基于知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法研究及應(yīng)用

摘" 要： 針對(duì)網(wǎng)絡(luò)攻擊知識(shí)圖譜，同時(shí)引入了時(shí)序信息，提出一種基于知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方案，并對(duì)其進(jìn)行應(yīng)用。通過(guò)對(duì)網(wǎng)絡(luò)攻擊知識(shí)圖譜進(jìn)行規(guī)則學(xué)習(xí)和應(yīng)用，能夠有效地得到網(wǎng)絡(luò)攻擊事件預(yù)測(cè)結(jié)果，為網(wǎng)絡(luò)安全運(yùn)維人員提供決策支持。以企業(yè)提供的網(wǎng)絡(luò)安全運(yùn)維知識(shí)圖譜為例，將文中研究的方法應(yīng)用到企業(yè)安全檢測(cè)系統(tǒng)，結(jié)果證明該方法具有充分的準(zhǔn)確性和可行性，同時(shí)為后續(xù)研究提供了思路。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 知識(shí)圖譜； 時(shí)序知識(shí)圖譜； 知識(shí)圖譜推理； 鏈接預(yù)測(cè)； 網(wǎng)絡(luò)攻擊； 隨機(jī)游走； 攻擊規(guī)則

中圖分類號(hào)： TN915.08?34； TP391""""""""""""""""" 文獻(xiàn)標(biāo)識(shí)碼： A"""""""""""""""""" 文章編號(hào)： 1004?373X（2024）09?0091?06

0" 引" 言

隨著人工智能時(shí)代的到來(lái)，知識(shí)圖譜技術(shù)在知識(shí)表示與推理領(lǐng)域發(fā)揮著舉足輕重的作用。知識(shí)圖譜可以理解為一種由節(jié)點(diǎn)和邊組成的大型語(yǔ)義網(wǎng)絡(luò)，也可看作一種基于圖的數(shù)據(jù)結(jié)構(gòu)。知識(shí)圖譜通常以三元組的形式展現(xiàn)，其中包括頭實(shí)體、尾實(shí)體以及兩實(shí)體間的關(guān)系。

同時(shí)，互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展也使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到關(guān)注。隨著網(wǎng)絡(luò)安全威脅日益增多和復(fù)雜化，網(wǎng)絡(luò)安全知識(shí)圖譜的應(yīng)用也逐漸受到關(guān)注和推廣。網(wǎng)絡(luò)安全知識(shí)圖譜是一種將網(wǎng)絡(luò)安全相關(guān)知識(shí)、技術(shù)、事件等元素進(jìn)行建模、關(guān)聯(lián)和可視化的方法，它可以幫助安全團(tuán)隊(duì)更好地理解網(wǎng)絡(luò)安全威脅、攻擊手段和攻擊者行為等方面的信息，從而更好地制定和實(shí)施安全策略、防御措施和事件響應(yīng)。然而，目前大部分的網(wǎng)絡(luò)安全知識(shí)圖譜都是靜態(tài)知識(shí)圖譜，缺乏利用時(shí)間知識(shí)圖譜中可用的豐富時(shí)間信息的能力。事實(shí)上，現(xiàn)實(shí)世界中的事件和事實(shí)往往與時(shí)間有關(guān)，表現(xiàn)出實(shí)體之間的復(fù)雜動(dòng)態(tài)及其隨時(shí)間演變的關(guān)系。

本文討論的網(wǎng)絡(luò)安全圖譜主要針對(duì)網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)信息系統(tǒng)存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。基于上述問(wèn)題，本文主要討論了網(wǎng)絡(luò)入侵的問(wèn)題，提出了基于時(shí)序知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法，將攻擊預(yù)測(cè)問(wèn)題轉(zhuǎn)化為知識(shí)圖譜上的鏈接預(yù)測(cè)問(wèn)題，并以企業(yè)提供的網(wǎng)絡(luò)安全運(yùn)維知識(shí)圖譜為例，對(duì)該方法進(jìn)行了驗(yàn)證。通過(guò)該網(wǎng)絡(luò)安全圖譜，使用隨機(jī)游走等相關(guān)算法來(lái)預(yù)測(cè)可能發(fā)生的網(wǎng)絡(luò)威脅，為決策人員提供決策輔助。

