车联网威胁情报建模方法、装置及可读存储介质与流程

本发明涉及车联网安全技术领域，尤其涉及一种车联网威胁情报建模方法、装置及计算机可读存储介质。

背景技术：

网络安全是一个复杂的、多层次的问题，随着时间不断发展，复杂技术的持续使用也使得威胁环境继续以令人生畏的动态方式增长和进化。传统的网络安全方法侧重于内部理解和解决漏洞、防护弱点和弱配置，无法防止日益增长的安全威胁。针对日益复杂的网络安全环境，利用威胁情报进行针对性的预防是一个行之有效的安全防护措施。

威胁情报在安全分析中的优势在于其高度结构化的数据框架和具有丰富关联关系的数据内容。但这些特性也使得现有数据表达规范和通信传输协议在威胁情报数据表达的有效性与完整性、传输的准确性与安全性等方面存在问题，无法有效地进行威胁情报的表达和传输。其主要存在以下三个问题：数据格式不统一，无法相互读取；内容框架不兼容，无法相互理解；传输协议不通用，无法相互传输。

技术实现要素：

本发明的目的在于提供一种车联网威胁情报建模方法、装置及存储介质，以实现威胁情报的有效表达和传输。

为实现上述目的，本发明提供了一种车联网威胁情报建模方法，包括以下步骤：

(1)获取情报数据；

(2)依据所述情报数据的类型采取相应的解析方法进行预处理，并依据本体语义模型提取所述情报数据的属性；

(3)基于本体语义模型和所述属性对所述情报数据建模；

(4)利用owl本体描述语言对建模后的所述情报数据进行owl形式化描述，形成最终的威胁情报。

较佳地，所述情报数据的类型包括日志数据、网络流量数据、内部总线数据、传感器数据、web数据及视频图像数据之至少一者。

较佳地，步骤(2)具体为：针对所述日志数据采取日志格式解析，针对所述网络流量数据和内部总线数据采取协议解析，针对所述传感器数据采取格式解析与协议解析，针对所述web数据采取自然语言解析，针对所述视频图像数据采取图像处理算法解析。

较佳地，车联网包括有若干组件，每一所述组件具有若干属性；步骤(2)中的“依据本体语义模型提取所述情报数据的属性”是基于相似度的模糊匹配算法，合并符合第一阈值的所述属性并依据各所述属性的分散度提取出最终用于描述所述情报数据的属性。

较佳地，基于相似度的模糊匹配算法提取所述情报数据的属性具体为：

s21，对所述组件对应的若干所述属性进行同义词、近义词合并；

s22，依据分散度对合并后的所述属性进行排序；

s23，基于语义的短语模糊匹配，计算合并后的所述属性的词语相似度、概念相似度及义原相似度，并依据所述词语相似度、概念相似度及义原相似度对合并后的所述属性进一步合并。

较佳地，所述车联网威胁情报建模方法还利用lcs算法计算两建模后的所述情报数据之间的相似度，若两建模后的所述情报数据的相似度大于第二阈值，则将建模后的所述情报数据合并，并将所述分散度加和。

较佳地，在步骤(3)中，采用分级构建技术对所述情报数据进行建模；建模后的所述情报数据包括用于标注所述情报数据的主体对象的词表、用于标注所述情报数据所属类别的类别表、类别语义属性表及用于描述车联网组件本身物理属性的类别基本属性表。

较佳地，所述本体语义模型包括基础层、语法层、数据层、本体层、逻辑层、证明层及信任层，在步骤(4)中，分别对所述基础层、语法层、数据层、本体层、逻辑层、证明层及信任层进行描述。

为实现上述目的，本发明还提供了一种车联网威胁情报建模装置，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序，所述处理器执行所述计算机程序时，执行如上所述的车联网威胁情报建模方法。

为实现上述目的，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序可被处理器执行以完成如上所述的车联网威胁情报建模方法。

与现有技术相比，本发明是基于本体语义技术对来源广泛的车联网情报数据进行建模，将多源异构的情报数据依据统一的形式进行规范化描述，避免了由于情报数据的格式不规范、内容框架不统一及传输协议不一致而导致的威胁情报无法有效表达和传输的问题；另外，本发明还利用owl本体描述语言对建模后的情报数据进行统一的形式化描述，使得威胁情报能够被各种计算机所理解，便于在计算机系统中的传输与计算，同时也方便了威胁情报的搜索、共享与分析。

