网络安全漏洞的攻击模式的知识补全方法及系统与流程

1.本技术涉及网络安全领域，尤其是涉及一种网络安全漏洞的攻击模式的知识补全方法及系统。


背景技术：

2.在当前漏洞攻击模式知识补全技术中，主要采用了图特征计算、矩阵分解和自然语言处理的方法。然而，这些方法存在局限性。
3.图特征计算方法的做法是构建漏洞、弱点和攻击模式之间的关系图，其中漏洞、弱点和攻击模式被看作图的节点，它们之间的关系则被视为图的边。然后通过计算漏洞节点和攻击模式节点之间的相似度来实现对攻击模式的预测。然而，该方法仅仅利用节点的度数作为特征，未充分利用图中其他的特征信息和节点的属性信息。
4.矩阵分解方法的做法是构建漏洞和攻击模式的邻接矩阵，使用矩阵分解技术得到漏洞和攻击模式的特征表示，然后计算出漏洞和攻击模式之间存在链接的概率。然而该方法仅利用了漏洞和攻击模式的链接信息，未利用图的其他特征信息和节点的属性信息。
5.自然语言处理方法则是通过提取漏洞和攻击模式的文本信息，应用自然语言处理算法来计算二者之间的相似度。然而，该方法未利用漏洞、弱点和攻击模式之间的关系图所具备的结构和拓扑信息。


技术实现要素：

6.为了解决漏洞数据库中缺乏准确攻击模式信息的问题，本技术提供了一种网络安全漏洞的攻击模式的知识补全方法及系统。
7.本技术提供的一种网络安全漏洞的攻击模式的知识补全方法，采用如下的技术方案：第一方面，提供一种训练知识补全模型的方法，包括：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；将所述增强向量用于训练基于图神经网络的知识补全模型。
8.第二方面，提供一种网络安全漏洞的攻击模式的知识补全方法，包括：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；将所述增强向量用于训练基于图神经网络的知识补全模型；计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。
9.优选的，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，之
前，还包括：获取已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的信息；构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的知识图谱。
10.优选的，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用one-hot编码对取离散值的属性信息做编码。
11.优选的，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用词频-逆文档频率算法对节点文本属性信息做编码。
12.优选的，所述利用one-hot编码对取离散值的属性信息做编码，或利用词频-逆文档频率算法对节点文本属性信息做编码，之后，还包括：利用特征交叉的方式处理属性编码，捕捉所述节点不同属性之间的关联性和交互性，获得节点初始向量。
13.优选的，所述将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量，包括：将所述节点初始向量作为简化的图卷积算法的输入，获取包含节点初始向量信息与节点初始向量的关系信息的增强向量。
14.优选的，所述知识补全模型，包括：图神经网络编码器和链接预测模型；所述图神经网络编码器，用于学习知识图谱的节点属性以及关系信息，生成节点和关系的最终的节点向量；所述链接预测模型，用于通过点积法预测漏洞节点和攻击模式节点存在的关系信息的可能性得分。
15.优选的，所述图神经网络编码器，包含两层卷积层；每层卷积层，包括：消息传递层和聚合层；所述消息传递层，用于计算节点和节点的邻居节点的消息；所述聚合层，用于将节点和节点的邻居节点的消息进行聚合，得到节点在该卷积层的向量表示。
16.第三方面，提供一种训练知识补全模型的系统，包括：获取模块：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的知识图谱；创建模块：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块：用于将所述增强向量用于训练基于图神经网络的知识补全模型。
17.第四方面，提供一种网络安全漏洞的攻击模式的知识补全系统，包括：获取模块：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式
