劉靖旭，郭建星，宋留勇

（信息工程大學(xué)，鄭州 450001）

0 引言

網(wǎng)絡(luò)空間態(tài)勢感知通過對網(wǎng)絡(luò)空間態(tài)勢要素的獲取、理解、表達(dá)以實(shí)現(xiàn)對態(tài)勢的評估和預(yù)測。本體（Ontology）提供了一種對信息和知識進(jìn)行規(guī)范化描述和建模的方法，利用本體可以準(zhǔn)確地描述態(tài)勢感知領(lǐng)域的態(tài)勢要素及其相互關(guān)系，便于實(shí)現(xiàn)態(tài)勢信息的共享［1］，為態(tài)勢感知提供必要的支撐。

面向態(tài)勢感知的態(tài)勢本體模型研究主要有態(tài)勢本體模型的構(gòu)建、態(tài)勢感知領(lǐng)域中不確定知識的描述等。文獻(xiàn)［2］提出了基于Ontology 的態(tài)勢估計(jì)研究方法，討論了用于促進(jìn)異構(gòu)數(shù)據(jù)和信息源進(jìn)行信息融合以支持態(tài)勢估計(jì)融合處理的本體角色問題以及相關(guān)構(gòu)建方法，給出了面向態(tài)勢估計(jì)系統(tǒng)的本體片斷。文獻(xiàn)［3］提出用概率本體描述態(tài)勢估計(jì)領(lǐng)域中存在的大量不確定知識。

網(wǎng)絡(luò)空間態(tài)勢本體模型的相關(guān)研究主要有網(wǎng)絡(luò)安全態(tài)勢要素分析、本體模型的構(gòu)建等。文獻(xiàn)［4］構(gòu)建了包含網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全事件等關(guān)鍵類及其關(guān)系的網(wǎng)絡(luò)安全態(tài)勢要素知識領(lǐng)域本體。文獻(xiàn)［5］通過對網(wǎng)絡(luò)安全態(tài)勢相關(guān)概念語義關(guān)系的分析構(gòu)建出網(wǎng)絡(luò)安全態(tài)勢的指標(biāo)體系，構(gòu)建包含環(huán)境安全、硬件安全、軟件安全和數(shù)據(jù)安全等4 個(gè)子領(lǐng)域的網(wǎng)態(tài)領(lǐng)域本體，并將它們在事件、行為層面進(jìn)行了細(xì)化的描述。文獻(xiàn)［6］將Cyber 空間作戰(zhàn)涉及到的敵我雙方作戰(zhàn)實(shí)體和不同類型交互行為抽象為網(wǎng)絡(luò)模型的節(jié)點(diǎn)和邊，分別建立了基于本體的實(shí)體描述模型和基于OO-LAMDA 語言的行為描述模型。

當(dāng)前，網(wǎng)絡(luò)空間態(tài)勢本體模型的研究主要是面向網(wǎng)絡(luò)安全的，其用途主要是基于網(wǎng)絡(luò)安全數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)安全態(tài)勢監(jiān)控，其描述范圍主要包括網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊等方面，難以滿足陸、海、空、天、電、網(wǎng)等多維戰(zhàn)場空間一體化態(tài)勢感知的需要。本文認(rèn)為網(wǎng)絡(luò)空間是涵蓋物理網(wǎng)絡(luò)、信息網(wǎng)絡(luò)和基于網(wǎng)絡(luò)媒體所形成的社會網(wǎng)絡(luò)等的多層空間，依據(jù)態(tài)勢感知理論和本體理論對網(wǎng)絡(luò)空間態(tài)勢要素進(jìn)行分析，并對網(wǎng)絡(luò)空間態(tài)勢領(lǐng)域的實(shí)體、環(huán)境、關(guān)系、事件等子領(lǐng)域進(jìn)行了本體建模。最后，結(jié)合實(shí)際的場景檢驗(yàn)了模型的有效性。

1 面向態(tài)勢感知的態(tài)勢本體模型

依據(jù)態(tài)勢感知理論對戰(zhàn)場態(tài)勢要素的構(gòu)成及其關(guān)系進(jìn)行梳理和描述，為網(wǎng)絡(luò)空間領(lǐng)域態(tài)勢要素的分析及本體建模提供依據(jù)。

