及人工免疫一種基于本體的安全信

，題也愈加重視。安全的不斷增加檢測系統(tǒng)的高誤報和漏報嚴重危害計算機，（1）基于網(wǎng)絡和主機的檢測系統(tǒng)所捕獲的進行集中式管理并提供實時的可視化（2）、合分析對于重要的日志數(shù)據(jù)源進行特殊的過濾和分析在該原型系統(tǒng)的基礎上，本文建立了安全信息知識庫，能夠?qū)崿F(xiàn)異構(gòu)檢測系統(tǒng)的知識互通，并完成語義級別的邏輯推理工作。本文主要從安全檢測和安全三個方面建立本體模型能夠根據(jù)過程的特征和用戶操作記錄推理得到可能的類型和用戶角色判、 檢測；安全分析；本體建Withtheadventoftheeraofbigdata,explosivedatagrowth,peoplepaymoreattentionontheknowledgeofinformationsecurityandmanagementissues.AsSecuritythreatscontinuetogrow,thefalsepositivesandfalsenegativesproblemoftheintrusiondetectionsystemareinseriousdamagetothecomputersecurity.Inaddition,theindependentmanagementofsecurityknowledgemakeitdifficulttolearnandsharetheencounteredsecuritythreatsmeaningfully.Therefore,thispaperpresentsamethodformodelingsecurityinformationmanagementprototypesystembasedonontology.Thispaperproposedasecurityinformationmanagementprototypesystem,whichmainlycoversthefollowingfunctions:(1)real-timemonitoringandmanagement,realizecentrallymanagedforsecuritycapturedbythenetwork-basedandhost-basedintrusiondetectionsystem,andprovidesreal-timevisualmonitoringchartsandsecurityreports;(2)logcollectionandsecurityysis,aggregation ysisforsecuritys,andfilter,storage,andysistheinformationfromimportantdatasources.Onthebasisoftheprototypesystem,thispaperestablishedasecurityinformationrepository,toachieveknowledgeinteroperabilityofheterogeneousintrusiondetectionsystemsandcompletethesemanticleveloflogicalreasoning.Theontologymodelestablishedinsecurityvulnerabilities,intrusiondetectionandsecurityeventaspects,onwhichcaninferenceapossibleattacktype,userrolesandotherinformationsreasoningonthecharacteristicsofinvasionprocessanduserrecords.Combinedwiththeimmunesystemknowledge,suchasconceptsandprinciplestosupporttheknowledgemodelingofartificialimmuneinformationrepository,andevaluateandillustrateofthebenefitsoftheknowledgebase.：Securityinformation;Intrusiondetection; ysis;摘 目 第一章引 課題來 研究內(nèi) 第二章相關(guān)技術(shù)綜述及研究現(xiàn) 本體概 2.2.1檢測系 2.2.2檢測系統(tǒng)分 2.2.3檢測系統(tǒng)發(fā)展趨 安全分 本章小 第三章安全信息管理原型系統(tǒng)整體框 3.2檢測子系 3.4分析子系 3.5本章小 第四章基于本體的安全信息管理原型系統(tǒng)建 安全本體模 安全本體模 本章小 第五章安全信息管理原型系統(tǒng)的實 本章小 第六章基于本體的安全信息管理原型系統(tǒng)的應用與評 本章小 第七章總結(jié)與展 附 附錄一術(shù)語 附錄二索 參考文 致 圖2.1語義Web的體系結(jié) 圖2.2骨架法的本體構(gòu)建流 圖 TOVE開發(fā)流程 圖2.4出現(xiàn)互補位和獨特位的抗 圖3.1安全信息管理原型系統(tǒng)邏輯層次結(jié)構(gòu) 圖3.2安全信息管理原型系統(tǒng)執(zhí)行流程 圖3.3檢測子系統(tǒng)部署 圖3.4日志收集子系統(tǒng)部署 圖3.5安全元模 圖3.6模 圖3.7系統(tǒng)安全模 圖3.8用戶操作記錄分 圖4.1安全本體頂級概念和關(guān) 圖4.2安全本體概念劃 圖4.3CVE本體模 圖4.4IT_Product的具體子 圖4.6Attack的具體子 圖4.7Attack_Method的具體子 圖4.8Consequence的具體子 圖4.9計算機模 圖4.10以目標為中心的計算機模型圖形化展 圖4.11安全生命周 圖4.12安全模型基本概 圖4.13人工免疫系統(tǒng)分層框 圖4.14免疫系統(tǒng)本體模 圖4.14檢測器的二進制編碼結(jié) 圖4.15檢測器產(chǎn)生過 圖4.16監(jiān) -self模 圖5.1Snort數(shù)據(jù)庫模 圖5.2安全實時......................................................................................................