1" 相關(guān)研究

1.1" 基于邏輯規(guī)則的時(shí)序知識(shí)圖譜推理

AMIE+[1]和AnyBURL[2]等知識(shí)圖譜上的鏈接預(yù)測(cè)符號(hào)方法從數(shù)據(jù)集中挖掘邏輯規(guī)則，然后應(yīng)用這些規(guī)則預(yù)測(cè)新的鏈接。StreamLearner[3]是學(xué)習(xí)時(shí)間規(guī)則的首批方法之一，另一類方法是基于圖的隨機(jī)游走。dynnode2vec方法[4]和change2vec方法[5]交替地在時(shí)序知識(shí)圖譜快照上提取隨機(jī)游走，并學(xué)習(xí)節(jié)點(diǎn)嵌入的參數(shù)，但它們不捕獲隨機(jī)游走中的時(shí)間模式。文獻(xiàn)[6]將隨機(jī)游走的概念擴(kuò)展到用于學(xué)習(xí)節(jié)點(diǎn)嵌入的連續(xù)時(shí)間動(dòng)態(tài)網(wǎng)絡(luò)上的時(shí)間隨機(jī)游走，游走中的邊緣序列僅在時(shí)間上向前移動(dòng)。

1.2" 基于嵌入的時(shí)序知識(shí)圖譜推理

基于嵌入的時(shí)序知識(shí)推理方法在現(xiàn)有基于嵌入的靜態(tài)知識(shí)圖譜推理方法的基礎(chǔ)上引入了時(shí)間信息的嵌入表示，以實(shí)現(xiàn)對(duì)動(dòng)態(tài)時(shí)序知識(shí)圖譜的推理。其中包括如TTransE[7]、TA?DistMult[8]和TNTComplEx[9]等方法。Leblay和Chekol提出了TTransE模型，它是在TransE[10]模型的基礎(chǔ)上進(jìn)行擴(kuò)展。文獻(xiàn)[11]提供了一種用于靜態(tài)知識(shí)圖譜推理模型的實(shí)體嵌入更新功能。針對(duì)帶有時(shí)間約束鏈接預(yù)測(cè)問(wèn)題，Lacroix等人受到四階張量規(guī)范分解的啟發(fā)，擴(kuò)展了ComplEx[12]模型，提出了TNTComplEx方法。

1.3" 基于圖卷積神經(jīng)網(wǎng)絡(luò)的時(shí)序知識(shí)圖譜推理

一些代表性的基于圖卷積神經(jīng)網(wǎng)絡(luò)的時(shí)序知識(shí)圖譜推理方法包括RE?Net[13]、TeMP[14]、xERTE[15]和RE?GCN[16]等。文獻(xiàn)[16]提出的自回歸網(wǎng)絡(luò)RE?Net（Recurrent Event Network）用于預(yù)測(cè)未來(lái)事件。文獻(xiàn)[17]提出的改進(jìn)模型和Li等人提出的循環(huán)演化網(wǎng)絡(luò)采用了鄰居聚合器和時(shí)序事件編碼器相結(jié)合的框架。此外，Han等人提出了xERTE框架，它能夠?qū)r(shí)序知識(shí)圖譜的相關(guān)子圖進(jìn)行查詢，并聯(lián)合建模圖結(jié)構(gòu)和時(shí)間上下文信息。文獻(xiàn)[18]提出的TLogic框架通過(guò)從圖中提取時(shí)間隨機(jī)游走來(lái)自動(dòng)挖掘循環(huán)時(shí)間邏輯規(guī)則。

2" 問(wèn)題定義

本文提出的預(yù)測(cè)方法以網(wǎng)絡(luò)攻擊時(shí)序圖譜作為輸入，預(yù)測(cè)下一時(shí)刻是否會(huì)有攻擊事件發(fā)生，因此定義以下概念。

2.1" 網(wǎng)絡(luò)攻擊時(shí)序知識(shí)圖譜

網(wǎng)絡(luò)攻擊時(shí)序知識(shí)圖譜（Cyber Attack Temporal Knowledge Graph， CATKG）為事實(shí)[S×R×O×T]的集合，[S]和[O]表示實(shí)體的集合，[R]表示關(guān)系的集合，[T]表示時(shí)間戳的集合。每個(gè)事實(shí)由四元組[（s，r，o，t）]表示。其中：[s]為攻擊實(shí)體，[o]為被攻擊實(shí)體，兩者可代表機(jī)構(gòu)名稱、地理位置以及攻擊與被攻擊的IP地址等信息；[r]為關(guān)系類型，代表具體的攻擊行為，如網(wǎng)絡(luò)入侵、漏洞攻擊等；[t]則為時(shí)間戳，表示攻擊事件在[t]時(shí)刻發(fā)生。

2.2" 網(wǎng)絡(luò)攻擊鏈接預(yù)測(cè)