1.1 態(tài)勢要素分析

對態(tài)勢感知描述的典型代表有基于信息融合視角的JDL 模型，基于人類認(rèn)知視角的Endsley 模型等［7］。在JDL 模型中給出了包括信號/特征估計(jì)、實(shí)體/目標(biāo)估計(jì)、態(tài)勢估計(jì)、威脅/影響估計(jì)等的戰(zhàn)場態(tài)勢4 級數(shù)據(jù)融合模型，其中態(tài)勢估計(jì)指的是在目標(biāo)估計(jì)的基礎(chǔ)上對戰(zhàn)場環(huán)境中的實(shí)體/事件之間的關(guān)系進(jìn)行分析、估計(jì)和描述。Endsley 態(tài)勢感知模型將態(tài)勢感知?jiǎng)澐譃閼B(tài)勢察覺、態(tài)勢理解、態(tài)勢預(yù)測等3 個(gè)階段，其核心是態(tài)勢要素的獲取、綜合、闡釋和表達(dá)。從態(tài)勢感知模型可以看出，態(tài)勢感知的要素不僅包含戰(zhàn)場態(tài)勢要素及其屬性，更為重要的是戰(zhàn)場態(tài)勢要素之間的關(guān)系。

戰(zhàn)場態(tài)勢主要由5 類要素構(gòu)成［8］：兵力部署與作戰(zhàn)能力類、重要?jiǎng)討B(tài)目標(biāo)類、戰(zhàn)場環(huán)境類、社會/政治/經(jīng)濟(jì)環(huán)境類、對抗措施類等，其中對抗要素是從其他4 類要素中提取出來的。文獻(xiàn)［7］將態(tài)勢與威脅估計(jì)的信息資源分為事實(shí)信息和過程知識兩大類，包括關(guān)于實(shí)體/事件、態(tài)勢和關(guān)系、意圖和行動計(jì)劃等的信息。過程知識包括關(guān)于關(guān)聯(lián)和估計(jì)的過程知識，并指出態(tài)勢體現(xiàn)在實(shí)體/事件之間或它們與環(huán)境之間的關(guān)系上，要把握和描述態(tài)勢與威脅必需從關(guān)系入手。綜上所述，態(tài)勢要素包含戰(zhàn)場上的作戰(zhàn)單元、作戰(zhàn)目標(biāo)（敵方作戰(zhàn)單元）、戰(zhàn)場環(huán)境等實(shí)體及其屬性、狀態(tài)、活動和相互關(guān)系等。

作戰(zhàn)實(shí)體包括戰(zhàn)場上的各類作戰(zhàn)單元，如飛機(jī)、坦克、艦船等。作戰(zhàn)單元間的交互關(guān)系可以細(xì)分為作戰(zhàn)過程中的信息流關(guān)系和作戰(zhàn)任務(wù)中的功能關(guān)系。戰(zhàn)場環(huán)境主要包括自然環(huán)境要素、人文環(huán)境要素和軍事設(shè)施要素等，如可視障礙（煙霧、山川遮擋）、物理障礙（路障、雷區(qū)、戰(zhàn)壕等）。戰(zhàn)場環(huán)境態(tài)勢感知的各類實(shí)體及其交互關(guān)系具體如表1 所示，由于敵方作戰(zhàn)目標(biāo)間的關(guān)系以及它們與其他要素的關(guān)系同作戰(zhàn)單元，表中不再列出。

表1 戰(zhàn)場態(tài)勢感知要素及其交互關(guān)系

1.2 態(tài)勢核心本體

通過把現(xiàn)實(shí)世界中的某個(gè)領(lǐng)域抽象成一組概念（如實(shí)體、屬性、行為等）及概念間的關(guān)系，構(gòu)造出該領(lǐng)域的本體。本體的組成包括類或類型（Classes or Types）、對象或個(gè)體（Objects or Individuals）、特性（Properties or Attributes）、屬性值（Attribute Values）、關(guān)系（Relations）、斷言或/ 和公理（Assertions or/and Axioms）。