圖5.3日志管理 圖5.4安全詳細 圖5.5日志統(tǒng)計分析 圖6.1應用場景一重要概 圖6.2SynFlood判定規(guī)則定 圖6.3應用場景一推理結(jié)果 圖6.4應用場景一推理結(jié)果 圖6.5應用場景一推理結(jié)果 圖6.6應用場景一推理結(jié)果 圖6.7應用場景一推理結(jié)果 圖6.8應用場景一推理結(jié)果 圖6.9等級推理規(guī)則定 圖6.10相似Vulnerability的規(guī)則定 圖6.11相似Vulnerability推理結(jié)果 圖6.12相似Vulnerability推理結(jié)果 圖6.13用戶角色分 圖6.14應用場景二約定示例 圖6.15應用場景二約定示例 圖6.16應用場景二約定示例 圖6.17應用場景二規(guī)則示 圖6.18應用場景二推理結(jié)果 圖6.19應用場景二推理結(jié)果 圖6.20應用場景二推理結(jié)果 圖6.21應用場景二推理結(jié)果 圖6.22應用場景二推理結(jié)果 圖6.23應用場景二推理結(jié)果 表3-1Linux系統(tǒng)日志重要信 表4-1免疫系統(tǒng)與檢測的概念對 表5-1硬件環(huán)境需求 表5-2軟件工具需求 表5-3Snort重要數(shù)據(jù)庫 表5-4Snort數(shù)據(jù)庫表 表5-5Linux消息類 表5-6Linux優(yōu)先級信 表5-7重要日志源分 表5-8重要日志消息匹配 表6-1用戶操作記錄分析 本課題方向主要來源于兩個方面：一方面，語義網(wǎng)（SemanticWeb）是導師的研人將本課題作為的研究方向。充分仍然是安全一直得以危害泛濫的重要原因之一。不齊，不夠全面，而且與其他組織的知識庫很難互用和共享，導致安全知識的表達方式各不相同，從而嚴重影響了安全等相關(guān)知識的共享性和可重用性[1]。為了解決這些問題，要從根本上減少或者消除安全知識概念層次的，達成共同的認識基礎[2]（ontology）TomGruberontology一致的基礎上共享計算機安全相關(guān)知識。此外，工程研究表明，從知識共享的角度來看本體能夠針對特定領域相關(guān)問題來表達共同認識當然也包括領域本文旨在擴展本體技術(shù)在領域的實際應用研究其領域知識并設計實現(xiàn)定程度上解決計算機安全不易于和重復利用的難題。本所研究內(nèi)容的主要關(guān)鍵點有三個采用結(jié)合網(wǎng)絡和主機的分布式檢測集中管理方案以及日志收集相關(guān)傳統(tǒng)的基于網(wǎng)絡的和基于主機的檢測本身都存在著缺陷，安全信息的管理又需要多種數(shù)據(jù)源的支撐。因此，本文采取了一種綜合網(wǎng)絡和主機的分布式檢測、集中管理方案，統(tǒng)一管理網(wǎng)絡和系統(tǒng)安全，對安全相關(guān)日志的重要數(shù)據(jù)源采取集中收集和的方法，為安全后期處理做好鋪墊。針對安全的特征分基于本體的領域建模方法以及相關(guān)安全本體的研本文主要以領域知識為研究背景，以安全信息管理原型系統(tǒng)為主要研究對象，研究范圍包括計算機安全、檢測和安全分析等問題。通過對檢測的準確度，降低安全的漏報和誤報率，并促進安全信息知識的共享以本文所做的工作，主要包括以下三個方面針對目前主流的網(wǎng)絡檢測工具和系統(tǒng)檢測工具基于安全的整個提高安全檢測的準確度。、利用本體技術(shù)從安全檢測和安全三個角度入手構(gòu)建模型、設計并實現(xiàn)安全信息管理原型系統(tǒng)，主要功能包括實時的安全可視化實時狀態(tài)監(jiān)測、以及對安全相關(guān)日志源的集中收集和。更重要的是，利用本體推理得到的語義信息是隱藏在安全的一般信息之中的可以更準確更全面地認識安全的本質(zhì)，從而及時的反應。的一些問題并了利用安全分析技術(shù)可以從一定程度上改善檢測存在的決安全知識獲取程度不一、速度慢、管理等問題。第2章詳細介紹了當前的技術(shù)、本體技術(shù)和安全分析技術(shù)的發(fā)展現(xiàn)狀，主要包括對現(xiàn)有檢測技術(shù)、本體建模技術(shù)和安全分析技術(shù)進行了描述。此外，大致描述了人工免疫系統(tǒng)的相關(guān)概念和原理，為基于人工免疫的檢測相關(guān)檢測、日志收集和分析三大模塊，并進行了詳細的架構(gòu)描述。模的同時滿內(nèi)外廣泛接受的安全標準將該原型系統(tǒng)所涉及的元素劃分為安全漏洞、檢測和安全等三個主要本體模型，并能夠進行本體推理。第5章是對該原型系統(tǒng)的實現(xiàn)部分按照第3章中的總體設計模塊設計方案，講述了如何實現(xiàn)Web端實時查看安全統(tǒng)計圖表，安全相關(guān)信息的收集、過濾、、本章將介紹本所涉及的相關(guān)理論和技術(shù)，包括本體概念和主要技術(shù)檢、eb（Semanticeb管理和安全知識庫。XML+NS（NameSpace）+XMLRDF+OntologyDigitalXML+NS（NameSpace）+XMLRDF+OntologyDigital2.1WebWebOWL語言的設計目標之OWLLite是精簡版，只擁有最基本的本體描述能力，可表達的分類層次和OWLDLOWLDL中的公理性OWLDL（DescriptionLogic，描述邏輯）基于描述邏輯的知識表示，具備CompletenessRDFRDF尤其是本體在計算機科學等領域得到廣泛應用且效果顯著之后。但是需要的是，在本體構(gòu)建中最具備代表性意義的是TomGruber用于指導本體構(gòu)建工作5個基本準則[8]：（TOVE（1）骨架法2.2所示：否否是2.2TOVE方法該方法是多倫多大學TOVE項目中使用的目標是為了建立一套特定知識的本體邏輯模型，構(gòu)建形式化的集成本體模型，主要包括企業(yè)設計Ontology、項目OntologyOntologyOntology2.3所示：圖 TOVE開發(fā)流程與骨架法、TOVE建模方法不同的是，Methontology方法首先利用中間表示來表達知一般來說，在評判某個檢測系統(tǒng)性能優(yōu)劣的時候，主要考慮以下兩個參數(shù)：漏報率和誤報率漏報率是指將原本應判定為的行為錯誤地判定為正常行為的比率；而誤報率是指將原本不是的行為錯誤地判定為行為的比率。在傳統(tǒng)的計算機技術(shù)中，技術(shù)、防護技術(shù)、安全掃描技術(shù)、認證和數(shù)字簽名技術(shù)、技術(shù)以及控制技術(shù)等技術(shù)得到了比較好的發(fā)展和相陷：比如說無法實現(xiàn)實時的和自動響應動作；功能相對來說較為獨立，缺乏協(xié)作人們提出了檢測的概念。審計能力、實時能力、特征識別和響應動作能力等，它與的協(xié)作使用能夠提高基礎設施的整體安全性能它通過從計算網(wǎng)絡環(huán)境中的關(guān)鍵資產(chǎn)訊息，則可能是了某項安全策略或是一種。4月JamesP.Anderson所做的一份技術(shù)性報告[12]，該報告，IDS實施即時監(jiān)測網(wǎng)。檢測的問題就是如何發(fā)現(xiàn)已有安全策略的可疑網(wǎng)絡傳輸行為。特征檢測（Signature-basedDetection）或誤用檢測（Misuse該方法假定行為的發(fā)生都伴隨著一種特定的模式或一些可識別的的難點在于如何建立模式或特征庫可以有效識別已有行為同時又不會誤報Detection)行對比分析來發(fā)現(xiàn)行為這種檢測方法的難點在于如何定義合理正確的行為模式集合，要求既要能夠表達行為模式又不會涵蓋正常行為[14]?