专利名称:一种基于owl的网络安全信息描述机制的制作方法
技术领域:
本发明属于网络与信息安全领域,解决不同网络安全产品之间由于信息描述不一致和不能相互理解而导致难以沟通和协作等问题。
背景技术:
在网络安全领域的消息描述方面最出名的是入侵检测工作IDWG组提出的入侵检测交换格式IDMEF(Intrusion Detection Message Exchange Format)。它是一种基于XML的网络入侵检测告警信息描述标准,它针对IDS而设计,具有良好的开放性、可扩展性和商业互操作性。IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描述,并且采用DTD(Document Type Definition)作为对XML数据的约束。本发明通过对IDMEF的研究和扩展,提出一套完整的基于OWL的网络安全信息描述解决方案。目前在国内外对于安全信息描述方面大多数都是采用的XML语言。本发明将采用OWL语言来描述这些信息。
本发明的目的本发明提出了分布式环境下基于OWL信息描述的网络安全模型,并以此为基础阐明了统一网络安全信息描述的必要性和重要性。通过对OWL的研究和对IDMEF的改进,设计了一套基于OWL的网络安全策略、告警、设备心跳信息,并将其应用在分布式入侵检测系统的实现当中,弥补了由于网络安全信息描述的不一致性导致的不同厂商分布式安全设备间无法沟通和缺少联动的问题,同时避免了设备功能上的重复而导致的安全问题,并取得了很好的效果。
发明的技术方案本发明将采用OWL作为整个分布式网络安全模型中信息描述的工具,并以入侵检测为例说明了本文方法的实现过程。
1基于OWL信息描述的分布式网络环境安全模型。
随着网络技术分布化的发展,出现了越来越多的分布式网络安全产品,如分布式,如分布式入侵检测系统、分布式防火墙、分布式漏洞扫描系统等。在分布式网络环境下,网络安全的维护由各种安全组件共同完成。目前无法将不同厂商和类型的网络安全产品进行集中管理、集中监控、相互协调和动态互动。主要原因是信息描述的不一致性。为解决上述问题,提出了如图1所示的分布式环境网络安全管理模型。
整个系统由安全管理平台,事件分析器,感应器和数据源组成。由系统安全管理员制定安全策略,并通过安全管理平台分发给各个事件分析器。数据源包括来自网络和主机的各种信息。感应器可以是不同种类的分布式安全部件代理(如防火墙Agent,入侵检测Agent,漏洞扫描Agent等),它们将收集到的安全信息传给事件分析器进行安全分析。分析器再将分析后的结果通过网络安全管理平台传输给安全管理员,管理员再对安全事件进行响应。
在上述系统当中,各个安全部件之间信息的统一性,可相互理解性是它们之间实现协作的关键。这就需要一种机器可理解的语言。在系统中,我们采用OWL语言可以实现各个安全部件之间语义上的通信,最终实现了一个整体上的安全系统。
2基于OWL的网络安全告警信息在信息安全的信息表达标准方面最出名的要算是入侵检测工作组IDWG提出的IDMEF。但是IDMEF是用XML语言表述的,语义表达能力差。这里我们对IDEMF进行更改,采用OWL语言来对其进行描述。
IDMEF数据模型是一种面向对象的入侵检测告警信息和设备心跳信息描述模型。如图2所示,在IDMEF-Message根类中包含两个了类Alert和HeartBeat。它们和IDMEF-Message之间是继承关系,它继承了IDMEF-Message的所有属性。Alert和HeartBeat分别用于对安全告警信息和设备心跳信息进行描述。
虽然IDMEF是针对于入侵检测进行设计的,但是它在设计之初已经考虑了其在网络安全中领域中的通用性和可扩展性。它采用的是XML语言进行描述,语义表达能力不是很强。本文以分布式入侵检测系统开发为背景,采用OWL实现了对IDMEF的改进,使得IDMEF支持语义通信。
3应用实例下面是用OWL表达告警信息的一个例子。检测通用拒绝服务攻击“Teardrop”攻击是其基于网络的检测。采用本文基于OWL的IDMEF描述这个攻击如下<rdf:RDFxmlns="http://localhost:8080/IDS#"xmlns:owl="http://www.w3.org/2002/07/owl#"xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:rdfs="http://www.w3.org/2000/01/rdf-schema#"xmlns:daml="http://www.daml.org/2001/03/daml+oil#"
xmlns:xsd="http://www.w3.org/2000/10/XMLSchema#">
<owl:Ontology rdf:about="http://loclahost:8080/houses">
<owl:versionInfo>$Id:v 1.0 2004/03/08 14:00:00$</owl:versionInfo>
<owl:importsrdf:resource="http://www.w3.org/TR/2002/WD-owl-gui de-20021104/IDS.owl"/>
</owl:Ontology>
<IDMEF-Message version=”1.0”>
<owl:Class rdf:ID="Alert"></owl:Class>
<owl:Class rdf:ID="Analyzer">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="name">
<rdfs:domain rdf:resource="#Anal yzer"/>
</owl:ObjectProperty>
<Analyzer rdf:ID="hq-dmz-analyzer01">
<name>analyzer01.bigcompany.com</name>
</Analyzer>
<owl:Class rdf:ID="CreatTime">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="time">
<rdfs:domain rdf:resource="#CreatTime"/>
</owl:ObjectProperty>
