基于知識圖譜的網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)設(shè)計(jì)

杜藝帆，叢紅艷

(1.西北大學(xué) 現(xiàn)代學(xué)院，西安 710130；2.西安工程大學(xué) 新媒體藝術(shù)學(xué)院，西安 710048)

0 引言

網(wǎng)絡(luò)的飛速發(fā)展為人們生產(chǎn)與生活帶來了極大的便利，但與此同時(shí)網(wǎng)絡(luò)病毒傳播速度也隨之加快，網(wǎng)絡(luò)安全問題日益嚴(yán)重。安全漏洞是造成網(wǎng)絡(luò)安全問題的關(guān)鍵所在，其主要來源于網(wǎng)絡(luò)系統(tǒng)脆弱性。隨著網(wǎng)絡(luò)的不斷發(fā)展與普及，其在人們生產(chǎn)與生活中占據(jù)的地位逐漸上升，網(wǎng)絡(luò)病毒也隨之快速傳播，網(wǎng)絡(luò)安全正在經(jīng)受著前所未有的威脅。若是網(wǎng)絡(luò)安全防御措施不足，就會受到非法侵入，致使網(wǎng)絡(luò)關(guān)鍵信息被篡改、偷竊等，嚴(yán)重會造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，造成較大的經(jīng)濟(jì)損失，威脅國家與大眾的信息與財(cái)產(chǎn)安全。由此可見，如何保障網(wǎng)絡(luò)安全具有至關(guān)重要的現(xiàn)實(shí)意義。通過調(diào)查研究發(fā)現(xiàn)，目前制約網(wǎng)絡(luò)發(fā)展的最大問題就是安全問題，由于網(wǎng)絡(luò)本質(zhì)上是“無政府”的公用平臺，任何人均可以自由登陸，使得網(wǎng)絡(luò)安全保障具備較多的不確定因素(漏洞)，為黑客提供了可乘之機(jī)。網(wǎng)絡(luò)安全問題主要來源于系統(tǒng)的脆弱性，主要表現(xiàn)在管理脆弱性、技術(shù)脆弱性與系統(tǒng)脆弱性。其中，管理脆弱性主要發(fā)生在網(wǎng)絡(luò)系統(tǒng)安全策略制定、實(shí)施、配置與控制過程中；技術(shù)脆弱性主要發(fā)生在硬件與軟件設(shè)計(jì)過程中；系統(tǒng)脆弱性主要發(fā)生在安全防護(hù)設(shè)備運(yùn)行過程中。由于上述網(wǎng)絡(luò)系統(tǒng)脆弱性的存在，使得網(wǎng)絡(luò)具有較多的安全漏洞，使得別有用心的人可以通過安全漏洞在未授權(quán)背景下訪問或者破壞網(wǎng)絡(luò)系統(tǒng)，對網(wǎng)絡(luò)安全造成極大的威脅。任何網(wǎng)絡(luò)安全問題均是由安全漏洞引起的，對其進(jìn)行精準(zhǔn)檢測是提升網(wǎng)絡(luò)安全的根本手段。

網(wǎng)絡(luò)安全漏洞檢測是一個(gè)動態(tài)的過程，并且其難度會隨著網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大而增加。相較于發(fā)達(dá)國家來看，中國對于網(wǎng)絡(luò)安全漏洞檢測的研究較晚，但也取得了一定的研究成果。文獻(xiàn)[1]在感知網(wǎng)絡(luò)整體安全態(tài)勢的基礎(chǔ)上，應(yīng)用黑盒遺傳算法進(jìn)行相應(yīng)的模糊測試，選取適當(dāng)?shù)哪繕?biāo)函數(shù)與測試參數(shù)，測試停止后輸出結(jié)果即為網(wǎng)絡(luò)安全漏洞檢測結(jié)果；文獻(xiàn)[2]應(yīng)用數(shù)據(jù)預(yù)處理模塊與協(xié)同分析模塊對網(wǎng)絡(luò)安全漏洞信息進(jìn)行預(yù)處理與分析，以此為基礎(chǔ)，利用N-gram算法匹配漏洞信息與已知的漏洞特征，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞的檢測；文獻(xiàn)[3]使用被動分簇算法明確簇首與網(wǎng)關(guān)節(jié)點(diǎn)，利用AFL模糊檢測工具過采樣安全漏洞樣本，結(jié)合前向反饋網(wǎng)絡(luò)和支持向量機(jī)構(gòu)建安全漏洞判別模型，將待檢測網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)代入到判別模型中，輸出結(jié)果即為網(wǎng)絡(luò)安全漏洞檢測結(jié)果。上述安全漏洞檢測系統(tǒng)雖然能夠?qū)崿F(xiàn)安全漏洞檢測功能，但是由于應(yīng)用手段的自身缺陷，均存在著安全漏洞檢測效果較差的問題，無法滿足網(wǎng)絡(luò)系統(tǒng)的發(fā)展需求，故提出基于知識圖譜的網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)設(shè)計(jì)研究?，F(xiàn)有安全漏洞數(shù)據(jù)庫具有信息單一、數(shù)據(jù)分散、數(shù)據(jù)結(jié)構(gòu)各異等缺點(diǎn)，這是影響安全漏洞檢測效果的關(guān)鍵因素。知識圖譜的出現(xiàn)可以有效解決上述問題，其能夠根據(jù)海量的安全漏洞信息構(gòu)建安全漏洞知識圖譜，對安全漏洞信息進(jìn)行聚合分析，挖掘安全漏洞關(guān)聯(lián)信息，可以為安全漏洞檢測提供更多的信息支撐，從而提升安全漏洞檢測整體性能。