；谥鳈C的檢測系統(tǒng)位并迅速作出反應?；诰W(wǎng)絡的檢測系主要通過的網(wǎng)絡傳輸數(shù)據(jù)包捕獲并提取相關(guān)信息與已知的特征進擊，特定環(huán)境等。分布式檢測系通常情況下，這種檢測系統(tǒng)采用分布式的部署方案。前兩種檢測系統(tǒng)均Sensor，分別向服務器匯報和發(fā)送數(shù)據(jù)，從而提供跨平臺或跨網(wǎng)絡的檢測方法。也可以指在關(guān)鍵的主機上采用基于主機的檢測而在關(guān)鍵的網(wǎng)絡節(jié)點上采用基于網(wǎng)絡的檢測，這樣就可以同時分析來自主機的審計日志和來自網(wǎng)絡的數(shù)據(jù)流量，從而綜合的判斷是否受到。，早在1998年2月，組織（SecureNetworksInc.）就IDS存在有許多弱點，主要表現(xiàn)在對數(shù)據(jù)的檢測準確性和對系統(tǒng)本身行為的防護兩方面。由于網(wǎng)絡傳輸?shù)奶岣咚俣冗h大于檢測效率的增長，阻礙了檢測系統(tǒng)更高效的工作，同時也意味著檢測系統(tǒng)監(jiān)測行為的可靠性大打折扣。另一方面檢測系統(tǒng)在應對對于系統(tǒng)本身的時對其他數(shù)據(jù)傳輸?shù)臋z測能力也會受到一定程度上的抑制[17]同時由于模式識別技術(shù)本身發(fā)展的不完善也造就了檢測系統(tǒng)另一題——高誤報率。該問題極大地影響了檢測系統(tǒng)的實際使用效果，然而檢測，，為了更好的適應網(wǎng)絡發(fā)展和用戶的實際需要檢測系統(tǒng)也在不斷地得到完善，而了真正的行為，難以定位。協(xié)議分析是目前檢測領域最為先進的檢測技術(shù)之一[18]，主要利用對網(wǎng)絡傳輸?shù)臄?shù)據(jù)包進行結(jié)構(gòu)拆分字段解析來識別行，而是根據(jù)發(fā)生的上下文來確認是否發(fā)生以及行為是否生效因此對檢測系統(tǒng)的各項屬性也有越來越高的標準能否高效的監(jiān)測網(wǎng)絡傳輸是衡量檢測產(chǎn)品質(zhì)量好壞的一個重要指標。高度可集：即將其與網(wǎng)絡和網(wǎng)絡管理所具備的相關(guān)功能集成在一檢測系統(tǒng)的目前態(tài)勢。毋庸置疑的是，檢測系統(tǒng)的前景還是相當可觀的。安全分（1）服務 DoS（2）代碼，它有可能是、蠕蟲、木馬或其他自動執(zhí)行代碼形式的（3），在的情況下，通過本地方式或方式相關(guān)不當使用，用戶行為了計算資源可接受的相關(guān)使用政策復合型安全，包含以上兩種或多種類型的安全好地處理這些問題就不能進行有效的安全分析和管理這些問題主要包括和記錄。此外，安全級別較高的網(wǎng)絡還容易出現(xiàn)“風暴，其中存在大量的雖然國際上已經(jīng)了一些標準，但是安全產(chǎn)品的數(shù)據(jù)格式并沒有真正統(tǒng)一起來。毫存在嚴重的誤報問題，難以識別真正 級別高卻不會網(wǎng)絡檢測亟需解決的一題。對于一般的網(wǎng)絡檢測產(chǎn)品而言，它們只與其直接連接的網(wǎng)段，而不是對整個計算機網(wǎng)絡環(huán)境進行[23]。而安全的檢測大多數(shù)是依據(jù)預先定義好的特征庫來匹配的，這樣做就只是純粹地檢測到單一的、零碎的一般性安全，而無法將其前后所發(fā)生的安全都關(guān)聯(lián)起來進行分析若是遇到比較復雜的協(xié)同模式，這種相對單純的匹配檢測方法就為力了。正是由于產(chǎn)品難以實現(xiàn)實時的復雜計算，造成了安全數(shù)據(jù)的大量冗余、錯亂、難以辨識的問題，從一定程度上影響了分析和管理安全的整個過程，導致辨識本質(zhì)的工作變得愈加艱難。此外，低級的機制無法檢測到真正的，（DDos才發(fā)現(xiàn)行為避開了安全檢測產(chǎn)品。聚合分（tio/Clusteringysis即聚類與合并方法能夠有效處理安全中的冗余數(shù)據(jù)因此在領域得到了廣泛應用聚合分析方法通常將從屬于同種或同類的信息聚合為一條總的信息主要用來減少冗余度。信息的聚合分析過程主要目的是減少的數(shù)量采用某種相似度的關(guān)聯(lián)算法聚類和分類法等算法對原始進行處理其主要功能之一是把由同一安全造成的多條融合為一條較高級的記錄從而大大減少了需要處理的數(shù)量另一個主要功能是能夠?qū)碜圆煌O備但卻是針對同一安全所產(chǎn)生的重復關(guān)聯(lián)在一起聚類分析的主要思想就是分析安全之間存在的某種關(guān)聯(lián)關(guān)系然后與相似度達到一定閥值的安全進行合并得到精煉的安全，從而去除掉重復和冗余的，提高處理效率24。比較好的聚合算法能夠體現(xiàn)出安全等信息的詳細分布狀況及具備的一些特點，這些對于安全的分析和管理來說是相當有實際意義的。生物免疫系統(tǒng)（BiologicalImmuneSystem，簡稱BIS）能夠、區(qū)別和中和外BISBIS原理啟發(fā)，有一些新算法產(chǎn)生，作為計算智能的一個新分支，即人工免疫系統(tǒng)（ArtificialImmuneSystem，簡稱AIS）[26]。AIS正在成為一個活躍而具有的領域，它涵蓋模型、技術(shù)和應用，且具有巨大的多樣性。AIS提供強大且健壯的信息處理能力，能夠用來外來侵入物。一般來說，生物體會嘗試各種不同的機制來保護自身免受致病菌，包溫、低PH值和化學物質(zhì)等能夠或殺死侵入者。更高級的生物（如脊椎動System（Antigen（（統(tǒng)的重要特性，對自子產(chǎn)生不適當?shù)姆磻瑢⑹侵旅腫28]。同樣地，人類免疫系統(tǒng)（TheHumanImmuneSystemHIS）是人類生命系統(tǒng)中最重要和最根本的組成部分它類本身與外部環(huán)境的一切相互作用和反應。從這個角度來說，HIS所擁有的功能是相當多的，它能夠幫助維持體內(nèi)平衡，使夠識別來自外部的潛在的有害物質(zhì)（叫作病原體或致病菌，并消滅受的表現(xiàn)異常的細胞，從而保護自身的組織。免疫系統(tǒng)能夠區(qū)分自身其他正常分子（、 （AnatomicBarrier）性免（InnateImmunity）和獲得性免（AdaptiveImmunity、組織，作為第一層，組織主要由皮膚和粘膜表面組成。實際上，皮膚的低PH值阻止了大多數(shù)致病菌的滲透大多數(shù)細菌生長。另一方面，有些致病菌通過粘合或粘膜進入體內(nèi)；這些粘膜提供大量非特異性機制來幫助致病菌進入。唾液、眼淚等粘液分泌物行為能夠清除掉潛在的侵入物并且包含抗生素和抗物質(zhì)等化，性免疫是在出生時從父母那里得到的免疫能力總和。