网络空间态势信息的特点及其知识表示方法

杜 静 敖富江 李鹏飞 马慧慧

（1.中国洛阳电子装备试验中心，洛阳，471003；2.军事科学院军事研究院，北京，100091）

引 言

网络空间的态势信息涵盖了多种领域、多个学科，体现了物理层、信息层及认知层面的多层次、多概念以及多视角的复杂信息[1]。在这些信息中，问题和系统任务描述、推理决策都需要知识。可见知识性是网络空间的重要表征之一[2]。通常，主要通过知识的表示、获取和应用去实现。知识表示方法的恰当选择和准确使用将极大地提高网络空间态势描述的高效性、准确性以及完备性[3]。网络空间态势知识的表示方法决定了知识应用的形式、处理的效率以及实现域空间规模的大小，其是否成功将直接影响网络空间的理论和实践水平[4]。针对网络空间这个庞大的分布式信息库，如何通过计算机实现对海量数据和信息的分析、推理以及管理，进而提供方便的知识服务，是当前网络空间信息技术领域面临的一个重大难题[5-6]。

鉴于网络空间态势信息要素多元异构的特点，本文首先总结归纳了网络空间态势信息的特点。在此基础上，详细论证了网络空间态势信息表示的重要作用。最后，分析了基于本体知识表示的方法论及基于本体知识表示的动机，并提出了一种基于本体的网络空间态势信息要素知识表示方法，该方法能够为网络空间可视化建模提供准确、共享、形式化的概念术语，可以有效促进网络空间可视化建模的重用与互操作，为网络空间相关技术的研究提供有效的参考依据。

1 网络空间态势信息知识特点

网络空间涉及到电磁频谱、网络化系统以及电子系统，网络空间的复杂性造成了其态势信息知识具有多种特点，主要体现在以下5个方面[7]。

（1）模糊性 态势信息知识的模糊性体现在以下两个方面：一方面是知识边界的模糊性。由于电磁频谱缺乏地理界限和自然界限，这使得网络空间相关技术几乎能够在任何地方发生，网络空间的态势信息没有严格的知识边界。另一方面是知识本身的模糊性，主要包括网络空间环境、系统、数据和参数的知识模糊性，例如传输速率的影响程度、融合误差的好坏以及对抗效果的优劣等。

（2）层次性 态势信息知识的层次性体现在网络空间中态势本身的概念和发展关系上。网络空间态势指由各种电子、电磁、网络设备运行状况、传输行为以及用户行为等因素所构成的整个网络空间的当前状态和变化趋势。图1给出了态势信息知识的三级层次性。

图1 态势信息的层次性Fig.1 Hierarchy of situation information

（3）耦合性 态势信息知识的耦合性主要体现在电磁、电子、网络之间的传输、接收以及调度等联系上，表现为相互间设计变量、参数之间的约束关系。网络空间中不同领域之间的知识交互需要通过知识耦合来实现。由于网络空间组成的复杂性，为了实现整个空间中各种行为，网络空间态势信息知识必然具备多领域、多学科知识之间的耦合性。

（4）复杂性 态势信息知识的复杂性来源于网络空间中组成要素的多样性和规模性，导致态势信息知识的差异性和复杂性，如图2所示。态势信息知识的复杂性主要体现在以下3个方面：实时性、高速性和可变性，而这种复杂性对网络空间攻防技术是一项艰巨挑战。

（5）多元性 网络空间跨越不同国家和行业。根据网络空间跨度广、分层次以及多组成的表现形式，网络空间的态势信息呈现出宏观到微观、实体到虚拟、物质到认知、网络到电磁的多元性特点。

2 网络空间态势信息知识表示的重要作用

对网络空间中关键态势要素进行知识表示的重要作用主要体现在以下几个方面[8-9]。

2.1 能够形成宝贵的网络攻防经验积累

网络攻防是目前国际上新兴而且迫切的研究领域，其基础理论、建设框架以及实现方法等方面，没有完备成熟的知识可以借鉴应用。因此，通过合理的知识表示方法将网络空间态势信息进行总结、归类、推理以及分析，能够建立关于网络空间的可视化态势信息知识库，形成宝贵经验的总结和积累，从而能够避免知识流失。组织有序、分类明确的知识表示，也便于为深入开展网络对抗研究提供理论查询依据，使得用有所依，依有所属。

