孫澄，胡浩，楊英杰，張紅旗

基于網(wǎng)絡(luò)防御知識圖譜的0day攻擊路徑預(yù)測方法

孫澄，胡浩，楊英杰，張紅旗

（信息工程大學(xué)，河南 鄭州 450001）

針對0day漏洞未知性造成的攻擊檢測難問題，提出了一種基于知識圖譜的0day攻擊路徑預(yù)測方法。通過從現(xiàn)有關(guān)于網(wǎng)絡(luò)安全領(lǐng)域本體的研究成果及網(wǎng)絡(luò)安全數(shù)據(jù)庫中抽取“攻擊”相關(guān)的概念及實體，構(gòu)建網(wǎng)絡(luò)防御知識圖譜，將威脅、脆弱性、資產(chǎn)等離散的安全數(shù)據(jù)提煉為互相關(guān)聯(lián)的安全知識。在此基礎(chǔ)上，依托知識圖譜整合的知識，假設(shè)并約束0day漏洞的存在性、可用性及危害性等未知屬性，并將“攻擊”這一概念建模為知識圖譜中攻擊者實體與設(shè)備實體間存在的一種關(guān)系，從而將攻擊預(yù)測問題轉(zhuǎn)化為知識圖譜的鏈接預(yù)測問題。采用基于路徑排序算法的知識圖譜推理方法挖掘目標(biāo)系統(tǒng)中可能發(fā)生的0day攻擊，并生成0day攻擊圖。復(fù)用分類器輸出的預(yù)測得分作為單步攻擊發(fā)生概率，通過計算并比較不同攻擊路徑的發(fā)生概率，預(yù)測分析0day攻擊路徑。實驗證明，所提方法能夠依托知識圖譜提供的知識體系，為攻擊預(yù)測提供較全面的知識支持，降低預(yù)測分析對專家模型的依賴，并較好地克服0day漏洞未知性對預(yù)測分析造成的不利影響，提高了0day攻擊預(yù)測的準(zhǔn)確性，并且借助路徑排序算法基于圖結(jié)構(gòu)這一顯式特征進(jìn)行推理的特點，能夠?qū)ν评斫Y(jié)果形成的原因進(jìn)行有效反溯，從而一定限度上提高了攻擊預(yù)測分析結(jié)果的可解釋性。

知識圖譜；0day攻擊；攻擊路徑預(yù)測

0 引言

在當(dāng)今網(wǎng)絡(luò)攻防體系中，0day漏洞是指未被安全廠商發(fā)現(xiàn)，卻可能被黑客組織掌握的系統(tǒng)脆弱性的總稱。在被用于發(fā)起0day攻擊時，因其對于防御者具有未知性，造成攻防雙方嚴(yán)重的信息不對稱，使防御者缺乏漏洞細(xì)節(jié)信息，難以實施有效檢測，攻擊者因此提高了攻擊的隱蔽性及成功率。當(dāng)前，0day攻擊常被應(yīng)用于入侵高防護級別的信息系統(tǒng)并實現(xiàn)攻擊的隱蔽持續(xù)，如“震網(wǎng)”事件。由此可見，如何克服0day漏洞未知性導(dǎo)致的0day攻擊難以檢測的問題已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域面臨的一大難題。

關(guān)于0day攻擊檢測的研究主要包括事前的攻擊預(yù)測及融合告警的實時檢測兩方面，其中，攻擊預(yù)測是指在攻擊發(fā)生前，綜合系統(tǒng)配置信息及有關(guān)攻擊知識，對目標(biāo)系統(tǒng)中潛在0day攻擊的位置、可能性及影響進(jìn)行預(yù)判。具體可分為基于統(tǒng)計學(xué)的預(yù)測技術(shù)及基于攻擊場景的預(yù)測技術(shù)。前者通過統(tǒng)計分析現(xiàn)有漏洞的生命周期，對新漏洞出現(xiàn)的時間、數(shù)量及宿主等進(jìn)行預(yù)測，進(jìn)而實現(xiàn)0day攻擊的預(yù)測[1-2]，然而，此類預(yù)測技術(shù)未結(jié)合攻擊場景，分析0day攻擊對系統(tǒng)安全造成的危害，且準(zhǔn)確度不高。后者則以已知漏洞利用模型為參照，構(gòu)建0day攻擊模型，在生成已知攻擊路徑的基礎(chǔ)上，依據(jù)同一路徑所屬攻擊的前后依賴關(guān)系，匹配攻擊的前后置條件，從而預(yù)測0day攻擊。Wang等[3-4]基于漏洞存在及利用的最壞情況假設(shè)，構(gòu)設(shè)0day漏洞利用規(guī)則，在生成全局0day攻擊圖的基礎(chǔ)上，提出了k-0day安全度量，依據(jù)攻陷目標(biāo)節(jié)點所需0day漏洞最小數(shù)量評估網(wǎng)絡(luò)安全性，該研究雖然實現(xiàn)了0day攻擊危害性的度量，但在最壞情況假設(shè)下生成的全局攻擊圖，規(guī)模過大，難以應(yīng)用于節(jié)點規(guī)模較大的網(wǎng)絡(luò)。而Albanese等[5]則提出了無須事先生成全局攻擊圖即可評估系統(tǒng)k-0day安全性的算法，提高了k-0day安全度量的可行性。然而以上研究均以安全度量為研究重點，未深入涉及0day攻擊的推理方法。Yang等[6]參照已知漏洞利用規(guī)則，構(gòu)建提權(quán)、DDoS及信息泄露等多種0day攻擊模型，并提出了較為完整的0day攻擊圖生成算法，但該算法不加約束地假設(shè)系統(tǒng)每個設(shè)備均存在一個0day漏洞，導(dǎo)致攻擊圖中存在大量發(fā)生概率較低的0day攻擊。葉子維[7]等基于已知攻擊路徑及權(quán)限提升原則，對0day攻擊條件進(jìn)行了約束，排除了部分冗余的0day攻擊，然而其關(guān)于0day攻擊的推理依賴前期生成完整的已知攻擊路徑，難以應(yīng)對已知漏洞較少，不足以構(gòu)建完整攻擊路徑的場景。

0day攻擊的實時檢測是指基于攻擊圖等預(yù)測結(jié)果，融合實時告警信息，通過攻擊級聯(lián)，依據(jù)被檢測的已知攻擊間的“跳躍”狀況，對可能已發(fā)生的0day攻擊進(jìn)行的推理。Ahmadinejad等[8]通過設(shè)置攻擊級聯(lián)閾值，判斷出現(xiàn)攻擊“跳躍”的路徑是否出現(xiàn)未知攻擊。Sun[9-11]等通過構(gòu)建系統(tǒng)調(diào)用依賴圖，結(jié)合入侵報警信息，在系統(tǒng)調(diào)用層面實現(xiàn)了0day攻擊檢測，提高了檢測精度。而Singh等[12]則提出了利用并行處理提高檢測實時性的分層式0day攻擊檢測架構(gòu)。然而，以上攻擊實時檢測的研究本質(zhì)上仍需以攻擊預(yù)測生成的結(jié)果作為先驗知識實施推理。