附图说明

图1为本发明车联网威胁情报建模方法一实施例的流程图。

图2为本发明利用模糊匹配算法提取属性一实施例的流程图。

图3为本发明建模后的情报数据一实施例的示意图。

图4为本发明本体语义模型的体系结构示意图。

图5为本发明车联网威胁情报建模装置一实施例的结构框图。

具体实施方式

为了详细说明本发明的技术内容、构造特征，以下结合具体实施方式并配合附图作进一步说明。

如图1所示，本发明的车联网威胁情报建模方法包括以下步骤：

(1)获取情报数据，即是对构建威胁情报需要的情报数据进行收集。

(2)依据情报数据的类型采取相应的解析方法进行预处理，并依据本体语义模型提取情报数据的属性。由于形成威胁情报的情报数据来源广泛、多源异构，通过对情报数据进行分类并根据情报数据的类型的不同分别采用相应的方法对情报数据进行解析，以便于后续依据本体语义模型从情报数据中提取出构建本体语义模型所需要的属性信息。

(3)基于本体语义模型和属性对情报数据建模，将多源异构数据依据统一的形式进行规范化描述又不失情报数据所要表达的信息，实现了对情报数据规范化、结构化表达。而且，利用本体语义模型对情报数据进行建模，采用本体语言对情报数据添加语义标注和逻辑关系，使得计算机能够理解情报数据之间的拓扑关系，同时，通过向情报数据添加语义标注，提高了交互能力与自动化处理的程度。

(4)利用owl(webontologylanguage)本体描述语言对建模后的情报数据进行owl形式化描述，形成最终的威胁情报。

具体的，情报数据的类型通常包括有车联网设备产生的日志数据、车联网中的网络流量数据、车联网的内部总线数据、传感器数据、互联网中与车联网安全相关的web数据、车联网中路网监控设备等产生的视频图像数据以及其他与威胁情报相关的非结构化数据中的一种或者多种。具体的解析方法依据情报数据的类型而定，在一实施例中，针对日志数据采取日志格式解析，针对网络流量数据和内部总线数据采取协议解析，针对传感器数据采取格式解析与协议解析，针对web数据采取自然语言解析，针对视频图像数据采取图像处理算法解析，对于其他非结构化数据依据数据特点采取针对性的解析方法。

具体的，车联网包括有若干组件，每一组件具有若干属性；步骤(2)中的“依据本体语义模型提取情报数据的属性”是基于相似度的模糊匹配算法，合并符合第一阈值的属性并依据各属性的分散度提取出最终用于描述情报数据的属性。通过提取出关键属性用以描述该组件的基本特征，表征该组件的状态、行为、影响等，使得组件属性的描述更加简约，同时可以减少存储空间的占用。

在一实施例中，如图2所示，基于相似度的模糊匹配算法提取情报数据的属性具体包括以下步骤：

s21，对组件对应的若干属性进行同义词、近义词合并，得到合并后的属性。

s22，依据分散度对合并后的属性进行排序；由于分散度相近，说明该些属性相似，可以合并的可能性较高，依据分散度对合并后的属性进行排序，便于查找到相似度较近的属性(即方便了步骤s23中的相似度比较)，进而方便了属性的合并。

s23，基于语义的短语模糊匹配，计算合并后的属性的词语相似度、概念相似度及义原相似度，并依据词语相似度、概念相似度及义原相似度对合并后的属性进一步合并。具体可以设置相似度阈值，若两属性的相似度符合该阈值时，将两属性进行合并，进而进一步实现属性的约减。

进一步地，在步骤s23之后，若得到的属性尚未覆盖一条威胁情报所需要的描述信息时，依据威胁情报的描述标准额外增加描述词汇(即是新的属性)，并对该增加的词汇进行切分概念和自动生成语义，依照“重心后移”的特点，对最后位置的词汇计算相似度，若两个词汇的相似度大于预设的阈值，则对该两个词汇进行合并，同时将其分散度加和，进而实现对额外增加的描述词汇的约减。