CATKG將網(wǎng)絡(luò)攻擊表示為攻擊實(shí)體與被攻擊實(shí)體之間的關(guān)系類型，因此具體的攻擊預(yù)測(cè)任務(wù)就轉(zhuǎn)化為知識(shí)圖譜中的鏈接預(yù)測(cè)問(wèn)題。給定一個(gè)四元組的查詢[q]，以[（s，r，？，t）]為例，已知攻擊者和攻擊類型，本文希望預(yù)測(cè)最有可能符合查詢的被攻擊者候選排序列表。

2.3" 網(wǎng)絡(luò)攻擊時(shí)序隨機(jī)游走

在CATKG中，從攻擊實(shí)體[sl+1]到被攻擊實(shí)體[o1]的長(zhǎng)度為[l]的網(wǎng)絡(luò)攻擊非遞增時(shí)間隨機(jī)游走[W]定義為邊序列：

[sl+1，rl，ol，tl，sl，rl-1，ol-1，tl-1，…，s2，r1，o1，t1，""""""""""""""""""""" t1≤t2≤…≤tl]" （1）

該游走[W]符合網(wǎng)絡(luò)攻擊時(shí)間約束，因此邊僅在時(shí)間上向后遍歷，其中也可以沿著具有相同時(shí)間戳的邊進(jìn)行游走。

2.4" 網(wǎng)絡(luò)攻擊時(shí)序邏輯規(guī)則

設(shè)0lt;[i]≤[l]+1，[Si]、[Oi]和[Ti]分別是表示實(shí)體和時(shí)間戳的變量。此外，設(shè)[ri]是固定的。將一個(gè)長(zhǎng)度為[l]的循環(huán)網(wǎng)絡(luò)攻擊時(shí)序邏輯規(guī)則SR定義為：

[Sl，rl+1，Ol+1，Tl+1←∧li=1Si，ri，Oi+1，Ti，"" T1≤…≤Tllt;Tl+1]" （2）

SR的左邊稱為網(wǎng)絡(luò)攻擊規(guī)則頭，為網(wǎng)絡(luò)攻擊頭關(guān)系；右邊稱為網(wǎng)絡(luò)攻擊規(guī)則體，表示為各體原子[（Si，ri，Oi+1，Ti）]的合取。該網(wǎng)絡(luò)攻擊規(guī)則被稱為循環(huán)規(guī)則，因?yàn)榫W(wǎng)絡(luò)攻擊規(guī)則頭和網(wǎng)絡(luò)攻擊規(guī)則體構(gòu)成了連接相同的兩個(gè)變量的兩個(gè)不同游走。攻擊時(shí)序規(guī)則表明，如果規(guī)則主體符合給出的時(shí)間約束，那么規(guī)則頭對(duì)于未來(lái)時(shí)間戳[Ti+1]也是正確的。

用常數(shù)項(xiàng)替換變量[Si]、[Oi]和[Ti]稱為實(shí)例化。網(wǎng)絡(luò)攻擊規(guī)則實(shí)例化是指替換整個(gè)規(guī)則中的變量，而網(wǎng)絡(luò)攻擊體實(shí)例化是指僅在體原子中替換變量，其中所有實(shí)例化必須符合前面的時(shí)間約束。

考慮到網(wǎng)絡(luò)攻擊時(shí)間戳的值，使用標(biāo)準(zhǔn)置信度。網(wǎng)絡(luò)攻擊體支持定義為攻擊體實(shí)例化的數(shù)量，網(wǎng)絡(luò)攻擊規(guī)則支持定義為攻擊規(guī)則實(shí)例化的數(shù)量，規(guī)則SR的置信度conf（SR）通過(guò)網(wǎng)絡(luò)攻擊規(guī)則支持除以體支持獲得。

表1列出了本文出現(xiàn)的主要符號(hào)及其含義。

3" 基于時(shí)序知識(shí)圖譜的企業(yè)信息網(wǎng)絡(luò)攻擊預(yù)測(cè)模型

3.1" 模型框架

針對(duì)企業(yè)提供的網(wǎng)絡(luò)安全運(yùn)維知識(shí)圖譜，本文基于TLogic模型進(jìn)行優(yōu)化，引入特征權(quán)重值改進(jìn)模型的得分函數(shù)，以便更有效地對(duì)網(wǎng)絡(luò)攻擊進(jìn)行預(yù)測(cè)。本文的網(wǎng)絡(luò)攻擊預(yù)測(cè)模型架構(gòu)CAP如圖1所示。