视图的知识图谱；创建模块：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块：用于将所述增强向量用于训练基于图神经网络的知识补全模型。
18.补全模块：用于计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。
19.综上所述，本技术包括以下至少一种有益技术效果：在网络漏洞缺乏准确攻击模式信息的情况下，通过结合知识图谱和图神经网络的方法，实现对与漏洞相关的攻击模式的预测，可以发现新的关联关系，并完成知识图谱的补全，该方案能够解决现有方法在准确性和泛化性方面的缺陷。
20.在生成节点的初始向量表示时，采用特征交叉的策略，以捕捉节点不同属性之间的关联性和交互性作用，从而提供更丰富的特征表达，有助于提升模型的表征能力。
21.提出使用简化的图算法对模型进行预训练，有助于加快模型收敛速度，降低计算资源的消耗，提高计算效率，解决过度平滑问题，提高模型的准确性。
附图说明
22.图1是一种训练知识补全模型的方法步骤图；图2是一种网络安全漏洞的攻击模式的知识补全方法第一实施例步骤图；图3是一种网络安全漏洞的攻击模式的知识补全方法第二实施例步骤图；图4是知识图谱逻辑构造图；图5是知识补全模型的示意图；图6是一种训练知识补全模型的系统的构成图；图7是一种网络安全漏洞的攻击模式的知识补全的系统的构成图。
23.附图标记说明：1、知识补全模型；11、图神经网络编码器；12、链接预测模型；2、一种训练知识补全模型的系统；21、获取模块；22、构建模块；23、创建模块；24、第一训练模块；25、第二训练模块；26、补全模块； 3、一种网络安全漏洞的攻击模式的知识补全的系统。
具体实施方式
24.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图1-附图6及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。
25.术语解释：sgc：simplified graph convolution，一种简化的图卷积算法；在图卷积网络（gcn）的基础上进行了简化，将图卷积操作转化为简单的矩阵乘法操作，从而降低了计算和存储的复杂性。一般在有限的硬件资源下计算大规模图时，使用sgc来取代gcn。
26.知识图谱：knowledge graph，是一种结构化的知识表示方法，用于存储和组织大量的实体、属性和它们之间的关系。它是一种用于描述现实世界中实体及其关系的图形化
知识模型。知识图谱通常由头节点、尾节点和边构成的三元组组成。节点表示实体或概念，例如人、地点、事件、产品等，而边表示节点之间的关系。这些关系可以是层次关系、属性关系、关联关系等。知识图谱旨在捕捉和表示知识的本质，并提供结构化的、可查询的数据模型。它可以用于构建和组织知识库，使得知识的存储和检索更加高效和准确。
27.词频-逆文档频率：tf-idf，term frequency
–
inverse document frequency；一种统计方法，用以评估一字词对于一个文件集或一个语料库中的其中一份文件的重要程度。
28.因子分解机：fm，factorization machine。
29.one-hot编码：是一种针对离散特征的二进制表示方法，用于将特征的多个取值映射到一个高维向量空间中。在该编码方式中，每个可能的特征取值都被赋予一个唯一的位置，并在编码向量中表示为该位置上的1，而其他位置则为0。这种编码方式将离散特征转换为二进制形式。
30.由于漏洞数量庞大，系统管理员在对抗网络攻击的漏洞管理方面需要投入大量时间。为了进行高效的漏洞管理，必须迅速准确地收集信息。有效的管理不仅应提供已知漏洞的信息，还应包括可能的攻击信息。目前国际上主要有如下几个公开可用的数据库：cve（common vulnerabilities and exposures）、nvd（national vulnerability database）、cnnvd（china national vulnerability database）、cwe（common weakness enumeration）和capec（common attack pattern enumeration and classification）。cve是一个专门提供漏洞信息的词典，它为每个漏洞分配了一个唯一的编号。nvd和cnnvd为漏洞数据数据库，与cve同步，并提供额外的漏洞信息。cwe是一种定义和分类软件安全缺陷的规范，能够描述漏洞的类别。capec是一个攻击模式枚举词典，它系统化地记录针对漏洞的攻击模式信息。