1 網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)硬件設(shè)計(jì)

作為網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)的關(guān)鍵硬件，檢測器主要由管理器、檢測單元、通信器等部件構(gòu)成，為了提升網(wǎng)絡(luò)安全漏洞檢測的精準(zhǔn)度，對檢測器結(jié)構(gòu)、邏輯模型與運(yùn)行模式進(jìn)行合理、科學(xué)地設(shè)計(jì)，具體設(shè)計(jì)過程如下所示。

1.1 網(wǎng)絡(luò)安全漏洞檢測器結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全漏洞檢測器結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全漏洞檢測器結(jié)構(gòu)示意圖

如圖1所示，在設(shè)計(jì)的網(wǎng)絡(luò)安全漏洞檢測器結(jié)構(gòu)中，通信器主要承擔(dān)著安全漏洞數(shù)據(jù)、漏洞報(bào)表、控制指令、網(wǎng)絡(luò)郵件等的傳遞任務(wù)，與用戶、服務(wù)器、控制器等進(jìn)行直接連接，可以實(shí)時(shí)將安全漏洞檢測結(jié)果傳輸給用戶與服務(wù)器，也可以實(shí)時(shí)將用戶控制指令傳輸給控制器，保障設(shè)計(jì)系統(tǒng)的通信順暢[4]。通信器上述功能主要是在BSD Socket的支撐下實(shí)現(xiàn)的，還需要遵循一定的數(shù)據(jù)格式與傳輸規(guī)則，其基礎(chǔ)運(yùn)作原理為Socket API函數(shù)，具體調(diào)用方案需要根據(jù)實(shí)際情況來制定[5]。

管理器主要作用于檢測單元，決定著安全漏洞檢測任務(wù)執(zhí)行過程中檢測單元如何調(diào)度，是檢測器中的核心部件。管理器功能實(shí)現(xiàn)的關(guān)鍵是配置文件，其中記錄了檢測單元信息、系統(tǒng)訪問權(quán)限信息等。當(dāng)網(wǎng)絡(luò)系統(tǒng)安全漏洞檢測單元增加時(shí)，配置文件中也需進(jìn)行相應(yīng)的記錄。另外，管理器與通信器、檢測單元均是直接連接的，用于接收用戶反饋的控制指令與檢測單元的安全漏洞信息。當(dāng)管理器接收到通信器傳輸?shù)目刂浦噶顣r(shí)，先對控制指令進(jìn)行解譯，再以此為基礎(chǔ)制定檢測單元的控制動作[6]。當(dāng)管理器接收到檢測單元傳輸?shù)陌踩┒葱畔r(shí)，不需要對其進(jìn)行解譯與分析，只需要將其直接轉(zhuǎn)發(fā)給通信器即可。

檢測單元是網(wǎng)絡(luò)安全漏洞檢測器的基石，是實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞智能檢測功能的程序?qū)嶓w。標(biāo)準(zhǔn)情況下，一個(gè)檢測單元對應(yīng)著一種網(wǎng)絡(luò)安全漏洞的檢測，檢測單元之間保持著相互獨(dú)立的關(guān)系。若是存在新的安全漏洞，則應(yīng)該采用PERL語言對新的檢測單元進(jìn)行編制與添加。單一檢測單元主要由注冊部分、檢測部分與卸載部分構(gòu)成，其管理難度較低，只需要在安裝過程中向管理器配置文件進(jìn)行備份即可。

上述過程完成了網(wǎng)絡(luò)安全漏洞檢測器結(jié)構(gòu)的設(shè)計(jì)，并對構(gòu)成部件進(jìn)行了詳細(xì)地描述與介紹，為檢測器功能的實(shí)現(xiàn)奠定基礎(chǔ)。

1.2 網(wǎng)絡(luò)安全漏洞檢測器邏輯模型設(shè)計(jì)

邏輯模型是網(wǎng)絡(luò)安全漏洞檢測器功能實(shí)現(xiàn)的主要依據(jù)，故此節(jié)在用戶、網(wǎng)絡(luò)系統(tǒng)、漏洞檢測等多方需求背景下，設(shè)計(jì)網(wǎng)絡(luò)安全漏洞檢測器邏輯模型，具體如圖2所示。

