基于網絡防御知識圖譜的0day攻擊路徑預測方法

孫澄，胡浩，楊英杰，張紅旗

基于網絡防御知識圖譜的0day攻擊路徑預測方法

孫澄，胡浩，楊英杰，張紅旗

（信息工程大學，河南 鄭州 450001）

針對0day漏洞未知性造成的攻擊檢測難問題，提出了一種基于知識圖譜的0day攻擊路徑預測方法。通過從現有關于網絡安全領域本體的研究成果及網絡安全數據庫中抽取“攻擊”相關的概念及實體，構建網絡防御知識圖譜，將威脅、脆弱性、資產等離散的安全數據提煉為互相關聯的安全知識。在此基礎上，依托知識圖譜整合的知識，假設并約束0day漏洞的存在性、可用性及危害性等未知屬性，并將“攻擊”這一概念建模為知識圖譜中攻擊者實體與設備實體間存在的一種關系，從而將攻擊預測問題轉化為知識圖譜的鏈接預測問題。采用基于路徑排序算法的知識圖譜推理方法挖掘目標系統中可能發生的0day攻擊，并生成0day攻擊圖。復用分類器輸出的預測得分作為單步攻擊發生概率，通過計算并比較不同攻擊路徑的發生概率，預測分析0day攻擊路徑。實驗證明，所提方法能夠依托知識圖譜提供的知識體系，為攻擊預測提供較全面的知識支持，降低預測分析對專家模型的依賴，并較好地克服0day漏洞未知性對預測分析造成的不利影響，提高了0day攻擊預測的準確性，并且借助路徑排序算法基于圖結構這一顯式特征進行推理的特點，能夠對推理結果形成的原因進行有效反溯，從而一定限度上提高了攻擊預測分析結果的可解釋性。

知識圖譜；0day攻擊；攻擊路徑預測

0 引言

在當今網絡攻防體系中，0day漏洞是指未被安全廠商發現，卻可能被黑客組織掌握的系統脆弱性的總稱。在被用于發起0day攻擊時，因其對于防御者具有未知性，造成攻防雙方嚴重的信息不對稱，使防御者缺乏漏洞細節信息，難以實施有效檢測，攻擊者因此提高了攻擊的隱蔽性及成功率。當前，0day攻擊常被應用于入侵高防護級別的信息系統并實現攻擊的隱蔽持續，如“震網”事件。由此可見，如何克服0day漏洞未知性導致的0day攻擊難以檢測的問題已成為當前網絡安全領域面臨的一大難題。

關于0day攻擊檢測的研究主要包括事前的攻擊預測及融合告警的實時檢測兩方面，其中，攻擊預測是指在攻擊發生前，綜合系統配置信息及有關攻擊知識，對目標系統中潛在0day攻擊的位置、可能性及影響進行預判。具體可分為基于統計學的預測技術及基于攻擊場景的預測技術。前者通過統計分析現有漏洞的生命周期，對新漏洞出現的時間、數量及宿主等進行預測，進而實現0day攻擊的預測[1-2]，然而，此類預測技術未結合攻擊場景，分析0day攻擊對系統安全造成的危害，且準確度不高。后者則以已知漏洞利用模型為參照，構建0day攻擊模型，在生成已知攻擊路徑的基礎上，依據同一路徑所屬攻擊的前后依賴關系，匹配攻擊的前后置條件，從而預測0day攻擊。Wang等[3-4]基于漏洞存在及利用的最壞情況假設，構設0day漏洞利用規則，在生成全局0day攻擊圖的基礎上，提出了k-0day安全度量，依據攻陷目標節點所需0day漏洞最小數量評估網絡安全性，該研究雖然實現了0day攻擊危害性的度量，但在最壞情況假設下生成的全局攻擊圖，規模過大，難以應用于節點規模較大的網絡。而Albanese等[5]則提出了無須事先生成全局攻擊圖即可評估系統k-0day安全性的算法，提高了k-0day安全度量的可行性。然而以上研究均以安全度量為研究重點，未深入涉及0day攻擊的推理方法。Yang等[6]參照已知漏洞利用規則，構建提權、DDoS及信息泄露等多種0day攻擊模型，并提出了較為完整的0day攻擊圖生成算法，但該算法不加約束地假設系統每個設備均存在一個0day漏洞，導致攻擊圖中存在大量發生概率較低的0day攻擊。葉子維[7]等基于已知攻擊路徑及權限提升原則，對0day攻擊條件進行了約束，排除了部分冗余的0day攻擊，然而其關于0day攻擊的推理依賴前期生成完整的已知攻擊路徑，難以應對已知漏洞較少，不足以構建完整攻擊路徑的場景。

0day攻擊的實時檢測是指基于攻擊圖等預測結果，融合實時告警信息，通過攻擊級聯，依據被檢測的已知攻擊間的“跳躍”狀況，對可能已發生的0day攻擊進行的推理。Ahmadinejad等[8]通過設置攻擊級聯閾值，判斷出現攻擊“跳躍”的路徑是否出現未知攻擊。Sun[9-11]等通過構建系統調用依賴圖，結合入侵報警信息，在系統調用層面實現了0day攻擊檢測，提高了檢測精度。而Singh等[12]則提出了利用并行處理提高檢測實時性的分層式0day攻擊檢測架構。然而，以上攻擊實時檢測的研究本質上仍需以攻擊預測生成的結果作為先驗知識實施推理。

