基于安全知識圖譜與逆向特征的弱點信息補全

周莎，申國偉，郭春

（貴州大學計算機科學與技術學院公共大數據國家重點實驗室，貴州 貴陽 550025）

0 引言

當前，漏洞弱點安全已成為網絡安全領域的研究熱點。為保障云數據中心等環境下系統和網絡的安全性，安全人員需要及時對環境中存在的漏洞弱點進行加固。CVE［1］、CWE［2］、CAPEC［3］、ATT&CK［4］等開源網絡安全知識庫是包含各種弱點信息的數據庫，包括漏洞弱點類型、弱點緩解措施、針對弱點的攻擊技術等。這些弱點信息為安全人員進行弱點加固提供了有效的參考意見。然而，因異構信息協同難和歷史信息維護難等原因，開源網絡安全知識庫存在嚴重的弱點信息缺失的問題，這給獲取弱點加固信息帶來了挑戰。

針對開源網絡安全知識庫中的弱點信息缺失問題，弱點信息補全研究方法主要分為基于分類模型和基于知識圖譜的方法。基于分類模型的方法通過訓練機器學習或深度學習模型來補全特定類型的信息，但該種方法所包括的弱點信息有限，受分類器分類數量的限制，無法補全除分類器之外包含弱點緩解措施在內的其他弱點信息。基于知識圖譜的方法能有效關聯各大開源網絡安全知識庫，便于弱點信息協同，但缺乏對協同信息不同鄰域特征的學習。網絡安全領域知識圖譜的網絡結構存在多樣性，安全實體的鄰域特征能表征這種多樣性并提高信息完善度。但傳統基于知識圖譜的方法僅關注正向鄰域特征，而忽視了逆向鄰域特征對弱點信息補全的影響。現有弱點信息補全研究方法既無法覆蓋緩解措施等弱點信息，又缺乏對鄰域知識圖譜鄰域特征的充分學習，導致補全效果受限。

針對上述研究現狀，本文提出基于安全知識圖譜和逆向特征的弱點信息補全方法VulKGC-RN。與傳統基于知識圖譜的方法不同，VulKGC-RN 關注各大開源網絡安全知識庫中包括緩解措施在內的多種弱點信息的關聯協同。同時，從捕獲逆向鄰域信息的角度，與現有研究僅捕獲一跳鄰域范圍內的單一逆向關系不同，本文根據圖遍歷思想，通過逆向圖譜捕獲多跳范圍內多種關系的逆向鄰域信息，并通過圖注意力網絡學習捕獲的逆向鄰域特征。在統一網絡安全本體的基礎上，VulKGC-RN 設計并構建關聯CVE、CWE、CAPEC 和ATT&CK 4 類開源網絡安全知識庫的弱點安全知識圖譜。VulKGC-RN 從安全實體的正向鄰域角色和逆向鄰域角色2 個方面來分析安全實體的網絡結構。在初始結構嵌入和初始語義嵌入的基礎上，VulKGC-RN 利用圖注意力網絡學習安全實體的正向鄰域特征和逆向鄰域特征。最后，VulKGC-RN 通過特征融合的方式生成三元組中實體和關系的特征向量，并利用解碼器對特征向量進行解碼和評分。在進行弱點信息補全時，VulKGC-RN 將給出評分函數值由高到低的補全三元組集。

1 相關工作

1.1 開源網絡安全知識庫

1.1.1 常見漏洞與披露數據庫

常見漏洞與披露數據庫CVE［1］是1 個識別、定義和編碼公開披露的網絡安全數據庫。該數據庫為每個漏洞提供1 個唯一的CVE-ID，并提供漏洞的相關描述字段。這些漏洞由世界各地的組織和個人發現并通過官方檢驗發布。本文對CVD、NVD 等漏洞庫進行總結，以CVE-2022-3001［5］為例，CVE 漏洞字段包括以下部分：

1）CVE 編號：漏洞編號，如CVE-2022-3001。

2）描述：漏洞的文本描述信息，包括漏洞成因、漏洞危害等。

3）危險性：描述漏洞的安全性、嚴重性、CVSS2.0 版本和CVSS3.X 版本的漏洞評價矩陣等。

4）影響產品（CPE）：介紹已知漏洞所影響的軟硬件配置。CPE 名稱是對7 個有序字段進行編碼的URL，7 個字段不一定都有，一般寫到product，如cpe：/：：：：：：，part 字段中a 對于軟件應用、h對于硬件平臺，vendor 表示廠商，product 表示產品名稱，version 表示版本號，update 表示更新包，edition指版本，language 指語言。CPE 便于安全人員快速定位受影響的軟硬件，便于實施漏洞弱點安全加固。

