專利名稱:一種基于owl的網(wǎng)絡(luò)安全信息描述機制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)與信息安全領(lǐng)域,解決不同網(wǎng)絡(luò)安全產(chǎn)品之間由于信息描述不一致和不能相互理解而導(dǎo)致難以溝通和協(xié)作等問題。
背景技術(shù):
在網(wǎng)絡(luò)安全領(lǐng)域的消息描述方面最出名的是入侵檢測工作IDWG組提出的入侵檢測交換格式IDMEF(Intrusion Detection Message Exchange Format)。它是一種基于XML的網(wǎng)絡(luò)入侵檢測告警信息描述標準,它針對IDS而設(shè)計,具有良好的開放性、可擴展性和商業(yè)互操作性。IDMEF僅僅對網(wǎng)絡(luò)安全告警信息和設(shè)備心跳信息進行了描述,并且采用DTD(Document Type Definition)作為對XML數(shù)據(jù)的約束。本發(fā)明通過對IDMEF的研究和擴展,提出一套完整的基于OWL的網(wǎng)絡(luò)安全信息描述解決方案。目前在國內(nèi)外對于安全信息描述方面大多數(shù)都是采用的XML語言。本發(fā)明將采用OWL語言來描述這些信息。
本發(fā)明的目的本發(fā)明提出了分布式環(huán)境下基于OWL信息描述的網(wǎng)絡(luò)安全模型,并以此為基礎(chǔ)闡明了統(tǒng)一網(wǎng)絡(luò)安全信息描述的必要性和重要性。通過對OWL的研究和對IDMEF的改進,設(shè)計了一套基于OWL的網(wǎng)絡(luò)安全策略、告警、設(shè)備心跳信息,并將其應(yīng)用在分布式入侵檢測系統(tǒng)的實現(xiàn)當中,彌補了由于網(wǎng)絡(luò)安全信息描述的不一致性導(dǎo)致的不同廠商分布式安全設(shè)備間無法溝通和缺少聯(lián)動的問題,同時避免了設(shè)備功能上的重復(fù)而導(dǎo)致的安全問題,并取得了很好的效果。
發(fā)明的技術(shù)方案本發(fā)明將采用OWL作為整個分布式網(wǎng)絡(luò)安全模型中信息描述的工具,并以入侵檢測為例說明了本文方法的實現(xiàn)過程。
1基于OWL信息描述的分布式網(wǎng)絡(luò)環(huán)境安全模型。
隨著網(wǎng)絡(luò)技術(shù)分布化的發(fā)展,出現(xiàn)了越來越多的分布式網(wǎng)絡(luò)安全產(chǎn)品,如分布式,如分布式入侵檢測系統(tǒng)、分布式防火墻、分布式漏洞掃描系統(tǒng)等。在分布式網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)安全的維護由各種安全組件共同完成。目前無法將不同廠商和類型的網(wǎng)絡(luò)安全產(chǎn)品進行集中管理、集中監(jiān)控、相互協(xié)調(diào)和動態(tài)互動。主要原因是信息描述的不一致性。為解決上述問題,提出了如圖1所示的分布式環(huán)境網(wǎng)絡(luò)安全管理模型。
整個系統(tǒng)由安全管理平臺,事件分析器,感應(yīng)器和數(shù)據(jù)源組成。由系統(tǒng)安全管理員制定安全策略,并通過安全管理平臺分發(fā)給各個事件分析器。數(shù)據(jù)源包括來自網(wǎng)絡(luò)和主機的各種信息。感應(yīng)器可以是不同種類的分布式安全部件代理(如防火墻Agent,入侵檢測Agent,漏洞掃描Agent等),它們將收集到的安全信息傳給事件分析器進行安全分析。分析器再將分析后的結(jié)果通過網(wǎng)絡(luò)安全管理平臺傳輸給安全管理員,管理員再對安全事件進行響應(yīng)。
在上述系統(tǒng)當中,各個安全部件之間信息的統(tǒng)一性,可相互理解性是它們之間實現(xiàn)協(xié)作的關(guān)鍵。這就需要一種機器可理解的語言。在系統(tǒng)中,我們采用OWL語言可以實現(xiàn)各個安全部件之間語義上的通信,最終實現(xiàn)了一個整體上的安全系統(tǒng)。
2基于OWL的網(wǎng)絡(luò)安全告警信息在信息安全的信息表達標準方面最出名的要算是入侵檢測工作組IDWG提出的IDMEF。但是IDMEF是用XML語言表述的,語義表達能力差。這里我們對IDEMF進行更改,采用OWL語言來對其進行描述。
IDMEF數(shù)據(jù)模型是一種面向?qū)ο蟮娜肭謾z測告警信息和設(shè)備心跳信息描述模型。如圖2所示,在IDMEF-Message根類中包含兩個了類Alert和HeartBeat。它們和IDMEF-Message之間是繼承關(guān)系,它繼承了IDMEF-Message的所有屬性。Alert和HeartBeat分別用于對安全告警信息和設(shè)備心跳信息進行描述。