綜上所述，攻擊預測技術是0day攻擊檢測研究的關鍵。然而，關于0day攻擊預測的研究普遍依靠假設的條件、專家知識構建的攻擊模型以及同一攻擊路徑中攻擊的前后依賴關系來應對0day漏洞未知性的影響，這一過程存在3個方面的不足：一是條件假設缺乏有效約束，易導致0day攻擊的預測結果規模過大，降低了預測的意義；二是專家知識構建的攻擊模型，易受專家主觀知識面的制約；三是在已知攻擊路徑不完整的情況下，預測方法難以適用。針對以上不足，本文提出了基于知識圖譜的0day攻擊路徑預測方法，利用網絡防御知識圖譜將攻擊相關的威脅、資產、脆弱性等數據融合為知識相互關聯且覆蓋面較廣的安全知識庫，依據其中整合的漏洞數據、攻擊意圖等知識，對0day漏洞未知屬性的假設條件進行合理約束；其次，利用路徑排序算法，以知識圖譜中鏈接攻擊者實體與目標實體的關系路徑為特征，從更全面的角度對0day攻擊展開預測，克服專家知識構設模型的局限性；最后，以歷史攻擊數據為樣本，設計并訓練Logistic二元分類器，實施單步攻擊預測，從而擺脫對已知攻擊路徑的依賴，并通過復用Logistic二元分類器輸出的單步攻擊發生概率，計算攻擊路徑綜合利用率，預測針對目標資產最有可能被攻擊者利用的0day攻擊路徑，從而支持防御決策[13-14]。

1 預備知識

為使表述清晰準確，對文中相關概念定義如下。

定義1 網絡防御知識圖譜（CKG，cyber defense knowledge graph）

CKG以三元組(CSO, FACT, T)表示，其中，CSO=(,,)為網絡安全本體，為類集，為關系類型集，為屬性類型集，FACT為以RDF（resource description framework）三元組格式表示的數據知識的集合，為CSO中的類與FACT中的實體對象的類型從屬關系集合。

定義2 0day漏洞

0day漏洞指未被安全廠商發現，卻可能被黑客組織掌握的系統脆弱性的總稱。為使研究更具針對性，以下0day漏洞僅指未被安全廠商發現的技術漏洞。

定義3 0day攻擊

0day攻擊指攻擊者利用掌握的0day漏洞發起的單步攻擊，記為0。相對地，已知攻擊a為攻擊者利用已知漏洞發起的單步攻擊。

定義4 0day攻擊路徑zap

zap是指包含0day攻擊的一組前后依賴的單步攻擊構成的無環攻擊序列，表示為（,），其中，為單步攻擊集，為鏈接單步攻擊的有向邊集。

定義5 0day攻擊圖ZAG

定義6 關系路徑（rp，relation path）[15]

rp指由知識圖譜中的一組關系類型組成的序列，寫作rp:c，。其中，c=Domain(r1)=Range(r)，0Domain(rp)，cRange(rp)，|rp|表示關系路徑長度，為關系路徑包含的關系類型總數，。

本文中知識圖譜與攻擊圖的關系如下：CKG是攻擊預測算法的輸入，作為知識庫，為攻擊預測提供所需的知識；0day攻擊圖ZAG則是攻擊預測結果的圖形表示。

關系路徑與攻擊路徑的區別如下：rp用作路徑排序算法中logistic regression模型執行攻擊預測使用的特征；0day攻擊路徑zap則是以0day攻擊圖為參照，結合多步攻擊發生概率，提取的攻擊路徑預測結果。

對本文中出現的主要符號描述如表1所示。

2 網絡防御知識圖譜

知識圖譜是一種利用圖模型描述知識并建模萬物間關聯關系的有效技術方法[16]。將該技術應用于網絡安全領域，構建網絡防御知識圖譜，可將異構碎片化的網絡安全數據整合為格式統一、互相關聯的安全知識，為攻擊預測提供支持，有利于實施針對性防御。以下重點對網絡防御知識圖譜架構構建以及網絡安全本體設計進行詳細介紹。

表1 本文主要符號及其描述

2.1 架構構建

根據定義1可知，網絡防御知識圖譜可分為模式層與數據層兩部分，其中，模式層為知識圖譜的核心，以網絡安全本體（CSO，cyber security ontology）定義了網絡防御的基本概念體系，為數據層知識的建模提供模式定義。數據層則是知識圖譜的主體，是通過知識抽取、知識融合等步驟獲取的具體事實，在模式定義下建模而成的數據知識的集合，數據知識以RDF三元組形式表示為（subject, predicate, object）。兩層關系示例如圖1所示，該示例的模式層定義了攻擊模式類、脆弱性類以及分別以兩者為定義域、值域的關系類型exploit，數據層則以此模式建模了數據知識（CVE-2017-0290, Code Injection, exploit），表示代碼注入這一攻擊模式能夠利用漏洞CVE- 2017-0290。

根據知識圖譜的分層結構，其構建主要有自頂向下、自下而上兩種方法。由于當前網絡安全領域概念體系的研究已較為成熟[17-19]，因此網絡防御知識圖譜適用于自頂向下的知識圖譜構建方法，即首先構建以網絡安全本體為內容的模式層，再以模式層為基礎，綜合多種知識抽取及融合技術，從異構數據源提取并建模數據知識，構建數據層。網絡防御知識圖譜架構構建如圖2所示。

