漏洞威胁程度评估方法技术

本发明专利技术实施例公开了一种漏洞威胁程度评估方法，包括：获取与相应参考漏洞一一对应的描述数据和威胁程度；对所述相应参考漏洞的所述描述数据分别进行文本预处理得到多个处理后描述数据；构建对应所述多个处理后描述数据的词袋模型；根据所述词袋模型对所述多个处理后描述数据基于统计特征和主成分分析方法进行特征提取得到多个特征向量；利用所述多个特征向量和所述多个威胁程度对XGBoost分类器进行训练；以及利用训练所得分类器评估待评估漏洞的威胁程度。本发明专利技术实施例充分利用了漏洞库中漏洞的描述数据和威胁程度，对于新入库却暂时没有威胁程度评估的漏洞可以进行及时的智能评估，为安全人员对新漏洞的修复优先度排序提供良好决策支持。

Vulnerability Threat Assessment Method

The embodiment of the present invention discloses a vulnerability threat assessment method, which includes: acquiring description data and threat degree corresponding to the corresponding reference vulnerabilities one by one; pre-processing the description data of the corresponding reference vulnerabilities to obtain multiple processed descriptive data, constructing a word bag model corresponding to the multiple processed descriptive data, and according to the word bag model. The processed descriptive data are extracted into multiple feature vectors based on statistical features and principal component analysis; the XGBoost classifier is trained by using the multiple feature vectors and the multiple threat degrees; and the threat degree of vulnerabilities to be evaluated is evaluated by using the classifier obtained from the training. The embodiment of the present invention makes full use of the description data and threat degree of vulnerabilities in the vulnerability library, and can timely and intelligently evaluate the vulnerabilities that are newly stored but have no threat degree evaluation for the time being, so as to provide good decision support for security personnel to repair priority ranking of new vulnerabilities.

