2019-Automatic Analysis and Reasoning Based on Vu
基於漏洞知識圖譜的自動分析與推理
一、摘要
在安全社群中,提取和儲存漏洞知識是很有價值的。許多資料來源通過非結構化資料和半結構化資料的方式儲存漏洞,這很難被機器理解和再次利用。安全專家需要分析描述、連結相關知識,推理出各種弱點之間的隱藏聯絡。所以,以更智慧的方法自動分析漏洞資料,管理知識是一件很有必要的事。
本文提出了一種基於漏洞知識圖譜的自動分析和推理模型。漏洞知識圖譜是從幾個廣泛使用的漏洞資料庫中提取,並存儲在圖資料庫中。採用自然語言處理技術可以對最近的漏洞描述進行處理和分析。提取的實體將被連結到漏洞知識圖譜,並作為新知識加入其中。推理函式可以根據知識圖譜找到弱點之間的隱藏關係。最後,我們給出了示例案例來演示該模型的實際作用。
二、評估系統
推理模組評估
本文使用2018和2019兩年的漏洞資料(包括NVD、CVE、CPE和CWE)構建知識圖譜,通過設定相關閾值引數來識別候選的CWE Chain,推理結果有52組,如表2所示。CWE Chain使用一個CWE資料對錶示,比如(362, 119)表示一個可能由於CWE-362引發CWE-199的CWE Chain。
在圖2中給每個候選的CWE Chain都人工打上了標籤(1、0.5、0、S)。其中標籤1表示這些候選的CWE Chain常被用於利用漏洞的工作上或者應用於一些合理的利用邏輯。標籤0.5表示這個候選的CWE Chain不常見。標籤0表示這個候選的CWE Chain沒有明顯的利用邏輯,認為是假的CWE Chain。標籤S表示候選的CWE Chain確實有較強的關係,但是違反CWE Chain定義。比如CWE-125(越界讀取)是CWE-119(對記憶體緩衝區邊界內的操作的限制不當)的子類,當然滿足較強的聯絡,但是違反CWE Chain的本意。
VulKG推理的統計結果如表3所示。本文認為標籤為0.5或1的CWE候選鏈是真正的CWE鏈,而0和S是假的CWE鏈。推理函式的準確率為82.69%。
三、結論
本文提出了一個AARV模型來實現在漏洞知識圖譜(VulKG)上自動分析和推理。VulKG可以從半結構化資料中提取資料並且利用由非結構化資料中生成的知識中擴充套件知識庫。NLP元件可以自動分析和處理最近的漏洞描述。基於VulKG的推理函式可以推斷出有價值的CWE鏈,揭示了弱點之間的隱藏關係。最後,通過評估發現推理函式的準確率達到82.69%,具有較好的可靠性。
四、論文目的
本文題提出一個新的分析、推理模型,想要達到在漏洞知識圖譜上自動進行分析和推理的作用。
五、推理簡介
1. 推理任務
挖掘隱藏的CWE Chain。CWE Chain是一個包含兩個或多個獨立弱點的序列,表示這些弱點在軟體中是緊密相關的。一個弱點X可以直接創造條件,從而引發另一個弱點Y,最終達到某個漏洞的條件。當這種情況發生時,CWE將X稱為Y的“primary”,而Y是X的“resultant”。
2. 推理規則
挖掘CWE Chain的關鍵指標是置信度,當置信度超過我們設定的閾值之後,就認為他是一個候選的CWE Chain。這個置信度用來表示在一個產品中同時存在一對弱點的條件概率,所以公式如下:
置信度 = C12 / C1
其中C12就表示同時具有弱點CWE1和CWE2的產品數量,C1表示具有弱點CWE1的產品數量。當然C12和C1也要設定一個最小下屆,畢竟如果C12和C1太小的話對整個的置信度值的影響也是很大的。
References 1. NVD Homepage. https://nvd.nist.gov/. Accessed 14 Sept 2014 2. CVE Homepage. https://cve.mitre.org/. Accessed 14 Sept 2014 3. CWE Homepage. https://cwe.mitre.org/. Accessed 14 Sept 2014 4. CVSS Homepage. https://www.fifirst.org/cvss/. Accessed 14 Sept 2014 5. CPE Homepage. https://cpe.mitre.org/. Accessed 14 Sept 2014 6. Iannacone, M.D., et al.: Developing an ontology for cyber security knowledge graphs. CISR15, 12 (2015) 7. Undercofer, J., Joshi, A., Finin, T., Pinkston, J.: A target-centric ontology for intrusion detection. In: Workshop on Ontologies in Distributed Systems, held at The 18th International Joint Conference on Artifificial Intelligence (2003) 8. More, S., Matthews, M., Joshi, A., Finin, T.: A knowledge-based approach to intrusion detection modeling. In: 2012 IEEE Symposium on Security and Privacy Workshops, pp. 75– 81. IEEE (2012) 9. Syed, Z., Padia, A., Finin, T., Mathews, L., Joshi, A.: UCO: a unifified cybersecurity ontology. In: Workshops at the Thirtieth AAAI Conference on