一、本体理论

本体理论定义了对世界万物的规范化说明，所有的知识库均采用同样的规范定义，有助于实现知识的共享和交互。

1.本体概念

（1）定义
本体是一种具有结构化特点的特殊类型的术语集，存在对象类型或对象类型的概念。
（2）组成要素：类、实例、属性、关系、函数、公理。
类：事物的种类或对象类型；
实例：每一个类都与一组个体（类扩展）相关联，类扩展中的每一个个体都称为类的实例；
属性：一个实例或对象和概念等都具有的特征、特性、特点、参数；
关系：类和实例之间的关联方式；
函数：一类特殊的元素；
公理：本体内存在的事实。

2.本体语言

OWL（Web Ontology Language，网络本体语言）

（1）定义了以下术语：
①owl:class ：类，定义了因具有某些共同属性而属于同一分组的个体；
②rdfs:subClassOf：表示两个类的子属关系；
③rdfs:subPropertyOf：表示两个属性的子属关系；
④owl:ObjectProperty：对象属性，表示两个类之间的关系；
⑤rdfs:domain：定义了属性的定义域，用来约束该属性可以适用的个体；
⑥rdfs:range：定义了属性的值域，用来限制属性的取值范围；
⑦owl:equivalentClass：定义两个类为等价类，即等价类拥有相同的实例；
⑧owl:equivalentProperty：定义两个属性为等价属性，等价属性将个体关联到与其同组的其他个体。

（2）OWL提供了3种不同表达能力、不同计算复杂度的子语言：OWL Lite、OWL DL、OWL Full。

3.基于本体的推理

（1）定义
指通过本体语言，从中推理出新知识，如推导出新的关系、属性等。

（2）常用方法
①基于Tableaux运算的方法：检查某一本体是否满足某规则或进行实例检测；
②基于逻辑编程改写的方法：根据特定的场景定制规则，从而实现用户自定义的推理过程；
③基于一阶查询重写的方法：结合不同数据格式的数据源，关联不同的查询语言；
④基于产生式规则的方法：采用前向推理的形式，按照一定机制执行规则。

二、网络安全态势感知系统相关的本体标准

1.资产维度的标准

（1）CPE（通用平台枚举）
①定义：信息技术软件应用程序、操作系统及硬件的结构化命名规范；
②作用：描述和识别计算资产中存在的应用程序、操作系统和硬件设备的类，有助于让不同用户对当前资产使用相同的命名规范。

（2）CCE（通用配置枚举）
①定义：一种标准化格式，描述软件配置缺陷；
②作用：有助于对资产中的配置、缺陷等进行量化评估。

（3）FOAF（Friend of a Friend）
①定义：表达人员、群体、组织机构及其关系；
②作用：FOAF可将设备IP地址与人员、组织关联起来。

2.漏洞维度的标准

广义的漏洞包括计算机漏洞和软件Bug。
计算机漏洞是在计算机硬件、计算机软件等的具体实现或策略上存在的缺陷，使攻击者能够在未授权的情况下访问或破坏计算机系统。
软件Bug指计算机软件或程序中存在的破坏正常运行的问题、错误。

（1）CVE（通用漏洞披露）
①定义：公开披露已知信息安全漏洞的一个字母表；
②作用：CVE的通用标识可使安全产品之间实现数据交换，帮助用户在各自独立的不同漏洞数据库、不同漏洞评估工具间共享数据。

（2）CWE（通用弱点枚举）
①定义：公开已知信息安全弱点的一个字母表；
②作用：提供了一个统一、可度量的软件弱点集合。

（3）CVSS（通用漏洞评分系统）
①定义：评测漏洞的严重程度，帮助用户确定所需反应的紧急程度和重要程度。
②作用：研究CVSS对于漏洞的评分信息，可以掌握具体的攻击信息，了解攻击的潜在影响和严重程度。
③CVSS由三类衡量指标组成：基础指标、时间指标和环境指标。
首先针对每类指标产生一个用压缩文本表示的衡量向量，反映漏洞的不同属性，然后综合三类指标生成一个数值评分，表示漏洞的强度。