圖2 網(wǎng)絡(luò)安全漏洞檢測器邏輯模型示意圖

如圖2所示，網(wǎng)絡(luò)安全漏洞檢測器邏輯模型主要由3個(gè)部分構(gòu)成，分別為用戶界面部分、檢測調(diào)度部分與漏洞檢測部分。其中，用戶界面部分秉持著簡潔易用的原則，為用戶提供多種類型的操作方式，滿足不同用戶的需求。用戶可以通過瀏覽器查詢到網(wǎng)絡(luò)安全漏洞檢測結(jié)果及其相關(guān)信息[7]。與此同時(shí)，高級用戶還能根據(jù)自身需求對漏洞檢測程序進(jìn)行更改與完善，以此來提升網(wǎng)絡(luò)安全漏洞檢測整體性能。

檢測調(diào)度部分主要是基于安全漏洞數(shù)據(jù)庫與網(wǎng)關(guān)傳輸漏洞檢測請求來確定檢測目標(biāo)網(wǎng)絡(luò)及其其他需求，制定檢測單元調(diào)度策略，并將其傳輸給漏洞檢測部分，為漏洞檢測提供指導(dǎo)作用。

漏洞檢測部分主要是通過分布式檢測單元對目標(biāo)網(wǎng)絡(luò)系統(tǒng)存在的安全漏洞進(jìn)行檢測、識別與預(yù)警，與此同時(shí)，判定目標(biāo)網(wǎng)絡(luò)系統(tǒng)的脆弱性等級，給出相應(yīng)風(fēng)險(xiǎn)防范措施。根據(jù)不同網(wǎng)絡(luò)用戶的需求，編制不同形式的安全漏洞檢測報(bào)告，并將其反饋給網(wǎng)絡(luò)安全管理員，其收到反饋結(jié)果后，制定相應(yīng)的安全漏洞補(bǔ)救措施，以保證網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行，為用戶提供更優(yōu)質(zhì)的網(wǎng)絡(luò)環(huán)境。

1.3 網(wǎng)絡(luò)安全漏洞檢測器運(yùn)行模式設(shè)計(jì)

常規(guī)情況下，檢測器運(yùn)行模式主要有兩種，分別為單機(jī)檢測模式與C/S模式。當(dāng)檢測器運(yùn)行模式處于單機(jī)檢測模式時(shí)，只需要管理員對相關(guān)參數(shù)進(jìn)行合理配置，即可實(shí)現(xiàn)檢測器的本地運(yùn)行，判定網(wǎng)絡(luò)系統(tǒng)是否存在安全漏洞。需要注意的是，檢測器單機(jī)檢測模式不涉及與服務(wù)器的通信過程；當(dāng)檢測器運(yùn)行模式處于C/S模式時(shí)，涉及與服務(wù)器的通信過程，只有接收到服務(wù)器檢測指令后才開啟漏洞檢測單元，漏洞檢測結(jié)果通過通信方式反饋給網(wǎng)絡(luò)系統(tǒng)，并將其存儲于相應(yīng)文件中，為后續(xù)安全漏洞檢測結(jié)果查詢提供便利[8]。在漏洞檢測指令完成后，繼續(xù)進(jìn)入監(jiān)控模式，直到網(wǎng)絡(luò)用戶下線為止。

上述兩種運(yùn)行模式優(yōu)勢與缺陷并存，無法為檢測器的穩(wěn)定運(yùn)行提供支撐。因此，此研究融合兩種運(yùn)行模式的優(yōu)勢部分，設(shè)計(jì)新的網(wǎng)絡(luò)安全漏洞檢測器運(yùn)行模式，具體如圖3所示。

圖3 網(wǎng)絡(luò)安全漏洞檢測器運(yùn)行模式設(shè)計(jì)圖

如圖3所示，通過單機(jī)檢測模式與C/S模式的有效結(jié)合，可以增加網(wǎng)絡(luò)安全漏洞檢測器運(yùn)行的安全性以及可靠性[9]。

上述過程從結(jié)構(gòu)、邏輯模型與運(yùn)行模式3個(gè)方面出發(fā)完成了網(wǎng)絡(luò)安全漏洞檢測器的設(shè)計(jì)，為最終安全漏洞智能檢測的實(shí)現(xiàn)提供有力的硬件支撐。

2 網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)軟件功能實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)安全漏洞知識圖譜構(gòu)建

安全漏洞知識圖譜可以表示安全漏洞、網(wǎng)絡(luò)實(shí)體、相關(guān)屬性等之間的復(fù)雜關(guān)聯(lián)關(guān)系，對其進(jìn)行構(gòu)建可以為后續(xù)網(wǎng)絡(luò)安全漏洞檢測提供更多的信息支撐，具體構(gòu)建過程如下所示。

