CN112073441A - 基于本体推理的网络空间关键地形生成方法 - Google Patents

Abstract

本申请涉及一种基于本体推理的网络空间关键地形生成方法。所述方法包括：根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；利用语义网安全本体的表示方式，得到概念模型对应的基本本体；根据所述基本本体，构建网络空间地形识别本体；网络空间识别本体包括：概念体系和关键地形识别规则；获取网络空间数据，根据网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成规范化数据对应的关键地形。采用本方法能够提高关键地形识别的效率。

Description

基于本体推理的网络空间关键地形生成方法

技术领域

本申请涉及网络空间安全技术领域，特别是涉及一种基于本体推理的网络空间关键地形生成方法。

背景技术

网络空间（Cyberspace）已成为继“陆、海、空、天”后的第五维空间，世界各国已纷纷大动作投入网络空间建设，出台网络空间国家战略，以抢占制高点。

网络空间关键的地形识别是网络空间计划工作的基本组成部分。将计划的目标与地形分析相匹配，以确定每份计划的蓝色、灰色和红色网络空间中的关键地形。将计划或任务目标与关键地形相关联可确保查明任务在网络空间中的依赖性。在许多情况下，为任务目标提供支持的系统、网络和基础设施将是相互依赖的。这些复杂的相互依赖关系可能需要进行深入分析，从而提出定制的风险化解方法。

总之，网络空间关键地形识别对网络空间具有重要意义。目前的网络空间关键地形识别大多是基于工作人员的个人经验和判断，难以对网络空间内各实体之间的相互依赖关系进行深入的理解和分析，且在复杂多变的网络空间环境，工作人员的反映和效率往往难以满足作战的需求。

发明内容

基于此，有必要针对上述技术问题，提供一种能够解决网络空间关键地形识别困难的基于本体推理的网络空间关键地形生成方法和装置。

一种基于本体推理的网络空间关键地形生成方法，所述方法包括：

根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

在其中一个实施例中，还包括：根据预先设置的UCO模型中定义的网络观测数据模式，获取网络空间对象对应的概念模型。

在其中一个实施例中，还包括：根据预先获取的网络安全数据，对UCO模型进行拓展。

在其中一个实施例中，还包括：根据描述逻辑语义网本体语言公理对所述基本本体进行描述，确定概念体系；根据SWRL规则，确定所述基本本体进行地形识别的关键地形识别规则。

在其中一个实施例中，还包括：根据描述逻辑语义网本体语言公理对所述基本本体的概念、关系和属性进行描述，确定概念体系。

在其中一个实施例中，所述语义网规则包括：普通语义网规则和拓展语义网规则；所述普通语义网规则使用网络本体语言和语义网规则语言内嵌词汇中的词汇表示，所述拓展语义网规则中嵌入预先设置的机器学习模型进行表示。

在其中一个实施例中，还包括：获取网络空间数据，根据所述网络空间数据和所述网络空间地形识别本体，构建网络空间态势知识图谱；根据由AL-log推理算法构建的本体推理机，对所述网络空间态势知识图谱进行关键地形识别。

一种基于本体推理的网络空间关键地形识别装置，所述装置包括：

基本概念抽取模块，用于根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

本体表示模块，用于利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

识别本体构建模块，用于根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

关键地形识别模块，用于获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

上述基于本体推理的网络空间关键地形生成方法、装置、计算机设备和存储介质，通过统一网络安全本体模型，获取网络空间对象对应的概念模型，并且采用语义网安全本体的表示方式，得到基本本体，对于基本本体，从概念体系和关键地形识别规则两个方面，确定网络空间地形识别本体，从而将网络空间数据进行规范化，从而利用规范化数据生成关键地形，识别过程快速高效。

附图说明

图1为一个实施例中基于本体推理的网络空间关键地形生成方法的流程示意图；

图2为一个实施例中基于本体推理的网络空间关键地形识别装置的结构框图；

图3为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在一个实施例中，如图1所示，提供了一种基于本体推理的网络空间关键地形生成方法，包括以下步骤：