3.威胁维度的标准

（1）CAPEC（通用攻击模式枚举和分类）
①定义：国际性公开可用的通用攻击模式列表，含有比较全面的模式和分类信息。

攻击模式：对攻击所利用软件系统通用方法的描述。

②作用：对攻击模式分析的时候，可以将CAPEC与检测到的网络空间安全事件结合，了解攻击所利用的CVE漏洞，并分析安全事件使用了哪个特定的CAPEC所列的攻击模式。

（2）MAEC（恶意代码属性枚举和特征描述）

①定义：MAEC基于行为、产出物、攻击模式等属性，对恶意代码相关的“高保真”信息进行编码。
②作用：利用MAEC可以消除在恶意代码描述中存在的模糊性和不确定性，促进沟通交流，以便研究人员根据先前已有实例研发出针对恶意代码的对抗机制。

（3）ATT&cCK（对抗战术、技术和常识）
①定义：攻击行为知识库和模型，根据真实的观察数据描述和分类对抗行为。ATT&CK是由攻击者在攻击企业时所利用的12种战术和244种企业技术组成的精选知识库。一个攻击序列至少包含一种技术，若干战术组合就可以构成一个完整的攻击序列。
②ATT&CK将已知攻击者的行为转换为结构化列表，将行为汇总成战术和技术，并通过矩阵以及结构化威胁信息表达式来表示。

（4）KillChain（杀伤链/网络攻击生命周期）
①定义：是一种特定类型的情景，在此情境中，若干个类型的事件必须按照指定的顺序发生；
②作用：防止攻击者进入网络环境；另外，在越早的杀伤链环节阻止攻击，修复的成本和时间损耗也越低。

4.综合信息标准

（1）STIX（结构化威胁信息表达）
①定义：网络空间威胁情报信息的结构化语言，提供了一个将各种网络空间情报组件聚合的高阶框架；
②作用：实现对网络空间威胁情报的信息共享。用于威胁分析、威胁特征分类、威胁及安全事件应急处理、威胁情报分享四个场景。

（2）CybOX（网络空间可观察对象表达）
①定义：按一定规范定义、表达和描述了网络空间可观察到的事件及其状态和属性；
②作用：便于人们针对安全事件相关信息进行交流。

（3）IODEF（安全事件描述交换格式）
作用：为互操作工具的开发提供基础。

三、基于MDATA模型的网络安全态势感知本体模型

1.基于MDATA模型的网络安全态势感知本体类

本体类可以分为资产、漏洞、威胁三个基本类。
资产存在漏洞，威胁利用漏洞，威胁影响资产。

（1）资产类
资产类信息分为静态资产信息和动态资产信息。
静态资产信息指资产型号信息，能够反映该型号资产特有的性质；
动态资产信息包括资源信息和资产状态信息。

①资产型号
Ⅰ.计算机的硬件：物理装置；
Ⅱ.计算机的操作系统：管理计算机硬件和计算机软件及资源的计算机程序；
Ⅲ.计算机的软件

②资源信息
Ⅰ.程序信息
进程：计算机程序在某数据集合上的一次运行活动；
服务：执行指定系统功能的程序、例程或进程；
系统调用：由操作系统提供的所有调用构成的集合；
驱动程序：添加到操作系统中的特殊程序，包含硬件设备的信息。

Ⅱ.配置信息
注册表：数据库，存储系统和应用程序的设置信息；

Ⅲ.身份信息
账户：包括用户名和密码，以及权利和权限；
用户权限；
凭证：证明身份等事实的证据。

③资产状态信息
Ⅰ.系统状态
CPU状态：指CPU的占有率；
内存状态：指内存的占有率；
磁盘使用状态：指磁盘的占有率；
磁盘I/O状态。

Ⅱ.网络状态与网络端口
网络状态：主要包括网卡I/O状态、网络连接状态、网络数据等；
网络端口：指TCP/IP协议中的端口。

（2）漏洞类
漏洞类可按利用位置、威胁类型、技术类型等进行分类。

①基于利用位置的分类
本地漏洞：需要使用操作系统的账号登录到本地才能利用的漏洞；
远程漏洞：无需操作系统的账号登录即可通过网络访问目标机器的漏洞。

②基于威胁类型的分类
获取控制：可以劫持程序执行流程，使流程转向执行攻击者指定的任意指令或命令，从而控制操作系统；
获取信息：攻击者可以劫持程序，使其访问预期外的数据，并把信息泄露给攻击者；
拒绝服务：攻击者可利用该漏洞导致目标系统失去响应正常服务的能力。