圖1 模式層與數據層關系示例

Figure 1 Relation of pattern layer and data layer

圖中綠色、橙色箭頭分別代表模式層、數據層構建涉及的步驟，藍色箭頭則為兩者共同涉及的步驟，箭頭序號表示步驟次序。對于自頂而下的知識圖譜構建方法，首先抽取現有網絡安全領域本體的研究成果，利用本體集成的方式構建網絡安全本體，完成模式層構建，在此基礎上，以本體定義的知識模式為參照進行數據層的知識抽取、融合，實現數據層構建，知識抽取過程中，針對關系數據庫提供的結構化數據以及以文本為代表的非結構化數據，可分別使用D2R（relational database to RDF）[20]工具及深度學習的方法[21]實現知識抽取。最終，為更好地支持路徑排序算法等圖結構算法進行知識推理，使用圖數據庫將數據知識存儲為以節點、邊為元素的屬性圖格式，完成知識存儲，由圖數據庫對外提供統一的知識圖譜應用接口。

圖2 網絡防御知識圖譜構建架構

Figure 2 Construction framework of CKG

2.2 本體設計

由自頂而下的知識圖譜構建順序可知，CSO是決定網絡防御知識圖譜質量的關鍵。本文利用本體集成的方式構建CSO，通過將現有研究較為成熟的網絡安全本體融合為一個統一本體，借鑒當前該領域研究成果并實現不同成果間的優勢互補。由于司成等[22]提出的NSSEKB_O（ontology of network security situation element knowledge base）從領域本體、應用本體、原子本體3個層面對網絡安全知識體系進行了系統梳理，具有較好的知識完備性，而謝敏容等[19]構建的AFACSDO（asset fragility attack cyber security domain ontology）復用了多個有代表性的網絡安全本體，是網絡安全本體研究的最新成果，具有較好的時效性。因此，本文選取以上兩項研究成果作為集成對象實施本體集成。

網絡安全本體以資產、威脅、脆弱性三大知識模塊為基礎，融合NSSEKB_O及AFACSDO的相關概念知識，如圖3所示。其中，資產模塊以設備類為核心，集成了設備存在的組件，操作設備的職員、設備承載的功能、提供的服務、存儲的數據等資產以及設備的權限等類；威脅模塊以攻擊者類為核心，集成了競爭對手、黑客組織等攻擊者類的子類以及攻擊者能夠運用的攻擊模式、攻擊模式常用的工具、所屬的戰術等類；脆弱性模塊以脆弱性為核心，集成了脆弱性利用產生的后果，并將脆弱性類細化為已知漏洞、0day漏洞、人性弱點等子類。為提高圖3的可視性，圖中使用有向邊表示不同的關系類型，有向邊的起始類及目標類分別為關系類型的定義域與值域。關系類型將同一知識模塊中的不同類以及不同知識模塊互相關聯起來，構成知識體系。

圖3 網絡安全本體示意

Figure 3 Cyber security ontology

3 0day攻擊路徑預測

網絡防御知識圖譜將攻擊這一概念定義為以攻擊者類為定義域、設備類為值域的關系類型（圖3紅色虛線），具體攻擊行為的推理問題即轉化為知識圖譜數據層中攻擊者實體與設備實體間攻擊關系的預測問題。而路徑排序算法（PRA，path ranking algorithm）[23]是一種用于知識圖譜鏈路預測的有效方法，其預測結果不僅準確率高，且可解釋性強，能夠便于防御者在獲取預測結果后對攻擊成因等知識進行挖掘，因此本文選用PRA算法執行單步攻擊預測，并實現0day攻擊圖的構建。在此基礎上，通過分析比較不同攻擊路徑的綜合利用率，預測攻擊者最有可能利用的0day攻擊路徑。

3.1 0day漏洞未知屬性分析

在實施預測前，通過未知屬性分析，對缺失的0day漏洞屬性進行假設并實施約束，這是預測分析的基礎。0day漏洞未知的屬性主要包括漏洞存在位置、利用條件以及產生影響等信息。當前相關研究主要通過條件假設的方式對未知的0day漏洞信息進行補全，在此過程中，如何對假設的漏洞信息進行合理約束是決定預測結果質量的關鍵。本文基于知識圖譜整合的知識，在提出0day漏洞存在性、可用性、危害性假設的基礎上，分別采用統計分析、樣本訓練及意圖分析的方式對相關假設進行約束。

3.1.1 0day漏洞存在性

存在性假設：0day漏洞可能存在于設備的任意組件中。

NVD、CNNVD等數據庫提供的漏洞數據顯示，不同組件已曝光的漏洞數量存在明顯差別，表明漏洞的存在性與作為其載體的組件存在關聯。因此對于該假設，可利用組件特征進行約束，將0day漏洞視為組件將來可能曝光的漏洞，通過統計分析不同組件的漏洞曝光歷史數據，對不同組件存在0day漏洞的可能性進行量化。

圖4為以CNNVD公布的2015年7月以來的漏洞數據為樣本，抽取廠商（vendor）、組件類型（ctype）兩類組件屬性作為特征，按月統計獲取的不同屬性組件月漏洞曝光數的平均占比，平均占比越高表示具有相應屬性的組件相對于其他組件存在0day漏洞的可能性越高。如圖4所示，不同廠商組件的漏洞曝光平均占比由高到低呈現明顯的階梯狀下降趨勢，據此可將廠商劃分為高、中、低3類。高占比廠商（HPV, high production vendor）包括Google、Oracle、Microsoft，月平均占比約6%，中等占比廠商（MPV, middle production vendor）包括IBM、Adobe、Apple、Cisco，月平均占比約4%，低占比廠商（LPV, low production vendor）為Mozilla至GitLab等，月平均占比約1%，其余圖中未顯示的廠商占比相對較低，認為其存在0day漏洞的可能性極小，設為0。而組件類型方面，應用及操作系統類型組件的漏洞曝光數占比均接近50%，而硬件類型組件遠遠小于前者，僅占3%。對以上占比數據進行歸一化處理，構造0day漏洞存在概率的賦值矩陣，如表1所示。

