安全領域本體構建的動態描述邏輯研究及多步攻擊挖掘

當前合作攻擊，多步攻擊日益複雜、泛濫，為了揭示網路結構、系統配置、攻擊、漏洞、攻擊警報之間的邏輯關係，我們建立基於動態描述邏輯（DDL）的計算機安全領域的本體知識庫，採用不同的挖掘算法挖掘攻擊模板和攻擊關鍵子圖，並查找序列攻擊、合作攻擊，再現和預測攻擊過程，降低警報率。首先建立安全領域本體的DDL的知識表達模型，結合專業詞典、WordNet語料庫、漏洞庫、警報庫等分類建立本體和安全知識的映射，初步建立領域本體；其次採用自然語言（NLP）分析語料，在爬行規則的指導下，採用主題爬蟲獲取的攻擊、漏洞知識，抽取其中的本體，通過相似查詢，疊代地完善和重構基於語義的領域本體庫；在此基礎上，採用序列挖掘和子圖挖掘的算法，建立本體之間的邏輯關係視圖，挖掘漏洞、攻擊、系統配置之間的關聯關係，構建攻擊模板庫，抽攻擊關鍵子圖；結合警報和系統漏洞，利用DDL的推理規則，建立分層警報關聯算法，驗證算法的有效性。

隨著網路的深入套用、網路技術的不斷發展，攻擊模式、攻擊手段、攻擊工具日益複雜。攻擊泛濫最主要、最根本的原因是計算機系統存在可以被滲透的安全漏洞以及配置的不合理。由於漏洞的多樣性，攻擊的複雜性，基於自然語言的漏洞、攻擊的描述，攻擊的知識的表達無法滿足對各類攻擊深入分析，對序列攻擊的檢測。基於此，本研究建立基於動態描述邏輯（DDL）的計算機安全領域的本體知識庫，採用不同的挖掘算法挖掘攻擊模板和攻擊關鍵子圖，並查找序列攻擊、合作攻擊，再現和預測攻擊過程，降低警報率。數據集包括林肯實驗室的序列攻擊數據集、各類開放的與安全相關的語料庫、開放的圖像數據集、以及在實驗環境中採集到的數據集。建立安全領域基於本體的DDL的知識表達模型，結合專業詞典、WordNet語料庫、漏洞庫、警報庫等分類建立本體和安全知識的映射，初步建立領域本體；其次採用自然語言（NLP）分析語料，在爬行規則的指導下，採用主題爬蟲獲取的攻擊、漏洞知識，抽取其中的本體，通過語義相似分析，疊代地完善和重構基於語義的領域本體庫；語義的相似性分析上，深入研究了LSH、PCA和語義相似性算法，包括LSTM算法、基於hash的語義相似、n-grammer, textCNN算法，實現了基於LSH, PCA的高維數據的相似性搜尋和查詢；深入分析SVM和神經網路，結合二者的優勢實現對不同類型的攻擊的線上檢測；建立基於bloom過濾器的分散式的DDOS合作線上檢測框架，實現對DDOS攻擊的線上檢測和實時追蹤；採用序列挖掘和子圖挖掘的算法，建立本體之間的邏輯關係視圖，挖掘漏洞、攻擊、系統配置之間的關聯關係，構建攻擊模板庫，抽攻擊關鍵子圖；結合警報和系統漏洞，利用DDL的推理規則，建立分層警報關聯算法，驗證算法的有效性。