Artifificial Intelligence (2016) 10. Du, D., et al.: Refifining traceability links between vulnerability and software component in a vulnerability knowledge graph. In: Mikkonen, T., Klamma, R., Hernández, J. (eds.) ICWE 2018. LNCS, vol. 10845, pp. 33–49. Springer, Cham (2018). https://doi.org/10.1007/978-3- 319-91662-0_3 11. Jia, Y., Qi, Y., Shang, H., Jiang, R., Li, A.: A practical approach to constructing a knowledge graph for cybersecurity. Engineering 4(1), 53–60 (2018) 12. Liao, X., Yuan, K., Wang, X.F., Li, Z., Xing, L., Beyah, R.: Acing the IOC game: toward automatic discovery and analysis of open-source cyber threat intelligence. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, pp. 755– 766. ACM (2016) 13. Gasmi, H., Bouras, A., Laval, J.: LSTM recurrent neural networks for cybersecurity named entity recognition. In: ICSEA 2018, p. 11 (2018) 14. Joshi, A., Lal, R., Finin, T., Joshi, A.: Extracting cybersecurity related linked data from text. In 2013 IEEE Seventh International Conference on Semantic Computing, pp. 252–259. IEEE (2013) 15. Alqahtani, S.S., Eghan, E.E., Rilling, J.: SV-AF—a security vulnerability analysis framework. In: 2016 IEEE 27th International Symposium on Software Reliability Engineering (ISSRE), pp. 219–229. IEEE (2016) 16. Narayanan, S.N., Ganesan, A., Joshi, K., Oates, T., Joshi, A., Finin, T.: Early detection of cybersecurity threats using collaborative cognition. In: 2018 IEEE 4th International Conference on Collaboration and Internet Computing (CIC), pp. 354–363. IEEE (2018) 17. Han, Z., Li, X., Liu, H., Xing, Z., Feng, Z.: DeepWeak: reasoning common software weaknesses via knowledge graph embedding. In: 2018 IEEE 25th International Conference on Software Analysis, Evolution and Reengineering (SANER), pp. 456–466. IEEE (2018) 18. Mendes, P.N., Jakob, M., García-Silva, A., Bizer, C.: DBpedia spotlight: shedding light on the web of documents. In: Proceedings of the 7th International Conference on Semantic Systems, pp. 1–8. ACM (2011) 19. Cheikes, B.A., Cheikes, B.A., Kent, K.A., Waltermire, D.: Common platform enumeration: naming specifification version 2.3. US Department of Commerce, National Institute of Standards and Technology (2011) 20. Chains and Composites. https://cwe.mitre.org/data/reports/chains_and_composites.html. Accessed 14 Sept 2014 21. Pingle, A., Piplai, A., Mittal, S., Joshi, A.: RelExt: relation extraction using deep learning approaches for cybersecurity knowledge graph improvement. arXiv preprint arXiv:1905. 02497 (2019)