2.1.1 安全漏洞數(shù)據(jù)采集與預(yù)處理

安全漏洞數(shù)據(jù)采集與預(yù)處理是安全漏洞知識圖譜構(gòu)建的首要環(huán)節(jié)[10]，也是至關(guān)重要的環(huán)節(jié)。常規(guī)情況下，安全漏洞數(shù)據(jù)主要以非結(jié)構(gòu)化文本形式存在，例如NVD、CVE等漏洞數(shù)據(jù)庫，每個(gè)漏洞數(shù)據(jù)庫存儲的數(shù)據(jù)種類存在著較大的差異性[11]，使得安全漏洞數(shù)據(jù)表現(xiàn)形式、存儲位置較為隨機(jī)，為安全漏洞數(shù)據(jù)采集帶來了較大的困難[12]。針對上述安全漏洞數(shù)據(jù)特點(diǎn)，此研究選取網(wǎng)絡(luò)爬蟲對安全漏洞數(shù)據(jù)進(jìn)行采集，具體如圖4所示。

圖4 基于網(wǎng)絡(luò)爬蟲的安全漏洞數(shù)據(jù)采集程序圖

以圖4所示程序?qū)W(wǎng)絡(luò)安全漏洞數(shù)據(jù)進(jìn)行采集，并將其整合為集合形式，記為X={x1，x2，…，xn}，其中，n表示的是網(wǎng)絡(luò)安全漏洞數(shù)據(jù)的總數(shù)量。網(wǎng)絡(luò)爬蟲在安全漏洞數(shù)據(jù)采集過程中，容易受到網(wǎng)絡(luò)環(huán)境、惡意程序等干擾，致使安全漏洞數(shù)據(jù)存在著冗余、層次邏輯混亂、異常等現(xiàn)象，不利于安全漏洞知識圖譜的構(gòu)建，故在安全漏洞知識圖譜構(gòu)建之前，需要對網(wǎng)絡(luò)安全漏洞數(shù)據(jù)進(jìn)行一定的預(yù)處理[13]。計(jì)算網(wǎng)絡(luò)安全漏洞數(shù)據(jù)集合中任意兩個(gè)數(shù)據(jù)之間的相似度，表達(dá)式為

(1)

式中，α(xi，xj)表示的是安全漏洞數(shù)據(jù)xi與xj之間的相似度；xi∩xj表示的是安全漏洞數(shù)據(jù)xi與xj的交集；xi∪xj表示的是安全漏洞數(shù)據(jù)xi與xj的并集；βΔ表示的是安全漏洞數(shù)據(jù)相似度計(jì)算輔助參數(shù)，取值范圍為0～1，需要根據(jù)網(wǎng)絡(luò)安全狀態(tài)實(shí)際情況進(jìn)行科學(xué)地設(shè)置。

以公式(1)計(jì)算結(jié)果α(xi，xj)為基礎(chǔ)，判定安全漏洞數(shù)據(jù)是否為冗余數(shù)據(jù)，判定規(guī)則如下式所示：

(2)

安全漏洞異常數(shù)據(jù)檢測與刪除也是其預(yù)處理中的關(guān)鍵所在[14]。安全漏洞異常數(shù)據(jù)檢測因子計(jì)算公式為：

(3)

以公式(3)計(jì)算結(jié)果Ke為基礎(chǔ)，判定安全漏洞數(shù)據(jù)是否為異常數(shù)據(jù)，判定規(guī)則如下式所示：

(4)

式中，|Ke|表示的是安全漏洞異常數(shù)據(jù)檢測因子Ke的絕對值。

2.1.2 安全漏洞知識圖譜實(shí)體識別

安全漏洞知識圖譜實(shí)體識別主要是針對安全漏洞實(shí)體進(jìn)行識別，是知識圖譜構(gòu)建的主要依據(jù)之一。在網(wǎng)絡(luò)運(yùn)行實(shí)際情況下，每個(gè)安全漏洞均具備獨(dú)一無二的ID，其對應(yīng)的屬性信息也存在著較大的差異性。由此可見，能夠根據(jù)屬性信息對安全漏洞知識圖譜實(shí)體進(jìn)行精準(zhǔn)識別。

常規(guī)情況下，安全漏洞屬性信息主要包括漏洞風(fēng)險(xiǎn)數(shù)值、漏洞文件名稱、漏洞編程語言、漏洞爆發(fā)點(diǎn)等，為了方便后續(xù)漏洞實(shí)體的識別，對屬性信息進(jìn)行統(tǒng)計(jì)，具體如表1所示。

表1 安全漏洞屬性信息統(tǒng)計(jì)表

如表1內(nèi)容所示，每個(gè)安全漏洞均是由多個(gè)屬性信息構(gòu)成的，以此為基礎(chǔ)，衡量未知安全漏洞與已知安全漏洞屬性信息之間的相關(guān)系數(shù)[16]，計(jì)算公式為：

(5)