圖4 漏洞曝光數平均占比統計分析

Figure 4 Statistics of vulnerabilities exposing average proportion

表1 0day漏洞存在概率p的賦值

根據存在性假設，在知識圖譜中建立0day漏洞實體至全部組件實體的關系“P-exist?1”，記indv(0day)、indv(Cmpt)分別為某0day漏洞實體及某組件實體，則兩實體間的關系“P-exist?1”成立的概率prob(P-exist?1)為：prob(P?exist?1(indv(0day), indv (Cmpt)) =(indv (Cmpt). vendor, indv(Cmpt). ctype)

由上述可見，0day漏洞的存在性假設受到了組件特征的約束，當廠商、類型取值為不同的組合時，0day漏洞存在于相應組件的概率也不同。

3.1.2 可用性與危害性

可用性假設：0day漏洞可能被目標設備上的任意權限觸發。

權限在知識圖譜中以權限實體的形式存在，不同漏洞的觸發需要不同程度的權限，而權限越高，越便于攻擊者觸發漏洞。在知識圖譜中設置關系“trigger”的屬性“tri_prob”表示權限觸發0day漏洞的概率，依據權限高低進行賦值。關系“trigger”包含于攻擊者實體與目標設備實體間的關系路徑中，因而“tri_prob”通過參與路徑特征的計算，可體現于樣本特征中。在利用攻擊樣本對Logistic二元分類器進行訓練的過程中，依據正負樣本的區別，可將0day漏洞的利用條件約束于樣本中的情景。當分類器判定0day攻擊關系成立時，通過查詢知識圖譜中攻擊者實體在設備實體上已獲取的權限實體，可確定本次觸發0day漏洞所使用的權限。

危害性假設：0day漏洞利用產生的危害僅能夠滿足攻擊者實現對目標設備攻擊意圖的最低需求。

漏洞利用產生的危害在知識圖譜中以后果實體的形式表示，同時，知識圖譜通過威脅實體，對攻擊者的攻擊意圖進行了整合。由于攻擊者利用漏洞發起攻擊是以實現攻擊意圖為目的的，如果漏洞利用產生的后果不足以支持攻擊意圖的實現，則攻擊者沒有利用該漏洞的必要，而當后果超出實現攻擊意圖的需要時，超出的部分對于攻擊者而言意義也不大，因此以上假設利用攻擊意圖約束0day漏洞利用產生的危害性是可行且較為合理的。例如，攻擊者實體APT-28主要從事竊密活動，目標設備實體存儲有機密資料，在知識圖譜中構建威脅實體“竊取機密”作為APT-28對該設備的攻擊意圖，若預測APT-28利用0day漏洞對該設備發起了攻擊，則產生的后果通過威脅實體約束為“機密性損害”，不再額外涉及完整性、可用性等其他方面的影響。

3.2 路徑排序算法

路徑排序算法的基本思想是將鏈接兩個實體的關系路徑作為特征來預測實體間是否存在某種特定關系。具體而言，該算法依托知識圖譜提取實體間的一組關系路徑，選擇合適的方法計算起始實體沿該路徑到達目標實體的概率，記為路徑特征，以此為輸入，利用訓練好的Logistic Regression模型綜合全部路徑特征計算待測關系成立的概率，并依據閾值判斷關系是否成立。

3.2.1 算法示例說明

圖5 知識圖譜子圖的實例

Figure 5 Sub graph of example

需要預測的目標關系為born In City。第一步，提取定義域、值域分別為Person類及City類的關系路徑，并限制路徑長度不超過2；第二步，獲取目標關系的實例，正例如（Tom, Paris），負例如（Tom, Lyon）；第三步，計算關系實例中起止實體間的路徑特征，構造樣本；第四步，利用樣本數據訓練分類器；最后，使用訓練完成的分類器進行預測。各步驟產生的數據如表2所示。

表2 操作過程中生成的數據

表3 關系路徑提取

注：?1為的逆關系，is表示的父子類關系僅用于標識父類實體的不同種類，不計入路徑長度，不參與特征計算。

3.2.2 關系路徑提取

由定義6可知，關系路徑為關系類型的序列，屬于模式層知識，通過查詢網絡安全本體，提取Domain(rp)=Adversary，Range(rp)=Device，長度不超過6的關系路徑rp，如表3所示。

給定起止實體的情況下，表3中的關系路徑反映了實體間在不同方面的關聯性，如路徑rp2從攻擊意圖對設備承載功能產生的威脅方面刻畫攻擊者與目標設備的聯系，而rp8則從脆弱性對設備承載功能的危害方面刻畫了兩者間的聯系。

3.2.3 路徑特征計算

路徑排序算法利用隨機游走的方法計算路徑特征，對于任意關系路徑rp：

c

c?1

采用遞歸的方式計算特征，

exp((,))為給定實體與間關系存在的期望，期望計算如式(4)所示。通過在計算過程中加入關系存在概率prob，將實體特殊性產生的影響計入路徑特征，并將沿關系路徑轉移的最大概率作為路徑特征，有效消除了無關實體新增對路徑特征產生的不合理影響。如出現上節實例的情況時，由于新增攻擊模式實體與脆弱性不存在利用關系，經該實體到達脆弱性的概率為0，不影響最大概率的選取。

prob((,))取值受實體特殊性影響并需結合實際選擇合理的方法進行計算，如3.1節對于關系“P-exist?1”存在概率的賦值，需通過統計不同屬性組件的漏洞曝光歷史數據，橫向比較數量占比，進行量化計算，此處不再贅述。