31.在查询漏洞攻击模式时，系统管理员通常根据漏洞的cve-id（一个漏洞对应一个cve-id）到nvd等漏洞数据库查询漏洞相关联的弱点（一个弱点对应一个cwe-id），然后根据cwe-id到cwe数据库中查询弱点相关的攻击模式（一个攻击模式对应一个capec-id），最后使用capec-id从capec数据库中获取漏洞关联的攻击模式信息，形成一个（cve-id》cwe-id》capec-id）的查询链。然而，由于cve和capec是相互独立的，这种方法存在以下问题：(1) 将近28%的cve数据缺乏与cwe关联的数据。
32.(2) cwe具有层次关系，部分cve关联的cwe层次较高，属于抽象（abstract）层次，无法精准区分漏洞类别，因此关联得到的攻击模式信息不够准确。
33.因此，有必要研究准确的漏洞攻击模式预测方法，以进行漏洞攻击模式的知识补全。
34.第一方面，如图1所示，提供一种训练知识补全模型的方法，包括：s101：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；s102：将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；s103：将所述增强向量用于训练基于图神经网络的知识补全模型。
35.第二方面，如图2所示，提供一种网络安全漏洞的攻击模式的知识补全方法，包括：s203：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；s204：将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；
s205：将所述增强向量用于训练基于图神经网络的知识补全模型；s206：计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。
36.优选的，如图3所示，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，之前，还包括：s201：获取已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的信息；通过网络爬虫技术从nvd、cnnvd、cwe、capec等数据库中获取漏洞、弱点、攻击模式数据，并将其以csv文件的形式进行存储。
37.s202：构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的知识图谱。设计知识图谱本体，并根据知识图谱本体构建知识图谱。本体包括五类实体，即漏洞（vulnerability）、弱点（weakness）、攻击模式（attack pattern）、攻击模式分类(attack pattern category)和攻击模式视图(attack pattern view)。漏洞实体的属性信息包括：编号、描述、漏洞影响的产品、漏洞攻击向量、攻击复杂度、攻击权限要求和用户交互要求。弱点实体的属性信息包括：编号、名称、描述和抽象层次。攻击模式实体的属性信息包括：编号、名称、描述、抽象层次、攻击步骤、攻击后果、和攻击示例。攻击模式分类属性信息包括：编号、名称和描述。攻击模式视图属性信息包括：编号、名称和描述。关系方面，包括以下几种：关联关系（relateto），表示漏洞与弱点、漏洞与攻击模式、弱点与攻击模式之间的关联关系；子关系（childof）表示攻击模式之间的父子关系；同级关系（peerof）表示攻击模式之间的同级关系；相似关系（canalsobe）表示某一攻击模式能被视为目标攻击模式；跟随关系（canfollow）表示某一攻击模式是目标攻击模式的下一步；前置关系（canprecede）表示某一攻击模式是目标攻击模式的上一步；成员关系（hasmember）表示攻击模式视图包含目标攻击模式分类或者攻击模式分类包含目标攻击模式。知识图谱如图4所示。
38.优选的，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用one-hot编码对取离散值的属性信息做编码。
