多源数据融合的物联网安全知识推理方法

　　摘要随着信息技术产业的发展和物联网设备数量的增长，物联网安全防御的难度与复杂度不断上升，针对物联网与供应链的重大安全事件时有发生，这些事件揭示了物联网供应链安全管理的复杂性.目前存在许多信息安全公开知识库可用于物联网安全威胁分析，但知识库的异构性使威胁评估十分困难.对多个信息安全知识库进行研究，将防御方所关注的安全知识来源与攻击者的战术、技术和攻击模式整合成一个统一的关系映射链接图知识库，并导入威胁情报，旨在利用已披露的威胁事件来提升物联网安全威胁要素评估能力.提出了一个物联网供应链风险分析本体RIoTSCO，并以此模型为基础设计了物联网安全下的推理规则，利用本体的表达能力建立物联网安全领域知识之间的语义关系，以解决多源知识的语义异质性问题.最后，在一个物联网环境示例中基于所提方法进行安全评估，自动化推理缓解措施以应对威胁事件，并描绘威胁事件所能波及到的上下游供应链情报全貌.

　　关键词物联网安全;供应链安全;威胁分析;本体;知识推理;推理规则

　　物联网(Internetofthings，IoT)领域的发展改变了传统的工业形态，方便了人们的生活，海量物联网设备的使用和新型物联网技术的普及促使物联网应用扩展到更广泛的领域，如工控物联网、医疗领域、智能城市、智能电网等[1]，但潜在的物联网安全问题也在逐步浮现.

　　伴随信息化与工业化的深度融合，采矿、电力、化工等领域的工业控制网络与政府、军事、金融等系统的网络从相对独立且完全与外网隔离，逐渐发展为网络化连接和信息化管理并向互联网开放，传统的内网外网界限逐渐模糊，引入了无处不在的网络安全风险.物联网背景下的工控设备与网络技术相融合，消除了工业环境的内外部安全边界[2].工控网络设备不仅面临传输链路上的软硬件安全、网络防护边界模糊等安全风险，还面临云平台服务虚拟化中的跳板入侵、违规接入、数据丢失、窃听和篡改等新型安全风险.

　　同时，物联网供应链的安全威胁也随着供应链复杂程度的提高而不断出现.物联网供应链涉及执行各种任务的不同子系统，包括内部开发、信息传递、中间组件以及产品或服务制造的全过程，并涉及多个参与者例如生产者、系统集成商、服务商、供货商、销售商等.物联网供应链安全涵盖了第三方供货商、制造商和服务商之间各种软硬件产品和信息安全外包，包括在物联网环境与物联网设备上搭载的运营技术和信息技术.随着物联网供应链的复杂程度不断提高，物联网供应链的风险控制能力逐渐降低，任何组件或服务出现漏洞或数据泄露都会破坏业务的连贯性，带来难以控制的安全风险.

　　如上所述，物联网安全面临着复杂且多变的威胁，遭受的入侵和攻击变得越来越智能化与多样化.在大量物联网设备接入互联网的过程中，异构信息的交互和网络结构的快速变化使攻击面进一步扩大，不断产生新的弱点和威胁[3].同时在物联网供应链中，一个上下游供应链环境中的漏洞可以从源节点级联到整个网络系统的多个目标节点，所以对物联网供应链整体网络安全威胁情报属性的关注非常重要.

　　在面对物联网环境中的新型威胁时，传统的安全入侵检测和响应技术无法适应物联网安全领域面临的攻击，安全信息及事件管理(securityinformationandeventmanagement，SIEM)和安全操作中心(securityoperationcenter，SOC)[4]也存在很大的局限性，迫切需要一种有效的方法智能地响应安全入侵.针对物联网的威胁事件，可以采用多种智能推理技术来实现，例如基于本体的推理技术和语义网技术，以及基于智能访问控制模型、文本挖掘和自然语言处理(naturallanguageprocessing，NLP)的恶意代码检测技术.但是由于物联网的异构性和复杂性，对物联网系统进行全局的安全状态检测和威胁事件感知非常困难，针对整个物联网系统与供应链系统的安全管理与威胁分析具有挑战性.

