刘靖旭,郭建星,宋留勇
(信息工程大学,郑州 450001)
网络空间态势感知通过对网络空间态势要素的获取、理解、表达以实现对态势的评估和预测。本体(Ontology)提供了一种对信息和知识进行规范化描述和建模的方法,利用本体可以准确地描述态势感知领域的态势要素及其相互关系,便于实现态势信息的共享[1],为态势感知提供必要的支撑。
面向态势感知的态势本体模型研究主要有态势本体模型的构建、态势感知领域中不确定知识的描述等。文献[2]提出了基于Ontology 的态势估计研究方法,讨论了用于促进异构数据和信息源进行信息融合以支持态势估计融合处理的本体角色问题以及相关构建方法,给出了面向态势估计系统的本体片断。文献[3]提出用概率本体描述态势估计领域中存在的大量不确定知识。
网络空间态势本体模型的相关研究主要有网络安全态势要素分析、本体模型的构建等。文献[4]构建了包含网络环境、网络漏洞、网络攻击和网络安全事件等关键类及其关系的网络安全态势要素知识领域本体。文献[5]通过对网络安全态势相关概念语义关系的分析构建出网络安全态势的指标体系,构建包含环境安全、硬件安全、软件安全和数据安全等4 个子领域的网态领域本体,并将它们在事件、行为层面进行了细化的描述。文献[6]将Cyber 空间作战涉及到的敌我双方作战实体和不同类型交互行为抽象为网络模型的节点和边,分别建立了基于本体的实体描述模型和基于OO-LAMDA 语言的行为描述模型。
当前,网络空间态势本体模型的研究主要是面向网络安全的,其用途主要是基于网络安全数据的内部网络安全态势监控,其描述范围主要包括网络环境、网络漏洞、网络攻击等方面,难以满足陆、海、空、天、电、网等多维战场空间一体化态势感知的需要。本文认为网络空间是涵盖物理网络、信息网络和基于网络媒体所形成的社会网络等的多层空间,依据态势感知理论和本体理论对网络空间态势要素进行分析,并对网络空间态势领域的实体、环境、关系、事件等子领域进行了本体建模。最后,结合实际的场景检验了模型的有效性。
依据态势感知理论对战场态势要素的构成及其关系进行梳理和描述,为网络空间领域态势要素的分析及本体建模提供依据。
对态势感知描述的典型代表有基于信息融合视角的JDL 模型,基于人类认知视角的Endsley 模型等[7]。在JDL 模型中给出了包括信号/特征估计、实体/目标估计、态势估计、威胁/影响估计等的战场态势4 级数据融合模型,其中态势估计指的是在目标估计的基础上对战场环境中的实体/事件之间的关系进行分析、估计和描述。Endsley 态势感知模型将态势感知划分为态势察觉、态势理解、态势预测等3 个阶段,其核心是态势要素的获取、综合、阐释和表达。从态势感知模型可以看出,态势感知的要素不仅包含战场态势要素及其属性,更为重要的是战场态势要素之间的关系。
战场态势主要由5 类要素构成[8]:兵力部署与作战能力类、重要动态目标类、战场环境类、社会/政治/经济环境类、对抗措施类等,其中对抗要素是从其他4 类要素中提取出来的。文献[7]将态势与威胁估计的信息资源分为事实信息和过程知识两大类,包括关于实体/事件、态势和关系、意图和行动计划等的信息。过程知识包括关于关联和估计的过程知识,并指出态势体现在实体/事件之间或它们与环境之间的关系上,要把握和描述态势与威胁必需从关系入手。综上所述,态势要素包含战场上的作战单元、作战目标(敌方作战单元)、战场环境等实体及其属性、状态、活动和相互关系等。
作战实体包括战场上的各类作战单元,如飞机、坦克、舰船等。作战单元间的交互关系可以细分为作战过程中的信息流关系和作战任务中的功能关系。战场环境主要包括自然环境要素、人文环境要素和军事设施要素等,如可视障碍(烟雾、山川遮挡)、物理障碍(路障、雷区、战壕等)。战场环境态势感知的各类实体及其交互关系具体如表1 所示,由于敌方作战目标间的关系以及它们与其他要素的关系同作战单元,表中不再列出。
