Trong lĩnh vực an ninh mạng, bản thể luận có một số ứng dụng như sau :

• Tạo một phân loại chung nhất về phần mềm độc hại, vector tấn công mạng và lỗ hổng an ninh. Điều này cho phép các chuyên gia an toàn thông tin nói cùng một ngôn ngữ và trao đổi tri thức về các mối đe dọa, do đó cải thiện mức độ phòng vệ với các nguy cơ mất an toàn trên mạng;
• Đánh giá mức độ bảo vệ cơ sở hạ tầng của tổ chức trước một mối đe dọa cụ thể hoặc mối đe dọa có chủ đích (APT) và đánh giá rủi ro. Một bản thể luận chứa thông tin về vector tấn công mạng và lỗ hổng của các nhóm cụ thể, cũng như loại phần mềm độc hại mà chúng thường sử dụng trong các cuộc tấn công của mình. Nó cũng chỉ ra phương tiện bảo vệ và các bản vá cần thiết cho từng lỗ hổng. Như vậy, việc sử dụng một bản thể luận trong an ninh mạng sẽ cho phép phân tích nhanh cơ sở hạ tầng của một tổ chức, xác định xem nó được bảo vệ tốt như thế nào và những biện pháp nào sẽ cải thiện tính an toàn của nó;
• Tăng tốc và đơn giản hóa các mô hình học máy đang được sử dụng trong các công cụ phòng vệ mã độc và các giải pháp khác.

Nguồn: Kaspersky IT Encyclopedia

Các công cụ để làm việc với bản thể luận có nhiều điểm chung với các thuật toán học máy, nhưng có một điểm khác biệt chính: mô hình học máy dùng để dự đoán, công cụ bản thể luận dùng để suy luận.

Các mô hình học máy phân tích các tập dữ liệu lớn và sử dụng chúng để đưa ra dự đoán về các đối tượng mới. Ví dụ: một mô hình học máy có thể xem xét 100 thư điện tử độc hại và làm nổi bật các đặc điểm cụ thể mà chúng chia sẻ. Sau đó, nếu mô hình nhận ra một số đặc điểm đó trong một thư điện tử mới, nó có thể xác định rằng thư đó cũng độc hại.

Một bản thể luận cũng đưa ra số liệu trong phân tích dữ liệu, nhưng thay vì dẫn đến các dự đoán, nó chỉ ra thông tin xuất phát một cách logic từ các tham số được cung cấp. Nó không học hỏi hoặc rút ra kinh nghiệm trước đó để phân tích thông tin. Ví dụ, nếu chúng ta chỉ ra trong bản thể luận rằng thư điện tử A là lừa đảo và tất cả các thư điện tử lừa đảo đều độc hại, sau đó nói rằng thư điện tử B là một thư lừa đảo, thì bản thể luận sẽ kết luận rằng thư điện tử B là độc hại. Nếu chúng tôi bắt đầu phân tích thư điện tử C nhưng không cung cấp bất kỳ đặc điểm nào thì bản thể luận sẽ không đưa ra bất kỳ kết luận nào.

Bản thể luận và học máy có thể bổ sung cho nhau. Ví dụ, các bản thể luận có thể tối ưu hóa và tăng tốc các mô hình học máy. Chúng làm cho quá trình đào tạo các mô hình trở nên dễ dàng hơn nhiều bằng cách mô phỏng lập luận logic và có thể tự động phân loại và liên kết thông tin. Và việc sử dụng các tiên đề bản thể luận tiết kiệm thời gian – các quy tắc mô tả mối quan hệ giữa các khái niệm – có thể thu hẹp tập đầu vào cho mô hình học máy, tăng tốc khả năng tìm ra câu trả lời của nó.

Nguồn: Kaspersky Official Blog

Trong khoa học thông tin, bản thể luận là một mô tả có hệ thống về tất cả các thuật ngữ (terms) trong một lĩnh vực chủ đề cụ thể, các đặc điểm (characteristics) hoặc thuộc tính (attributes) và các mối quan hệ (relationships) của chúng. Ví dụ: bản thể luận của Vũ trụ truyện tranh Marvel bao gồm tên và thuộc tính (siêu năng lực, vũ khí, điểm yếu) của tất cả các siêu anh hùng, cấp độ sức mạnh của họ, v.v. Một bản thể học có thể mô tả bất cứ thứ gì từ rượu vang đến lưới điện.

Sử dụng một ngôn ngữ như OWL, Web Ontology Language – Ngôn ngữ Bản thể Web, bạn có thể phát triển các công cụ để phân tích bản thể luận và xác định các kết nối ẩn và các chi tiết bị thiếu hoặc tối nghĩa. Ví dụ: phân tích bản thể học của vũ trụ Marvel có thể giúp xác định đội siêu anh hùng tốt nhất và cách hợp lý nhất để đánh bại kẻ ác.

Đối với điều đó, cũng như đối với các nhiệm vụ tương tự, chúng ta có thể sử dụng nền tảng Protégé chẳng hạn. Đây là phần mềm được phát triển tại Đại học Stanford, mục đích của nền tảng này là để phân tích dữ liệu y sinh, nhưng giờ đây nó là một khung và trình soạn thảo bản thể luận mã nguồn mở, miễn phí để xây dựng các hệ thống thông minh nhằm quản lý tri thức từ bất kỳ lĩnh vực nào.

Nguồn: Kaspersky Official Blog

Trong các hệ thống thông tin, bản thể luận  là một cấu trúc bao gồm tập hợp các khái niệm (concepts) và danh mục (categories ) liên quan đến một lĩnh vực tri thức nhất định, cũng như thông tin về các thuộc tính (properties ) và các liên kết (links) giữa chúng. Trong bối cảnh an toàn thông tin, chúng ta có thể nói về bản thể luận an ninh mạng.

