论文题目：Vulnerability Intelligence Alignment via Masked Graph Attention Networks
论文作者：Yue Qin，Yue Xiao， Xiaojing Liao
发表会议：CCS '23: Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security
主题类型：威胁情报
笔记作者：田璇@Web攻击检测与追踪
主编：黄诚@安全学术圈

研究概述

当前网络安全漏洞信息分散在多个来源（如NVD、厂商公告、论坛等），但同一漏洞的描述在不同平台中存在差异，且许多漏洞缺乏统一标识（如CVE-ID）。这两种挑战使对齐漏洞实体信息变得困难。而审视现存的漏洞信息整合工作，尽管漏洞知识图谱和实体对齐技术在其他领域以及有了丰富的应用，但尚未有针对漏洞信息整合的相关研究。因此，作者提出了CEAM方法对齐非连续性的多漏洞数据源的信息。CEAM方法针对传统实体对齐方法在适应不同知识图谱的结构差异，传统GNN假设在跨平台漏洞数据中不成立等问题，提出了非对称掩码聚合方法和分区注意力机制。解决了漏洞信息对齐的独有挑战，实现了漏洞实体对齐的高精准度。

CEAM方法的框架如图1所示，使用了两层的GNN模型，包含了掩码属性聚合方法、分区注意力机制和对齐分类器。首先，将每个节点和其关系进行向量化后，使用拼接操作进行聚合，得到每个节点和其关系的向量化表示。通过掩码门控机制动态调整关系表示的权重，减少不一致属性的影响。对聚合之后的信息进行分区注意力计算，分别通过节点级注意力机制和关系级注意力机制对得到的向量进行打分，并依据分区注意力的结果聚合邻居信息，更新实体表示。最后使用一个分类器对候选实体和目标实体的向量进行比较，确定是否可以对齐。

图1 CEAM方法框架

贡献分析

• 贡献点1：论文针对漏洞实体对齐研究不足问题，提出了CEAM实体对齐模型，实现了跨漏洞库的漏洞不一致性识别应用；
• 贡献点2：论文针对漏洞实体对齐数据集缺失的问题，构建了首个网络安全领域实体对齐的标注数据集，揭示了传统实体对齐任务对漏洞实体对齐的差异；
• 贡献点3：论文针对漏洞实体对齐应用问题，探讨了CEAM的两个潜在应用，实现了(1)跨漏洞库补充漏洞描述信息，(2)纠正错误的漏洞描述；

代码分析

代码链接：https://sites.google.com/view/vulnerablity-ailignment/home

1. 使用类库分析：代码主要使用的外部类库为torch，dgl，numpy，sklearn，pandas等外部类库，这些外部类库全部都是开源的。同时代码也使用了模块化设计，定义了一系列工具类实现主要功能
2. 代码实现难度及工作量评估：从技术方面，代码实现了多种复杂的异构图神经网络，包含多种DNN模型变体，并涉及大量图数据的预处理和特征工程。作者的核心网络层就有500行代码，各类其他网络层也有200行左右的代码量，总的代码量较大。综上所述，论文代码实现难度较高，工作量较大。
3. 代码关键实现的功能（模块）：关键模块有图神经网络模型，异构图处理模块，特征处理模块，对齐模型模块和数据处理和评估模块。图神经网络用于实现基础GNN，图注意力网络，图卷积网络和异构图神经网络实现。异构图处理模块用于对异构图结构和数据进行处理。特征处理主要用于文本嵌入生成。对齐模型定义了实体对齐所使用的具体模型。数据处理和评估用于进行训练和测试流程。

论文点评

1. 数据集问题：论文所使用的数据集虽然使用了一个更接近于威胁情报和一个更接近于漏洞数据库两种数据集进行对齐，但是仅仅考虑了英文漏洞信息的对齐，而没有将其他语言的漏洞信息纳入考量，这造成了漏洞信息融合的局限性。同时随机采样负样本可能引入简单负例（如完全不同产品），未考虑难负例（如相似产品不同漏洞），低估模型实际挑战。以及论文数据集并没有考虑漏洞信息缺失或错误的情况，构造数据集时并没有进行相关的处理，导致实验效果和实际效果可能出现不一致性。因此，需要增加漏洞数据集丰富度，并且引入一定的缺失或错误数据，以保证真实性。

2. 模型设计问题：分区注意力机制主要使用超参数调节，而论文所使用的方法需要网格搜索选择最佳ε，未提供自动化调参方法，影响实际部署效率。同时，图神经网络自带的问题导致其难以适应复杂的异构神经网络，这限制了漏洞对齐时可以使用的信息条目，而这可能进一步导致漏洞对齐出现准确性问题。因此，需要更多引入语义级的信息用于漏洞信息对齐，加入大语言模型会对这种情况进行一定程度的改善。

安全学术圈招募队友-ing 
有兴趣加入学术圈的请联系 secdr#qq.com