表1 战场态势感知要素及其交互关系
通过把现实世界中的某个领域抽象成一组概念(如实体、属性、行为等)及概念间的关系,构造出该领域的本体。本体的组成包括类或类型(Classes or Types)、对象或个体(Objects or Individuals)、特性(Properties or Attributes)、属性值(Attribute Values)、关系(Relations)、断言或/ 和公理(Assertions or/and Axioms)。
当前,对态势本体的建模主要包括态势感知涉及的态势、态势对象(实体)、属性、事件、行为、意图、时间等相关概念以及概念间关系等的描述[9-10]。基于UML 描述的态势核心本体模型如下页图1 所示,其中类表示为方框,关联表示为箭头,菱形箭头表示聚合关系,三角箭头表示泛化关系。态势类将态势定义为态势对象、关系和意图的聚合,态势对象类是态势中的实体,它们有自身的特征且参与到关系中,物理对象是实体中的一类,具有尺寸、位置、速度等特性;当实体的性质或状态发生改变时就产生了事件。由于态势感知依赖于找到实体与实体之间的关系,关系以及实体在关系中的角色是非常重要的概念。
图1 态势核心本体模型
网络空间态势感知对象不仅包括物理空间中实体的状态、属性、行为等信息,还包括虚拟网络空间中的实体及其属性等[11-12]。基于物理实体的多种功能属性“虚拟”出不同类型的实体,有助于单独地分析与评估某个功能网络,本文采用物理实体和虚拟实体相对分离的描述方式。网络空间实体由人、机、环境和虚拟实体构成,具体如图2 所示。机指主机、工作站等网络终端,虚拟实体指依托机而存在的各类程序和进程,如系统进程、服务进程、恶意进程(病毒、木马)。
图2 网络空间实体的类别
网络空间中的人具有物理属性和社会属性,主要包含其位置属性、身份属性等。人在组织中承担一定的角色,遵循与角色相对应的行为准则。
网络空间中的机作为地理空间中的物理实体,对应着地理空间的点(Point),具有位置属性。机器自身又具有一些用参数描述的功能属性,如操作系统类型、IP 地址、网络协议、端口、漏洞、工作状态等。
对照现实空间中的作战单元,网络空间中的虚拟实体类似于作战单元所携带的作战装备(Armament),对虚拟实体的描述主要从其类别和功能属性的角度来定义。虚拟实体的类别包括各类攻防程序和进程,如防病毒系统、入侵检测系统等防护装备,病毒、木马等攻击装备。它具有一些功能属性(Attribute)如攻击防御方式、攻击防御能力以及工作状态等。
网络空间的活动主要以数据流、信息流的形式存在,支撑信息流动的通信链路是该活动的必要支撑,而通信链路又存在于现实的地理空间,因此,网络空间环境由地理环境、物理通信链路、逻辑通信链路等3 个层次构成。
物理通信链路作为现实空间中的物理实体,它们具有地理属性。Grant T 尝试统一包括陆海空天以及网络空间地理相关的描述和表达,涉及社会组织层、信息层、认知层、物理层和地理层等5 个层次的概念[13],为网络空间的地理描述提供指导。物理通信链路对应着地理空间的点(Point)和路(Path),物理节点具有位置(Location)属性。物理通信链路类似于现实空间中的交通网络,借鉴交通网络的本体描述[14],主要由道路和枢纽组成。对于网络空间态势感知而言,通信链路中各实体的通信能力和通信状态是比较重要的要素,具体分类和属性描述如图3 所示。
图3 通信链路相关概念分类
考虑到逻辑通信链路是物理通信链路的抽象表达,与物理通信链路的区别主要在于它不关注实体的空间属性,只关注拓扑关系,因此,它的核心构成是节点和连接关系,其描述继承物理链路中道路和枢纽的描述。