Các bản thể luận khác với các cơ sở tri thức (knowledge bases) hoặc các nguyên tắc phân loại (taxonomies). Sự khác biệt giữa bản thể luận và cơ sở tri thức là bản thể luận của một lĩnh vực tri thức cụ thể phải bao gồm thông tin chung toàn diện về nó, trong khi cơ sở tri thức có thể chứa dữ liệu và thông tin không đầy đủ về các trường hợp cụ thể. Các bản thể luận cũng bao hàm một cấu trúc dữ liệu (data structure); cơ sở tri thức có thể chứa các sự kiện phi cấu trúc.

Tiếp đến, phân loại học là phân loại các đối tượng và sắp xếp chúng theo thứ bậc, trong khi bản thể luận mô tả các thuộc tính và mối quan hệ (relationships) của chúng.

Các nhà khoa học dữ liệu sử dụng nhiều ngôn ngữ bản thể luận để làm việc. Trong đó, OWL (Web Ontology Language) là ngôn ngữ phổ biến nhất.

Nguồn: Kaspersky IT Encyclopedia

Trong vài năm qua, số lượng các cuộc tấn công APT, ransomware và lừa đảo đã tăng liên tục. Do đó, đội ngũ chuyên gia an ninh mạng luôn phải tìm kiếm phương pháp phòng vệ tốt hơn để bảo vệ các tổ chức. Trong bài viết này, chúng ta sẽ thảo luận về một trong những phương pháp mới được phổ biến đó là Bản thể luận An ninh mạng – Cyber Security Ontology (BTLANM).

Bản thể luận An ninh mạng là gì?
Mặc dù mới trở nên phổ biến trong những năm gần đây, nhưng BTLANM không phải là một khái niệm mới. Nó được đặt ra lần đầu tiên vào khoảng năm 2012 bởi chương trình CERT của Đại học Carnegie Mellon.
Khi nghe đến thuật ngữ BTLANM, có thể bạn sẽ nhớ đến khái niệm triết học về bản thể học, một nhánh triết học liên quan đến bản chất của sự tồn tại. Tuy nhiên, bản thể học an ninh mạng không liên quan gì đến triết học. Thay vào đó, thuật ngữ này đề cập đến tập hợp các danh mục, khái niệm và ý tưởng trong khuôn khổ của một lĩnh vực hoặc miền kỹ thuật cụ thể. Đặc điểm nổi bật nhất của BTLANM là sự minh họa mối quan hệ giữa tất cả các thành phần trong tập hợp.
Ý tưởng đằng sau một BTLANM là nhu cầu về một ngôn ngữ chung bao gồm các khái niệm cơ bản, các mối quan hệ phức tạp và các ý tưởng chính. Với việc tạo ra một BTLANM phù hợp và gắn kết, các thành viên của cộng đồng an ninh mạng trên toàn cầu có thể giao tiếp hiệu quả và phát triển sự hiểu biết chung về các ý tưởng nổi bật trong lĩnh vực này.
Ngoài ra, các BTLANM là duy nhất theo cách mà chúng xây dựng bao gồm các mối quan hệ giữa từng đối tượng trong một bản thể luận. Điều này cho phép các chuyên gia an ninh mạng đưa ra quyết định nhanh hơn và tốt hơn. Thêm vào đó, với khả năng nhìn thấy mối quan hệ giữa các sự cố, sự kiện và khái niệm sẽ cung cấp một cái nhìn sâu sắc có giá trị.

Ưu và nhược điểm của Bản thể luận an ninh mạng
Mặc dù các BTLANM đã trở nên phổ biến trong vài năm qua, vẫn có những tranh luận đang diễn ra về việc liệu chúng có thực sự hữu ích và cần thiết hay không. Sargue là một nguyên tắc phân loại cho phép các chuyên gia an ninh mạng trong các tổ chức khác nhau hoặc thậm chí ở các quốc gia khác nhau giao tiếp nhanh hơn và hiệu quả hơn. Hơn nữa, họ tuyên bố rằng các bản thể luận rất có lợi cho việc mô tả các lỗ hổng nghiêm trọng, các rủi ro và các điểm yếu có thể gây hại đặc biệt cho các tổ chức và nhân viên hỗ trợ có đặc trưng di động. Ngoài ra, một số tổ chức báo cáo rằng việc sử dụng BTLANM đã giúp họ khám phá các khả năng của sản phẩm mới và sử dụng tài nguyên hiệu quả hơn.
Mặt khác, một số chuyên gia an ninh mạng tin rằng các BTLANM khá trì trệ và cản trở các bản cập nhật có thể có về định nghĩa của các đối tượng trong đó. Khi các cuộc tấn công thay đổi, hệ thống phòng thủ và biện pháp phòng ngừa cũng thay đổi. Đương nhiên, các định nghĩa về các khái niệm và ý tưởng đơn giản một thời có thể cần một số cập nhật.
Theo quan điểm của chúng tôi, mỗi tổ chức phải đối mặt với những thách thức khác nhau khi nói đến an ninh mạng. Đó là lý do tại sao các bản thể luận và phân loại có thể rất có lợi cho một số tổ chức trong khi hoàn toàn vô dụng đối với những tổ chức khác. Bạn và các chuyên gia an ninh mạng của bạn phải quyết định liệu cách tiếp cận như vậy có hữu ích cho tổ chức của mình hay không.

Nguồn: What is Cyber Security Ontology?