步骤102，根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型。

统一网络安全本体模型UCO，是一种可拓展的模型，是对IDS（入侵检测系统）本体的拓展，它提供了对网络安全领域统一的理解以及信息共享、复用的标准化模式。UCO集成了STIX（结构化威胁情报表示）的语义网映射版本，同时集成了包括CVE、CCE、CVSS、CAPEC、CYBOX、KillChain和STUCCO等本体在内的网络空间安全标准和词汇。此外，为支持更多样的案例应用，UCO也可以链接到包括谷歌知识图谱、DBpedia知识库和Yago知识库等众多通用型知识库。因此，UCO是对网络空间数据模式、概念、词汇以及关系等信息统一、全面的表示。

步骤104，利用语义网安全本体的表示方式，得到概念模型对应的基本本体。

语义网安全本体的表示方式，可以是OWL、OWL-DL等，采用规范化的表示，可以得到概念模型对应的基本本体。OWL是一种网络本体语言，而OWL-DL表示描述逻辑语义网本体语言，是OWL的一种。

步骤106，根据基本本体，构建网络空间地形识别本体。

网络空间识别本体包括：概念体系和关键地形识别规则。

CTRO(网络空间地形识别本体)，由OWL-DL表示的概念体系、SWRL表示的网络空间关键地形识别规则组成，SWRL表示语义网规则语言。其中概念体系复用了UCO中的概念描述和分类方法，并依据JP3-12等公开文献和标准对UCO的概念体系进行扩展。依据从JP3-12、控制网络空间高地等公开文献中抽取网络空间关键地形识别知识，使用SWRL表示，形成了网络空间关键地形识别规则。

步骤108，获取网络空间数据，根据网络空间地形识别本体对网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成规范化数据对应的关键地形。

网络空间数据可能来自多个不同的数据源，同时数据的格式也丰富多样，网络空间数据的异构性决定其无法直接用来进行网络地形的识别，需要对网络空间数据进行规范化表示。

上述基于本体推理的网络空间关键地形生成方法中通过统一网络安全本体模型，获取网络空间对象对应的概念模型，并且采用语义网安全本体的表示方式，得到基本本体，对于基本本体，从概念体系和关键地形识别规则两个方面，确定网络空间地形识别本体，从而将网络空间数据进行规范化，从而利用规范化数据生成关键地形，识别过程快速高效。

在其中一个实施例中，根据预先设置的UCO模型中定义的网络观测数据模式，获取网络空间对象对应的概念模型。

具体的，复用了UCO中定义的网络观测数据模式。网络观测数据类型复杂多样，手动构建不仅耗时费力，更重要的是不易与现有的本体和模型进行集成，不利于知识共享。通过复用UCO中定义的网络观测数据模式，实现了对各种网络观测数据模式的刻画，为构建应用本体CTRO提供底层数据的支持。同时也复用了UCO中刻画的相关概念，包括防火墙、端口模块、区域、网络流量等，这些标准化的概念在UCO集成的众多本体模型中是准确的、一致的，复用这些概念有利于将更多的先验知识集成到应用本体CTRO中。

在其中一个实施例中，根据预先获取的网络安全数据，对UCO模型进行拓展。

UCO的全面性也导致它只能在粗粒度上描述网络空间，难以对网络空间的地形进行精确地刻画。因此，可以在UCO的基础上，结合网络空间地形生成的具体问题，对UCO模型进行了扩展。例如，在UCO的基础上进行“区域”概念的描述和刻画。

在其中一个实施例中，根据OWL-DL公理对基本本体进行描述，确定概念体系；根据SWRL规则，确定基本本体进行地形识别的关键地形识别规则。

具体的，依据JP3-12等公开文献和标准中对网络空间地形的描述，CTRO对网络空间军事地形进行了分类，构建了分类体系，并基于UCO的词汇集合对地形分类体系中的概念进行了刻画（定义、约束等），包括对障碍物、接近路、掩护和掩蔽、观察和射界等概念的刻画，并且随着网络空间军事地形分类标准或知识的变化，可以扩展和演化。

在CTRO中使用OWL-DL公理对上述概念进行描述。例如障碍物包括防火墙和端口模块，表示为如下OWL-DL公理：

防火墙subClassOf障碍物

端口模块subClassOf障碍物

接近路可以通过识别将节点和链接进行分析，这些节点和链接可以将终点连接到某个具体站点，表示为如下DL公理：

接近路≡ (节点 and (连接 some 站点) ) or (链路 and (连接 some 站点))