3.2.4 攻擊分類器構造

路徑預測算法利用Logistic Regression模型構造二元分類器實施鏈路預測。在完成路徑特征計算的基礎上，通過設計得分函數，綜合不同的路徑特征，計算待測關系成立的得分，得分越高表示關系成立的可能性越高。得分函數如式(5)所示。

訓練過程為求解使損失函數在樣本集上取值最小的一組參數作為最優解。訓練完成后，將參數最優解代入式(6)，通過輸入給定兩實體間的關系路徑特征，可對實體間待測關系進行預測。

3.3 攻擊路徑預測

利用給定系統的歷史攻擊數據構造攻擊樣本，訓練分類器LCA用于預測攻擊是否發生，在此基礎上，從攻擊正樣本中區分0day攻擊、已知攻擊，構造0day攻擊樣本，訓練分類器LCZ用于判斷發生的單步攻擊是否為0day攻擊。完成攻擊預測后，利用圖數據庫的查詢功能，以起止實體及關系路徑為條件，對攻擊利用的脆弱性及前后置條件進行挖掘，構造單步攻擊，并生成0day攻擊圖。

依托0day攻擊圖，以攻擊者初始權限為起點，目標權限為終點，提取0day攻擊路徑，并通過復用LCA分類器輸出的單步攻擊發生的概率，計算不同攻擊路徑的綜合利用率，以此為依據，預測攻擊者最有可能利用的0day攻擊路徑。綜合利用率計算如式(8)所示。

0day攻擊路徑預測算法如算法1所示。

算法1 0day攻擊路徑預測算法

輸入 網絡防御知識圖譜CKG；關系路徑集RP；攻擊樣本1；0day攻擊樣本2

輸出 0day攻擊圖ZAG=(, Priv,, Prob)；0day攻擊路徑集ZAP；綜合利用率集CE；最優攻擊路徑opt_zap

2) att=selectAttacker(CKG)；//選取攻擊者

3) Host←selectHost(CKG)；//提取系統設備集

4) Init_Priv←Query _Privilege (att, CKG)；//查詢攻擊者初始權限集

5) LCA.fit (1)；LCZ.fit (2)；//分類器訓練

6) while 1：

7)tmp=；

8) for host in Host:

9) Calculateatt, host；//特征計算

10)LCA.predict (att, host)；

11) if(0)//分類器判斷攻擊未發生，跳出本次循環

12) continue；

13) if(LCZ.predict (att, host))://判斷攻擊為0day攻擊

14) vul=Query _0day (att, host, CKG, RP)；//在知識圖譜中查詢攻擊利用的0day漏洞實體

15) Thr←Query_Threat(att, host, CKG, RP)；//查詢攻擊者對目標設備的攻擊意圖

16) Create post_priv satisfy Thr；//創建滿足攻擊意圖的權限實體作為攻擊后置權限

17) else

18) vul=Query _Known (att, host, CKG, RP)；//在知識圖譜中查詢攻擊利用的已知漏洞實體

19) Cons←Query_Consequence (vul, CKG, RP)；//查詢漏洞利用的后果

20) post_priv=Evaluate(Cons)；//根據后果評估攻擊者獲取的權限作為后置權限

21)=Create Attack(host, vul)；//構造單步攻擊

23) continue；

24)←；

25) prob()=LCA.prediction _prob(att, host)；//提取攻擊發生的概率

26) Prob←prob()；

27) Priv←post_priv；

28)←CreateLink(, post_priv)；

29) pre_privQuery_Privilege(att, host, CKG, RP)；//查詢攻擊的前置權限

30) Priv←pre_priv；

31)←CreateLink(pre_priv,)；

32) CKG=CKG. update(post_priv)；//更新知識圖譜中攻擊者獲取的權限

33) if (tmp==)//判斷本輪預測未出現新的攻擊，則結束預測

34) break；

35) endwhile

36) Goal_Priv←check(Priv)；//選取目標權限

37) ZAP←AttackPathExtraction(Init_Priv, Goal_Priv);//提取攻擊路徑

38) forzapin ZAP:

39) Calculateexploit(zap)；

40) CE←exploit；

41) opt_zap=argmax(exploit(zap), zap)；

42) Return ZAG=(, Priv,, PR), ZAP, CE, opt_zap

4 實驗

為驗證本文方法的有效性，設計實驗環境如圖6所示。該實驗環境由3個子網組成，子網間部署防火墻實現訪問控制。其中，DMZ區域部署的Web服務器及郵件服務器分別提供對外應用服務接口及對內郵件服務；子網1為辦公區，部署兩臺主機及一臺文件服務器，文件服務器存儲企業機密文件；子網2為業務區，部署應用服務器，為Web服務器提供應用業務支撐。

系統中各實體間權限關系矩陣如表4所示，其中，縱向實體為權限擁有者，橫向實體為權限載體。系統中脆弱性的分布區分為10組訓練場景及1組實驗場景，分別用于訓練分類器及實施預測。其中，使用9組訓練場景生成的攻擊樣本訓練分類器，剩余1組用于生成測試集，測試分類器性能參數；實驗場景則主要用于生成0day攻擊圖、預測0day攻擊路徑，對比現有研究成果，檢驗本文方法的優勢。表5為訓練場景10與實驗場景的脆弱性分布信息。

