這項由盧森堡電腦事件響應中心(CIRCL)開展的研究,以預印本形式發布於2026年4月17日,arXiv編號為2604.16038,研究日期標註為2025年11月5日。有興趣深入了解的讀者可通過arXiv編號2604.16038查詢完整論文。
一、安全世界裡的"天氣預報"難題
每天,網際網路上都在發生數以百計的軟體漏洞被公開、被討論、被利用的事件。對於網路安全工作者來說,最頭疼的問題不是漏洞多,而是不知道哪個漏洞會在什麼時候突然爆發成大規模攻擊。這就好比氣象局不僅要知道今天有多少朵雲,還要預判哪朵雲會在三天後變成暴風雨。
盧森堡電腦事件響應中心的研究團隊正在做的,就是這樣一種"網路安全天氣預報"的工作。他們的研究目標是預測"漏洞目擊事件
"——也就是某個軟體漏洞被外界注意到、被討論到、甚至被實際攻擊利用的可見信號——未來幾天會出現多少次。這些信號包括:有人在網上發布了針對某漏洞的攻擊演示代碼(通稱PoC,即概念驗證代碼)、安全掃描工具新增了對該漏洞的檢測模板、或者有人在去中心化社交平台Fediverse上討論了這個漏洞。
研究團隊在此前已經開發了一個名為VLAI的人工智慧模型。VLAI基於RoBERTa這種語言理解技術,能夠僅憑漏洞的文字描述就預測出該漏洞的嚴重程度評分,訓練數據超過60萬條真實漏洞記錄。這次新的研究,就是在VLAI的基礎上更進一步:把嚴重程度評分當作一個參考變量,嘗試用多種統計和概率模型來預測漏洞目擊事件的數量走勢。
核心挑戰在於數據的兩個特性:稀疏性和爆發性。大多數漏洞在大多數時間裡幾乎沒有任何目擊記錄,只有零星的一兩條,然後在某個特定時刻,可能因為一段攻擊代碼的發布或一篇熱門文章的傳播,目擊數量突然飆升,隨後又迅速沉寂。這種模式就像沙漠裡偶爾出現的暴雨——平時滴雨不落,爆發時汪洋一片,任何依賴"平穩趨勢"的預測工具都會在這裡碰壁。
二、第一把鑰匙試錯了:SARIMAX模型的困境
研究團隊首先嘗試了統計學領域最經典的時間序列預測工具之一——SARIMAX模型。可以把SARIMAX理解成一種"歷史規律外推機":它通過分析過去一段時間的數據走勢,找出其中的自相關規律、季節性周期和外部因素的影響,然後順著這條規律線向未來延伸,預測接下來會發生什麼。
研究團隊首先嘗試了帶有季節性成分的完整SARIMAX版本,並對每日目擊數量做了對數變換處理——這是一種常見的數學技巧,可以把那些偶爾出現的極大值"壓縮"得更平穩,避免模型被個別峰值帶偏。然而結果令人沮喪:模型給出的預測有時出現了負數(漏洞目擊數量怎麼可能是負數?),置信區間寬得像海灣一樣,涵蓋了從接近零到幾十甚至幾百的整個範圍,根本毫無參考價值。
這個失敗其實在意料之中。SARIMAX天生就假設你的數據是"比較平滑的",有一定的自相關性和可辨認的周期結構。但漏洞目擊數據完全不符合這些假設——大部分時間是零,偶爾出現的幾個峰值完全是隨機的、事件驅動的。SARIMAX面對這樣的數據,就像讓一位擅長預測海浪的氣象學家去預測沙漠暴風雨一樣,工具和場景根本不匹配。
研究團隊隨後簡化了方案,去掉季節性成分,只保留基本的自回歸結構,並引入了VLAI嚴重程度評分作為外生變量(一種"輔助參考因素")。具體做法是:把每天的漏洞目擊總數加一後取對數作為預測目標,把每天的VLAI評分作為輔助輸入(由於漏洞公開後評分幾乎不變,所以在預測階段使用近期平均評分作為未來值)。這樣做的邏輯是:嚴重程度越高的漏洞,是否會吸引更多的目光和討論?
