(? 0? resemble ? N)]
[0030] 说明:rememble具有对称性,N和0之间存在resemble关系,则0和N之间也存在 resemble属性关系。
[0031] [resemble : ( ? a causedby ? c), ( ? b causedby ? c), notEqual ( ? a, ? b) - > ( ? a resemble ? b)]
[0032] 说明:若a由c导致,b由c导致,a和b不等价,则a和b是相似的。
[0033] 确定了泛化的推理规则之后,需要考虑对象属性的具体语义,将泛化规 则具体化,如上面的推理规则inverseOf和inverseOfl,symmetricPropertyl和 symmetricProperty2,inverseOfl 是 inverseOf的具体化,symmetricProperty2 是对 symmetricPropertyl的具体化,通过不断具体化推理规则可以逐步完善推理规则库。
[0034] 在基于Jena实现信息安全事件领域本体推理时,主要是采用Factory方法中的 GenericRuleReasonerFactory来获得通用规则推理机,然后引入规则库文件对本体库进行 推理。信息安全事件本体推理机制如图3所示。本系统采用的推理规则是自己定义的,因 此必须根据自定义规则创建特定的推理机。基于Jena的本体推理实现步骤如下:
[0035] (1)使用Jena从OWL文件中读取本体库中的数据,创建OntModel对象;
[0036] (2)载入本体推理规则,解析并创建Rule对象;
[0037] (3)获得Jena内置的OWL推理机;
[0038] (4)通过推理机将某个领域规则绑定;
[0039] (5)将经过OWL推理机绑定的领域规则应用于信息检索。
[0040] 例如,当检索一个信息安全事件信息时,通过推理可以返回与其类似的信息安全 事件。这里,相似的信息安全事件是指由同一种安全问题引发的事件。将前面构造的领域规 则resemble装载入Jena推理机中,由Jena推理引擎完成推理并将推理结果返回给用户。 此外,还可以基于Jena进行信息安全事件本体知识的查询,例如,输入信息安全问题,在查 询结果中可以看到由该安全问题导致的所有信息安全安全事件以及对应的问题来源,单击 其中的某一个事件,会打开事件的详细信息界面,单击其中的问题来源名称,还可以查看问 题来源的详细信息。
[0041] 4.基于信息安全事件本体的语义检索
[0042] 为了满足用户对问题来源事件信息的语义检索需求,在接收到用户输入时,对用 户查询进行分析并进行相应的处理,然后进行本体匹配,之后基于信息安全事件本体中的 多种语义关系和语义相似度计算模型进行语义查询扩展,得到新的查询词集合。为了使更 多相关的查询结果排在前面,将语义相似度计算模型和Lucence本身的排序模型结合起 来,采用新的排序方法对查询结果排序并进行输出。本系统还基于本体扩展了分词词库,将 本体库中存储的概念都添加到了分词词库中,随着本体库的不断扩展,能够保证信息安全 事件领域词汇的分词结果更加准确。
[0043] 本系统的基于信息安全事件本体的查询扩展方法,不仅考虑了本体中存在的上下 位关系、同义关系,而且考虑了本体中存在的cause、is_before等特定语义关系,可以保证 扩展出的概念更加全面。通过引入概念相似度计算模型,设定概念相似度的阈值,只取阈值 范围内的概念作为扩展概念,来避免最后的查询扩展结果发生同质化。无论是单关键词模 式、多关键词组合模式,还是比较复杂的自然语言查询模式,都将其转换为基于关键词的查 询模式。实例的属性结构与类的属性结构是相同的。领域本体的类概念之间存在上下位关 系,可以采用树的层次结构形式进行表示,节点表示领域概念,其上级节点为其父类,叶子 节点为其实例。将关键词集合中的每个关键词分别与领域本体中的类、实例进行匹配,匹配 的情况有两种,第一种是关键词与类概念的匹配,第二种是关键词与实例概念的匹配。根据 匹配对象的不同需采用不同的处理方法。当查询关键词和领域本体中的类概念匹配上时, 扩展本体中与查询关键词匹配的类概念有上下位关系、同义关系及特定语义关系的概念。 若查询内容和领域本体中的实例匹配上,则首先获取实例的每个属性,将实例与其每个属 性分别作为一组新的查询关键词,之后扩展匹配实例所属的类概念及该类概念的同义词、 上下位概念以及有特定语义关系的概念。若都不匹配,则查询内容与本体概念的匹配结束。
