多源數據融合的物聯網安全知識推理方法

　　摘要隨著信息技術產業的發展和物聯網設備數量的增長，物聯網安全防御的難度與復雜度不斷上升，針對物聯網與供應鏈的重大安全事件時有發生，這些事件揭示了物聯網供應鏈安全管理的復雜性.目前存在許多信息安全公開知識庫可用于物聯網安全威脅分析，但知識庫的異構性使威脅評估十分困難.對多個信息安全知識庫進行研究，將防御方所關注的安全知識來源與攻擊者的戰術、技術和攻擊模式整合成一個統一的關系映射鏈接圖知識庫，并導入威脅情報，旨在利用已披露的威脅事件來提升物聯網安全威脅要素評估能力.提出了一個物聯網供應鏈風險分析本體RIoTSCO，并以此模型為基礎設計了物聯網安全下的推理規則，利用本體的表達能力建立物聯網安全領域知識之間的語義關系，以解決多源知識的語義異質性問題.最后，在一個物聯網環境示例中基于所提方法進行安全評估，自動化推理緩解措施以應對威脅事件，并描繪威脅事件所能波及到的上下游供應鏈情報全貌.

　　關鍵詞物聯網安全;供應鏈安全;威脅分析;本體;知識推理;推理規則

　　物聯網(Internetofthings，IoT)領域的發展改變了傳統的工業形態，方便了人們的生活，海量物聯網設備的使用和新型物聯網技術的普及促使物聯網應用擴展到更廣泛的領域，如工控物聯網、醫療領域、智能城市、智能電網等[1]，但潛在的物聯網安全問題也在逐步浮現.

　　伴隨信息化與工業化的深度融合，采礦、電力、化工等領域的工業控制網絡與政府、軍事、金融等系統的網絡從相對獨立且完全與外網隔離，逐漸發展為網絡化連接和信息化管理并向互聯網開放，傳統的內網外網界限逐漸模糊，引入了無處不在的網絡安全風險.物聯網背景下的工控設備與網絡技術相融合，消除了工業環境的內外部安全邊界[2].工控網絡設備不僅面臨傳輸鏈路上的軟硬件安全、網絡防護邊界模糊等安全風險，還面臨云平臺服務虛擬化中的跳板入侵、違規接入、數據丟失、竊聽和篡改等新型安全風險.

　　同時，物聯網供應鏈的安全威脅也隨著供應鏈復雜程度的提高而不斷出現.物聯網供應鏈涉及執行各種任務的不同子系統，包括內部開發、信息傳遞、中間組件以及產品或服務制造的全過程，并涉及多個參與者例如生產者、系統集成商、服務商、供貨商、銷售商等.物聯網供應鏈安全涵蓋了第三方供貨商、制造商和服務商之間各種軟硬件產品和信息安全外包，包括在物聯網環境與物聯網設備上搭載的運營技術和信息技術.隨著物聯網供應鏈的復雜程度不斷提高，物聯網供應鏈的風險控制能力逐漸降低，任何組件或服務出現漏洞或數據泄露都會破壞業務的連貫性，帶來難以控制的安全風險.

　　如上所述，物聯網安全面臨著復雜且多變的威脅，遭受的入侵和攻擊變得越來越智能化與多樣化.在大量物聯網設備接入互聯網的過程中，異構信息的交互和網絡結構的快速變化使攻擊面進一步擴大，不斷產生新的弱點和威脅[3].同時在物聯網供應鏈中，一個上下游供應鏈環境中的漏洞可以從源節點級聯到整個網絡系統的多個目標節點，所以對物聯網供應鏈整體網絡安全威脅情報屬性的關注非常重要.

　　在面對物聯網環境中的新型威脅時，傳統的安全入侵檢測和響應技術無法適應物聯網安全領域面臨的攻擊，安全信息及事件管理(securityinformationandeventmanagement，SIEM)和安全操作中心(securityoperationcenter，SOC)[4]也存在很大的局限性，迫切需要一種有效的方法智能地響應安全入侵.針對物聯網的威脅事件，可以采用多種智能推理技術來實現，例如基于本體的推理技術和語義網技術，以及基于智能訪問控制模型、文本挖掘和自然語言處理(naturallanguageprocessing，NLP)的惡意代碼檢測技術.但是由于物聯網的異構性和復雜性，對物聯網系統進行全局的安全狀態檢測和威脅事件感知非常困難，針對整個物聯網系統與供應鏈系統的安全管理與威脅分析具有挑戰性.