結果有所改善,但本質問題依然存在。當訓練數據只有10到15天時,SARIMAX依然容易過擬合——也就是被訓練數據中的某個突然峰值"嚇到",然後預測後續會出現急劇下跌甚至負值。研究人員發現,SARIMAX想要穩定運作,通常需要50到100個觀測數據點。對於大多數漏洞來說,積累50天以上的目擊數據本身就是一件奢侈的事情。關於VLAI評分作為輔助變量的效果,結論也不樂觀——因為嚴重程度評分一旦公布就基本保持不變,幾乎沒有隨時間變化的資訊,模型很難從中學到有用的東西。
值得一提的是,SARIMAX並非一無是處。研究團隊引用了另一項研究(Vuln4Cast)的經驗,指出當面對的是"整體漏洞數量的宏觀趨勢"而非"單個漏洞的微觀動態"時,SARIMAX是可以發揮作用的。換句話說,當數據量足夠大、時間序列足夠長,這把鑰匙仍然能開某些門,只是不適合眼前這扇門。
三、第二把鑰匙更合適:泊松回歸的登場
既然SARIMAX在稀疏計數數據面前頻繁失手,研究團隊轉向了一種更符合數據本質的方法——泊松回歸。
泊松回歸的設計初衷就是處理"計數數據",也就是那些只能是非負整數的量:0次、1次、2次……永遠不可能是-3次或0.7次。這就像預測一天內某個路口發生多少起交通事故,或者一小時內某個伺服器收到多少條請求。漏洞目擊數量天然就是這種數據,泊松回歸對它來說像是量身定做的衣服。
該模型的另一個優勢是可以自然地納入協變量——比如漏洞公開後經過了多少天、VLAI評分是多少——來幫助解釋目擊數量為何高或低。而且由於泊松回歸預測的是一個概率分布的均值,輸出結果天然是非負數,不會出現SARIMAX那種荒謬的負值預測。
研究團隊把這種方法應用到了每月漏洞報告中目擊數量最多的那些高關注漏洞上,觀察到了比ARIMA系列方法更合理的預測結果。預測值保持在非負範圍內,趨勢判斷也更貼近實際觀測。不過泊松回歸也有自己的局限:它同樣依賴足夠的數據,在數據極度稀疏時會出現"欠分散"(方差比均值小)或"過分散"(方差比均值大)的情況,而標準泊松模型假設方差等於均值,這個假設在現實中經常被違反。當出現過分散時,需要改用"負二項回歸"這個升級版本來處理。
研究團隊還觀察到泊松回歸的一個有趣缺點:當漏洞目擊數量突然急劇下降時,泊松模型往往反應遲鈍,預測曲線仍然保持著上升或平穩的勢頭,未能及時捕捉到這種急轉直下的信號。這個現象在CVE-2025-59287的實驗中尤為明顯——當截取2025年11月1日之前的數據來模擬"未來預測"時,模型的預測增長幅度比實際情況要強得多,最終高估了後續的目擊數量。
四、兩把備用鑰匙:指數衰減與邏輯增長
面對複雜的統計模型在短數據面前頻頻碰壁的現實,研究團隊探索了兩種更簡潔、更直覺化的數學工具。
第一種是指數衰減模型。這個模型的邏輯非常符合直覺:漏洞被公開後,最初會引發大量關注和討論,然後隨著時間推移,熱度慢慢消退,目擊數量呈現出類似放射性衰變的曲線——起點高,然後以一定速率持續減少,最終趨向某個較低的基礎水平。用一個生活中的類比來說,就像一首新歌剛發布時播放量暴增,然後逐漸回落到日常水準。數學上,這個曲線由三個參數決定:初始幅度、衰減速率,以及最終趨近的基礎水平。這種模型特別適合那些"已經過了爆發高峰期"的漏洞,對於仍在上升階段的漏洞則不太適用。
第二種是邏輯增長模型,俗稱S型曲線。這個模型描述的是另一種典型模式:漏洞剛被公開時,目擊數量從零開始緩慢增加,然後在某個時間點突然加速,像滾雪球一樣快速攀升,最後到達一個上限後趨於平穩。這個模式捕捉的是"爆發-平穩"的動態,特別適合剛剛發布或正在成為熱點的漏洞。邏輯模型有三個關鍵參數:最終能達到的目擊數量上限L、增長速率k,以及增長最快的那一天t?(專業術語叫"拐點")。
在CVE-2025-61932的實驗中,研究團隊展示了一個很有說服力的測試:用截止到2025年11月1日的數據來訓練邏輯模型,然後預測此後的目擊數量。對比實際發生的數據,預測結果相當合理——雖然不能精確命中每一天的數字,但整體趨勢判斷是正確的,預測的目擊數量維持在低位穩定狀態,與實際情況基本吻合。
五、最聰明的策略:讓模型自己選擇自己
研究團隊提出了一個頗具實用智慧的自適應方案。既然指數衰減適合"正在下降的漏洞",而邏輯增長適合"正在上升的漏洞",何不讓系統自動判斷當前漏洞處於哪個階段,然後自動選擇合適的模型?
