多源數(shù)據(jù)融合的物聯(lián)網(wǎng)安全知識(shí)推理方法
所屬分類:電子論文 閱讀次 時(shí)間:2022-02-15 10:18 本文摘要:摘要隨著信息技術(shù)產(chǎn)業(yè)的發(fā)展和物聯(lián)網(wǎng)設(shè)備數(shù)量的增長��,物聯(lián)網(wǎng)安全防御的難度與復(fù)雜度不斷上升,針對(duì)物聯(lián)網(wǎng)與供應(yīng)鏈的重大安全事件時(shí)有發(fā)生���,這些事件揭示了物聯(lián)網(wǎng)供應(yīng)鏈安全管理的復(fù)雜性.目前存在許多信息安全公開知識(shí)庫可用于物聯(lián)網(wǎng)安全威脅分析,但知識(shí)庫的異構(gòu)性使威
摘要隨著信息技術(shù)產(chǎn)業(yè)的發(fā)展和物聯(lián)網(wǎng)設(shè)備數(shù)量的增長��,物聯(lián)網(wǎng)安全防御的難度與復(fù)雜度不斷上升�,針對(duì)物聯(lián)網(wǎng)與供應(yīng)鏈的重大安全事件時(shí)有發(fā)生,這些事件揭示了物聯(lián)網(wǎng)供應(yīng)鏈安全管理的復(fù)雜性.目前存在許多信息安全公開知識(shí)庫可用于物聯(lián)網(wǎng)安全威脅分析���,但知識(shí)庫的異構(gòu)性使威脅評(píng)估十分困難.對(duì)多個(gè)信息安全知識(shí)庫進(jìn)行研究���,將防御方所關(guān)注的安全知識(shí)來源與攻擊者的戰(zhàn)術(shù)、技術(shù)和攻擊模式整合成一個(gè)統(tǒng)一的關(guān)系映射鏈接圖知識(shí)庫���,并導(dǎo)入威脅情報(bào)���,旨在利用已披露的威脅事件來提升物聯(lián)網(wǎng)安全威脅要素評(píng)估能力.提出了一個(gè)物聯(lián)網(wǎng)供應(yīng)鏈風(fēng)險(xiǎn)分析本體RIoTSCO,并以此模型為基礎(chǔ)設(shè)計(jì)了物聯(lián)網(wǎng)安全下的推理規(guī)則�����,利用本體的表達(dá)能力建立物聯(lián)網(wǎng)安全領(lǐng)域知識(shí)之間的語義關(guān)系��,以解決多源知識(shí)的語義異質(zhì)性問題.最后,在一個(gè)物聯(lián)網(wǎng)環(huán)境示例中基于所提方法進(jìn)行安全評(píng)估�,自動(dòng)化推理緩解措施以應(yīng)對(duì)威脅事件,并描繪威脅事件所能波及到的上下游供應(yīng)鏈情報(bào)全貌.
關(guān)鍵詞物聯(lián)網(wǎng)安全;供應(yīng)鏈安全;威脅分析;本體;知識(shí)推理;推理規(guī)則
物聯(lián)網(wǎng)(Internetofthings��,IoT)領(lǐng)域的發(fā)展改變了傳統(tǒng)的工業(yè)形態(tài)����,方便了人們的生活,海量物聯(lián)網(wǎng)設(shè)備的使用和新型物聯(lián)網(wǎng)技術(shù)的普及促使物聯(lián)網(wǎng)應(yīng)用擴(kuò)展到更廣泛的領(lǐng)域���,如工控物聯(lián)網(wǎng)�、醫(yī)療領(lǐng)域����、智能城市���、智能電網(wǎng)等[1]�,但潛在的物聯(lián)網(wǎng)安全問題也在逐步浮現(xiàn).