③基于技术类型的分类
内存破坏：攻击者利用某种形式的内存越界访问操作发起攻击；
逻辑错误：系统安全机制的安全检查实现逻辑上存在问题；
输入验证：对用户的输入没有做充分的检查过滤就进行后续操作；
设计错误：在系统设计时对安全机制考虑不足；
配置错误：存在默认的不安全的配置状态。

④专业信息维护机构负责维护的各类漏洞及系统平台
CWE、CVE、BID、MSB、CNVD（国家信息安全漏洞共享平台）、CNNVD（国家信息安全漏洞库）

（3）威胁类
威胁类的信息用于描述网络空间中的攻击。
攻击一般分为单步攻击和多步攻击。

①单步攻击
又称基础攻击，描述攻击粒度的基本单元，表示完成攻击过程的某一个动作。
单步攻击可按照攻击意图、技术路线、实现方法、实现具体细节等四个层次进行划分。
按照攻击意图，可分为扫描探测攻击、渗透突破攻击、远程控制攻击、窃取利用攻击。
Ⅰ.扫描探测攻击：通过扫描探测发现网络中存活的节点及其相关信息、开放端口、可能存在的漏洞。
按照技术路线，扫描探测攻击又分为网络层扫描、传输层扫描、应用层扫描和情报搜集。
Ⅱ.渗透突破攻击：一般是利用漏洞突破节点，获得节点的控制权。
按照技术路线，渗透突破攻击又分为网络协议攻击、网络服务攻击、中间人攻击、身份认证攻击、社会工程学攻击。
Ⅲ.远程控制攻击：在成功实施渗透突破攻击之后，通过提权、安装木马等操作，进一步控制节点或达到长期控制节点的目的。
按照技术路线，远程控制攻击又分为登录控制、远程提取、本地攻击、本地提取和安装控制。
Ⅳ.窃取利用攻击：一般是进行破坏或窃取数据。
按照技术路线，窃取利用攻击又分为资源窃取攻击、篡改破坏攻击、功能盗用攻击和跳板攻击。
②多步攻击
多步攻击又称复杂攻击，覆盖为完成攻击目的所实施攻击的全过程。
可以分为APT攻击或类APT攻击、蠕虫攻击、僵尸网络攻击、DDoS攻击等。
Ⅰ.APT攻击：高级持续性威胁；
Ⅱ.蠕虫攻击：通过程序自动自我复制传播的网络攻击；
Ⅲ.僵尸网络攻击：僵尸网络是采取多种传播手段，将大量感染僵尸程序的计算机通过控制信道控制起来，形成可被攻击者操纵的网络；
Ⅳ.DDoS攻击：分布式拒绝服务攻击，指不同地域的多个计算机同时向一个或数个目标发动拒绝服务攻击。

2.基于MDATA模型的网络安全态势感知本体关系

主要分为一般关系、时间关系、空间关系、时空复杂关系。

（1）一般关系
①包含关系；
②属于关系；
③存在关系：漏洞存在于资产；
④利用关系：攻击利用漏洞；
⑤作用关系：攻击作用于资产；
⑥前提关系：表示某攻击是进行另外一个攻击的前提条件；
⑦后续关系：表示某攻击是另外一个攻击后续开展的攻击；
⑧等于关系：表示两个本体在某个维度的相同关系；
⑨获得关系：攻击获取资源；
⑩用于关系：资源用于攻击。

（2）时间关系
①时序关系：表示两个本体发生的时间先后顺序；
②相对时间关系：描述本体之间存在的相对时间关系，可以表示网络空间安全现象；比如，两个攻击事件发生的时间间隔大于或小于某阈值，作为安全事件发生的判断依据。