綜上所述，攻擊預(yù)測技術(shù)是0day攻擊檢測研究的關(guān)鍵。然而，關(guān)于0day攻擊預(yù)測的研究普遍依靠假設(shè)的條件、專家知識構(gòu)建的攻擊模型以及同一攻擊路徑中攻擊的前后依賴關(guān)系來應(yīng)對0day漏洞未知性的影響，這一過程存在3個方面的不足：一是條件假設(shè)缺乏有效約束，易導(dǎo)致0day攻擊的預(yù)測結(jié)果規(guī)模過大，降低了預(yù)測的意義；二是專家知識構(gòu)建的攻擊模型，易受專家主觀知識面的制約；三是在已知攻擊路徑不完整的情況下，預(yù)測方法難以適用。針對以上不足，本文提出了基于知識圖譜的0day攻擊路徑預(yù)測方法，利用網(wǎng)絡(luò)防御知識圖譜將攻擊相關(guān)的威脅、資產(chǎn)、脆弱性等數(shù)據(jù)融合為知識相互關(guān)聯(lián)且覆蓋面較廣的安全知識庫，依據(jù)其中整合的漏洞數(shù)據(jù)、攻擊意圖等知識，對0day漏洞未知屬性的假設(shè)條件進(jìn)行合理約束；其次，利用路徑排序算法，以知識圖譜中鏈接攻擊者實體與目標(biāo)實體的關(guān)系路徑為特征，從更全面的角度對0day攻擊展開預(yù)測，克服專家知識構(gòu)設(shè)模型的局限性；最后，以歷史攻擊數(shù)據(jù)為樣本，設(shè)計并訓(xùn)練Logistic二元分類器，實施單步攻擊預(yù)測，從而擺脫對已知攻擊路徑的依賴，并通過復(fù)用Logistic二元分類器輸出的單步攻擊發(fā)生概率，計算攻擊路徑綜合利用率，預(yù)測針對目標(biāo)資產(chǎn)最有可能被攻擊者利用的0day攻擊路徑，從而支持防御決策[13-14]。

1 預(yù)備知識

為使表述清晰準(zhǔn)確，對文中相關(guān)概念定義如下。

定義1 網(wǎng)絡(luò)防御知識圖譜（CKG，cyber defense knowledge graph）

CKG以三元組(CSO, FACT, T)表示，其中，CSO=(,,)為網(wǎng)絡(luò)安全本體，為類集，為關(guān)系類型集，為屬性類型集，F(xiàn)ACT為以RDF（resource description framework）三元組格式表示的數(shù)據(jù)知識的集合，為CSO中的類與FACT中的實體對象的類型從屬關(guān)系集合。

定義2 0day漏洞

0day漏洞指未被安全廠商發(fā)現(xiàn)，卻可能被黑客組織掌握的系統(tǒng)脆弱性的總稱。為使研究更具針對性，以下0day漏洞僅指未被安全廠商發(fā)現(xiàn)的技術(shù)漏洞。

定義3 0day攻擊

0day攻擊指攻擊者利用掌握的0day漏洞發(fā)起的單步攻擊，記為0。相對地，已知攻擊a為攻擊者利用已知漏洞發(fā)起的單步攻擊。

定義4 0day攻擊路徑zap

zap是指包含0day攻擊的一組前后依賴的單步攻擊構(gòu)成的無環(huán)攻擊序列，表示為（,），其中，為單步攻擊集，為鏈接單步攻擊的有向邊集。

定義5 0day攻擊圖ZAG

定義6 關(guān)系路徑（rp，relation path）[15]

rp指由知識圖譜中的一組關(guān)系類型組成的序列，寫作rp:c，。其中，c=Domain(r1)=Range(r)，0Domain(rp)，cRange(rp)，|rp|表示關(guān)系路徑長度，為關(guān)系路徑包含的關(guān)系類型總數(shù)，。

本文中知識圖譜與攻擊圖的關(guān)系如下：CKG是攻擊預(yù)測算法的輸入，作為知識庫，為攻擊預(yù)測提供所需的知識；0day攻擊圖ZAG則是攻擊預(yù)測結(jié)果的圖形表示。

關(guān)系路徑與攻擊路徑的區(qū)別如下：rp用作路徑排序算法中l(wèi)ogistic regression模型執(zhí)行攻擊預(yù)測使用的特征；0day攻擊路徑zap則是以0day攻擊圖為參照，結(jié)合多步攻擊發(fā)生概率，提取的攻擊路徑預(yù)測結(jié)果。

對本文中出現(xiàn)的主要符號描述如表1所示。

2 網(wǎng)絡(luò)防御知識圖譜

知識圖譜是一種利用圖模型描述知識并建模萬物間關(guān)聯(lián)關(guān)系的有效技術(shù)方法[16]。將該技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，構(gòu)建網(wǎng)絡(luò)防御知識圖譜，可將異構(gòu)碎片化的網(wǎng)絡(luò)安全數(shù)據(jù)整合為格式統(tǒng)一、互相關(guān)聯(lián)的安全知識，為攻擊預(yù)測提供支持，有利于實施針對性防御。以下重點對網(wǎng)絡(luò)防御知識圖譜架構(gòu)構(gòu)建以及網(wǎng)絡(luò)安全本體設(shè)計進(jìn)行詳細(xì)介紹。

表1 本文主要符號及其描述

2.1 架構(gòu)構(gòu)建

根據(jù)定義1可知，網(wǎng)絡(luò)防御知識圖譜可分為模式層與數(shù)據(jù)層兩部分，其中，模式層為知識圖譜的核心，以網(wǎng)絡(luò)安全本體（CSO，cyber security ontology）定義了網(wǎng)絡(luò)防御的基本概念體系，為數(shù)據(jù)層知識的建模提供模式定義。數(shù)據(jù)層則是知識圖譜的主體，是通過知識抽取、知識融合等步驟獲取的具體事實，在模式定義下建模而成的數(shù)據(jù)知識的集合，數(shù)據(jù)知識以RDF三元組形式表示為（subject, predicate, object）。兩層關(guān)系示例如圖1所示，該示例的模式層定義了攻擊模式類、脆弱性類以及分別以兩者為定義域、值域的關(guān)系類型exploit，數(shù)據(jù)層則以此模式建模了數(shù)據(jù)知識（CVE-2017-0290, Code Injection, exploit），表示代碼注入這一攻擊模式能夠利用漏洞CVE- 2017-0290。

