Network security assessment using a semantic reasoning and graph based approach

使用语义推理和基于图的方法进行网络安全评估

1. 摘要

　　由于商业数据的高价值，针对企业网络的复杂的网络攻击已经变得更加突出，攻击者试图从被攻击的机器中渗透到更深、更广的范围。一个重要的安全要求是，领域专家和网络管理员有一个共同的词汇来分享安全知识，并迅速帮助对方应对新的威胁

　　我们提出了一个创新的本体论和基于图的安全评估方法。本体旨在以通用的形式表示安全知识，例如资产、漏洞和攻击。利用本体模型的推理能力，提出了一种有效的系统框架来生成攻击图和评估网络安全。我们最后在不同大小和拓扑的测试网络上评估了所提出系统的性能。

2. 系统简单介绍

 　　本文提出一种创新的安全评估方法，通过使用在多方之间共享的攻击知识，推断出一个基于逻辑的攻击图。本体部分主要是表示网络安全相关知识，如漏洞、攻击还有各种关系等，并且，这个本体模型还采用SWRL（语义Web规则语言）来帮助表达所有已知的攻击场景的因果关系。使用类似于JESS这样的推理引擎，可以利用预定义的SWRL规则推断出对应的关键IT资产威胁。

3. 文章贡献

（1）设计了一个强化版的安全本体，用于中心概念和关系，以及那些推断关于漏洞发、威胁和攻击的规则。

（2）基于安全本体的推理能力，本文提出了一种高效的、可扩展的系统框架和算法来计算完整的攻击图。

（3）我们的攻击图模型可以很容易地转换为MulVAL攻击图，它支持各种复杂的方法的应用，以量化攻击风险和开发最优的缓解计划。

  (4)为了让讨论思路更加清晰，我们设计了一个案例来说明攻击图的生成，并且在不同大小和拓扑结构的测试网络上评估了我们系统的性能。

 4. 系统描述

　　本文提出了一个包含各个阶段的网络安全评估框架，包括攻击知识的构建、网络信息的获取、安全本体的实例化、攻击图的生成、评估风险并给出缓解措施模块。

（1）构建攻击知识：这一步是设计基本的安全本体用于在分散的各方之间共享的知识，类似于公共词汇表。

（2）网络信息采集：这个模块是采集与网络相关的信息，进行安全评估，为下一阶段实例化做数据上的准备。

（3）实例化安全本体：这个阶段是构建网络安全实例，主要任务是为每个概念定义个体，并通过对象属性表示关系。

（4）生成攻击图：这是一个发现多阶段、多主机的迭代过程。每次迭代期间，推理引擎将个人、对象属性和SWRL规则作为输入，并且推断新的事实，以表示攻击者获得的潜在攻击路径和特权，推断出来的信息被合并到攻击图中。

（5）评估风险并建议缓解措施：这个部分将我们的攻击图转换为MulVal攻击图，从而提出的方案可以与上述模型集成，产生风险评估和缓解方案。

5. 攻击图介绍

　　攻击图定义如下：S表示属性集，这里的属性集是指资源数据，比如被攻击者破坏的属性就是指被攻击的有用数据。A表示攻击集，一次攻击定义为从一个属性Sx到Sy的变换，用以表明一次攻击造成的资源（攻击的数据）变化。C表示一次组合攻击，具体而言就是连续的攻击造成资源（攻击的数据）变化，因为本文是考虑多阶段攻击的。最后，攻击图就是一个有向无环图，S和C表示点，A表示边。

6. 系统性能

　　攻击图生成算法的计算复杂度很大程度取决于推理引擎的计算复杂度。根据实验结果，假设每台主机都存在4个漏洞，那么对于小于1000台计算机的网络，计算复杂度接近O(n2)