模型主要包括三個(gè)模塊，分別是攻擊規(guī)則學(xué)習(xí)、攻擊規(guī)則應(yīng)用和評(píng)估。輸入網(wǎng)絡(luò)安全運(yùn)維圖譜，經(jīng)過(guò)采樣后得到若干個(gè)攻擊時(shí)序游走，接著通過(guò)變量替換的方式將游走轉(zhuǎn)化為攻擊時(shí)序規(guī)則，對(duì)這些規(guī)則進(jìn)行置信度估計(jì)，生成完整的攻擊時(shí)序規(guī)則。得到攻擊時(shí)序規(guī)則后，此時(shí)會(huì)提出攻擊查詢，將其與攻擊時(shí)序規(guī)則以及網(wǎng)絡(luò)安全運(yùn)維圖譜一起導(dǎo)入攻擊規(guī)則應(yīng)用模塊。此時(shí)，檢索網(wǎng)絡(luò)安全運(yùn)維子圖以運(yùn)用攻擊規(guī)則生成預(yù)測(cè)答案的候選列表，接著計(jì)算得分函數(shù)為候選列表提供分?jǐn)?shù)。最后，通過(guò)規(guī)則評(píng)估模塊進(jìn)行分?jǐn)?shù)評(píng)估，為候選列表產(chǎn)生最終分?jǐn)?shù)。完成這些工作后，模型輸出以分?jǐn)?shù)降序排列的預(yù)測(cè)答案候選列表，為網(wǎng)絡(luò)安全運(yùn)維人員提供決策幫助。

3.2" 攻擊規(guī)則學(xué)習(xí)

作為攻擊規(guī)則學(xué)習(xí)的第一步，要從CATKG中提取攻擊時(shí)序游走。通過(guò)對(duì)長(zhǎng)度為[l]+1的游走進(jìn)行采樣來(lái)獲得長(zhǎng)度為[l]的規(guī)則，其中額外的步驟對(duì)應(yīng)于規(guī)則頭。令網(wǎng)絡(luò)攻擊規(guī)則頭[rl+1]為一個(gè)固定的關(guān)系，為其進(jìn)行規(guī)則學(xué)習(xí)。對(duì)于采樣的第一步[m]=[1]，均勻地從攻擊關(guān)系類型為[rl+1]的所有邊中采樣一條邊[（Sl，rl+1，Ol+1，Tl+1）]作為攻擊規(guī)則頭。一個(gè)時(shí)序隨機(jī)游走器隨后進(jìn)行取樣。

對(duì)于之后的攻擊采樣步驟，用[（s，r，o，t）]表示先前采樣的邊，[C（m，o，t）]表示下一次轉(zhuǎn)換的可行邊集。為了滿足攻擊時(shí)間約束，定義：

[Cm，o，to，r，s，t'o，r，s，t'∈CATKG，"" t'lt;t， m=2o，r，s，t'o，r，s，t'∈CATKG'，"" t'≤t， m∈[3，l]o，r，s1，t'o，r，s1，t'∈CATKG'，"" t'≤t， m=l+1]

（3）

式中[CATKG']=[CATKG{（o，（r）-1，s，t）}]，排除了反向邊以避免出現(xiàn)冗余的網(wǎng)絡(luò)攻擊規(guī)則。為了獲得循環(huán)攻擊時(shí)序游走，在最后一步[m=l+1]中采樣一條邊，如果存在這樣的邊，則該邊將游走連接到第一個(gè)實(shí)體[s1]；否則，對(duì)下一次攻擊時(shí)序游走進(jìn)行采樣。

定義一個(gè)與式（1）中索引一致的索引映射[m=（l+1）-（m-2）]。對(duì)于[m]≥2的指數(shù)權(quán)重概率如下：

[P（k，m，om'，tm'）=exp（tk-tm'）k'∈C（m，om'，tm'）exp（tk'-tm'）] （4）

式中[tk]表示邊[k]的時(shí)間戳。指數(shù)加權(quán)給予與之前的邊相接近的邊激勵(lì)，在攻擊預(yù)測(cè)時(shí)也會(huì)更加相關(guān)。由此產(chǎn)生的網(wǎng)絡(luò)攻擊時(shí)間游走如下：

[s1，rl+1，ol+1，tl+1，sl+1，rl，ol，tl，…，s2，r1，o1，t1]" （5）

通過(guò)用變量替換實(shí)體和時(shí)間戳將[W]轉(zhuǎn)換為攻擊時(shí)序規(guī)則SR。當(dāng)[W]中的第一條邊成為攻擊規(guī)則頭[（Sl，rl+1，Ol+1，Tl+1）]時(shí)，其他邊被映射到體原子，其中每條邊[（si+1，ri，oi，ti）]被轉(zhuǎn)換為攻擊體原子[（Oi，（ri）-1，Si+1，Ti）]。最終的網(wǎng)絡(luò)攻擊規(guī)則SR表示為：