圖6 實驗環境

Figure 6 Experiment environment

4.1 圖譜生成

利用Neo4j desktop 1.3.8圖數據庫，以網絡安全本體（圖3）定義的知識模式為基礎，建模數據層知識，生成網絡防御知識圖譜。威脅、資產、脆弱性3個知識模塊分別以信息工程大學CTF戰隊模擬的黑客組織、實驗環境設備以及不同場景中存在的脆弱性為核心構建相應實體，并從CAPEC、NVD、CNNVD等公開數據庫抽取實體關系、屬性等知識。其中，威脅知識方面，攻擊者實體命名為“CTF001”，設定其以竊取文件服務器內信息為主要攻擊意圖，對于其余系統設備以制造攻擊“跳板”為意圖，其知識圖譜表示如圖7所示。圖7中粉色模塊表示攻擊模式實體；灰色模塊表示設備權限實體；棕色模塊表示威脅實體，包括對文件服務器的數據竊取（如data_ stolen_file_server），對防火墻的功能阻斷（如function_blocked_ firewall_1）以及對其余設備轉發功能的篡取（如function_grabbed_web_server）。脆弱性知識方面，系統中存在的0day漏洞實體及相應關系根據3.1節的相關假設進行構建。實際實驗過程中，選取可用且能滿足攻擊者對相應設備攻擊意圖的技術漏洞模擬攻擊者掌握的0day漏洞。例如，以代碼執行漏洞CVE-2020- 14841模擬App_Server的weblogic_server組件存在的0day漏洞，該漏洞僅需遠程訪問權限即可觸發，獲取權限越高，越容易觸發，符合0day漏洞可用性假設，且執行后能夠完成目標設備的控制，從而滿足攻擊者對App_Server的攻擊意圖。

表4 權限關系矩陣

表5 脆弱性分布情況

注：E為漏洞在CVSS3.1標準下的可用性評分，C、I、A分別為漏洞利用對機密性、完整性、可用性的影響程度。

圖7 攻擊者實體的知識圖譜

Figure7 Attacker entity in knowledge graph

需要注意的是，不同場景下，漏洞種類、數量、分布不同，在計算路徑特征時，需根據場景對知識圖譜的相應部分進行替換。

4.2 樣本訓練

以模擬攻擊者的CTF戰隊對不同訓練場景下的目標系統的攻擊數據為基礎，依托知識圖譜，以其中被攻擊成功的設備為目標實體，計算路徑特征，構建攻擊正樣本{(H,=1)}，以攻擊失敗及未被選擇為攻擊目標的設備為目標實體，構建攻擊負樣本{(H,=0)}。在Python3.5環境中使用模型sklearn.linear_model_LogisticRegression構造二元分類器，利用訓練場景1～9生成的攻擊樣本訓練LCA。在此基礎上，在攻擊正樣本中，區分0day攻擊與已知攻擊，分別構造0day攻擊正樣本及負樣本，訓練LCZ。使用5-fold交叉驗證，獲取分類器學習曲線，如圖8所示。

Figure 8 Learning curves of classifiers

使用訓練場景10生成的樣本作為測試集，進行分類器測試，對比預測結果與實際攻擊情況，獲取分類器LCA的精準率為0.875、召回率為0.917、調和平均值1為0.883。而分類器LCZ對該測試集的預測結果與實際情況相符。由此可見，分類器對0day攻擊具有較好的識別能力。

4.3 實驗結果

利用4.2節訓練完成的分類器LCA與LCZ對實驗場景下的目標系統中可能發生的攻擊進行預測，生成0day攻擊圖，如圖9實線部分所示。

由圖9可知，預測攻擊過程為：攻擊者首先利用遠程訪問權限對firewall_1發起0day攻擊，突破訪問控制后，獲取E-mail_Server的遠程訪問權限，利用其操作系統CentOS存在的CVE-2018-18772漏洞，發起跨站請求攻擊，獲取Host_1及 firewall_2的訪問權限，可分別利用兩者存在的CVE-2018-12714、CVE-2017-17156漏洞發起代碼注入攻擊，通過Host_1獲取File_server的訪問權限，通過firewall_2獲取Host_2的訪問權限，此時，可直接利用訪問權限對File_server發起0day攻擊，或對Host_2發起0day攻擊，獲取File_Server的用戶權限，從而觸發已知漏洞CVE-2018-8169。LCA輸出單步攻擊的發生概率如表6所示。

圖9 實驗場景0day攻擊圖

Figure 9 0day attack graph in experimental scene

表6 攻擊發生概率

以獲取root_File_Server為最終攻擊目的，提取0day攻擊路徑包括：zap1：1→2→3→4以及zap2:1→2→5→6→7，利用式(8)計算兩路徑的綜合利用率分別為0.18、0.21。由此可知，攻擊路徑zap2雖然涉及5次攻擊，多于zap1的4次攻擊，但其綜合利用率更高，更有可能被該攻擊者利用。

4.4 實驗分析

根據實驗結果，通過對比本文與文獻[6-7]提出的方法，從預測結果的準確性、方法便捷性、適用性、相關知識的全面性以及預測結果可解釋性等方面分析本文方法的優勢，以驗證本文方法的有效性。具體對比分析如表7所示。