伴隨信息化與工業(yè)化的深度融合�,采礦、電力�����、化工等領(lǐng)域的工業(yè)控制網(wǎng)絡(luò)與政府、軍事�����、金融等系統(tǒng)的網(wǎng)絡(luò)從相對(duì)獨(dú)立且完全與外網(wǎng)隔離,逐漸發(fā)展為網(wǎng)絡(luò)化連接和信息化管理并向互聯(lián)網(wǎng)開放����,傳統(tǒng)的內(nèi)網(wǎng)外網(wǎng)界限逐漸模糊�,引入了無處不在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn).物聯(lián)網(wǎng)背景下的工控設(shè)備與網(wǎng)絡(luò)技術(shù)相融合,消除了工業(yè)環(huán)境的內(nèi)外部安全邊界[2].工控網(wǎng)絡(luò)設(shè)備不僅面臨傳輸鏈路上的軟硬件安全、網(wǎng)絡(luò)防護(hù)邊界模糊等安全風(fēng)險(xiǎn)����,還面臨云平臺(tái)服務(wù)虛擬化中的跳板入侵��、違規(guī)接入��、數(shù)據(jù)丟失、竊聽和篡改等新型安全風(fēng)險(xiǎn).
同時(shí)��,物聯(lián)網(wǎng)供應(yīng)鏈的安全威脅也隨著供應(yīng)鏈復(fù)雜程度的提高而不斷出現(xiàn).物聯(lián)網(wǎng)供應(yīng)鏈涉及執(zhí)行各種任務(wù)的不同子系統(tǒng),包括內(nèi)部開發(fā)����、信息傳遞�����、中間組件以及產(chǎn)品或服務(wù)制造的全過程�����,并涉及多個(gè)參與者例如生產(chǎn)者、系統(tǒng)集成商、服務(wù)商��、供貨商��、銷售商等.物聯(lián)網(wǎng)供應(yīng)鏈安全涵蓋了第三方供貨商�����、制造商和服務(wù)商之間各種軟硬件產(chǎn)品和信息安全外包���,包括在物聯(lián)網(wǎng)環(huán)境與物聯(lián)網(wǎng)設(shè)備上搭載的運(yùn)營技術(shù)和信息技術(shù).隨著物聯(lián)網(wǎng)供應(yīng)鏈的復(fù)雜程度不斷提高,物聯(lián)網(wǎng)供應(yīng)鏈的風(fēng)險(xiǎn)控制能力逐漸降低�,任何組件或服務(wù)出現(xiàn)漏洞或數(shù)據(jù)泄露都會(huì)破壞業(yè)務(wù)的連貫性����,帶來難以控制的安全風(fēng)險(xiǎn).
如上所述����,物聯(lián)網(wǎng)安全面臨著復(fù)雜且多變的威脅����,遭受的入侵和攻擊變得越來越智能化與多樣化.在大量物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng)的過程中���,異構(gòu)信息的交互和網(wǎng)絡(luò)結(jié)構(gòu)的快速變化使攻擊面進(jìn)一步擴(kuò)大�,不斷產(chǎn)生新的弱點(diǎn)和威脅[3].同時(shí)在物聯(lián)網(wǎng)供應(yīng)鏈中�����,一個(gè)上下游供應(yīng)鏈環(huán)境中的漏洞可以從源節(jié)點(diǎn)級(jí)聯(lián)到整個(gè)網(wǎng)絡(luò)系統(tǒng)的多個(gè)目標(biāo)節(jié)點(diǎn)�,所以對(duì)物聯(lián)網(wǎng)供應(yīng)鏈整體網(wǎng)絡(luò)安全威脅情報(bào)屬性的關(guān)注非常重要.