图2 网络空间的规模性和复杂性Fig.2 The scale and complexity of cyberspace

2.2 易于应用到可视化系统建模

网络空间的态势信息是复杂的、多变的以及异构的，涉及到多个专业技术领域[3]。特别是部分应用的操作或故障解决方法可能起初只有开发人员知道，如果直接通过感性认识对网络空间进行可视化建模，那么建模人员需要涉猎非常多的知识领域，将大大增加建模人员的领域知识难度，延缓建模进度。因此在建模之前，通过专门人员采用知识表示方法归纳总结多领域、多人员搜集、整理、推理的各种知识，可以减轻可视化建模人员的工作负担［10］。

图3 网络空间的多元性Fig.3 The diversity of cyberspace

2.3 便于系统之间的相互集成

网络空间中不同领域的知识差异很大，并且通常知识掌握在少数技术精英手中，知识流动很慢，难以实现共享与交流。通过采用知识表示的方法，将网络空间的各种信息通过规范化的知识表示方法描述并存储，能够有效实现网络空间中知识的共享和转化，从而便于网络空间内部各要素的集成，例如互联网与电信网的集成等，也有利于实现网络空间之外的其他系统和网络空间之间知识的相互转化、有效集成。

2.4 有利于网络对抗的方案选择、方案修正和决策推理

知识表示的高层次目的在于辅助决策，便于实现方案选择，发现潜在问题并修正，进行趋势分析和决策推理。以网络态势感知应用为例，通过应用知识进行推理求解，自动对多源数据开展分析、推理和判断等操作，并对当前网络态势情境给出合理的解释，以提供当前较为准确完整的态势分析报告。

2.5 有利于形成对网络攻防的评估标准

网络空间态势信息分析是否完备，建立的可视化模型是否准确，网络对抗实施方案是否合理，都需要进行必要的评估和分析。采用知识表示的方法是实现网络空间中相关评估的有效途径，其作用体现在两个方面：（1）形成规范化的态势信息知识，有利于在各种复杂的情况下对网络对抗实施方案进行评价和分析；（2）形成规范化的评估标准知识，从而整个评估过程从被评估候选到评估标准都可以采用知识表示的方法，实现了效果评估的规范化、高效性和互操作性。

3 网络空间态势信息知识表示方法

本节在充分分析网络空间态势知识特点的基础上，提出采用本体模型来表示网络空间态势信息的知识表示方法，为网络空间相关问题的研究提供了有效的参考依据。

3.1 知识表示的分类和比较

知识表示为描述客观世界定义了一组约定，是一个获取知识并对其进行符号化和应用的过程，并提供了一个表示智能行为的模型[11]。知识表示方法主要包括直接表示方法、替代表示方法，如图4所示。其中替代表示方法主要是采用某种中间结构或者某类表示方法，将知识表示成计算机能够识别的格式。此外，还可以采用多种知识表示混合应用的技术，形成混合知识表示法。对于网络空间态势表示而言，以下几种典型替代表示方法的应用各有优劣，下面进行说明和比较。

图4 知识表示的分类Fig.4 Classification of knowledge representation

语义网络表示：是采用图论的思想，通过网络图来表达知识，将实体用节点表示，节点可以带有相关属性，实体之间的关系用节点之间的有向边表示。适用于结构化知识表示。

框架表示：是采用框架这种数据结构来表示事物的方法。一个框架由若干用于描述对象属性的“槽”组成，每一个“槽”又可分为若干个描述属性不同方面的“侧面”。框架之间可以组成框架网络。该方法能够表示结构性知识。

谓词逻辑表示：采用符号表示的一种方法，对确定性事实或者规则进行描述和推理。这种方法非常精确，没有二义性，适合于定理推论等表述。对于网络空间态势表示，由于要素存在多态的特性，并且要素之间也没有必然的因果等逻辑关系，所以该方法并不适用。

产生式表示：是特定针对具有因果关系的知识，所使用的规则表示法。即采用“条件-结论”的表示描述，对状态的事实和问题的求解进行表述，能够用于表示启发式知识。

本体表示：本体在知识表示领域具有表述准确、规范以及结构清晰等特点，在知识的重用与共享方面具有独特优势。Studer等认为本体是共享概念模型明确的形式化规范说明。这个定义包含：概念模型、明确、形式化和共享4层含义。本体一般需要通过预先定义的语言来描述。OWL（Web ontology language）目前是本体的标准描述语言，本文研究网络空间态势的可视化表示模型，基于OWL面向计算机的知识信息表示的优势，本文选择OWL作为本体描述语言，OWL的知识表示体系如图5所示。本文以文献[12]所提本体编辑器Protégé作为网络空间可视化态势本体的构建工具。在众多的知识表示方法中，基于本体的知识表示方法是新型知识表示方法的典型代表，已广泛应用于信息技术、知识工程等诸多领域。