5）CWE 類型：描述該漏洞屬于弱點枚舉類型。

6）參考資料：參考的公告、解決方案、工具和相關緩解措施等信息。

7）歷史狀態：記錄該漏洞的發現、最近更新和更新源等信息，描述漏洞的時效性。

1.1.2 弱點枚舉數據庫

常見弱點枚舉數據庫CWE［2］是社區開發的軟件和硬件弱點類型列表。CWE 既是通用語言，也是弱點識別、緩解和預防工作的基準。CWE 數據庫通過對弱點進行分類，并列出漏洞弱點及其影響，以幫助安全人員了解攻擊并提供可能的加固措施。

為便于分析和應用，CWE 數據庫創建了不同的視圖，整體上分為4 大類視圖：即Navigate CWE 視圖、外部映射視圖、有用的視圖和棄用的視圖。根據不同的需求，視圖能繼續細分，例如Navigate CWE 視圖可細分為軟件開發、硬件設計、研究概念。每個視圖都是1 個多層次的樹狀體系，在版本6.10 中，不同的抽象層次級別描述如表1 所示。在弱點枚舉數據庫中，以CWE-20［6］為例，每個CWE 條目包括以下字段：

表1 在CWE 中弱點枚舉類型的不同抽象層次描述Table 1 Different abstraction level description of vulnerability enumeration types in CWE

1）CWE 編號（CWE-ID）：每個CWE 條目都有1 個唯一的ID 編號，指向獨立的解釋界面，例如CWE-20。

2）概要描述：弱點觸發機制的簡要說明。

3）詳細描述：對弱點進一步解釋，包括弱點原理、觸發機制、危害、緩解措施等。

4）CWE 關系：表1 中不同抽象層的CWE 弱點之間存在不同的關系。通常以表格的形式來描述，這些關系有孩子（ChildOf）、父級（ParentOf）、同級（PeerOf）、先于（CanPrecede）等。CWE 條目之間的關系能讓安全人員發現新的威脅，及時加固相關弱點。

5）CVE 實例：與該弱點相關聯的CVE 漏洞實例，通常以表格形式呈現。

6）相關攻擊模式：包含與此弱點關聯的攻擊模式（CAPEC-ID）的引用。該關聯模式存在此弱點的實例。

7）緩解措施：描述與當前弱點相關的緩解措施，主要從開發生命周期階段、策略應用、弱點有效性、說明4 個方面來提出緩解措施。通常情況下對于重復應用的緩解措施，可采用唯一標識符進行說明以引用。

8）其他信息：包括適用平臺、實現模式等。

1.1.3 常見攻擊模式枚舉和分類數據庫

了解攻擊者的運作方式對網絡安全弱點加固至關重要。常見攻擊模式枚舉和分類數據集CAPEC［3］利用網絡已知弱點所采用的攻擊模式字典給對手提供幫助。安全人員可以使用該數據集理解弱點并增強防護。為便于分析，CAPEC 與CWE 一樣創建樹狀視圖，例如安全人員可通過Navigate CAPEC 視圖下的攻擊機制和攻擊域2 個子視圖進行分析。以CAPEC-10［7］為例，每個CAPEC 條目主要包括以下信息：

1）攻擊模式編號（CAPEC-ID）：對攻擊類型的唯一編號，例如CAPEC-10。

2）描述：對該攻擊模式原理的簡要介紹。

3）擴展描述：對該攻擊模式的詳細介紹，包括利用的弱點、詳細的攻擊機制等。

4）CAPEC 關系：與CWE 一樣，CAPEC 也以抽象層次記錄不同的攻擊模式，其層次結構從上到下依次為類別、元攻擊模式、標準攻擊模式、詳細攻擊模式。在不同層次攻擊模式間的關系有孩子、父級、同級、先于、后于（CanFollow）等。