　　本文提出了一種物聯網安全多源知識推理方法，通過分析物聯網安全公開知識庫的特點，構建了一個本體模型以描述物聯網與供應鏈安全威脅要素，進行知識整合以解決多源知識的語義異質性問題，并利用推理規則進行威脅分析.該方法可以感知物聯網環境內的安全狀況，自動化推理可采用的緩解措施，并豐富物聯網供應鏈與威脅情報之間的上下文語義信息，以提高威脅響應能力.本文主要做出了3點貢獻：

　　1)分析物聯網安全公開知識庫的特點，將物聯網多源知識與威脅情報整合并構建關系映射鏈接圖模型，對物聯網安全威脅要素評估提供支持.2)提出了一個物聯網供應鏈風險分析本體模型以描述威脅信息對象間的關聯性，拓展目前網絡安全領域本體建模的知識域范圍，解決多源安全知識的語義異質性問題，可提供更廣泛的安全狀況感知.

　　3)提出了一種基于本體的物聯網安全多源知識推理方法，該方法能夠感知物聯網系統內的高脆弱性組件，對物聯網供應鏈與威脅情報之間的上下文語義信息進行補全，并自動化響應威脅入侵.相關工作目前圍繞漏洞和潛在的威脅已經存在大量的基礎研究，網絡安全專家可以通過使用公共的結構化描述語言和公開的信息安全知識庫來制定防御的策略、技巧和操作.

　　Syed等人[5]搭建了一個統一網絡安全模型UCO，集合了來自不同網絡安全系統的異構數據和知識模式與常用的網絡安全標準，并用于信息共享交換和網絡態勢感知.Kiesling等人[6]通過集成網絡安全領域的標準詞匯表與可用于更新知識圖譜的ETL工作流，構建了一個動態的網絡安全知識圖譜，并通過接口提供集成訪問服務.

　　田建偉等人[7]利用圖論對能源互聯網網絡結構進行建模，提出LRNodeRank節點加權方法來評估融合網絡的安全狀況，并且基于威脅圖的安全狀況改進方法計算需要加固的網絡邊界.黃克振等人[8]利用區塊鏈的去中心化和匿名性，保護威脅情報中的身份信息，并利用區塊鏈的回溯能力構建完整攻擊鏈.但以上研究均未正式描述物聯網安全領域核心概念之間的關系，對威脅分析的研究尚未提高到語義級別，無法定義推理規則.本文整合了安全領域異構多源知識庫并以圖結構統一表示數據，通過來自不同知識源的上下文語義信息為后續的知識推理工作提供支持.

　　網絡供應鏈(cybersupplychain，CSC)安全是用于控制和增強供應鏈系統以確保業務連續性、保護產品安全和提供信息保障的機制.Sun等人[9]分析了電力系統網絡安全風險并設計了增強電力物聯網安全的解決方案，以增強智能電網環境下的CSC安全性.Kieras等人[10]提出了一個ISCRAM框架，用于分析物聯網系統中供應鏈安全風險，并基于此模型提出了量化供應鏈風險的指標.YeboahOfori等人[11]應用威脅情報分析和機器學習技術，基于已有的威脅情報屬性分析來預測威脅，并識別已存在的CSC漏洞，最終為網絡供應鏈安全威脅提供適當的控制措施.

　　Benthall[12]將漏洞數據與開源項目OpenSSL的開放版本控制數據相關聯,應用AML(AlhazmiMalaiyalogistic)模型將融合數據用于軟件供應鏈風險發現.Nakano等人[13]提出了一個供應鏈可信度框架，用于驗證供應鏈中的組織是否符合預定義的要求，并以擬議的框架為基礎設計了新方法來提高性能與可用性.但目前的工作均圍繞供應鏈漏洞與上下游供應鏈弱點展開，對CSC安全威脅參與者攻擊過程與戰術意圖的研究仍然缺乏.本文在物聯網安全知識整合過程中融入了供應鏈信息，并與攻擊者的戰術、技術與活動等知識相關聯，豐富了供應鏈安全的上下文語義信息并為物聯網供應鏈威脅分析研究提供了新機制.

　　本體被用于刻畫信息對象來進行領域知識共享和重用，目前研究者對網絡威脅情報(cyberthreatintelligence，CTI)分析與本體建模已經取得一定進展.司成等人[14]以漏洞屬性、漏洞對象等元素出發并結合網絡安全態勢要素的特點，提出了一種基于本體的網絡安全態勢要素知識庫模型，用于整合和利用網絡安全態勢知識.李濤等人[15]提出了一種通用的網絡安全參數分類架構，根據類型的繼承關系擴展了主機域中的漏洞本體.賈焰等人[16]以基于規則和機器學習相結合的信息提取方式來獲取與網絡安全相關的實體，提出了構建網絡安全知識圖譜的實用方法，并基于五元組模型來推理新規則.