表1给出了以上5种典型知识表示方法的优劣，以及对网络空间态势表示的适用性。此外，还有一些例如神经网络知识表示等新型知识表示方法，在此不作详细介绍。

3.2 网络空间中采用本体表示的动机

本节分析了采用本体知识表示方法描述网络空间态势信息的必要性、可行性和重要作用。根据上一节分析，恰当的知识表示对于网络空间态势信息可视化具有重要意义。目前常用的传统知识表示方法主要包括产生式、一阶谓词逻辑等，这些方法各有不同的形式化描述方法，都能有效表示某一类知识，体现出各自不同的优点[13]。但是由于网络空间具有特有的知识特点，这些传统方法在表示网络空间态势信息时都存在各种各样的缺点和不足，下面给出了5种典型的原因和结论：

（1）网络空间中体现出大量的交集、合集等概念，以信息融合为例，难以用传统框架表示法描述。

图5 OWL的知识表示体系Fig.5 System of OWL knowledge representation

表1 典型知识表示方法的比较Tab.1 Comparison of typical knowledge representation methods

（2）网络空间中存在大量判断、推理和数据计算等运算操作，而语义网络由于采用非结构化表示形式，难以实现这些运算的知识表示。

（3）网络空间的各种应用都贯穿着分层、分类的思想，传统的产生式表示方法难以表现类之间的层次关系，存在知识表现不紧凑的问题。

（4）网络空间的每种组成都存在大量先进的实例，例如物联网的信源就存在红外、光电和电磁的信源实例，如果采用基于逻辑的知识表示方法，难以将类别和实例区别开来，在推理时无法单独从类别出发去完成一些公理性的知识推导，从而很难提高推理的效率。

（5）网络空间具有多种不同分类，包括空间信息网、互联网、电信网以及关键业务网等，这些分类相互之间存在相似功能的组成部分，例如关键业务网和空间信息网都包括信源组成，互联网和电信网都存在通信链路组成，这些功能相似部分在知识表示方面存在能够被复用的需求。然而由于通过传统的知识表现形式所表达的知识只能在特定的应用环境中进行应用，很难实现被多个系统重复利用。

可见，由于网络空间的态势信息知识具有模糊性、层次性、耦合性、复杂性以及多元性的特点，传统的知识表示方法难以直接应用于网络空间态势信息的知识表示[14]。经过研究发现，基于本体的知识表示能够完备、准确地表示网络空间这种异构系统的复杂知识表示需求[15]。

当前，网络空间的可视化研究涉及许多领域，而可视化建模人员对这些领域往往比较陌生，因此首先研究网络空间中对象和活动的属性、分类及其之间的关系，建立网络空间可视化态势概念体系。建立了公共的领域实体、活动的分类、层次和关联，可以有效地保证建模人员使用一致的术语[16]。通过对网络空间的实体、活动等要素的属性和关系的清晰、明确和正确地表达，进一步保证网络空间可视化建模拥有相同的概念体系基础。为了实现上述目标，可以基于本体的思想和方法，分析网络空间可视化态势的知识、概念和术语[17]。本节通过将本体引入网络空间可视化建模，可对网络空间可视化建模提供共享的、明确的、形式化的概念术语，促进网络空间可视化建模的重用，并为研究网络空间的任务体系奠定概念基础。

3.3 本体表示的优势

经过研究发现，基于本体的知识表示能够完备、准确地表示网络空间这种异构系统的复杂知识表示需求[18-19]。本体主要在以下几个方面对于网络空间建模具有贡献[20]：

（1）通信：通信链路是网络空间中主要的组成部分。本体可以作为通信的媒介，以辅助获取、表达和操作知识。

（2）共享：网络空间是一个典型的异构组织系统，不同组织构成之间的交互和共享需要知识表示的支持，例如电磁空间和网络空间之间存在大量互操作情况。本体作为一个领域内部的交换格式，是实现共享的基础。

（3）重用：网络空间的不同分类之间存在相似功能的组成，开发这些组成部分的重用是实现高效率、高标准建模的迫切需求。在领域内本体通过对重要实体、属性、过程及其相互关系的形式化描述，为实现网络空间中可重用提供了技术支撑。