具體做法是分析近期目擊數量的線性斜率——也就是最近幾天的數據趨勢是上升還是下降。如果斜率為正(目擊數量在增加),就選用邏輯增長模型;如果斜率為負(目擊數量在下降),就選用指數衰減模型。選定模型後,再通過曲線擬合估計具體參數,最後向未來10天延伸做出預測。
在CVE-2025-59287的實驗中,這個自適應策略的表現令人滿意。當研究團隊用截至2025年11月1日的數據測試時,泊松回歸預測漏洞目擊數量將繼續上升,但自適應策略識別出了下降趨勢,正確地切換到指數衰減模型,給出了更貼近真實情況的預測。這種"因地制宜"的思路,比盲目堅持某一種模型要靈活得多。
六、三個真實漏洞的實地檢驗
研究團隊選取了三個真實漏洞來驗證上述所有方法的實際表現,選擇依據是多樣性:既有近期新出現的漏洞,也有已經被持續跟蹤多年的老漏洞。
CVE-2025-61932是一個2025年10月才被公開的漏洞。從目擊記錄來看,它呈現出典型的爆發-衰減模式:在公開後的最初幾天裡出現了若干次數達十幾次的目擊高峰,隨後逐漸回落到每天兩三次的水平。SARIMAX模型在這個案例上展現出了所有典型問題——預測線基本貼著零軸蜿蜒,置信區間像喇叭口一樣越來越寬,完全沒有實用價值。相比之下,泊松回歸和指數衰減模型都給出了基本合理的預測:預測曲線從歷史數據的尾部開始,呈現出緩慢下降趨向低位穩定的形態,與實際觀察到的趨勢相符。
CVE-2025-59287則是一個在2025年10月中旬公開、目擊記錄更加豐富的漏洞。它最引人注目的特徵是一個極端的單日峰值:某一天的目擊數量突然飆升到超過50次,之後又迅速回落。SARIMAX面對這個數據集依然一敗塗地,置信區間寬達幾百次,完全無法給出有意義的預測範圍。泊松回歸在這個案例上表現相對較好,能夠擬合出整體的趨勢走勢,但在試圖預測"未來某段時間"時,因為無法感知到即將到來的下降趨勢,最終高估了後續的目擊數量。自適應策略在這裡做出了正確判斷,選擇了指數衰減模型,給出的預測比泊松回歸更接近實際情況。
CVE-2022-26134是一個來自2022年的老漏洞,因為長期被攻擊者利用而在Shadowserver等掃描數據源中積累了超過三年的目擊記錄。這個案例的數據特點完全不同:目擊數量每天基本保持在1次左右,偶爾在2024年底和2025年出現一些小幅波動,但整體非常平穩。對於這種長期、低強度、持續被監測的漏洞,邏輯模型表現出了令人驚喜的穩健性——它基本上不被近期的小幅波動所干擾,預測線穩定地延續了歷史的平穩走勢。泊松回歸在這個案例中使用了周度聚合數據(把每周的目擊數量加總),同樣給出了相對合理的結果,但指數衰減模型在這裡則不太適用,因為數據根本沒有明顯的衰減趨勢。
七、研究團隊給出的實操建議
基於上述所有實驗的得與失,研究團隊提煉出了一套面向實際操作的建議。
他們強調,數據質量和數量是一切預測的前提。在數據極度稀疏的情況下,連泊松模型也會力不從心,因此應當儘可能把來自多個渠道的目擊數據整合在一起——漏洞利用資料庫、Fediverse上的討論、掃描工具的檢測記錄等等——來豐富每個漏洞的數據積累。對於那些剛剛公開、數據點只有十來個的新漏洞,簡單的滾動平均或者指數衰減模型往往比SARIMAX這類複雜模型更可靠。
在數據預處理方面,需要特別警惕極端值和數據質量問題:某天突然出現幾十次目擊,可能是真實的爆發,也可能是數據重複上報或收集系統故障。對於這類異常值,可以採用對數變換(即前述的log(x+1)技巧)或者數值截斷的方式降低其對模型的干擾。如果模型開始給出負值預測,這是一個清晰的警告信號,提示你應該切換到泊松等非負計數模型。