對于外來侵入物，Barriers噬（PhagocyticBarriers）和炎癥反應（Infl toryResponse原特異性（AntigeneticSpecificity，使得免疫系統(tǒng)能夠識別抗原之間微小的差異；多（Diversity Memory Recognition，值得注意的是，獲得性免疫本身并不獨立于性免疫活動而存在；恰恰相反， cells體液免疫（HumoralImmunity）成B細胞在其表面表達綁定獨特抗原受ABR通過補償系統(tǒng)或通過抗原表現(xiàn)任何功能。細胞免疫（CellularImmunity，在成熟期間，T細胞在其表面表達獨特的ABRTB細胞不同的地方在于，T細胞受MHCTMHC分子的抗原，T細胞增殖和變異成為T細胞和各種效應器T細胞。細胞免疫通過這些產(chǎn)生的效應器T細胞來完自我/異我識別（Self/-selfDiscrimination）在胸腺成過程中，T要由陽性選擇PositiveSelection和選擇NegativeSelection組成。其中選擇的T細胞巨大多樣性的一次過濾，只有不能識別自身肽的T細胞可以存。免疫（ImmuneMemory）免疫淋巴細胞能夠識別特定抗原的ABR。大多數(shù)淋巴細胞在消除抗原時也會但是有少數(shù)淋巴細胞會存成為細胞。細胞有較長的，能夠在下一次遇到相同抗原時快速響應人工免疫系統(tǒng)AIS的興起是受到了人類免疫系統(tǒng)（HIS）的啟發(fā)，并依此發(fā)展成免疫網(wǎng)絡模型（ImmuneNetworkModel、選擇（NegativeSelection、克隆選擇Theory免疫網(wǎng)絡模型最早由Jerne提出[32]，該模型免疫系統(tǒng)維持了一個互聯(lián)細胞的2.4BB細胞獨特位識別，因2.4T細胞才能從胸腺中釋放出來。這個過程對于抗體不對自身正常細胞造成起到非常關(guān)鍵的作用。Forrest等人提出了最基本的選擇算法思想，主要由如下幾個步驟：a）在生查一個傳入的數(shù)據(jù)實例是自我還是非自我；d）若它匹配上任何檢測器，則被為。，ab當一個抗原或致病菌侵入組織時，能夠識別這些抗原的抗體才能存；c）識別抗原的免疫細胞將進行細胞增殖在增殖期間體壁細胞以無性生殖方式增殖即細胞有絲時沒有傳遞遺傳物質(zhì)新細胞是抗體的品；d）一部分克隆細胞將經(jīng)歷一種突變機制，被稱為體細胞高頻突變；e）每個細胞與其他細胞的親和力是細胞間相似度的一種計算方法，計算細胞間的距離響應的抗體要比初次響應的抗體平均親和力要高很多這種現(xiàn)象被稱為成免疫應答在成熟過程中抗體的健康和親和力都在發(fā)生變化每一次克和力低或能夠自反應的受體必須清除；f）有效免疫細胞的每一次迭代都會使得一部分成為漿細胞其他部分作為細胞漿細胞分泌抗體細胞擁有更長的gbg的過程，直到終止條件滿足。克隆選擇算法有一些很有趣的特點，如群體大小的動態(tài)適應性、搜索空間的探索、多個最優(yōu)解的位置、保持局部最優(yōu)解以及定義終止條件的能力。。，Matzinger提出，為了使免疫系統(tǒng)運轉(zhuǎn)正常，只識別正確的細胞是許多免疫學專家認為它們之間的區(qū)別是在生命早期學會的特別是在成過程中消TB細胞，對完成對自身的耐受性起到了非常重要的BTT根據(jù)理論在進行自我-非自我的區(qū)分時必然會有區(qū)別發(fā)生而另外一種觀點統(tǒng)并成功遷移（不非自我。，理論允許非自我且無害自我但有害的侵入物思想是免疫系統(tǒng)不向非自我但卻做出應答實際上也沒有必要去來自外部的一切物質(zhì)根據(jù)這個理論可以通過受破壞細胞的呼救信號來測量當細胞非自然時將發(fā)出呼救信號而清楚的定義一個適當?shù)男盘柧途邆湟欢ㄐ赃m當定義的信號能夠克服自我-非自我選擇的很多限制，它將非自我限制在一個可管理的范圍內(nèi)3]，消除了篩選所有自我的需要，能夠適應性的處理自我（或非自我）隨時間變化的場景。，、域的眾多研究人員的注意。一些重大的應用包括最優(yōu)解問題、計算機安全檢測、及本體在計算機領域的發(fā)展狀況檢測詳細介紹了當前環(huán)境下檢測節(jié)將針對本文安全信息管理原型系統(tǒng)進行描述首先理清了安全信息管理的一產(chǎn)生的日志信息進行集中和分析它能夠收集企業(yè)數(shù)據(jù)網(wǎng)絡中所有重要資產(chǎn)的安也是安全信息的最初來源層的主要工作是針對安全對象部署相應的安全檢測措施，完成對網(wǎng)絡、主機和服務的檢測，主要目標是安全對象產(chǎn)生的和日志（這里使用的是一種開源的日志收集管理工作，稍后會提到；層，顧名思義，將層收集到的安全相關(guān)信息進行，同時功能層處理后的安全日志、安全規(guī)則等信息；功能層是該原型系統(tǒng)的模塊，主要分為日志處理、審計分析和安全管理等 聚類分析和系統(tǒng)安全的人工免疫算法提供數(shù)據(jù)接口和知識支持展示層提供統(tǒng)一展展存安3.13.2所示：3.23.2檢測子系僅僅部署基于網(wǎng)絡或基于主機的檢測系統(tǒng)都會存在這樣或那樣的不可避免檢測方案即綜合網(wǎng)絡和主機的分布式檢測集中管理的方（如圖3.3所示3.3Snort[34]：由Sourcefire組織開發(fā)，是一款開源的網(wǎng)絡防御和檢測系（IDS/IPSIDS/IPS技術(shù)解決方案。簡單來說，Snort就是一種數(shù)據(jù)濾器，通過對網(wǎng)絡傳輸?shù)臄?shù)據(jù)包進行過濾分析處理來判斷是否符合已有的特征。順便提一下，barnyard2是一款開源的專門用于處理的Snortunified2格式文件。Sagan[35]：由Softwink公司，主要用于對系統(tǒng)日志的。它是一個開源的、多線程的、實時的系統(tǒng)日志和日志系統(tǒng)。簡單來說，sagan將會實時監(jiān)視系統(tǒng)日志中發(fā)生的，發(fā)現(xiàn)異常時產(chǎn)生提醒。RubyOnRailsWeb應用程序，主要用于的實時，為當前主流的檢BASE相比，要簡單且好用很多。圖3.3檢測子系統(tǒng)部署Sensor，Agent，統(tǒng)傳送到統(tǒng)一的中心服務器，實際上是傳送到MySQL數(shù)據(jù)庫，然后Snorby從web端展示出來。便能夠有效地捕獲和分析得到發(fā)生的所有但是這樣的方式存在著嚴重的問將日志記錄集中在一個指定的位置，便于進行統(tǒng)一地日志檢關(guān)注近期相關(guān)變化，如失敗、錯誤、狀態(tài)變化等異常時間，重建發(fā)生前后的活研究發(fā)生的原理，并通過探索日志來證3-1所示：3-1服務器（或工作站）應用程序（Web服務器、數(shù)據(jù)庫服務器）安全工具（如殺毒軟件、變化檢測、檢測/防御系統(tǒng)）產(chǎn)生的日邊界、終端用戶程序產(chǎn)生的日與安全有關(guān)的其他來3-2系統(tǒng)安全系統(tǒng)信息用戶操作記錄服務器日志數(shù)據(jù)庫操作記錄力處理Linux操作系統(tǒng)的日志收集。