基于知識(shí)圖譜的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)構(gòu)建

◆葉陽(yáng) 王運(yùn)鵬 何俊江

基于知識(shí)圖譜的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)構(gòu)建

◆葉陽(yáng) 王運(yùn)鵬 何俊江

（四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 610065）

網(wǎng)絡(luò)靶場(chǎng)攻防演練需要網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)提供大數(shù)據(jù)分析支持，而知識(shí)圖譜能有效整合多源異構(gòu)數(shù)據(jù)。本文從網(wǎng)絡(luò)安全開源情報(bào)出發(fā)，基于其數(shù)據(jù)特征與格式，提出了一種自頂而下的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)構(gòu)建方法。從開源情報(bào)識(shí)別抽取網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)相關(guān)實(shí)例和屬性，并通過(guò)文章提出的本體規(guī)范化知識(shí)組織結(jié)構(gòu)，最后使用Neo4j圖數(shù)據(jù)庫(kù)進(jìn)行知識(shí)的存儲(chǔ)和可視化實(shí)現(xiàn)。實(shí)驗(yàn)證明，該武器庫(kù)構(gòu)建方法能有效提高信息檢索效率，為網(wǎng)絡(luò)靶場(chǎng)攻防演練知識(shí)共享提供新范式。

網(wǎng)絡(luò)靶場(chǎng)；網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)；知識(shí)圖譜；開源情報(bào)分析

物聯(lián)網(wǎng)、云計(jì)算、5G通信等信息技術(shù)的蓬勃發(fā)展及其基礎(chǔ)設(shè)施設(shè)備的不斷完善豐富了網(wǎng)絡(luò)空間的內(nèi)在組成，使其已然成為繼陸、海、空、天以后的第五作戰(zhàn)域[1]。近年來(lái)，全球范圍內(nèi)的網(wǎng)絡(luò)安全事件呈現(xiàn)復(fù)雜化趨勢(shì)，新式的網(wǎng)絡(luò)攻擊技術(shù)和工具不斷涌現(xiàn)。提高公眾的網(wǎng)絡(luò)安全意識(shí)并培訓(xùn)從業(yè)人員的專業(yè)技能，科普最新的攻擊技術(shù)工具及其伴生的潛在威脅是應(yīng)對(duì)網(wǎng)絡(luò)攻擊的第一道防線[2]。

網(wǎng)絡(luò)靶場(chǎng)支持構(gòu)建虛擬或物理的演習(xí)環(huán)境，進(jìn)行網(wǎng)絡(luò)武器裝備試驗(yàn)和攻防對(duì)抗演練。網(wǎng)絡(luò)安全演練對(duì)參與的團(tuán)隊(duì)使用不同的顏色進(jìn)行標(biāo)識(shí)，其中與攻防演練密切相關(guān)的團(tuán)隊(duì)主要包括白方、紅方和藍(lán)方[3]。白方負(fù)責(zé)構(gòu)建演練模擬環(huán)境并部署靶標(biāo)，紅方負(fù)責(zé)利用網(wǎng)絡(luò)攻擊武器對(duì)靶標(biāo)中的漏洞進(jìn)行利用，藍(lán)方負(fù)責(zé)保護(hù)靶標(biāo)免遭攻擊侵害。三者是網(wǎng)絡(luò)靶場(chǎng)演練過(guò)程中的重要組成部分，特別是紅方與藍(lán)方，他們的工作對(duì)新興攻擊手段的復(fù)盤與應(yīng)對(duì)具有啟發(fā)式的作用。

目前網(wǎng)絡(luò)攻擊武器及其描述主要以附件或代碼的形式隨著漏洞披露發(fā)布至安全社區(qū)論壇、漏洞庫(kù)等，而這些信息大多呈半結(jié)構(gòu)化或非結(jié)構(gòu)化的文本形式孤立存在。紅方人員需要耗費(fèi)大量的精力和時(shí)間閱讀文本數(shù)據(jù)進(jìn)行收集、整理和維護(hù)網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)。這種方法效率低下，后期維護(hù)困難，很難利用實(shí)體關(guān)系輔助決斷。知識(shí)圖譜采用模式層框架規(guī)范化實(shí)體和關(guān)系的組成形式，擁有整合多源異構(gòu)數(shù)據(jù)的優(yōu)勢(shì)，為數(shù)據(jù)分析和知識(shí)挖掘提供支持[4]。

