基于人工智能方向的网络空间安全：网络知识的概念建模

1.网络空间安全中的知识工程简介

• 形式化知识表示是人工智能中的一个重要领域，它获取特定知识领域的概念；框架；关系和个体的语义作为结构化数据。
• 资源描述框架实现了以主语-断言-宾语三元组的形式来编写机器可解释的语句，称为RDF三元组

名称空间前缀声明

@ prefix rdf: <https://www.w3.org/1999/02/22-rdf-syntax-ns#>

这样的语句是可以解释的，机器可解释的定义实在不同的概念化和全面性层次上创建的，从而导致知识组织系统类型的不同。

受控词汇是一个包含可数无限iri集的三元组：V=（$N_C$,$N_R$,$N_I$),其中依次表示原子概念，原子角色，单个名称（对象），三者是成对的不相交集

叙词表列出了含义相似而分到一组的单词，分类法是以层次结构对单位进行分类的

知识库描述了知识领域的术语和个体

本体是具有复杂关系和复杂规则的知识领域的形式化概念，适用于自动推断新语句

数据集是相关的机器可解释语句的合集

RDF架构语言

能够表达核心关系的RDF词汇经过扩展，已经能够描述概念和属性之间更复杂的关系，从而形成了RDF架构语言

定义为本体的OWL文件

@prefix rdf: <https:/wwww.w3.org/1999/02/22-rdf-syntax-ns#>.
@prefix rdf: <https:/wwww.w3.org/2002/07/owl#>.
<https://example.com/cyberontology.owl> a owl:Ontology .

OWL类声明

：Malware a owl :Class .

对象属性和数据类型声明：

connectedTo a owl : ObjectProperty
hasIPAddress a owl : DatatypeProperty

实体声明

WannCry a owl : namedIndividual

• 上层本体：适用于各个领域的通用本体
• 领域本体：通过特定的观点和事实来描述特定知识领域的词汇
• 核心参考本体：是标准化的或事实上的标准本体。

2.网络空间安全分类标准

可靠和安全计算分类

定义：

• 属性：可用性，可靠性，安全性，机密性，完整性，可维护性
• 威胁：故障，错误，失效
• 方法：故障预防，容错，故障清除，故障预测

攻击维度

• 攻击影响性：机密性，完整性，可用性，身份验证，授权，审核
• 攻击途径：Dos，人类行为攻击，信息收集，格式错误的输入，恶意代码，网络攻击，密码攻击，物理攻击
• 攻击目标：硬件，软件，人

• 硬件：计算机，网络设备，外围设备
• 软件：应用程序，网络，操作系统
• 人：接收者，发送者

• 漏洞：位置，动机，特定于资源的弱点，设计过程带来的弱点，实施过程带来的弱点，OWASP中的弱点
• 防御：安全网络通信，安全硬件，标准，技术误用，备份，加密，密码学，消息摘要校验和，内存保护，信息管理，访问控制，漏洞扫描程序，源代码扫描程序，系统登入，监视，蜜罐，杀毒，密钥管理

该分类用于进行攻击效果评估尤为公认

3.网络空间安全的核心参观本体模型

网络安全运营信息参考本体

定义：从网络安全运营的角度构建网络安全信息并协调行业规范的网络安全本体

效果：本体的实现允许使用CVE标识符描述漏洞，并通过通用攻击模式枚举和分类标识符描述威胁

4.网络空间安全的上层本体

安全本体

用于代表任意信息系统。

安全资产漏洞本体

信息安全的上层本体。

定义：威胁，漏洞，风险，暴露，攻击和其他安全概念。

安全算法标准本体

涵盖了安全算法，标准，概念，凭证，目标，保证级别。

由：安全算法，安全保证，安全凭证和安全目标等概念组成。

统一安全本体

与最常见网络安全标准保持一致，旨在整合和集成来自各安全系统的异构数据和知识模式

5.网络空间安全的领域本体

入侵检测本体模型

将本体用于基于字符串匹配的数字签名入侵检测，以及多传感器写作检测；也可以用于收获攻击签名的语义，包括但不限于系统状态，ip，端口，协议，以及路由器和防火墙日志。

系统状态：网络连接状态，CPU，内存使用情况

恶意软件分类和恶意软件行为本体模型

MITER的网络本体：基于恶意软件本体，可以用于整合数据源，并支持自动化的网络防御任务。（基于Ingle的恶意软件钻石模型行为）

定义概念类型：

• 启动项攻击：拒绝服务，发送垃圾邮件，扫描，利用攻击发送

• 发送电子邮件：网络钓鱼，垃圾邮件

• 规避：反分析，反防御

• 反分析：调试器检查，环境检测，删除证据
• 反防御：删除注册表，关闭防御机制

• 远程控制：下载代码：已知的恶意软件执行，其他代码执行，get命令
• 自我防护：维护事件，组件检查，创建同步对象，语言检查，持久性
• 窃取：包括系统信息窃取，用户信息窃取

• 系统信息窃取：主机名，操作系统信息，资源信息
• 用户信息窃取：凭证，网银数据

• 版本控制：浏览器，内存写入，操作系统

网络威胁情报本体模型

用于对Internet实体进行分类和分析的本体，重点用于计算机事件响应，威胁情报处理。

数字取证本体模型

IT安全事件中常用的数字取证本体：定义了所有与取证有关的部分。

本体定义了内核，资源和进程列表概念

安全操作和流程本体模型

用于描述安全检索文件和检测侵入的任务，具备安全运营，网络运营商，任务计划，网络开发，有效载荷等概念和其之间关系

6.网络空间安全的相关网络系统本体集

定义了行动方案，漏洞和暴露分析任务的自动化，可以使用MANET分布式功能本体来描述

网络域本体专门用于设计详细的网络，可以使用例如MAC地址，IP地址，操作系统以及编号等属性来描述

网络本体论：用于描述交换的BGP路由的方法。

物理设备本体定义了设备，配置等概念，以及它们的对象和数据类型属性。

IP流benti量的测量本体：用于与IP流量测量设备进行接口和数据交换的ETSI规范。

路由配置域的本体设置：用来描述网络路由器的命令行界面的语义

IP网络拓扑和通信本体是定义IPv4和IPv6网络拓补链接是·最全面的概念之一

通信网络拓补和转发本体是基于Internet协议，开发式最短路径优先和边界网关协议形成的

7.个人总结

本体工程用于通过支持自动化数据处理来为网安提供解决方案。使用OWL来定义RDF三元组中所描述的网安知识概念和语义。上层本体到特定领域本体见证了网络空间安全本体的激增，可以用于描述IP，网络拓补，潜在威胁，当前状态等复杂声明，从而帮助于我们在日益复杂和高度动态的网络空间中发现知识