當(dāng)前，對態(tài)勢本體的建模主要包括態(tài)勢感知涉及的態(tài)勢、態(tài)勢對象（實(shí)體）、屬性、事件、行為、意圖、時(shí)間等相關(guān)概念以及概念間關(guān)系等的描述［9-10］?；赨ML 描述的態(tài)勢核心本體模型如下頁圖1 所示，其中類表示為方框，關(guān)聯(lián)表示為箭頭，菱形箭頭表示聚合關(guān)系，三角箭頭表示泛化關(guān)系。態(tài)勢類將態(tài)勢定義為態(tài)勢對象、關(guān)系和意圖的聚合，態(tài)勢對象類是態(tài)勢中的實(shí)體，它們有自身的特征且參與到關(guān)系中，物理對象是實(shí)體中的一類，具有尺寸、位置、速度等特性；當(dāng)實(shí)體的性質(zhì)或狀態(tài)發(fā)生改變時(shí)就產(chǎn)生了事件。由于態(tài)勢感知依賴于找到實(shí)體與實(shí)體之間的關(guān)系，關(guān)系以及實(shí)體在關(guān)系中的角色是非常重要的概念。

2 網(wǎng)絡(luò)空間態(tài)勢本體模型的構(gòu)建

2.1 網(wǎng)絡(luò)空間實(shí)體本體

圖1 態(tài)勢核心本體模型

網(wǎng)絡(luò)空間態(tài)勢感知對象不僅包括物理空間中實(shí)體的狀態(tài)、屬性、行為等信息，還包括虛擬網(wǎng)絡(luò)空間中的實(shí)體及其屬性等［11-12］?；谖锢韺?shí)體的多種功能屬性“虛擬”出不同類型的實(shí)體，有助于單獨(dú)地分析與評估某個(gè)功能網(wǎng)絡(luò)，本文采用物理實(shí)體和虛擬實(shí)體相對分離的描述方式。網(wǎng)絡(luò)空間實(shí)體由人、機(jī)、環(huán)境和虛擬實(shí)體構(gòu)成，具體如圖2 所示。機(jī)指主機(jī)、工作站等網(wǎng)絡(luò)終端，虛擬實(shí)體指依托機(jī)而存在的各類程序和進(jìn)程，如系統(tǒng)進(jìn)程、服務(wù)進(jìn)程、惡意進(jìn)程（病毒、木馬）。

圖2 網(wǎng)絡(luò)空間實(shí)體的類別

網(wǎng)絡(luò)空間中的人具有物理屬性和社會屬性，主要包含其位置屬性、身份屬性等。人在組織中承擔(dān)一定的角色，遵循與角色相對應(yīng)的行為準(zhǔn)則。

網(wǎng)絡(luò)空間中的機(jī)作為地理空間中的物理實(shí)體，對應(yīng)著地理空間的點(diǎn)（Point），具有位置屬性。機(jī)器自身又具有一些用參數(shù)描述的功能屬性，如操作系統(tǒng)類型、IP 地址、網(wǎng)絡(luò)協(xié)議、端口、漏洞、工作狀態(tài)等。

對照現(xiàn)實(shí)空間中的作戰(zhàn)單元，網(wǎng)絡(luò)空間中的虛擬實(shí)體類似于作戰(zhàn)單元所攜帶的作戰(zhàn)裝備（Armament），對虛擬實(shí)體的描述主要從其類別和功能屬性的角度來定義。虛擬實(shí)體的類別包括各類攻防程序和進(jìn)程，如防病毒系統(tǒng)、入侵檢測系統(tǒng)等防護(hù)裝備，病毒、木馬等攻擊裝備。它具有一些功能屬性（Attribute）如攻擊防御方式、攻擊防御能力以及工作狀態(tài)等。

2.2 網(wǎng)絡(luò)空間環(huán)境本體

網(wǎng)絡(luò)空間的活動主要以數(shù)據(jù)流、信息流的形式存在，支撐信息流動的通信鏈路是該活動的必要支撐，而通信鏈路又存在于現(xiàn)實(shí)的地理空間，因此，網(wǎng)絡(luò)空間環(huán)境由地理環(huán)境、物理通信鏈路、邏輯通信鏈路等3 個(gè)層次構(gòu)成。

