支持漏洞关联性挖掘的漏洞自动分类方法技术

本发明专利技术涉及一种支持漏洞关联性挖掘的漏洞自动分类方法，属于信息安全技术领域。具体操作为：步骤一、构建一个漏洞数据库，收集漏洞记录。步骤二、确定特权集类别。步骤三、训练分类器。步骤四、测试数据。本发明专利技术提出的支持漏洞关联性挖掘的漏洞自动分类法与已有方法相比较，具有以下优点：①漏洞分类结果适合用于漏洞关联性挖掘；②类与类之间具有互斥性，且分级明显；③实现漏洞的自动分类，提升分类效率，节省人工成本。

【技术实现步骤摘要】
支持漏洞关联性挖掘的漏洞自动分类方法
本专利技术涉及一种支持漏洞关联性挖掘的漏洞自动分类方法，属于信息安全

技术介绍
网络安全脆弱性是指计算机系统中存在某些可能被恶意主体(攻击者或攻击程序)利用的安全漏洞，从而可能导致对系统资源的非授权访问或对系统造成其他损害。近年来逐渐发展成熟的脆弱性扫描技术及CVE(CommonVulnerabilities&Exposures，公共漏洞和暴露)标准与通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)漏洞评级方法，可以检测并发现网络中存在的脆弱点，但无法分析脆弱点之间的关联性与相互利用关系。而网络风险中的攻击手段往往是通过彼此关联的漏洞，从一个漏洞切入，逐步利用网络中与此相关的漏洞扩散至整个网络。因此研究挖掘漏洞之间的关联性有重大意义。漏洞关联图是一个描述漏洞间关联关系的有向图，它提供了一种形式化、系统化描述漏洞关联性的方法，能比较直观地反映出漏洞之间的关联关系。漏洞的关联往往体现在某低用户级L的攻击者通过成功地利用某个漏洞，获得一定的特权提升，从而在非授权的情况下达到了一个高用户级H的目的。现有的一种描述用户权限提升过程的方法是采用“特权”、“特权集”与“特权提升”的概念，利用决策树的方法将访问者与特权集集合起来，将访问者分为若干类，并将其拥有的特权集按重要程度设置一个量化的权值，比如在0-1之内的若干个小数。目前存在的漏洞分类法主要有普渡大学COAST实验室的Aslam提出的Unix操作系统分类法，分为操作故障、环境故障和编码故障，但由于没有具体的量化指标，无法评价漏洞的危害级别；哈工大的汪立东提出的软件弱点分类法，描述了漏洞对机密性、完整性和可用性等安全性的影响，Knight等人提出的广义分类法，将弱点分为社会工程、策略疏忽、逻辑错误和软件漏洞四种类型，由于一定程度上的概念模糊，类与类之间不具备互斥性。以上分类方法都是将漏洞作为单一缺陷来分析，张永铮强调了漏洞之间的关联性，提出了判断漏洞前后关联性的前提是漏洞可以按“前提特权集”及“结果特权集”进行的准确分类，实现了一种新颖的支持关联性挖掘的多维量化属性漏洞分类法，然而并没有明确指出每一类的具体特征，无法自动进行分类。
技术实现思路
本专利技术的目的是提出一种支持漏洞关联性挖掘的漏洞自动分类方法，从漏洞的自然语言描述中挖掘出每条漏洞的“前提特权集”及“结果特权集”所属的特权集分类，并根据“特权提升”的概念来判断漏洞之间存在的关联关系。本专利技术的目的是通过以下技术方案实现的。本专利技术的目的是提出一种支持漏洞关联性挖掘的漏洞自动分类方法，具体操作为：步骤一、构建一个漏洞数据库，收集漏洞记录。选取国家漏洞数据库(NationalVulnerabilityDatabase，NVD)作为数据源，构建一个漏洞数据库。所述漏洞数据库包括：通用漏洞(CommonVulnerabilitiesandExposures，CVE)编号、通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述、前提特权集、结果特权集。其中通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述字段是通过国家漏洞数据库直接获取的。