基于键联数据语义关联分析的安全管理系统设计与实现

 摘 要

随着 IT 的迅猛发展，计算机基础设施的规模越来越大，在大规模的基础设施环境中，信息安全问题变得日益严峻。在过去，信息安全的管理基于多种不同功能的安全工具，数据采集方式和网络监测方式的多样化能够为信息安全的管理提供丰富的数据资源。但是因为缺少融合和关联多层次数据的方法，信息比较零散孤立，不利于全面分析系统的情况。
本系统的项目主要负责为广东省国防指挥网的 IT 基础设施数据的多维度分析提出解决方案，本文通过分析安全数据的特征和安全管理的需求，基于本体论和键联数据设计了安全数据融合和关联分析的模型，并由此实现了基于键联数据语义关联分析的安全管理系统。本文完成的主要工作如下：
首先，综合分析了安全管理的需求以及安全数据的特征，利用本体论和键联数据建立了安全本体模型，通过计算公共属性的语义距离的方式，基于属性和规则构建安全数据之间的关联关系，融合不同数据源的安全数据，关联同一实体的不同实例数据，实现了数据的整合和关联；
其次，针对安全本体模型实例化的数据，从不同维度对资产的关联数据进行分析，通过设定基于属性和语义距离的方式关联资产与其他实体，关联不同数据源的同一资产实体，实现了去冗余的过程；
最后，结合安全本体模型，对键联数据进行语义关联分析，设计了安全本体实例化算法和溯源分析算法，基于资产的日志语义属性对日志进行密度聚类，从日志的语义属性中分析资产状态，根据资产日志从键联数据中找到资产异常日志相关数据，从多角度的语义关联关系得到发生异常状态的关联数据。

关键词：信息安全 语义化 键联数据 本体论 关联分析
摘 要 II
ABSTRACT III
目 录 V
第一章 绪论 7
1.1课题研究背景与意义 7
1.2本论文的研究内容和主要工作 8
1.3论文结构安排 9
第二章 相关工作和技术介绍 10
2.1研究现状 10
2.2安全管理 13
2.3本体论 15
2.4本体创建和实现的工具 19
2.5本章小结 22
第三章 系统模型和理论基础 23
3.1安全本体模型的定义 23
3.2安全概念实体的具体定义 25
3.3安全概念实体的关联规则分析 28
3.4基于安全本体的溯源逻辑 31
3.5本章小结 32
第四章 系统关键算法分析 33
4.1语义化算法 33
4.2基于语义属性密度聚类的日志分析 36
4.3溯源分析算法 39
4.4本章小结 43
第五章 系统设计与实现 45
5.1系统框架设计 45
5.2数据持续化采集模块 48
5.3语义化模块 53
5.4分析模块 56
5.5系统展示 59
5.6本章小结 63
第六章 系统实验分析 64
6.1开发工具 64
6.2网络环境拓扑 64
6.3系统实验分析 65
6.4本章小结 76
第七章 总结与展望 77
7.1工作总结 77
7.2研究展望 78
参考文献 79
附 录 83
致 谢 84
1.2本论文的研究内容和主要工作

本文的课题来源于广东省国防指挥网 IT 基础设施的安全分析与评估研究项目，主要为信息基础设施的安全信息的整合与关联分析提出有效的解决方案。基于语义网构建多维度的数据的关联，从语义的角度解释安全数据，有助于安全数据的共享和分析，能够更准确更直接地得到与问题实体相关的数据，安全管理人员能更快速更好地理解和定位问题的来源。
本文主要基于本体论对多维度的安全数据进行语义关联分析，对安全数据的融合和分析进行了理论和实践研究，提出了切实可行的方案。主要研究如何利用语义化的方法进行多维度安全数据的融合，根据本体设计原则设计了安全数据的本体模型，以及设计算法进行安全本体实例化，并建立语义关联关系，利用安全本体对系统环境进行日志分析和溯源分析。
本文的创新点在于利用本体的方法融合安全数据，通过语义关联分析的方法关联相同的资产实体，在分析过程中去掉冗余数据的同时仍能保存源数据，使得溯源分析易于理解。难点在于如何设计有效的方案进行数据的融合，以及结合键联数据进行有效的安全分析。
具体工作主要有以下几个方面：
1.安全工具分析：从安全管理的角度和需求分析了现有的安全工具，调研不同工具搜集安全信息的特点，针对项目背景需求选择了适合的开源安全工具，为安全数据分析做铺垫。

2.安全数据的融合：利用本体论的方法构建安全本体模型，设计安全本体数据关联的逻辑和约束，用语义网的方法对不同数据源的数据进行融合，建立数据之间的关联关系。
3.安全本体实例化算法：针对采集到的数据，基于本文设计的安全本体模型，提出了安全本体模型的实例化算法，用实例数据补充模型，构建了安全键联数据。
4.日志分析：基于语义属性和密度聚类算法提出资产日志分析的算法，从资产日志聚类的过程中可以得到资产的异常日志。
5.安全实例溯源分析：为了分析资产的异常日志发生的原因，基于安全键联数据，提出了溯源的方法，有利于对资产异常情况发生原因的分析和掌握。

1.3论文结构安排

论文总共分了七个章节，具体安排如下：
第一章 综述，介绍本文的背景和研究的意义，详细描述了本文的研究内容和主要工作。
第二章 相关技术分析，主要阐述键联数据、语义网以及安全信息语义化的发展现状，介绍安全管理的相关技术、本体论的理论和技术、以及本文实现系统所涉及到的主要原理和技术。
第三章 系统模型和理论基础，主要介绍系统的理论模型，用形式化定义的方法从建模的角度分析系统的理论基础。
第四章 系统关键算法分析，主要介绍系统涉及到的关键算法，针对安全本体的实例化设计了算法过程，基于语义属性密度聚类算法分析日志，根据键联数据利用图的算法对状态做溯源分析。
第五章 系统设计与实现，阐述了基于键联数据语义关联分析的安全管理系统的整体目标，设计了系统的架构，介绍了系统各个模块的详细设计和流程。
第六章 介绍系统的部署过程和应用，并用实验验证了系统的有效性和正确

性。
第七章 总结和展望，对本文进行总结，并展望未来的研究工作。