基于本体的网络安全资源库的构建技术研究.pdf

摘要

近年来，互联网信息技术迅速普及，网络规模急剧上升，网络环境日益复杂，

随之而来的网络安全问题不但对个人用户产生了威胁，也给国家政治、经济、民生

等各方面的正常开展带来了巨大的安全隐患。网络安全资源库能整合各类异构网

络安全知识，收集并提取安全博客等非结构化网络安全知识，为应急响应、态势感

知等具体应用提供知识支撑。因此，本文分析、整合了海量的网络安全数据，构建

了网络安全资源库的知识体系，设计并实现了网络安全资源库系统。

首先，构建网络安全领域本体以表示网络安全资源库的知识体系。针对现有网

络安全领域本体仅聚焦分析网络安全特定领域，难以整合多种类型的网络安全数

据源等问题，本文研究分析了网络安全领域的数据特点，结合已有网络安全资源库

的本体和网络安全领域认可度高的行业规范，构建了一套能够整合多种数据源的

多维度网络领域本体(Multi-DimensionCybersecurityDomainOntology，MDCDO)，

为网络安全资源库提供了语义基础。

然后，结合已构建的网络安全领域本体提出了网络安全非结构化数据的抽取

算法，包括实体抽取和关系构建。针对网络安全领域知识结构特点不同，将非结构

化数据的实体抽取分为命名实体识别和攻击模式抽取两个模块。首先，针对攻击组

织、恶意软件等名词性实体，本文提出一种特征模板(FeatureTemplate，FT)、注意

力机制(Attention，Att)、BiLSTM模型和CRF模型相结合的网络安全命名实体识别

模型，简称FT-BiLSTM-Att-CRF模型。实验结果表明，在相同数据集下，相较于其

他方法该模型提高了实体识别的精确率和F1值，其中F1值达到85.86%。其次，针

对攻击模式这类非名词性实体，本文提出一种基于依存语法分析(Dependency

Parser，DP)、潜在语义索引(LatentSemanticIndexing,LSI)和BM25的攻击模式抽取

方法，简称DP-LSI-BM25方法。实验结果表明，本文提出的非结构化数据中抽取攻

击模式的方法，针对攻击活动描述类报告，抽取效率较高，其F1值达到80.12%。将

抽取出的实体结合网络安全领域本体中的关系集合实现关系构建，得到网状的知

识结构，从而完成网络安全领域非结构化数据的知识抽取。

最后，完成网络安全资源库原型系统的构建。结合采集的NVD、ATTCK等资

源库中的结构化数据以及安全博客等非结构化数据，设计并完成了网络安全资源

库的知识构建系统与知识展示系统，实现了对网络安全数据的抽取、融合、展示等

功能。

关键字：网络安全资源库，领域本体，命名实体识别，依存句法分析

ABSTRACT

Inrecentyears,withtherapidpopularizationofInternetinformationtechnology,the

scaleofthenetworkhasexpandeddramatically,andthenetworkenvironmenthasalso

becomecomplicated.Theensuingissueofcybersecuritynotonlyseriouslyaffects

individualusers,butalsobringshugesecurityriskstothenormaldevelopmentofthe

countryspolitics,economy,andpeopleslivelihood.Thecybersecurityresourcelibrary

cannotonlyintegratevarioustypesofheterogeneouscybersecurityknowledgebutalso

collectandextractunstructuredcybersecurityknowledgesuchassecurityblogsto

provideknowledgesupportforspecificapplicationssuchasemergencyresponseand