為了解決網(wǎng)絡(luò)攻擊武器數(shù)據(jù)量大、分布范圍廣、數(shù)據(jù)樣式不一的問題，本文從紅方角度出發(fā)，提出了基于知識(shí)圖譜的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)構(gòu)建方法，按照模式層構(gòu)建、數(shù)據(jù)層知識(shí)抽取、數(shù)據(jù)層存儲(chǔ)的流程自頂向下構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)。

1 相關(guān)研究

專業(yè)領(lǐng)域知識(shí)圖譜構(gòu)建依賴于相關(guān)領(lǐng)域的知識(shí)體系和專家經(jīng)驗(yàn)，通常采用自頂向下的方式構(gòu)建知識(shí)圖譜。這種方式從模式層出發(fā)，構(gòu)建專業(yè)領(lǐng)域本體，并用其捕獲該領(lǐng)域的知識(shí)[5]。大部分國(guó)內(nèi)外學(xué)者都采用基于本體的方法構(gòu)建網(wǎng)絡(luò)安全知識(shí)圖譜：Syed等人整合了來(lái)自不同網(wǎng)絡(luò)安全系統(tǒng)的異構(gòu)數(shù)據(jù)和本體模式，構(gòu)建了統(tǒng)一網(wǎng)絡(luò)安全本體（UCO）[6]。隨后Pingle等人結(jié)合STIX對(duì)UCO進(jìn)行了改進(jìn)，提出UCO2.0[7]。Jia等人定義了漏洞、資產(chǎn)、軟件、操作系統(tǒng)、攻擊五種實(shí)體類型，用于從網(wǎng)絡(luò)安全知識(shí)庫(kù)構(gòu)建知識(shí)圖譜[8]。高見等人定義了六類威脅情報(bào)領(lǐng)域本體，并額外定義了36種原子本體，用于直接實(shí)例化知識(shí)圖譜中的實(shí)體[9]，對(duì)網(wǎng)絡(luò)威脅情報(bào)進(jìn)行分析。但是他們提出的本體細(xì)粒度高，過(guò)度依賴專家經(jīng)驗(yàn)，難以對(duì)大數(shù)據(jù)進(jìn)行應(yīng)用分析。

開源情報(bào)（OSINT）是網(wǎng)絡(luò)安全威脅情報(bào)的重要來(lái)源，也是網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)的首要知識(shí)來(lái)源。雖然網(wǎng)絡(luò)安全方面已經(jīng)提出了相關(guān)的開源情報(bào)共享標(biāo)準(zhǔn)，例如STIX2.1，但是基于該標(biāo)準(zhǔn)的文本信息數(shù)量匱乏，大多是自然語(yǔ)言文本。再加上網(wǎng)絡(luò)安全方面的語(yǔ)料庫(kù)質(zhì)量很低且數(shù)據(jù)匱乏，使得基于自然語(yǔ)言分析抽取知識(shí)十分困難。因此，本文檢索了其他定義良好的知識(shí)庫(kù)用于構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)，例如常見漏洞披露（CVE）、常見弱點(diǎn)枚舉（CWE）、NVD以及開源漏洞披露。CVE用于識(shí)別、定義、編碼每一個(gè)已經(jīng)披露的安全漏洞，并提供每個(gè)漏洞的一致性描述。NVD在CVE編號(hào)的基礎(chǔ)上提供了更多外部信息的關(guān)聯(lián)，例如涉及弱點(diǎn)、受影響的軟件、超鏈接等。CWE是基于社群開發(fā)創(chuàng)建的基礎(chǔ)設(shè)施弱點(diǎn)列表，由相關(guān)的軟件和硬件開發(fā)公司或組織提交與修改。

