風險評估論文閱讀分析：真正該更新的，不只是漏洞清單，而是攻擊路徑此刻到底有沒有開始活起來

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Dynamic Risk Assessment by Bayesian Attack Graphs and Process Mining
• 作者：Francesco Vitale、Angelo Ferrando、Emanuele Frontoni、Antonio Vetrò
• 年份：2026
• 來源：arXiv:2604.18080
• 論文連結：https://arxiv.org/abs/2604.18080
• DOI：10.48550/arXiv.2604.18080
• 主題：Attack Graph、Bayesian Network、Process Mining、Dynamic Risk Assessment、Vulnerability Exploitation、Security Monitoring

這篇 paper 我覺得最值得看的地方，不是它又把 attack graph 拿出來重新畫一次，而是它很準地補了一個藍隊世界一直都有的斷層：很多風險模型很會描述「理論上哪條路能被打通」，但不太會回答「現在到底有沒有真的開始被打」。

這正是很多 vulnerability management、exposure management、甚至 SOC 風險溝通最痛的地方。CVSS、EPSS、attack graph 都很有用，但它們常常更像是先驗地圖；真正進到營運現場，你還是會想問：某個已知 CVE 此刻是不是正在被沿著某個攻擊步驟實際利用？某條 lateral movement path 的風險，是否因為眼前流量行為開始變得更像 exploitation 而升高？

這篇論文的核心價值，就是把這件事做成一條比較像樣的閉環：用 process mining 從網路行為裡抓 exploitation evidence，再把這些 evidence 餵回 Bayesian Attack Graph，讓風險不是只停在靜態表格，而是會隨監測結果更新。

它想解的不是「哪個洞嚴不嚴重」，而是「哪條攻擊路徑現在是不是開始活了」

作者一開始就點到一個很實務的問題：傳統 attack graph 雖然能幫你看多步攻擊路徑，但節點與邊上的機率通常還是靠 CVSS 這類靜態資訊來估。這當然有參考價值，但有兩個現實限制：

• CVSS 不直接等於 exploitation probability，更不等於「眼前正在被打」
• 很多模型缺乏 live evidence ingestion 能力，只能在圖上算，不太會隨著現場行為變化

所以作者把問題重新定義成：如果我們已經知道網路裡有哪些主機、有哪些已知 CVE、可能有哪些 attack path，那能不能再進一步透過觀察真實流量中是否出現特定 exploitation pattern，去動態更新圖上的風險？

這個 framing 很對。因為資安營運真正要的通常不是更漂亮的 static score，而是一種會隨證據移動的 compromise likelihood。

作者怎麼做？兩段式架構其實很清楚

整個方法分成兩個階段：

1. Offline system characterization
2. Online monitoring

Offline 階段先做幾件事：

• 盤點網路中的裝置、軟體與已知漏洞
• 根據 pre-condition / post-condition 建 attack graph
• 把 attack graph 轉成 Bayesian Attack Graph（BAG），在節點上放 Conditional Probability Table
• 實際重演各個 CVE 對應的攻擊，錄下惡意流量
• 用 process mining 把這些攻擊流量轉成 process model 與 alignment distribution

Online 階段則是：

• 持續擷取目前網路流量
• 把新流量轉成 event logs
• 和離線建立好的 exploitation process models 做 conformance / similarity 比對
• 把相似度當成「此漏洞可能正被利用」的 evidence
• 更新 BAG 的 CPT，再做 Bayesian inference，算出攻擊者抵達高價值節點的 posterior probability

換句話說，這篇不是單純做 anomaly detection，也不是單純做 attack graph modeling，而是想把兩邊接起來：讓 attack path 的風險估計，不再只依賴漏洞資料庫，而是會吃進 runtime behavior。

這篇最有意思的地方：它把「流量像不像 exploitation」變成風險模型可用的證據

我覺得這篇最值得記住的技術點，是它沒有停在「process mining 可以看網路流程」這種抽象說法，而是把它明確地接到 BAG 的更新機制上。

作者先用 process mining 去描述某個漏洞被利用時的網路行為模式，再把線上觀測到的流量和這些模式做 alignment comparison，最後用 cosine similarity 量化兩者接近程度。相似度越高，就代表目前流量越像是該漏洞正在被 exploit。

這件事的重要性在於，它把很多原本只能留在 analyst 腦中的判斷——例如「這段流量看起來真的很像 exploitation sequence」——壓成一個可以進 Bayesian 推論鏈的 evidence signal。

