[发明专利]一种面向网络安全的知识库构建方法

说明书

本发明公开了一种面向网络安全的知识库构建方法，包括：步骤1)构建一个网络安全领域本体，形成网络安全知识库的基础和基本骨架；步骤2)基于已经构建好的本体，整合已有的网络安全知识库，将异构的结构化网络安全知识融合到统一的知识库中；步骤3)训练网络安全命名实体识别器，从网络安全相关的短文本中识别出网络安全相关的实体，将从短文本中抽取的知识更新到网络安全知识库，使得网络安全知识库不断更新和迭代。

技术领域

本发明属于网络安全领域，具体涉及一种面向网络安全的知识库构建方法。

背景技术

目前，已经存在一些针对网络安全领域的某一些方面的知识库。例如，CVE是一个漏洞数据库，其中所有漏洞都被授予统一的编号，编号由MITR定义为统一格式。Snort建立了一个丰富的规则库，用于检测入侵行为。一些国内知名的反病毒供应商也建立了关于病毒的巨大的信息库。此外，互联网已经成为知识和信息的主要来源，互联网上有许多网络安全相关的内容，如安全博客，黑客论坛，安全公告等都是网络安全信息的密集区域。充分利用来自各种知识库和互联网的网络安全相关信息，然后将所有这些安全相关的知识整合在一起，将有助于入侵检测和态势感知。

网络安全知识库的构建过程主要涉及领域本体构建和知识构建两部分，在本体构建方面，网络安全领域已经存在了很多已有的本体，马里兰大学的Undercoffer等人完成了一项重大工作，他们针对攻击过程构建出了一个本体，抽象出了一些攻击相关的实体类。此外M Iannacone在构建安全知识图谱时提出了一个网络安全本体。本体中包含15个实体类型以及115个属性。这些已有的本体都可以成为我们构建网络安全领域本体的基础。

知识构建工作根据知识源的不同分为两部分。一部分是整合现有的知识库，这些主要是结构化数据。我们可以使用一些自动化工具来完成这项工作。另一部分是从非结构化文本中提取网络安全相关实体。网络是获取网络安全新知识的重要来源，也是网络安全知识库动态更新和增量迭代的基础。互联网上有许多网络安全相关信息(包括漏洞描述，安全公告，博客等)。但是这些都是非结构化数据，只能由网络安全领域的专家理解。对于自动化系统，这些非结构化数据是不可用的。如何提取网络安全相关实体是我们需要研究的。

现如今，信息抽取技术已经引起了越来越多的学者的关注。国内外有很多研究成果。目前，知识提取有两种主要的方法。第一个是基于知识工程。这种方法在很大程度上依赖于提取规则。但它可以使系统处理特定领域的信息提取问题。早期信息提取系统通常基于提取规则。缺点是需要领域相关的专业人士和语言学家参与系统的开发。由于其提取精度高，在此阶段依然存在许多基于知识工程的提取系统。第二种方法基于机器学习。基本步骤是通过大量训练数据来训练信息抽取模型，然后可以使用抽取器提取相关信息。该方法不需要事先由专业人员定义的规则，但需要足够数量的训练数据才能获得更好的效果。

知识库的构建还涉及到已有结构化知识的融合，已有的网络安全结构化的知识源包括漏洞库、攻击规则库以及进程知识库等，现有的比较丰富的漏洞库有中国信息安全漏洞数据库和美国国家脆弱性数据库。这些数据库收集了各种漏洞的相关信息。漏洞信息包括漏洞名称，漏洞描述，漏洞优先级，损害方法等相应的特征和其他信息。目前，中国和美国建立的漏洞数据库都遵循常用的命名标准，这使得来自完全不同数据库的漏洞可以使用相同的语言。该标准有助于漏洞信息的共享。攻击规则库中收集了现有的攻击的相关信息。包括攻击名称，攻击类型，协议，攻击特征，攻击描述，严重性等属性。Snort攻击规则库是一个比较完善的攻击规则库。每个规则作为一行存储在文件中。在计算机上，有一些进程在后台运行，有些进程会占用太多的系统资源，有的使系统运行缓慢，还有一些进程可能是间谍软件或木马程序。红黑联盟和中国百科全书汇总了有关进程的知识并建立了进程知识库。这些已有的知识库是我们构建统一的网络安全知识库的基础。

发明内容

本发明所要解决的技术问题是提供一种面向网络安全的知识库构建方法，用于克服现有技术存在的问题。

本发明解决上述技术问题所采取的技术方案如下：