(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211035105.1 (22)申请日 2022.08.26 (65)同一申请的已公布的文献号 申请公布号 CN 115102796 A (43)申请公布日 2022.09.23 (73)专利权人 中国科学技术大学 地址 230026 安徽省合肥市包河区金寨路 96号 (72)发明人 谭小彬　程进燕　姜晓枫　施钱宝　 (74)专利代理 机构 北京凯特来知识产权代理有 限公司 1 1260 专利代理师 郑立明　韩珂 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01)审查员 徐思毅 (54)发明名称 基于知识图谱和随机游走策略的漏洞关联 评估方法及系统 (57)摘要 本发明公开了一种基于知识图谱和随机游 走策略的漏洞关联评估 方法及系统， 使用知 识图 谱图形化存储知识的能力， 直观显示漏洞之间的 关联关系， 解决漏洞库可视化程度差、 可读性差 的问题； 利用数据库中获取的攻击之间的关系、 攻击和弱点的关系、 弱点和漏洞的关系和从实际 网络中获取的漏洞和网络节点的关系、 网络节点 之间的连通 关系， 实现对漏洞相关数据的高效组 织和推理； 并对漏洞知识图谱进行点线变换， 点 线变换图中的实质漏洞顶点同时包含漏洞知识 图谱中漏洞实体和网络节点实体的信息， 实现对 不同网络节 点上相同漏洞分开评估； 在点线变换 图上基于随机游走策略对实质漏洞顶点进行关 联评估， 可准确得到漏洞的关联攻击可能性以及 攻击可能造成的损失。 权利要求书3页 说明书9页 附图4页 CN 115102796 B 2022.12.30 CN 115102796 B 1.一种基于知识图谱和随机游走 策略的漏洞关联评估方法， 其特 征在于， 包括： 根据实际网络的漏洞扫描信息和网络节点拓扑关系生成包含漏洞和网络节点及它们 的属性信息和关系的知识图谱， 再结合外部数据集包含的漏洞、 弱点、 攻击模式、 漏洞与弱 点的关系 、 以及弱点与攻击模式， 生成漏洞知识图谱； 基于图论的线图理论对所述漏洞知识图谱进行点边变换， 获得点线变换图， 将所述点 线变换图中包 含网络节点信息和网络节点上漏洞 信息的顶点称为实质漏洞顶点； 采用随机游走策略， 在点线变换图上随机游走， 获得每一个实质漏洞顶点的稳态利用 概率， 并将稳态利用概 率作为相应实质漏洞顶点的关联危害性评估结果。 2.根据权利要求1所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 漏洞 知识图谱中的实体包括： 漏洞、 网络节 点、 弱点以及攻击模式， 每一 实体各自 包含对应的属性信息； 实体之间的关系包括： 不同网络节点之 间的关系、 网络节点与漏洞之 间的关系、 网络节 点与攻击模式之 间的关系、 漏洞与弱点之间的关系、 弱点与攻击模式之间 的关系、 以及不同攻击模式之间的关系； 漏洞知识图谱中的实体均作为漏洞知识图谱中的 顶点， 存在关系的顶点之间使用边连接 。 3.根据权利要求1所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 所述基于图论的线图理论对所述漏洞知识图谱进行点边变换， 获得点线变换图 包括： 所述漏洞知识图谱为全连通图或是由多个互不连通的连通子图组成的非全连通图； 对所述漏洞知识图谱进行点边变换时， 通过查询得到所有的连通子 图， 如果所述漏洞 知识图谱为全连通图， 则查询到的连通子图数目为1， 查询到的连通子图等同于所述全连通 图， 如果所述漏洞知识图谱是 由多个互不连通的连通子图组成的非全连通图， 则查询 到的 连通子图数目大于1； 基于图论的线图理论， 对每个连通子图都进行点边变换操作， 步骤包 括： 将当前连通子图记为G， 将当前连通子图G中的边转换为变换后的线图L的顶 点， 若线图L 中两个顶点在当前连通子图G中存在公共顶点， 则在线图L两个顶点之间生成一条边， 实现 当前连通子图G至线图L的变换； 如果连通子图数目为1， 则所述线图L即为点线变换图， 如果连通子图数目大于1， 则将 所有连通子图变换 得到的线图拼接， 获得点线变换图。 