A semantic approach to improving machine readability of a large-scale attack graph

一种提高大规模攻击图的机器可读性的语义方法

一、摘要

　　网络安全的自动化可以通过使用攻击图来实现。攻击图使我们能够对潜在攻击者侵入目标网络的可能路径进行建模。特别地，这种图表示经常被用来增加信息的可见性，但当生成大规模攻击图时，它是无效的。然而，这种庞大的攻击图不可避免地是通过对越来越多的网络主机的各种数据进行建模而生成的。因此，除了获取可能的攻击路径等信息外，我们还需要更智能的方法从攻击图中推断出加强网络安全所需的知识。

　　本体技术使机器能够理解信息，更容易从大数据中根据相关事实推断知识。在攻击图生成领域构建本体是提高机器智能和实现自动化过程的前提。在本文中，我们提出了一种语义方法，使大规模攻击图机器可读。这种方法有几个好处。首先，用户可以从大规模攻击图中通过推理获得相关事实，攻击图的语义可以为用户提供直观的理解。其次，使用获得的本体结构可以进行基于情报的安全评估。通过提高攻击图的机器可读性，我们的方法可以导致网络安全的自动评估。

 

二、系统介绍

　　本文提出了一种基于本体构建语义攻击图的新思路，解决了以往研究中无法解决的实际问题。我们提出了语义攻击图概念，并使用RDF（资源描述框架）模式和OWL（Web本体语言）开发了攻击图本体。然后，我们让推理引擎理解用户对攻击图的查询，推导出数据之间的关系，并给出结果。最后，通过对多重先决条件攻击图的实例研究，证明了该方法的可行性。

 

三、语义攻击图

 

 

 　　这个有向的、有标记的图可以很容易地进行RDF建模，助于从数据推断和增强搜索。

 

四、攻击图本体设计

　　在攻击图的领域，我们包括MP攻击图形相关的术语如状态、漏洞和先决条件类。然后，我们进一步将这些术语细分一些子类，如下图所示层次结构：

 

 

 　　下图显示了定义的类和实例，以及它们在攻击图域中的关系。我们用矩形表示类，用椭圆形表示实例，用链接表示类的属性。实例A和实例B是statclass的类型，分别表示主机A和主机B上的访问级别。实例CanReachB,C,D是reachabilitygroup类的类型，是先决条件的子类。

 

 五、未来工作

　　未来，为了改进本文提出的方法，我们尝试扩展和增强本体来表示广义攻击图。通过与现有安全领域的本体集成，这将成为可能。我们还计划开发一个自动化的智能防御框架，用户可以通过语义攻击图传递扩展的知识来建立有效的防御策略