表7 對比分析

準確性方面，利用文獻[6]提出的方法生成的0day攻擊圖除圖9實線部分外，還包括虛線所示部分，并且文獻[6]簡單的根據0day攻擊數量預測攻擊路徑zap1更可能成為攻擊者選擇的攻擊路徑。而本文通過對0day存在性假設的約束（Web_Server中存在0day漏洞可能性最高的為apachewebserver組件，可能性為0.05），并利用訓練完成的分類器LCA對Web_Server發生攻擊的概率進行了計算（攻擊發生概率0.3），判定攻擊關系不成立，較為合理地排除了此處的0day攻擊，縮減0day攻擊預測結果規模，同時根據綜合利用率更合理地預測zap2為攻擊者選擇的攻擊路徑，提高了預測準確性。

便捷性方面，文獻[6-7]在實施預測前不僅需要收集相關知識，且需構建專門的0day攻擊規則作為預測分析的基礎，造成了一定的開銷，而本文依托網絡防御知識圖譜及知識圖譜推理方法實施預測，無須專門構建0day攻擊規則，節省了開銷，提高了方法的便捷性。

適用性方面，文獻[7]提出的方法，需依賴較為完整的已知攻擊路徑實施攻擊推理，而本實驗環境中，Web_server不存在已知漏洞且firewall_1的已知漏洞CVE-2019-1934需用戶級權限觸發，因而無法在初始權限條件下生成已知攻擊路徑，文獻[7]的方法無法適用于此類場景。

知識全面性方面，本文以當前研究已較為成熟的網絡安全領域概念知識為基礎，從威脅、資產、脆弱性3個方面構建網絡防御知識圖譜，并提取關系路徑作為特征應用于攻擊預測，預測過程不僅使用了文獻[6-7]等涉及的漏洞存在性、可用性、影響等漏洞知識，也結合了攻擊意圖、資產類型等知識，使預測分析更加全面，提高了預測結果的合理性。

圖10 實體“CTF001”與“Host_2”間路徑

Figure 10 Paths between “CTF001” and “Host_2”

綜合以上5個方面可見，本文提出的方法有效可用。

5 結束語

本文針對0day漏洞未知性導致的0day攻擊檢測難問題以及現有研究在利用條件假設、攻擊前后關聯等方法克服未知性影響過程中出現的不足，提出了基于網絡防御知識圖譜的0day攻擊路徑預測方法。利用當前研究較為成熟的網絡安全本體知識，構建了知識覆蓋較全面的網絡防御知識圖譜，將離散的威脅、脆弱性、資產知識整合為高度關聯的知識體系，為攻擊預測提供了完備的知識支撐。在此基礎上，將攻擊預測問題轉化為鏈接預測問題，選取預測精度高且預測結果可解釋性強的路徑排序算法，提取攻擊者實體與目標設備實體存在的關系路徑作為特征，更全面地對攻擊進行了預測，有效克服了0day漏洞未知性以及專家知識片面性的影響，提高了預測準確性，并對預測結果的可解釋性提供了支持。

下一步，在持續優化網絡防御知識圖譜的基礎上，將進一步拓展知識模塊，提高攻擊預測的準確性，并對同時存在多攻擊者情況下，基于知識圖譜的網絡攻擊者溯源問題展開探索。

[1] MCQUEEN M A, MCQUEEN T A, BOYER W F, et al. Empirical estimates and observations of 0day vulnerabilities[C]//2009 42nd Hawaii International Conference on System Sciences. 2009.

[2] ZHANG S, CARAGEA D, OU X. An empirical study on using the national vulnerability database to predict software vulnerabilities[C]//Database and Expert Systems Applications-22nd International Conference, 2011.

[3] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: measuring the security risk of networks against unknown attacks[J]. Lecture Notes in Computer Science, 2010, 11(1): 573-587.

[4] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: a network security metric for measuring the risk of unknown vulnerabilities[J]. IEEE Transactions on Dependable & Secure Computing, 2014, 11(1): 30-44.

[5] ALBANESE M, JAJODIA S, SINGHAL A, et al. An efficient framework for evaluating the risk of zero-day vulnerabilities[C]// International Conference on E-Business and Telecommunications. 2013.

[6] YANG Y U, XIA C H, XIAO-YUN H U, et al. An augmented 0-day attack graph generation method[J]. DEStech Transaction on Computer Science and Engineering, 2016(aice-ncs).

[7] 葉子維. 基于漏洞與攻擊圖的網絡脆弱性分析關鍵技術研究[D]. 鄭州: 信息工程大學, 2019.

YE Z W. Research on key technology of network weakness analysis based on vulnerability and attack graph[D]. Zhengzhou: Information Engineering University, 2019.

[8] AHMADINEJAD S H, JALILI S, ABADI M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs[J]. Computer Networks, 2011, 55(9): 2221-2240.

[9] SUN X, DAI J, LIU P, et al. Towards probabilistic identification of zero-day attack paths[C]//2016 IEEE Conference on Communications and Network Security (CNS). 2016.

[10] SUN X, DAI J, LIU P, et al. Using bayesian networks for probabilistic identification of zero-day attack paths[J]. IEEE Transactions on Information Forensics and Security, 2018: 1-10.

[11] SUN X, DAI J, LIU P, et al. Using bayesian networks to fuse intrusion evidences and detect zero-day attack paths[M]// Network Security Metrics. 2017.

[12] SINGH U K, JOSHI C, KANELLOPOULOS D. A framework for zero-day vulnerabilities detection and prioritization[J]. Journal of Information Security and Applications, 2019, 46: 164-172.