　　Rastogi等人[17]設計了惡意軟件本體MALOnt，支持惡意軟件威脅情報結構化信息提取，并以MALOnt為基礎構建了惡意軟件知識圖譜并從知識圖譜中推理隱含的關系.Mozzaquatro等人[18]將網絡安全知識以及相應的預防措施集成到運行時安全監視和啟動工具可以訪問的本體IoTSec中[19]，使安全系統自動檢測對IoT網絡的威脅并動態地提出合適的保護服務.Choi等人[20]對電力系統漏洞與安全上下文本體進行建模，并以智能電表為示例創建了電力物聯網中的攻擊場景，實現了可以有效運行的安全機制.

　　但目前將攻擊者的戰術意圖、攻擊技術與攻擊過程與漏洞和弱點相結合的研究仍處于初級階段，網絡安全領域多是以漏洞、弱點與攻擊模式為重心進行研究，很難進行復合攻擊預測和威脅分析與其后續工作.本文提出的本體模型拓展了目前網絡安全領域本體建模的知識域范圍，提供更廣泛的安全狀況感知以提高威脅響應能力.

　　2物聯網安全多源知識整合

　　目前，海量的安全信息碎片化分散在互聯網上，其中安全組織MITRE所維護的公共知識庫逐漸發展成為網絡安全領域的行業標準.通過一整套信息安全描述標準和規范，物聯網安全研究成果可以通過格式化的語言進行表達，并實現情報共享.安全領域知名公共知識庫包括通用漏洞披露(commonvulnerabilitiesandexposures,CVE)、國家漏洞數據庫(nationalvulnerabilitydatabase,NVD)、通用弱點枚舉(commonweaknessenumeration,CWE)、通用攻擊模式枚舉和分類(commonattackpatternenumerationandclassification,CAPEC)、通用平臺枚舉(commonplatformenumeration,CPE)和ATT&CK(adversarialtactics,techniques,andcommonknowledge)矩陣.本文的威脅情報來自開放威脅交換平臺(openthreatexchange，OTX)的信息共享.

　　2.1安全知識與威脅情報數據來源

　　CVE披露了已暴露的漏洞，數據庫中的每個漏洞都有一個由MITRE定義的標識號和相關描述.NVD提供有關與安全相關的軟件漏洞，相關產品配置和影響指標的信息.NVD建立在CVE列表上并與CVE列表完全同步，NVD為CVE列表中的條目提供了增強的信息，例如結構化信息、和根據通用漏洞評分系統(commonvulnerabilityscoringsystem,CVSS)給出的嚴重性得分和影響等級等.CVSS是評估漏洞嚴重性的行業公共標準，大多數漏洞嚴重性研究與商業漏洞管理平臺都基于CVSS進行評估.

　　CAPEC提供了攻擊模式分類的匯總，關注的是攻擊者對網絡空間脆弱性的利用方式，了解攻擊模式對于威脅分析與防御至關重要.相關弱點信息則由CWE知識庫匯總.OTX是全球權威的開放威脅信息共享和分析網絡.OTX可以提供威脅摘要、入侵指標(indicatorsofcompromise，IoC)、惡意軟件家族等有價值的信息，最重要的是，OTX平臺對每條開放威脅情報相關聯的ATT&CK技術知識進行了枚舉，為本文將CTI與整合后的物聯網安全知識相映射提供了可行的路徑.

　　2.2ATT&CK矩陣

　　ATT&CK矩陣由MITRE在2013年首次提出[21].通過匯總分析真實的觀察數據與高級持續性威脅(advancedpersistentthreat,APT)組織活動，ATT&CK逐漸發展成為針對攻擊者行為描述的通用語言和攻擊鏈全生命周期的行為分析模型.ATT&CK抽象地描述了由順序網絡攻擊戰術組成的框架，并且每種攻擊戰術涵蓋了大量攻擊技術.

　　從攻擊檢測和威脅分析的角度，只有明確攻擊戰術和技術，才能進一步推測攻擊所關聯的上下文信息.ATT&CK在持續構建并豐富攻擊者的戰術意圖和技術模式，幫助安全研究者掌握技術全景，以支持對安全入侵的評估和自動化響應.目前將ATT&CK矩陣應用于威脅分析的可行性引起了研究者的極大興趣.

　　在安全情報研究領域，漏洞情報發展較早，漏洞情報多是從軟件、硬件、操作系統、協議的脆弱性等角度入手，發展較為成熟[21]，而威脅情報主要收集與攻擊者或攻擊行為相關的外部因素，通過整合威脅信息并提供威脅信息的共享，達到對威脅的及時管控[22].在物聯網安全領域，由于物聯網本身的內在復雜性，物聯網設備與系統之間發生的異構信息交換進一步加劇了物聯網的結構復雜性，圍繞漏洞情報的研究在物聯網的復雜環境中存在很大的局限性[23]，所以目前相關研究希望通過分析和理解攻擊者目標與系統性風險的角度進行物聯網環境下的威脅分析.ATT&CK矩陣能夠串聯起威脅事件和觀測數據，從而打通對威脅事件的理解鏈路.