[0044] 对于初步扩展出的查询词,除实例和属性的组合关键词外,应用语义相似度计算 模型与原始查询词间的相似度进行计算,将相似度较小的查询词舍弃,只保留相似度达到 给定阈值的扩展词,若匹配的是本体中的类概念,则将保留的扩展词作为最后的查询输入; 若匹配的是本体中的实例,则将保留的扩展词以及实例和属性的组合关键词作为最后的查 询输入。实例和属性的组合关键词与原始查询词间的相似度值为1。
[0045] 为了避免造成主题偏移,本系统结合语义相似度计算模型,对Lucene排序机制进 行了改进,得到的排序得分计算公式如式(1):
[0049] 其中,q是查询词,eq表示扩展查询词,score(q,eq,d)表示使用扩展查询词检 索时返回文档的排序得分,sim(eq,q)表示扩展查询词eq和原始查询词q的相似度值。 tf(q in d)表示q在文档中出现的频率,idf(q)是反转文档频率,含义是文档中出现q的 频率越高显得文档越不重要,η表示检索文档的总数,n (q)表示包含查询词q的文档数, IengthNorm(q)的计算方法为 I. 0/Math. sqrt(numTerms),numTerms 参数为该 Field 内词 条的总数目。对于原始查询词,在计算排序得分时相似度值取1。在查询中,不同的查询可 能会检索出相同文档,但它们的得分不同,那么取二者的得分较高者,从而去掉重复结果, 最后按文档得分从高到低的顺序将所对应的检索结果返回给用户。
【主权项】
1. 基于本体的信息安全事件智能检索系统,其特征在于,该系统实现了如下功能: 基于本体的信息安全事件智能检索系统架构; 信息安全事件本体的扩展; 信息安全事件本体的管理; 信息安全事件本体查询与推理; 基于信息安全事件本体的语义检索。2. 根据权利要求1所述的系统,其特征在于,该系统由信息采集、信息安全事件本体构 建和扩展、语义标注、语义索引、查询处理、检索和排序几部分组成。3. 根据权利要求1所述的系统,其特征在于,基于OWL构建初始的信息安全事件领域本 体,采用基于Bootstrapping的概念抽取方法和基于扩展关联规则和关系抽取规则的混合 关系抽取方法,从信息安全事件领域文档中自动抽取出领域概念和概念间存在的关系,采 用OWL构造算子表示出来,并基于网页结构抽取信息安全事件实例添加到本体库中。4. 根据权利要求1所述的系统,其特征在于,将信息安全事件本体中的信息安全事件 知识显示出来,系统管理员可以向本体知识库中添加实例及其属性信息,修改实例的某个 或某些属性及与其他相关概念之间的语义关系,以及删除实例及其相关信息。5. 根据权利要求1所述的系统,其特征在于,用户可以选择输入信息安全事件或信息 安全问题关键字,系统将从信息安全事件本体中返回信息安全事件的名称、关键字和与其 相关的信息安全问题名称,用户可以查看信息安全事件的时间、地点、发生的单位、安全问 题来源、相关的安全问题、与其相似的事件等信息,还可以查看其详细信息以及与其相似的 事件的信息,单击安全问题来源名称,可以查看安全问题来源的简介、类别、危害、对应的安 全问题以及与其有关的事件等信息。能够基于Jena推理机进行信息安全事件知识的推理, 根据用户查询推理出关联信息。6. 根据权利要求1所述的系统,其特征在于,基于信息安全事件本体中的语义关系扩 展出与用户输入相关的概念或实例,采用基于本体的语义相似度计算方法进行相似度大小 的计算,只取阈值范围内的概念作为扩展查询词。然后采用改进的基于语义相似度计算模 型的排序方法,将检索结果按相关性大小返回给用户,实现语义检索。
【专利摘要】本发明设计并实现了信息安全事件智能检索系统是基于本体进行信息安全事件信息检索的系统,包含了来自于信息安全领域的知识。设计该系统的目标是为用户提供信息安全领域的知识积累,以及具有一定智能的语义检索功能,使用户可以获取符合需要的信息安全事件相关知识和信息。设计思想是:首先基于OWL建立初始的信息安全事件领域本体,然后采集信息安全事件领域相关信息,抽取信息安全事件领域概念和概念间存在的关系,实现信息安全事件领域本体的自动扩展。根据信息安全事件本体的语义关系设计推理规则,基于Jena来实现信息安全事件本体推理。最后基于信息安全事件本体和语义相似度计算进行查询扩展和排序,实现信息安全事件信息的语义检索。
【IPC分类】G06F17/30, G06F17/27, G06N5/02
【公开号】CN105550189
【申请号】CN201510358373
【发明人】杨月华, 平源, 马慧, 张志立
【申请人】许昌学院
【公开日】2016年5月4日
【申请日】2015年6月26日