　　本文提出了一种物联网安全多源知识推理方法，通过分析物联网安全公开知识库的特点，构建了一个本体模型以描述物联网与供应链安全威胁要素，进行知识整合以解决多源知识的语义异质性问题，并利用推理规则进行威胁分析.该方法可以感知物联网环境内的安全状况，自动化推理可采用的缓解措施，并丰富物联网供应链与威胁情报之间的上下文语义信息，以提高威胁响应能力.本文主要做出了3点贡献：

　　1)分析物联网安全公开知识库的特点，将物联网多源知识与威胁情报整合并构建关系映射链接图模型，对物联网安全威胁要素评估提供支持.2)提出了一个物联网供应链风险分析本体模型以描述威胁信息对象间的关联性，拓展目前网络安全领域本体建模的知识域范围，解决多源安全知识的语义异质性问题，可提供更广泛的安全状况感知.

　　3)提出了一种基于本体的物联网安全多源知识推理方法，该方法能够感知物联网系统内的高脆弱性组件，对物联网供应链与威胁情报之间的上下文语义信息进行补全，并自动化响应威胁入侵.相关工作目前围绕漏洞和潜在的威胁已经存在大量的基础研究，网络安全专家可以通过使用公共的结构化描述语言和公开的信息安全知识库来制定防御的策略、技巧和操作.

　　Syed等人[5]搭建了一个统一网络安全模型UCO，集合了来自不同网络安全系统的异构数据和知识模式与常用的网络安全标准，并用于信息共享交换和网络态势感知.Kiesling等人[6]通过集成网络安全领域的标准词汇表与可用于更新知识图谱的ETL工作流，构建了一个动态的网络安全知识图谱，并通过接口提供集成访问服务.

　　田建伟等人[7]利用图论对能源互联网网络结构进行建模，提出LRNodeRank节点加权方法来评估融合网络的安全状况，并且基于威胁图的安全状况改进方法计算需要加固的网络边界.黄克振等人[8]利用区块链的去中心化和匿名性，保护威胁情报中的身份信息，并利用区块链的回溯能力构建完整攻击链.但以上研究均未正式描述物联网安全领域核心概念之间的关系，对威胁分析的研究尚未提高到语义级别，无法定义推理规则.本文整合了安全领域异构多源知识库并以图结构统一表示数据，通过来自不同知识源的上下文语义信息为后续的知识推理工作提供支持.

　　网络供应链(cybersupplychain，CSC)安全是用于控制和增强供应链系统以确保业务连续性、保护产品安全和提供信息保障的机制.Sun等人[9]分析了电力系统网络安全风险并设计了增强电力物联网安全的解决方案，以增强智能电网环境下的CSC安全性.Kieras等人[10]提出了一个ISCRAM框架，用于分析物联网系统中供应链安全风险，并基于此模型提出了量化供应链风险的指标.YeboahOfori等人[11]应用威胁情报分析和机器学习技术，基于已有的威胁情报属性分析来预测威胁，并识别已存在的CSC漏洞，最终为网络供应链安全威胁提供适当的控制措施.

　　Benthall[12]将漏洞数据与开源项目OpenSSL的开放版本控制数据相关联,应用AML(AlhazmiMalaiyalogistic)模型将融合数据用于软件供应链风险发现.Nakano等人[13]提出了一个供应链可信度框架，用于验证供应链中的组织是否符合预定义的要求，并以拟议的框架为基础设计了新方法来提高性能与可用性.但目前的工作均围绕供应链漏洞与上下游供应链弱点展开，对CSC安全威胁参与者攻击过程与战术意图的研究仍然缺乏.本文在物联网安全知识整合过程中融入了供应链信息，并与攻击者的战术、技术与活动等知识相关联，丰富了供应链安全的上下文语义信息并为物联网供应链威胁分析研究提供了新机制.

　　本体被用于刻画信息对象来进行领域知识共享和重用，目前研究者对网络威胁情报(cyberthreatintelligence，CTI)分析与本体建模已经取得一定进展.司成等人[14]以漏洞属性、漏洞对象等元素出发并结合网络安全态势要素的特点，提出了一种基于本体的网络安全态势要素知识库模型，用于整合和利用网络安全态势知识.李涛等人[15]提出了一种通用的网络安全参数分类架构，根据类型的继承关系扩展了主机域中的漏洞本体.贾焰等人[16]以基于规则和机器学习相结合的信息提取方式来获取与网络安全相关的实体，提出了构建网络安全知识图谱的实用方法，并基于五元组模型来推理新规则.