5）緩解措施：防御該攻擊模式的方法包括配置信息設置、可用的安全工具等。

6）相關弱點：該攻擊模式利用的弱點以表格形式提供，每個表項指向1 個CWE。

7）其他信息：攻擊模式被使用的可能性、攻擊模式執行過程、危害程度、影響范圍、歷史變更狀態等。

1.1.4 攻擊者戰術與技術知識庫

ATT&CK［4］是MTRE 公司于2013 年基于真實攻擊事件創建的攻擊者戰術和技術知識庫。ATT&CK數據庫包括3 大類，分別是企業矩陣、移動矩陣、工控系統矩陣。每類矩陣都包括戰術、技術、緩解措施、攻擊組、軟件等內容。戰術是支持攻擊目標的行為，技術是執行戰術的方法，緩解措施是防御者可采用的防御方法。在弱點安全加固中，ATT&CK 從攻擊者的意圖出發，為安全人員在弱點安全加固策略、防御體系設計、復雜多步攻擊分析、安全應急響應等方面提供了思路。在V12 版本中，企業ATT&CK 包括14 項戰術、193 項技術、401 項子技術、43 類緩解措施、135 個攻擊組、718 個軟件等信息。

1.1.5 開源網絡安全知識庫中弱點信息缺失情況

在上述4 種開源網絡安全知識庫中，CVE 側重于描述某個具體的漏洞信息，CWE 側重于描述某種軟件和硬件弱點類型，CAPEC 側重于提供攻擊者利于弱點的某種攻擊模式，ATT&CK 側重于提供攻擊者實施復雜攻擊的戰術、技術和緩解措施，但是這4 種知識庫都存在1 個共同的問題——弱點信息缺失。以弱點關聯關系和弱點緩解措施為例，本文調研了截至2022 年5 月29 日各大開源網絡安全知識庫中弱點信息缺失情況，詳見圖1。圖1 中灰色區域表示存在的弱點信息，白色區域表示缺失的弱點信息，灰色和白色區域的百分比分別表示弱點信息和缺失弱點信息的占比，灰色和白色區域的數據表示弱點信息的數量。

圖1 各大開源網絡安全數據庫的弱點信息缺失情況Fig.1 Lack of vulnerability information in major open-source network security databases

調研結果顯示，CVE［1］、CWE［2］、CAPEC［3］和ATT&CK［4］等開源網絡安全知識庫中關聯關系和弱點緩解措施均存在缺失。在各大開源網絡安全知識庫中，NVD 包含所有漏洞CVE 數據共187 584 條，總的弱點CWE 數據共950 條，總的攻擊模式CAPEC 數據共546 條，總的攻擊技術ATT&CK 共577 條，其中約31.5%的CWE 弱點、約29.5%的CAPEC 攻擊模式和約15.6%的ATT&CK 攻擊技術的緩解措施缺失。此外，在漏洞、弱點類型、攻擊模式、攻擊技術等不同安全實體之間的關聯關系也存在缺失。CWE 與CAPEC 之間的關聯關系缺失率為65.9%，CAPEC 到ATT&CK 的關聯關系缺失率為79.5%，ATT&CK 到CAPEC 的關聯關系缺失率為82.0%。該結果表明開源網絡安全知識庫中弱點信息缺失問題嚴重，安全人員無法從開源網絡安全知識庫中獲得充分的漏洞弱點信息，不利于弱點安全加固。

1.2 網絡安全本體

隨著資源描述框架（RDF）［8］、網絡本體語言（OWL）［9］和谷歌知識圖譜搜索引擎［10］的相繼出現，現代知識圖譜的思想在網絡安全領域得到了廣泛的應用，例如威脅路徑生成［11-12］、網絡攻擊圖生成［13］、復雜攻擊判斷［14］和漏洞弱點挖掘［15］等。針對漏洞弱點安全加固，網絡安全知識圖譜為不同網絡安全知識庫的關聯協同提供了途徑，有利于安全人員從復雜異構數據庫中獲取緩解措施的弱點信息。

網絡安全知識圖譜的構建有自頂向下和自底向上2 種。基于安全領域充足的專家知識，常采用自頂向下設計網絡安全本體。網絡安全本體用于描述1 個更廣泛的網絡安全領域中的網絡安全概念及其概念之間的關系。這些概念和關系有1 個共同的、明確的、唯一的定義。在共享范圍內，每個人都同意這些定義，使得人和機器可以相互通信。

網絡安全本體可分為通用網絡安全本體和特殊網絡安全本體。通用網絡安全本體是以網絡安全系統中多種異構數據和知識模式為基礎來設計的，其目的是以最常用的網絡安全標準進行信息共享和交換，如STUCCO［16］、統一網絡安全本體（UCO）［17］、SEPSES［18］等。特殊網絡安全本體是為實現某一具體任務而設計的，如安全評估、惡意軟件分類、網絡攻擊分析、漏洞分析、態勢感知、安全加固等。在當今復雜網絡環境下，構建通用網絡安全本體是1 個困難且耗時的過程，該過程嚴重依賴于網絡安全人員的領域知識和信息技術知識。同時，在某些應用中，通用網絡安全本體缺少靈活性。

