CN117216767A - 一种基于图神经网络的漏洞利用攻击预测方法 - Google Patents

Abstract

本发明公开了一种基于图神经网络的漏洞利用攻击预测方法。包括：提取漏洞知识库的特征，表达漏洞特征图的漏洞节点；提取漏洞知识三元组，转化为无向图；构建漏洞特征图的边关系，得到漏洞特征图；使用一种基于注意力机制的节点表征方法，提取漏洞特征图的节点向量表征；使用基于图注意力网络的漏洞利用攻击预测模型预测漏洞利用攻击的可能性；对基于图注意力网络的漏洞利用攻击预测模型引入基于梯度协调机制的损失函数，以平衡不同类别样本对预测模型的影响。本发明构建基于图注意力网络的预测模型，使用漏洞特征图作为模型输入，提高漏洞利用攻击预测的准确率，提升所提出模型的综合性能。

Description

一种基于图神经网络的漏洞利用攻击预测方法

技术领域

本发明属于网络安全领域，具体设计一种基于图神经网络的漏洞利用攻击预测方法。

背景技术

随着网络空间的不断发展，全球的信息服务在数量、种类和复杂性上均以指数级的速度扩张。在技术高速发展的当下，企业与个人信息越来越多地暴露在由软件漏洞引起的网络攻击威胁之下。网络攻击者可以利用软件漏洞破坏目标***的完整性、机密性或可用性，进而对社会经济和国家安全造成损害。

软件漏洞在被公开披露后其被用于网络攻击的可能性会大大增加。同时，不断涌现的漏洞促使网络攻击者以非官方渠道披露漏洞并分享技术细节，使得未更新补丁的***面临更大风险。更糟糕的是软件漏洞数量的***式增长让厂商难以及时提供补丁和缓解措施。但是事实上，在所有公开披露的漏洞中仅有不到3%的漏洞被用于真实的网络攻击，而被整合进黑客工具的漏洞则更少。绝大多数的漏洞从未出现过在野利用情况，并且出现在野利用的比例也随着时间的推移而逐渐下降。出于修补软件漏洞所需的时间、人力、设备等成本考虑，企业决策者必须在覆盖率和效率间做出权衡。一方面，企业要尽可能多地修补已披露的漏洞以提高安全水位；另一方面，由于资源有限，企业不得不优先处理高风险漏洞，滞后处理低风险漏洞。随着漏洞披露数量的爆发式增长，漏洞评估的重要性也日益得到重视。因此，漏洞可利用性评估已经成为企业或组织保护信息***和网络免受网络攻击、恶意软件勒索和各种数据泄露威胁的关键措施。高效的漏洞利用攻击预测技术可帮助决策者确定漏洞修复工作的优先级，以求在发生在野利用之前修复关键漏洞。

本发明提出一种漏洞利用攻击预测方法，从漏洞描述的语义相似性和漏洞间的间接关系出发，在漏洞知识库之上提炼得到漏洞特征图。为了进一步探究漏洞间关联信息在预测漏洞利用攻击时发挥的作用与机理，构建基于图注意力网络的预测模型，使用漏洞特征图作为模型输入，提高漏洞利用攻击预测的准确率，提升所提出模型的综合性能。

发明内容

有鉴于此，本发明提供了一种基于图神经网络的漏洞利用攻击预测方法，旨在缓解现有的漏洞利用攻击预测方法在利用漏洞间关联信息和应对数据分布不平衡的问题，并进一步提高模型预测性能。

一种基于图神经网络的漏洞利用攻击预测方法，所述方法包括：

步骤1：提取漏洞知识库中漏洞数据的基础特征、推文特征和技术性文章特征，以表达漏洞特征图的漏洞节点；

步骤2：筛选漏洞知识库中能够体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的漏洞知识三元组，提取三元组类型所涉及的所有边和实体节点，并转化为无向图G；

步骤3：利用Floyd算法和余弦相似度算法分别计算无向图G中漏洞节点间的最短距离矩阵以及漏洞描述文本相似度矩阵，两矩阵相结合构建漏洞特征图的边关系，得到漏洞特征图；