根據(jù)知識圖譜的分層結(jié)構(gòu)，其構(gòu)建主要有自頂向下、自下而上兩種方法。由于當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域概念體系的研究已較為成熟[17-19]，因此網(wǎng)絡(luò)防御知識圖譜適用于自頂向下的知識圖譜構(gòu)建方法，即首先構(gòu)建以網(wǎng)絡(luò)安全本體為內(nèi)容的模式層，再以模式層為基礎(chǔ)，綜合多種知識抽取及融合技術(shù)，從異構(gòu)數(shù)據(jù)源提取并建模數(shù)據(jù)知識，構(gòu)建數(shù)據(jù)層。網(wǎng)絡(luò)防御知識圖譜架構(gòu)構(gòu)建如圖2所示。

圖1 模式層與數(shù)據(jù)層關(guān)系示例

Figure 1 Relation of pattern layer and data layer

圖中綠色、橙色箭頭分別代表模式層、數(shù)據(jù)層構(gòu)建涉及的步驟，藍(lán)色箭頭則為兩者共同涉及的步驟，箭頭序號表示步驟次序。對于自頂而下的知識圖譜構(gòu)建方法，首先抽取現(xiàn)有網(wǎng)絡(luò)安全領(lǐng)域本體的研究成果，利用本體集成的方式構(gòu)建網(wǎng)絡(luò)安全本體，完成模式層構(gòu)建，在此基礎(chǔ)上，以本體定義的知識模式為參照進(jìn)行數(shù)據(jù)層的知識抽取、融合，實現(xiàn)數(shù)據(jù)層構(gòu)建，知識抽取過程中，針對關(guān)系數(shù)據(jù)庫提供的結(jié)構(gòu)化數(shù)據(jù)以及以文本為代表的非結(jié)構(gòu)化數(shù)據(jù)，可分別使用D2R（relational database to RDF）[20]工具及深度學(xué)習(xí)的方法[21]實現(xiàn)知識抽取。最終，為更好地支持路徑排序算法等圖結(jié)構(gòu)算法進(jìn)行知識推理，使用圖數(shù)據(jù)庫將數(shù)據(jù)知識存儲為以節(jié)點、邊為元素的屬性圖格式，完成知識存儲，由圖數(shù)據(jù)庫對外提供統(tǒng)一的知識圖譜應(yīng)用接口。

圖2 網(wǎng)絡(luò)防御知識圖譜構(gòu)建架構(gòu)

Figure 2 Construction framework of CKG

2.2 本體設(shè)計

由自頂而下的知識圖譜構(gòu)建順序可知，CSO是決定網(wǎng)絡(luò)防御知識圖譜質(zhì)量的關(guān)鍵。本文利用本體集成的方式構(gòu)建CSO，通過將現(xiàn)有研究較為成熟的網(wǎng)絡(luò)安全本體融合為一個統(tǒng)一本體，借鑒當(dāng)前該領(lǐng)域研究成果并實現(xiàn)不同成果間的優(yōu)勢互補。由于司成等[22]提出的NSSEKB_O（ontology of network security situation element knowledge base）從領(lǐng)域本體、應(yīng)用本體、原子本體3個層面對網(wǎng)絡(luò)安全知識體系進(jìn)行了系統(tǒng)梳理，具有較好的知識完備性，而謝敏容等[19]構(gòu)建的AFACSDO（asset fragility attack cyber security domain ontology）復(fù)用了多個有代表性的網(wǎng)絡(luò)安全本體，是網(wǎng)絡(luò)安全本體研究的最新成果，具有較好的時效性。因此，本文選取以上兩項研究成果作為集成對象實施本體集成。

網(wǎng)絡(luò)安全本體以資產(chǎn)、威脅、脆弱性三大知識模塊為基礎(chǔ)，融合NSSEKB_O及AFACSDO的相關(guān)概念知識，如圖3所示。其中，資產(chǎn)模塊以設(shè)備類為核心，集成了設(shè)備存在的組件，操作設(shè)備的職員、設(shè)備承載的功能、提供的服務(wù)、存儲的數(shù)據(jù)等資產(chǎn)以及設(shè)備的權(quán)限等類；威脅模塊以攻擊者類為核心，集成了競爭對手、黑客組織等攻擊者類的子類以及攻擊者能夠運用的攻擊模式、攻擊模式常用的工具、所屬的戰(zhàn)術(shù)等類；脆弱性模塊以脆弱性為核心，集成了脆弱性利用產(chǎn)生的后果，并將脆弱性類細(xì)化為已知漏洞、0day漏洞、人性弱點等子類。為提高圖3的可視性，圖中使用有向邊表示不同的關(guān)系類型，有向邊的起始類及目標(biāo)類分別為關(guān)系類型的定義域與值域。關(guān)系類型將同一知識模塊中的不同類以及不同知識模塊互相關(guān)聯(lián)起來，構(gòu)成知識體系。

圖3 網(wǎng)絡(luò)安全本體示意

Figure 3 Cyber security ontology

3 0day攻擊路徑預(yù)測

網(wǎng)絡(luò)防御知識圖譜將攻擊這一概念定義為以攻擊者類為定義域、設(shè)備類為值域的關(guān)系類型（圖3紅色虛線），具體攻擊行為的推理問題即轉(zhuǎn)化為知識圖譜數(shù)據(jù)層中攻擊者實體與設(shè)備實體間攻擊關(guān)系的預(yù)測問題。而路徑排序算法（PRA，path ranking algorithm）[23]是一種用于知識圖譜鏈路預(yù)測的有效方法，其預(yù)測結(jié)果不僅準(zhǔn)確率高，且可解釋性強，能夠便于防御者在獲取預(yù)測結(jié)果后對攻擊成因等知識進(jìn)行挖掘，因此本文選用PRA算法執(zhí)行單步攻擊預(yù)測，并實現(xiàn)0day攻擊圖的構(gòu)建。在此基礎(chǔ)上，通過分析比較不同攻擊路徑的綜合利用率，預(yù)測攻擊者最有可能利用的0day攻擊路徑。

3.1 0day漏洞未知屬性分析

在實施預(yù)測前，通過未知屬性分析，對缺失的0day漏洞屬性進(jìn)行假設(shè)并實施約束，這是預(yù)測分析的基礎(chǔ)。0day漏洞未知的屬性主要包括漏洞存在位置、利用條件以及產(chǎn)生影響等信息。當(dāng)前相關(guān)研究主要通過條件假設(shè)的方式對未知的0day漏洞信息進(jìn)行補全，在此過程中，如何對假設(shè)的漏洞信息進(jìn)行合理約束是決定預(yù)測結(jié)果質(zhì)量的關(guān)鍵。本文基于知識圖譜整合的知識，在提出0day漏洞存在性、可用性、危害性假設(shè)的基礎(chǔ)上，分別采用統(tǒng)計分析、樣本訓(xùn)練及意圖分析的方式對相關(guān)假設(shè)進(jìn)行約束。