在面對(duì)物聯(lián)網(wǎng)環(huán)境中的新型威脅時(shí),傳統(tǒng)的安全入侵檢測(cè)和響應(yīng)技術(shù)無法適應(yīng)物聯(lián)網(wǎng)安全領(lǐng)域面臨的攻擊�,安全信息及事件管理(securityinformationandeventmanagement,SIEM)和安全操作中心(securityoperationcenter�,SOC)[4]也存在很大的局限性,迫切需要一種有效的方法智能地響應(yīng)安全入侵.針對(duì)物聯(lián)網(wǎng)的威脅事件��,可以采用多種智能推理技術(shù)來實(shí)現(xiàn)�����,例如基于本體的推理技術(shù)和語義網(wǎng)技術(shù),以及基于智能訪問控制模型�����、文本挖掘和自然語言處理(naturallanguageprocessing���,NLP)的惡意代碼檢測(cè)技術(shù).但是由于物聯(lián)網(wǎng)的異構(gòu)性和復(fù)雜性�,對(duì)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行全局的安全狀態(tài)檢測(cè)和威脅事件感知非常困難���,針對(duì)整個(gè)物聯(lián)網(wǎng)系統(tǒng)與供應(yīng)鏈系統(tǒng)的安全管理與威脅分析具有挑戰(zhàn)性.
本文提出了一種物聯(lián)網(wǎng)安全多源知識(shí)推理方法,通過分析物聯(lián)網(wǎng)安全公開知識(shí)庫的特點(diǎn)����,構(gòu)建了一個(gè)本體模型以描述物聯(lián)網(wǎng)與供應(yīng)鏈安全威脅要素,進(jìn)行知識(shí)整合以解決多源知識(shí)的語義異質(zhì)性問題�����,并利用推理規(guī)則進(jìn)行威脅分析.該方法可以感知物聯(lián)網(wǎng)環(huán)境內(nèi)的安全狀況���,自動(dòng)化推理可采用的緩解措施����,并豐富物聯(lián)網(wǎng)供應(yīng)鏈與威脅情報(bào)之間的上下文語義信息,以提高威脅響應(yīng)能力.本文主要做出了3點(diǎn)貢獻(xiàn):
1)分析物聯(lián)網(wǎng)安全公開知識(shí)庫的特點(diǎn)����,將物聯(lián)網(wǎng)多源知識(shí)與威脅情報(bào)整合并構(gòu)建關(guān)系映射鏈接圖模型,對(duì)物聯(lián)網(wǎng)安全威脅要素評(píng)估提供支持.2)提出了一個(gè)物聯(lián)網(wǎng)供應(yīng)鏈風(fēng)險(xiǎn)分析本體模型以描述威脅信息對(duì)象間的關(guān)聯(lián)性���,拓展目前網(wǎng)絡(luò)安全領(lǐng)域本體建模的知識(shí)域范圍����,解決多源安全知識(shí)的語義異質(zhì)性問題���,可提供更廣泛的安全狀況感知.
3)提出了一種基于本體的物聯(lián)網(wǎng)安全多源知識(shí)推理方法����,該方法能夠感知物聯(lián)網(wǎng)系統(tǒng)內(nèi)的高脆弱性組件����,對(duì)物聯(lián)網(wǎng)供應(yīng)鏈與威脅情報(bào)之間的上下文語義信息進(jìn)行補(bǔ)全,并自動(dòng)化響應(yīng)威脅入侵.相關(guān)工作目前圍繞漏洞和潛在的威脅已經(jīng)存在大量的基礎(chǔ)研究�����,網(wǎng)絡(luò)安全專家可以通過使用公共的結(jié)構(gòu)化描述語言和公開的信息安全知識(shí)庫來制定防御的策略���、技巧和操作.
Syed等人[5]搭建了一個(gè)統(tǒng)一網(wǎng)絡(luò)安全模型UCO�����,集合了來自不同網(wǎng)絡(luò)安全系統(tǒng)的異構(gòu)數(shù)據(jù)和知識(shí)模式與常用的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����,并用于信息共享交換和網(wǎng)絡(luò)態(tài)勢(shì)感知.Kiesling等人[6]通過集成網(wǎng)絡(luò)安全領(lǐng)域的標(biāo)準(zhǔn)詞匯表與可用于更新知識(shí)圖譜的ETL工作流���,構(gòu)建了一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全知識(shí)圖譜�����,并通過接口提供集成訪問服務(wù).