前提特权集和结果特权集为空。所述漏洞描述字段是用自然语言描述漏洞的特征，“漏洞描述”字段为“…users/attackersto…by/via…”格式。步骤二、确定特权集类别。特权集类别包括：系统管理员特权集、普通系统管理员特权集、普通用户特权集、访问者特权集、受限访问者特权集。所述系统管理员特权集包含系统管理员所拥有的所有权限。系统管理员为拥有系统最高权限的用户帐号，系统管理员的权限为：管理系统设备、系统文件和系统进程，读写任意文件内容。攻击者利用系统管理员特权集造成的危害有：植入系统级木马，以虚假身份欺骗或直接追加、修改、删除、创建文件内容，造成系统不可恢复性崩溃。所述普通系统管理员特权集包含系统管理员所拥有的部分权限。普通管理员的权限为：管理部分系统设备、系统文件和系统进程，读写部分系统文件内容。攻击者利用普通系统管理员特权集造成的危害有：通过追加、修改、删除、创建某些系统文件内容或系统进程内存空间的数据结构，造成系统某些文件看起来不可用、系统当机或拒绝服务。所述普通用户特权集包含普通用户所拥有的所有权限。普通用户所拥有的权限为：在自己独立私有的资源空间内追加、修改、删除、创建个人文件。攻击者利用普通用户特权集造成的的危害有：植入用户级木马，修改普通用户的所有文件或进程空间的内容，导致用户崩溃或不可用。所述访问者特权集包含受信任的系统远程访问者所拥有的所有权限。受信任的系统远程访问者所拥有的权限有：与系统交互数据、扫描系统信息。攻击者利用访问者特权集造成的危害有：帮助其他受限访问者用户完成身份验证或发送大量数据包造成系统内存溢出。所述受限访问者特权集是指被系统防火墙隔离在外的不受信任的访问者所拥有的权限。不受信任的访问者仅拥有证实主机有效性的权限，不具备使用该系统的任何权限。攻击者利用受限访问者特权集不能对系统造成危害。漏洞的前提特权集和结果特权集的取值为5个特权集类别中的一个。步骤三、训练分类器。针对步骤二所述的5个特权集类别，分别训练3个前提特权集训练器和4个结果特权集训练器。具体操作为：步骤3.0：从步骤一中所述漏洞数据库中选取一部分漏洞记录，作为训练数据集。然后人工标注每条漏洞记录的前提特权集和结果特权集。步骤3.1：从训练数据集中选取前提特权集为普通用户特权集的300条以上数据。步骤3.2：对每条训练数据中的“漏洞描述”字段进行处理。“漏洞描述”字段为“…user/attackersto…by/via…”格式。将“by/via”之后的部分截取出来，存入文件d1中，每条训练数据占一行，文件d1的行数用符号J1表示。步骤3.3：利用开源分词工具(StandardAnalyzer)对文件d1进行处理，统计每个单词出现的数量，文件d1中出现的单词的数量用符号I1表示。步骤3.4：通过公式(1)计算单词的重要性。其中，tfi,j表示第i个单词在第j行的重要性，i和j均为正整数，并且i∈[1，I1]，j∈[1，J1]；ni,j表示第i个单词在第j行中出现的次数。步骤3.5：通过公式(2)计算第i个单词的逆向文件频率，用符号idfi表示。逆向文件频率用来度量单词的普遍性。其中，ti表示第i个单词；|{j:ti∈rj}|表示文件d1包含单词ti的行数。步骤3.6：通过公式(3)计算单词的权重得分。其中，TFIDFi表示第i个单词的权重得分。某一行的高词语频率，以及该词语在整个文件内的低行数频率，可以产生高权重的TFIDFi。因此，TFIDFi值倾向于过滤掉常见词语，保留重要的词语。步骤3.7：将文件d1中出现的单词按照TFIDFi值降序排列，取前n个词作为特征关键词，n∈[5,12]。记录特征关键词及对应的TFIDFi值。步骤3.8：经过步骤3.1至3.7的操本文档来自技高网...