式中，χ(Pi，Qj)表示的是未知安全漏洞屬性信息集合Pi與已知安全漏洞屬性信息集合Qj之間的相關(guān)系數(shù)；α(Pi，Qj)表示的是未知安全漏洞與已知安全漏洞屬性信息的相似度；N表示的是屬性信息的總數(shù)量；εe表示的是誤差調(diào)整項(xiàng)，承擔(dān)著提升相關(guān)系數(shù)精度的任務(wù)。

以公式(5)計(jì)算結(jié)果χ(Pi，Qj)為基礎(chǔ)，制定安全漏洞知識圖譜實(shí)體識別規(guī)則，具體如下式所示：

(6)

通過上述過程完成了安全漏洞知識圖譜實(shí)體的精準(zhǔn)識別，為最終知識圖譜的構(gòu)建做好充足的準(zhǔn)備工作。

2.1.3 安全漏洞知識圖譜關(guān)系抽取

在網(wǎng)絡(luò)實(shí)際運(yùn)行過程中，安全漏洞知識圖譜主要存在4種依賴關(guān)系，分別為函數(shù)調(diào)用依賴關(guān)系、控制依賴關(guān)系、聲明依賴關(guān)系與數(shù)據(jù)流依賴關(guān)系，其是知識圖譜構(gòu)建的基礎(chǔ)與前提之一[17]。因此，此節(jié)對上述關(guān)系進(jìn)行描述與抽取。

為了方便后續(xù)安全漏洞知識圖譜關(guān)系的描述以及抽取，設(shè)置安全漏洞知識圖譜任意兩個(gè)節(jié)點(diǎn)為R1與R2，具體關(guān)系抽取過程如下所示：

1)函數(shù)調(diào)用依賴關(guān)系抽取：

2)控制依賴關(guān)系抽?。?/p>

3)聲明依賴關(guān)系抽取：

4)數(shù)據(jù)流依賴關(guān)系抽?。?/p>

依據(jù)上述描述在安全漏洞知識圖譜節(jié)點(diǎn)中進(jìn)行搜索、識別與抽取，為后續(xù)安全漏洞知識圖譜可視化處理提供支撐。

2.1.4 安全漏洞知識圖譜可視化

以上述安全漏洞知識圖譜實(shí)體識別結(jié)果與關(guān)系抽取結(jié)果為依據(jù)，定義安全漏洞知識圖譜表示形式，設(shè)計(jì)安全漏洞知識圖譜結(jié)構(gòu)，從而實(shí)現(xiàn)安全漏洞知識圖譜的構(gòu)建與可視化。

此研究采用三元組表示安全漏洞知識圖譜，表達(dá)式為

G=(X′，P，R)

(7)

式中，G表示的是安全漏洞知識圖譜三元組表示形式；X′表示的是安全漏洞數(shù)據(jù)集合；P表示的是安全漏洞知識圖譜實(shí)體集合；R表示的是安全漏洞知識圖譜關(guān)系集合。

安全漏洞知識圖譜主要包含兩大結(jié)構(gòu)，分別為漏洞實(shí)體結(jié)構(gòu)與其他實(shí)體結(jié)構(gòu)[18]。其中，漏洞實(shí)體結(jié)構(gòu)中包含著安全漏洞屬性信息、基本信息等，其他實(shí)體結(jié)構(gòu)中包含著網(wǎng)絡(luò)安防實(shí)體、網(wǎng)絡(luò)運(yùn)行程序?qū)嶓w等。安全漏洞知識圖譜構(gòu)建結(jié)果如圖5所示。

圖5 安全漏洞知識圖譜構(gòu)建結(jié)果示意圖

上述過程完成了網(wǎng)絡(luò)安全漏洞知識圖譜的構(gòu)建與可視化，為網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)的實(shí)現(xiàn)打下堅(jiān)實(shí)的基礎(chǔ)。

2.2 網(wǎng)絡(luò)安全漏洞智能檢測功能實(shí)現(xiàn)

以上述網(wǎng)絡(luò)安全漏洞知識圖譜構(gòu)建結(jié)果與網(wǎng)絡(luò)安全漏洞檢測器設(shè)計(jì)結(jié)果為依據(jù)，構(gòu)建網(wǎng)絡(luò)安全漏洞智能檢測整體架構(gòu)，制定網(wǎng)絡(luò)安全漏洞智能檢測具體流程(檢測器軟件程序)，從而獲取最終網(wǎng)絡(luò)安全漏洞智能檢測結(jié)果，為網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行提供保障。

網(wǎng)絡(luò)安全漏洞智能檢測整體架構(gòu)如圖6所示。

圖6 網(wǎng)絡(luò)安全漏洞智能檢測整體架構(gòu)圖

基于FGqT-Match算法的網(wǎng)絡(luò)安全漏洞智能檢測程序如下所示。

階段一：FGqT索引構(gòu)造。

FGqT索引(流圖索引)主要是基于漏洞數(shù)據(jù)匹配頂點(diǎn)對構(gòu)造而成。其中，頂點(diǎn)對主要描述的是待檢測安全漏洞知識圖譜頂點(diǎn)u到已知安全漏洞知識圖譜頂點(diǎn)v的映射函數(shù)，記為[u，v]。需要注意的是，在漏洞數(shù)據(jù)匹配頂點(diǎn)對應(yīng)用之前，需對其是否匹配進(jìn)行精準(zhǔn)驗(yàn)證，驗(yàn)證規(guī)則如下式所示：