掩护和掩蔽可能涉及到隐藏的IP地址或受密码保护的访问，表示为如下DL公理：

掩护和掩蔽≡ (隐藏 some IP) or (密码保护 some 访问)

网络空间观察和射界是指可以监测、截获或记录网络流量的区域。表示为如下DL公理：

观察和射界≡区域 and ( (监测 some 网络流量) or (截获some 网络流量) or (记录 some 网络流量)

依据JP3-12，CTRO还对网络空间内潜在关键地形进行了划分，包括主要通信线路（LOC）的接入点、观察来袭威胁的关键航路点、网络空间攻击的发射点，以及与连接到信息网络的重要资产有关的任务相关网络空间地形。潜在关键地形可以表示为如下DL公理：

潜在关键地形≡ (接入点 and (属于 some 通信线路)) or (航路点 and (观察some 威胁)) or (发射点 and (进行 some 网络空间攻击）) or (区域 and (连接 some信息网络重要资产))。

地形提供了一种构想和描述网络地图的方法，即从数据到地形分类的识别规则，依据JP3-12中对网络空间地形描述，以及UCO对网络空间数据的描述，可以形成基于数据识别网络空间地形的规则。

在其中一个实施例中，根据OWL-DL公理对基本本体的概念、关系和属性进行描述，确定概念体系。

具体的，网络空间地形识别本体构建在网络本体之上，利用基本本体中的概念（分类）、关系和属性，定义新的概念并描述概念之间的关系。网络空间地形识别本体的概念体系以及概念“潜在关键地形”的描述如下：“潜在关键地形”由加约束的“区域”所定义，“区域”在网络本体中进行了规范化描述，即区域由一系列的满足条件约束的节点和链接组成；“潜在关键地形”被定义为主要通信线路的接入点、观察来袭威胁的关键航路点、网络空间攻击的发射点以及连接到信息网络重要资产的有关网络空间地形。通过定义，可以基于目标网络基础数据推导出潜在关键地形。

在其中一个实施例中，SWRL规则包括：普通SWRL规则和拓展SWRL规则；普通SWRL规则使用OWL和SWRL-BuiltIn中的词汇表示，拓展SWRL规则中嵌入预先设置的机器学习模型进行表示。

具体的，SWRL规则：SWRL规则集中包含两类SWRL规则，一类是普通的SWRL规则，使用OWL和SWRL-BuiltIn中的词汇就可以表示；另一类是模型扩展的SWRL规则，其中包含用户自定义的函数（即扩展函数）。模型扩展的SWRL规则中，嵌入基于机器学习训练模型或解析模型的计算过程（即扩展函数），以增强SWRL规则的表达能力，使之能够表示关系计算或者复杂的数值计算。

网络空间地形识别规则是作战人员的个人经验和判断的形式化表示，由网空作战人员根据任务需要和战术目标进行定义，便于根据特定任务定制和拓展。这里借用障碍物的概念，例举简单的示例加以说明。在文献[16]中，障碍物被定义为限制在网络中自由移动的技术和规则，例如基于路由器的访问控制列表、物理隔离、防火墙以及其他可以限制网络流量数据包的设备等。根据这个定义，限制两个网络之间通信带宽也可以被视作一种障碍物，这条规则可以用SWRL规则表示如下：

Node(V1)

^ Node(V2)

^ swrlb:lessThan(extension:maxBandwidth(V1， V2)，用户填写数值)

->障碍物(extension:Bandwidth(V1，V2))

这条SWRL规则表达的含义是如果节点V1和节点V2之间的最大传输带宽小于作战人员给定的数值，那么就认为连接V1所在网络和V2所在网络的网络带宽是障碍物地形。其中“extension: ”表示其后的词汇是一个扩展函数，例如，用于统计区域R中满足给定条件（条件1，条件2，…）节点数目的函数extension:nodesInRegion(Num， R，条件1，条件2，…)、用于计算两点（N1和N2）距离的函数extension:distance(D，N1，N2)，“swrlb: ”表示该词汇是SWRL的保留词。