3.1.1 0day漏洞存在性

存在性假設(shè)：0day漏洞可能存在于設(shè)備的任意組件中。

NVD、CNNVD等數(shù)據(jù)庫提供的漏洞數(shù)據(jù)顯示，不同組件已曝光的漏洞數(shù)量存在明顯差別，表明漏洞的存在性與作為其載體的組件存在關(guān)聯(lián)。因此對于該假設(shè)，可利用組件特征進(jìn)行約束，將0day漏洞視為組件將來可能曝光的漏洞，通過統(tǒng)計分析不同組件的漏洞曝光歷史數(shù)據(jù)，對不同組件存在0day漏洞的可能性進(jìn)行量化。

圖4為以CNNVD公布的2015年7月以來的漏洞數(shù)據(jù)為樣本，抽取廠商（vendor）、組件類型（ctype）兩類組件屬性作為特征，按月統(tǒng)計獲取的不同屬性組件月漏洞曝光數(shù)的平均占比，平均占比越高表示具有相應(yīng)屬性的組件相對于其他組件存在0day漏洞的可能性越高。如圖4所示，不同廠商組件的漏洞曝光平均占比由高到低呈現(xiàn)明顯的階梯狀下降趨勢，據(jù)此可將廠商劃分為高、中、低3類。高占比廠商（HPV, high production vendor）包括Google、Oracle、Microsoft，月平均占比約6%，中等占比廠商（MPV, middle production vendor）包括IBM、Adobe、Apple、Cisco，月平均占比約4%，低占比廠商（LPV, low production vendor）為Mozilla至GitLab等，月平均占比約1%，其余圖中未顯示的廠商占比相對較低，認(rèn)為其存在0day漏洞的可能性極小，設(shè)為0。而組件類型方面，應(yīng)用及操作系統(tǒng)類型組件的漏洞曝光數(shù)占比均接近50%，而硬件類型組件遠(yuǎn)遠(yuǎn)小于前者，僅占3%。對以上占比數(shù)據(jù)進(jìn)行歸一化處理，構(gòu)造0day漏洞存在概率的賦值矩陣，如表1所示。

圖4 漏洞曝光數(shù)平均占比統(tǒng)計分析

Figure 4 Statistics of vulnerabilities exposing average proportion

表1 0day漏洞存在概率p的賦值

根據(jù)存在性假設(shè)，在知識圖譜中建立0day漏洞實體至全部組件實體的關(guān)系“P-exist?1”，記indv(0day)、indv(Cmpt)分別為某0day漏洞實體及某組件實體，則兩實體間的關(guān)系“P-exist?1”成立的概率prob(P-exist?1)為：prob(P?exist?1(indv(0day), indv (Cmpt)) =(indv (Cmpt). vendor, indv(Cmpt). ctype)

由上述可見，0day漏洞的存在性假設(shè)受到了組件特征的約束，當(dāng)廠商、類型取值為不同的組合時，0day漏洞存在于相應(yīng)組件的概率也不同。

3.1.2 可用性與危害性

可用性假設(shè)：0day漏洞可能被目標(biāo)設(shè)備上的任意權(quán)限觸發(fā)。

權(quán)限在知識圖譜中以權(quán)限實體的形式存在，不同漏洞的觸發(fā)需要不同程度的權(quán)限，而權(quán)限越高，越便于攻擊者觸發(fā)漏洞。在知識圖譜中設(shè)置關(guān)系“trigger”的屬性“tri_prob”表示權(quán)限觸發(fā)0day漏洞的概率，依據(jù)權(quán)限高低進(jìn)行賦值。關(guān)系“trigger”包含于攻擊者實體與目標(biāo)設(shè)備實體間的關(guān)系路徑中，因而“tri_prob”通過參與路徑特征的計算，可體現(xiàn)于樣本特征中。在利用攻擊樣本對Logistic二元分類器進(jìn)行訓(xùn)練的過程中，依據(jù)正負(fù)樣本的區(qū)別，可將0day漏洞的利用條件約束于樣本中的情景。當(dāng)分類器判定0day攻擊關(guān)系成立時，通過查詢知識圖譜中攻擊者實體在設(shè)備實體上已獲取的權(quán)限實體，可確定本次觸發(fā)0day漏洞所使用的權(quán)限。

危害性假設(shè)：0day漏洞利用產(chǎn)生的危害僅能夠滿足攻擊者實現(xiàn)對目標(biāo)設(shè)備攻擊意圖的最低需求。

漏洞利用產(chǎn)生的危害在知識圖譜中以后果實體的形式表示，同時，知識圖譜通過威脅實體，對攻擊者的攻擊意圖進(jìn)行了整合。由于攻擊者利用漏洞發(fā)起攻擊是以實現(xiàn)攻擊意圖為目的的，如果漏洞利用產(chǎn)生的后果不足以支持攻擊意圖的實現(xiàn)，則攻擊者沒有利用該漏洞的必要，而當(dāng)后果超出實現(xiàn)攻擊意圖的需要時，超出的部分對于攻擊者而言意義也不大，因此以上假設(shè)利用攻擊意圖約束0day漏洞利用產(chǎn)生的危害性是可行且較為合理的。例如，攻擊者實體APT-28主要從事竊密活動，目標(biāo)設(shè)備實體存儲有機密資料，在知識圖譜中構(gòu)建威脅實體“竊取機密”作為APT-28對該設(shè)備的攻擊意圖，若預(yù)測APT-28利用0day漏洞對該設(shè)備發(fā)起了攻擊，則產(chǎn)生的后果通過威脅實體約束為“機密性損害”，不再額外涉及完整性、可用性等其他方面的影響。

3.2 路徑排序算法

路徑排序算法的基本思想是將鏈接兩個實體的關(guān)系路徑作為特征來預(yù)測實體間是否存在某種特定關(guān)系。具體而言，該算法依托知識圖譜提取實體間的一組關(guān)系路徑，選擇合適的方法計算起始實體沿該路徑到達(dá)目標(biāo)實體的概率，記為路徑特征，以此為輸入，利用訓(xùn)練好的Logistic Regression模型綜合全部路徑特征計算待測關(guān)系成立的概率，并依據(jù)閾值判斷關(guān)系是否成立。

3.2.1 算法示例說明

圖5 知識圖譜子圖的實例

Figure 5 Sub graph of example

需要預(yù)測的目標(biāo)關(guān)系為born In City。第一步，提取定義域、值域分別為Person類及City類的關(guān)系路徑，并限制路徑長度不超過2；第二步，獲取目標(biāo)關(guān)系的實例，正例如（Tom, Paris），負(fù)例如（Tom, Lyon）；第三步，計算關(guān)系實例中起止實體間的路徑特征，構(gòu)造樣本；第四步，利用樣本數(shù)據(jù)訓(xùn)練分類器；最后，使用訓(xùn)練完成的分類器進(jìn)行預(yù)測。各步驟產(chǎn)生的數(shù)據(jù)如表2所示。

表2 操作過程中生成的數(shù)據(jù)