【技术保护点】
本专利技术的目的是提出一种支持漏洞关联性挖掘的漏洞自动分类方法，其特征在于：其具体操作步骤为：步骤一、构建一个漏洞数据库，收集漏洞记录；选取国家漏洞数据库NVD作为数据源，构建一个漏洞数据库；所述漏洞数据库包括：通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述、前提特权集、结果特权集；其中，通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述字段是通过国家漏洞数据库直接获取的；前提特权集和结果特权集为空；所述漏洞描述字段是用自然语言描述漏洞的特征，“漏洞描述”字段为“…users/attackers to…by/via…”格式；步骤二、确定特权集类别；特权集类别包括：系统管理员特权集、普通系统管理员特权集、普通用户特权集、访问者特权集、受限访问者特权集；所述系统管理员特权集包含系统管理员所拥有的所有权限；系统管理员为拥有系统最高权限的用户帐号，系统管理员的权限为：管理系统设备、系统文件和系统进程，读写任意文件内容；攻击者利用系统管理员特权集造成的危害有：植入系统级木马，以虚假身份欺骗或直接追加、修改、删除、创建文件内容，造成系统不可恢复性崩溃；所述普通系统管理员特权集包含系统管理员所拥有的部分权限；普通管理员的权限为：管理部分系统设备、系统文件和系统进程，读写部分系统文件内容；攻击者利用普通系统管理员特权集造成的危害有：通过追加、修改、删除、创建某些系统文件内容或系统进程内存空间的数据结构，造成系统某些文件看起来不可用、系统当机或拒绝服务；所述普通用户特权集包含普通用户所拥有的所有权限；普通用户所拥有的权限为：在自己独立私有的资源空间内追加、修改、删除、创建个人文件；攻击者利用普通用户特权集造成的的危害有：植入用户级木马，修改普通用户的所有文件或进程空间的内容，导致用户崩溃或不可用；所述访问者特权集包含受信任的系统远程访问者所拥有的所有权限；受信任的系统远程访问者所拥有的权限有：与系统交互数据、扫描系统信息；攻击者利用访问者特权集造成的危害有：帮助其他受限访问者用户完成身份验证或发送大量数据包造成系统内存溢出；所述受限访问者特权集是指被系统防火墙隔离在外的不受信任的访问者所拥有的权限；不受信任的访问者仅拥有证实主机有效性的权限，不具备使用该系统的任何权限；攻击者利用受限访问者特权集不能对系统造成危害；漏洞的前提特权集和结果特权集的取值为5个特权集类别中的一个；步骤三、训练分类器；针对步骤二所述的5个特权集类别，分别训练3个前提特权集训练器和4个结果特权集训练器；具体操作为：步骤3.0：从步骤一中所述漏洞数据库中选取一部分漏洞记录，作为训练数据集；然后人工标注每条漏洞记录的前提特权集和结果特权集；步骤3.1：从训练数据集中选取前提特权集为普通用户特权集的300条以上数据；步骤3.2：对每条训练数据中的“漏洞描述”字段进行处理；“漏洞描述”字段为“…user/attackers to…by/via…”格式；将“by/via”之后的部分截取出来，存入文件d...