在其中一个实施例中，获取网络空间数据，根据网络空间数据和网络空间地形识别本体，构建网络空间态势知识图谱；根据由Tablau算法和Datalog推理算法构建的本体推理机，对网络空间态势知识图谱进行关键地形识别。

具体的，根据网络本体和网络空间感知数据构建网络空间态势知识图谱。根据网络本体，特别是UCO集成的包括CVE、CCE、CVSS、CAPEC、CYBOX、KillChain和STUCCO等本体。本发明在在UCO的基础上，首先在互联网上对UCO已有本体的开源情报数据（网络空间感知数据）进行采集并关联到已有本体形式化表示；其次，还将MITRE等UCO中没有的开源情报数据集成进来。这些数据均来自互联网上公开的攻击案例和开源情报，将底层的数据和顶层的本体模型相互映射，构建网络空间态势感知知识图谱实例，以OWL/XML的形式组织数据为例。

具体的，key_terrain知识图谱下的一个实例，其编码是S0333（URI：ns1:S0333，ns1:http://www.cyberspace.com/key_terrain），名称是UBoatRAT，类型是MALWARE（恶意软件），版本为1.0，使用过T1497、T1043等许多的技术（此处为编码，如URI为ns1:T1497，其是知识图谱中的一个实例），平台为Windows等众多的属性。将网络空间中的各种数据组织成OWL/XML的形识才能进行统一的查询、推理和计算。

关键地形识别推理基于Pellet推理机实现。Pellet推理机是基于AL-log推理算法实现的本体推理机，AL-log推理算法的介绍参考文献“Donini F M，Lenzerini M，Nardi D，et al. AL-log: Integrating datalog and description logics. Journal ofIntelligence Information Systems， 1998， 10(3):227-252”，对最复杂的OWL+SWRL表示的本体推理，其时间复杂度为NExpTime。在关键地形本体中，地形识别的SWRL规则都可被转换为OWL表示，表达能力被限定在ALC逻辑子集表达能力中，使得Tablau算法对其推理的时间复杂度为P-complete；对地形进行识别时，由于要使用更为复杂的表达能力，如属性的逆、扩展函数等，其时间复杂度为NExpTime。对大部分地形推理识别时，并不需要使用所有的知识库，仅需要使用与之相关的知识，使得并发使用推理机进行地形识别提供成为可能。并发使用推理机进行地形识别示意如下所示：

1、形式化表示的XX连通区域1的目标网络基础数据∪O地形→Pellet推理→XX连通区域1的各种地形类型；

2、形式化表示的XX连通区域2的目标网络基础数据∪O地形→Pellet推理→XX连通区域2的所有地形类型；

3、形式化表示的XX连通区域n的目标网络基础数据∪O地形→Pellet推理→XX连通区域n的所有地形类型；

4、形式化表示的目标网络基础数据∪O地形→Pellet推理→所有节点、链路等地形的类型。

上述示意的地形识别，共由n+1个线程并发执行，在计算资源充分的条件下，使地形识别的时间至少减少到非并发执行时的1/n、地形识别的时间较不使用并发加速时更少。

推理过程的获取：推理过程的获取基于Aditya Kalyanpur等人提出的Single_JUST-ALGBlack-Box算法实现，算法的复杂度和本体推理的复杂度相同，其输入是给定连通区域R所属的一个地形类型RT以及连通区域R的形式化表示的目标网络基础数据∪O地形，或者给定地形N所属的一个地形类型NT以及形式化表示的目标网络基础数据∪O地形；输出是推导连通区域R属于地形类型RT所使用的规则、定义和形式化表示的数据，或者地形N属于地形类型NT所使用的规则、定义和形式化表示的数据。

应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图2所示，提供了一种基于本体推理的网络空间关键地形识别装置，包括：基本概念抽取模块202、本体表示模块204、识别本体构建模块206和关键地形识别模块208，其中：