更进一步地，在一实施例中，还利用lcs(longestcommonsubsequence，最长公共子序列)算法求两建模后的情报数据之间的相似度，若两建模后的情报数据的相似度大于第二阈值，则将建模后的情报数据合并，同时将分散度加和。借此，对相似的两则情报数据进行合并，从而去除冗余的情报数据。

通常，威胁情报的表现形式为类别-词条-属性；其中，类别对该威胁情报所属的类别进行标注，其规定了该类车联网组件基本的、共同的特征，词条标注了该威胁情报的主体对象，其描述特定的车联网组件的特征；例如，搜索有关传感器的威胁情报时，传感器为类别，而雷达传感器、摄像头传感器等为词条。属性则描述了威胁情报的具体内容，其包括基本属性和语义属性，基本属性包括车联网组件本身物理属性，语义属性包括主体对象本身的关联关系、行为、事件等，以用于推理和分析。

而在步骤(3)中，是采用分级构建技术对情报数据进行建模；如图3所示，建模后的情报数据包括用于标注情报数据的主体对象的词表、用于标注情报数据所属类别的类别表、类别语义属性表及用于描述车联网组件本身物理属性的类别基本属性表。由于车联网属于多学科交叉领域，车联网的一个基本组件通常应用了诸多技术，因此同一个词条可能归属于不同的类别(例如无线车钥匙既可以在用途上归属于传感器类别，又可以在通信方式上归属于无线通信类别)，而一个类别也可能包含有多个属性。若分别将类别-词条-属性分别对应表述，将会造成大量的信息冗余，带来不必要的存储开销。本发明通过采用分级构建技术，分别建造词表、类别表、类别语义属性表、类别基本属性表，减少了信息冗余，节省存储开销，而且，四个表之间的信息相互联系又各自独立，便于维护和扩展。

请参阅图4，具体的，本体语义模型包括基础层、语法层、数据层、本体层、逻辑层、证明层及信任层，步骤(4)具体包括：

描述基础层，基础层包括unicode编码和uri资源地址；unicode可以表示65536个字符，每一字符对应一唯一的unicode编码值，借由unicode编码使得所有平台均可有效识别任何语言表述的情报数据帧，进而使得情报数据的处理不依赖于任何特定的平台；而uri(uniformresourceidentifier)资源地址的设计，使得网络上的任何资源(包括视频、程序、图片、语音等)都有一个可以被编码的地址，从而实现对资源的定位，确保了情报资源可以在互联网中进行定位。

描述语法层，通过xml将建模后的情报数据的结构、内容与数据的表现形式分离，并对情报数据的数据进行结构化描述。通过在xml中自由地定义标记名称及元素的层次结构，从而反映出数据之间的关联。

描述数据层，对情报数据的内容进行描述，其用主语、谓词、客体所构成的三元组对元数据进行一种数据的描述，灵活性高。

描述本体层，定义描述某一领域知识的属于和相互关系，将数据结构和内容进行分离。

描述逻辑层、证明层及信任层，基于基础层、语法层、数据层、本体层局域通过逻辑推理语言对情报数据进行逻辑推理，并进行认证与审核，以保证情报数据传输过程中的完整性与安全。

请参阅图5，本发明还公开一种车联网威胁情报建模装置100，其包括处理器110、存储器120以及存储在存储器120中且被配置为由处理器110执行的计算机程序130，处理器110执行计算机程序130时，执行上述的车联网威胁情报建模方法。

与现有技术相比，本发明是基于本体语义技术对来源广泛的车联网情报数据进行建模，将多源异构的情报数据依据统一的形式进行规范化描述，避免了由于情报数据的格式不规范、内容框架不统一及传输协议不一致而导致的威胁情报无法有效表达和传输的问题；另外，本发明还利用owl本体描述语言对建模后的情报数据进行统一的形式化描述，使得威胁情报能够被各种计算机所理解，便于在计算机系统中的传输与计算，同时也方便了威胁情报的搜索、共享与分析。

以上结合最佳实施例对本发明进行了描述，但本发明并不局限于以上揭示的实施例，而应当涵盖各种根据本发明的本质进行的修改、等效组合。