【技术实现步骤摘要】
漏洞威胁程度评估方法
本专利技术涉及漏洞分析
，尤其涉及一种漏洞威胁程度评估方法。
技术介绍
信息系统在各企业和组织中起着至关重要的作用，随着办公信息化程度的提高，信息系统的安全稳定对业务的正常运行起着至关重要的作用。漏洞(vulnerability)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下对信息系统进行访问或破坏。随着代码规模的巨大化及逻辑的复杂化，漏洞的曝光频率越来越高，而不同漏洞对于信息系统的影响是不同的，有些漏洞被曝光后会被开发者忽略，而有些会被高度重视并及时修补。随着国家法律法规的完善，为保护开发者利益及使用者的财产、隐私安全等，漏洞被曝光后其利用方式不再会被曝光，对于开发者来说，也就难以获知该漏洞的实际威胁。在NVD(NationalVulnerabilityDatabase)等主流漏洞库中，通常会用CVSS(CommonVulnerabilityScoringSystem，通用漏洞评分系统，参见网址https://www.first.org/cvss/的介绍)对相应漏洞的威胁程度进行评估。CVSS评分是一个常用的漏洞威胁程度评估方式，评分过程通常需要专家的参与，目前主流的是2.0版本和3.0版本，其从基本(Base)、时效性(Temporal)和环境(Environmental)三个方面对一个漏洞进行评分，并最终会得到一个漏洞的综合严重程度(High、Medium、Low——高、中、低)。然而，一个漏洞刚刚被曝光时通常其威胁程度还没有被评估，而漏洞的利用往往仅需要很短的时间；开发者通常需要在了解漏洞威胁程度的情况下合理安排漏洞的修复，因此，如何根据对于漏洞的简短描述来智能预测该漏洞的威胁程度是一个很有价值的研究问题。目前研究者对漏洞进行的研究，多半是针对源代码结合领域知识提取特征，并应用机器学习分类器对漏洞的存在进行智能检测，或依据提取的特征对漏洞进行自动化分类来促进漏洞管理，在漏洞的威胁程度方面研究较少。对于安全漏洞的研究一直是安全领域研究中的热点。传统的安全漏洞分析方法主要包括静态分析、动态分析和混合分析三类：静态分析是一种常用的手工分析方法，安全人员直接从代码中挖掘可能存在的漏洞；动态分析是在程序运行时对程序可能存在的漏洞进行的分析，这种方法模拟真实的攻击者进行测试，依赖于攻击向量的完整性；混合分析则是上述两种方式的综合。以上分析方法解决的是漏洞在某信息系统中的具体位置，在实际工作中，这些任务通常由一线安全人员完成。然而，单纯依赖组织内部的安全人员对漏洞进行分析在当前漏洞层出不穷的情况下显得力不从心，漏洞的分析及修补应根据其威胁程度和管理者手头资源来进行确定。开源漏洞库(例如NVD、CVE、CNNVD等)为安全人员提供了良好的威胁情报(threatintelligence)，实时更新的漏洞库可以让安全人员及时了解新发现的漏洞。然而，新收录的漏洞通常没有相应的威胁程度的评估，修复一个漏洞往往需要巨大的人力，对业务会造成较大影响，应根据其威胁程度来安排漏洞的合理修复顺序，对漏洞进行评估是提供优先度依据的有效方法。机器学习方法是在漏洞研究领域被应用的一类重要方法，其和文本挖掘的组合为研究者对漏洞进行评估分析提供了有力的支持。不过，目前已有研究更多是将机器学习和文本挖掘结合来对漏洞本身进行发现，或是对漏洞进行自动化的分类，对于其严重程度进行评估的研究很少。因此，急需提出一种漏洞威胁程度评估方法，对新出现的漏洞威胁程度进行智能化的自动评估，以帮助安全人员对新漏洞的修复优先度排序提供良好决策支持。
技术实现思路
本专利技术实施例提供一种漏洞威胁程度评估方法，用于克服现有技术中不能及时获取新出现漏洞的威胁程度，无法根据漏洞的威胁程度合理分配修复资源等缺陷，充分利用了漏洞库中漏洞的描述数据和威胁程度，对于新入库却暂时没有威胁程度评估的漏洞可以进行及时的智能评估，为安全人员对新漏洞的修复优先度排序提供良好决策支持。本专利技术实施例提供的一种漏洞威胁程度评估方法，包括：获取与相应参考漏洞一一对应的描述数据和威胁程度；对所述相应参考漏洞的所述描述数据分别进行文本预处理，得到对应所述相应参考漏洞的多个处理后描述数据；构建对应所述多个处理后描述数据的词袋模型；根据所述词袋模型对所述多个处理后描述数据基于统计特征和主成分分析方法进行特征提取，得到对应所述相应参考漏洞的多个特征向量；利用所述多个特征向量和所述多个威胁程度对XGBoost分类器进行训练；以及利用训练所得分类器评估待评估漏洞的威胁程度。在本专利技术的一个实施例中，所述获取与相应参考漏洞一一对应的描述数据和威胁程度的步骤包括：利用网络爬虫技术从开源漏洞库中爬取与所述相应参考漏洞一一对应的所述描述数据和所述威胁程度。在本专利技术的一个实施例中，所述描述数据为英文。在本专利技术的一个实施例中，所述文本预处理包括：去除标点符号、去除停止词、去除对于分析而言无意义的词、以及词型还原。在本专利技术的一个实施例中，所述构建对应所述多个处理后描述数据的词袋模型的步骤包括：统计所述多个处理后描述数据中各个词汇的出现频数；将所述各个词汇及其出现频数按照出现频数从大到小排列，得到所述词袋模型。在本专利技术的一个实施例中，所述基于统计特征和主成分分析方法进行特征提取的步骤包括：将所述词袋模型中出现频数低于频数阈值的词汇舍弃，得到包括M个词汇及其出现频数的临时词袋模型；将所述临时词袋模型中前N个词汇分别在所述处理后描述数据中出现的频数作为所述特征向量中的前N个特征；利用主成分分析方法(PCA)将所述临时词袋模型中除所述前N个词汇之外剩余的词汇分别在所述处理后描述数据中出现的频数进行降维之后作为所述特征向量中的后M-N个特征；其中，N<M。在本专利技术的一个实施例中，所述利用训练所得分类器评估待评估漏洞的威胁程度的步骤包括：获取对应所述待评估漏洞的特征向量；将所述待评估漏洞的所述特征向量代入所述训练所得分类器计算得到所述待评估漏洞的所述威胁程度。在本专利技术的一个实施例中，所述获取对应所述待评估漏洞的特征向量的步骤包括：获取对应所述待评估漏洞的描述数据；对所述待评估漏洞对应的所述描述数据进行所述文本预处理，得到对应所述待评估漏洞的处理后描述数据；根据所述词袋模型对对应所述待评估漏洞的所述处理后描述数据基于统计特征和主成分分析方法进行所述特征提取，得到对应所述待评估漏洞的所述特征向量。上述技术方案可以具有如下一个或多个优点：本专利技术实施例通过获取参考漏洞的描述数据和威胁程度，基于参考漏洞的描述数据，基于统计特征和主成分分析方法进行特征提取，利用提取到的特征向量和威胁程度对XGBoost分类器进行训练，最后利用训练所得分类器来评估待评估漏洞的威胁程度充分利用了参考漏洞的相关描述数据以及威胁程度对XGBoost分类器进行训练，同时对大量稀疏特征加以利用，充分考虑稀疏特征隐含的信息，能够取得良好的评估效果。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本文档来自技高网...