上述的知識(shí)圖譜在漏洞、威脅情報(bào)等方面定義了良好的領(lǐng)域本體，但尚未有人從紅方的角度基于知識(shí)圖譜構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)。本文提出了網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)模式層本體結(jié)構(gòu)，用于形式化規(guī)范網(wǎng)絡(luò)攻擊工具的描述、屬性和關(guān)系。在數(shù)據(jù)層方面，從網(wǎng)絡(luò)安全開源情報(bào)知識(shí)庫(kù)獲取攻擊工具、惡意代碼及其相關(guān)的漏洞、基礎(chǔ)設(shè)施等描述。最后依照模式層本體結(jié)構(gòu)實(shí)例化數(shù)據(jù)，進(jìn)行數(shù)據(jù)存儲(chǔ)和可視化實(shí)現(xiàn)。

2 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜構(gòu)建

網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜屬于專業(yè)領(lǐng)域知識(shí)圖譜，構(gòu)建方法自頂而下主要分為三步：首先進(jìn)行開源情報(bào)知識(shí)收集；然后融入專家知識(shí)，構(gòu)建領(lǐng)域本體；最后使用該本體中抽取知識(shí)庫(kù)實(shí)體，初步構(gòu)建知識(shí)圖譜。專家對(duì)預(yù)構(gòu)建的知識(shí)圖譜進(jìn)行分析，評(píng)估知識(shí)圖譜是否完整表述了知識(shí)庫(kù)現(xiàn)有的實(shí)體類型、屬性及關(guān)系。評(píng)估通過(guò)則投入使用，若存在瑕疵則重復(fù)本體建模及后續(xù)工作。主要流程如圖1所示。本章將按照該順序介紹網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜構(gòu)建流程。

圖1 自頂而下知識(shí)圖譜構(gòu)建方法

2.1 開源情報(bào)收集與分析

如圖2所示，本文利用的開源情報(bào)知識(shí)庫(kù)主要有5個(gè)：NVD、CVE、通用平臺(tái)枚舉（CPE）、CWE和exploit-db。NVD、CVE是漏洞實(shí)例的來(lái)源，NVD中還記錄了漏洞的屬性和相關(guān)的實(shí)例信息，例如該漏洞影響的基礎(chǔ)設(shè)施、該漏洞擁有的弱點(diǎn)等。CPE和NVD中使用URI對(duì)基礎(chǔ)設(shè)施進(jìn)行編碼用于唯一標(biāo)識(shí)。CWE包含了弱點(diǎn)的屬性信息，以及潛在的緩解措施。exploit-db是一個(gè)專業(yè)的漏洞披露知識(shí)庫(kù)，其中包含了大量可以漏洞利用的惡意軟件和惡意代碼。利用上述知識(shí)庫(kù)足以構(gòu)建一個(gè)信息完備準(zhǔn)確的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜。

圖2 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)相關(guān)開源情報(bào)知識(shí)庫(kù)

2.2 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)本體建模

本體作為規(guī)范化的框架與語(yǔ)義模型，擁有精簡(jiǎn)領(lǐng)域概念和減少術(shù)語(yǔ)分歧的作用。通過(guò)本體可以定義與描述網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)中的實(shí)體概念、關(guān)系和屬性。通過(guò)分析網(wǎng)絡(luò)安全開源情報(bào)的信息，結(jié)合網(wǎng)絡(luò)攻擊工具的屬性，本文提出了面向網(wǎng)絡(luò)靶場(chǎng)的武器庫(kù)模式層本體信息。其中共包含五類本體：

1) 惡意軟件（Malware）：惡意軟件指代可被用以執(zhí)行網(wǎng)絡(luò)攻擊的工具或代碼，會(huì)對(duì)基礎(chǔ)設(shè)施的保密性、完整性或可用性造成破壞。

2) 漏洞（Vulnerability）：漏洞指代存在于基礎(chǔ)設(shè)施中，因設(shè)計(jì)或?qū)崿F(xiàn)的不完善而形成的缺陷，可使用惡意軟件對(duì)其進(jìn)行利用。

