基于本体的网络威胁情报分析技术研究

doi:10.3778/j.issn.1002-8331.1902-0221

计算机工程与应用 ›› 2020, Vol. 56 ›› Issue (11): 112-117.DOI: 10.3778/j.issn.1002-8331.1902-0221

基于本体的网络威胁情报分析技术研究

高见，王安

1.中国人民公安大学，北京 100038
2.安全防范与风险评估公安部重点实验室，北京 102623

出版日期:2020-06-01 发布日期:2020-06-01

Research on Ontology-Based Network Threat Intelligence Analysis Technology

GAO Jian, WANG An

1.People’s Public Security University of China, Beijing 100038, China
2.Key Laboratory of Safety Precautions and Risk Assessment, Ministry of Public Security, Beijing 102623, China

Online:2020-06-01 Published:2020-06-01

摘要/Abstract

摘要：

网络安全领域中威胁情报的描述方式多种多样，迫切需要一种对威胁情报格式化描述的标准，将非格式化情报信息，转化为格式化数据，为情报的可视化知识图谱提供支撑。针对STIX 2.0的描述规范，提取了适应于网络安全威胁情报中的本体元素，构建了一个可共享、重用、扩展的威胁情报本体模型，并对领域本体、应用本体和原子本体进行了详细分类。将该模型应用在Poisonivy攻击事件中，提取了Poisonivy研究报告中的61个实体，102个关系，并将抽取的格式化数据导入Gephi进行可视化表达。通过对威胁情报本体模型的构建，完成了情报信息从非结构化到结构化的转换，并使用统一的语法进行描述，最终以知识图谱的方式来表达情报中重要元素，可以快速定位网络安全事件中的核心元素及之间关系，为网络安全分析者和决策者，提供重要依据。

关键词: 威胁情报, 本体, 网络攻击, 知识图谱

Abstract:

Threat intelligence is described in a variety of ways in the field of cyber security, there is an urgent need for a standard for the format description of threat intelligence, which can transform unformatted intelligence information into formatted data to provide support for the visual knowledge graph of intelligence. According to the description specification of STIX 2.0, many ontology elements adapted to network security threat information are extracted, a threat intelligence ontology model that can be shared, reused and extended is constructed, and the domain ontology, application ontology and atomic ontology are classified in detail. Finally, the model is applied in the Poisonivy attack event, and 61 entities and 102 relationships in the Poisonivy research report are extracted, and the extracted formatted data is imported into Gephi for visual expression. Through the construction of the threat intelligence ontology model, the transformation of intelligence information from unstructured to structured is completed, and the unified grammar is used for description. Finally, the important elements in the intelligence are expressed in the way of knowledge graph, and the network security event can be quickly located. The core elements and relationships between them provide an important basis for network security analysts and decision makers.

Key words: threat intelligence, ontology, cyber attacks, knowledge graph

高见，王安. 基于本体的网络威胁情报分析技术研究[J]. 计算机工程与应用, 2020, 56(11): 112-117.

GAO Jian, WANG An. Research on Ontology-Based Network Threat Intelligence Analysis Technology[J]. Computer Engineering and Applications, 2020, 56(11): 112-117.

[1]	王友发，周圆圆，罗建强. 近20年智能制造研究热点与前沿挖掘[J]. 计算机工程与应用, 2021, 57(6): 49-57.
[2]	彭昭勇，伍权，陈华伟，郑跃，王书祥. 基于文献计量的机器视觉缺陷检测研究述评[J]. 计算机工程与应用, 2021, 57(4): 28-34.
[3]	刘藤，陈恒，李冠宇. 联合FOL规则的知识图谱表示学习方法[J]. 计算机工程与应用, 2021, 57(4): 100-107.
[4]	卢琪，潘志松，谢钧. 融合知识表示学习的双向注意力问答模型[J]. 计算机工程与应用, 2021, 57(23): 171-177.
[5]	武书钊，李功权，卜明伟. 基于知识图谱的自杀倾向检测问答系统构建[J]. 计算机工程与应用, 2021, 57(22): 304-312.
[6]	江洋洋，金伯，张宝昌. 深度学习在自然语言处理领域的研究进展[J]. 计算机工程与应用, 2021, 57(22): 1-14.
[7]	吴昊，徐行健，孟繁军. 课程资源的融合知识图谱多任务特征推荐算法[J]. 计算机工程与应用, 2021, 57(21): 132-139.
[8]	杨泉. N1+N2结构语法关系判定的SVM算法[J]. 计算机工程与应用, 2021, 57(20): 104-108.
[9]	陈恒，祁瑞华，朱毅，杨晨，郭旭，王维美. 球坐标建模语义分层的知识图谱补全方法[J]. 计算机工程与应用, 2021, 57(15): 101-108.
[10]	王友发，陈辉，罗建强. 国内外人工智能的研究热点对比与前沿挖掘[J]. 计算机工程与应用, 2021, 57(12): 46-53.
[11]	潘承瑞，何灵敏，胥智杰，王修晖，宋承文. 融合知识图谱的双线性图注意力网络推荐算法[J]. 计算机工程与应用, 2021, 57(1): 29-37.
[12]	陈光，蒋同海，王蒙，唐新余，季文飞. 自定义SWRL知识图谱推理补全插件的实现[J]. 计算机工程与应用, 2021, 57(1): 261-270.
[13]	王红，林海舟，卢林燕. 基于Att_GCN模型的知识图谱推理算法[J]. 计算机工程与应用, 2020, 56(9): 183-189.
[14]	陈恒，李冠宇，祁瑞华，王维美. 胶囊网络在知识图谱补全中的应用[J]. 计算机工程与应用, 2020, 56(8): 110-116.
[15]	谭刚，陈聿，彭云竹. 融合领域特征知识图谱的电网客服问答系统[J]. 计算机工程与应用, 2020, 56(3): 232-239.

基于本体的网络威胁情报分析技术研究

Research on Ontology-Based Network Threat Intelligence Analysis Technology

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics