本發明涉及威脅情報技術領域，公開了一種基于輕量級領域本體的安全設備威脅情報共享方法。包括以下過程：步驟1、采用輕量級本體作為設備間的信息溝通媒介，建立威脅情報通用領域本體；步驟2、情報生產者將威脅情報通用領域本體本地化，從網絡空間獲取原始威脅情報信息，將原始威脅情報信息轉化并映射為輕量級本體知識；步驟3、情報轉發者基于本體通信服務將輕量級本體知識轉發給情報使用者；步驟4、情報使用者將接收到的輕量級本體知識轉化并適配為本地專用策略描述并作用于網絡空間的運行。提高安全設備間威脅情報共享準確度，增強設備間威脅情報交互的擴展性能力、內容關聯能力、接口開放能力以及概念一致性能力，提升威脅情報共享效率。

技術領域

本發明涉及威脅情報技術領域，特別是一種基于輕量級領域本體的安全設備威脅情報共享方法。

背景技術

當前，網絡空間威脅正在持續增長，網絡攻擊、數據盜竊和金融詐騙事件不斷涌現，為網絡空間的安全運行帶來了極大威脅和隱患。在這一攻擊者與防御者的博弈中，情報作用的重要性是不容忽視的。一方面攻擊者需要掌握目標的全面信息情報才能精確、定向發動攻擊；而另一方面，由于攻擊具有高度不確定性，防御者更加依賴于情報的收集和處理以進行有效的部署、控制和響應。網絡空間中的情報是為了保護網絡空間資源免受威脅的侵害，主要應用于安全風險管理領域，指利用安全專家、專業團體的經驗、技能和針對性工作生成的關于安全和威脅的相關信息。一般包括信譽情報和攻擊情報兩類。威脅情報將情報理論知識與網絡空間安全技術結合，能夠有效指導和解決網絡空間防御實踐中新涌現的難點性問題。與傳統情報的生命周期階段類似，威脅情報為發揮在網絡空間防護中的積極作用，通常按照一個有序、連續和線性的過程運行。由于這種威脅情報體系的復雜性較大，對環節間的依賴性突出，為了最大限度的節約安全專家的人力和精力，整個威脅情報的處理過程必須盡可能以自動化的方式來進行，從而為安全設備的機器與機器之間交換可讀、可理解的規范化信息內容提出了迫切的要求。當前，盡管眾多安全廠商已經為設備與管理系統之間的信息交互設計了多種協議，但主要以格式要求嚴格、缺乏靈活性的專用、私有協議為主，無法完成威脅情報共建、共享、共用的預期目標。

目前安全設備威脅情報的交互存在以下問題：

(1)安全設備間威脅情報交互的可擴展性問題。當前協議的格式字段均在設計之初就嚴格限定，靈活性差，難以擴展，表達能力有限；

(2)安全設備間威脅情報交互的內容關聯問題。協議的內容均以記錄事實為主，基于元數據的信息與信息間孤立性強，缺乏語義和相互聯系，不能進行演繹、推理從而形成新的知識；

(3)安全設備間威脅情報交互的接口開放性問題。協議主要依托廠商自行開發的專用、封閉模塊實現，在多個廠商間進行信息的適配與轉接工作量巨大；

(4)安全設備間威脅情報交互的概念一致性問題。協議的關鍵要素定義不統一，隨意性較強，不同廠商的設備間難以對安全領域概念、術語和取值形成一致的約定和認知。

以上問題導致了在不同廠商的設備間進行威脅情報信息的互聯互通操作極為困難，自動化流程的推進舉步維艱。為了使安全設備間能夠對面臨風險、威脅狀況和安全態勢形成無歧義的、一致的、準確的認知，需要通過提煉網絡安全領域知識、構建領域本體、設計語義解析器和規則映射器，構建信息共享機制，打破設備間威脅情報信息交換的瓶頸，最大化發揮威脅情報的積極作用。

因此，安全風險管理領域亟需一種表達能力強、無歧義、高效的威脅情報共享方法，既可以促進威脅情報在設備間交互的規范化、有序化，提高兼容性，又能夠通過威脅情報中語義關系的確立加深設備對情報內容的深入理解，便于自動化響應策略的執行，實現安全設備間、安全設備與管理系統的無縫銜接以及功能自治，從整體上達到信息共享效率、協同能力和智能化水平顯著提升的有益效果。

發明內容

本發明所要解決的技術問題是：針對上述存在的問題，提供了一種基于輕量級領域本體的安全設備威脅情報共享方法。