[Sl，rl+1，Ol+1，Tl+1←∧li=1Oi，（ri）-1，Si+1，Ti]" （6）

對(duì)于SR的置信度估計(jì)，從圖中抽取固定數(shù)量的攻擊體實(shí)例化，它們必須匹配攻擊體關(guān)系和之前提到的變量約束，同時(shí)滿足式（2）中的條件。唯一實(shí)體的數(shù)量作為攻擊體支持。攻擊規(guī)則支持是通過(guò)計(jì)算實(shí)體的數(shù)量來(lái)確定的，對(duì)于這些實(shí)體，存在連接[s1]和[ol+1]的攻擊關(guān)系類型為[rl+1]的邊。此外，這條邊的時(shí)間戳必須大于所有攻擊體時(shí)間戳才能滿足式（2）。

對(duì)于每個(gè)攻擊關(guān)系[r]，為一組預(yù)先指定長(zhǎng)度[l]采樣[n]個(gè)網(wǎng)絡(luò)攻擊時(shí)間游走。集合[SRlr]代表所有長(zhǎng)度為[l]，頭部關(guān)系為[r]的攻擊時(shí)序規(guī)則及其相應(yīng)的置信度。關(guān)系[r]的所有攻擊規(guī)則都包含在[SRr=lSRlr]，完整的網(wǎng)絡(luò)攻擊時(shí)序規(guī)則集由[SR=rSRr]得到。

3.3" 攻擊規(guī)則應(yīng)用

通過(guò)攻擊規(guī)則學(xué)習(xí)得到的攻擊時(shí)序規(guī)則SR被應(yīng)用于回答形如[q=（sq，rq，？，tq）]的查詢。候選答案從CATKG的攻擊體實(shí)例化的目標(biāo)實(shí)體中取得。如果沒(méi)有對(duì)應(yīng)規(guī)則或者圖中沒(méi)有匹配的實(shí)例化，那么就不會(huì)有答案。

為了在網(wǎng)絡(luò)安全運(yùn)維圖譜上應(yīng)用該規(guī)則，檢索來(lái)自于CATKG中依賴于時(shí)間窗口[w]的網(wǎng)絡(luò)安全運(yùn)維子圖。子圖由[t]∈[[tmin，tq）]的所有事實(shí)組成，其中[tmin]是CATKG中的最小時(shí)間戳。對(duì)于[w]，子圖包含CATKG所有具有時(shí)間戳[t]∈[[tmin，tq）]的邊，如果[w=∞]，則時(shí)間戳在查詢攻擊時(shí)間[tq]之前所有邊都用于攻擊規(guī)則。

該模塊通過(guò)降低置信度來(lái)應(yīng)用攻擊規(guī)則，其中每個(gè)規(guī)則SR生成一組候選答案[C]。其中每個(gè)候選[c]通過(guò)函數(shù)[f]獲得分?jǐn)?shù)，分?jǐn)?shù)反映了候選者查詢正確答案的概率。令[B]（SR，[c]）是規(guī)則SR的攻擊體實(shí)例化集合，它從實(shí)體[sq]開(kāi)始，到實(shí)體[c]結(jié)束。選擇攻擊規(guī)則的置信度和以時(shí)間差[tq-t1B（SR，c）]作為輸入函數(shù)的凸組合作為得分函數(shù)[f]，其中[t1]表示攻擊體中最早的時(shí)間戳。如果存在多個(gè)攻擊體實(shí)例化，從所有可能的[t1]中取最接近[tq]的那個(gè)。對(duì)于每個(gè)候選[c]，得分函數(shù)定義為：

[f（SR，c）=δ?conf（SR）+（1-δ）?""""""""""""""" exp（-θ（tq-t1B（SR，c））），""" θgt;0， 0≤δ≤1]" （7）

式中：[δ]為權(quán)重值，起到對(duì)置信度和指數(shù)分量的權(quán)重分配作用；[θ]為大于0的參數(shù)值。權(quán)重值[δ]及參數(shù)[θ]使兩個(gè)和項(xiàng)都在[0，1]內(nèi)。

隨著邊之間時(shí)間差的減小，攻擊規(guī)則中邊的存在可能性也會(huì)提高?；诖?，添加對(duì)攻擊規(guī)則實(shí)例化的時(shí)間范圍的依賴。選擇指數(shù)分布，因?yàn)樗毡橛糜趯?duì)事件的到達(dá)間隔時(shí)間建模。時(shí)間[tq-t1B（SR，c）]對(duì)于未來(lái)的時(shí)間戳值[tq]總是非負(fù)的，并且假設(shè)存在固定均值，指數(shù)分布也是這種時(shí)間差變量的最大熵分布。

