本发明专利技术公开了一种安全性评估方法及安全性评估设备,安全性评估设备预先根据评估对象可能出现的漏洞抽象得到漏洞模型,并存储该漏洞模型以及该漏洞模型的标准特征。在评估阶段,安全性评估设备获取评估对象的特征数据,并根据评估对象预先设置的漏洞模型从评估对象的特征数据中提取与漏洞模型对应的潜在漏洞特征,然后将提取到的潜在漏洞特征与漏洞模型的标准特征进行匹配,以根据匹配结果确定评估对象是否存在漏洞模型对应的泄露隐患。由于在对评估对象进行安全性评估时,安全性评估设备可以依据预先设置的漏洞模型以及漏洞模型对应的标准特征自动进行评估工作无需依赖人力进行,降低了安全性评估对人力资源的需求,有利于实现资源的优化配置。
A Safety Assessment Method and Equipment
【技术实现步骤摘要】
一种安全性评估方法及安全性评估设备
本专利技术涉及安全
,更具体地说,涉及一种安全性评估方法及安全性评估设备。
技术介绍
传统的安全评估方案中,人力在测评工作中占主导地位。随着安全产品硬件工艺和防护策略的不断提升,传统的安全评估方案已经面临着越来越多的挑战:产品信息泄露的隐患依然存在,且相比过去,信息泄露的采集难度和信息泄露的分析复杂度已经提升。但与此同时,可用于安全性评估的测评资源却没有增加,所以,继续采用传统的安全性评估方法,则测评资源无法满足测评要求。
技术实现思路
本专利技术要解决的技术问题在于:解决因传统安全评估方案依赖于人力评估,对人力资源要求高,导致现有测评资源无法满足评估需求的问题,针对该技术问题,提供一种安全性评估方法及安全性评估设备。为解决上述技术问题,本专利技术提供一种安全性评估方法,应用于安全性评估设备,所述安全性评估方法包括:获取评估对象旁路泄露的特征数据;根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征;将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配;根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞。可选地,所述评估对象包括硬件和程序中的至少一种;所述获取评估对象旁路泄露的特征数据包括:若所述评估对象包括硬件,则获取所述硬件的旁路泄露波形数据,并对所述旁路泄露波形数据进行去噪压缩处理得到所述硬件的特征数据;若所述评估对象包括程序,则获取所述程序的程序文本数据,并对所述程序文本数据进行文本字段分类打包处理得到所述程序的特征数据。可选地,所述根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征包括:按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理;计算经分类处理得到的各类特征数据对应的潜在漏洞特征值。可选地,所述按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理包括:采用自主学习算法按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理,所述自主学习算法包括机器学习算法和深度学习算法中的至少一种。可选地,所述将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配包括:将计算得到的所述潜在漏洞特征值与所述标准特征对应的标准特征值进行比较;判断所述潜在漏洞特征值是否达到所述标准特征对应的要求。可选地,所述根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞包括:若所述评估对象的所述潜在漏洞特征值达到所述标准特征对应的要求,则判定所述评估对象存在所述漏洞模型对应的漏洞;否则,则判定所述评估对象不存在所述漏洞模型对应的漏洞。可选地,所述根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞之后,还包括:若判定所述评估对象存在所述漏洞模型对应的漏洞,则基于数据统计对所述漏洞进行分析;根据分析结果确定所述漏洞是否是可被恶意利用以获取敏感信息的危险漏洞。可选地,所述基于数据统计对所述漏洞进行分析包括:基于数据统计从所述漏洞获取至少一个攻击测试信息,所述攻击测试信息为敏感信息的可能值;将获取到的所述攻击测试信息与所述敏感信息进行比较,以确定所述攻击测试信息与所述敏感信息是否一致;若是,则判定所述漏洞是可被恶意利用以获取敏感信息的危险漏洞,若否,则判定漏洞不是可被恶意利用以获取敏感信息的危险漏洞。可选地,所述根据分析结果确定所述漏洞是否是可被恶意利用以获取敏感信息的危险漏洞之后,还包括:生成可视的安全评估报告,所述安全评估报告中包括所述评估对象的第一信息,或包括所述第一信息与第二信息,或包括所述第一信息、所述第二信息及第三信息;所述第一信息用于表征所述评估对象是否具有与所述漏洞模型对应的漏洞;所述第二信息用于表征所述漏洞是否为危险漏洞;所述第三信息用于表征从所述漏洞中获取到与敏感信息一致的攻击测试信息的难易程度。进一步地,本专利技术提供了一种所述安全性评估设备包括处理器、存储器及通信总线;所述通信总线用于实现处理器和存储器之间的连接通信;所述存储器中存储有漏洞模型、所述漏洞模型对应的标准特征,以及包括安全性评估程序在内的至少一个程序;所述处理器用于执行所述存储器中存储的所述安全性评估程序,以实现如上任一项所述的安全性评估方法的步骤。有益效果本专利技术提供一种安全性评估方法及安全性评估设备,针对传统安全性评估方案对人力依赖度高,导致有限的测评资源无法满足现今评估需求的问题,本提供的安全性评估方法中,安全性评估设备根据评估对象可能出现的漏洞抽象得到漏洞模型,并将该漏洞模型以及该漏洞模型对应的标准特征进行存储。