该论文针对网络威胁情报中动态恶意软件行为建模的语义精确性问题展开研究。当前业界广泛使用的恶意软件描述标准MAEC和STIX虽然提供了丰富的词汇，但其数据结构复杂且混淆了本体论上的关键区分，例如将持久性恶意软件工件（如文件、注册表键）与执行过程中产生的运行时事件（如进程创建、网络连接）混为一谈，导致无法清晰表达动态行为语义，并限制了基于执行轨迹的推理能力。作者以统一基础本体论（UFO）为理论透镜，对MAEC和STIX中与动态分析相关的核心构造进行了基础本体论分析，揭示了因混淆工件、倾向（dispositions）和运行时事件而引发的本体论失配问题。基于这些洞察，论文提出MAECO-Lite轻量本体，采用模块化结构，核心模块包括样本、进程、动作、系统工件以及MITRE ATT&CK技术，并严格区分持久实体与运行时事件，从而在保持语义清晰的同时支持动态分析数据的处理。初步评估使用描述逻辑概念学习算法，表明该简化本体显著提升了学习性能，证明了基于本体论建模可在语义清晰度和计算可用性两方面带来改进。该工作适合安全分析师、本体工程师及威胁情报平台开发者阅读，以更好地理解和建模恶意软件行为。

安全知识图谱能为安全智能体提供可计算的外部记忆，但从长篇网络威胁情报（CTI）文本中构建知识图谱面临挑战：大语言模型（LLM）缺乏扎实的安全领域知识，且端到端的文档-图谱训练难以用廉价稳定的奖励进行监督。本文提出 GRID（Graph Representation of Intelligence Data）框架，一种端到端的安全文本知识图谱构建方法。GRID 首先从 CTI 文章构建安全领域监督：通过图提取和知识图谱条件文本修订，创建可追溯的文章-图对齐。然后将文档-图谱学习转化为脚本任务库，结合四选多选问题和三元组级正则匹配目标，生成比 LLM 评判器反复评分更稳定的任务特定奖励。利用该监督流水线，训练了两个基于 Qwen3-4B-Instruct-2507 的 4B 提取器：主模型任务库奖励模型和辅助模型端到端奖励模型（后者使用 LLM 评判器的精确率/召回率奖励）。在来自 GRID、CASIE、CTINexus、MalKG 和 SecureNLP 的 249 篇 CTI 文章上，结合本体引导的 GRID 提取流水线的任务库奖励模型达到了 84.62% 的来源平均精确率、64.91% 的来源平均召回率和 68.53% 的平均 F1 值，实现了最佳来源平均召回率和接近最高的平均 F1，同时 token 使用和部署成本更低。端到端奖励模型达到 76.91% 精确率、53.85% 召回率和 58.06% 平均 F1。进一步分析表明，任务库奖励可一次性离线构建，并在后续后训练运行中复用，性能优于在线端到端 LLM 评判器奖励以及更弱的替代方案（如仅选择奖励和无需强化学习的端到端 SFT）。