3) 基礎(chǔ)設(shè)施（Infrastructure）：基礎(chǔ)設(shè)施指代軟件、操作系統(tǒng)等受漏洞和惡意軟件影響的資源。

4) 弱點(diǎn)（Weakness）：由CWE定義，用于對(duì)基礎(chǔ)設(shè)施存在的漏洞進(jìn)行基于弱點(diǎn)的標(biāo)識(shí)和分類。

5) 行動(dòng)方針（Course of Action）：行動(dòng)方針包括對(duì)潛在的攻擊行為的預(yù)防方案，以及對(duì)正在進(jìn)行的攻擊行為的應(yīng)對(duì)方案。

本文受STIX2.1啟發(fā)，將行動(dòng)方針單獨(dú)羅列成為一類本體。最終構(gòu)建的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)本體信息與本體之間的關(guān)系如圖3所示。表1 展示了每種本體的實(shí)例擁有的屬性。

圖3 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)本體

表1 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜實(shí)例屬性

實(shí)例類型屬性 惡意軟件名字、測(cè)試平臺(tái)、超鏈接、本地儲(chǔ)存地址、發(fā)布日期 漏洞名字、描述、超鏈接、發(fā)布日期 基礎(chǔ)設(shè)施名字、描述、超鏈接、版本、產(chǎn)品、經(jīng)銷商、目標(biāo)軟件、目標(biāo)軟件、目標(biāo)硬件 弱點(diǎn)名字、描述、常見后果、別名、結(jié)構(gòu)、利用可能性 行動(dòng)方針名字、階段、描述、有效性、有效性描述

2.3 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜構(gòu)建

知識(shí)圖譜的概念由谷歌在2012年首次提出，使用圖形的形式存儲(chǔ)實(shí)體和它們之間的關(guān)系。相較于傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)，其查詢的手段更加便捷、查詢效率更高。依賴于其靈活的圖存儲(chǔ)結(jié)構(gòu)，圖譜中的數(shù)據(jù)也便于修改更新。網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜采用自頂向下的模式進(jìn)行構(gòu)建。根據(jù)前文所述的本體與屬性，對(duì)開源情報(bào)中的實(shí)體規(guī)范化抽取，完成知識(shí)圖譜實(shí)體填充。圖4選取了具有代表性的三類本體，展示了網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜的框架。

圖4 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜框架

本文從NVD、CVE、CWE、CPE、exploit-db獲取半結(jié)構(gòu)化文本文件。通過(guò)編寫python腳本，對(duì)多源異構(gòu)開源情報(bào)遍歷分析，實(shí)現(xiàn)實(shí)體抽取和關(guān)系獲取。以圖5展示的NVD文本為例，編寫相關(guān)函數(shù)對(duì)實(shí)例進(jìn)行模式抽取，最終從半結(jié)構(gòu)化文本中獲得名字（name）、描述（description）等屬性值。通過(guò)遞歸方法對(duì)json字典對(duì)象problem type、cpe_match等項(xiàng)目的遍歷，抽取基礎(chǔ)設(shè)施（CPE）、弱點(diǎn)（CWE）實(shí)例。由于2.2節(jié)中定義的本體兩兩之間由唯一關(guān)系進(jìn)行配對(duì)，獲取到與當(dāng)前實(shí)例相關(guān)的實(shí)例，等同于獲取到兩者的關(guān)系，以便嵌入知識(shí)圖譜。利用相同的方式對(duì)上述開源情報(bào)解析，即可獲得所有實(shí)體。

圖5 NVD漏洞文本分析示例

Neo4J是一個(gè)功能強(qiáng)大且便于編程實(shí)現(xiàn)知識(shí)圖譜的圖數(shù)據(jù)庫(kù)平臺(tái)，其Python庫(kù)neomodel提供了便捷的本體實(shí)現(xiàn)手段，其服務(wù)器引擎也開放了端口，可以利用Cypher進(jìn)行圖數(shù)據(jù)庫(kù)查詢和可視化分析。因此，本文通過(guò)編寫Python代碼定義了本體規(guī)范，在Neo4J平臺(tái)實(shí)現(xiàn)本體規(guī)范到圖數(shù)據(jù)庫(kù)實(shí)例的映射。本文收集了2016年至2021年NVD的漏洞數(shù)據(jù)庫(kù)信息，以及exploit-db、CWE、CPE等開源情報(bào)知識(shí)庫(kù)，用于抽取實(shí)體，實(shí)體數(shù)量如表2所示。