（3）空间关系
①绝对空间关系：比如某攻击事件的源IP为外网IP，表明该攻击事件是从外网IP攻击内网节点；
②相对空间关系：比如攻击事件A的目的IP是攻击事件B的源IP；
③复杂空间关系：比如攻击体中的跳板节点，既与超过某阈值的内网IP有安全事件关联，也与外网IP有安全事件关联。

（4）时空复杂关系
时间关系和空间关系相结合的网络空间安全行为。

3.基于MDATA模型的网络安全态势感知本体模型推理

本体模型推理：指对网络安全态势感知过程中提取的数据进行推理，识别攻击链、攻击过程、攻击目标、攻击意图和攻击危害。
整个过程分为低、中、高三个阶段，每个阶段需要通过提取或推理获得相关事件。

（1）低阶事件（安全事件）
定义：指可从安全设备、采集软件等获得的日志或数据；
包括：
①安全日志：由流量检测设备（入侵检测、防火墙、沙箱）或终端防护软件（EDR、杀毒软件）产生的日志数据；
②流量事件：流量统计数据和网络审计事件（表示资产进行了某些正常/异常行为）；
③资产信息：通过资产探测设备获得的网络节点资产型号数据；
④漏洞信息；
⑤资产状态信息；
⑥拓扑信息；
⑦威胁情报信息：包括黑名单。

（2）中阶事件（单步攻击）
定义：对低阶事件进行统计、查询，或者简单的关联、推理得到的事件；
包括：
①攻击链；
②身份事件：将低阶事件的空间信息与IP-国家、IP-组织、IP-域名映射关系相关联，经推理得到的事件；
③声誉事件：能够引发声誉风险的事件，比如帐号、域名、IP等被某机构列入黑名单，就会构成一个声誉事件。一般通过将低阶事件与威胁情报事件进行关联。
④攻击类型事件：将诸如入侵检测等安全事件与攻击类型进行关联；
⑤有效攻击事件：将安全事件的漏洞信息与需要保护的资产漏洞信息进行关联；
⑥资产状态异常事件：对资产状态数据进行统计或推理；
⑦流量异常事件；
⑧攻击路径：将低阶事件与拓扑数据相关联。

（3）高阶事件（多步攻击）
定义：通过若干中阶事件推导出更加明确、信息量更大、指向性更强的事件；
包括：
①威胁行为体：通过中阶事件可推导出与杀伤链、杀伤链阶段等相关联的威胁行为体，通过进一步推导，将各种低阶事件、中阶事件与杀伤链阶段关联；
②大型攻击行动：将具有某些相同特征的威胁行为体进行关联分析（比如确定是否为同一威胁源），可以将威胁行为体与更大型的攻击行动关联；
③攻击目标信息：将身份事件与杀伤链、大型攻击行为相关联；
④攻击影响：基于网络状态信息、网络拓扑数据、攻击路径进行分析；
⑤TTP（攻击者的战术、技术和规程）。

（4）推理方法
①将安全事件与漏洞信息关联，进行有效的基础攻击检测：安全事件中与漏洞相关的事件包含事件对应的CVE漏洞信息，通过判断该事件作用的资产是否存在该漏洞，可判断事件的有效性；
②由安全事件或流量事件推导出攻击链；
③由攻击链结合其时序关系推理生成杀伤链；
④将不相关联的CVE安全事件与流量事件相关联；
⑤使用规则将域名或IP地址与中阶事件关联：在关联后，就可以通过检测发现具有相同源地址的多个事件；
⑥将具有相同检测特征ID和源IP地址的事件组合，判断是否是同一威胁源开展的同一大型攻击活动；
⑦将具有相同源/目的IP地址和检出事件的安全事件与流量事件结合分析：相同源/目的IP地址的安全事件可能具有强相关性，如果没有构成攻击链或杀伤链，说明不是同一威胁行为体，或者是缺乏必要检测的安全事件，此时需要结合流量事件分析；
⑧将具有相同源/目的IP地址和没有相应安全事件的流量事件结合分析；
⑨对缺乏某一阶段的杀伤链，基于流量安全事件进行关联分析，可以对杀伤链缺失阶段进行补齐；
⑩基于威胁行为体、大型攻击行动、攻击目标信息、攻击影响等进行综合分析。