　　3基于本體的物聯網安全多源知識推理

　　本文提出了一種基于語義本體和規則邏輯的物聯網安全多源知識推理方法.物聯網環境中針對異構網絡的攻擊最為突出[24].第2節的方法打通了對威脅事件的理解鏈路，并提供物聯網安全狀況整體視圖，但針對實際物聯網環境與供應鏈系統的安全管理與威脅分析仍是一個挑戰.

　　本體通過對特定領域知識的形式化描述，在解決物聯網供應鏈安全與CTI之間的語義異質性問題中發揮了重要作用[2526].本文分析了物聯網安全領域多個知識源，提出了物聯網供應鏈風險分析本體(riskanalysisofIoTsupplychainontology，RIoTSCO).

　　本文的本體建模設計受到多個本體[5,19,27]的啟發，抽取了部分概念并調整了大量細節，使本體更適合本文的知識源.首先，本文圍繞ATT&CK矩陣設計了與戰術和技術相關的類.同時在對物聯網威脅事件發生的場景部分進行建模時，本文擬議的本體模型考慮了上下游供應鏈安全所必須的概念，這些類關聯的知識源在所參考本體中均是沒有涉及的.

　　本文使用OWL語言類來構建統一的形式化描述，概念被實現為類(Class)，關系被實現為屬性(Properties).OWL的表達能力僅限于描述邏輯，不能表達不確定的知識，例如事件在時間和空間上的變化以及語義關系.為了增強模型的推理能力，本文后半部分使用基于語義Web規則語言設計推理規則來補全本體的描述能力。

　　4示例與評估

　　在本節中，我們演示幾種情況以進一步說明所提出方法的可行性和有效性.針對物聯網安全多源知識庫的融合與建模，本節首先給出一個鏈接示例，以展示整合后的圖結構數據提供上下文關聯語義信息的能力;第2部分專注于展示推理規則在物聯網安全多源知識推理方法中的具體用法.物聯網中的各種軟硬件對應于本體模型中的實例，物聯網環境的安全狀態同時在本體中反映.本文將物聯網環境中的特定實例映射在本體模型中，并通過設計推理規則展示模型對物聯網環境進行威脅評估的能力.

　　5結束語

　　本文對網絡安全領域公開知識庫進行整合和分析，將漏洞、防御性弱點、受影響的資源與戰術意圖、攻擊技術和攻擊模式等多源異構知識整合成一個統一的關系映射鏈接圖知識庫，豐富網絡安全知識庫的上下文語義信息，改善CTI的可分析性和可理解性，提升物聯網安全威脅要素評估能力.

　　此外，本文提出了可以在整合后的圖知識庫支持下使用的知識推理方法，利用本體的表達能力建立物聯網與供應鏈安全知識之間的語義關系，以解決多源知識的語義異質性問題.定義了針對實際物聯網環境的推理規則，能夠感知物聯網環境內的高脆弱性組件并自動化推理緩解措施，使其在復雜異構環境下響應威脅入侵，并描繪受威脅事件影響的上下游供應鏈情報全貌。

　　參考文獻：

　　[1]ZhangYuqing,ZhouWei,PengAnni.SurveyofInternetofthingssecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143(inChinese)(張玉清,周威,彭安妮.物聯網安全綜述[J].計算機研究與發展,2017,54(10):21302143)

　　[2]YangAn,HuYan,ZhouLiang,etal.Anindustrialcontrolsystemanomalydetectionalgorithmfusionbyinformationflowandstateflow[J].JournalofComputerResearchandDevelopment,2018,55(11):25322542(inChinese)(楊安，胡堰，周亮，等.基于信息流和狀態流融合的工控系統異常檢測算法[J].計算機研究與發展,2018,55(11):25322542)

　　[3]JieLin,WeiYu,NanZhang,etal.AsurveyonInternetofthings:Architecture,enablingtechnologies,securityandprivacy,andapplications[J].IEEEInternetofThingsJournal,2017,4(5):11251142

　　[4]SchinaglS,SchoonK,PaansR.Aframeworkfordesigningasecurityoperationscentre(SOC)[C]//Procofthe48thHawaiiIntConfonSystemSciences(HICSS).Piscataway,NJ:IEEE,2015:22532262

　　作者：張書欽1白光耀1李紅2張敏智1

轉載請注明來自發表學術論文網：http://www.zpfmc.com/dzlw/29564.html