通常情況下，Linux操作系統(tǒng)和應用程序的日志存放在/var/log下，而設備則通過Syslog服務來記錄日志。、收集子系統(tǒng)的主要任務是對各種日志進行集中收集、過濾以及檢索。下面簡單、LogstashElasticsearch[38]ApacheLucene開發(fā)的實時分布式搜索引Kibana[39]LogstashElasticsearchWeb接口，能夠?qū)χ匾獢?shù)據(jù)進行匯總、分析和高效搜web界面；3.4iewer在收集目標服務器上的客戶端，負責收集相關(guān)日志消息；Inder可以按照配置中指定的方式（Filter）ShipperInder分別完成有所區(qū)別；Broker為消息，默認配置使用Redis，它是一個開源的Key/Value數(shù)ShipperInder之間建立通信：每個Shipper把日志消息傳送到的Redis服務器，Inder則從Redis服務器中供數(shù)據(jù)和搜索服務；WebUI采用Kibana，它能夠與ElasticSearch很好的集安全元模型，它包含了安全必須具備的一般屬性，如圖3.5所示：圖3.5安全元模信息管理原型系統(tǒng)采取的是基于 屬性相似度的聚合分析方法。鑒于Snort主要依賴于規(guī)則匹配以及協(xié)議分析來檢測異常網(wǎng)絡傳輸，其產(chǎn)生的數(shù)在Snort捕獲的中，比較受關(guān)注的安全屬性主要包括于信息所指示的時間信息，必須保證各臺服務器時間是同步的。時間，雜干擾安全監(jiān)測的準確性，喪失了的意義。對不同時間段的進行統(tǒng)計分源IP地址：它可能是行為的，可以通過統(tǒng)計分析源IP地址的分布特點，確定來源的IP范圍，然后對來自這些網(wǎng)段的請求進行，也是一種有效保護自身資產(chǎn)安全的重要。目標端端也同樣提供了很多信息比如說在某段時間內(nèi)發(fā)生了大量的端口信息，那么有可能在進行端口掃描。端會當前系統(tǒng)可用的端，進而可用來猜測可能的服務進程并發(fā)起行為。傳感器ID：傳感器往往部署在多臺服務器上復雜不同的網(wǎng)段或資源，傳感器ID標記能夠快速定位問題發(fā)生的位置，從而減小安全的影響。：協(xié)議名行為是通過滲透何種協(xié)議進來的，這也是有證可查的。根據(jù)協(xié)議的不同特點對進行分析可以從中發(fā)現(xiàn)一些規(guī)律有助于更好編寫檢：）（6級別：這種評估嚴重級別的信息，自然是十分重要的。對）通過對Snort所捕獲的屬性和規(guī)則特點分析，總結(jié)得出了3.6所示：圖3.6模全兩部分能夠自主學習，從而進一步提高了檢測的準確度，降低了安全的漏報率。3.7所示：圖3.7系統(tǒng)安全模除了利用檢測工具檢測到的安全外，該原型系統(tǒng)還結(jié)合了與安全信息可安全，從歷史的日志后期挖掘處理操作中發(fā)現(xiàn)異常，從而與檢測的實時Linux服務器的，LinuxLinux3-13-1Linuxpassword”“Accepted“authenticationfailure”,“failed“session“passwordchanged”,“newuser”,“deleteSudoCOMMAND=…”“AILED“failed”or3.8所示。3.8；模塊具體介紹了相關(guān)框架設計和主要思想其中檢測子系統(tǒng)主要介紹了開源檢測工具的配合使用以及檢測的運行過程日志收集子系統(tǒng)首先對關(guān)鍵的數(shù)據(jù)源進行了分析和確定，然后描述了基于開源工具搭建的日志收集管理框架設計分析子；、，體模型，針對安全信息管理原型系統(tǒng)的本體建模，主要分為安全檢測和安全等三個主要模型不僅僅是建立了使計算機系統(tǒng)從可讀變得可理解的安全信息本體知識庫，而是根據(jù)通用的安全知識庫來預測與分析潛在的可能性目前、，本文所使用的本體編輯工具為Protégé4.3[40]，它是由斯坦福大學負責研發(fā)的由Java語言編寫的用于編輯本體和知識的工具。它提供用戶友好的圖形界面和交互體外，Protégé4.x版本更換為OWLAPI[41]，能夠支持OWL2.0標準的新特性。、元素、內(nèi)在聯(lián)系以及特征進行較為全面的分析，然后從系統(tǒng)資產(chǎn)自身弱點者攻方面：CVE本體模型、計算機本體模型和安全本體模型。此外，對于、為了使傳統(tǒng)的CVE數(shù)據(jù)庫能夠被機器所理解，本文針對CVE這種結(jié)構(gòu)組織良好的安全知識索引進行本體建模，從中發(fā)掘安全之間的內(nèi)在聯(lián)系或隱藏聯(lián)系。對于檢測和安全來說，它們本身是一個過程，因此本文采用以目標為中心的建模方法通過分析過程和產(chǎn)生過程的特征從而發(fā)掘其隱藏的屬性和關(guān)系涉及的安全、檢測以及安全等方面依次介紹具體的建模情況。1995年和技術(shù)NationalInstituteofStandardsandTechnology，簡稱NIST）在其特800-12中描述了安全關(guān)系模型的概念。4.1圖4.1描述了安全本體頂級層次的相關(guān)概念以及概念之間的關(guān)系。下面我們簡單梳理一下上述模型：一個（Threat）將導致后續(xù)的，對組織的資產(chǎn)（Asset）表現(xiàn)為一個潛在的，并影響特定的安全屬性（如性、完整性和可用性。一旦它利用一個（可能是物理方面、技術(shù)方面或管理方面的弱點，它將對某些資產(chǎn)造成損害。此外，每一個可以描述為潛在的（人為或自然原因）和威脅源（偶然或故意源。對每一個，分配一個嚴重程度值和可能被利用的資產(chǎn)列表安全控（Control）必須能夠減輕一個已識別的并且采取預防糾正、的實現(xiàn)都看作一個資產(chǎn)概念或它們的組合安全控制都源自控制標準和最佳實踐（如GermanITGrundschutzManual和ISO/IEC27001）且與之相對應，從而確保準所復用。實現(xiàn)了安全控制的同時，就已經(jīng)隱含地符合了各種各樣 標準安全本體的開發(fā)目標是提供一個知識模型，結(jié)合最相關(guān)的概念（資產(chǎn)安全控制以及它們的實現(xiàn)然后建立一個領域的通用知識庫。領域的全局模型，包括那些非的概念，例如的基礎設施。（1）（2）（3）源于最佳實踐標準和標準從而確保所使用的概念及其相互關(guān)系是基于廣泛事實上，大多數(shù)領域的現(xiàn)有本體只能應用非常有限的范圍，盡管如此，4.2