四、本章小结

本体模型是一种显式的、形式化的、可机读的语义模型，定义了与问题域相关的类、类的实例、类间关系和数据属性等。
定义本体模型的作用：更高效地理解多源异构的安全数据，整合多来源信息，及时完成推理工作，从而推导出新的信息，更好地实现网络安全态势感知。

本章重点讲解了基于MDATA模型的网络安全态势感知本体模型，包括本体类、关系、推理等。

【学习笔记】《网络安全态势感知》第五章：网络安全态势感知本体体系相关推荐

陈宝林《最优化理论与算法》超详细学习笔记（七）————第五章运输问题
陈宝林<最优化理论与算法>超详细学习笔记 (七)----第五章运输问题第1节运输问题的数学模型第2节表上作业法 2.1 确定初始基可行解 2.2 最优解的判别 2.3 改进的方法 ...
《C指针》学习笔记（第四、五章）指针与字符串、指针与多维数组
第四章:指针与字符串字符串就是字符序列.它存储的是字节数组.一个特殊字符串结束符是用来标记字符串的结束.结束符用转义序列'\0'表示. 定义字符串变量的方法 char *strptr = " ...
《游戏设计艺术（第2版）》——学习笔记（12）第12章有些元素是游戏机制
<游戏设计艺术(第2版)>学习笔记(12) 第12章有些元素是游戏机制机制1:空间互相嵌套的空间零维度机制2:时间离散与连续的时间时钟与竞赛操控时间机制3:对象.属性和状 ...
【Python学习笔记—保姆版】第四章—关于Pandas、数据准备、数据处理、数据分析、数据可视化
第四章欢迎访问我搞事情的[知乎账号]:Coffee 以及我的[B站漫威剪辑账号]:VideosMan 若我的笔记对你有帮助,请用小小的手指,点一个大大的赞哦. #编译器使用的是sypder,其中&q ...
R语言学习笔记——入门篇：第三章-图形初阶
R语言 R语言学习笔记--入门篇:第三章-图形初阶文章目录 R语言一.使用图形 1.1.基础绘图函数:plot( ) 1.2.图形控制函数:dev( ) 补充--直方图函数:hist( ) 补充- ...
机器人学中的状态估计学习笔记（二）第三章线性高斯系统的状态估计
机器人学中的状态估计学习笔记(二)第三章线性高斯系统的状态估计 3.1 离散时间的批量估计问题 3.1.1 问题定义 3.1.2 最大后验估计 3.1.3 贝叶斯推断 3.1.4 存在性.唯一性与能观 ...
《python基础教程（第二版）》学习笔记基础部分（第1章）
<python基础教程(第二版)>学习笔记基础部分(第1章) python常用的IDE: Windows: IDLE(gui), Eclipse+PyDev; Python(comman ...
《游戏设计艺术（第2版）》——学习笔记（24）第24章其他玩家有时会形成社群
<游戏设计艺术(第2版)>学习笔记(24) 第24章其他玩家有时会形成社群不仅仅是其他玩家强大社群的10条建议社群建议1:培养友谊社群建议2:牢记矛盾社群建议3:运用建筑学去形 ...
《游戏设计艺术（第2版）》——学习笔记（17）第17章有种体验叫作故事
<游戏设计艺术(第2版)>学习笔记(17) 第17章有种体验叫作故事故事/游戏的二象性被动娱乐的迷思梦想事实真实世界方法1:珍珠串真实世界方法2:故事机问题问题1:好的故 ...
《游戏设计艺术（第2版）》——学习笔记（8）第8章游戏通过迭代提高
<游戏设计艺术(第2版)>学习笔记(8) 第8章游戏通过迭代提高选择创意八项测试迭代规则软件工程的简短历史危险--瀑布--保留巴里·伯姆爱你敏捷宣言风险评估与原型设计制 ...

【学习笔记】《网络安全态势感知》第五章：网络安全态势感知本体体系