AAAI2016论文 UCO: A Unified Cybersecurity Ontology
作者信息
作者同样是来自马里兰大学的。
严格说来,此文是Workshop论文,但是一篇非常经典的文章(极少数尝试构造通用安全本体的文章),引用非常多。
中心思想
设计UCO,集成来自不同网络安全系统的异构数据和知识模式,及最常用的网络安全标准,用于信息共享和交换,旨在支持信息集成鹅湖网络安全系统中的态势感知。
(没有考证究竟是哪篇文章或者是哪个项目首先把本体用于网络安全态势感知,国内的话,很可能是国防科大团队)
附加观点
观点1
观点:声称的UCO贡献,包含以下这些。其一,UCO本体提供了对网络安全领域的共同理解,并统一了最常用的网络安全标准;其二,与独立开发的现有网络安全本体相比,UCO已映射到一些现有的公开可用的网络安全本体,以促进本体共享,集成和重用,UCO是连接网络安全本体的主干;其三,UCO将概念映射到一般世界知识源;其四,我们描述了重要的用例,可以通过UCO本体将网络安全数据与现有的一般世界知识相统一来支持;其五,我们已经生成了一个网络安全标准目录,可在线获取。
考虑:第一个贡献没问题,使用了本体就是要对领域的一致理解;第二个贡献其实说的是UCO的构建方式,强调它是从“考虑重用”的本体设计原则出发的,所得到的本体又和现有的本体有连结、映射关系;第三个贡献,我理解为本体概念的语义一致性,通过概念映射的方式来避免歧义。这里最大的贡献应该是第二个贡献,我的后续工作也是对UCO这种模式的延伸,乃至于考虑自动化地实现。
第四和第五个贡献分别是用例说明和开源,文章对贡献的划分粒度还是很细的,没有绝对的标准。
观点2
观点:本体支持推理和从现有信息中推断信息,还支持捕获网络安全分析师的专业知识,这些专业知识可以使用本体类、术语、规则来表达。规则可以用于推断OWL推理器无法捕获的新信息。
考虑:看这个案例,图中有“推断攻击并向主机发出警报的规则”,规则使用UCO本体中的术语来关联组织内的信息和网络上可用的外部信息。这种规则给人的隐忧是,第一,怎么设计,是否为人工设计;第二,结果如何验证,尤其是类似“hasVulnerabilityTerm”这种真值判断,是原始的子串匹配。
观点3
观点:有关UCO的本体陈述,有包括类似于Undercoffer的名词解释内容,也有本体的统计数据内容。
考虑:这是描述构建本体的基本盘,我在描述构建本体的时候也是类似的方式,只不过还没有对术语详尽解释(毕设中是否需要还得考虑考虑,不好详尽解释,因为概念太多了)。
表格看得懂最关键,美观都是次要的,有些行数特别多的三线表,特别容易看差了,那还不如把线都划上。
观点4
观点:本体能力说明,我们来SPARQL查询+查询结果来说明。
考虑:这种说明方式也是基本盘,能否回答SPARQL的语义问题就表示本体有无相关能力,这是和本体工程的理论向对应了。只不过这里的SPARQL都是对应于具体安全问题的。
观点5
观点:对未来研究的考虑,包括时间表征与推理、建模不确定性和置信度、从非结构化数据中提取网络安全信息。
考虑:2016年的展望,这已经过了快10年,一些工作是已经做了。在这个领域,没多少人在延伸,进度滞缓。
小结
好文章主要看内容,不当势利眼,只盯着文章的发表档次。这个文章是本体用于态势感知的代表作(开山之作)。
说点闲话,又过生日了,重返学校已四年,对所谓“科研”的有了初步了解,算是拿出比较重的代价来了解的。体验之后,回归好生活。对人,友善,多关注自己,对事,多关注本质内容。
论文凑够,毕设搞好,多练习开发。