　　Rastogi等人[17]设计了恶意软件本体MALOnt，支持恶意软件威胁情报结构化信息提取，并以MALOnt为基础构建了恶意软件知识图谱并从知识图谱中推理隐含的关系.Mozzaquatro等人[18]将网络安全知识以及相应的预防措施集成到运行时安全监视和启动工具可以访问的本体IoTSec中[19]，使安全系统自动检测对IoT网络的威胁并动态地提出合适的保护服务.Choi等人[20]对电力系统漏洞与安全上下文本体进行建模，并以智能电表为示例创建了电力物联网中的攻击场景，实现了可以有效运行的安全机制.

　　但目前将攻击者的战术意图、攻击技术与攻击过程与漏洞和弱点相结合的研究仍处于初级阶段，网络安全领域多是以漏洞、弱点与攻击模式为重心进行研究，很难进行复合攻击预测和威胁分析与其后续工作.本文提出的本体模型拓展了目前网络安全领域本体建模的知识域范围，提供更广泛的安全状况感知以提高威胁响应能力.

　　2物联网安全多源知识整合

　　目前，海量的安全信息碎片化分散在互联网上，其中安全组织MITRE所维护的公共知识库逐渐发展成为网络安全领域的行业标准.通过一整套信息安全描述标准和规范，物联网安全研究成果可以通过格式化的语言进行表达，并实现情报共享.安全领域知名公共知识库包括通用漏洞披露(commonvulnerabilitiesandexposures,CVE)、国家漏洞数据库(nationalvulnerabilitydatabase,NVD)、通用弱点枚举(commonweaknessenumeration,CWE)、通用攻击模式枚举和分类(commonattackpatternenumerationandclassification,CAPEC)、通用平台枚举(commonplatformenumeration,CPE)和ATT&CK(adversarialtactics,techniques,andcommonknowledge)矩阵.本文的威胁情报来自开放威胁交换平台(openthreatexchange，OTX)的信息共享.

　　2.1安全知识与威胁情报数据来源

　　CVE披露了已暴露的漏洞，数据库中的每个漏洞都有一个由MITRE定义的标识号和相关描述.NVD提供有关与安全相关的软件漏洞，相关产品配置和影响指标的信息.NVD建立在CVE列表上并与CVE列表完全同步，NVD为CVE列表中的条目提供了增强的信息，例如结构化信息、和根据通用漏洞评分系统(commonvulnerabilityscoringsystem,CVSS)给出的严重性得分和影响等级等.CVSS是评估漏洞严重性的行业公共标准，大多数漏洞严重性研究与商业漏洞管理平台都基于CVSS进行评估.

　　CAPEC提供了攻击模式分类的汇总，关注的是攻击者对网络空间脆弱性的利用方式，了解攻击模式对于威胁分析与防御至关重要.相关弱点信息则由CWE知识库汇总.OTX是全球权威的开放威胁信息共享和分析网络.OTX可以提供威胁摘要、入侵指标(indicatorsofcompromise，IoC)、恶意软件家族等有价值的信息，最重要的是，OTX平台对每条开放威胁情报相关联的ATT&CK技术知识进行了枚举，为本文将CTI与整合后的物联网安全知识相映射提供了可行的路径.

　　2.2ATT&CK矩阵

　　ATT&CK矩阵由MITRE在2013年首次提出[21].通过汇总分析真实的观察数据与高级持续性威胁(advancedpersistentthreat,APT)组织活动，ATT&CK逐渐发展成为针对攻击者行为描述的通用语言和攻击链全生命周期的行为分析模型.ATT&CK抽象地描述了由顺序网络攻击战术组成的框架，并且每种攻击战术涵盖了大量攻击技术.

　　从攻击检测和威胁分析的角度，只有明确攻击战术和技术，才能进一步推测攻击所关联的上下文信息.ATT&CK在持续构建并丰富攻击者的战术意图和技术模式，帮助安全研究者掌握技术全景，以支持对安全入侵的评估和自动化响应.目前将ATT&CK矩阵应用于威胁分析的可行性引起了研究者的极大兴趣.

　　在安全情报研究领域，漏洞情报发展较早，漏洞情报多是从软件、硬件、操作系统、协议的脆弱性等角度入手，发展较为成熟[21]，而威胁情报主要收集与攻击者或攻击行为相关的外部因素，通过整合威胁信息并提供威胁信息的共享，达到对威胁的及时管控[22].在物联网安全领域，由于物联网本身的内在复杂性，物联网设备与系统之间发生的异构信息交换进一步加剧了物联网的结构复杂性，围绕漏洞情报的研究在物联网的复杂环境中存在很大的局限性[23]，所以目前相关研究希望通过分析和理解攻击者目标与系统性风险的角度进行物联网环境下的威胁分析.ATT&CK矩阵能够串联起威胁事件和观测数据，从而打通对威胁事件的理解链路.