步骤4：使用一种基于注意力机制的节点表征方法，提取漏洞特征图的节点向量表征；

步骤5：使用基于图注意力网络的漏洞利用攻击预测模型从漏洞特征图中提取结构信息与节点特征以预测漏洞利用攻击的可能性；

步骤6：对所述步骤5中的基于图注意力网络的漏洞利用攻击预测模型引入基于梯度协调机制的损失函数，以平衡不同类别样本对预测模型的影响。

优选的，所述从漏洞知识库提取漏洞数据的特征以表达漏洞特征图的漏洞节点流程包括：

以漏洞知识库的漏洞节点为核心，设立并提取一组有效的特征以表达节点，选择的特征包括漏洞基础特征、推文特征和技术性文章特征；

使用N-gram词袋表示包含在文本字段中的漏洞信息的文本特征；

使用Sentence-BERT(SBERT)预训练模型为每个推文生成高质量的推文句向量；

对漏洞相关的技术性文章使用词袋模型表征技术性文章。

优选的，构建无向图G流程包括：

筛选漏洞知识库中的漏洞知识三元组，在所有三元组类型中，能够直接或间接体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的是：<漏洞利用，Exploit，漏洞>、<漏洞，Affect，程序版本>、<漏洞，Is，漏洞类型>、<程序版本，BelongTo，产品>、<供应商，Develop，产品>；

从漏洞知识库中提取上述三元组类型所涉及的所有边和实体节点，转化为无向图G。

优选的，构建漏洞特征图的边关系以得到漏洞特征图流程包括：

利用Floyd算法和余弦相似度算法分别计算无向图G中漏洞节点间的最短距离矩阵以及漏洞描述文本相似度矩阵；

将相似度矩阵和节点间距离倒数矩阵相加作为最终权重，设定阈值判断任意两漏洞节点间是否应构建边关系，从而构建漏洞节点之间的边关系，最终得到漏洞特征图。

优选的，提取漏洞特征图的节点向量表征流程包括：

使用SBERT预训练模型为每个漏洞生成一个推文句向量矩阵作为漏洞节点的推文 文本特征，表示为，其中t为漏洞对应的推文数量，d为句向量维度；

使用一种基于注意力机制的节点表征方法改良漏洞特征图的节点向量表征，缓解不同漏洞间推文数量分布不平衡的问题。

优选的，所述将将漏洞特征图输入漏洞利用攻击预测模型，预测漏洞利用攻击流程包括：

将推文文本特征与其它特征串联，经过可训练的线性变换后输入到图神经网络模型；

使用基于多头注意力机制的图注意力网络以提高预测模型的感知能力并稳定训练过程，从漏洞特征图中提取结构信息与节点特征，以节点分类任务的形式预测漏洞利用攻击的可能性。

优选的，所述平衡不同类别样本对预测模型的影响流程包括：

引入基于梯度协调机制的损失函数来平衡不同类别样本对预测模型的贡献程度，缓解正负样本数量分布不平衡对模型预测效果的负面影响。

本申请提供了一种漏洞利用攻击预测方法，与现有技术相比，本发明的有益效果是：通过基于漏洞知识库的漏洞特征图构建和基于图神经网络的漏洞利用攻击预测，提高漏洞利用攻击预测的性能，缓解数据分布不均衡问题给模型带来的不利影响。

附图说明

为更清楚地说明本实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的基于图神经网络的漏洞利用攻击预测技术框架图。

具体实施方式

下面结合附图和具体实施方式对本发明的具体实施方式做进一步详细描述。以下实施例或者附图用于说明本发明，但不用来限制本发明的范围。

参见图1，图1为本申请实施例提供的漏洞利用攻击预测方法的方法流程图，包括：

步骤1：提取漏洞知识库中漏洞数据的基础特征、推文特征和技术性文章特征，以表达漏洞特征图的漏洞节点；

步骤2：筛选漏洞知识库中能够体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的漏洞知识三元组，提取三元组类型所涉及的所有边和实体节点，并转化为无向图G；

步骤3：利用Floyd算法和余弦相似度算法分别计算无向图G中漏洞节点间的最短距离矩阵以及漏洞描述文本相似度矩阵，两矩阵相结合构建漏洞特征图的边关系，得到漏洞特征图；

步骤4：使用一种基于注意力机制的节点表征方法，提取漏洞特征图的节点向量表征；

步骤5：使用基于图注意力网络的漏洞利用攻击预测模型从漏洞特征图中提取结构信息与节点特征以预测漏洞利用攻击的可能性；

步骤6：对所述步骤5中的基于图注意力网络的漏洞利用攻击预测模型引入基于梯度协调机制的损失函数，以平衡不同类别样本对预测模型的影响。

对于从漏洞知识库提取漏洞数据的特征以表达漏洞特征图的漏洞节点，其具体步骤包括：

步骤1a：以漏洞知识库的漏洞节点为核心，设立并提取一组有效的特征以表达节点，选择包括漏洞基础特征、推文特征和技术性文章特征在内的三种特征。

步骤1b：漏洞基础特征是直接描述漏洞自身属性的特征，包括漏洞类型、漏洞描述、是否含有PoC、CVSS分数、受影响产品数量、受影响厂商数量、引用数量、信息变更与发布时间间隔、当前信息无变更天数。使用N-gram词袋标志一些特殊用词（如“溢出”、“代码注入”）是否出现在漏洞的文本字段中，从而表示包含在文本字段中的漏洞信息的文本特征。