[13] 楊峻楠, 張紅旗, 張傳富. 基于不完全信息隨機博弈的防御決策方法[J]. 網絡與信息安全學報, 2018, 4(8): 12-20.

YANG J N，ZHANG H Q, ZHANG C F. Defense decision-making method based on incomplete information stochastic game[J]. Chinese Journal of Network and Information Security, 2018, 4(8): 12-20.

[14] 冷強, 楊英杰, 常德顯, 等. 面向網絡實時對抗的動態防御決策方法[J]. 網絡與信息安全學報, 2019, 5(6): 58-66.

LENG Q, YAGN Y J, CHANG D X, et al. Dynamic defense decision method for network real-time confrontation[J]. Chinese Journal of Network and Information Security, 2019, 5(6): 58-66.

[15] LAO N, COHEN W W . Relational retrieval using a combination of path-constrained random walks[J]. Machine Learning, 2010, 81(1): 53-67.

[16] AMIT S. Introducing the knowledge graph: things, not strings[EB].

[17] LI A. A practical approach to constructing a knowledge graph for cybersecurity[J]. Engineering, 2018, 4(1): 53-60.

[18] 尚懷軍. 面向漏洞庫的網安知識庫構建技術的研究與實現[D]. 長沙: 國防科技大學, 2018.

SHANG H J. Research and implementation oftechniqueonconstructionofcybersecurityknowledgebaseforvulnerabilitydatabase[D]. Chagnsha: National University of Defense Technology, 2018.

[19] 謝敏容. 網絡防御知識圖譜構建技術研究與實現[D]. 成都: 電子科技大學, 2020.

XIE M R. Research and implementation of cybersecurity knowledge graph construction technology[D]. Chengdu: University of Electronic Science and Technology of China, 2020.

[20] SAHOO S S, HALB W, HELLAMNN S, et al. A survey of current approaches for mapping of relational databases to RDF[R]. W3C RDB2RDF Incubator Group Report, 2009, 1: 113-130.

[21] LIN Y, SHEN S, LIU Z, et al. Neural relation extraction with selective attention over instances[C]//Proceedings of the 54th Annual Meeting of the Association for Computational Linguistics. 2016.

[22] 司成. 基于本體的網絡威脅態勢推演與評估技術研究[D]. 鄭州: 信息工程大學, 2015.

SI C. Research onnetworkthreatsituationdeductionandevaluationtechnologybasedonontology[D]. Zhengzhou: Information Engineering University, 2015.

[23] LAO N, MITCHELL T M, COHEN W W. Random walk inference and learning in alarge scale knowledge base[C]//Conference on Empirical Methods in Natural Language Processing. DBLP, 2011.

Prediction method of 0dayattackpathbasedoncyberdefenseknowledgegraph

SUN Cheng, HU Hao, YANG Yingjie, ZHANG Hongqi

Information Engineering University, Zhengzhou 450001, China

To solve the difficulty of attack detection caused by the 0day vulnerability, a prediction method of 0day attack path based on cyber defense knowledge graph was proposed. The cyber defense knowledge graph was constructed to refine the discrete security data such as threat, vulnerability and asset into the complete and high-related knowledge format by extracting concepts and entities related to network attack from cyber security ontology research finds and databases. Based on the knowledge integrated by the knowledge graph, assumed and restricted the unknown attributes such as the existence, availability and harmfulness of 0day vulnerabilities, and model the concept of "attack" as a relationship between attacker entities and device entities in the knowledge graph to transform the attack prediction to the link prediction of knowledge graph. According to this, apply path ranking algorithm was applied to mine the potential 0day attack in the target system and construct the 0day attack graph. Predicted the 0day attack path by utilizing the scores output by classifiers as the occurrence probabilities of single step attack and computing the occurrence probabilitiesof different attack paths. The experimental result shows that with the help of complete knowledge system provided by knowledge graph, the proposed method can reduce the dependence of prediction analysis on expert model and overcome the bad influence of 0day vulnerability to improve the accuracy of 0day attack prediction. And utilizing the characteristic that path ranking algorithm reasons based on the structure of graph can also help to backtrack the reasons of predicting results so as to improve the explainability of predicting.

knowledge graph, 0dayattack,attackpath prediction

The National Natural Science Foundation of China（61902427）

引用格式：孫澄, 胡浩, 楊英杰, 等. 基于網絡防御知識圖譜的0day攻擊路徑預測方法[J]. 網絡與信息安全學報, 2022, 8(1): 151-166.

TP393.08

A

10.11959/j.issn.2096?109x.2021101

一個簡單的PRA算法應用實例，簡要說明該算法的操作過程。知識圖譜子圖如圖5所示。

孫澄（1991? ），男，江蘇常州人，信息工程大學碩士生，主要研究方向為APT檢測跟蹤。

胡浩（1989? ），男，安徽池州人，博士，信息工程大學講師，主要研究方向為網絡態勢感知。

楊英杰（1971? ），男，河南鄭州人，博士，信息工程大學教授，主要研究方向為信息安全。

張紅旗（1962? ），男，河北遵化人，博士，信息工程大學教授、博士生導師，主要研究方向為網絡安全、移動目標防御、等級保護和信息安全管理。

2021?01?07；

2021?03?06

孫澄，suncheng1991@outlook.com

國家自然科學基金（61902427）

Format: SUNC, HU H, YANG Y J, et al. Prediction method of 0day attack path based on cyber defense knowledge graph[J]. Chinese Journal of Network and Information Security, 2022, 8(1): 151-166.