【技术保护点】
1.一种漏洞威胁程度评估方法，其特征在于，包括：获取与相应参考漏洞一一对应的描述数据和威胁程度；对所述相应参考漏洞的所述描述数据分别进行文本预处理，得到对应所述相应参考漏洞的多个处理后描述数据；构建对应所述多个处理后描述数据的词袋模型；根据所述词袋模型对所述多个处理后描述数据基于统计特征和主成分分析方法进行特征提取，得到对应所述相应参考漏洞的多个特征向量；利用所述多个特征向量和所述多个威胁程度对XGBoost分类器进行训练；以及利用训练所得分类器评估待评估漏洞的威胁程度。

【技术特征摘要】
1.一种漏洞威胁程度评估方法，其特征在于，包括：获取与相应参考漏洞一一对应的描述数据和威胁程度；对所述相应参考漏洞的所述描述数据分别进行文本预处理，得到对应所述相应参考漏洞的多个处理后描述数据；构建对应所述多个处理后描述数据的词袋模型；根据所述词袋模型对所述多个处理后描述数据基于统计特征和主成分分析方法进行特征提取，得到对应所述相应参考漏洞的多个特征向量；利用所述多个特征向量和所述多个威胁程度对XGBoost分类器进行训练；以及利用训练所得分类器评估待评估漏洞的威胁程度。2.如权利要求1所述的漏洞威胁程度评估方法，其特征在于，所述获取与相应参考漏洞一一对应的描述数据和威胁程度的步骤包括：利用网络爬虫技术从开源漏洞库中爬取与所述相应参考漏洞一一对应的所述描述数据和所述威胁程度。3.如权利要求1所述的漏洞威胁程度评估方法，其特征在于，所述描述数据为英文。4.如权利要求3所述的漏洞威胁程度评估方法，其特征在于，所述文本预处理包括：去除标点符号、去除停止词、去除对于分析而言无意义的词、以及词型还原。5.如权利要求1所述的漏洞威胁程度评估方法，其特征在于，所述构建对应所述多个处理后描述数据的词袋模型的步骤包括：统计所述多个处理后描述数据中各个词汇的出现频数；将所述各个词汇及其出现频数按照出现频数从大到小排列...

【专利技术属性】
技术研发人员：周鋆，王培超，孙宝丹，朱承，张维明，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南,43