4.2Location安全子本體是安全本體的由五個概念組（AttributeThreatRating、Control和Vulnerability，它們都源自已建立的良好的標準，如德國IT基本保障手冊[42]（TheGermanITGrundschutzManual、ISO270001、法國EBIOS標準、NIST計算機全手冊和NIST風險管理指導。企業(yè)子本體提供一個框架能夠使用本體化的方式展示及其環(huán)境，從而與領域的概念聯(lián)系在一起因此企業(yè)子本體由以下三個頂級概念組成：Assert、和Organization。位置子本體將一系列位置信息可以將信息與位置相關(guān)聯(lián)從而通用披露[43]（CommonVulnerabilities&Exposures，簡稱CVE）的概念在1999年被提出，當時大多數(shù)產(chǎn)品都使用各自的數(shù)據(jù)庫來安全名稱，導致了安全覆蓋的潛在差距、分離的數(shù)據(jù)庫與安全工具之間互操作性差效率問題。此外，每一個產(chǎn)品供應商沒有使用統(tǒng)一的標準來描述已檢測到的CVE解決了這些問題，它作為通用的標識的一種字典索引，主要包括CVE標識符編號、相關(guān)描述以及與該相關(guān)的參考文獻等內(nèi)容。CVE可以是一個或披露的名稱，可以是一個或披露的標準化描述，它是一個字典索引而不是數(shù)據(jù)庫，可以將不同數(shù)據(jù)庫與產(chǎn)品擁有共同的參考和評估標準，從而提高互操作性和安度。CVE是公認的的工業(yè)標準這些安全均可從國家數(shù)據(jù)就是說不理解什么資產(chǎn)可能會受此的影響或者這個將會產(chǎn)生何種危害以及本章節(jié)的主要目標是構(gòu)建機器可讀的CVE本體模型，并進一步建立安全通抽取安全概念模型利用概念模型對具體進行建模，即實例化 MITRE公司列出了CVE的詳細，通過研究CVE的具體實例，抽取重要概念并在此基礎上提出了CVE本體的頂層概念模 圖4.3CVE本體模4.3，用來獲取某個系統(tǒng)或網(wǎng)絡的機會。若者利用了軟件中的一個錯誤了系統(tǒng)的相關(guān)安全政策，那么CVE則認定這個錯誤為一個。當然，這些錯誤不包含分類，本文采用CVE的研究視角，將CVE中的每種安全缺陷都作為一種。，Introduction_Phase是指軟件開發(fā)生命周期（SystemDevelopmentLife，一個階段都可能會出現(xiàn)。隨著對這個概念的進一步詳述與開發(fā)生命周期之，是系統(tǒng)配置文件，在系統(tǒng)初始化時是活躍的。IT系統(tǒng)。本文將軟件產(chǎn)品與硬件產(chǎn)品分開考慮，并4.4。4.4IT_ProductIT_VendorIT_Product的供應商，負責生產(chǎn)軟件或者硬件產(chǎn)品。供應商可以是一個IT公司、一個開源項目、一個學術(shù)機構(gòu)、或者是程序員，參考圖4.5。IT_ProductIT_VendorITIT_VendorIT_Product CPE，CPE標準命名規(guī)則，目的是為每一個目標IT系統(tǒng)提供一個清晰無歧義名。Attack指一個概念，這個概念描述了利用執(zhí)行并造成相應結(jié)果的人或機構(gòu)。上述模型是基于常用模式枚舉和分類（CommonAttackPatternEnumerationSpoofin（，ExploitationofAuthentication（認證利用，Injection（注入）4.6。4.6AttackAttack_Intent是指一個描述了的一般目的或最初意圖的概念它有多個子類，每一個子類代表一種意圖，包括Exploitation（利用，Penetration（侵入）與Obfuscation（迷惑）等。但一般情況下，者利用對系統(tǒng)發(fā)起時，很難判斷其意圖。因此，根據(jù)Attack_Intent無法對vulnerability進行太多研究，但是Attack_Intent在保證系統(tǒng)的穩(wěn)定性有很重要的作用。Attack_Method是這樣一個概念它描述了所使用的方法它有多個子類每Spoofin（，Modification_of_Resourc（修改，API_Abuse（API ，Social_Engineering（社會工程，Time_and_State（時間與狀態(tài)，Brute_（蠻力，如圖4.7所示。4.7Attack_MethodAttacker指發(fā)動的人，即者。Attacker可分為RemoteAttacker和LocalAttacker兩種。Consequence指受到影響的部分由者利用特定的發(fā)起的導致，它的每一個子類代表了一種Consequence，主要包括Denial_of_Service（服務，Data_Modificatio（Information_Leakage，Arbitrary_Code_Ecution（，4.8ConsequenceCountermeasure用來描述可以或減輕潛在風險的行為或方法。這些解決方案或緩解方法的目的是為了提高目標軟件系統(tǒng)的抵抗力減少者成功的可能和提高目標軟件系統(tǒng)的恢復力，從而減少對軟件系統(tǒng)的影響。它主要包括除以上重要概念外，CVE本體模型中還包括將各個概念連接起來的屬性，比如Consequence。檢測系統(tǒng)和安全管理系統(tǒng)在推理和管理安全時所必須的本體中也包含分類學的一般來說，IDS會比較或可協(xié)同定位目標，這是勢在必行的。用來表示的任何一種分類方案都是以目標為中心的而任何一種分類特征都是由目的屬性特點來建立計算機模型。、、標的系統(tǒng)組件的和者的位置。該模型是以目標中心建立起來的Process；AttackDirectedto、EffectedbyResultingin來描述，分別SystemComponent、InputConsequence；ConsequenceDenialofService、UserAccessProbe等子類；InputReceivedfromCausing為特征，Causing定義了MeansofAttack和一些inputReceivedfrom將Input和Location聯(lián)系起來；LocationSystemComponentNetworkProcessMeansofAttackInputValidationError和LogicExploits、、圖4.9計算機模LossofUsertoToDenialof圖4.10以目標為中心的計算機模型圖形化展結(jié)合本文安全信息管理原型系統(tǒng)分析該原型系統(tǒng)所涉及的檢測相關(guān)的概念和關(guān)系，對計算機的具體模型進行了一定程度上的復用和擴展，如圖4.10所安全本體模、或 、或圖4.11安全生命周為了更好地幫助安全管理人員管理安全，MartimianoandMoreira在2005年ONTOSEC[46]。ONTOSECProtégéOWL語言建立的，主要4.12所示。impliesactsrelateshasrelateshappensexploredhashashasr 圖4.12安全模型基本概免疫本體（ImmunologyOntology）多用于處理臨床數(shù)據(jù)，一般會結(jié)合本OntologyOntology連續(xù)r-4.13imis等人研究重點在于前兩個元素上，開發(fā)一個統(tǒng)一的框架來幫助定義系統(tǒng)AIS統(tǒng)中。