1.3 網絡安全信息補全

開源網絡安全信息的補全方法主要分為基于分類模型的方法和基于知識圖譜的方法。

1.3.1 基于分類模型的方法

在開源網絡安全知識庫中，基于分類模型的補全技術仍局限于補全特定類型信息。AGHAEI 等［19］提出的ThreatZoom 方法自動將CVE 實例分類到CWE。該方法采用自適應分層神經網絡，根據文本分析分數和分類錯誤自動調整權重。其從CVE 描述中提取統計特征和語義特征自動將CVE 實例映射到對應的CWE 類別。AOTA 等［20］根據多標簽分類任務思想，采用機器學習算法為CVE-ID 分配合適的CWE-ID，并采用PU 學習解決訓練過程中缺乏多標簽樣本的問題。LAKHDHAR 等［21］提出一種基于多標簽分類的漏洞檢測方法，將檢測到的漏洞自動映射為攻擊者可能使用的MITRE 對抗策略。該方法能幫助網絡防御者優先考慮漏洞防御策略。在最新研究中，GUO 等［22］首次調查弱點描述信息的缺失情況，并通過設計多分類器來增強漏洞關鍵描述信息。然而，該研究側重于增強弱點描述的6 個方面：即漏洞類型、根本原因、受影響的產品、影響、攻擊者類型和攻擊向量，未關注緩解措施等其他弱點信息。

1.3.2 基于知識圖譜的方法

由于異構信息協同難、歷史信息維護難等原因，因此利用開源網絡安全知識庫構建的網絡安全知識圖譜存在信息缺失的情況，安全人員無法從網絡安全知識圖譜中獲取到某些漏洞弱點的緩解措施。針對該問題，基于知識圖譜補全技術［23］，通過推理來補全網絡安全知識圖譜中缺少的信息。HAN 等［24］提出一種知識圖譜嵌入方法，將CWE 的結構和文本知識嵌入到向量表示中，以實現CWE 知識庫的關系推理。為解決不同安全數據庫中安全實體之間的關系缺失，XIAO 等［25］提出將異構數據庫融合為1 個連貫的軟件安全知識圖譜，并利用嵌入方法預測CVE、CWE 和CAPEC 之間的安全實體關系。對于安全知識圖譜的關系缺失情況，YUAN 等［26］利用文本增強圖注意力網絡模型預測安全實體關系。目前，該研究獲得安全知識圖譜預測的最佳性能，但該方法未解釋安全實體的鄰域特征如何影響知識預測。此外，與通用知識圖譜不同，網絡安全領域知識圖譜的網絡結構存在多樣性，安全實體的鄰域特征能表征這種多樣性并提高信息完善度，但該研究主要關注正向鄰域特征，忽視了逆向鄰域特征對信息完善度的影響。

目前基于分類模型和基于知識圖譜的方法存在的問題：對緩解措施等弱點信息的關注少，缺乏對領域知識圖譜中弱點信息的不同鄰域特征的充分學習。針對上述問題，本文提出基于知識圖譜的融合逆向特征的弱點信息補全方法。

2 基于安全知識圖譜與逆向特征的弱點信息補全方法

2.1 框架設計與描述

VulKGC-RN 的目標是補全開源網絡安全知識庫中缺失的漏洞弱點相關信息。VulKGC-RN 整體框架如圖2 所示。

圖2 VulKGC-RN 的框架Fig.2 VulKGC-RN framework

VulKGC-RN 主要由以下部分組成：

1）弱點安全知識圖譜構建。不同開源網絡安全知識庫的信息側重點不一樣，為便于查詢到與漏洞弱點相關的緩解措施等信息，需要對這些信息進行處理和關聯。參照圖數據庫思想，VulKGC-RN 設計弱點安全知識圖譜本體，并基于本體構建弱點安全知識圖譜。

2）初始特征學習。在弱點安全知識圖譜中，不同的安全實體之間存在不同的關聯關系，這些關系共同形成了安全實體特有的圖網絡結構。VulKGC-RN 利用知識圖譜嵌入算法，獲得不同安全實體的初始結構特征。同時，在開源網絡安全知識庫中，每個安全實體都存在一段文字描述信息，該描述信息包含安全實體的簡要概述、觸發機制等內容。這些描述信息有助于區分不同的安全實體，VulKGC-RN 采用預訓練語義模型來學習實體的初始語義特征。