步骤1c：推文特征包括推文内容、推文数量、重复推文比例、推文长度、转发数量、点赞数量、作者账号号龄、认证作者比例、作者关注数量、作者推文数量、作者用户名，本方法关注每一条推文的语义信息，使用Sentence-BERT(SBERT)预训练模型为每个推文生成高质量的推文句向量。

步骤1d：技术型文章特征包含文章的内容，利用其文本内容补充一定的技术性信息，对漏洞相关的技术性文章使用词袋模型表征技术性文章。

对于构建无向图G，其具体步骤包括：

步骤2a：首先对漏洞知识库中的漏洞知识三元组进行筛选。在所有三元组类型中，能够直接或间接体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的是：<漏洞利用，Exploit，漏洞>、<漏洞，Affect，程序版本>、<漏洞，Is，漏洞类型>、<程序版本，BelongTo，产品>、<供应商，Develop，产品>。

步骤2b：从漏洞知识库中提取上述三元组类型所涉及的所有边和实体节点，转化为无向图G。

对于构建漏洞特征图的边关系以得到漏洞特征图，其具体步骤包括：

步骤3a：首先输入漏洞知识无向图G初始化节点间距离矩阵：将无向图中直接相连的不同节点间距赋值为1，节点与自身间距赋值为0，其余节点间距赋值为正无穷。

步骤3b：使用Floyd算法和余弦相似度算法分别计算节点间的多源最短路径和漏洞描述文本之间的相似度矩阵。

步骤3c：将相似度矩阵和节点间距离倒数矩阵相加作为最终权重，并结合建边阈值T判断任意两漏洞节点间是否应构建边关系，最终得到漏洞特征图边关系集合E，从而得到漏洞特征图G=(V,E,F)，其中V代表漏洞特征图中的节点集合，E代表图中的边集合，F代表节点的特征集合。

对于提取漏洞特征图的节点向量表征，其具体步骤包括：

步骤4a：SBERT模型为每个漏洞生成一个推文句向量矩阵作为漏洞节点的推文文 本特征，表示为，其中为漏洞对应的推文数量，为句向量维度。

步骤4b：对于每个漏洞节点，使用以下注意力机制从推文中提取特征：

其中是注意力列向量，中的每个元素代表每条推文句向量的注意力值。是一个可训练的权重矩阵，表示Sigmoid激活函数。本方法还在注意力权重矩 阵训练过程中应用斜率退火技巧以放大不同推文的注意力值之间的差异。本方法将标量斜 率参数从1开始，每轮训练增加0.004，直到其达到最大值5，从而使得中的注意力值快速 收敛到0或1。之后，和逐行相乘得到经过注意力机制选择的句向量矩阵。

步骤4c：使用最大池算法聚合句向量矩阵作为漏洞节点的推文文本特征。 为了进一步缓解推文数量分布失衡的问题，本方法在每轮训练中选取的固定推文数t，并使 用下面公式计算隐藏向量的移动均值：

其中，代表第个小批次得到的聚合隐藏向量，代表移动平均更新率。

对于将漏洞特征图输入至基于图注意力网络的漏洞利用攻击预测模型，对漏洞利用攻击进行预测，其具体步骤包括：

步骤5a：使用下面公式将移动平均得到推文文本特征与其他特征串联，并在经过可训练的线性变换后输入图神经网络模型：

步骤5b：使用多头注意力机制的图注意力网络以提高预测模型的感知能力并稳定训练过程，从漏洞特征图中提取结构信息与节点特征，以节点分类任务的形式预测漏洞利用攻击的可能性。

对于平衡不同类别样本对预测模型的贡献程度，其具体步骤包括：

步骤6a：引入基于梯度协调机制的损失函数以平衡不同类别样本对预测模型的贡献程度，缓解正负样本数量分布不平衡对模型预测效果的负面影响。基于梯度协调的损失函数公式如下：

其中，为每个训练样本的交叉熵计算结果，为每个梯度模长分布区间内 的样本密度。

样本密度的计算公式如下：

其中，为梯度模长，是模型预测发生漏洞利用攻击的概率，则表示节点的基 本事实标签，表示样本是否在区间中，表示区间的实际长度，样本密度GD(g)则 为区间中的样本数量。

实验结果：

按照上述针对基于图神经网络的漏洞利用攻击检测方法的思路及实施步骤，选取2020年1月至2021年1月间获得CVE编号的Adobe和Microsoft产品中的1680个漏洞构成数据集。