【技术特征摘要】
1.本发明的目的是提出一种支持漏洞关联性挖掘的漏洞自动分类方法，其特征在于：其具体操作步骤为：步骤一、构建一个漏洞数据库，收集漏洞记录；选取国家漏洞数据库NVD作为数据源，构建一个漏洞数据库；所述漏洞数据库包括：通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述、前提特权集、结果特权集；其中，通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述字段是通过国家漏洞数据库直接获取的；前提特权集和结果特权集为空；所述漏洞描述字段是用自然语言描述漏洞的特征，“漏洞描述”字段为“…users/attackersto…by/via…”格式；步骤二、确定特权集类别；特权集类别包括：系统管理员特权集、普通系统管理员特权集、普通用户特权集、访问者特权集、受限访问者特权集；所述系统管理员特权集包含系统管理员所拥有的所有权限；系统管理员为拥有系统最高权限的用户帐号，系统管理员的权限为：管理系统设备、系统文件和系统进程，读写任意文件内容；攻击者利用系统管理员特权集造成的危害有：植入系统级木马，以虚假身份欺骗或直接追加、修改、删除、创建文件内容，造成系统不可恢复性崩溃；所述普通系统管理员特权集包含系统管理员所拥有的部分权限；普通管理员的权限为：管理部分系统设备、系统文件和系统进程，读写部分系统文件内容；攻击者利用普通系统管理员特权集造成的危害有：通过追加、修改、删除、创建某些系统文件内容或系统进程内存空间的数据结构，造成系统某些文件看起来不可用、系统当机或拒绝服务；所述普通用户特权集包含普通用户所拥有的所有权限；普通用户所拥有的权限为：在自己独立私有的资源空间内追加、修改、删除、创建个人文件；攻击者利用普通用户特权集造成的的危害有：植入用户级木马，修改普通用户的所有文件或进程空间的内容，导致用户崩溃或不可用；所述访问者特权集包含受信任的系统远程访问者所拥有的所有权限；受信任的系统远程访问者所拥有的权限有：与系统交互数据、扫描系统信息；攻击者利用访问者特权集造成的危害有：帮助其他受限访问者用户完成身份验证或发送大量数据包造成系统内存溢出；所述受限访问者特权集是指被系统防火墙隔离在外的不受信任的访问者所拥有的权限；不受信任的访问者仅拥有证实主机有效性的权限，不具备使用该系统的任何权限；攻击者利用受限访问者特权集不能对系统造成危害；漏洞的前提特权集和结果特权集的取值为5个特权集类别中的一个；步骤三、训练分类器；针对步骤二所述的5个特权集类别，分别训练3个前提特权集训练器和4个结果特权集训练器；具体操作为：步骤3.0：从步骤一中所述漏洞数据库中选取一部分漏洞记录，作为训练数据集；然后人工标注每条漏洞记录的前提特权集和结果特权集；步骤3.1：从训练数据集中选取前提特权集为普通用户特权集的300条以上数据；步骤3.2：对每条训练数据中的“漏洞描述”字段进行处理；“漏洞描述”字段为“…user/attackersto…by/via…”格式；将“by/via”之后的部分截取出来，存入文件d1中，每条训练数据占一行，文件d1的行数用符号J1表示；步骤3.3：利用开源分词工具StandardAnalyzer对文件d1进行处理，统计每个单词出现的数量，文件d1中出现的单词的数量用符号I1表示；步骤3.4：通过公式(1)计算单词的重要性；其中，tfi,j表示第i个单词在第j行的重要性，i和j均为正整数，并且i∈[1，I1]，j∈[1，J1]；ni,j表示第i个单词在第j行中出现的次数；步骤3.5：通过公式(2)计算第i个单词的逆向文件频率，用符号idfi表示；逆向文件频率用来度量单词的普遍性；其中，ti表示第i个单词；|{j:ti∈rj}|表示文件d1包含单词ti的行数；步骤3.6：通过公式(3)计算单词的权重得分；其中，TFIDFi表示第i个单词的权重得分；某一行的高词语频率，以及该词语在整个文件内的低行数频率，可以产生高权重的TFIDFi；因此，TFIDFi值倾向于过滤掉常见词语，保留重要的词语；步骤3.7：将文件d1中出现的单词按照TFIDFi值降序排列，取前n个词作为特征关键词，n∈[5,12]；记录特征关键词及对应的TFIDFi值；步骤3.8：经过步骤3.1至3.7的操作，得到前提特权集为普通用户特权集对应的特征关键词及对应的TFIDFi值；步骤3.9：从训练数据集中选取前提特权集为访问者特权集的300条以上数据；重复3.2至至3.7的操作，得到前提特权集为访问者特权集对应的特征关键词及对应的TFIDFi值；步骤3.10：从训练数据集中选取前提特权集为受限访问者特权集的300条以上数据；重复3.2至至3.7的操作，得到前提特权集为受限访问者特...

【专利技术属性】
技术研发人员：胡昌振，张皓，吕坤，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11