對藍隊來說，這比只靠一個單點 alert 更有意思，因為它關心的是：

• 攻擊是不是沿著特定漏洞路徑展開
• 不同節點的 compromise likelihood 是否開始連動升高
• 高價值資產被打到的後驗機率是否已經進入該升級處置的區間

也就是說，它不是只在做 detection，而是在做evidence-aware path risk updating。

實驗設計雖然不大，但很實戰導向

作者搭了一個企業網路 testbed，有 employee network、DMZ、internal network，並挑了幾個經典漏洞串成可行 attack path，包括：

• CVE-2023-0600：WordPress plugin SQL injection
• CVE-2019-15107：Webmin command injection
• CVE-2010-2075：UnrealIRCd backdoor
• CVE-2011-2523：vsftpd 2.3.4 backdoor

這個選法其實蠻聰明的，因為它不是只用單機單洞做玩具示範，而是試著模擬一條從較外圍節點往內部高價值目標推進的多步攻擊鏈。這正是 attack graph 真正有價值的地方：不是看單點有沒有洞，而是看洞如何接成路。

論文的結果顯示，process mining 的相似度訊號確實能幫助系統判斷漏洞是否正在被利用，並進一步更新目標節點被 compromise 的機率。作者主張，這種方法能比單靠靜態 BAG 更接近「當前狀態下的動態風險」。

我最認同的地方：它補的是 exposure model 和 operational reality 之間的落差

如果把這篇放回近年的 attack graph / exposure management 脈絡裡看，它做的其實不是顛覆式創新，而是補上最該補的一塊：先驗風險圖譜，如何跟即時觀測證據接軌。

很多團隊今天其實已經能畫 exposure path，也能把 CVE、EPSS、asset criticality、reachability 全部接起來，但最後最難回答的問題仍然是：

「現在這條 path 到底只是理論上可行，還是現場真的開始動了？」

這篇 paper 的價值，就在於它試圖讓答案不只來自人類 analyst 的直覺，而是來自一條可以重複運作的 evidence pipeline。

它也提醒了一件事：很多風險評分之所以失真，是因為它們太少吃 runtime context

這篇雖然沒有直接批判 CVSS / EPSS，但它隱含講得很清楚：如果風險分數長期只依賴漏洞靜態屬性，而沒有把 runtime behavior 拉進來，那它對 incident-time decision making 的支撐就一定有限。

這跟很多 SOC 的日常痛點完全一致。你可能知道某台主機上有高風險 CVE，也知道某條路徑 reachable，但真正要不要在今天晚上把人叫起來、要不要立即隔離、要不要先動哪條偵測規則，常常取決於現在是否看見某種 exploitation evidence，而不是那顆洞昨天的 CVSS 是 9.8 還是 8.8。

這也是為什麼我覺得這篇對 vulnerability operations、attack path management、continuous exposure management 這些領域都蠻有參考價值。它不是在談更神的 score，而是在談score 如何開始跟 evidence 一起呼吸。

限制當然也很明顯

這篇不是沒有邊界。幾個限制其實很值得先記住：

• 需要先離線重演攻擊並建立 process model，對未知攻擊或未建模 exploit 不一定有用
• 測試環境規模有限，離真實大型企業網路還有距離
• 流量特徵與 process mining pipeline 的泛化能力，在不同協定、加密流量、混雜背景噪音下可能會受挑戰
• 每個節點單一漏洞的簡化假設，離真實世界多洞交疊、多種弱點並存的狀態仍有差距

但這些限制不會讓我覺得它沒價值，反而讓它看起來比較像一個有方向感的系統雛形。它沒有假裝自己已經能解整個 enterprise detection-and-response，而是先把最重要的橋搭起來：從 exploit pattern evidence 走回 compromise probability。

我的看法

如果你平常關心的是 attack path management、exposure validation、SOC 風險量化，這篇值得看。它最有啟發性的地方不在某個單一演算法，而在它提出了一種很健康的思路：

真正有營運價值的風險評估，不該只是一張靠漏洞資料庫養出來的靜態地圖，而應該是一張會隨著現場行為證據不斷修正的活地圖。

很多團隊真正缺的，也許不是再多一個 CVE 分數，而是把網路上的「可觀測 exploitation 痕跡」轉成路徑層級的風險更新能力。這篇 paper 做的，就是把這件事往前推一步。

簡單講，它提醒我們：風險不該只靠漏洞存在與否來想，還該靠攻擊是否真的開始沿著那條路走來判斷。 而這種從「有洞」走到「正在被打」的差距，往往正是防守成敗的分水嶺。