3.4" 評(píng)" 估

為了評(píng)估結(jié)果，每個(gè)候選[c]的所有分?jǐn)?shù)通過(guò)噪聲或計(jì)算聚合，從而產(chǎn)生最終分?jǐn)?shù)，分?jǐn)?shù)產(chǎn)生方式如下：

[1-μ{sc（c，sc）∈C}（1-sc），"" μgt;0]"" （8）

式中：sc為每個(gè)候選者的所有分?jǐn)?shù)；[μ]為大于0的參數(shù)。

該方法通過(guò)聚合分?jǐn)?shù)以產(chǎn)生一個(gè)概率，其中由更多攻擊規(guī)則暗示的候選者應(yīng)該具有更高的分?jǐn)?shù)。

4" 模型應(yīng)用

4.1" 應(yīng)用場(chǎng)景及數(shù)據(jù)集

本文將提出的CAP模型應(yīng)用于企業(yè)的網(wǎng)絡(luò)安全管理系統(tǒng)，輸入其提供的CATKG，對(duì)于每個(gè)測(cè)試實(shí)例進(jìn)行主實(shí)體預(yù)測(cè)和目標(biāo)實(shí)體預(yù)測(cè)，并生成候選者列表，最后按照式（8）中的分?jǐn)?shù)計(jì)算方法按分?jǐn)?shù)降序?qū)蜻x者進(jìn)行排列。以時(shí)間戳為2021年以前的時(shí)序圖譜作為輸入，預(yù)測(cè)下一時(shí)刻（攻擊IP，入侵，？），并與2021年之后的真實(shí)被攻擊IP進(jìn)行對(duì)比，評(píng)估模型的預(yù)測(cè)能力。

本文采用的數(shù)據(jù)集為企業(yè)提供的網(wǎng)絡(luò)安全運(yùn)維知識(shí)圖譜，該知識(shí)圖譜含有46 910個(gè)實(shí)體，包括攻擊者IP、攻擊地理位置、攻擊IP資產(chǎn)、被攻擊IP、被攻擊地理位置和被攻擊IP資產(chǎn)等；含有40個(gè)關(guān)系，包括攻擊成功、攻擊失敗、外部攻擊、入侵等。數(shù)據(jù)集中共有20個(gè)時(shí)間戳。

4.2" 相關(guān)設(shè)置

對(duì)于本次攻擊預(yù)測(cè)應(yīng)用，每個(gè)規(guī)則的置信度是通過(guò)對(duì)500個(gè)攻擊體規(guī)則進(jìn)行采樣并且計(jì)數(shù)規(guī)則頭具有的時(shí)間數(shù)量來(lái)獲得。學(xué)習(xí)長(zhǎng)度為1、2和3的規(guī)則，為了應(yīng)用，只考慮最小置信度為0.01和最小攻擊體支撐為2的規(guī)則。選擇的模型評(píng)估指標(biāo)為MRR和Hits@[k]（[k]=1，3，10），這是用于知識(shí)圖譜鏈接預(yù)測(cè)的標(biāo)準(zhǔn)度量。

4.3" 應(yīng)用結(jié)果

以時(shí)間戳為2021年以前的圖譜作為數(shù)據(jù)集，預(yù)測(cè)下一時(shí)刻的攻擊事件，使其能為運(yùn)維人員提供決策輔助。本次應(yīng)用選擇預(yù)測(cè)結(jié)果規(guī)模為100個(gè)，部分結(jié)果如表2所示。

表2中候選答案為實(shí)際被攻擊IP的索引ID。

在總共100個(gè)預(yù)測(cè)結(jié)果中，正確值占71%。在71個(gè)正確的結(jié)果中，經(jīng)過(guò)驗(yàn)證，有16個(gè)結(jié)果為新出現(xiàn)的實(shí)體，即2021年以前未被該IP攻擊過(guò)的新IP，其余55個(gè)為重復(fù)實(shí)體。由此可見(jiàn)，模型對(duì)歷史出現(xiàn)過(guò)的實(shí)體預(yù)測(cè)效果更好，同時(shí)也可以對(duì)新的事實(shí)進(jìn)行預(yù)測(cè)。同時(shí)，因?yàn)楸敬芜x取的數(shù)據(jù)集規(guī)模有限，預(yù)測(cè)的不準(zhǔn)確值依然可能成為事實(shí)。