（4）可靠性：各种对抗操作是网络空间的核心任务，因此保证网络空间建模的可靠性至关重要。为让自动的一致性检查成为可能，并进一步提高网络空间建模的可靠性，通常通过本体表示方法形式化的方式进行表达。

（5）知识的标准化：网络空间的知识具有多元化的特点，该特点为不同知识的获取和描述造成了一定的困难。本体为描述目标世界提供了一组实现知识系统化的基础的通用词汇，进一步促进知识的标准化。

3.4 基于本体的网络空间态势信息表示

本节研究基于本体的网络空间态势信息表示方法，首先分析了本体的构建方法，然后以一个具体的网络空间场景为实例，详细说明了该场景的态势本体构建方法。

3.4.1 本体的构建方法

结合网络空间态势的特点，提出构建态势本体的过程，具体如图6所示。

（1）确定态势本体的专业领域和范畴，明确本体的用途、覆盖范围以及使用者的情况。

（2）参考目前已建立的各类现有本体，考查复用现有本体的可能性。

（3）列出网络空间领域的一系列重要术语，例如态势、传感器、计算终端以及攻防等与之相关的概念。

（4）确定术语之间的层次关系，即类和类的等级体系，如摄像头类是传感器类的子类，路由器类是通信实体类的子类等。可以采用自顶向下法、自底向上法和综合法等。但是无论采用何种方法来确定等级关系，都要首先从定义类开始。

（5）定义类的属性及其关系，以此描绘相关概念之间的内在结构。例如路由器类的属性包括外观、接口和配置等属性，摄像头类的属性包括探测范围等。

（6）定义属性的侧面，包含属性值的类型、取值范围和数量等其他特征。

（7）创建具体实例。定义某个类的一个实例，需要确定一个类，创建类的一个实例，添加属性值。

图6 本体构建方法Fig.6 Method of constructing ontology

通过研究这些经典的本体建模方法，加之Protégé本体构建工具的支持，大大提高了构建本体的开发效率。

3.4.2 典型网络空间实例本体构建分析

以一个典型的网络攻防场景为实例，描述其本体表示的过程，探讨其态势本体的模型体系结构的建立过程。具体描述过程如下。

2018年某时刻，探测到A大学校园网外的攻击计算机（Red01），突破校园网防护墙（Blue01）的防护，对校内某办公计算机（Blue02）进行攻击，并释放蠕虫病毒（Red02），病毒在校园网内传播扩散。攻击计算机携带蠕虫病毒（Red02），校内计算机携带杀毒软件（Blue03）。

采用 protégé编辑该态势本体，生成的 situation.owl文件中，计算机（Computer）、攻击计算机（Attackcomputer）、办公计算机（Workcomputer）、病毒（Virus）、防火墙（Firewall）、杀毒软件（Antivirus_software）是概念对象；时间（Currenttime）、身份（Deviceid）、操作系统类型（Ostype）、IP地址（Ipaddress）、感染能力（Infectivity）、病毒清除能力（Eliminateprobability）、防护能力（Protectprobability）等是属性特征。

以计算机类为实例，使用OWL语法表示态势，其具体场景如下：

（1）定义计算机类中办公计算机子类，其实例化代码如下：

（2）定义时间、数据类型和值域等属性的代码

（3）定义设备身份属性值的代码

利用Protégé软件中的owlviz插件，可以得到如图7所示的本体类组织结构。

态势本体的类组织图清楚直观地显示了在编辑本体时类与类之间的层次关系，从侧面反映了基于本体的网络态势信息表示方法的可行性。

图7 态势本体的类组织图Fig.7 Class organization diagram of situation ontology

4 结束语

知识性是网络空间的主要特征之一，而造就它的关键技术在于知识的表示、获取和应用，其成功与否直接关系到网络空间可视化理论和实践水平。鉴于网络空间态势信息要素多元异构的特点，本文首先总结归纳了网络空间态势信息具备的特点，在此基础上，详细论证了网络空间态势信息表示的重要作用；最后，分析了基于本体知识表示的方法论及基于本体知识表示的动机，并通过对本体特点的研究，提出了一种基于本体的网络空间态势信息要素知识表示方法，该方法能够为网络空间可视化建模提供了共享的、明确的、形式化的概念术语，可以有效促进网络空间可视化建模的重用与互操作，为后面网络空间相关技术的研究提供了有效参考依据。

未来的工作主要包括以下两个方面：（1）针对多种典型网络空间实例，细致分析其态势要素并实现其知识表示。（2）基于该项研究，后续还将深入研究不同态势要素的建模封装技术，为网络可视化和仿真研究奠定基础。