采集漏洞正式披露后1天内、3天内、7天内和不限定时间的数据以训练模型，在1日内、3日内、7日内和无时限数据集上的准确率达到80%、71.4%、68.8%、83.3%，召回率分别为53.3%、66.7%、73.3%、66.7%，F1分数达到64.0%、68.9%、70.9%和74.1%，验证了该方法能有效对漏洞利用攻击进行早期预警与检测，且随时间推进而逐渐丰富的数据能明显提高本文方法的预测效果。

需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和流程并不一定是本申请所必须的。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。

凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于图神经网络的漏洞利用攻击预测方法，该方法通过提取漏洞知识库中的漏洞数据和语义图结构，构建有效信息密度更高的漏洞特征图，然后将漏洞特征图输入至基于图注意力网络的漏洞利用攻击预测模型，对漏洞利用攻击进行预测，其特征在于，所述方法包括：

步骤1：提取漏洞知识库中漏洞数据的基础特征、推文特征和技术性文章特征，以表达漏洞特征图的漏洞节点；

步骤2：筛选漏洞知识库中能够体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的漏洞知识三元组，提取三元组类型所涉及的所有边和实体节点，并转化为无向图G；

步骤3：利用Floyd算法和余弦相似度算法分别计算无向图G中漏洞节点间的最短距离矩阵以及漏洞描述文本相似度矩阵，两矩阵相结合构建漏洞特征图的边关系，得到漏洞特征图；

步骤4：使用一种基于注意力机制的节点表征方法，提取漏洞特征图的节点向量表征；

步骤5：使用基于图注意力网络的漏洞利用攻击预测模型从漏洞特征图中提取结构信息与节点特征以预测漏洞利用攻击的可能性；

步骤6：对所述步骤5中的基于图注意力网络的漏洞利用攻击预测模型引入基于梯度协调机制的损失函数，以平衡不同类别样本对预测模型的影响。

2.根据权利要求1所述的一种基于图神经网络的漏洞利用攻击预测方法，其特征在于，所述步骤1中：

以漏洞知识库的漏洞节点为核心，设立并提取一组有效的特征以表达节点，选择的特征包括漏洞基础特征、推文特征和技术性文章特征；

使用N-gram词袋表示包含在文本字段中的漏洞信息的文本特征；

使用Sentence-BERT(SBERT)预训练模型为每个推文生成高质量的推文句向量；

对漏洞相关的技术性文章使用词袋模型表征技术性文章。

3.根据权利要求1所述的一种基于图神经网络的漏洞利用攻击预测方法，其特征在于，所述步骤2中：

筛选漏洞知识库中的漏洞知识三元组，在所有三元组类型中，能够直接或间接体现漏洞间拥有相近攻击目标、利用方法、攻击效果属性的是：<漏洞利用，Exploit，漏洞>、<漏洞，Affect，程序版本>、<漏洞，Is，漏洞类型>、<程序版本，BelongTo，产品>、<供应商，Develop，产品>；

从漏洞知识库中提取上述三元组类型所涉及的所有边和实体节点，转化为无向图G。

4.根据权利要求1所述的一种基于图神经网络的漏洞利用攻击预测方法，其特征在于，所述步骤3中：

利用Floyd算法和余弦相似度算法分别计算无向图G中漏洞节点间的最短距离矩阵以及漏洞描述文本相似度矩阵；

将相似度矩阵和节点间距离倒数矩阵相加作为最终权重，设定阈值判断任意两漏洞节点间是否应构建边关系，从而构建漏洞节点之间的边关系，最终得到漏洞特征图。

5.根据权利要求1所述的一种基于图神经网络的漏洞利用攻击预测方法，其特征在于，所述步骤4中：

使用SBERT预训练模型为每个漏洞生成一个推文句向量矩阵作为漏洞节点的推文文本特征，表示为，其中t为漏洞对应的推文数量，d为句向量维度；

使用一种基于注意力机制的节点表征方法改良漏洞特征图的节点向量表征，缓解不同漏洞间推文数量分布不平衡的问题。

6.根据权利要求1所述的一种基于图神经网络的漏洞利用攻击预测方法，其特征在于，所述步骤5中：

将推文文本特征与其它特征串联，经过可训练的线性变换后输入到图神经网络模型；

使用基于多头注意力机制的图注意力网络以提高预测模型的感知能力并稳定训练过程，从漏洞特征图中提取结构信息与节点特征，以节点分类任务的形式预测漏洞利用攻击的可能性。

7.根据权利要求1所述的方法，其特征在于，所述步骤6中：

引入基于梯度协调机制的损失函数来平衡不同类别样本对预测模型的贡献程度，缓解正负样本数量分布不平衡对模型预测效果的负面影响。