網絡安全本體的應用研究

◆邵涵

（中國人民大學 北京 100872）

網絡安全是一個復雜的主題，其中安全知識和問題的模糊性可能使安全專業人員和管理人員等利益相關者之間存在一定的誤解，因此網絡安全中任何概念和關系都應該被正式定義，需要明確定義的詞匯表和標準化語言。本體的形式化和結構化可以為交流、可重用性和知識組織提供了更好的工具和理解[1]。

本體論已經從哲學學科轉移到被不同領域的專家所采用。許多學科都開發了標準化的本體，使領域專家和工作者能夠深入全面地理解其領域中的信息，包括天文學領域，醫學領域和計算機領域[2]。近年來，計算機學科的本體論的發展和演變已經從人工智能領域轉移到信息安全領域中。

網絡安全本體的方法是從自然語言處理領域借鑒的，通過構建模型來描述一個領域特定的理論，并根據網絡安全領域的具體需要進行調整。在計算機科學學科中，本體通常被認為是專家常用詞匯，他們需要共享領域中的信息，這些信息包括領域內的基本概念以及可解釋定義它們之間的相互關系。引入本體的目標包括將自然語言數據源作為網絡安全應用程序中整體數據源的組成部分，定義相互關聯的指示以及對網絡安全領域專有技術和行為的正式規范。本體方法已被網絡安全社區視為組織和統一領域術語的有效手段。

在本文中，我們將對安全本體工程的研究和應用進行三個方面的探討，希望能夠對安全工程師和安全管理人員有一定的啟發，推進安全本體的進一步發展。

1 安全計算理論本體

首先，我們從理論角度探討網絡安全本體。網絡安全本體論的語義方法是從自然語言處理領域借鑒的，并根據需要進行調整從而適應安全這個新領域的需要。該方法的目標是規范網絡安全的專有概念和技術，以支持預防計算機攻擊的常規和時效措施。本體可用作網絡安全領域的通用詞匯，路線圖和可擴展詞典。不同人員基于本體可以就通用語言以及術語和關系的定義達成一致。此外，本體還有助于推理其實體之間的關系，例如威脅和對策。本體方法被網絡安全界視為組織和統一術語的有力手段。

本體論以及將語義技術應用于信息安全領域中已經有很多的研究。語義技術的基本思想是通過機器可以理解信息的方式為信息賦予含義，從而機器可以自動處理信息。目前，有幾種方法使機器易于理解信息，其中包括OWL、SWSL 等。語義技術是一種基礎結構技術，在此基礎上，我們可以構建各種智能應用程序。語義應用中發展之一是安全本體及其相關應用。本體在安全領域的應用包括安全訪問控制，入侵檢測系統，信息智能檢索和信息系統中基于本體的驗證模型等[3]。安全本體可以表達各種類型的安全信息，如安全算法、機制、協議等。研究人員通過構建安全本體，以對安全性要求或安全性策略進行建模，用于組織捕獲有關威脅，從而明確保障資產及其關系等結構化知識的含義。

為此，本體論方法是一個寶貴的方法，是對某問題本質、基本范疇及其關系的研究。具體來說，本體有以下特征：（1）能夠實現知識的結構化，從而促進信息的共享理解；（2）能夠指定不同概念之間的各種語義關系；（3）可重用性和可隨時間發展。另外，本體的優點如下：（1）提供一種通用語言，有助于激勵交流，從而促進不同人員之間的理解；（2）有助于組織精確掌握任何包含的知識；（3）將不同的概念和關系簡化為更結構化的信息模型；（4）有助于中心和層次之間的互操作性等。因此研究人員指出，安全社區需要引入本體來考慮問題，他們認為這是一個重要的挑戰和研究分支。

2 安全風險管理本體

在網絡空間中，風險管理是保證安全的重要環節。計算機系統已經變成高度分布式系統并且越來越復雜，漏洞評估在安全狀態和風險管理中起著核心作用。為了評估漏洞，我們需要定義明確的安全性指標，以基于科學、系統和定量的方法來衡量漏洞的嚴重性級別。研究人員提出了將本體的概念和相關技術應用到網絡安全漏洞庫，從而發揮本體的語義網的優點，有助于推理出不同漏洞之間的內在聯系[4]。