表3 關(guān)系路徑提取

注：?1為的逆關(guān)系，is表示的父子類關(guān)系僅用于標(biāo)識父類實體的不同種類，不計入路徑長度，不參與特征計算。

3.2.2 關(guān)系路徑提取

由定義6可知，關(guān)系路徑為關(guān)系類型的序列，屬于模式層知識，通過查詢網(wǎng)絡(luò)安全本體，提取Domain(rp)=Adversary，Range(rp)=Device，長度不超過6的關(guān)系路徑rp，如表3所示。

給定起止實體的情況下，表3中的關(guān)系路徑反映了實體間在不同方面的關(guān)聯(lián)性，如路徑rp2從攻擊意圖對設(shè)備承載功能產(chǎn)生的威脅方面刻畫攻擊者與目標(biāo)設(shè)備的聯(lián)系，而rp8則從脆弱性對設(shè)備承載功能的危害方面刻畫了兩者間的聯(lián)系。

3.2.3 路徑特征計算

路徑排序算法利用隨機游走的方法計算路徑特征，對于任意關(guān)系路徑rp：

c

c?1

采用遞歸的方式計算特征，

exp((,))為給定實體與間關(guān)系存在的期望，期望計算如式(4)所示。通過在計算過程中加入關(guān)系存在概率prob，將實體特殊性產(chǎn)生的影響計入路徑特征，并將沿關(guān)系路徑轉(zhuǎn)移的最大概率作為路徑特征，有效消除了無關(guān)實體新增對路徑特征產(chǎn)生的不合理影響。如出現(xiàn)上節(jié)實例的情況時，由于新增攻擊模式實體與脆弱性不存在利用關(guān)系，經(jīng)該實體到達(dá)脆弱性的概率為0，不影響最大概率的選取。

prob((,))取值受實體特殊性影響并需結(jié)合實際選擇合理的方法進(jìn)行計算，如3.1節(jié)對于關(guān)系“P-exist?1”存在概率的賦值，需通過統(tǒng)計不同屬性組件的漏洞曝光歷史數(shù)據(jù)，橫向比較數(shù)量占比，進(jìn)行量化計算，此處不再贅述。

3.2.4 攻擊分類器構(gòu)造

路徑預(yù)測算法利用Logistic Regression模型構(gòu)造二元分類器實施鏈路預(yù)測。在完成路徑特征計算的基礎(chǔ)上，通過設(shè)計得分函數(shù)，綜合不同的路徑特征，計算待測關(guān)系成立的得分，得分越高表示關(guān)系成立的可能性越高。得分函數(shù)如式(5)所示。

訓(xùn)練過程為求解使損失函數(shù)在樣本集上取值最小的一組參數(shù)作為最優(yōu)解。訓(xùn)練完成后，將參數(shù)最優(yōu)解代入式(6)，通過輸入給定兩實體間的關(guān)系路徑特征，可對實體間待測關(guān)系進(jìn)行預(yù)測。

3.3 攻擊路徑預(yù)測

利用給定系統(tǒng)的歷史攻擊數(shù)據(jù)構(gòu)造攻擊樣本，訓(xùn)練分類器LCA用于預(yù)測攻擊是否發(fā)生，在此基礎(chǔ)上，從攻擊正樣本中區(qū)分0day攻擊、已知攻擊，構(gòu)造0day攻擊樣本，訓(xùn)練分類器LCZ用于判斷發(fā)生的單步攻擊是否為0day攻擊。完成攻擊預(yù)測后，利用圖數(shù)據(jù)庫的查詢功能，以起止實體及關(guān)系路徑為條件，對攻擊利用的脆弱性及前后置條件進(jìn)行挖掘，構(gòu)造單步攻擊，并生成0day攻擊圖。

依托0day攻擊圖，以攻擊者初始權(quán)限為起點，目標(biāo)權(quán)限為終點，提取0day攻擊路徑，并通過復(fù)用LCA分類器輸出的單步攻擊發(fā)生的概率，計算不同攻擊路徑的綜合利用率，以此為依據(jù)，預(yù)測攻擊者最有可能利用的0day攻擊路徑。綜合利用率計算如式(8)所示。

0day攻擊路徑預(yù)測算法如算法1所示。

算法1 0day攻擊路徑預(yù)測算法

輸入 網(wǎng)絡(luò)防御知識圖譜CKG；關(guān)系路徑集RP；攻擊樣本1；0day攻擊樣本2

輸出 0day攻擊圖ZAG=(, Priv,, Prob)；0day攻擊路徑集ZAP；綜合利用率集CE；最優(yōu)攻擊路徑opt_zap

2) att=selectAttacker(CKG)；//選取攻擊者

3) Host←selectHost(CKG)；//提取系統(tǒng)設(shè)備集

4) Init_Priv←Query _Privilege (att, CKG)；//查詢攻擊者初始權(quán)限集

5) LCA.fit (1)；LCZ.fit (2)；//分類器訓(xùn)練

6) while 1：

7)tmp=；

8) for host in Host:

9) Calculateatt, host；//特征計算

10)LCA.predict (att, host)；

11) if(0)//分類器判斷攻擊未發(fā)生，跳出本次循環(huán)

12) continue；

13) if(LCZ.predict (att, host))://判斷攻擊為0day攻擊

14) vul=Query _0day (att, host, CKG, RP)；//在知識圖譜中查詢攻擊利用的0day漏洞實體

15) Thr←Query_Threat(att, host, CKG, RP)；//查詢攻擊者對目標(biāo)設(shè)備的攻擊意圖

16) Create post_priv satisfy Thr；//創(chuàng)建滿足攻擊意圖的權(quán)限實體作為攻擊后置權(quán)限

17) else

18) vul=Query _Known (att, host, CKG, RP)；//在知識圖譜中查詢攻擊利用的已知漏洞實體

19) Cons←Query_Consequence (vul, CKG, RP)；//查詢漏洞利用的后果

20) post_priv=Evaluate(Cons)；//根據(jù)后果評估攻擊者獲取的權(quán)限作為后置權(quán)限

21)=Create Attack(host, vul)；//構(gòu)造單步攻擊

23) continue；

24)←；

25) prob()=LCA.prediction _prob(att, host)；//提取攻擊發(fā)生的概率

26) Prob←prob()；

27) Priv←post_priv；

28)←CreateLink(, post_priv)；

29) pre_privQuery_Privilege(att, host, CKG, RP)；//查詢攻擊的前置權(quán)限

30) Priv←pre_priv；

31)←CreateLink(pre_priv,)；

32) CKG=CKG. update(post_priv)；//更新知識圖譜中攻擊者獲取的權(quán)限

33) if (tmp==)//判斷本輪預(yù)測未出現(xiàn)新的攻擊，則結(jié)束預(yù)測

34) break；

35) endwhile

36) Goal_Priv←check(Priv)；//選取目標(biāo)權(quán)限

37) ZAP←AttackPathExtraction(Init_Priv, Goal_Priv);//提取攻擊路徑

38) forzapin ZAP:

39) Calculateexploit(zap)；

40) CE←exploit；

41) opt_zap=argmax(exploit(zap), zap)；

42) Return ZAG=(, Priv,, PR), ZAP, CE, opt_zap

4 實驗

為驗證本文方法的有效性，設(shè)計實驗環(huán)境如圖6所示。該實驗環(huán)境由3個子網(wǎng)組成，子網(wǎng)間部署防火墻實現(xiàn)訪問控制。其中，DMZ區(qū)域部署的Web服務(wù)器及郵件服務(wù)器分別提供對外應(yīng)用服務(wù)接口及對內(nèi)郵件服務(wù)；子網(wǎng)1為辦公區(qū)，部署兩臺主機及一臺文件服務(wù)器，文件服務(wù)器存儲企業(yè)機密文件；子網(wǎng)2為業(yè)務(wù)區(qū)，部署應(yīng)用服務(wù)器，為Web服務(wù)器提供應(yīng)用業(yè)務(wù)支撐。

系統(tǒng)中各實體間權(quán)限關(guān)系矩陣如表4所示，其中，縱向?qū)嶓w為權(quán)限擁有者，橫向?qū)嶓w為權(quán)限載體。系統(tǒng)中脆弱性的分布區(qū)分為10組訓(xùn)練場景及1組實驗場景，分別用于訓(xùn)練分類器及實施預(yù)測。其中，使用9組訓(xùn)練場景生成的攻擊樣本訓(xùn)練分類器，剩余1組用于生成測試集，測試分類器性能參數(shù)；實驗場景則主要用于生成0day攻擊圖、預(yù)測0day攻擊路徑，對比現(xiàn)有研究成果，檢驗本文方法的優(yōu)勢。表5為訓(xùn)練場景10與實驗場景的脆弱性分布信息。

圖6 實驗環(huán)境

Figure 6 Experiment environment

4.1 圖譜生成

利用Neo4j desktop 1.3.8圖數(shù)據(jù)庫，以網(wǎng)絡(luò)安全本體（圖3）定義的知識模式為基礎(chǔ)，建模數(shù)據(jù)層知識，生成網(wǎng)絡(luò)防御知識圖譜。威脅、資產(chǎn)、脆弱性3個知識模塊分別以信息工程大學(xué)CTF戰(zhàn)隊模擬的黑客組織、實驗環(huán)境設(shè)備以及不同場景中存在的脆弱性為核心構(gòu)建相應(yīng)實體，并從CAPEC、NVD、CNNVD等公開數(shù)據(jù)庫抽取實體關(guān)系、屬性等知識。其中，威脅知識方面，攻擊者實體命名為“CTF001”，設(shè)定其以竊取文件服務(wù)器內(nèi)信息為主要攻擊意圖，對于其余系統(tǒng)設(shè)備以制造攻擊“跳板”為意圖，其知識圖譜表示如圖7所示。圖7中粉色模塊表示攻擊模式實體；灰色模塊表示設(shè)備權(quán)限實體；棕色模塊表示威脅實體，包括對文件服務(wù)器的數(shù)據(jù)竊?。ㄈ鏳ata_ stolen_file_server），對防火墻的功能阻斷（如function_blocked_ firewall_1）以及對其余設(shè)備轉(zhuǎn)發(fā)功能的篡取（如function_grabbed_web_server）。脆弱性知識方面，系統(tǒng)中存在的0day漏洞實體及相應(yīng)關(guān)系根據(jù)3.1節(jié)的相關(guān)假設(shè)進(jìn)行構(gòu)建。實際實驗過程中，選取可用且能滿足攻擊者對相應(yīng)設(shè)備攻擊意圖的技術(shù)漏洞模擬攻擊者掌握的0day漏洞。例如，以代碼執(zhí)行漏洞CVE-2020- 14841模擬App_Server的weblogic_server組件存在的0day漏洞，該漏洞僅需遠(yuǎn)程訪問權(quán)限即可觸發(fā)，獲取權(quán)限越高，越容易觸發(fā)，符合0day漏洞可用性假設(shè)，且執(zhí)行后能夠完成目標(biāo)設(shè)備的控制，從而滿足攻擊者對App_Server的攻擊意圖。

表4 權(quán)限關(guān)系矩陣

表5 脆弱性分布情況

注：E為漏洞在CVSS3.1標(biāo)準(zhǔn)下的可用性評分，C、I、A分別為漏洞利用對機密性、完整性、可用性的影響程度。

圖7 攻擊者實體的知識圖譜

Figure7 Attacker entity in knowledge graph

需要注意的是，不同場景下，漏洞種類、數(shù)量、分布不同，在計算路徑特征時，需根據(jù)場景對知識圖譜的相應(yīng)部分進(jìn)行替換。

4.2 樣本訓(xùn)練

以模擬攻擊者的CTF戰(zhàn)隊對不同訓(xùn)練場景下的目標(biāo)系統(tǒng)的攻擊數(shù)據(jù)為基礎(chǔ)，依托知識圖譜，以其中被攻擊成功的設(shè)備為目標(biāo)實體，計算路徑特征，構(gòu)建攻擊正樣本{(H,=1)}，以攻擊失敗及未被選擇為攻擊目標(biāo)的設(shè)備為目標(biāo)實體，構(gòu)建攻擊負(fù)樣本{(H,=0)}。在Python3.5環(huán)境中使用模型sklearn.linear_model_LogisticRegression構(gòu)造二元分類器，利用訓(xùn)練場景1～9生成的攻擊樣本訓(xùn)練LCA。在此基礎(chǔ)上，在攻擊正樣本中，區(qū)分0day攻擊與已知攻擊，分別構(gòu)造0day攻擊正樣本及負(fù)樣本，訓(xùn)練LCZ。使用5-fold交叉驗證，獲取分類器學(xué)習(xí)曲線，如圖8所示。

Figure 8 Learning curves of classifiers

使用訓(xùn)練場景10生成的樣本作為測試集，進(jìn)行分類器測試，對比預(yù)測結(jié)果與實際攻擊情況，獲取分類器LCA的精準(zhǔn)率為0.875、召回率為0.917、調(diào)和平均值1為0.883。而分類器LCZ對該測試集的預(yù)測結(jié)果與實際情況相符。由此可見，分類器對0day攻擊具有較好的識別能力。

4.3 實驗結(jié)果

利用4.2節(jié)訓(xùn)練完成的分類器LCA與LCZ對實驗場景下的目標(biāo)系統(tǒng)中可能發(fā)生的攻擊進(jìn)行預(yù)測，生成0day攻擊圖，如圖9實線部分所示。

由圖9可知，預(yù)測攻擊過程為：攻擊者首先利用遠(yuǎn)程訪問權(quán)限對firewall_1發(fā)起0day攻擊，突破訪問控制后，獲取E-mail_Server的遠(yuǎn)程訪問權(quán)限，利用其操作系統(tǒng)CentOS存在的CVE-2018-18772漏洞，發(fā)起跨站請求攻擊，獲取Host_1及 firewall_2的訪問權(quán)限，可分別利用兩者存在的CVE-2018-12714、CVE-2017-17156漏洞發(fā)起代碼注入攻擊，通過Host_1獲取File_server的訪問權(quán)限，通過firewall_2獲取Host_2的訪問權(quán)限，此時，可直接利用訪問權(quán)限對File_server發(fā)起0day攻擊，或?qū)ost_2發(fā)起0day攻擊，獲取File_Server的用戶權(quán)限，從而觸發(fā)已知漏洞CVE-2018-8169。LCA輸出單步攻擊的發(fā)生概率如表6所示。