在对评估对象进行安全性评估时,安全性评估设备获取评估对象的特征数据,并根据评估对象预先设置的漏洞模型从评估对象的特征数据中提取与漏洞模型对应的潜在漏洞特征,然后将提取到的潜在漏洞特征与漏洞模型的标准特征进行匹配,以根据匹配结果确定评估对象是否存在漏洞模型对应的泄露隐患。由于在对评估对象进行安全性评估时,安全性评估设备可以依据预先设置的漏洞模型以及漏洞模型对应的标准特征自动进行评估工作无需依赖人力进行,降低了安全性评估对人力资源的需求,有利于实现资源的优化配置。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1为本专利技术实施例一中提供的安全性评估方法的一种流程图;图2为本专利技术实施例一中安全性评估设备根据漏洞模型来提取潜在漏洞特征的一种流程图;图3为本专利技术实施例二中提供的安全性评估方法的一种流程图;图4为本专利技术实施例二中安全性评估设备对漏洞是否危险进行界定的一种流程图;图5为本专利技术实施例三中提供的安全性评估设备的一种结构示意图;图6为本专利技术实施例三中提供的安全性评估设备的另一种结构示意图;图7为本专利技术实施例三中提供的安全性评估设备的又一种结构示意图;图8为本专利技术实施例三中提供的安全性评估设备的一种硬件结构图。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。实施例一:为了解决现有技术中安全性评估方案对依赖大量人力投入,导致测评资源无法满足现有的评估需求,制约了产业效率的提升的问题,本实施例提供一种由安全性评估设备执行的安全性评估方法,请参见图1示出的安全性评估方法的流程图:S102:安全性评估设备获取评估对象旁路泄露的特征数据。评估对象是指安全性需要测评的对象,尤其是用于加密的对象。其可以是硬件,例如手机、安全芯片等,也可以是程序代码。以硬件设备中的加密电子设备为例,其在运行过程中将会产生旁路泄露信息,如时间消耗、功率消耗或电磁辐射之类的,而这些旁路泄露信息很可能被恶意利用以形成对该加密电子设备的攻击,导致该加密电子设备的加密密钥被泄露。除了硬件设备会产生旁路泄露信息以外,程序代码在被执行的过程中也会出现旁路泄露,利用旁路泄露信息对用于加密的软硬件进行攻击的方法被称为边信道攻击(SideChannelAttack,SCA),又称为侧信道攻击。评估对象旁路泄露的特征数据来源于其旁路泄露的原始数据,在本实施例的一种示例当中,评估对象是硬件,安全性评估设备可以先获取其旁路泄露波形数据,如电磁辐射的波形数据。当然除此以外,该硬件的旁路泄露波形数据也可以根据该硬件在运行过程的功耗或时间消耗获取。当安全性评估设备获取到硬件设备的旁路泄露波形数本文档来自技高网...
【技术保护点】
1.一种安全性评估方法,其特征在于,应用于安全性评估设备,所述安全性评估方法包括:获取评估对象旁路泄露的特征数据;根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征;将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配;根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞。
【技术特征摘要】
2017.12.29 CN 20171148999521.一种安全性评估方法,其特征在于,应用于安全性评估设备,所述安全性评估方法包括:获取评估对象旁路泄露的特征数据;根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征;将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配;根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞。2.如权利要求1所述的安全性评估方法,其特征在于,所述评估对象包括硬件和程序中的至少一种;所述获取评估对象旁路泄露的特征数据包括:若所述评估对象包括硬件,则获取所述硬件的旁路泄露波形数据,并对所述旁路泄露波形数据进行去噪压缩处理得到所述硬件的特征数据;若所述评估对象包括程序,则获取所述程序的程序文本数据,并对所述程序文本数据进行文本字段分类打包处理得到所述程序的特征数据。3.如权利要求1所述的安全性评估方法,其特征在于,所述根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征包括:按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理;计算经分类处理得到的各类特征数据对应的潜在漏洞特征值。4.如权利要求3所述的安全性评估方法,其特征在于,所述按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理包括:采用自主学习算法按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理,所述自主学习算法包括机器学习算法和深度学习算法中的至少一种。5.如权利要求3所述的安全性评估方法,其特征在于,所述将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配包括:将计算得到的所述潜在漏洞特征值与所述标准特征对应的标准特征值进行比较;判断所述潜在漏洞特征值是否达到所述标准特征对应的要求。6.如权利要求5所述的安全性评估方法,其特征在于,所述根据匹配结果确定所述评估对象是否存在所述漏洞模型...
【专利技术属性】
技术研发人员:唐有,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。