田建偉等人[7]利用圖論對(duì)能源互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行建模,提出LRNodeRank節(jié)點(diǎn)加權(quán)方法來評(píng)估融合網(wǎng)絡(luò)的安全狀況�����,并且基于威脅圖的安全狀況改進(jìn)方法計(jì)算需要加固的網(wǎng)絡(luò)邊界.黃克振等人[8]利用區(qū)塊鏈的去中心化和匿名性��,保護(hù)威脅情報(bào)中的身份信息�,并利用區(qū)塊鏈的回溯能力構(gòu)建完整攻擊鏈.但以上研究均未正式描述物聯(lián)網(wǎng)安全領(lǐng)域核心概念之間的關(guān)系,對(duì)威脅分析的研究尚未提高到語義級(jí)別��,無法定義推理規(guī)則.本文整合了安全領(lǐng)域異構(gòu)多源知識(shí)庫并以圖結(jié)構(gòu)統(tǒng)一表示數(shù)據(jù),通過來自不同知識(shí)源的上下文語義信息為后續(xù)的知識(shí)推理工作提供支持.
網(wǎng)絡(luò)供應(yīng)鏈(cybersupplychain�����,CSC)安全是用于控制和增強(qiáng)供應(yīng)鏈系統(tǒng)以確保業(yè)務(wù)連續(xù)性�����、保護(hù)產(chǎn)品安全和提供信息保障的機(jī)制.Sun等人[9]分析了電力系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并設(shè)計(jì)了增強(qiáng)電力物聯(lián)網(wǎng)安全的解決方案����,以增強(qiáng)智能電網(wǎng)環(huán)境下的CSC安全性.Kieras等人[10]提出了一個(gè)ISCRAM框架,用于分析物聯(lián)網(wǎng)系統(tǒng)中供應(yīng)鏈安全風(fēng)險(xiǎn)�����,并基于此模型提出了量化供應(yīng)鏈風(fēng)險(xiǎn)的指標(biāo).YeboahOfori等人[11]應(yīng)用威脅情報(bào)分析和機(jī)器學(xué)習(xí)技術(shù)�,基于已有的威脅情報(bào)屬性分析來預(yù)測(cè)威脅,并識(shí)別已存在的CSC漏洞�,最終為網(wǎng)絡(luò)供應(yīng)鏈安全威脅提供適當(dāng)?shù)目刂拼胧?
Benthall[12]將漏洞數(shù)據(jù)與開源項(xiàng)目OpenSSL的開放版本控制數(shù)據(jù)相關(guān)聯(lián),應(yīng)用AML(AlhazmiMalaiyalogistic)模型將融合數(shù)據(jù)用于軟件供應(yīng)鏈風(fēng)險(xiǎn)發(fā)現(xiàn).Nakano等人[13]提出了一個(gè)供應(yīng)鏈可信度框架,用于驗(yàn)證供應(yīng)鏈中的組織是否符合預(yù)定義的要求����,并以擬議的框架為基礎(chǔ)設(shè)計(jì)了新方法來提高性能與可用性.但目前的工作均圍繞供應(yīng)鏈漏洞與上下游供應(yīng)鏈弱點(diǎn)展開,對(duì)CSC安全威脅參與者攻擊過程與戰(zhàn)術(shù)意圖的研究仍然缺乏.本文在物聯(lián)網(wǎng)安全知識(shí)整合過程中融入了供應(yīng)鏈信息���,并與攻擊者的戰(zhàn)術(shù)����、技術(shù)與活動(dòng)等知識(shí)相關(guān)聯(lián),豐富了供應(yīng)鏈安全的上下文語義信息并為物聯(lián)網(wǎng)供應(yīng)鏈威脅分析研究提供了新機(jī)制.