<CreatTime rdf:ID="0xbc723b45.0xef449129">
<time>2000-03-09T10:01:25.93464-05:00</time>
</CreatTime>
<owl:Class rdf:ID="Source">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="name">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<owl:ObjectProperty rdf:ID="address">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<owl:ObjectProperty rdf:ID="netmask">
<rdfs:domain rdf:resource="#Source"/>
</owl:ObjectProperty>
<Source rdf:ID="a1b2c3d4">
<name>badguy.hacker.net</name>
<address>202.214.231.121</address>
<netmask>255.255.254.0</netmask>
</Source>
<owl:Class rdf:ID="Target">
<rdfs:subClassOf rdf:resource="#Alert"></rdfs:subClassOf>
</owl:Class>
<owl:ObjectProperty rdf:ID="Address">
<rdfs:domain rdf:resource="#Target"/>
</owl:ObjectProperty>
<Target rdf:ID="d1c2b3a4">
<address>0xde796f70</address> </Target>
</rdf:RDF>
基于OWL网络告警信息的统一表达为分布式网络环境下的安全组件之间的协作提供了一个很好的语义桥梁。
图1基于OWL信息描述的分布式网络安全模型图2IDMEF数据模型各个部分之间的关系图3基于OWL的安全通信原理具体实施方式
在图1分布式网络安全通信模型当中,多个感应器可以和事件分析器之间可以采用本文的基于OWL的消息机制进行通信。考虑到感知器的异构性、通信的安全性、系统的效率等问题,通信机制主要要求以下两点(1).将异构的感知检测到的信息采用统一的数据格式,这里采用基于OWL的信息描述。(2).保证通信的安全性。其通信模型如图3所示
感知器和事件分析器之间进行通信的时候,分为两层OWL层和SSL层。OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。通信的时候,首先感知器与事件分析器之间建立SSL安全会话,经过双方进行身份认证之后,感知器将OWL层生在成的消息进行RSA加密,然后通过SSL层传输给事件分析器。事件分析器收到加密的OWL消息之后进行解密,然后再进行OWL消息解析,以得到原始发送过来的消息。OWL消息解析的时候可以使用惠普公司的免费软件Jena。
权利要求
1.在网络安全领域的消息描述方面最出名的是入侵检测工作IDWG组提出的入侵检测交换格式IDMEF(Intrusion Detection Message Exchange Format)。它是一种基于XML的网络入侵检测告警信息描述标准,它针对IDS而设计,具有良好的开放性、可扩展性和商业互操作性。IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描述,并且采用DTD(Document Type Definition)作为对XML数据的约束。本发明通过对IDMEF的研究和扩展,提出一套完整的基于OWL的网络安全信息描述解决方案。目前在国内外对于安全信息描述方面大多数都是采用的XML语言。
2.基于权利要求1所述的信息安全描述机制,设计了一种基于OWL的网络安全信息描述机制。本发明提出了分布式环境下基于OWL信息描述的网络安全模型,并以此为基础阐明了统一网络安全信息描述的必要性和重要性。通过对OWL的研究和对IDMEF的改进,设计了一套基于OWL的网络安全策略、告警、设备心跳信息,并将其应用在分布式入侵检测系统的实现当中,弥补了由于网络安全信息描述的不一致性导致的不同厂商分布式安全设备间无法沟通和缺少联动的问题,同时避免了设备功能上的重复而导致的安全问题,并取得了很好的效果。
3.如权利要求1所述的信息安全描述机制在分布式网络安全通信模型当中,多个感应器可以和事件分析器之间可以采用本文的基于OWL的消息机制进行通信。考虑到感知器的异构性、通信的安全性、系统的效率等问题,通信机制主要要求以下两点(1).将异构的感知检测到的信息采用统一的数据格式,这里采用基于OWL的信息描述。(2).保证通信的安全性。其通信模型由感知器和事件分析器组成。感知器和事件分析器之间进行通信的时候,分为两层OWL层和SSL层。OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。通信的时候,首先感知器与事件分析器之间建立SSL安全会话,经过双方进行身份认证之后,感知器将OWL层生在成的消息进行RSA加密,然后通过SSL层传输给事件分析器。事件分析器收到加密的OWL消息之后进行解密,然后再进行OWL消息解析,以得到原始发送过来的消息。OWL消息解析的时候可以使用惠普公司的免费软件Jena。
全文摘要
本文提出了分布式环境下基于OWL信息描述的网络安全模型,并以此为基础阐明了统一网络安全信息描述的必要性和重要性。通过对OWL的研究和对IDMEF的改进,设计了一套基于OWL的网络安全策略、告警、设备心跳信息,并将其应用在分布式入侵检测系统的实现当中,弥补了由于网络安全信息描述的不一致性导致的不同厂商分布式安全设备间无法沟通和缺少联动的问题,同时避免了设备功能上的重复而导致的安全问题,并取得了很好的效果。
文档编号H04L29/06GK1819582SQ20051013255
公开日2006年8月16日 申请日期2005年12月26日 优先权日2005年12月26日
发明者李剑, 杨义先, 朱旭 申请人:北京邮电大学