39.优选的，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用词频-逆文档频率算法对节点文本属性信息做编码。对于节点文本属性信息，首先进行文本清洗，包括去除常见词和标点符号、进行分词和词性还原等操作。随后，本技术技术方案采用tf-idf（词频-逆文档频率）算法将节点文本属性信息转化为向量表示。tf-idf是一种广泛应用于信息检索和文本挖掘的数值统计方法，用于评估文档或语料库中单词的重要性。tf（词频）衡量了一个词在文档中出现的频率，计算公式为。idf（逆文档频率）衡量了一个词在语料库中的稀有性或独特性，通过总文档数除以包含该词的文档数并取对数来计算，计算公式为。tf-idf得分通过将tf值和idf值相乘得到，即。节点的文本属性信息表示为一个向量，其中每个维度对应词汇表中的一个词汇，值为该词汇的tf-idf得分。
40.优选的，所述利用one-hot编码对取离散值的属性信息做编码，或利用词频-逆文档频率算法对节点文本属性信息做编码，之后，还包括：利用特征交叉的方式处理属性编码，捕捉所述节点不同属性之间的关联性和交互性，获得节点初始向量。将漏洞的某些特征
组合起来，形成新的特征，能够更有效地预测漏洞的攻击模式。例如，漏洞具有攻击向量和攻击权限要求这两个属性。攻击向量表示攻击发生的环境，包括远程网络（network）、邻接网络（adjacent）、本地网络（local）和物理方式（physical）。攻击权限要求表示攻击漏洞需要的权限，包括高（high）、低（low）和无（none），高权限要求表示攻击者需要获取系统的管理员权限，低权限要求表示攻击者需要获取系统的普通用户权限，无权限要求表示攻击者不需要获取系统权限。将这两个属性组合在一起，能够更加准确地判断该漏洞能被哪种攻击模式利用。当一个漏洞的攻击向量为远程网络(network)且权限要求为低（low）时，该漏洞更有可能的攻击模式是xxs攻击或sql注入攻击等；当一个漏洞的攻击向量为邻接网络（adjacent）且权限要求为无（none）时，该漏洞更有可能的攻击模式是arp欺骗攻击或洪泛攻击。因此本发明创新性地提出使用特征交叉的方法来学习漏洞节点属性的特征向量，该方法能够捕捉到不同属性之间的关联性和交互作用，从而提供更丰富的特征表达。具体而言，本发明使用fm（factorization machine）模型来完成特征交叉，算法公式为：
41.其中表示节点u进行特征向量，为权重。对于节点的文本属性，使用tf-idf进行编码；对于取离散值的属性，使用one-hot方式进行编码。然后将属性编码拼接到一个向量中，形成节点的特征向量，为节点的第个特征的值。为所有节点的特征向量的第个特征组成的隐向量。
42.优选的，所述将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量，包括：将所述节点初始向量作为简化的图卷积算法的输入，获取包含节点初始向量信息与节点初始向量的关系信息的增强向量。为了充分利用知识图谱的异构信息，本模块应用预训练的方式来获得更好的节点向量表示。然而，在大规模图上应用预训练时，需要大量的存储空间和更长的计算时间。因此，如何生成一个简单高效的预训练模型成为关键。sgc（simplified graph convolution）是一种简化的图卷积算法。它在图卷积网络（gcn）的基础上进行了简化，将图卷积操作转化为简单的矩阵乘法操作，从而降低了计算和存储的复杂性。一般在有限的硬件资源下计算大规模图时，使用sgc来取代gcn。本发明创新性地将sgc应用于预训练过程中，以学习节点的浅层邻居信息，从而增强节点向量的表示能力。同时，预训练模块能够加快s105模块中模型的收敛速度，减少图神经网络的层数，从而大幅降低计算资源的消耗并解决深层图神经网络引起的过度平滑问题。具体而言，本技术技术方案使用sgc卷积层，将s103模块得到的节点向量作为输入，通过预测漏洞与攻击模式的关联来预训练模型，并获得节点的增强向量表示。具体的计算公式如下：
43.其中为增强特征表示，为s103模块得到的节点特征矩阵，为包含自连接的知识图谱的邻接矩阵，是为节点的度矩阵，，为sgc传播的跳数（hop），为权重矩阵。
44.优选的，如图5所示，所述知识补全模型1，包括：图神经网络编码器11和链接预测模型12；所述图神经网络编码器11，用于学习知识图谱的节点属性以及关系信息，生成节点和关系的最终的节点向量；所述链接预测模型12，用于通过点积法预测漏洞节点和攻击模式节点存在的关系信息的可能性得分。通过点积法预测漏洞节点和攻击模式节点存在relateto关系的可能性得分，其中表示节点和节点存在关系的可能性评分，和表示节点、的向量表示，由图神经网络编码器计算得到。
45.该模型旨在学习图谱节点的属性以及关系信息，生成节点的向量表示。然后，计算两个节点存在关系可能性得分，得分越高则两个节点存在关系可能性越大。其中表示节点的向量表示，表示节点的向量表示，表示计算得分的函数，本模型使用了点积函数。