本體被用于刻畫信息對(duì)象來進(jìn)行領(lǐng)域知識(shí)共享和重用���,目前研究者對(duì)網(wǎng)絡(luò)威脅情報(bào)(cyberthreatintelligence�����,CTI)分析與本體建模已經(jīng)取得一定進(jìn)展.司成等人[14]以漏洞屬性��、漏洞對(duì)象等元素出發(fā)并結(jié)合網(wǎng)絡(luò)安全態(tài)勢(shì)要素的特點(diǎn)��,提出了一種基于本體的網(wǎng)絡(luò)安全態(tài)勢(shì)要素知識(shí)庫模型���,用于整合和利用網(wǎng)絡(luò)安全態(tài)勢(shì)知識(shí).李濤等人[15]提出了一種通用的網(wǎng)絡(luò)安全參數(shù)分類架構(gòu)�����,根據(jù)類型的繼承關(guān)系擴(kuò)展了主機(jī)域中的漏洞本體.賈焰等人[16]以基于規(guī)則和機(jī)器學(xué)習(xí)相結(jié)合的信息提取方式來獲取與網(wǎng)絡(luò)安全相關(guān)的實(shí)體����,提出了構(gòu)建網(wǎng)絡(luò)安全知識(shí)圖譜的實(shí)用方法�,并基于五元組模型來推理新規(guī)則.
Rastogi等人[17]設(shè)計(jì)了惡意軟件本體MALOnt��,支持惡意軟件威脅情報(bào)結(jié)構(gòu)化信息提取�,并以MALOnt為基礎(chǔ)構(gòu)建了惡意軟件知識(shí)圖譜并從知識(shí)圖譜中推理隱含的關(guān)系.Mozzaquatro等人[18]將網(wǎng)絡(luò)安全知識(shí)以及相應(yīng)的預(yù)防措施集成到運(yùn)行時(shí)安全監(jiān)視和啟動(dòng)工具可以訪問的本體IoTSec中[19],使安全系統(tǒng)自動(dòng)檢測(cè)對(duì)IoT網(wǎng)絡(luò)的威脅并動(dòng)態(tài)地提出合適的保護(hù)服務(wù).Choi等人[20]對(duì)電力系統(tǒng)漏洞與安全上下文本體進(jìn)行建模���,并以智能電表為示例創(chuàng)建了電力物聯(lián)網(wǎng)中的攻擊場(chǎng)景�,實(shí)現(xiàn)了可以有效運(yùn)行的安全機(jī)制.
但目前將攻擊者的戰(zhàn)術(shù)意圖���、攻擊技術(shù)與攻擊過程與漏洞和弱點(diǎn)相結(jié)合的研究仍處于初級(jí)階段��,網(wǎng)絡(luò)安全領(lǐng)域多是以漏洞��、弱點(diǎn)與攻擊模式為重心進(jìn)行研究���,很難進(jìn)行復(fù)合攻擊預(yù)測(cè)和威脅分析與其后續(xù)工作.本文提出的本體模型拓展了目前網(wǎng)絡(luò)安全領(lǐng)域本體建模的知識(shí)域范圍,提供更廣泛的安全狀況感知以提高威脅響應(yīng)能力.
2物聯(lián)網(wǎng)安全多源知識(shí)整合
目前����,海量的安全信息碎片化分散在互聯(lián)網(wǎng)上,其中安全組織MITRE所維護(hù)的公共知識(shí)庫逐漸發(fā)展成為網(wǎng)絡(luò)安全領(lǐng)域的行業(yè)標(biāo)準(zhǔn).通過一整套信息安全描述標(biāo)準(zhǔn)和規(guī)范�,物聯(lián)網(wǎng)安全研究成果可以通過格式化的語言進(jìn)行表達(dá),并實(shí)現(xiàn)情報(bào)共享.安全領(lǐng)域知名公共知識(shí)庫包括通用漏洞披露(commonvulnerabilitiesandexposures,CVE)、國家漏洞數(shù)據(jù)庫(nationalvulnerabilitydatabase,NVD)���、通用弱點(diǎn)枚舉(commonweaknessenumeration,CWE)��、通用攻擊模式枚舉和分類(commonattackpatternenumerationandclassification,CAPEC)��、通用平臺(tái)枚舉(commonplatformenumeration,CPE)和ATT&CK(adversarialtactics,techniques,andcommonknowledge)矩陣.本文的威脅情報(bào)來自開放威脅交換平臺(tái)(openthreatexchange�,OTX)的信息共享.
