Онтология в информационных системах — это структура, состоящая из множества понятий и категорий, относящихся к определенной области знаний, а также информации об их свойствах и связях между ними. В контексте информационной безопасности имеет смысл говорить о киберонтологиях (cyber-ontology) или онтологиях кибербезопасности (cybersecurity ontology).
Онтологии не стоит путать с базами знаний и таксономиями. Отличие онтологии от базы знаний в том, что онтология той или иной области знаний должна включать исчерпывающую общую информацию об этой области, в то время как база знаний может содержать неполные данные и информацию о частных случаях. Также онтологии предполагают структурирование данных, в то время как в базах знаний могут храниться неструктурированные факты.
В свою очередь, таксономия — это классификация объектов и выстраивание их иерархии, в то время как онтология описывает их свойства и связи.
Для работы с онтологиями чаще всего используются языки онтологий. В зависимости от типа онтологии могут применяться разные языки. Наиболее распространенный язык онтологий — OWL (Web Ontology Language).
Использование онтологий в информационной безопасности
Онтологии имеют несколько применений в сфере кибербезопасности.
- Создание единой общей классификации зловредов, векторов атак и уязвимостей. Это позволяет специалистам в области информационной безопасности говорить друг с другом на одном языке и обмениваться данными о киберугрозах, улучшая уровень защиты от них.
- Оценка защищенности инфраструктуры организации от конкретной угрозы или APT и оценка рисков. Онтология содержит информацию о том, какие векторы атаки и какие уязвимости используют конкретные группировки, и какие зловреды характерны для их атак. В свою очередь, для каждой уязвимости в онтологии указано, какие средства защиты и патчи нужны для ее закрытия. Применение такой онтологии позволяет быстро проанализировать инфраструктуру организации и выяснить, насколько она защищена от той или иной APT и какие меры следует принять, чтобы улучшить ее защиту.
- Ускорение и упрощение работы моделей машинного обучения, которые, в частности, используются в антивирусных движках.