（1本文采用圖4.14來描述免疫系統(tǒng)本體模型，將免疫系統(tǒng)分為兩類：性免InnateImmunity和獲得性免疫AdaptiveImmunity。性免疫主要“uses”巨噬細ImmunewerebornBonegrowsgrows（lymphocyImmunewerebornBonegrowsgrows4.14免疫系統(tǒng)是保護身體不受外物，而檢測系統(tǒng)保護計算機網(wǎng)絡和主機資源不受或，二者的作用場景極其相似：都處于隨時可能發(fā)生變化的環(huán)境中，都努力去維持保護系統(tǒng)的穩(wěn)定性[48]而免疫系統(tǒng)具有豐富的多樣性耐受性免疫、自適用以及魯棒性等特點，將免疫原理引入到檢測中，能夠有效的彌補傳統(tǒng)網(wǎng)絡檢測系統(tǒng)的缺陷，如高誤報率和漏報率問題。疫思想的檢測所必需的數(shù)據(jù)或知識支持對于緩解檢測自身存在的一些詬病和提高檢測的性能效率等都具有非常重大的意義根據(jù)上述免疫系統(tǒng)的原理概念等分析，對比得到了免疫系統(tǒng)與檢測的概念對比表[49]，如表4-1中所示。表4-1生物免疫術(shù)語與檢測術(shù)語對、網(wǎng)絡或其他檢測目B細胞、T抗原與抗體的結(jié)合檢測器的的檢測部分就需要增加新的構(gòu)成元素，主要構(gòu)成元素如下：self類似地,檢測系統(tǒng)中,自我集合可能是指計算機系統(tǒng)中的受保護內(nèi)容，如系統(tǒng)數(shù)U是完備的和有限的集合；且從表4-1可知，檢測中的檢測器與免疫系統(tǒng)中的免疫細胞相對應，可將每一4.14所示。4.14即Self集合P，然后基于選擇算法生成一個檢測器集合M，負責不屬于Self集合P的所有元素，也就是 -self元素；運行過程如圖4.15所示：采用相同的表示隨機生成候選元素C；與P中元素進行匹配，若某元素C匹配成功則丟棄該元素，反之則放入檢測器集合M中。否否4.15否是受保護模式集合檢測器集合否是受保護模式集合檢測器集合圖4.16監(jiān)測-self模、作為本文的重點章節(jié)，本章詳細介紹了在本文所安全信息管理原型系統(tǒng)的之后講述了目前比較流行的建模工具以及建模過程，然后從安全檢測和安全的角度對安全信息進行建模，并進行實例化，構(gòu)建出一個較為完備的本體知識、、要包括：統(tǒng)一管理網(wǎng)絡和主機安全，提供Web端實時，友好的交全日志，提供全文檢索功能；根據(jù)安全檢測和安全三個方面建立相應、首先，需要的是由于本課題涉及多個領域且工作量比較大，因此本文安全信息管理原型系統(tǒng)的實現(xiàn)實際上是由本人和趙同學合作完成的的信息可以參考他的[51]本章所涉及的實現(xiàn)部分主要包含本研究課題所設計的模塊在安全信息管理原型系統(tǒng)的具體實現(xiàn)中本人負責的模塊主要包括安全的統(tǒng)一管理、實時以及圖表統(tǒng)計等功能，對安全相關(guān)日志的過濾、集中收集以及檢索等功5-15-2所示：Linux（Ubuntu12.0464位2G作為安全檢測的一部分，檢測和日志收集的開源軟件工具也是不可缺少的，5-2所示：網(wǎng)絡檢測工Snort主機檢測工SnorbyLogstashElasticsearchKibanarefsystem <pi> R_refref<pi>refsystem <pi> R_refref<pi>encodingtype<pi>Integerdetailtype<pi>Integersigid<pi>Integer<M>refseq<pi>Integersigclass<pi>sig <pi><pi>Integer<M>R_sensor_event<pi>Integer<pi>IntegerInteger<pi>Integer<pi>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M><pi>Integer<pi>IntegerInteger<M>Integer<M>vseq<pi>Integer <pi>Integer<pi>Integer<pi>Integer<M><pi>Integer<pi>Integer<pi>IntegerInteger<pi>IntegerIntegerInteger記錄捕獲的實例，是分析的重記錄捕獲的實例，是分析的重IPTCPUDP5-3列出了重要的數(shù)據(jù)庫表，Event5-45-4Snortint(10)int(10)捕獲的傳感器編int(10)int(10)int(10)IPsmallint(5)源端IPsmallint(5)目的端了Snorby工具進行展示，可看到時間跨度可操作的實警分析圖表。5-5LinuxSyslog01234567UUCP8916-事實上，Sagan是通過Syslog服務514端口來捕獲安全的，首先明確系統(tǒng)服務Syslog和Linux系統(tǒng)本身的一些基本有助于更好地分析主機安全。先級時，Syslog將記錄等于或高于該優(yōu)先級的消息。Linux系統(tǒng)中一些重要的消息類5-55-6所示。5-6LinuxSyslog76eNot5432103.3節(jié)中所確定的日志源，并針對一些具體的數(shù)據(jù)源進行5-7Http5-8所示：Grokst}(?:HTTP/%{NUMBER:httpversion})?-)"%{NUMBER:response}(?:%{NUMBER:bytes}|-)%{QS:referrer}%{QS:agent}User%{SYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:logHost}USER:User}:\[euid=%{USER:authUser}\]:from:%{IP:logIp}%{NUMBEAuthSYSLOGTIMESTAMP:Timestamp}%{SYSLOGHOST:srcHost}本文所使用的開發(fā)框架為目前較為流行的SSH框架,使型的dao、actionservice圖5.2安全實，圖5.2展示了實時的網(wǎng)絡和主機安全的監(jiān)視控制臺首頁，可以選擇不同的時間跨度會按照預定義的高中低優(yōu)先級進行分類以及各種統(tǒng)計圖表展示。控制臺右側(cè)可查看檢測到安全最多的傳感器登錄的系統(tǒng)用戶以及分類安全統(tǒng)計等信息此外還可以查看具體的日志列表和安全詳細如圖5.3和5.4所示，5.3圖5.4安全詳細的工作有過濾關(guān)鍵字段，統(tǒng)一和檢索，以及統(tǒng)計圖表展示，如圖5.5所示。