2.1安全知識(shí)與威脅情報(bào)數(shù)據(jù)來源
CVE披露了已暴露的漏洞�,數(shù)據(jù)庫中的每個(gè)漏洞都有一個(gè)由MITRE定義的標(biāo)識(shí)號(hào)和相關(guān)描述.NVD提供有關(guān)與安全相關(guān)的軟件漏洞,相關(guān)產(chǎn)品配置和影響指標(biāo)的信息.NVD建立在CVE列表上并與CVE列表完全同步����,NVD為CVE列表中的條目提供了增強(qiáng)的信息,例如結(jié)構(gòu)化信息�����、和根據(jù)通用漏洞評(píng)分系統(tǒng)(commonvulnerabilityscoringsystem,CVSS)給出的嚴(yán)重性得分和影響等級(jí)等.CVSS是評(píng)估漏洞嚴(yán)重性的行業(yè)公共標(biāo)準(zhǔn)����,大多數(shù)漏洞嚴(yán)重性研究與商業(yè)漏洞管理平臺(tái)都基于CVSS進(jìn)行評(píng)估.
CAPEC提供了攻擊模式分類的匯總,關(guān)注的是攻擊者對(duì)網(wǎng)絡(luò)空間脆弱性的利用方式���,了解攻擊模式對(duì)于威脅分析與防御至關(guān)重要.相關(guān)弱點(diǎn)信息則由CWE知識(shí)庫匯總.OTX是全球權(quán)威的開放威脅信息共享和分析網(wǎng)絡(luò).OTX可以提供威脅摘要、入侵指標(biāo)(indicatorsofcompromise,IoC)���、惡意軟件家族等有價(jià)值的信息����,最重要的是�,OTX平臺(tái)對(duì)每條開放威脅情報(bào)相關(guān)聯(lián)的ATT&CK技術(shù)知識(shí)進(jìn)行了枚舉,為本文將CTI與整合后的物聯(lián)網(wǎng)安全知識(shí)相映射提供了可行的路徑.
2.2ATT&CK矩陣
ATT&CK矩陣由MITRE在2013年首次提出[21].通過匯總分析真實(shí)的觀察數(shù)據(jù)與高級(jí)持續(xù)性威脅(advancedpersistentthreat,APT)組織活動(dòng)����,ATT&CK逐漸發(fā)展成為針對(duì)攻擊者行為描述的通用語言和攻擊鏈全生命周期的行為分析模型.ATT&CK抽象地描述了由順序網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)組成的框架,并且每種攻擊戰(zhàn)術(shù)涵蓋了大量攻擊技術(shù).
從攻擊檢測(cè)和威脅分析的角度���,只有明確攻擊戰(zhàn)術(shù)和技術(shù)����,才能進(jìn)一步推測(cè)攻擊所關(guān)聯(lián)的上下文信息.ATT&CK在持續(xù)構(gòu)建并豐富攻擊者的戰(zhàn)術(shù)意圖和技術(shù)模式���,幫助安全研究者掌握技術(shù)全景��,以支持對(duì)安全入侵的評(píng)估和自動(dòng)化響應(yīng).目前將ATT&CK矩陣應(yīng)用于威脅分析的可行性引起了研究者的極大興趣.
