基于网络防御知识图谱的0day攻击路径预测方法

摘要：针对 0day 漏洞未知性造成的攻击检测难问题，提出了一种基于知识图谱的 0day 攻击路径预测方法。通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取“攻击”相关的概念及实体，构建网络防御知识图谱，将威胁、脆弱性、资产等离散的安全数据提炼为互相关联的安全知识。在此基础上，依托知识图谱整合的知识，假设并约束0day漏洞的存在性、可用性及危害性等未知属性，并将“攻击”这一概念建模为知识图谱中攻击者实体与设备实体间存在的一种关系，从而将攻击预测问题转化为知识图谱的链接预测问题。采用基于路径排序算法的知识图谱推理方法挖掘目标系统中可能发生的 0day 攻击，并生成 0day 攻击图。复用分类器输出的预测得分作为单步攻击发生概率，通过计算并比较不同攻击路径的发生概率，预测分析 0day 攻击路径。实验证明，所提方法能够依托知识图谱提供的知识体系，为攻击预测提供较全面的知识支持，降低预测分析对专家模型的依赖，并较好地克服 0day 漏洞未知性对预测分析造成的不利影响，提高了 0day 攻击预测的准确性，并且借助路径排序算法基于图结构这一显式特征进行推理的特点，能够对推理结果形成的原因进行有效反溯，从而一定限度上提高了攻击预测分析结果的可解释性。

关键词：知识图谱 ; 0day攻击 ; 攻击路径预测

0 引言

在当今网络攻防体系中，0day漏洞是指未被安全厂商发现，却可能被黑客组织掌握的系统脆弱性的总称。在被用于发起0day攻击时，因其对于防御者具有未知性，造成攻防双方严重的信息不对称，使防御者缺乏漏洞细节信息，难以实施有效检测，攻击者因此提高了攻