4.根据权利要求1所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 所述采用随机游走策略， 在点线变换图上随机游走， 获得每一个实质漏洞顶点的 稳态利用概 率包括： 设置： 点线变换图中的顶点数目为N， 其中实质漏洞顶点的数目为M， M<N， M与 N均为正整 数； 相邻顶点之间的转移概率矩阵为 Ta， 顶点之间的随机转移概率矩阵为 Tr， 将阻尼因子记 为d， N个顶点的初始利用概 率为R0， 最大迭代次数为t， 稳态条件为f； 并执 行如下步骤： 步骤 （1） ： 令当前迭代次数i=1； 步骤 （2）： 计算N个顶点的稳态利用概率： ； 其中， 表示第i‑1次迭代时计算出的N个顶点的稳态利用概率， i=1时， ； 阻尼因子 d反应了相 邻顶点之 间的转移以及顶 点之间的随机转移发生的概率： 顶点以概率d选择相 邻 顶点之间的转移方式， 以概率 1‑d选择所有顶点之间的随机转移方式， 相 邻顶点之间的转移权　利　要　求　书 1/3 页 2 CN 115102796 B 2是指顶点通过链出边转移到相邻顶点， 顶点之间的随机转移发生于任意顶点之间， 或者设 置顶点之间的随机转移只能转移到 M个实质漏洞顶点； 步骤 （3） ： 判断是否满足迭代停止条件： i=t， 或者计算得到的N个顶点的稳态利用概率 与第i‑1次迭代时计算出的N个顶点利用概率 的差值总和的绝对值r≤f； 满足迭代 停止条件时， 停止迭代， N个顶点的稳态利用概 率 ； 步骤 （4） ： 不满足迭代 停止条件时， 当前迭代次数i=i+1， 执 行步骤 （2） 。 5.根据权利要求4所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 所述相邻顶点之间的转移概率矩阵 Ta为N*N的矩阵， 每一行代表一个顶点， 当前 行的每一列代表1个顶点由其链出边转移到当前行代表的顶点的概率， 没有链出边则转移 概率为0， 并单独对每 个顶点的所有链出边的转移概 率做归一 化处理； 链出边的类型包括： 漏洞边、 网络节点边、 弱点边、 攻击模式边， 每一类链出边表示由相 应类别的实体变换得到； 每一类链出边对应的转移概率通过下述方式计算： 漏洞边的转移 概率由漏洞实体的属性信息计算得到， 网络节点边转移 概率由反映网络节点 实体重要性的 属性信息计算得到， 弱点边转移概率取相同常值， 攻击模式边转移概率由攻击模式的属 性 信息计算得到 。 6.根据权利要求4所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 所述顶点之间的随机转移概率矩阵 Tr为N*N的矩阵， 每一行代表一个顶点， 当前 行的每一列代表1个顶点 随机转移到当前行代表的顶点的概率， 当设置顶点之间的随机转 移只能转移到 M个实质漏洞顶点时， 顶点之间的随机转移概 率矩阵Tr表示为： 其中， 顶点之间的随机转移概 率矩阵Tr的前M行均分别对应一个实质漏洞顶点。 7.根据权利要求1所述的一种基于知识图谱和随机游走策略的漏洞关联评估方法， 其 特征在于， 该方法还包括： 根据稳态利用概率， 按照从大到小方式对实质漏洞顶点进行排 序， 并输出排序结果。 8.一种基于知识图谱和随机游走策略的漏洞关联评估系统， 基于权利要求1~7任一项 所述的方法实现， 该系统包括： 漏洞知识图谱构建模块， 用于根据实际网络的漏洞扫描信 息和网络节点拓扑关系生成 包含漏洞和网络节点及它们的属性信息和关系的知识图谱， 再结合外部数据集包含的漏 洞、 弱点、 攻击模式、 漏洞与弱点的关系 、 以及弱点与攻击模式， 生成漏洞知识图谱； 图的点边变换模块， 用于基于 图论的线图理论对所述漏洞知识图谱进行点边变换， 获 得点线变换图， 将所述点线变换图中包含网络节 点信息和网络节点上漏洞信息的顶点称为权　利　要　求　书 2/3 页 3 CN 115102796 B 3