圖9 實驗場景0day攻擊圖

Figure 9 0day attack graph in experimental scene

表6 攻擊發(fā)生概率

以獲取root_File_Server為最終攻擊目的，提取0day攻擊路徑包括：zap1：1→2→3→4以及zap2:1→2→5→6→7，利用式(8)計算兩路徑的綜合利用率分別為0.18、0.21。由此可知，攻擊路徑zap2雖然涉及5次攻擊，多于zap1的4次攻擊，但其綜合利用率更高，更有可能被該攻擊者利用。

4.4 實驗分析

根據(jù)實驗結(jié)果，通過對比本文與文獻(xiàn)[6-7]提出的方法，從預(yù)測結(jié)果的準(zhǔn)確性、方法便捷性、適用性、相關(guān)知識的全面性以及預(yù)測結(jié)果可解釋性等方面分析本文方法的優(yōu)勢，以驗證本文方法的有效性。具體對比分析如表7所示。

表7 對比分析

準(zhǔn)確性方面，利用文獻(xiàn)[6]提出的方法生成的0day攻擊圖除圖9實線部分外，還包括虛線所示部分，并且文獻(xiàn)[6]簡單的根據(jù)0day攻擊數(shù)量預(yù)測攻擊路徑zap1更可能成為攻擊者選擇的攻擊路徑。而本文通過對0day存在性假設(shè)的約束（Web_Server中存在0day漏洞可能性最高的為apachewebserver組件，可能性為0.05），并利用訓(xùn)練完成的分類器LCA對Web_Server發(fā)生攻擊的概率進(jìn)行了計算（攻擊發(fā)生概率0.3），判定攻擊關(guān)系不成立，較為合理地排除了此處的0day攻擊，縮減0day攻擊預(yù)測結(jié)果規(guī)模，同時根據(jù)綜合利用率更合理地預(yù)測zap2為攻擊者選擇的攻擊路徑，提高了預(yù)測準(zhǔn)確性。

便捷性方面，文獻(xiàn)[6-7]在實施預(yù)測前不僅需要收集相關(guān)知識，且需構(gòu)建專門的0day攻擊規(guī)則作為預(yù)測分析的基礎(chǔ)，造成了一定的開銷，而本文依托網(wǎng)絡(luò)防御知識圖譜及知識圖譜推理方法實施預(yù)測，無須專門構(gòu)建0day攻擊規(guī)則，節(jié)省了開銷，提高了方法的便捷性。

適用性方面，文獻(xiàn)[7]提出的方法，需依賴較為完整的已知攻擊路徑實施攻擊推理，而本實驗環(huán)境中，Web_server不存在已知漏洞且firewall_1的已知漏洞CVE-2019-1934需用戶級權(quán)限觸發(fā)，因而無法在初始權(quán)限條件下生成已知攻擊路徑，文獻(xiàn)[7]的方法無法適用于此類場景。

知識全面性方面，本文以當(dāng)前研究已較為成熟的網(wǎng)絡(luò)安全領(lǐng)域概念知識為基礎(chǔ)，從威脅、資產(chǎn)、脆弱性3個方面構(gòu)建網(wǎng)絡(luò)防御知識圖譜，并提取關(guān)系路徑作為特征應(yīng)用于攻擊預(yù)測，預(yù)測過程不僅使用了文獻(xiàn)[6-7]等涉及的漏洞存在性、可用性、影響等漏洞知識，也結(jié)合了攻擊意圖、資產(chǎn)類型等知識，使預(yù)測分析更加全面，提高了預(yù)測結(jié)果的合理性。

圖10 實體“CTF001”與“Host_2”間路徑

Figure 10 Paths between “CTF001” and “Host_2”

綜合以上5個方面可見，本文提出的方法有效可用。

5 結(jié)束語

本文針對0day漏洞未知性導(dǎo)致的0day攻擊檢測難問題以及現(xiàn)有研究在利用條件假設(shè)、攻擊前后關(guān)聯(lián)等方法克服未知性影響過程中出現(xiàn)的不足，提出了基于網(wǎng)絡(luò)防御知識圖譜的0day攻擊路徑預(yù)測方法。利用當(dāng)前研究較為成熟的網(wǎng)絡(luò)安全本體知識，構(gòu)建了知識覆蓋較全面的網(wǎng)絡(luò)防御知識圖譜，將離散的威脅、脆弱性、資產(chǎn)知識整合為高度關(guān)聯(lián)的知識體系，為攻擊預(yù)測提供了完備的知識支撐。在此基礎(chǔ)上，將攻擊預(yù)測問題轉(zhuǎn)化為鏈接預(yù)測問題，選取預(yù)測精度高且預(yù)測結(jié)果可解釋性強的路徑排序算法，提取攻擊者實體與目標(biāo)設(shè)備實體存在的關(guān)系路徑作為特征，更全面地對攻擊進(jìn)行了預(yù)測，有效克服了0day漏洞未知性以及專家知識片面性的影響，提高了預(yù)測準(zhǔn)確性，并對預(yù)測結(jié)果的可解釋性提供了支持。

下一步，在持續(xù)優(yōu)化網(wǎng)絡(luò)防御知識圖譜的基礎(chǔ)上，將進(jìn)一步拓展知識模塊，提高攻擊預(yù)測的準(zhǔn)確性，并對同時存在多攻擊者情況下，基于知識圖譜的網(wǎng)絡(luò)攻擊者溯源問題展開探索。

[1] MCQUEEN M A, MCQUEEN T A, BOYER W F, et al. Empirical estimates and observations of 0day vulnerabilities[C]//2009 42nd Hawaii International Conference on System Sciences. 2009.

[2] ZHANG S, CARAGEA D, OU X. An empirical study on using the national vulnerability database to predict software vulnerabilities[C]//Database and Expert Systems Applications-22nd International Conference, 2011.

[3] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: measuring the security risk of networks against unknown attacks[J]. Lecture Notes in Computer Science, 2010, 11(1): 573-587.

[4] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: a network security metric for measuring the risk of unknown vulnerabilities[J]. IEEE Transactions on Dependable & Secure Computing, 2014, 11(1): 30-44.

[5] ALBANESE M, JAJODIA S, SINGHAL A, et al. An efficient framework for evaluating the risk of zero-day vulnerabilities[C]// International Conference on E-Business and Telecommunications. 2013.

[6] YANG Y U, XIA C H, XIAO-YUN H U, et al. An augmented 0-day attack graph generation method[J]. DEStech Transaction on Computer Science and Engineering, 2016(aice-ncs).