在安全情報(bào)研究領(lǐng)域�����,漏洞情報(bào)發(fā)展較早�����,漏洞情報(bào)多是從軟件���、硬件�����、操作系統(tǒng)�、協(xié)議的脆弱性等角度入手�����,發(fā)展較為成熟[21]�,而威脅情報(bào)主要收集與攻擊者或攻擊行為相關(guān)的外部因素,通過整合威脅信息并提供威脅信息的共享�����,達(dá)到對(duì)威脅的及時(shí)管控[22].在物聯(lián)網(wǎng)安全領(lǐng)域���,由于物聯(lián)網(wǎng)本身的內(nèi)在復(fù)雜性�,物聯(lián)網(wǎng)設(shè)備與系統(tǒng)之間發(fā)生的異構(gòu)信息交換進(jìn)一步加劇了物聯(lián)網(wǎng)的結(jié)構(gòu)復(fù)雜性���,圍繞漏洞情報(bào)的研究在物聯(lián)網(wǎng)的復(fù)雜環(huán)境中存在很大的局限性[23]�����,所以目前相關(guān)研究希望通過分析和理解攻擊者目標(biāo)與系統(tǒng)性風(fēng)險(xiǎn)的角度進(jìn)行物聯(lián)網(wǎng)環(huán)境下的威脅分析.ATT&CK矩陣能夠串聯(lián)起威脅事件和觀測(cè)數(shù)據(jù)����,從而打通對(duì)威脅事件的理解鏈路.
3基于本體的物聯(lián)網(wǎng)安全多源知識(shí)推理
本文提出了一種基于語義本體和規(guī)則邏輯的物聯(lián)網(wǎng)安全多源知識(shí)推理方法.物聯(lián)網(wǎng)環(huán)境中針對(duì)異構(gòu)網(wǎng)絡(luò)的攻擊最為突出[24].第2節(jié)的方法打通了對(duì)威脅事件的理解鏈路��,并提供物聯(lián)網(wǎng)安全狀況整體視圖�����,但針對(duì)實(shí)際物聯(lián)網(wǎng)環(huán)境與供應(yīng)鏈系統(tǒng)的安全管理與威脅分析仍是一個(gè)挑戰(zhàn).
本體通過對(duì)特定領(lǐng)域知識(shí)的形式化描述���,在解決物聯(lián)網(wǎng)供應(yīng)鏈安全與CTI之間的語義異質(zhì)性問題中發(fā)揮了重要作用[2526].本文分析了物聯(lián)網(wǎng)安全領(lǐng)域多個(gè)知識(shí)源��,提出了物聯(lián)網(wǎng)供應(yīng)鏈風(fēng)險(xiǎn)分析本體(riskanalysisofIoTsupplychainontology�����,RIoTSCO).
本文的本體建模設(shè)計(jì)受到多個(gè)本體[5,19,27]的啟發(fā)����,抽取了部分概念并調(diào)整了大量細(xì)節(jié),使本體更適合本文的知識(shí)源.首先���,本文圍繞ATT&CK矩陣設(shè)計(jì)了與戰(zhàn)術(shù)和技術(shù)相關(guān)的類.同時(shí)在對(duì)物聯(lián)網(wǎng)威脅事件發(fā)生的場(chǎng)景部分進(jìn)行建模時(shí)�,本文擬議的本體模型考慮了上下游供應(yīng)鏈安全所必須的概念�,這些類關(guān)聯(lián)的知識(shí)源在所參考本體中均是沒有涉及的.
