2024期刊综述论文 Knowledge Graphs and Semantic Web Tools in Cyber Threat Intelligence
发表在期刊Journal of Cybersecurity and Privacy上,专门讲知识图谱技术和语义Web工具在网络威胁情报领域的作用,还把本体和知识图谱放在相同的地位上讨论。
此处可以明确一点:本体和知识图谱都可以用于网络威胁情报的应用,当然也算是网络安全态势感知的范畴。这是我之前考虑到的一个可以涉足的态势感知任务,但还没有想清楚具体的威胁情报任务是什么(因为看到太多把威胁情报用于文本分析的工作,算是NLP技术用在分析威胁情报上)。
从摘要来看本体在威胁情报的作用:1、以共同的模式表示信息,增强所谓SOC之间的互操作性;2、助力于发现先前未知的威胁情报。
第一点是很直观的作用,只要使用了本体,就是可以增强互操作性的。第二点则是可以考虑的点,但要搞清楚,这里的未知威胁情报具体对应到什么样的任务/实验上?类比到入侵检测领域,大家总想提一种方法,可以应对/发现未知攻击(不存在于预设知识库或规则库里的攻击),但实际上这是和直觉违背的。如果真的发现未知攻击了,是基于本体的什么样的能力发现的(是推理么,但本体的推理仍然是基于规则去推理的)?发现未知攻击之后,又是怎样界定的呢?是由人工来确定这到底算不算未知攻击?
文章引用的文献多数是和安全领域本体相关的,在做相关工作描述的时候可以多参考。文章主要还是尽量把沾边的文章都网罗了一番了,总结性的内容不多。