物理通信鏈路作為現(xiàn)實(shí)空間中的物理實(shí)體，它們具有地理屬性。Grant T 嘗試統(tǒng)一包括陸?？仗煲约熬W(wǎng)絡(luò)空間地理相關(guān)的描述和表達(dá)，涉及社會組織層、信息層、認(rèn)知層、物理層和地理層等5 個(gè)層次的概念［13］，為網(wǎng)絡(luò)空間的地理描述提供指導(dǎo)。物理通信鏈路對應(yīng)著地理空間的點(diǎn)（Point）和路（Path），物理節(jié)點(diǎn)具有位置（Location）屬性。物理通信鏈路類似于現(xiàn)實(shí)空間中的交通網(wǎng)絡(luò)，借鑒交通網(wǎng)絡(luò)的本體描述［14］，主要由道路和樞紐組成。對于網(wǎng)絡(luò)空間態(tài)勢感知而言，通信鏈路中各實(shí)體的通信能力和通信狀態(tài)是比較重要的要素，具體分類和屬性描述如圖3 所示。

圖3 通信鏈路相關(guān)概念分類

考慮到邏輯通信鏈路是物理通信鏈路的抽象表達(dá)，與物理通信鏈路的區(qū)別主要在于它不關(guān)注實(shí)體的空間屬性，只關(guān)注拓?fù)潢P(guān)系，因此，它的核心構(gòu)成是節(jié)點(diǎn)和連接關(guān)系，其描述繼承物理鏈路中道路和樞紐的描述。

2.3 關(guān)系本體

除表1 所列出的態(tài)勢感知所涉及到的實(shí)體間的交互關(guān)系，網(wǎng)絡(luò)空間實(shí)體間的關(guān)系還包含時(shí)空關(guān)系、虛實(shí)關(guān)系、組織關(guān)系等關(guān)系類型，表2 列出了部分關(guān)系。空間關(guān)系是指地理空間實(shí)例之間存在的與空間特性有關(guān)的關(guān)系，主要包括拓?fù)潢P(guān)系、距離關(guān)系和方位關(guān)系［15］，拓?fù)潢P(guān)系又可分為物理上可達(dá)和邏輯上可達(dá)兩種。時(shí)間關(guān)系主要指網(wǎng)絡(luò)空間相關(guān)行為、事件在發(fā)生時(shí)間上的關(guān)聯(lián)性。虛實(shí)關(guān)系指從虛擬實(shí)體與物理實(shí)體間的關(guān)系，前者對后者的依存關(guān)系，后者對前者的支撐關(guān)系。

表2 網(wǎng)絡(luò)空間態(tài)勢感知關(guān)系類型

2.4 事件本體

事件是由行為引發(fā)的網(wǎng)絡(luò)空間實(shí)體性質(zhì)或狀態(tài)的變化，是在某一時(shí)間點(diǎn)的瞬時(shí)行為，其具有時(shí)間屬性。與此同時(shí)，事件與行為主體、行為客體以及主客體之間的關(guān)系等相關(guān)聯(lián)。

實(shí)體行為既可能帶來自身狀態(tài)的變化，也可能作用于其他實(shí)體而帶來對方狀態(tài)的變化。對于態(tài)勢感知而言，這兩方面事件的感知都是必要的。網(wǎng)絡(luò)空間中的行為主要包括人、機(jī)、虛擬實(shí)體等的行為。人的行為帶來自身屬性和機(jī)的屬性改變，以及對虛擬實(shí)體的安裝、復(fù)制、運(yùn)行和卸載等。虛擬實(shí)體的行為主要包括自我復(fù)制、傳播等，既能改變虛擬實(shí)體的狀態(tài)也會影響到機(jī)的安全狀態(tài)。由于行為涉及到的類型較多，此處對相關(guān)事件不再進(jìn)行具體列舉。

3 場景應(yīng)用

為了驗(yàn)證本文態(tài)勢感知本體模型的有效性，依據(jù)下面的戰(zhàn)例進(jìn)行態(tài)勢場景的描述。2007 年9 月6日，以色列空軍使用“舒特”機(jī)載網(wǎng)絡(luò)攻擊系統(tǒng)，成功突防了敘利亞先進(jìn)的第3 代地空導(dǎo)彈武器系統(tǒng)，對敘境內(nèi)縱深目標(biāo)成功實(shí)施了突擊［16］。基于該戰(zhàn)例設(shè)定作戰(zhàn)想定［6］：紅方力量包括指控節(jié)點(diǎn)C2-Y、一架搭載了“舒特”網(wǎng)絡(luò)攻擊系統(tǒng)的隱形無人機(jī)（UAV）、一個(gè)由3 架F-15 戰(zhàn)斗機(jī)組成的攻擊編隊(duì)。藍(lán)方力量包括指控節(jié)點(diǎn)C2-X、一部防空雷達(dá)（RADS）和兩個(gè)地空導(dǎo)彈平臺（ADM1、ADM2）組成的防御系統(tǒng)，防護(hù)高價(jià)值目標(biāo)HVT。紅方隱形無人機(jī)UAV 向藍(lán)方防空雷達(dá)進(jìn)行蠕蟲病毒攻擊活動，假設(shè)舒特攻擊首先向敵方雷達(dá)接收機(jī)發(fā)射電子脈沖信號，滲透進(jìn)敵方的防空網(wǎng)，并植入蠕蟲病毒，實(shí)施干擾或欺騙，使其無法發(fā)現(xiàn)來襲目標(biāo)。圖4 為紅藍(lán)雙方作戰(zhàn)實(shí)體及其邏輯關(guān)系圖，其中虛線表示信息流關(guān)系，實(shí)線為紅藍(lán)雙方交互關(guān)系。