本文使用OWL語言類來構(gòu)建統(tǒng)一的形式化描述,概念被實(shí)現(xiàn)為類(Class)�����,關(guān)系被實(shí)現(xiàn)為屬性(Properties).OWL的表達(dá)能力僅限于描述邏輯����,不能表達(dá)不確定的知識(shí),例如事件在時(shí)間和空間上的變化以及語義關(guān)系.為了增強(qiáng)模型的推理能力���,本文后半部分使用基于語義Web規(guī)則語言設(shè)計(jì)推理規(guī)則來補(bǔ)全本體的描述能力����。
4示例與評(píng)估
在本節(jié)中��,我們演示幾種情況以進(jìn)一步說明所提出方法的可行性和有效性.針對(duì)物聯(lián)網(wǎng)安全多源知識(shí)庫的融合與建模����,本節(jié)首先給出一個(gè)鏈接示例���,以展示整合后的圖結(jié)構(gòu)數(shù)據(jù)提供上下文關(guān)聯(lián)語義信息的能力;第2部分專注于展示推理規(guī)則在物聯(lián)網(wǎng)安全多源知識(shí)推理方法中的具體用法.物聯(lián)網(wǎng)中的各種軟硬件對(duì)應(yīng)于本體模型中的實(shí)例���,物聯(lián)網(wǎng)環(huán)境的安全狀態(tài)同時(shí)在本體中反映.本文將物聯(lián)網(wǎng)環(huán)境中的特定實(shí)例映射在本體模型中����,并通過設(shè)計(jì)推理規(guī)則展示模型對(duì)物聯(lián)網(wǎng)環(huán)境進(jìn)行威脅評(píng)估的能力.
5結(jié)束語
本文對(duì)網(wǎng)絡(luò)安全領(lǐng)域公開知識(shí)庫進(jìn)行整合和分析���,將漏洞��、防御性弱點(diǎn)�����、受影響的資源與戰(zhàn)術(shù)意圖�、攻擊技術(shù)和攻擊模式等多源異構(gòu)知識(shí)整合成一個(gè)統(tǒng)一的關(guān)系映射鏈接圖知識(shí)庫�����,豐富網(wǎng)絡(luò)安全知識(shí)庫的上下文語義信息��,改善CTI的可分析性和可理解性,提升物聯(lián)網(wǎng)安全威脅要素評(píng)估能力.
此外���,本文提出了可以在整合后的圖知識(shí)庫支持下使用的知識(shí)推理方法�����,利用本體的表達(dá)能力建立物聯(lián)網(wǎng)與供應(yīng)鏈安全知識(shí)之間的語義關(guān)系�����,以解決多源知識(shí)的語義異質(zhì)性問題.定義了針對(duì)實(shí)際物聯(lián)網(wǎng)環(huán)境的推理規(guī)則��,能夠感知物聯(lián)網(wǎng)環(huán)境內(nèi)的高脆弱性組件并自動(dòng)化推理緩解措施�,使其在復(fù)雜異構(gòu)環(huán)境下響應(yīng)威脅入侵��,并描繪受威脅事件影響的上下游供應(yīng)鏈情報(bào)全貌���。
參考文獻(xiàn):
[1]ZhangYuqing,ZhouWei,PengAnni.SurveyofInternetofthingssecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143(inChinese)(張玉清,周威,彭安妮.物聯(lián)網(wǎng)安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2017,54(10):21302143)
[2]YangAn,HuYan,ZhouLiang,etal.Anindustrialcontrolsystemanomalydetectionalgorithmfusionbyinformationflowandstateflow[J].JournalofComputerResearchandDevelopment,2018,55(11):25322542(inChinese)(楊安��,胡堰�����,周亮����,等.基于信息流和狀態(tài)流融合的工控系統(tǒng)異常檢測(cè)算法[J].計(jì)算機(jī)研究與發(fā)展,2018,55(11):25322542)
[3]JieLin,WeiYu,NanZhang,etal.AsurveyonInternetofthings:Architecture,enablingtechnologies,securityandprivacy,andapplications[J].IEEEInternetofThingsJournal,2017,4(5):11251142
[4]SchinaglS,SchoonK,PaansR.Aframeworkfordesigningasecurityoperationscentre(SOC)[C]//Procofthe48thHawaiiIntConfonSystemSciences(HICSS).Piscataway,NJ:IEEE,2015:22532262
作者:張書欽1白光耀1李紅2張敏智1
轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/29564.html