5.5述了和系統(tǒng)安全的主要特點以及對不同數(shù)據(jù)源的日志進行收集過上一章節(jié)中對本文所安全信息管理原型的主要實現(xiàn)部分進行了詳細描述，接下來將基于該原型系統(tǒng)建立的本體模型設定類型判定以及用戶判定的應本文從類型和用戶角色的判定推理兩個角度來驗證本文所本體知識應的特征知識庫并構(gòu)建一些基本原則進行推理得到隱藏的語義信息如確定的類型，從而降低檢測的誤報和漏報率，促進提高檢測的準確性。本應用場景主要描述的是SYNFlood，利用TCP協(xié)議，可造成與目標Service的目標主機，Host01是受Host02信任的主機。過程主要描述如下：者開始Host02的TCP連接，目的是預測Host02當前生成的TCP序列號值；者假裝是Host01并向Host02發(fā)送SYN數(shù)據(jù)包，建立TCP會話；Host01受到后，無法發(fā)會話，此時者擁有一個與目標主機Host02的會話并且可以執(zhí)行命令。TCPHost01SYNTCP序列號RST消息。本應用場景的主要目標是通過對日志收集子系統(tǒng)收集起來的用戶操作記錄進行對異常檢測的準確性。3.8所示的用戶NameNameTimePermissionPath（Command一般情況下，扮演不同角色的計算機操作用戶所使用令基本上是一個基本固間段依據(jù)這些用戶操作以及各個項目組的具體規(guī)定來編寫相關(guān)的本體推理規(guī)（SWRL（1）（2（3）應判斷結(jié)果（6-1所示，并根據(jù)它們來建立本體實例，進而完成推理工作。1web賬戶就能滿sudorootweb用戶執(zhí)行sudo命令程序員誤操作或異常2程序員正常工作時間為上午18:00web2:00時執(zhí)行mysql程序員緊急操作或異3系統(tǒng)管理員使用執(zhí)行rootmysqlrootor色4ps、cdweb/root用戶cd、orProtégé4.3OWL-DL實現(xiàn)本體建模工作，并根據(jù)已有知識如CVE等對本體模型進行實例化。OWL-DL的推理工作由Protégé自帶Hermit推理機以及第插件Pellet推理機來完成。本章節(jié)的組織結(jié)構(gòu)（1）類型判SYNFlood6.1中列舉了本應用場景所涉及的重要概念。其中Connection表示者Attacker發(fā)起的一TCPTimeSpan，11秒，且發(fā)送超10SYNSYNFlood的主要特征，之后也將以此為根據(jù)建立規(guī)則推6.1第二步針對本應用場景的特征建立相應的規(guī)則用于確定具體的類型，6.2TCP連接的（AbnormalState只將SynFlood造成的TCP異?？醋鍪钱惓顟B(tài)的充要條件并以此為條件來判斷是否為SynFlood。圖6.2SynFlood判定規(guī)則定6.36.8。6.36.3TCP15SYN消息，根6.46.4TCP1100SYN消息，根6.56.5展示的是一次建立TCPAttack01110006.66.6展示的是一次建立TCPAttack0111000消息，根據(jù)SynFlood的規(guī)則定義得到Attack01為SynFlood6.76.7TCPAttack0213SYN消6.86.8TCPAttack0213SYN消Attack02Attack。此外，本文通過對安全知識庫中大量實例分析，發(fā)現(xiàn)知識庫中的之間、與概念之間以及概念之間存在著某種聯(lián)系。例如，本文定義了一種相似屬性（similarVulnerability）將兩個Vulnerability聯(lián)系起來，表明這兩個Vulnerability品中，可被同一種所利用，且表現(xiàn)出相同的特征，并導致同樣的。若以上條件均能滿足，則兩個Vulnerability是相似的。HIGH76.9所示。圖6.9等級推理規(guī)則定6.116.12圖6.10相似Vulnerability的規(guī)則定圖6.11相似Vulnerability推理結(jié)果圖6.12相似Vulnerability推理結(jié)果User（ester統(tǒng)管理員（SystemAdmin）和安全管理員（SecurityAdmin。6所示：6.14（commonauthority6.156.15中定義了程序員（Developer）Common權(quán)限且操作時間86點之間的用戶角色（UserRole6.166.16Root權(quán)限且可在任意時間操作的用戶6-86.23所示：6.18圖6.18展示了用戶角色的主要分類層次，這里設定了一個異常用戶角色6.196.19Common12sudo命令，Root權(quán)限，根據(jù)推理規(guī)則得到的結(jié)果為26.236.23展示了一個擁有Common12rootmysql原型系統(tǒng)建模是實的正確性和實際應用價值應用場景的描述沒有涉及將網(wǎng)絡用的詞匯集（如CVE安全）以及主流的本體概念模型建立起來的。對于大多數(shù)量的安全實例，并從中挖掘其內(nèi)在的關(guān)系，利用本體推理技術(shù)推知隱藏的語義信 SynFlood的特征以此建立本體規(guī)則并完成推理得到可能的類型應用場景二從用戶角色判定的角度根據(jù)各種用戶角色的操作規(guī)范或約定建立相應的本體安全內(nèi)容的自動化構(gòu)建意義重大對構(gòu)建機器可理解的安全也具有一定的參的檢測系統(tǒng)所需要的相關(guān)知識。安全領域的知識范圍廣闊，安全檢測工具和管理產(chǎn)品數(shù)不勝數(shù)，而安全也是層出多的安全實例還需要不斷更新和補充本體的構(gòu)建過程本身就是一個不斷迭代和使用等。而這些都可能是檢測和安全的某些特征，這也是之后的工作重點， OWLWebOntologyLanguage RDFTheResourceDescriptionFramework資源描述框架DLDescriptionLogic IDSIntrusionDetection 檢測系BISBiologicalImmune AISArtificialImmuneSystem SIMSecurityInformationManagement安全信息管理NISTNationalInstituteofStandardsand

和技術(shù)研 CommonVulnerabilities& 通用披 NationalVulnerabilityDatabase 國家數(shù)據(jù)庫 SystemDevelopmentLifeCycle CommontformEnumeration

常用模式枚舉和分本 本體是共享概念模型的明確的形式化規(guī)范說本體模型在本體中由類、關(guān)系、屬性等抽象元素構(gòu)成的概念層次結(jié)構(gòu)安全信息管理計算化工具，根據(jù)企業(yè)需求解決解決安全、合規(guī)和效率問題漏報率將原本是的行為判定為正常行為的比率誤報率將非行為判定為

Snort,VII,VIII,23,24,28,29,51,52,21,26,28,29,50,52,,12,13,30,24323435,I,50