關於SARIMAX的使用場景,研究團隊明確建議:把它保留給那些能夠積累數月乃至數年觀測數據的漏洞,比如從Shadowserver等持續掃描項目中獲取到長期記錄的已知高危漏洞。對於這類長期數據充足的場景,SARIMAX可以施展其真正的實力。
八、未來還想做什麼
研究團隊在論文末尾展望了幾個方向,值得一提。
他們計劃在實際的漏洞情報系統(Vulnerability-Lookup)中部署一個實時更新的預測模組,使預測結果能夠隨著每天新到達的目擊數據自動調整,而不是像目前這樣做離線的批量分析。他們還希望引入異常檢測能力,當某天的目擊數量出現不尋常的突然變化時,系統能夠自動識別並據此選擇或切換預測模型。
另一個重要的改進方向是對不同類型的目擊記錄進行區分處理。目前所有目擊都被等同對待,但"只是有人提到了這個漏洞"和"這個漏洞被確認正在被實際利用"顯然有著本質的不同。研究團隊希望把目擊類型(看見、確認、已被利用等)和VLAI嚴重程度評分結合起來,建立更精細的預測模型,最終能夠估計某個漏洞從"被討論"演變為"被大規模利用"的可能性和時間窗口。
說到底,這項研究的核心貢獻在於誠實地面對了一個被很多人迴避的現實:網路安全領域的數據往往又少又亂,而我們又偏偏需要在數據最少的時候(漏洞剛公開的那幾天)做出最關鍵的判斷。通過系統地測試和對比多種預測方法,研究團隊不僅為同類研究提供了一份詳細的"踩坑地圖",也為實際操作中的安全分析師給出了具體可行的建議:別迷信複雜模型,先從簡單方法入手,根據數據的實際情況靈活切換策略。在數據貧瘠的荒漠裡,最聰明的導航工具往往是最樸素的那一個。對於那些在企業或機構中負責漏洞優先級管理的安全團隊來說,這種"知道什麼模型在什麼條件下會失效"的清醒認知,本身就是一種寶貴的實用知識。感興趣的讀者可以通過arXiv編號2604.16038查閱完整論文,研究代碼也已在GitHub上以特定提交版本開放。
Q&A
Q1:漏洞目擊事件預測為什麼這麼難?
A:漏洞目擊數據有兩個讓預測極度困難的特性:稀疏性和爆發性。大多數漏洞在大多數時間裡幾乎沒有目擊記錄,數據全是零,但偶爾會因為一段攻擊代碼發布或一篇熱門文章,目擊數量突然在某一天飆升幾十倍,然後又迅速歸零。這種模式完全違反了經典預測模型(如SARIMAX)對數據"平穩性"和"周期性"的基本假設,因此那些在經濟預測等領域表現優秀的工具,在這裡會嚴重失效。
Q2:VLAI嚴重程度評分在漏洞目擊預測中起到了什麼作用?
A:VLAI是一個基於RoBERTa語言模型的人工智慧工具,能從漏洞的文字描述中自動預測嚴重程度評分。研究團隊嘗試把這個評分作為"輔助因素"納入SARIMAX預測模型,理論上嚴重程度越高的漏洞應該吸引更多關注。但實際效果有限,原因是漏洞公開後VLAI評分幾乎不再變化,缺乏隨時間波動的資訊,模型難以從中學到有預測價值的內容。
Q3:指數衰減和邏輯增長模型分別適合什麼情況?
A:指數衰減模型適合已經過了關注高峰、目擊數量正在持續下降的漏洞,它描述的是"熱度消退"的過程。邏輯增長模型(S型曲線)則適合剛剛公開或正在成為熱點的漏洞,它能捕捉"從無到有、快速爆發、然後趨於平穩"的典型傳播模式。研究團隊還提出了一種自適應策略:通過分析近期數據的上升或下降趨勢,自動選擇更合適的那個模型。