46.优选的，所述图神经网络编码器11，包含两层卷积层；每层卷积层，包括：消息传递层和聚合层；所述消息传递层，用于计算节点和节点的邻居节点的消息；对于节点，计算节点v和其邻居节点的消息（message）
47.其中，表示节点在层的消息，表示节点在层的向量表示，为s104模块得到的节点向量，表示关系在层的权重矩阵，为relu激活函数,表示节点的邻居节点的集合，表示关系类型集合。所述聚合层，用于将节点和节点的邻居节点的消息进行聚合，得到节点在该卷积层的向量表示。将节点和邻居节点的消息进行聚合，得到节点在层的向量表示：
48.其中：是节点在第
ꢀꢀ
层的表示向量。为聚合函数，常见的包括求和（sum），求平均（mean）和取最大值（max）。为relu激活函数。通过上述的图神经网络编码器，本技术技术方案能够获取到包含节点和关系信息的特征向量表示。
49.在传统的聚合函数中，所有邻居节点的信息都被等同对待，无论其与目标节点的关联度如何。然而，在漏洞知识图谱的补全任务中，这种处理方式存在问题：在数据库中，漏洞与弱点存在关联关系，但并非所有关联关系都是准确的。弱点代表了漏洞的类别信息，并且被分为不同的抽象层次。许多漏洞与高抽象层次的弱点相关联，但高抽象层次的弱点信息无法精确描述漏洞的类别。如果使用传统的聚合函数，不准确的弱点信息会被聚合到漏洞节点的下一层向量表示中，对模型的效果产生负面影响。因此，本技术技术方案希望在聚合节点邻居信息时，能够有选择地降低相关度不高的邻居节点消息的权重，减轻低相关度邻居信息对节点向量表示的影响。
50.为了解决传统聚合函数无法区分邻居节点相关度的问题，本技术技术方案基于数据特点提出了一种改良的聚合算法。该算法确保聚合结果更准确地聚合了高相关度邻居节
点的特征，并减少了低相关度邻居节点的干扰。改良的聚合算法步骤如下：将初始化为
51.对于每个邻居节点u：计算节点v和节点u在知识图谱中的描述属性的文本向量之间的余弦距离相似度。相似度越高，加权聚合时的权重越大。
52.同时，对节点的抽象层次进行约束，不同抽象层次的弱点或攻击模式节点被分配不同的权重。即权重由文本相似度和抽象层次共同决定。
53.进行权重归一化将节点u的加权累加到中返回聚合后的节点特征向量
54.该过程可以用公式表示为： ，其中表示计算节点的向量表示时节点信息的权重。
55.第三方面，如图6所示，提供一种训练知识补全模型的系统2，包括：获取模块21：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块22：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的知识图谱；创建模块23：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块24：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块25：用于将所述增强向量用于训练基于图神经网络的知识补全模型。
56.第四方面，如图7所示，提供一种网络安全漏洞的攻击模式的知识补全系统3，包括：获取模块21：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块22：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的知识图谱；创建模块23：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块24：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块25：用于将所述增强向量用于训练基于图神经网络的知识补全模型。
57.补全模块26：用于计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。
58.本技术技术方案提出的方法使用图神经网络进行计算，充分利用漏洞、弱点、攻击
模式的文本信息以及它们之间形成的关系图的结构以及拓扑信息得到知识图谱中节点的向量表示，从而提了模型的预测准确性以及泛化能力。本技术技术方案的目标在于，针对现有数据库中漏洞攻击模式知识的不准确性和缺失的问题，对漏洞与攻击模式的关联信息进行补全，任务可以抽象为预测节点之间是否存在链接的链接预测问题，属于节点层次的计算。
