本发明专利技术公开一种异构漏洞扫描器数据归一化处理装置,其包括:异构数据解析模块,其配置来对异构漏洞扫描数据进行数据解析;异构漏洞扫描数据归一化模块,其配置来对基础数据流中的漏洞数据进行归一化处理;标准漏洞库,其配置来存储标准的漏洞数据信息;关联规则库,其配置来存储异构漏洞数据与标准漏洞库漏洞数据的关联关系。本发明专利技术通过自动化归一化处理,将漏洞扫描数据进行自动化归一化处理,因此这种异构漏洞扫描器数据归一化处理装置成功解决了原本人工分析的高误报、高漏报、高成本、低效率的问题。还提供了一种采用这种装置的方法。
【技术实现步骤摘要】
本专利技术涉及安全数据可视化及分析的
,具体地涉及一种异构漏洞扫描器数据归一化处理装置,以及处理方法。
技术介绍
在信息安全领域,漏洞数据可视化管理及分析属于新兴细分领域。该领域目标是将原本独立、异构的网络漏洞扫描设备的漏洞数据进行提取,然后将异构数据进行归一化处理,然后自动化输出统一、标准、多维的数据对用户进行展示,为用户提供统一分析及管理平台。目前,在业内安全数据归一化处理上,没有形成完整可行的自动化解决方案,在面对异构漏洞数据,依旧停留在人工分析阶段,人工分析时相关分析人员通过经验判断进行分析,通过人工分析会存在高误报,高漏报等严重问题。当数据标准化阶段存在误报和误报的情况,会造成数据失真,使后期的整体数据分析变得毫无意义。人工分析也给相关组织和行业带来高昂的人工成本和珍贵的时间成本。
技术实现思路
本专利技术的技术解决问题是:克服现有技术的不足,提供一种异构漏洞扫描器数据归一化处理装置,其成功解决了原本人工分析的高误报、高漏报、高成本、低效率的问题。本专利技术的技术解决方案是:这种异构漏洞扫描器数据归一化处理装置,其包括:异构数据解析模块,其配置来对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;异构漏洞扫描数据归一化模块,其配置来对基础数据流中的漏洞数据进行归一化处理:第一种是对具备CVE编号的漏洞数据,将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理;第二种是对不具备CVE编号的漏洞数据,将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;标准漏洞库,其配置来存储标准的漏洞数据信息,通过CVE编号或漏洞数据唯一标识进行关联匹配操作,将关联成功的漏洞数据展现,该漏洞库中的漏洞信息均为最终标准的漏洞数据;关联规则库,其配置来存储异构漏洞数据与标准漏洞库漏洞数据的关联关系,每一个厂商的漏洞扫描器对于漏洞数据都有唯一标识编号,该规则库将唯一标识编号和标准漏洞库中的漏洞标识进行关联,用于不具备CVE编号的漏洞数据进行归一化处理。本专利技术通过自动化归一化处理,将漏洞扫描数据进行自动化归一化处理,因此这种异构漏洞扫描器数据归一化处理装置成功解决了原本人工分析的高误报、高漏报、高成本、低效率的问题。还提供了一种采用这种装置的方法,其包括以下步骤:(1)对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;(2)判断基础数据流中的漏洞数据是否具备CVE编号,是则执行步骤(3),否则执行步骤(4);(3)将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理,跳转步骤(5);(4)将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;(5)形成标准化的漏洞扫描数据。附图说明图1是根据本专利技术的异构漏洞扫描器数据归一化处理装置的功能模块示意图。图2示出了根据本专利技术的异构漏洞扫描数据归一化处理的流程图。图3示出了根据本专利技术的异构漏洞扫描数据归一化处理的更详细的流程图。具体实施方式下文中的英文简称含义分别为:CVE:CommonVulnerabilitiesandExposures公共漏洞和暴露CWE:CommonWeaknessEnumeration通用弱点枚举CVSS:CommonVulnerabilityScoringSystem通用漏洞评分系统RDP:RemoteDesktopProtocol远程桌面协议CNVD:ChinaNationalVulnerabilityDatabase国家信息安全漏洞共享平台CNNVD:ChinaNationalVulnerabilityDatabaseofInformationSecurity中国国家信息安全漏洞库BID:BugtraqIDBugtraq一个漏洞邮件列表如图1所示,这种异构漏洞扫描器数据归一化处理装置,其包括:异构数据解析模块,其配置来对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;异构漏洞扫描数据归一化模块,其配置来对基础数据流中的漏洞数据进行归一化处理:第一种是对具备CVE编号的漏洞数据,将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理;第二种是对不具备CVE编号的漏洞数据,将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;标准漏洞库,其配置来存储标准的漏洞数据信息,通过CVE编号或漏洞数据唯一标识进行关联匹配操作,将关联成功的漏洞数据展现,该漏洞库中的漏洞信息均为最终标准的漏洞数据;关联规则库,其配置来存储异构漏洞数据与标准漏洞库漏洞数据的关联关系,每一个厂商的漏洞扫描器对于漏洞数据都有唯一标识编号,该规则库将唯一标识编号和标准漏洞库中的漏洞标识进行关联,用于不具备CVE编号的漏洞数据进行归一化处理。