雖然IDMEF是針對于入侵檢測進行設(shè)計的,但是它在設(shè)計之初已經(jīng)考慮了其在網(wǎng)絡(luò)安全中領(lǐng)域中的通用性和可擴展性。它采用的是XML語言進行描述,語義表達能力不是很強。本文以分布式入侵檢測系統(tǒng)開發(fā)為背景,采用OWL實現(xiàn)了對IDMEF的改進,使得IDMEF支持語義通信。
3應(yīng)用實例下面是用OWL表達告警信息的一個例子。檢測通用拒絕服務(wù)攻擊“Teardrop”攻擊是其基于網(wǎng)絡(luò)的檢測。采用本文基于OWL的IDMEF描述這個攻擊如下<rdf:RDFxmlns="http://localhost:8080/IDS#"xmlns:owl="http://www.w3.org/2002/07/owl#"xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:rdfs="http://www.w3.org/2000/01/rdf-schema#"xmlns:daml="http://www.daml.org/2001/03/daml+oil#"
xmlns:xsd="http://www.w3.org/2000/10/XMLSchema#">
<owl:Ontology rdf:about="http://loclahost:8080/houses">
<owl:versionInfo>$Id:v 1.0 2004/03/08 14:00:00$</owl:versionInfo>
<owl:importsrdf:resource="http://www.w3.org/TR/2002/WD-owl-gui de-20021104/IDS.owl"/>
</owl:Ontology>
<IDMEF-Message version=”1.0”>
<owl:Class rdf:ID="Alert"></owl:Class>
<owl:Class rdf:ID="Analyzer">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="name">
<rdfs:domain rdf:resource="#Anal yzer"/>
</owl:ObjectProperty>
<Analyzer rdf:ID="hq-dmz-analyzer01">
<name>analyzer01.bigcompany.com</name>
</Analyzer>
<owl:Class rdf:ID="CreatTime">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="time">
<rdfs:domain rdf:resource="#CreatTime"/>
</owl:ObjectProperty>
<CreatTime rdf:ID="0xbc723b45.0xef449129">
<time>2000-03-09T10:01:25.93464-05:00</time>
</CreatTime>
<owl:Class rdf:ID="Source">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="name">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<owl:ObjectProperty rdf:ID="address">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<owl:ObjectProperty rdf:ID="netmask">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<Source rdf:ID="a1b2c3d4">
<name>badguy.hacker.net</name>
<address>202.214.231.121</address>
<netmask>255.255.254.0</netmask>
</Source>
<owl:Class rdf:ID="Target">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="Address">
<rdfs:domain rdf:resource="#Target"/>
</owl:ObjectProperty>
<Target rdf:ID="d1c2b3a4">
<address>0xde796f70</address> </Target>
</rdf:RDF>
基于OWL網(wǎng)絡(luò)告警信息的統(tǒng)一表達為分布式網(wǎng)絡(luò)環(huán)境下的安全組件之間的協(xié)作提供了一個很好的語義橋梁。
圖1基于OWL信息描述的分布式網(wǎng)絡(luò)安全模型圖2IDMEF數(shù)據(jù)模型各個部分之間的關(guān)系圖3基于OWL的安全通信原理具體實施方式