3）逆向鄰域特征生成。根據對弱點安全知識圖譜網絡結構的分析可知，弱點安全知識圖譜中安全實體的入度邊和出度邊的數量不均衡，使得安全實體的初始結構特征不明顯。因此，VulKGC-RN 利用圖注意力網絡學習弱點安全知識圖譜中安全實體多跳范疇的正向和逆向鄰域特征。

4）特征融合。為了使得模型能夠充分理解安全實體的正向和逆向鄰域信息，VulKGC-RN 通過特征融合方法將正向鄰域特征和逆向鄰域特征相融合。

5）信息補全。VulKGC-RN 的最終目標是補全開源網絡安全知識庫中缺失的漏洞弱點相關信息。參照編碼器-解碼器思想，VulKGC-RN 利用解碼器對融合的特征向量進行解碼預測。

2.2 弱點安全知識圖譜

弱點安全知識圖譜本體是構建弱點安全知識圖譜的核心。結合前人對網絡安全本體的相關研究和本文對各開源網絡安全知識庫的數據信息分析，VulKGC-RN 在統一網絡安全本體的基礎上設計如圖3 所示的本體結構。該本體結構定義了5 種安全實體和15 種關聯關系。實體類型定義為Ce，包括CVE、CWE、CAPEC、ATT&CK-T 和ATT&CK-M。關系類型定義為Cr，包括AttackOf、CanAlsoBe、CanFollow、CanPrecede、ChildOf、InstanceOf、RelatedATT&CKTechnique、RelatedMitigation、RelatedPattern 等。

圖3 VulKG 中實體和關系的本體結構Fig.3 The ontological structure of entities and relationships in VulKG

基于本體結構的設計，弱點安全知識圖譜定義為G=｛E，R｝，由實體集E和關系集R組成。實體集E=｛e1，e2，…，en｝，ei表示單個實體節點，每個實體節點都擁有其描述信息和相關屬性，ei=｛實體ID，ce，描述，緩解措施，相關信息｝，ce∈Ce。關系集R=｛r1，r2，…，rm｝，rj=｛h，r，t｝，rj表示頭實體節點h和尾實體節點t的關系，該關系通過三元組描述，r∈Cr。

通過對開源網絡安全知識庫的處理，構建的VulKG 共包含118 895 個實體節點和125 966 條三元組關系。其中，CVE 實體節點有116 813 個，InstanceOf 三元組關系有119 350 條，這說明在大量CVE 與CWE 之間存在多對一的單向關系。

因CVE 實體類型占比大，導致VulKG 呈現明顯不均衡的分布特點，在CWE、CAPEC、ATT&CK 3 個開源網絡安全知識庫不變的情況下，本文分別考慮在不同漏洞披露時間段內的CVE 數據庫對VulKG網絡結構的影響，分析結果如表2 所示（平均值*表示去掉0 值的平均值）。從表2 可以看出，安全實體出度邊數的中位數為1，且有大量的實體節點沒有入度邊。在減少CVE 實體類型占比后，該分析結果并未改變，這表明VulKG 存在只含有出度邊或只含有入度邊的安全實體，也包含既不存在出度邊也不存在入度邊的安全實體。

表2 VulKG 中實體節點的網絡結構分析Table 2 Network structure analysis for entity nodes in VulKG

2.3 初始特征

初始特征包括結構特征和語義特征。

1）結構特征

初始結構特征反映了弱點安全知識圖譜中實體和關系的網絡結構特點，VulKGC-RN 采用TransE 生成初始結構嵌入向量。在弱點安全知識圖譜中，實體矩陣為n×d1，關系矩陣為m×d1，n為實體數量，m為關系數量，d1為初始結構嵌入向量大小。基于平移假設理論［27］，每個三元組的實體向量和關系向量之間滿足h+r≈t，即從實體矩陣和關系矩陣中分別抽取頭實體向量和關系向量，并利用評分函數進行范式運算，將得到尾實體向量，且該尾實體向量是實體矩陣中的1 個向量。

2）語義特征

開源網絡安全知識庫擁有每個安全實體豐富的文本描述，為理解不同安全實體的語義信息，VulKGC-RN 采用SBERT［28］預訓練模型生成安全實體的初始語義嵌入向量。SBERT 的優勢是在保障文本語義信息的情況下生成嵌入向量，且解決了常見文本語義模型訓練時間開銷大的問題。每個實體的文本描述將作為一段句子序列輸入到預訓練模型。在該過程中，實體和關系的初始語義嵌入維度均為d2。