企業是各種各樣的安全攻擊的目標。無論在技術方面付出了多大的努力和多少投資，企業都比較容易發生系統漏洞和安全事件，從而產生負面的商業、社會和政治影響。風險管理應該確保考慮到各種可能的威脅和弱點，以及相關的物理資產。現有的方法，如最佳實踐指南、網絡安全領域專家或者相關標準都有一定的不足之處。與此同時，語義技術正越來越多地應用于商業領域。安全本體可以提供組織中安全基礎設施的大量初始信息，為信息安全風險管理基礎提供方法指導。

由于企業缺乏有效的防御態勢和彈性對策，研究工作試圖從本體的角度解決問題。將語義技術應用于信息安全的軟件漏洞管理。構建相應的安全本體可與對資產，威脅，漏洞，對策及其關系進行了建模[5]。借助本體的語義技術，研究人員可以正式、準確地描述外部威脅和內部漏洞的模式以及定義關鍵概念?；诓煌髽I的戰略目標和目的，還可以因地制宜地考慮創建某個企業特定的本體。通過使用本體正確定義該領域所涉及的概念，確保信息安全知識的一致性和全面性，從而可以大大簡化隱私策略管理、風險評估和商業智能等領域的工作。通過安全本體開發安全應用程序可以支持安全專家、開發人員和用戶之間的通信，從而將現有最佳實踐準則和信息安全標準結合起來，確保正確的信息安全知識用于漏洞識別和風險控制。同時，交互式決策允許決策者（例如，安全風險經理）調查和了解各種情況，從而使決策者對潛在問題的特征和問題有更好的感知和理解。在此基礎上，我們可以做出推斷并據此做出高層決策，從而實現更有效的網絡安全風險管理。

3 安全行為本體

信息安全經理傳統上依賴技術控制來保護組織重要的信息。然而，研究人員越來越重視人在安全中的責任和作用，并表明在管理信息安全策略和機制時，不能忽視組織內部的人的因素。為了進一步理解和研究人類在安全活動中的行為因素，研究工作將人類行為因素引入到本體的構建中，考慮采用網絡安全本體的方法探討和指導組織內部人員的安全行為[6]。

本體的表示還可能促進或抑制員工行為的安全性和可用性，因此，需要一個適當的結構來表示人類行為研究和信息安全管理中的概念之間的復雜和依賴關系。本體論可以作為一個框架，有助于將人類行為研究成果與CISO（首席信息安全官）的要求聯系起來。同時，安全本體封裝了眾所周知的信息安全概念，如資產、漏洞控制等。這些相互關聯的概念形成了一個框架，用于安排組織特定的知識，可以作為高層決策和風險評估過程的基礎。先前關于網絡安全本體和人類行為的討論也強調了在開發本體時必須考慮的基本要求。首先，安全行為本體應該以已有的或者公認的信息安全機制或政策為指導。其次，組織必須認識到安全的可用性以及員工的安全行為是組織信息安全政策的重要部分。

網絡安全行為本體提供了一個標準化的信息模型來表示企業和組織中不同角色人員的行為因素以及組織中的安全需求，封裝內部威脅的知識并傳達建議。安全行為本體提供了一個框架，可以用于在部署安全控制之前，將網絡安全與人類行為關聯的本體方法用于幫助識別潛在的用戶行為并對行為產生影響，有助于考慮安全管理決策和影響人類行為的因果關系。同時，安全本體可以將已有的網絡安全相關標準與相關人員行為進行結構化定義，這將為安全管理人員的決策過程提供指導和依據。

4 結論

在復雜多變的網絡環境中，實現完全的網絡安全是困難的。然而，研究表明安全本體是此背景下表達知識和進行風險管理的有效途徑。本體通過對安全專業術語進行分類，從而形成一種容易被計算機理解和接受的結構化的語義描述機制，為互操作性提供了媒介。通過構建安全本體，安全工程師和非安全人員可以擴展相關概念和知識，有助于改善網絡安全技術需求以及考慮安全決策等人類行為的影響，從而使組織更有效地對網絡安全管理進行風險分析，邁向更好的網絡安全。

同時，我們也注意到，大部分已完成的工作都集中在特定安全領域，這意味著到目前為止，網絡空間安全界還沒有完成一個通用的安全本體?，F有的本體并沒有準備好被重用和擴展，網絡安全社區仍然需要更完整的安全本體來解決這些不足?？傊?，本體在網絡安全領域作為一個非常有前途的新范式，希望本文對該主題的積極討論能夠支持、豐富和明確這一觀點，并引導未來對安全本體應用的進一步研究和發展。