在圖1分布式網(wǎng)絡(luò)安全通信模型當中,多個感應(yīng)器可以和事件分析器之間可以采用本文的基于OWL的消息機制進行通信??紤]到感知器的異構(gòu)性、通信的安全性、系統(tǒng)的效率等問題,通信機制主要要求以下兩點(1).將異構(gòu)的感知檢測到的信息采用統(tǒng)一的數(shù)據(jù)格式,這里采用基于OWL的信息描述。(2).保證通信的安全性。其通信模型如圖3所示
感知器和事件分析器之間進行通信的時候,分為兩層OWL層和SSL層。OWL層負責使用OWL語言將感知器收集到的信息轉(zhuǎn)換成統(tǒng)一的OWL語言字符串。SSL層使用SSL協(xié)議進行通信。通信的時候,首先感知器與事件分析器之間建立SSL安全會話,經(jīng)過雙方進行身份認證之后,感知器將OWL層生在成的消息進行RSA加密,然后通過SSL層傳輸給事件分析器。事件分析器收到加密的OWL消息之后進行解密,然后再進行OWL消息解析,以得到原始發(fā)送過來的消息。OWL消息解析的時候可以使用惠普公司的免費軟件Jena。
權(quán)利要求
1.在網(wǎng)絡(luò)安全領(lǐng)域的消息描述方面最出名的是入侵檢測工作IDWG組提出的入侵檢測交換格式IDMEF(Intrusion Detection Message Exchange Format)。它是一種基于XML的網(wǎng)絡(luò)入侵檢測告警信息描述標準,它針對IDS而設(shè)計,具有良好的開放性、可擴展性和商業(yè)互操作性。IDMEF僅僅對網(wǎng)絡(luò)安全告警信息和設(shè)備心跳信息進行了描述,并且采用DTD(Document Type Definition)作為對XML數(shù)據(jù)的約束。本發(fā)明通過對IDMEF的研究和擴展,提出一套完整的基于OWL的網(wǎng)絡(luò)安全信息描述解決方案。目前在國內(nèi)外對于安全信息描述方面大多數(shù)都是采用的XML語言。
2.基于權(quán)利要求1所述的信息安全描述機制,設(shè)計了一種基于OWL的網(wǎng)絡(luò)安全信息描述機制。本發(fā)明提出了分布式環(huán)境下基于OWL信息描述的網(wǎng)絡(luò)安全模型,并以此為基礎(chǔ)闡明了統(tǒng)一網(wǎng)絡(luò)安全信息描述的必要性和重要性。通過對OWL的研究和對IDMEF的改進,設(shè)計了一套基于OWL的網(wǎng)絡(luò)安全策略、告警、設(shè)備心跳信息,并將其應(yīng)用在分布式入侵檢測系統(tǒng)的實現(xiàn)當中,彌補了由于網(wǎng)絡(luò)安全信息描述的不一致性導(dǎo)致的不同廠商分布式安全設(shè)備間無法溝通和缺少聯(lián)動的問題,同時避免了設(shè)備功能上的重復(fù)而導(dǎo)致的安全問題,并取得了很好的效果。
3.如權(quán)利要求1所述的信息安全描述機制在分布式網(wǎng)絡(luò)安全通信模型當中,多個感應(yīng)器可以和事件分析器之間可以采用本文的基于OWL的消息機制進行通信??紤]到感知器的異構(gòu)性、通信的安全性、系統(tǒng)的效率等問題,通信機制主要要求以下兩點(1).將異構(gòu)的感知檢測到的信息采用統(tǒng)一的數(shù)據(jù)格式,這里采用基于OWL的信息描述。(2).保證通信的安全性。其通信模型由感知器和事件分析器組成。感知器和事件分析器之間進行通信的時候,分為兩層OWL層和SSL層。OWL層負責使用OWL語言將感知器收集到的信息轉(zhuǎn)換成統(tǒng)一的OWL語言字符串。SSL層使用SSL協(xié)議進行通信。通信的時候,首先感知器與事件分析器之間建立SSL安全會話,經(jīng)過雙方進行身份認證之后,感知器將OWL層生在成的消息進行RSA加密,然后通過SSL層傳輸給事件分析器。事件分析器收到加密的OWL消息之后進行解密,然后再進行OWL消息解析,以得到原始發(fā)送過來的消息。OWL消息解析的時候可以使用惠普公司的免費軟件Jena。
全文摘要
本文提出了分布式環(huán)境下基于OWL信息描述的網(wǎng)絡(luò)安全模型,并以此為基礎(chǔ)闡明了統(tǒng)一網(wǎng)絡(luò)安全信息描述的必要性和重要性。通過對OWL的研究和對IDMEF的改進,設(shè)計了一套基于OWL的網(wǎng)絡(luò)安全策略、告警、設(shè)備心跳信息,并將其應(yīng)用在分布式入侵檢測系統(tǒng)的實現(xiàn)當中,彌補了由于網(wǎng)絡(luò)安全信息描述的不一致性導(dǎo)致的不同廠商分布式安全設(shè)備間無法溝通和缺少聯(lián)動的問題,同時避免了設(shè)備功能上的重復(fù)而導(dǎo)致的安全問題,并取得了很好的效果。
文檔編號H04L29/06GK1819582SQ20051013255
公開日2006年8月16日 申請日期2005年12月26日 優(yōu)先權(quán)日2005年12月26日
發(fā)明者李劍, 楊義先, 朱旭 申請人:北京郵電大學(xué)