2.4 逆向鄰域特征

通過對網絡結構和語義描述2 個維度的初始特征學習，VulKGC-RN 已經獲得弱點安全知識圖譜中每個安全實體和關系的初始嵌入向量E，E=Es||Ed，Es表示初始結構嵌入向量，Ed表示初始語義嵌入向量，||表示連接操作，E的大小為d1+d2。

根據對弱點安全知識圖譜網絡結構的分析可知，一方面安全實體的網絡結構不均衡，弱點安全知識圖譜既存在網絡結構稀疏的實體結點，也存在網絡結構復雜的實體結點，然而，在安全實體間一對多和多對多的網絡結構特點無法通過初始嵌入向量表示；另一方面，不同安全實體在不同三元組關系中扮演的角色和重要程度也無法描述。因此，VulKGC-RN 采用逆向思維，通過圖注意力網絡分別學習弱點安全知識圖譜中各安全實體在正向角色和逆向角色中的重要性，該重要性通過注意力值反映，生成正向鄰域特征和逆向鄰域特征的嵌入向量。

為捕獲逆向鄰域信息，現有方法通過有向關系來表示正逆向信息，但該表征局限于一跳鄰域范圍內一對一關系。理論上對VulKG 中任意安全實體和關系進行逆向遍歷將獲得相應多跳范圍內多關系的逆向鄰域信息，但是在VulKG 中正向遍歷的效率比逆向遍歷的效率高。基于該啟發，VulKGC-RN 將三元組關系的頭尾實體交換以生成逆向圖譜G'，G'={E,R'}，R'=={t,r,h}，表示頭實體h和尾實體t的逆關系，并按正向遍歷思想對G'進行遍歷，以捕獲VulKG 中安全實體和關系的逆向鄰域信息。

為學習逆向鄰域特征，VulKGC-RN 采用注意力機制學習VulKG 中安全實體和不同逆向鄰居之間的注意力值，并生成注意力嵌入向量。在圖注意力網絡中，注意力嵌入向量的生成是基于三元組中頭實體h和尾實體t之間的逆關系r'的注意力值。該注意力值的計算過程如式（1）～式（4）所示：

其中：E表示由初始結構嵌入和語義嵌入連接的實體或關系的初始嵌入；W1和W2分別表示2 個不同的線性變換矩陣；LeakyReLU 用于非線性獲得三元組的絕對注意力值；Softmax 用于計算三元組的相對注意力值；表示逆向圖譜G'中實體t的k跳鄰域范圍內的實體集合；表示逆向圖譜G'中連接實體t和實體h'之間的關系集合。為了充分考慮結點的網絡結構，VulKGC-RN 采用k=2 來計算逆向鄰域的注意力值。

本文將G和G'中由初始嵌入E表示的三元組關系分別輸入到不同的圖注意力網絡，將生成弱點安全知識圖譜中安全實體和關系的正向鄰域特征向量Ea和逆向鄰域特征向量，Ea和大小一樣，均為d'。

2.5 特征融合

通過圖注意力網絡的計算，VulKGC-RN 已經獲得弱點安全知識圖譜中每個安全實體和關系的正向鄰域特征向量Ea和逆向鄰域特征向量E'a。為充分學習安全實體的正向和逆向鄰域信息，VulKGC-RN采用特征融合的方法將安全實體和關系的正向鄰域特征向量和逆向鄰域特征向量進行融合。該融合方法為平均融合，其融合過程如式（5）所示：

2.6 解碼器

對于上述生成的融合特征，基于編碼器-解碼器思想，VulKGC-RN 采用ConvKB［29］作為解碼器。ConvKB 的卷積核有利于學習三元組的全局特征信息，同時，使用ReLU 激活函數激活卷積層的輸出值。三元組的解碼過程通過評分函數f(h,r,t)表示，計算過程如式（6）所示：

其中：K表示ConvKB 的卷積核數；Ωi表示第i個卷積核的過濾器；*指卷積操作；||指連接操作；W3表示用于計算三元組評分函數的線性轉換矩陣。

該解碼器的輸入是三元組中頭實體、關系和尾實體的融合特征嵌入，輸出為三元組的評分函數值。理論上，通過解碼器解碼，真實三元組的評分函數值較高，偽三元組的評分函數值較低。在進行弱點信息補全時，解碼器將生成所有可能補全的三元組評分函數值，并有效區分真實三元組和偽三元組。

