本发明专利技术涉及研发管理、开发辅助、服务管理技术领域,本申请实施例提供的一种漏洞风险评估方法,包括:获取扫描应用程序得到的漏洞信息;从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;基于所述漏洞风险权重确定漏洞风险级别。在本申请中,整个bug风险级别评判均没有测试人员主观参与,都是以预设条件、风险权重以及风险权重与风险级别之间的关联关系确定对应风险级别,进而使得整个bug的风险级别的确定都是客观的,相对做到bug风险级别确定的公平公正,避免了研发人员和测试人员之间的矛盾,bug风险级别的判断结果更准确,合理利用人力资源对bug制定合理的修复方案,降低后续产生该bug的概率。
【技术实现步骤摘要】
漏洞风险评估方法、装置及存储介质、服务器
本专利技术涉及研发管理、开发辅助、服务管理
,具体涉及一种漏洞风险评估方法、装置及存储介质、服务器。
技术介绍
漏洞发现是攻击者与防护者双方对抗的关键过程,防护者如果不能早于攻击者发现可被利用的漏洞,攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞,信息安全事件发生的可能性就越小。为了防患于未然,需要对应用程序进行漏洞检测,在漏洞被利用之前发现漏洞并修补。目前在检测到漏洞时,通常对该漏洞的风险等级进行评估,并根据不同的风险等级制定修复方案。一般采用漏洞库的测评标准进行测评,但是该测评标准并未考虑到漏洞网站的访问流量和与该漏洞相关联的业务影响等因素,由此导致采用上述漏洞库的测评标准评定的漏洞风险等级并不符合实际漏洞对网站的危害,同时还会掺杂评估人员的主观因素,导致风险级别的判断比较片面,如:是否必现、是否崩溃,如实必现崩溃则致命bug,但其实,必现的崩溃也未必是致命的,比如隐藏的路径很深,或不常用的某个小功能,那就不能根据这个必现崩溃来做出判断是致命的,使得bug风险级别判断不准确、误报率高,从而导致后续根据该风险等级制定的修复方案不够合理,不能有效起到防范作用。
技术实现思路
为克服以上技术问题,特别是bug风险级别判断不准确、误报率高,从而导致后续根据该风险等级制定的修复方案不够合理,不能有效起到防范作用的问题,特提出以下技术方案:本专利技术实施例提供的一种漏洞风险评估方法,包括:获取扫描应用程序得到的漏洞信息;从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;基于所述漏洞风险权重确定漏洞风险级别。可选地,所述通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重,包括:通过卷积神经网络计算各所述漏洞风险因子,确定各所述漏洞风险因子对应第一漏洞风险值;获取各所述漏洞风险因子对应的权重值,将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权,获得所述漏洞风险权重。可选地,所述从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重,包括:获取应用程序的版本,依据该应用程序的版本对所述漏洞信息进行过滤;从过滤后的所述漏洞信息中提取所述漏洞风险因子,将所述漏洞风险因子输入卷积神经网络;通过所述卷积神经网络计算各所述漏洞风险因子,确定该应用程序版本各所述漏洞风险因子对应的所述第一漏洞风险值;获取该应用程序版本各所述漏洞风险因子对应的权重值,将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权,获得该版本应用程序的所述漏洞风险权重。可选地,所述获取各所述漏洞风险因子对应的权重值,包括:获取应用程序的类型信息,依据所述类型信息获取各所述漏洞风险因子对应的权重值。可选地,所述基于所述漏洞风险权重确定漏洞风险级别,包括:获取预设漏洞风险权重与风险级别的关联关系;依据所述漏洞风险权重查询所述预设漏洞风险权重与风险级别的关联关系确定风险级别。可选地,所述漏洞风险因子包括:导致漏洞的外部影响因子、漏洞出现概率因子、用户操作类型因子、业务功能用户数因子、漏洞影响因子、漏洞修复因子。可选地,所述基于所述漏洞风险权重确定漏洞风险级别之后,包括:从所述漏洞信息中提取漏洞描述信息,依据所述漏洞描述信息、漏洞风险级别生成提醒信息;获取所述漏洞信息对应漏洞的用户信息,依据所述用户信息将所述提醒信息发送给用户。本专利技术实施例还提供了一种漏洞风险评估装置,包括:漏洞信息获取模块,用于获取扫描应用程序得到的漏洞信息;漏洞风险权重获得模块,用于从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;漏洞风险级别确定模块,用于基于所述漏洞风险权重确定漏洞风险级别。可选地,所述漏洞风险权重获得模块包括:第一漏洞风险值确定单元,用于通过卷积神经网络计算各所述漏洞风险因子,确定各所述漏洞风险因子对应第一漏洞风险值;第二漏洞风险权重计算单元,用于获取各所述漏洞风险因子对应的权重值,将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权,获得所述漏洞风险权重。