(8)

式中，L1(u)與L1(v)表示的是漏洞數(shù)據(jù)匹配頂點(diǎn)u與v對應(yīng)的標(biāo)簽函數(shù)；L2(u，u′)與L2(v，v′)表示的是漏洞數(shù)據(jù)匹配邊(u，u′)與(v，v′)對應(yīng)的標(biāo)簽函數(shù)；u′表示的是待檢測安全漏洞知識圖譜中與頂點(diǎn)u連接的任意一個(gè)頂點(diǎn)；v′表示的是已知安全漏洞知識圖譜中與頂點(diǎn)v連接的任意一個(gè)頂點(diǎn)。

當(dāng)漏洞數(shù)據(jù)匹配頂點(diǎn)對[u，v]滿足公式(8)全部約束條件時(shí)，則表示漏洞數(shù)據(jù)頂點(diǎn)u與v是匹配的，對其進(jìn)行保留處理；當(dāng)漏洞數(shù)據(jù)匹配頂點(diǎn)對[u，v]不符合公式(8)某一條約束條件時(shí)，則表示漏洞數(shù)據(jù)頂點(diǎn)u與v是不匹配的，對其進(jìn)行刪除處理。

一個(gè)FGqT索引是由多個(gè)頂點(diǎn)對構(gòu)成的(頂點(diǎn)對是匹配的)，將其記為M={[u1，v1]，[u2，v2]，…，[un，vn]}，其中，n表示的是漏洞數(shù)據(jù)匹配頂點(diǎn)對的總數(shù)量。

階段二：最優(yōu)匹配序列獲取。

以上述構(gòu)造的FGqT索引M={[u1，v1]，[u2，v2]，…，[un，vn]}作為依據(jù)，計(jì)算待檢測安全漏洞知識圖譜頂點(diǎn)中標(biāo)簽數(shù)量與已知安全漏洞知識圖譜頂點(diǎn)中標(biāo)簽數(shù)量比值，將其記為匹配概率，表達(dá)式為

(9)

式中，ζ表示的是匹配概率；|G|與|F|表示的是待檢測安全漏洞知識圖譜與已知安全漏洞知識圖譜中頂點(diǎn)候選集的大小；f(u)與f(v)表示的是待檢測安全漏洞知識圖譜與已知安全漏洞知識圖譜頂點(diǎn)中標(biāo)簽數(shù)量。

以公式(9)計(jì)算結(jié)果ζ為基礎(chǔ)，判定當(dāng)前子圖匹配序列{[u1，v1]，[u2，v2]，…，[un，vn]}是否為最優(yōu)匹配序列，具體判定規(guī)則如下式所示：

(10)

式中，Ψ表示的是最優(yōu)子圖匹配序列判定閾值，其需要根據(jù)安全漏洞知識圖譜實(shí)際情況進(jìn)行具體的設(shè)置。

當(dāng)不存在最優(yōu)子圖匹配序列時(shí)，表明網(wǎng)絡(luò)系統(tǒng)中未存在安全漏洞；當(dāng)存在最優(yōu)子圖匹配序列時(shí)，表明網(wǎng)絡(luò)系統(tǒng)中存在安全漏洞，并且安全漏洞類型為子圖匹配到的已知安全漏洞知識圖譜對應(yīng)的安全漏洞[20]。

綜上所述，在知識圖譜原理的應(yīng)用下，實(shí)現(xiàn)了網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)的設(shè)計(jì)與運(yùn)行，最終獲取網(wǎng)絡(luò)安全漏洞檢測結(jié)果。

3 實(shí)驗(yàn)與結(jié)果分析

設(shè)置文獻(xiàn)[1]提出的黑盒遺傳算法、文獻(xiàn)[2]提出的N-gram算法、文獻(xiàn)[3]提出的被動分簇算法作為對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3，聯(lián)合設(shè)計(jì)系統(tǒng)共同進(jìn)行網(wǎng)絡(luò)安全漏洞智能檢測對比實(shí)驗(yàn)，以此來驗(yàn)證設(shè)計(jì)系統(tǒng)的應(yīng)用效果。

3.1 實(shí)驗(yàn)工況設(shè)置

選取某局域網(wǎng)絡(luò)系統(tǒng)作為實(shí)驗(yàn)對象，其覆蓋范圍較小，方便實(shí)驗(yàn)的進(jìn)行。單一實(shí)驗(yàn)工況背景下，無論怎么增加實(shí)驗(yàn)次數(shù)，獲得的實(shí)驗(yàn)結(jié)論可信度均較低。因此，為了提升此研究實(shí)驗(yàn)結(jié)論的可信度，在實(shí)驗(yàn)進(jìn)行之前，依據(jù)實(shí)驗(yàn)對象——局域網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，設(shè)置10種實(shí)驗(yàn)工況，具體如表2所示。