為訓練VulKGC-RN，基于關系集R中的真實三元組，VulKGC-RN 分別替換每個三元組的頭實體和尾實體來合成偽三元組，該替換過程如式（7）和式（8）所示。同時，在訓練過程中，VulKGC-RN 采用Soft-margin 作為損失函數，該損失函數的計算過程如式（9）所示：

2.7 弱點信息補全

為補全弱點信息，在測試階段，將不完整三元組的初始特征向量輸入到已訓練的VulKGC-RN 模型，VulKGC-RN 將輸出補全的弱點信息列表。例如VulKG 中存在安全實體h，但缺失與h相關的r信息。為補全（h，r，？），將E(h)和E(r)輸入到VulKGC-RN 中，VulKGC-RN 將生成融合逆向特征的新特征和；同時基于VulKG 中的安全實體，VulKGC-RN 構造所有可能的候選三元組［（h，r，t1），（h，r，t2），…，（h，r，tn）］，通過解碼器對候選三元組解碼評分，輸出補全的弱點信息列表，列表中的弱點信息按照評分函數值進行排序。

3 實驗評估與分析

本文所提方法屬于基于知識圖譜的方法，因此對VulKG 中缺失弱點信息的補全就是對開源網絡安全知識庫中缺失弱點信息的補全。為評估VulKGC-RN補全弱點信息的有效性，本文針對弱點安全知識圖譜的補全效果進行系列實驗。

3.1 實驗數據集

因歷史版本中CVE 數據庫占比較大，為了避免數據嚴重不平衡對實驗結果產生的影響，本文采用2022 年1 月1 日—2022 年5 月29 日的CVE 數據庫，以及截至2022年5月29日的CWE、CAPEC 和ATT&CK網絡安全數據庫。該數據集包括11 817 條三元信息和7 199個安全實體。其中，三元組關系信息如表3所示，包括15 種關聯關系。安全實體信息中CVE 為5 121 個，CWE 為926 個，CAPEC 為544 個，ATT&CK-T為565個，ATT&CK-M 為43個，總共為7 199個。

表3 VulKG 中關系的詳細信息Table 3 Details information of relationships in VulKG 單位：個

在VulKGC-RN 模型訓練及驗證過程中，本文隨機選取數據集中85%的數據作為訓練集，另外5%作為驗證集，剩下10%作為測試集，如表4 所示。

表4 訓練集、驗證集與測試集劃分情況Table 4 Distribution of training set，validation set and test set 單位：個

3.2 實驗設置與評價指標

VulKGC-RN 使用SentenceTransformers 2.2.0、Python 3.8.5 實現。其他參數設置：安全實體及關系的初始結構嵌入向量為100 維，語義描述向量為384 維，學習率為0.001，解碼器的Epoch 為200，Dropout 為0.3。

為評價弱點安全知識圖譜的信息補全效果，本文采用平均排名（MR）、平均倒數排名（MRR）和Hits@k來評價VulKGC-RN 性能。MR 的值越小說明補全效果越好。Hits@k是指在信息補全中排名小于等于k的真實三元組的平均占比，Hits@k值越大越好。MR、MRR 和Hits@k的計算式如式（10）～式（12）所示：

其中：N表示弱點安全知識圖譜中的真實三元組數量；rrank（?）指排序函數，表示在補全的所有三元組中真實三元組的排名；ri表示第i個真實三元組關系。對于indicator（?）函數，若rrank(ri)≤k為真則函數值為1，否則值為0。此外，為避免已存在的真實三元組導致實驗結果偏高，本文所有實驗均采用Filtered 模式。

3.3 結果分析

3.3.1 對比實驗結果

為比較本文提出的方法與傳統基于知識圖譜的方法在弱點信息補全方面的效果，本文與3 種不同側重點的基線方法進行對比。為保證實驗的公平性，本文實驗和對比實驗均在同一數據集上進行，即融合了4 大知識庫的VulKG。對比方法如下：

TransE［30］方法側重于通用實體間一對一的關聯關系，根據方法的要求，輸入100 維的獨熱向量。

TransH［31］方法側重于通用實體間一對多的關系，根據方法的要求，輸入100 維的獨熱向量。

Text-Enhanced GAT［26］方法側重于安全實體兩跳正向鄰域之間的注意力關系，輸入為由TransE 訓練生成的100 維結構向量和由CNN 訓練生成的100 維語義向量共同拼接組成的200 維合成向量。

對比實驗模型的訓練過程將根據原文獻提供的參數進行微調直至收斂。所有對比方法都是完整的弱點信息補全方法，輸出均為補全的弱點信息排序列表。表5 所示為VulKGC-RN 在各指標上同基線方法的對比結果，加粗表示最優結果。