　　3基于本体的物联网安全多源知识推理

　　本文提出了一种基于语义本体和规则逻辑的物联网安全多源知识推理方法.物联网环境中针对异构网络的攻击最为突出[24].第2节的方法打通了对威胁事件的理解链路，并提供物联网安全状况整体视图，但针对实际物联网环境与供应链系统的安全管理与威胁分析仍是一个挑战.

　　本体通过对特定领域知识的形式化描述，在解决物联网供应链安全与CTI之间的语义异质性问题中发挥了重要作用[2526].本文分析了物联网安全领域多个知识源，提出了物联网供应链风险分析本体(riskanalysisofIoTsupplychainontology，RIoTSCO).

　　本文的本体建模设计受到多个本体[5,19,27]的启发，抽取了部分概念并调整了大量细节，使本体更适合本文的知识源.首先，本文围绕ATT&CK矩阵设计了与战术和技术相关的类.同时在对物联网威胁事件发生的场景部分进行建模时，本文拟议的本体模型考虑了上下游供应链安全所必须的概念，这些类关联的知识源在所参考本体中均是没有涉及的.

　　本文使用OWL语言类来构建统一的形式化描述，概念被实现为类(Class)，关系被实现为属性(Properties).OWL的表达能力仅限于描述逻辑，不能表达不确定的知识，例如事件在时间和空间上的变化以及语义关系.为了增强模型的推理能力，本文后半部分使用基于语义Web规则语言设计推理规则来补全本体的描述能力。

　　4示例与评估

　　在本节中，我们演示几种情况以进一步说明所提出方法的可行性和有效性.针对物联网安全多源知识库的融合与建模，本节首先给出一个链接示例，以展示整合后的图结构数据提供上下文关联语义信息的能力;第2部分专注于展示推理规则在物联网安全多源知识推理方法中的具体用法.物联网中的各种软硬件对应于本体模型中的实例，物联网环境的安全状态同时在本体中反映.本文将物联网环境中的特定实例映射在本体模型中，并通过设计推理规则展示模型对物联网环境进行威胁评估的能力.

　　5结束语

　　本文对网络安全领域公开知识库进行整合和分析，将漏洞、防御性弱点、受影响的资源与战术意图、攻击技术和攻击模式等多源异构知识整合成一个统一的关系映射链接图知识库，丰富网络安全知识库的上下文语义信息，改善CTI的可分析性和可理解性，提升物联网安全威胁要素评估能力.

　　此外，本文提出了可以在整合后的图知识库支持下使用的知识推理方法，利用本体的表达能力建立物联网与供应链安全知识之间的语义关系，以解决多源知识的语义异质性问题.定义了针对实际物联网环境的推理规则，能够感知物联网环境内的高脆弱性组件并自动化推理缓解措施，使其在复杂异构环境下响应威胁入侵，并描绘受威胁事件影响的上下游供应链情报全貌。

　　参考文献：

　　[1]ZhangYuqing,ZhouWei,PengAnni.SurveyofInternetofthingssecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143(inChinese)(张玉清,周威,彭安妮.物联网安全综述[J].计算机研究与发展,2017,54(10):21302143)

　　[2]YangAn,HuYan,ZhouLiang,etal.Anindustrialcontrolsystemanomalydetectionalgorithmfusionbyinformationflowandstateflow[J].JournalofComputerResearchandDevelopment,2018,55(11):25322542(inChinese)(杨安，胡堰，周亮，等.基于信息流和状态流融合的工控系统异常检测算法[J].计算机研究与发展,2018,55(11):25322542)

　　[3]JieLin,WeiYu,NanZhang,etal.AsurveyonInternetofthings:Architecture,enablingtechnologies,securityandprivacy,andapplications[J].IEEEInternetofThingsJournal,2017,4(5):11251142

　　[4]SchinaglS,SchoonK,PaansR.Aframeworkfordesigningasecurityoperationscentre(SOC)[C]//Procofthe48thHawaiiIntConfonSystemSciences(HICSS).Piscataway,NJ:IEEE,2015:22532262

　　作者：张书钦1白光耀1李红2张敏智1

转载请注明来自发表学术论文网：http://www.fbxslw.com/dzlw/29564.html