基本概念抽取模块202，用于根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

本体表示模块204，用于利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

识别本体构建模块206，用于根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

关键地形识别模块208，用于获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

在其中一个实施例中，基本概念抽取模块202还用于根据预先设置的UCO模型中定义的网络观测数据模式，获取网络空间对象对应的概念模型。

在其中一个实施例中，基本概念抽取模块202还用于根据预先获取的网络安全数据，对UCO模型进行拓展。

在其中一个实施例中，识别本体构建模块206还用于根据OWL-DL公理对所述基本本体进行描述，确定概念体系，根据SWRL规则，确定所述基本本体进行地形识别的关键地形识别规则。

在其中一个实施例中，识别本体构建模块206还用于根据OWL-DL公理对所述基本本体的概念、关系和属性进行描述，确定概念体系。

在其中一个实施例中，所述SWRL规则包括：普通SWRL规则和拓展SWRL规则；所述普通SWRL规则使用OWL和SWRL-BuiltIn中的词汇表示，所述拓展SWRL规则中嵌入预先设置的机器学习模型进行表示。

在其中一个实施例中，关键地形识别模块208还用于获取网络空间数据，根据所述网络空间数据和所述网络空间地形识别本体，构建网络空间态势知识图谱；根据由Tablau算法和Datalog推理算法构建的本体推理机，对所述网络空间态势知识图谱进行关键地形识别。

关于基于本体推理的网络空间关键地形识别装置的具体限定可以参见上文中对于基于本体推理的网络空间关键地形生成方法的限定，在此不再赘述。上述基于本体推理的网络空间关键地形识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于本体推理的网络空间关键地形生成方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图3中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现上述实施例中方法的步骤。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述实施例中方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（ROM）、可编程ROM（PROM）、电可编程ROM（EPROM）、电可擦除可编程ROM（EEPROM）或闪存。易失性存储器可包括随机存取存储器（RAM）或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM（SRAM）、动态RAM（DRAM）、同步DRAM（SDRAM）、双数据率SDRAM（DDRSDRAM）、增强型SDRAM（ESDRAM）、同步链路（Synchlink） DRAM（SLDRAM）、存储器总线（Rambus）直接RAM（RDRAM）、直接存储器总线动态RAM（DRDRAM）、以及存储器总线动态RAM（RDRAM）等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (7)

1.一种基于本体推理的网络空间关键地形生成方法，其特征在于，所述方法包括：

根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型；

利用语义网安全本体的表示方式，得到所述概念模型对应的基本本体；

根据所述基本本体，构建网络空间地形识别本体；所述网络空间识别本体包括：概念体系和关键地形识别规则；

获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机生成所述规范化数据对应的关键地形。

2.根据权利要求1所述的方法，其特征在于，所述根据预先设置的统一网络安全本体模型，获取网络空间对象对应的概念模型，包括：

根据预先设置的UCO模型中定义的网络观测数据模式，获取网络空间对象对应的概念模型。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

根据预先获取的网络安全数据，对UCO模型进行拓展。

4.根据权利要求1所述的方法，其特征在于，根据所述基本本体，构建网络空间地形识别本体，包括：

根据描述逻辑语义网本体语言公理对所述基本本体进行描述，确定概念体系；

根据语义网规则，确定所述基本本体进行地形识别的关键地形识别规则。

5.根据权利要求4所述的方法，其特征在于，所述根据描述逻辑语义网本体语言公理对所述基本本体进行描述，确定概念体系，包括：

根据描述逻辑语义网本体语言公理对所述基本本体的概念、关系和属性进行描述，确定概念体系。

6.根据权利要求4所述的方法，其特征在于，所述语义网规则包括：普通语义网规则和拓展语义网规则；所述普通语义网规则使用网络本体语言和语义网规则语言内嵌词汇中的词汇表示，所述拓展语义网规则中嵌入预先设置的机器学习模型进行表示。

7.根据权利要求1至6任一项所述的方法，其特征在于，获取网络空间数据，根据所述网络空间地形识别本体对所述网络空间数据进行规范化表示，得到规范化数据，以及根据预先设置的本体推理机对所述规范化数据进行关键地形识别，还包括：

获取网络空间数据，根据所述网络空间数据和所述网络空间地形识别本体，构建网络空间态势知识图谱；

根据由AL-log推理算法构建的本体推理机，对所述网络空间态势知识图谱进行关键地形识别。

Images