表2 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)實(shí)體數(shù)量

實(shí)體類型數(shù)量 惡意軟件44693 漏洞95050 基礎(chǔ)設(shè)施190132 弱點(diǎn)947 行動(dòng)方針1597

2.4 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜用例分析

本文以Log4J（CVE-2021-44228）漏洞為例，以四川大學(xué)網(wǎng)絡(luò)靶場(chǎng)為基礎(chǔ)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)的應(yīng)用、展示與分析，該用例在圖2-5中展示。測(cè)試平臺(tái)操作系統(tǒng)為Windows 10，CPU為Intel i7-11700k，內(nèi)存大小32GB。

圖5 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)知識(shí)圖譜用例

當(dāng)前需要對(duì)近期影響頗深的Log4J（CVE-2021-44228）漏洞（棕色節(jié)點(diǎn)）進(jìn)行攻防演練，則紅方可以從圖中獲取到可利用該漏洞的惡意軟件和相關(guān)信息。工具和代碼通過(guò)local（本體儲(chǔ)存地址）獲得。紅方還可以獲取受影響的基礎(chǔ)設(shè)施列表，以篩選靶標(biāo)實(shí)施攻防演練。除了為紅方提供知識(shí)外，白方和藍(lán)方也可以從知識(shí)圖譜中獲益。白方可以從擁有該漏洞的基礎(chǔ)設(shè)施的列表中選取搭建靶標(biāo)環(huán)境，藍(lán)方也可以分析相關(guān)弱點(diǎn)和行動(dòng)方針來(lái)確定應(yīng)對(duì)方案。

3 實(shí)驗(yàn)

在信息查詢效率方面，本文設(shè)計(jì)了三個(gè)比對(duì)實(shí)驗(yàn)：①利用本文采用的方法對(duì)武器庫(kù)相關(guān)信息進(jìn)行檢索；②使用官網(wǎng)搜索引擎檢索信息；③通過(guò)編寫python函數(shù)對(duì)下載的半結(jié)構(gòu)化數(shù)據(jù)進(jìn)行檢索。

圖7 網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)信息查詢實(shí)驗(yàn)結(jié)果圖

實(shí)驗(yàn)結(jié)果如圖7所示。由于方法②采用HTTP請(qǐng)求對(duì)遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行檢索，影響的主要因素是網(wǎng)絡(luò)延遲，在沒有網(wǎng)絡(luò)的情況下難以實(shí)施。方法③可以離線進(jìn)行，但是效率受限于文件解析速率和檢索速率。本文提出的網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)構(gòu)建方法（方法①）不僅在查詢效率上優(yōu)于人工檢索方法，還提供了可視化能力和關(guān)聯(lián)分析能力，為攻防演練提供大數(shù)據(jù)分析支持。

自底而上是開放型知識(shí)圖譜的主要構(gòu)建方法。該方法采用命名實(shí)體識(shí)別（NER）和開放信息提?。∣IE）技術(shù)從非結(jié)構(gòu)化文本中抽取關(guān)系三元組，用于構(gòu)成知識(shí)圖譜。文獻(xiàn)[10]采用該方法從高級(jí)持續(xù)威脅（APT）報(bào)告中提取知識(shí)，構(gòu)建開放網(wǎng)絡(luò)威脅報(bào)告知識(shí)圖譜Open-CyKG。本文以O(shè)pen-CyKG為對(duì)照，進(jìn)行定性分析，如表3所示。

表3 網(wǎng)絡(luò)安全知識(shí)圖譜分析結(jié)果

語(yǔ)料庫(kù)依賴知識(shí)準(zhǔn)確率屬性值數(shù)據(jù)多樣性可視化實(shí)現(xiàn) 本文方法無(wú)高豐富中已實(shí)現(xiàn) Open-CyKG[10]強(qiáng)中無(wú)高已實(shí)現(xiàn)

