为的SWRL规则;利用本体模型和SWRL规则来模拟推导出可能存在的攻击行为,并据此构造网络攻击图进行安全评测。3.根据权利要求2所述的基于本体建模的网络风险评估方法,其特征在于,所述风险评估方法包括如下步骤:(1)根据网络安全知识和攻击行为知识构造相应的基本安全本体,并在基本安全本体中定义SWRL规则以推理攻击行为;(2)收集目标网络信息;(3)根据基本安全本体创建针对目标网络的实例化安全本体;(4)基于实例化安全本体生成攻击图。4.根据权利要求3所述的基于本体建模的网络风险评估方法,其特征在于,所述步骤(1)中在构造基本安全本体时,确定基本安全本体中的主要概念和关系,并基于网络安全知识和攻击行为知识为漏洞和攻击的概念创建诸多攻击个体,并为每个攻击个体创建一个攻击关系;同时针对攻击行为,定义SWRL规则表明攻击的前提和后果及攻击者可获取的资源。5.根据权利要求3或4所述的基于本体建模的网络风险评估方法,其特征在于,所述SWRL规则包括表述推理出攻击关系的SWRL规则和表述攻击之后能够获取被攻击对象权限和关系的SWRL规则。6.根据权利要求3所述的基于本体建模的网络风险评估方法,其特征在于,所述步骤(2)中收集目标网络信息包括目标网络的网络拓扑信息,机器列表,服务信息,...
【专利技术属性】
技术研发人员:吴松洋,张勇,汤杨,曹伟,
申请(专利权)人:公安部第三研究所,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。