除了具有相應(yīng)分?jǐn)?shù)的可能答案候選列表之外，模型還能以支持預(yù)測(cè)的圖中游走的形式提供攻擊時(shí)間規(guī)則和攻擊體實(shí)例化。

如表3所示，對(duì)于查詢（IP1，[r7]，？，[T1]），表中顯示了兩次游走，作為正確答案IP2的時(shí)間一致解釋。因此該模型能有效地為網(wǎng)絡(luò)安全運(yùn)維人員提供決策支持。

4.4" 應(yīng)用分析

本次應(yīng)用中讓模型分別學(xué)習(xí)長(zhǎng)度為1、2和3的網(wǎng)絡(luò)攻擊規(guī)則。如表4所示，應(yīng)用長(zhǎng)度為2的規(guī)則會(huì)產(chǎn)生最佳性能（驗(yàn)證集上的MRR為0.142 2），其次是長(zhǎng)度僅為3、1和1，2，3的規(guī)則。

5" 結(jié)" 論

本文針對(duì)企業(yè)網(wǎng)絡(luò)安全防治壓力大、網(wǎng)絡(luò)安全防治決策響應(yīng)不及時(shí)的痛點(diǎn)問(wèn)題，在傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)安全知識(shí)圖譜上引入了時(shí)序信息，提出基于時(shí)序知識(shí)圖譜的企業(yè)信息網(wǎng)絡(luò)攻擊預(yù)測(cè)方法。本文研究的CAP模型對(duì)相關(guān)查詢生成一個(gè)按照分?jǐn)?shù)降序排列的候選答案列表，可以有效地預(yù)測(cè)結(jié)果事件。最后以企業(yè)提供的網(wǎng)絡(luò)安全運(yùn)維知識(shí)圖譜為例對(duì)該模型進(jìn)行應(yīng)用，有效地利用了時(shí)序信息，能夠以較高的準(zhǔn)確率預(yù)測(cè)網(wǎng)絡(luò)攻擊事件，為網(wǎng)絡(luò)安全運(yùn)維人員提供決策支持。但是本文使用的數(shù)據(jù)集規(guī)模并不龐大，在未來(lái)的研究中可以嘗試擴(kuò)充數(shù)據(jù)集，更加全面地獲取網(wǎng)絡(luò)攻擊事件，從而提升決策輔助效果。

注：本文通訊作者為張鳳荔。

參考文獻(xiàn)

[1] GALáRRAGA L， TEFLIOUDI C， HOSE K， et al. Fast rule mining in ontological knowledge bases with AMIE+ [J]. The VLDB journal， 2015， 24（6）： 707?730.

[2] MEILICKE C， CHEKOL M W， RUFFINELLI D. Anytime bottom?up rule learning for knowledge graph completion [C]// Proceedings of the Twenty?eighth International Joint Conference on Artificial Intelligence. [S.l.： s.n.]， 2019： 3137?3143.

[3] OMRAN P G， WANG K W， WANG Z. Learning temporal rules from knowledge graph streams [C]// Proceedings of the AAAI 2019 Spring Symposium on Combining Machine Learning with Knowledge Engineering. [S.l.： s.n.]， 2019： 35?43.

[4] MAHDAVI S， KHOSHRAFTAR S. dynnode2vec： Scalable dynamic network embedding [C]// Proceedings of the 2018 IEEE International Conference on Big Data. New York： IEEE， 2018： 3762?3765.

[5] BIAN R， KOH Y S， DOBBIE G， et al. Network embedding and change modeling in dynamic heterogeneous networks [C]// Proceedings of the Forty?second International ACM SIGIR Conference on Research and Development in Information Retrieval. New York： ACM， 2019： 861?864.

[6] NGUYEN G H， LEE J B， ROSSI R A， et al. Dynamic network embeddings： From random walks to temporal random walks [C]// Proceedings of the 2018 IEEE International Conference on Big Data. New York： IEEE， 2018： 1085?1092.

[7] LEBLAY J， CHEKOL M W. Deriving validity time in knowledge graph [C]// Proceedings of the World Wide Web Conference （WWW） （Companion Volume）. New York： ACM， 2018： 1771?1776.

[8] GARCíA DURáN A， DUMAN S， NIEPERT M. Learning sequence encoders for temporal knowledge graph completion [C]// Proceedings of the 2021 Conference on Empirical Methods in Natural Language Processing （EMNLP）. [S.l.]： ACL， 2018： 4816?4821.

[9] LACROIX T， OBOZINSKI G， USUNIER N. Tensor decompositions for temporal knowledge base completion [C]// Proceedings of the Eighth International Conference on Learning Representations （ICLR）. [S.l.： s.n.]， 2020： 1?12.