Open-CyKG雖然利用了大量的APT報(bào)告非結(jié)構(gòu)化文本信息，大幅度提升了知識(shí)圖譜內(nèi)容的豐富程度，也擁有良好的可視化實(shí)現(xiàn)手段，但其適用范圍被語(yǔ)料庫(kù)所約束；知識(shí)圖譜的質(zhì)量，即知識(shí)準(zhǔn)確率，也被待分析文本所限制。本文利用的知識(shí)庫(kù)由專業(yè)機(jī)構(gòu)提交，同時(shí)受社區(qū)專業(yè)人員監(jiān)督和修改，知識(shí)準(zhǔn)確率高，實(shí)例屬性值豐富，能有效利用其構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)，并采用知識(shí)圖譜技術(shù)提供數(shù)據(jù)應(yīng)用支持。

4 結(jié)論

本文提出了一種利用開源情報(bào)構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)的方案，首先引入知識(shí)圖譜技術(shù)，從本體構(gòu)建出發(fā)，結(jié)合相關(guān)開源情報(bào)，構(gòu)建了面向網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)的知識(shí)圖譜本體；然后從開源情報(bào)網(wǎng)站收集半結(jié)構(gòu)化文本信息，利用本體規(guī)范知識(shí)結(jié)構(gòu)，構(gòu)建網(wǎng)絡(luò)靶場(chǎng)武器庫(kù)；最后使用Neo4j圖數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)存儲(chǔ)與可視化展示。

雖然該知識(shí)圖譜能夠利用開源情報(bào)數(shù)據(jù)庫(kù)獲取大量知識(shí)，但是如此構(gòu)建方法也加深了知識(shí)圖譜對(duì)知識(shí)庫(kù)數(shù)據(jù)依賴。下一步可以結(jié)合自然語(yǔ)言處理技術(shù)，從開源情報(bào)識(shí)別命名實(shí)體和抽取知識(shí)三元組，以利用更廣泛的數(shù)據(jù)來(lái)源填充知識(shí)庫(kù)。

[1]楊靜言. 網(wǎng)絡(luò)靶場(chǎng)的建設(shè)與發(fā)展[J]. 通訊世界，2020，27（9）：2.

[2]Yamin M M，Katt B，Gkioulos V. Cyber ranges and security testbeds：Scenarios，functions，tools and architecture[J]. Computers & Security，2020（88）：101636.

[3]Vykopal J，Vizváry M，Oslejsek R，et al. Lessons learned from complex hands-on defence exercises in a cyber range[C]//2017 IEEE Frontiers in Education Conference（FIE）.IEEE，2017：1-8.

[4]丁兆云，劉凱，劉斌，等. 網(wǎng)絡(luò)安全知識(shí)圖譜研究綜述[J]. 華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2021.

[5]Kiesling E，Ekelhart A，Kurniawan K，et al. The SEPSES knowledge graph：an integrated resource for cybersecurity[C]//International Semantic Web Conference. Springer，Cham，2019：198-214.

[6]Syed Z，Padia A，F(xiàn)inin T，et al. UCO：A unified cybersecurity ontology[C]//Workshops at the thirtieth AAAI conference on artificial intelligence. 2016.

[7]Pingle A，Piplai A，Mittal S，et al. Relext：Relationextraction using deep learning approaches for cybersecurity knowledge graph improvement[C]//Proceedings of the 2019 IEEE/ACM.

[8]Jia Y，Qi Y，Shang H，et al.A practical approach to constructing a knowledge graph for cybersecurity[J]. Engineering，2018，4（1）：53-60.

[9]高見，王安. 基于本體的網(wǎng)絡(luò)威脅情報(bào)分析技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2020：112-117.

[10]Sarhan I，Spruit M. Open-CyKG： An Open Cyber Threat Intelligence Knowledge Graph[J]. Knowledge-Based Systems，2021（233）：107524.

國(guó)家重點(diǎn)研發(fā)計(jì)劃（2020YFB1805400）；國(guó)家自然科學(xué)基金（U1736212、U19A2068、62002248、62032002）；四川省重點(diǎn)研發(fā)（20ZDYF3145）