[7] 葉子維. 基于漏洞與攻擊圖的網(wǎng)絡(luò)脆弱性分析關(guān)鍵技術(shù)研究[D]. 鄭州: 信息工程大學(xué), 2019.

YE Z W. Research on key technology of network weakness analysis based on vulnerability and attack graph[D]. Zhengzhou: Information Engineering University, 2019.

[8] AHMADINEJAD S H, JALILI S, ABADI M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs[J]. Computer Networks, 2011, 55(9): 2221-2240.

[9] SUN X, DAI J, LIU P, et al. Towards probabilistic identification of zero-day attack paths[C]//2016 IEEE Conference on Communications and Network Security (CNS). 2016.

[10] SUN X, DAI J, LIU P, et al. Using bayesian networks for probabilistic identification of zero-day attack paths[J]. IEEE Transactions on Information Forensics and Security, 2018: 1-10.

[11] SUN X, DAI J, LIU P, et al. Using bayesian networks to fuse intrusion evidences and detect zero-day attack paths[M]// Network Security Metrics. 2017.

[12] SINGH U K, JOSHI C, KANELLOPOULOS D. A framework for zero-day vulnerabilities detection and prioritization[J]. Journal of Information Security and Applications, 2019, 46: 164-172.

[13] 楊峻楠, 張紅旗, 張傳富. 基于不完全信息隨機博弈的防御決策方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2018, 4(8): 12-20.

YANG J N，ZHANG H Q, ZHANG C F. Defense decision-making method based on incomplete information stochastic game[J]. Chinese Journal of Network and Information Security, 2018, 4(8): 12-20.

[14] 冷強, 楊英杰, 常德顯, 等. 面向網(wǎng)絡(luò)實時對抗的動態(tài)防御決策方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2019, 5(6): 58-66.

LENG Q, YAGN Y J, CHANG D X, et al. Dynamic defense decision method for network real-time confrontation[J]. Chinese Journal of Network and Information Security, 2019, 5(6): 58-66.

[15] LAO N, COHEN W W . Relational retrieval using a combination of path-constrained random walks[J]. Machine Learning, 2010, 81(1): 53-67.

[16] AMIT S. Introducing the knowledge graph: things, not strings[EB].

[17] LI A. A practical approach to constructing a knowledge graph for cybersecurity[J]. Engineering, 2018, 4(1): 53-60.

[18] 尚懷軍. 面向漏洞庫的網(wǎng)安知識庫構(gòu)建技術(shù)的研究與實現(xiàn)[D]. 長沙: 國防科技大學(xué), 2018.

SHANG H J. Research and implementation oftechniqueonconstructionofcybersecurityknowledgebaseforvulnerabilitydatabase[D]. Chagnsha: National University of Defense Technology, 2018.

[19] 謝敏容. 網(wǎng)絡(luò)防御知識圖譜構(gòu)建技術(shù)研究與實現(xiàn)[D]. 成都: 電子科技大學(xué), 2020.

XIE M R. Research and implementation of cybersecurity knowledge graph construction technology[D]. Chengdu: University of Electronic Science and Technology of China, 2020.

[20] SAHOO S S, HALB W, HELLAMNN S, et al. A survey of current approaches for mapping of relational databases to RDF[R]. W3C RDB2RDF Incubator Group Report, 2009, 1: 113-130.

[21] LIN Y, SHEN S, LIU Z, et al. Neural relation extraction with selective attention over instances[C]//Proceedings of the 54th Annual Meeting of the Association for Computational Linguistics. 2016.

[22] 司成. 基于本體的網(wǎng)絡(luò)威脅態(tài)勢推演與評估技術(shù)研究[D]. 鄭州: 信息工程大學(xué), 2015.

SI C. Research onnetworkthreatsituationdeductionandevaluationtechnologybasedonontology[D]. Zhengzhou: Information Engineering University, 2015.

[23] LAO N, MITCHELL T M, COHEN W W. Random walk inference and learning in alarge scale knowledge base[C]//Conference on Empirical Methods in Natural Language Processing. DBLP, 2011.

Prediction method of 0dayattackpathbasedoncyberdefenseknowledgegraph

SUN Cheng, HU Hao, YANG Yingjie, ZHANG Hongqi

Information Engineering University, Zhengzhou 450001, China

To solve the difficulty of attack detection caused by the 0day vulnerability, a prediction method of 0day attack path based on cyber defense knowledge graph was proposed. The cyber defense knowledge graph was constructed to refine the discrete security data such as threat, vulnerability and asset into the complete and high-related knowledge format by extracting concepts and entities related to network attack from cyber security ontology research finds and databases. Based on the knowledge integrated by the knowledge graph, assumed and restricted the unknown attributes such as the existence, availability and harmfulness of 0day vulnerabilities, and model the concept of "attack" as a relationship between attacker entities and device entities in the knowledge graph to transform the attack prediction to the link prediction of knowledge graph. According to this, apply path ranking algorithm was applied to mine the potential 0day attack in the target system and construct the 0day attack graph. Predicted the 0day attack path by utilizing the scores output by classifiers as the occurrence probabilities of single step attack and computing the occurrence probabilitiesof different attack paths. The experimental result shows that with the help of complete knowledge system provided by knowledge graph, the proposed method can reduce the dependence of prediction analysis on expert model and overcome the bad influence of 0day vulnerability to improve the accuracy of 0day attack prediction. And utilizing the characteristic that path ranking algorithm reasons based on the structure of graph can also help to backtrack the reasons of predicting results so as to improve the explainability of predicting.

knowledge graph, 0dayattack,attackpath prediction

The National Natural Science Foundation of China（61902427）

引用格式：孫澄, 胡浩, 楊英杰, 等. 基于網(wǎng)絡(luò)防御知識圖譜的0day攻擊路徑預(yù)測方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2022, 8(1): 151-166.

TP393.08

A

10.11959/j.issn.2096?109x.2021101

一個簡單的PRA算法應(yīng)用實例，簡要說明該算法的操作過程。知識圖譜子圖如圖5所示。

孫澄（1991? ），男，江蘇常州人，信息工程大學(xué)碩士生，主要研究方向為APT檢測跟蹤。

胡浩（1989? ），男，安徽池州人，博士，信息工程大學(xué)講師，主要研究方向為網(wǎng)絡(luò)態(tài)勢感知。

楊英杰（1971? ），男，河南鄭州人，博士，信息工程大學(xué)教授，主要研究方向為信息安全。

張紅旗（1962? ），男，河北遵化人，博士，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)安全、移動目標(biāo)防御、等級保護和信息安全管理。

2021?01?07；

2021?03?06

孫澄，suncheng1991@outlook.com

國家自然科學(xué)基金（61902427）

Format: SUNC, HU H, YANG Y J, et al. Prediction method of 0day attack path based on cyber defense knowledge graph[J]. Chinese Journal of Network and Information Security, 2022, 8(1): 151-166.