表2 實(shí)驗(yàn)工況設(shè)置表

如表2內(nèi)容所示，設(shè)置的10種實(shí)驗(yàn)工況中，安全漏洞數(shù)量、漏洞來源等均不一致，表明每種實(shí)驗(yàn)工況對應(yīng)的背景環(huán)境存在著較大的差異性，符合設(shè)計(jì)系統(tǒng)應(yīng)用效果的測試需求。

3.2 評價(jià)指標(biāo)選取

為了直觀顯示設(shè)計(jì)系統(tǒng)的應(yīng)用效果，選取適當(dāng)?shù)脑u價(jià)指標(biāo)。從安全漏洞檢測精度與效率兩個(gè)角度出發(fā)，選取網(wǎng)絡(luò)安全漏洞漏檢率、網(wǎng)絡(luò)安全漏洞檢測F1值與網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間作為評價(jià)指標(biāo)。其中，前兩個(gè)評價(jià)指標(biāo)表征的是安全漏洞檢測精度，后一個(gè)評價(jià)指標(biāo)表征的是安全漏洞檢測效率。

網(wǎng)絡(luò)安全漏洞漏檢率計(jì)算公式為

(11)

式中，O表示的是網(wǎng)絡(luò)安全漏洞漏檢率，其與安全漏洞檢測性能呈現(xiàn)顯著的反比例關(guān)系，即漏檢率數(shù)值越小，表明安全漏洞檢測性能越好；htotal表示的是網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞總數(shù)量；h1表示的是檢測到的安全漏洞數(shù)量。

網(wǎng)絡(luò)安全漏洞檢測F1值計(jì)算公式為

(12)

式中，F(xiàn)1表示的是融合了精確率與召回率的評價(jià)因子，能更準(zhǔn)確地衡量網(wǎng)絡(luò)安全漏洞檢測質(zhì)量，該數(shù)值越大表明安全漏洞檢測性能越好；p表示的是安全漏洞檢測精確率；r表示的是安全漏洞檢測召回率。

網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間計(jì)算公式為

T=T1-T0

(13)

式中，T表示的是網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間，該數(shù)值越小表明安全漏洞檢測性能越好；T1表示的是網(wǎng)絡(luò)安全漏洞檢測結(jié)果輸出時(shí)間；T0表示的是網(wǎng)絡(luò)安全漏洞出現(xiàn)時(shí)間。

上述過程完成了評價(jià)指標(biāo)的選取與計(jì)算公式介紹，為后續(xù)實(shí)驗(yàn)結(jié)果分析提供依據(jù)。

3.3 實(shí)驗(yàn)結(jié)果分析

3.3.1 網(wǎng)絡(luò)安全漏洞檢測精度分析

在實(shí)驗(yàn)工況設(shè)置及評價(jià)指標(biāo)選取的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)安全漏洞檢測實(shí)驗(yàn)。根據(jù)表2中已知的安全漏洞信息，確定安全漏洞知識圖譜的表示形式。設(shè)計(jì)安全漏洞知識圖譜的結(jié)構(gòu)。將安全漏洞的關(guān)鍵屬性和關(guān)系以節(jié)點(diǎn)和邊的形式進(jìn)行建模，并確定節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系。利用已構(gòu)建的安全漏洞知識圖譜，輔助識別網(wǎng)絡(luò)中存在的潛在漏洞問題。采集檢測過程中網(wǎng)絡(luò)系統(tǒng)中存在的安全漏洞總數(shù)量及檢測到的安全漏洞數(shù)量，代入公式(11)獲得網(wǎng)絡(luò)安全漏洞漏檢率實(shí)驗(yàn)結(jié)果，如表3所示。根據(jù)公式(11)計(jì)算安全漏洞檢測精確率及安全漏洞檢測召回率，代入公式(12)獲得網(wǎng)絡(luò)安全漏洞檢測F1值實(shí)驗(yàn)結(jié)果，如表4所示。

表3 網(wǎng)絡(luò)安全漏洞漏檢率 %

表4 網(wǎng)絡(luò)安全漏洞檢測F1值

通過實(shí)驗(yàn)獲得網(wǎng)絡(luò)安全漏洞檢測精度評價(jià)指標(biāo)——網(wǎng)絡(luò)安全漏洞漏檢率、網(wǎng)絡(luò)安全漏洞檢測F1值如表3、表4所示。