本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现任一技术方案所述的漏洞风险评估方法。本专利技术实施例还提供了一种服务器,包括:一个或多个处理器;存储器;一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个应用程序配置用于执行根据任一技术方案所述的漏洞风险评估方法的步骤。本专利技术与现有技术相比,具有以下有益效果:1、本申请实施例提供的一种漏洞风险评估方法,包括:获取扫描应用程序得到的漏洞信息;从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;基于所述漏洞风险权重确定漏洞风险级别。本申请的漏洞风险评估方法主要用于应用程序的测试环节,在测试过程中扫描到应用程序时,为了提高用户使用应用程序的体验,根据用户使用过程中涉及操作类型、用户使用应用程序数量以及用户对应用程序的来源等影响因子,确定漏洞风险等级。在获取到漏洞信息后,为了能够提高风险级别确定的准确性以及客观性,在本申请中,还需要获取卷积神经网络,该模型通过卷积神经网络提取漏洞信息中的漏洞风险因子,以便于能够基于该漏洞风险因子准确定客观地得到漏洞风险权重。在确定漏洞风险权重之后,则可以基于预设的漏洞风险级别与漏洞风险权重之间的关联关系,确定对应的漏洞风险级别。在本申请提供的实施例中,通过漏洞风险权重查询前述的关联关系,则可以基于该关联关系确定对应的漏洞风险级别。整个bug风险级别评判均没有测试人员主观参与,都是预设条件、风险权重以及风险权重与风险级别之间的关联关系确定对应风险级别,进而使得整个bug的风险级别的确定都是客观的,相对做到bug风险级别确定的公平公正,避免了研发人员和测试人员之间的矛盾,也使得双方更容易接收前述的结果,降低后续产生该bug的概率。由于该过程中,减少了测人员的参与程度,因此也减轻了了测试人员的工作量,使得判断出的bug风险级别更为准确,能够合理的利用人力资源针对性对bug制定合理的修复方案,以便于得到更有效防范作用。2、本申请实施例提供的一种漏洞风险评估方法,所述基于所述漏洞风险权重确定漏洞风险级别之后,包括:从所述漏洞信息中提取漏洞描述信息,依据所述漏洞描述信息、漏洞风险级别生成提醒信息;获取所述漏洞信息对应漏洞的用户信息,依据所述用户信息将所述提醒信息发送给用户。为了使得相关人员能够尽快地了解漏洞级别,提取漏洞信息中的漏洞描述信息,基于该漏洞描述信息和漏洞风险级别生成提醒信息,即提醒信息的内容包括了漏洞描述信息和漏洞风险级别,之后获取该漏洞对应的用户信息,如测试和/或研发人员的名称、联系方式(邮箱、电话、微信等)等,将该提醒信息发送给对应的用户,进而使得用户可以及时了解该漏洞情况,并对该漏洞做出及时的响应动作,即以便于能够依据该风险级别采取相应的措施,避免该bug影响应用程序的运行和降低用户体验。本专利技术附加的方面和优点将在下面的描述中部分给出,本文档来自技高网...
【技术保护点】
1.一种漏洞风险评估方法,其特征在于,包括:获取扫描应用程序得到的漏洞信息;从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;基于所述漏洞风险权重确定漏洞风险级别。
【技术特征摘要】
1.一种漏洞风险评估方法,其特征在于,包括:获取扫描应用程序得到的漏洞信息;从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重;基于所述漏洞风险权重确定漏洞风险级别。2.根据权利要求1所述的漏洞风险评估方法,其特征在于,所述通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重,包括:通过卷积神经网络计算各所述漏洞风险因子,确定各所述漏洞风险因子对应第一漏洞风险值;获取各所述漏洞风险因子对应的权重值,将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权,获得所述漏洞风险权重。3.根据权利要求2所述的漏洞风险评估方法,其特征在于,所述从所述漏洞信息中提取漏洞风险因子,通过卷积神经网络计算所述漏洞风险因子,获得所述漏洞风险权重,包括:获取应用程序的版本,依据该应用程序的版本对所述漏洞信息进行过滤;从过滤后的所述漏洞信息中提取所述漏洞风险因子,将所述漏洞风险因子输入卷积神经网络;通过所述卷积神经网络计算各所述漏洞风险因子,确定该应用程序版本各所述漏洞风险因子对应的所述第一漏洞风险值;获取该应用程序版本各所述漏洞风险因子对应的权重值,将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权,获得该版本应用程序的所述漏洞风险权重。4.根据权利要求2所述的漏洞风险评估方法,其特征在于,所述获取各所述漏洞风险因子对应的权重值,包括:获取应用程序的类型信息,依据所述类型信息获取各所述漏洞风险因子对应的权重值。5.根据权利要求1所述的漏洞风险评估方法,其特征在于,所述基于所述漏洞风险权重确定漏洞风险级别,包括:获取预设漏洞风险权重与...
【专利技术属性】
技术研发人员:邢玉苗,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。