智慧城市基礎設施威脅與數位調查的創新本體論：SCOPE的誕生

隨著科技的進步以及對聯合國（UN）永續發展目標（SDGs）的認識日益加深，城市中能夠即時反映SDGs資料指標的互聯系統已成為未來的發展方向。這些被稱為智慧城市基礎設施（SCI）的系統，對於各國評估其與聯合國SDGs的契合度至關重要。然而，隨著智慧城市基礎設施的重要性日益凸顯，它也無可避免地成為敵對勢力和網路犯罪分子的主要目標。

「數位鑑識調查人員長期以來一直處於劣勢。他們在調查過程中經常面臨時間緊迫和資料量龐大的挑戰。此外，如果需要在SCI等不常見的平臺上進行協作，調查人員必須建立一個共同的調查參考框架，並識別威脅、相應的數位證據來源以及所犯下的罪行。這些活動往往耗費大量時間和精力。」新加坡科技設計大學（SUTD）自動化系統安全（ASSET）研究組的研究員Dr. Tok Yee Ching解釋道。

為了協助未來的數位鑑識調查人員和執法機構在SCI上進行調查，Dr. Tok與新加坡理工學院學生Davis Yang Zheng以及SUTD副教授Sudipta Chattopadhyay共同開發了一個用於SCI威脅、網路犯罪和數位調查的本體論——智慧城市本體論表達正規化（SCOPE）。他的論文《智慧城市基礎設施本體論：威脅、網路犯罪與數位鑑識調查》已發表在《Forensic Science International: Digital Investigation》期刊上。

本體論是特定領域內概念和資料的表示、定義和關係。透過使用本體論，複雜的領域可以透過一致且結構化的知識表示更容易理解。SCOPE被設計為數位鑑識調查人員的有力助手，並遵循國際標準化標準。SCOPE還採用了技術無關的方法，以應對能源、家庭、石油天然氣等各個領域中多樣化的智慧城市基礎設施。

在進行研究時，ASSET研究組分析了現有的本體論，如統一網路本體論（UCO）和網路調查分析標準表達（CASE）。經過仔細考慮和深入研究，該組得出結論，這些現有的本體論缺乏SCI的表示，並且在臨時基礎上擴充套件它們對於調查人員來說是低效且無效的。這促成了SCOPE的設計與開發。

基於ASSET研究組先前的工作，該組研究人員及其新加坡理工學院的合作者將他們在SCI威脅、網路犯罪和證據來源方面的早期工作嵌入到SCOPE中。其他關鍵資訊，如來自MITRE的攻擊技術和模式分類，也被納入其中。透過SCOPE，使用者可以將其應用於各種使用案例，如SCI網路犯罪事件、證據共享，甚至敵對模擬。

儘管SCOPE的設計具有挑戰性，但其在現實生活中的網路犯罪場景中的適用性仍需徹底調查。為此，Dr. Tok及其同事透過基於高階持續性威脅（APTs）的真實活動精心設計的場景，評估了SCOPE的可用性。評估包括：i）場景的本體論表示，ii）調查及APT使用的戰術、技術和程式（TTPs），以及iii）使用識別的妥協指標（IoCs）進行遏制和恢復。簡而言之，這一評估對於理解SCOPE的終端使用者如何將其應用於現實場景並在SCI中發生網路犯罪時完成關鍵任務是必要的。

評估結果顯示，透過使用SCOPE，調查人員可以在調查過程中新增更多細節，如惡意軟體感染的受影響區域和損害程度。這些額外的上下文資訊提高了效率並加速了補救措施。調查人員還受益於易於訪問的複雜技術細節，如威脅型別和受影響的系統。

ASSET研究組已將SCOPE公開提供給數位鑑識社羣使用，以協助未來的SCI調查。未來，ASSET研究組將進一步增加工具支援，以使用SCOPE本體論，並將與來自公共和私營部門的數位鑑識專業人員進行使用者研究。這將確定SCOPE如何進一步改進以用於行業。該組還希望未來的研究人員能夠探索將SCOPE整合到數位鑑識工具中，以增強數位鑑識調查人員在未來工作流程中的能力。