基于模块化本体的入侵检测研究.docVIP

基于模块化本体的入侵检测研究 　　摘要：建立了一种基于模块化本体的入侵检测模型，该模型能共享和重用知识并进行分析，具有检测分布式复杂攻击的能力。通过本体的模块化降低对存储空间的要求、提高推理的速度、增强系统的健壮性。用OWL对入侵检测中的模块化本体进行了规格说明并进行了应用举例。 　　关键词：入侵检测；本体；模块化 　　中图分类号：TP309文献标识码：A文章编号：1009-3044(2008)36-2756-04 　　A Study of IDS Based on Modular Ontology 　　JIANG Zong-hua 　　(Information Engineering School,Anhui University of Finance Economics,Bengbu 233041,China) 　　Abstract: The author presents a model of IDS based on modular ontology,the model is capable of sharing and reusing knowledge and analyzing it, detecting distributed and complicated attacks. In IDS, the modularization of ontology can decrease the demand for storage capacity, speed the reasoning process, and enhance the robustness of the IDS.The author specifies the modular ontology of IDS in OWL and presents a use case scenario. 　　Key words: IDS; ontology; modular 　　1 引言 　　1.1 本体表示和推理 　　本体论（Ontology）的内涵是对世界上任何领域内的真实存在所做出的客观描述，不依赖任何特定的语言。从知识表示的角度来讲，本体不是仅被某个应用主体所接受，而应得到领域内各应用主体的认可；从共享的角度来说，本体作为一种概念化的说明，采用框架系统对客观存在的概念和关系进行描述，是在各种应用主体之间交换意见时所用到的共同语言。这样本体最根本的优势――共享和重用得以实现。 　　Berners-Lee 在XML2000 的会议上提出了语义Web[1]，为未来Web发展提出了基于语义的体系结构，该体系结构分为七层。XML是通用的语法基础，在其上一层定义更强大的语言RDF+rdfs。RDF定义了一个简单的三元组模型为通用框架，与被描述资源无关。RDF层的上一层是Ontology vocabulary。在这一层，用户不仅可以定义概念而且可以定义概念之间丰富的关系。在Ontology vocabulary层上的本体描述语言有很多种，代表性的有OWL和DAML + OIL等，其中OWL 是W3C 推荐的本体描述语言，也是本研究所采用的本体描述语言，它的最大特点是关联描述逻辑，通过对概念、概念属性及其相互间关系的描述，构成概念的复杂关系网络，这就意味着描述逻辑推理机可以推理OWL本体。 　　Jess是基于Java语言的推理机，可以用于本体的推理。在推理之初，把领域本体解析并转换为三元组系列，作为断言放入知识库中形成规则。一旦断言被加入知识库中，推理机产生附加的规则，这些规则包括从本体中获得的一系列蕴涵着的规则。 　　知识库可以接受本体的实例并可以进行查询，查询语言的形式为((predicate) (subject) (object))，其中三个元素至少有一个包含一个值，其它元素可以未被说明（通过在它们前面加“?”来标识）。如果在知识库中有一些三元组和查询相匹配，这些三元组的值将被返回。 　　1.2 基于本体的入侵检测 　　在分布式入侵检测中，对知识的处理方式是在协作的环境下进行的，由于各检测主体处理域的不同和检测域的不同，在协作过程中容易导致对同一事物在描述上的语义不一致，阻碍了主体间的知识共享和协同工作。 　　入侵检测安全部件之间缺乏互动己得到业界的承认，目前有两个致力于入侵检测系统间通信规范的组织：CIDF 和 IDWG 。CIDF定义的是一个专用的语言，缺乏通用性。IDWG提出的一个重要文档是IDMEF，利用XML来实现的。XML具有一定的通用性，但XML只能用来表示数据模型的语法特性，这就需要每个入侵检测系统通过编程来理解和实现数据模型。而本体表示语言例如OWL可以同时表示信息和规则，可以根据已有信息产生新的信息。OWL相对