59.在当前漏洞攻击模式知识补全技术中，主要采用了图特征计算、矩阵分解和自然语言处理的方法。然而，这些方法存在局限性。图特征计算方法的做法是构建漏洞、弱点和攻击模式之间的关系图，其中漏洞、弱点和攻击模式被看作图的节点，它们之间的关系则被视为图的边。然后通过计算漏洞节点和攻击模式节点之间的相似度来实现对攻击模式的预测。然而，该方法仅仅利用节点的度数作为特征，未充分利用图中其他的特征信息和节点的属性信息。矩阵分解方法的做法是构建漏洞和攻击模式的邻接矩阵，使用矩阵分解技术得到漏洞和攻击模式的特征表示，然后计算出漏洞和攻击模式之间存在链接的概率。然而该方法仅利用了漏洞和攻击模式的链接信息，未利用图的其他特征信息和节点的属性信息。自然语言处理方法则是通过提取漏洞和攻击模式的文本信息，应用自然语言处理算法来计算二者之间的相似度。在当前漏洞攻击模式知识补全技术中，主要采用了图特征计算、矩阵分解和自然语言处理的方法。然而，这些方法存在局限性。图特征计算方法的做法是构建漏洞、弱点和攻击模式之间的关系图，其中漏洞、弱点和攻击模式被看作图的节点，它们之间的关系则被视为图的边。然后通过计算漏洞节点和攻击模式节点之间的相似度来实现对攻击模式的预测。然而，该方法仅仅利用节点的度数作为特征，未充分利用图中其他的特征信息和节点的属性信息。矩阵分解方法的做法是构建漏洞和攻击模式的邻接矩阵，使用矩阵分解技术得到漏洞和攻击模式的特征表示，然后计算出漏洞和攻击模式之间存在链接的概率。然而该方法仅利用了漏洞和攻击模式的链接信息，未利用图的其他特征信息和节点的属性信息。自然语言处理方法则是通过提取漏洞和攻击模式的文本信息，应用自然语言处理算法来计算二者之间的相似度。然而，该方法未利用漏洞、弱点和攻击模式之间的关系图所具备的结构和拓扑信息。
60.为了解决这些问题，本发明目的是解决视频监控设备漏洞数据库中缺乏准确攻击模式信息的问题。本技术技术方案提出了一种基于知识图谱和图神经网络的技术方案，通过同时学习节点的文本信息以及图的结构和拓扑信息，实现对与漏洞相关联的攻击模式的准确预测和漏洞数据库的知识补全。
61.首先，本技术技术方案利用知识图谱的优势，将漏洞节点、攻击模式节点以及它们之间的关系构建成一个图结构。这样的做法能够充分利用节点之间的语义关联，包括漏洞描述、攻击模式描述等文本信息，以及节点之间的拓扑结构，如关联和相似性。这样的综合学习能力使得本技术技术方案能够全面考虑节点的特征，包括其本身的属性和与其他节点的关系。
62.其次，本技术技术方案引入图神经网络作为计算模型，以学习和表示知识图谱中的节点和关系。图神经网络能够对节点进行向量表示，将节点的文本信息和结构拓扑信息融合在一个统一的向量空间中。通过关系图卷积网络，本技术技术方案能够捕捉到节点的复杂特征和关联关系，从而更准确地预测与漏洞相关联的攻击模式。
63.通过这种技术方案，本技术技术方案能够补全漏洞数据库中缺失的攻击模式信
息，提供准确、全面的漏洞与攻击模式的关联。这对于漏洞预防和攻击防护具有重要意义，能够为安全领域的专业人士提供更全面、准确的信息支持，提高系统的安全性和防御能力。
64.综上所述，本技术包括以下至少一种有益技术效果：1.在网络漏洞缺乏准确攻击模式信息的情况下，通过结合知识图谱和图神经网络的方法，实现对与漏洞相关的攻击模式的预测，可以发现新的关联关系，并完成知识图谱的补全，该方案能够解决现有方法在准确性和泛化性方面的缺陷。
65.2.在生成节点的初始向量表示时，采用特征交叉的策略，以捕捉节点不同属性之间的关联性和交互性作用，从而提供更丰富的特征表达，有助于提升模型的表征能力。
66.3.提出使用简化的图算法对模型进行预训练，有助于加快模型收敛速度，降低计算资源的消耗，提高计算效率，解决过度平滑问题，提高模型的准确性。
67.以上均为本技术的较佳实施例，并非依此限制本技术的保护范围，本说明书（包括摘要和附图）中公开的任一特征，除非特别叙述，均可被其他等效或者具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

技术特征：