如表3數(shù)據(jù)所示，在不同實(shí)驗(yàn)工況背景條件下，應(yīng)用設(shè)計(jì)系統(tǒng)獲得的網(wǎng)絡(luò)安全漏洞漏檢率低于對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3，其最小值達(dá)到了1.23%，而對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3的網(wǎng)絡(luò)安全漏洞漏檢率最小值分別為9.89%、8.45%、9.56。設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)安全漏洞漏檢率較低，是因?yàn)樵O(shè)計(jì)系統(tǒng)通過對真實(shí)數(shù)據(jù)進(jìn)行知識圖譜的建模和構(gòu)建，通過定義安全漏洞知識圖譜的表示形式和結(jié)構(gòu)，并進(jìn)行可視化展示，系統(tǒng)可以更清晰地呈現(xiàn)安全漏洞之間的關(guān)聯(lián)信息。系統(tǒng)利用屬性信息識別安全漏洞實(shí)體，移除冗余數(shù)據(jù)和異常數(shù)據(jù)，這有助于用戶理解和分析漏洞之間的聯(lián)系，提高漏洞的發(fā)現(xiàn)和推斷能力，從而提高了檢測的準(zhǔn)確性和可靠性。

如表4數(shù)據(jù)所示，在不同實(shí)驗(yàn)工況背景條件下，應(yīng)用設(shè)計(jì)系統(tǒng)獲得的網(wǎng)絡(luò)安全漏洞檢測F1值高于對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3，其最大值達(dá)到了9.50，而對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3的網(wǎng)絡(luò)安全漏洞檢測F1值最大值分別為5.59、6.23、7.12。設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)安全漏洞檢測F1值較高，意味著漏洞檢測系統(tǒng)在同時(shí)考慮了準(zhǔn)確率和召回率的情況下取得了更好的平衡，F(xiàn)1值高說明系統(tǒng)可以精確地識別安全漏洞，較少將正常的網(wǎng)絡(luò)流量誤判為漏洞或錯誤地報(bào)告漏洞。這有助于避免誤報(bào)、減少虛假警報(bào)，讓系統(tǒng)運(yùn)行更加可靠和穩(wěn)定。F1值高也意味著系統(tǒng)能夠高效地檢測出網(wǎng)絡(luò)中的真實(shí)漏洞，盡可能地避免漏報(bào)。提高召回率意味著漏洞檢測系統(tǒng)能夠更多地識別到實(shí)際存在的漏洞，及時(shí)采取措施進(jìn)行修復(fù)和防護(hù)。

3.3.2 網(wǎng)絡(luò)安全漏洞檢測效率分析

根據(jù)上述實(shí)驗(yàn)過程，記錄網(wǎng)絡(luò)安全漏洞檢測結(jié)果輸出時(shí)間及網(wǎng)絡(luò)安全漏洞出現(xiàn)時(shí)間，代入公式(13)獲得網(wǎng)絡(luò)安全漏洞檢測效率實(shí)驗(yàn)結(jié)果，如圖7所示。

圖7 網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間示意圖

如圖7數(shù)據(jù)所示，在不同實(shí)驗(yàn)工況背景條件下，應(yīng)用設(shè)計(jì)系統(tǒng)獲得的網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間均低于對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3，其最小值達(dá)到了1 ms，而對比系統(tǒng)1、對比系統(tǒng)2與對比系統(tǒng)3的檢測響應(yīng)時(shí)間最小值分別為1.5 ms、2 ms、2.8 ms。表明設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)安全漏洞檢測效率更高。設(shè)計(jì)系統(tǒng)通過對大量真實(shí)數(shù)據(jù)進(jìn)行預(yù)處理，去除冗余數(shù)據(jù)和異常數(shù)據(jù)，提高數(shù)據(jù)的質(zhì)量和準(zhǔn)確性。這樣可以使得系統(tǒng)對漏洞進(jìn)行快速檢測和分析，從而減少響應(yīng)時(shí)間。通過整體架構(gòu)的設(shè)計(jì)和具體流程的制定，使得漏洞檢測能夠高效運(yùn)行。

4 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與普及，網(wǎng)絡(luò)已經(jīng)成為人們生產(chǎn)與生活中必不可缺的事物。隨之而來的網(wǎng)絡(luò)安全問題也日益嚴(yán)重，威脅著用戶信息的安全與網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定，成為制約網(wǎng)絡(luò)后續(xù)發(fā)展的關(guān)鍵所在，故提出基于知識圖譜的網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)設(shè)計(jì)研究。通過實(shí)驗(yàn)得出，所設(shè)計(jì)系統(tǒng)降低了網(wǎng)絡(luò)安全漏洞漏檢率，提升了網(wǎng)絡(luò)安全漏洞檢測F1值，縮短了網(wǎng)絡(luò)安全漏洞檢測響應(yīng)時(shí)間，為安全漏洞檢測提供更有效的系統(tǒng)支撐。綜上所述，基于知識圖譜的網(wǎng)絡(luò)安全漏洞智能檢測系統(tǒng)可以為網(wǎng)絡(luò)安全領(lǐng)域帶來更高效、精準(zhǔn)和智能的漏洞檢測和防護(hù)能力，也能夠?yàn)橄嚓P(guān)研究提供一定的借鑒作用。