【技术实现步骤摘要】
一种基于异构数据的软件安全漏洞严重度评估方法及系统
[0001]本专利技术涉及软件安全检测领域,具体为一种基于异构数据的软件安全漏洞严重度评估方法及系统。
技术介绍
[0002]当漏洞被发现时,软件开发者一般是开发补丁以解决漏洞问题。理想情况下,软件用户只需要在漏洞被利用之前,更新软件补丁即可。然而,事实上打补丁会导致业务停机或者不可预知的副作用,这些对用户来说都是不可接受的。此外,软件提供商几乎很少拥有足够的人力资源一次性将所有发现的漏洞都解决掉。因此,软件开发者需要对漏洞按照严重性划分优先级,保证严重性较高的漏洞优先被修复。
[0003]业界已经有多种漏洞排名系统,譬如Common Vulnerability Scoring System(CVSS),Microsoft Security Bulletin Severity Rating System,US
‑
CERT Vulnerability Notes Database,SANS Critical Vulnerability Analysi...
【技术保护点】
【技术特征摘要】
1.一种基于异构数据的软件安全漏洞严重度评估方法,其特征在于,包括,获取待评估的软件安全漏洞的漏洞描述信息和对应的源码;将所述漏洞描述信息通过预训练的BERT模型提取得到第一特征向量;将所述源码通过程序分析得到代码结构信息,再通过embedding的嵌入生成第二特征向量;将第一特征向量和第二特征向量进行拼接,得到输入向量;通过预训练的神经网络对输入向量进行分类,得到待评估的软件安全漏洞的严重等级。2.根据权利要求1所述的一种基于异构数据的软件安全漏洞严重度评估方法,其特征在于,所述预训练的BERT模型和预训练的神经网络,均采用获取的漏洞数据进行预训练;所述漏洞数据来源于漏洞库,包括漏洞描述信息、源码和对应的CVSS中的严重性评级。3.根据权利要求2所述的一种基于异构数据的软件安全漏洞严重度评估方法,其特征在于,所述代码结构信息获取方法如下,通过程序分析源码,在触发漏洞的路径上收集对应数据,得到所述代码结构信息;所述代码结构信息包括攻击入口点数量、系统调用函数数量和外部API调用数量中的至少一种。4.根据权利要求3所述的一种基于异构数据的软件安全漏洞严重度评估方法,其特征在于,所述攻击入口点为路径上从外部获取数据的函数;所述外部API是指用户层实现的类库函数。5.根据权利要求2所述的一种基于异构数据的软件安全漏洞严重度评估方法,其特征在于,所述预训练的神经网络进行预训练时,将所述漏洞数据对应的训练输入向量和对应的严重性评级共同作为输入,对神经网络进行训练,使用softmax...
【专利技术属性】
技术研发人员:张晓东,杨子江,
申请(专利权)人:交叉信息核心技术研究院西安有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。