除表1 所列出的态势感知所涉及到的实体间的交互关系,网络空间实体间的关系还包含时空关系、虚实关系、组织关系等关系类型,表2 列出了部分关系。空间关系是指地理空间实例之间存在的与空间特性有关的关系,主要包括拓扑关系、距离关系和方位关系[15],拓扑关系又可分为物理上可达和逻辑上可达两种。时间关系主要指网络空间相关行为、事件在发生时间上的关联性。虚实关系指从虚拟实体与物理实体间的关系,前者对后者的依存关系,后者对前者的支撑关系。
表2 网络空间态势感知关系类型
事件是由行为引发的网络空间实体性质或状态的变化,是在某一时间点的瞬时行为,其具有时间属性。与此同时,事件与行为主体、行为客体以及主客体之间的关系等相关联。
实体行为既可能带来自身状态的变化,也可能作用于其他实体而带来对方状态的变化。对于态势感知而言,这两方面事件的感知都是必要的。网络空间中的行为主要包括人、机、虚拟实体等的行为。人的行为带来自身属性和机的属性改变,以及对虚拟实体的安装、复制、运行和卸载等。虚拟实体的行为主要包括自我复制、传播等,既能改变虚拟实体的状态也会影响到机的安全状态。由于行为涉及到的类型较多,此处对相关事件不再进行具体列举。
为了验证本文态势感知本体模型的有效性,依据下面的战例进行态势场景的描述。2007 年9 月6日,以色列空军使用“舒特”机载网络攻击系统,成功突防了叙利亚先进的第3 代地空导弹武器系统,对叙境内纵深目标成功实施了突击[16]。基于该战例设定作战想定[6]:红方力量包括指控节点C2-Y、一架搭载了“舒特”网络攻击系统的隐形无人机(UAV)、一个由3 架F-15 战斗机组成的攻击编队。蓝方力量包括指控节点C2-X、一部防空雷达(RADS)和两个地空导弹平台(ADM1、ADM2)组成的防御系统,防护高价值目标HVT。红方隐形无人机UAV 向蓝方防空雷达进行蠕虫病毒攻击活动,假设舒特攻击首先向敌方雷达接收机发射电子脉冲信号,渗透进敌方的防空网,并植入蠕虫病毒,实施干扰或欺骗,使其无法发现来袭目标。图4 为红蓝双方作战实体及其逻辑关系图,其中虚线表示信息流关系,实线为红蓝双方交互关系。
图4 红蓝双方的逻辑关系图
下面仅以无人机对雷达的网络攻击为例进行本体实例及其关系的描述。在这次网络攻击中涉及到的实例为UAV、RADS、WORM1、WORM2、r,其中UAV 和RADS 分别是物理实体子类无人机和防空雷达的实例,WORM 是虚拟实体子类蠕虫的实例,r是环境实体道路的实例,实例及其关系的变化如图5 所示,图中展示了攻击前、中、后的态势片断。片断(a)描述了发动攻击前蠕虫病毒与无人机之间的依存关系、无人机与防空雷达之间的空间距离关系;片断(b)描述了当距离满足一定的条件时,无人机搭建与防空雷达之间的通信链路;片断(c)描述了将病毒复制并注入防空系统后,蠕虫病毒驻留在防空系统中。通过以上3 个片断,体现了网络攻击的条件、路径、结果等。
从图中可以看出,采用本文的网络空间态势本体模型具有以下特点:一是能同时体现物理域和逻辑域的空间关系,二是将虚拟链路以实体的形式进行描述,能够比较直观地展现网络攻击的路径和方式,三是虚拟实体独立于物理实体,有助于表现网络态势的变化,为进一步的态势理解和预测提供必要的支撑。
图5 实例及其关系演变
基于本体的网络空间态势描述是实现网络空间态势表达和态势共享的基础。当前的网络空间态势本体研究面向网络安全从网络内部的环境、实体、事件、行为等要素进行描述,难以满足多维战场空间态势一体化描述的需要。本文首先分析了面向态势感知的态势要素构成,然后依据态势感知核心本体对网络空间领域态势的相关概念及其属性进行了本体建模,最后结合实际的场景检验了模型的有效性。从文中可以看出,由于网络空间资源的种类多样性和大规模性,涉及到的实体、关系、事件等类别颇多,不利于直观的态势表达,多分辨率的态势描述是进一步研究的内容。