本专利技术通过自动化归一化处理,将漏洞扫描数据进行自动化归一化处理,因此这种异构漏洞扫描器数据归一化处理装置成功解决了原本人工分析的高误报、高漏报、高成本、低效率的问题。优选地,异构数据解析模块,其将异构扫描数据中关键的资产相关数据、端口及协议相关数据、漏洞相关数据提取,并且将重复数据进行合并去重处理,将异构来源数据规范成标准的数据格式和内容。优选地,标准的漏洞数据信息包括:漏洞名称,漏洞严重性等级,漏洞介绍,整改建议,影响产品,CVE编号,CWE编号,引用信息。如图2、3所示,还提供了一种采用这种装置的方法,其包括以下步骤:(1)对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;(2)判断基础数据流中的漏洞数据是否具备CVE编号,是则执行步骤(3),否则执行步骤(4);(3)将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理,跳转步骤(5);(4)将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;(5)形成标准化的漏洞扫描数据。优选地,所述步骤(1)中将异构扫描数据中关键的资产相关数据、端口及协议相关数据、漏洞相关数据提取,并且将重复数据进行合并去重处理,将异构来源数据规范成标准的数据格式和内容。优选地,所述步骤(3)中标准漏洞库的标准的漏洞数据信息包括:漏洞名称,CVE编号,关联编号,漏洞严重性等级,公开时间,漏洞介绍,影响产品,整改建议,验证信息,提交时间,CNNVD编号,CNVD编号,BID编号,CWE编号,引用,漏洞类型,整改类型,CVSS向量,CVSS分值,验证平台,威胁类型。以下更详细地说明本专利技术。漏洞扫描器是一种常见的网络安全检测装置,通过网络协议对目标信息资产进行扫描,目标是将目标本文档来自技高网...
【技术保护点】
一种异构漏洞扫描器数据归一化处理装置,其特征在于:其包括:异构数据解析模块,其配置来对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;异构漏洞扫描数据归一化模块,其配置来对基础数据流中的漏洞数据进行归一化处理:第一种是对具备CVE编号的漏洞数据,将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理;第二种是对不具备CVE编号的漏洞数据,将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;标准漏洞库,其配置来存储标准的漏洞数据信息,通过CVE编号或漏洞数据唯一标识进行关联匹配操作,将关联成功的漏洞数据展现,该漏洞库中的漏洞信息均为最终标准的漏洞数据;关联规则库,其配置来存储异构漏洞数据与标准漏洞库漏洞数据的关联关系,每一个厂商的漏洞扫描器对于漏洞数据都有唯一标识编号,该规则库将唯一标识编号和标准漏洞库中的漏洞标识进行关联,用于不具备CVE编号的漏洞数据进行归一化处理。
【技术特征摘要】
1.一种异构漏洞扫描器数据归一化处理装置,其特征在于:其包括:异构数据解析模块,其配置来对异构漏洞扫描数据进行数据解析,得到统一的数据格式,作为异构漏洞扫描数据归一化处理模块的基础数据流;异构漏洞扫描数据归一化模块,其配置来对基础数据流中的漏洞数据进行归一化处理:第一种是对具备CVE编号的漏洞数据,将该漏洞数据中的CVE编号进行提取,并且通过该CVE编号与标准漏洞库进行匹配关联,成功关联之后,该漏洞数据完成归一化处理;第二种是对不具备CVE编号的漏洞数据,将该漏洞数据唯一标识特征提取,与标准关联规则库进行关联匹配,匹配成功之后再与标准漏洞库进行关联匹配,该漏洞数据完成归一化处理;标准漏洞库,其配置来存储标准的漏洞数据信息,通过CVE编号或漏洞数据唯一标识进行关联匹配操作,将关联成功的漏洞数据展现,该漏洞库中的漏洞信息均为最终标准的漏洞数据;关联规则库,其配置来存储异构漏洞数据与标准漏洞库漏洞数据的关联关系,每一个厂商的漏洞扫描器对于漏洞数据都有唯一标识编号,该规则库将唯一标识编号和标准漏洞库中的漏洞标识进行关联,用于不具备CVE编号的漏洞数据进行归一化处理。2.根据权利要求1所述的异构漏洞扫描器数据归一化处理装置,其特征在于:异构数据解析模块,其将异构扫描数据中关键的资产相关数据、端口及协议相关数据、漏洞相关数据提取,并且将重复数据进行合并去重处理,将异构来源数据规范成标准的数据格式和内容。3.根据权利要求2所述的异构漏洞扫描器数据归一化处理装置,...
【专利技术属性】
技术研发人员:陈彪,王兆蒙,
申请(专利权)人:北京智言金信信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。