针对0day漏洞未知性造成的攻击检测难问题，提出了一种基于知识图谱的0day攻击路径预测方法。通过从现有关于网络安全领域本体的研究成果及网络安全数据库中抽取“攻击”相关的概念及实体，构建网络防御知识图谱，将威胁、脆弱性、资产等离散的安全数据提炼为互相关联的安全知识。在此基础上，依托知识图谱整合的知识，假设并约束0day漏洞的存在性、可用性及危害性等未知属性，并将“攻击”这一概念建模为知识图谱中攻击者实体与设备实体间存在的一种关系，从而将攻击预测问题转化为知识图谱的链接预测问题。采用基于路径排序算法的知识图谱推理方法挖掘目标系统中可能发生的0day攻击，并生成0day攻击图。复用分类器输出的预测得分作为单步攻击发生概率，通过计算并比较不同攻击路径的发生概率，预测分析0day攻击路径。实验证明，所提方法能够依托知识图谱提供的知识体系，为攻击预测提供较全面的知识支持，降低预测分析对专家模型的依赖，并较好地克服0day漏洞未知性对预测分析造成的不利影响，提高了0day攻击预测的准确性，并且借助路径排序算法基于图结构这一显式特征进行推理的特点，能够对推理结果形成的原因进行有效反溯，从而一定限度上提高了攻击预测分析结果的可解释性。

• 单位
  信息工程大学