表5 VulKGC-RN 與基線方法的實驗結果對比Table 5 Comparison of experimental results between VulKGC-RN and baseline methods

從表5 可以看出，根據補全頭實體，VulKGC-RN的MR 為274，MRR 為0.652 6，優于基線方法。根據補全尾實體分析，VulKGC-RN 的MR 為84，MRR 為0.690 2，遠遠優于基線方法。從平均結果來看，VulKGC-RN 的MR 為179，MRR 達到0.671 4。因此，VulKGC-RN 的性能優于其他基線方法。

3.3.2 不同初始特征下鄰域特征的消融實驗結果

在本文中鄰域特征的生成是基于初始結構特征和初始語義特征。為探究不同初始特征對生成鄰域特征的影響，本文對VulKGC-RN 中不同初始特征生成方式進行消融實驗。在不進行逆向特征融合的情況下，本文模型與經典特征生成模型進行實驗，實驗結果如表6 所示。其中，TransE 是1 個比TransH 更簡單的網絡結構嵌入模型，CNN 和SBERT 是語義學習模型。

表6 VulKGC-RN 在不同初始特征下生成鄰域特征的消融實驗結果Table 6 Ablation experimental results of neighborhood features generated by VulKGC-RN under different initial features

從表6 可以看出，在利用圖注意力網絡生成鄰域特征的過程中，簡單的初始特征有利于鄰域特征的生成，語義描述特征的豐富度對鄰域特征生成影響不大。因此，圖注意力網絡模型在生成逆向鄰域特征時更關注網絡結構特征。

3.3.3 融合逆向鄰域特征的消融實驗結果

為說明融合逆向鄰域特征對弱點安全知識圖譜補全的效果，本文對VulKGC-RN 進行消融實驗，分別考慮只采用正向鄰域、只采用逆向鄰域、采用融合正向和逆向鄰域的3 種情況。該消融實驗結果如表7 所示。

表7 VulKGC-RN 融合逆向特征的消融實驗結果Table 7 Ablation experimental results of VulKGC-RN fusion reverse feature

從表7 可以看出，VulKGC-RN 只考慮正向鄰域特征的評價指標比只考慮逆向鄰域特征好，同時，融合正向鄰域特征和逆向鄰域特征的評價指標比只考慮正向鄰域特征或只考慮逆向鄰域特征的好。這表明在進行弱點信息補全時，弱點安全知識圖譜中安全實體在不同三元組關系中的角色及重要性不同，正向角色比逆向角色的特征信息更多，但是在進行信息補全時，仍需考慮多種角色特征。

3.3.4 不同特征融合方式對弱點信息補全的影響

為探究不同特征融合方式對實驗結果的影響，本文對VulKGC-RN 中的特征融合方式進行消融實驗，在其他參數不變的情況下，分別采用平均融合和連接融合方法對VulKGC-RN 的信息補全效果進行實驗，實驗結果如表8 所示。

表8 VulKGC-RN 采用不同特征融合方式的消融實驗結果Table 8 Results of ablation experiments using different feature fusion methods in VulKGC-RN

連接融合方式指通過拼接正向鄰域特征向量和逆向鄰域特征向量進行特征融合。平均融合方式指通過計算正向鄰域特征向量和逆向鄰域特征向量的平均特征向量進行特征融合。從表8 可以看出，在進行弱點信息補全時，平均融合方式比連接融合方式更有效。

4 結束語

現有弱點信息補全方法難以覆蓋緩解措施等弱點信息且忽略了知識圖譜的逆向特征，為此，本文提出一種基于安全知識圖譜和逆向特征的弱點信息補全方法VulKGC-RN。該方法構建了包含多種弱點信息的弱點安全知識圖譜，并利用圖注意力網絡學習弱點安全知識圖譜中安全實體的正向和逆向鄰域角色特征。在特征融合過程中，利用解碼器補全弱點安全知識圖譜中缺失的信息。實驗結果表明，VulKGC-RN 的平均排名達到179，平均倒數排名達到0.671 4。相比基線方法，VulKGC-RN 通過融合逆向鄰域信息有效提升補全效果且能夠全面覆蓋弱點信息，對于安全人員通過開源網絡安全知識庫進行弱點加固具有重要的促進作用。此外，對于弱點安全加固，本文研究了開源網絡安全知識庫中弱點信息的補全問題，下一步可結合具體場景實現弱點信息的針對性推薦。