[10] BORDES A， USUNIER N， GARCíA DURáN A， et al. Translating embeddings for modeling" multi?relational data [C]// Proceedings of Conference and Workshop on Neural Information Processing Systems （NIPS）. [S.l.： s.n.]， 2013： 2799?2807.

[11] GOEL R， KAZEMI S M， BRUBAKER M， et al. Diachronic embedding for temporal knowledge graph completion [C]// Proceedings of the Thirty?fourth AAAI Conference on Artificial Intelligence. [S.l.]： AAAI， 2020： 3988?3995.

[12] TROUILLON T， WELBL J， RIEDEL S， et al. Complex embeddings for simple link prediction [C]// Proceedings of International Conference on Machine Learning （ICML）. [S.l.： s.n.]， 2016： 2071?2080.

[13] JIN W， QU M， JIN X S， et al. Recurrent event network： Autoregressive structure inference over temporal knowledge graphs [C]// Proceedings of the 2020 Conference on Empirical Methods in Natural Language Processing （EMNLP）. [S.l.： s.n.]， 2020： 6669?6683.

[14] WU J， CAO M， CHEUNG J C K， et al. TeMP： Temporal message passing for temporal knowledge graph completion [C]// Proceedings of the 2020 Conference on Empirical Methods in Natural Language Processing （EMNLP）. [S.l.： s.n.]， 2020： 5730?5746.

[15] HAN Z， CHEN P， MA Y P， et al. Explainable subgraph reasoning for forecasting on temporal knowledge graphs [C]// Proceedings of 9th International Conference on Learning Representations （ICLR）. [S.l.： s.n.]， 2021： 1?24.

[16] LI Z X， JIN X L， LI W， et al. Temporal knowledge graph reasoning based on evolutional representation learning [C]// Proceedings of the 44th International ACM SIGIR Conference on Research and Development in Information Retrieval. New York： IEEE， 2021： 408?417.

[17] 陳浩，李永強(qiáng)，馮遠(yuǎn)靜.基于多關(guān)系循環(huán)事件的動(dòng)態(tài)知識(shí)圖譜推理[J].模式識(shí)別與人工智能，2020，33（4）：337?343.

[18] LIU Y S， MA Y P， HILDEBRANDT M. TLogic： Temporal logical rules for explainable link forecasting on temporal knowledge graphs [C]// Thirty?fourth Conference on Innovative Applications of Artificial Intelligence. [S.l.： s.n.]， 2022： 4120?4127.

Research and application of network attack prediction method based on knowledge graph

HUANG Zhiyong1， 2， LIU Xinyu1， LIN Renming2， YU Yaning1， ZHANG Fengli1

（1. School of Information and Software Engineering， University of Electronic Science and Technology of China， Chengdu 610054， China; 2. Information Center， Sichuan Provincial Market Supervision Administration， Chengdu 610017， China）

Abstract： This paper focuses on the knowledge graph of network attacks. The temporal information is introduced， and a network attack prediction approach based on knowledge graph is proposed and applied in practice. By regular learning and application of the knowledge graph of network attacks， effective prediction results of network attack events can be obtained， which provides decision support for the network security operation and maintenance personnel. The knowledge graph of network security operation and maintenance provided by a certain enterprise is taken as an example. The proposed method is applied to the security detection system of the enterprise. The results demonstrate that the method is of high accuracy and feasibility， and can provide insights for the future research.

Keywords： network security; knowledge graph; temporal knowledge graph; knowledge graph reasoning; link prediction; network attack; random walk; attack rule

DOI：10.16652/j.issn.1004?373x.2024.09.017

引用格式：黃智勇，劉昕宇，林仁明，等.基于知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法研究及應(yīng)用[J].現(xiàn)代電子技術(shù)，2024，47（9）：91?96.

收稿日期：2023?11?08"""""""""" 修回日期：2023?11?29

黃智勇，等：基于知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法研究及應(yīng)用

黃智勇，等：基于知識(shí)圖譜的網(wǎng)絡(luò)攻擊預(yù)測(cè)方法研究及應(yīng)用

作者簡(jiǎn)介：黃智勇，男，碩士研究生，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全應(yīng)用。

劉昕宇，男，碩士研究生，主要研究方向?yàn)橹R(shí)圖譜推理。

林仁明，男，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全應(yīng)用。

余雅寧，女，碩士研究生，主要研究方向?yàn)榘踩珣B(tài)勢(shì)預(yù)測(cè)。

張鳳荔，女，教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。