1.一种训练知识补全模型的方法，其特征在于，包括：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；将所述增强向量用于训练基于图神经网络的知识补全模型。2.一种网络安全漏洞的攻击模式的知识补全方法，其特征在于，包括：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；将所述增强向量用于训练基于图神经网络的知识补全模型；计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。3.根据权利要求2所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，之前，还包括：获取已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的信息；构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和/或攻击模式视图的知识图谱。4.根据权利要求2所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用one-hot编码对取离散值的属性信息做编码。5.根据权利要求2所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述将预构建的知识图谱中的节点的属性信息表示为节点初始向量，包括：利用词频-逆文档频率算法对节点文本属性信息做编码。6.根据权利要求4或5所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述利用one-hot编码对取离散值的属性信息做编码，或利用词频-逆文档频率算法对节点文本属性信息做编码，之后，还包括：利用特征交叉的方式处理属性编码，捕捉所述节点不同属性之间的关联性和交互性，获得节点初始向量。7.根据权利要求2所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量，包括：将所述节点初始向量作为简化的图卷积算法的输入，获取包含节点初始向量信息与节点初始向量的关系信息的增强向量。8.根据权利要求 2所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述知识补全模型，包括：图神经网络编码器和链接预测模型；所述图神经网络编码器，用于学习知识图谱的节点属性以及关系信息，生成节点和关系的最终的节点向量；所述链接预测模型，用于通过点积法预测漏洞节点和攻击模式节点存在的关系信息的可能性得分。9.根据权利要求8所述的网络安全漏洞的攻击模式的知识补全方法，其特征在于，所述图神经网络编码器，包含两层卷积层；
每层卷积层，包括：消息传递层和聚合层；所述消息传递层，用于计算节点和节点的邻居节点的消息；所述聚合层，用于将节点和节点的邻居节点的消息进行聚合，得到节点在该卷积层的向量表示。10.一种训练知识补全模型的系统，其特征在于，包括：获取模块：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的知识图谱；创建模块：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块：用于将所述增强向量用于训练基于图神经网络的知识补全模型。11.一种网络安全漏洞的攻击模式的知识补全系统，其特征在于，包括：获取模块：用于获取已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的信息；构建模块：用于构建基于已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的知识图谱；创建模块：用于将所述已知的漏洞、弱点、攻击模式、攻击模式分类和攻击模式视图的各自的属性信息分别表示为各自的节点初始向量；第一训练模块：用于将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；第二训练模块：用于将所述增强向量用于训练基于图神经网络的知识补全模型；补全模块：用于计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的k个攻击模式。

技术总结
本申请涉及网络安全领域，涉及网络安全漏洞的攻击模式的知识补全方法及系统，包括：将预构建的知识图谱中的节点的属性信息表示为节点初始向量；将所述节点初始向量作为预训练模型的输入，获取包含节点初始向量信息以及知识图谱中的关系信息的增强向量；将所述增强向量用于训练基于图神经网络的知识补全模型；计算知识图谱中的漏洞节点与所述知识补全模型获得的攻击模式节点的存在关系的评分，并根据所述评分选取与所述漏洞节点最相关的K个攻击模式。本申请具有对与漏洞相关联的攻击模式的准确预测和漏洞数据库的补全的效果。准确预测和漏洞数据库的补全的效果。准确预测和漏洞数据库的补全的效果。


技术研发人员：韦凯文 张永元 段伟恒 方维
受保护的技术使用者：北京天防安全科技有限公司
技术研发日：2023.07.31
技术公布日：2023/9/6