圖4 紅藍(lán)雙方的邏輯關(guān)系圖

下面僅以無人機(jī)對雷達(dá)的網(wǎng)絡(luò)攻擊為例進(jìn)行本體實(shí)例及其關(guān)系的描述。在這次網(wǎng)絡(luò)攻擊中涉及到的實(shí)例為UAV、RADS、WORM1、WORM2、r，其中UAV 和RADS 分別是物理實(shí)體子類無人機(jī)和防空雷達(dá)的實(shí)例，WORM 是虛擬實(shí)體子類蠕蟲的實(shí)例，r是環(huán)境實(shí)體道路的實(shí)例，實(shí)例及其關(guān)系的變化如圖5 所示，圖中展示了攻擊前、中、后的態(tài)勢片斷。片斷（a）描述了發(fā)動攻擊前蠕蟲病毒與無人機(jī)之間的依存關(guān)系、無人機(jī)與防空雷達(dá)之間的空間距離關(guān)系；片斷（b）描述了當(dāng)距離滿足一定的條件時(shí)，無人機(jī)搭建與防空雷達(dá)之間的通信鏈路；片斷（c）描述了將病毒復(fù)制并注入防空系統(tǒng)后，蠕蟲病毒駐留在防空系統(tǒng)中。通過以上3 個(gè)片斷，體現(xiàn)了網(wǎng)絡(luò)攻擊的條件、路徑、結(jié)果等。

從圖中可以看出，采用本文的網(wǎng)絡(luò)空間態(tài)勢本體模型具有以下特點(diǎn)：一是能同時(shí)體現(xiàn)物理域和邏輯域的空間關(guān)系，二是將虛擬鏈路以實(shí)體的形式進(jìn)行描述，能夠比較直觀地展現(xiàn)網(wǎng)絡(luò)攻擊的路徑和方式，三是虛擬實(shí)體獨(dú)立于物理實(shí)體，有助于表現(xiàn)網(wǎng)絡(luò)態(tài)勢的變化，為進(jìn)一步的態(tài)勢理解和預(yù)測提供必要的支撐。

圖5 實(shí)例及其關(guān)系演變

4 結(jié)論

基于本體的網(wǎng)絡(luò)空間態(tài)勢描述是實(shí)現(xiàn)網(wǎng)絡(luò)空間態(tài)勢表達(dá)和態(tài)勢共享的基礎(chǔ)。當(dāng)前的網(wǎng)絡(luò)空間態(tài)勢本體研究面向網(wǎng)絡(luò)安全從網(wǎng)絡(luò)內(nèi)部的環(huán)境、實(shí)體、事件、行為等要素進(jìn)行描述，難以滿足多維戰(zhàn)場空間態(tài)勢一體化描述的需要。本文首先分析了面向態(tài)勢感知的態(tài)勢要素構(gòu)成，然后依據(jù)態(tài)勢感知核心本體對網(wǎng)絡(luò)空間領(lǐng)域態(tài)勢的相關(guān)概念及其屬性進(jìn)行了本體建模，最后結(jié)合實(shí)際的場景檢驗(yàn)了模型的有效性。從文中可以看出，由于網(wǎng)絡(luò)空間資源的種類多樣性和大規(guī)模性，涉及到的實(shí)體、關(guān)系、事件等類別頗多，不利于直觀的態(tài)勢表達(dá)，多分辨率的態(tài)勢描述是進(jìn)一步研究的內(nèi)容。