【技术实现步骤摘要】
【国外来华专利技术】用于对软件漏洞进分类的系统和方法
[0001]本公开总体涉及软件安全领域,尤其涉及用于在软件应用开发期间扫描和补救软件应用中的安全漏洞的方法和系统。
技术介绍
[0002]在软件和应用的开发过程中,安全漏洞的扫描、分析和补救过程通常是缓慢和手动的。已知本领域中的基本技术和工具来扫描和标识漏洞。然而,专家需要解释结果,突出显示最相关的漏洞,并且建议修复。这通常需要大量的时间,而这样的网络安全专家供不应求。软件开发人员希望有一个更快的流程,其能够扩展以满足需求,并且保持专家分析的质量。需要智能来在软件应用的开发阶段更有效地扫描软件应用。
附图说明
[0003]本公开的实施例的前述和其他目的、特征和优点将从下文对附图中所示的实施例的更具体的描述中显而易见,其中附图标记贯穿各个视图指代相同部分。附图不一定是按比例绘制的,而是对说明本公开的原理进行了强调。
[0004]图1是示出根据本公开的某些实施例的示例性系统的架构的示例的框图。
[0005]图2是示出根据本公开的某些实施例的用于实现图1所示的示例性系统的扫描引擎和漏洞报告引擎的实施例的框图。
[0006]图3是示出根据本公开的某些实施例的用于实现图1所示的系统的示例性提取引擎实现的方法的示例的流程图。
[0007]图4是示出根据本公开的某些实施例的用于实现图1所示的示例性系统的格式化引擎和向量引擎的实施例的框图。
[0008]图5是示出根据本公开的某些实施例的用于实现图1所示的示例性系统的向量引擎、分类引擎和输出引擎 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于评估软件漏洞的系统,包括:存储器,用于存储可执行指令;以及处理器,适于访问所述存储器,所述处理器还适于执行被存储在所述存储器中的所述可执行指令,用以:访问自动分类规则库,所述自动分类规则库包括对应于多个预定漏洞类型的多个预定义的自动分类策略,其中每个自动分类策略包括用于确定所述多个预定漏洞类型中的一个预定漏洞类型是否可利用的决策树;访问用于所述预定多个预定漏洞类型中的一个预定漏洞类型是否可利用的概率性确定的机器学习模型库;基于软件产品的源代码,获得列出所述软件产品的潜在漏洞问题的电子文档;确定所述潜在漏洞问题是否与所述多个预定漏洞类型中的一个预定漏洞类型相关联;以及当确定所述潜在漏洞问题与所述多个预定漏洞类型中的所述一个预定漏洞类型相关联时,基于使用从所述自动分类规则库被检索的与所述多个预定漏洞类型中的所述一个预定漏洞类型和对应的决策树相关联的自动分类策略处理所述电子文档,来确定所述软件产品是否可利用,否则基于使用来自所述机器学习模型库的机器学习模型处理所述电子文档,来概率性地确定所述软件产品是否可利用。2.根据权利要求1所述的系统,其中所述决策树包括递进排序的自动分类方法的集合。3.根据权利要求2所述的系统,其中所述自动分类策略中的每个自动分类方法被配置为在处理所述电子文档时生成分类输出。4.根据权利要求3所述的系统,其中来自每个自动分类方法的所述分类输出包括以下中的一项:指示所述软件产品不可利用的分类确定、指示所述软件产品可利用的分类确定、或者指示所述软件产品的可利用性不确定的分类确定。5.根据权利要求4所述的系统,其中所述处理器适于通过以下操作基于所述自动分类策略来确定所述软件产品是否可利用:当所述自动分类方法的输出指示所述软件产品可利用或者所述软件产品的所述可利用性不确定时,根据所述决策树递进地调用所述自动分类策略的所述自动分类方法;以及当不可利用的分类输出被获得时,终止所述决策树。6.根据权利要求3
‑
5中任一项所述的系统,其中所述自动分类策略的每个自动分类方法包括一个或多个分类算法的编码版本,用于确定分类输出作为对在所述自动分类策略的预定查询树之中的预定分类查询的回答。7.根据权利要求6所述的系统,其中每个分类策略和所述自动分类方法基于指南集合而被建立,所述指南集合是基于单独的上下文数据、实验数据、以及计算数据而被得出的。8.根据权利要求7所述的系统,其中所述指南集合以预定义格式被编码,所述预定义格式被处理以生成所述一个或多个分类算法的编码版本。9.根据前述权利要求中任一项所述的系统,其中所述处理器还适于:扫描所述软件产品的所述源代码以检测所述潜在漏洞问题;以及基于检测到的所述潜在漏洞问题生成所述电子文档。10.根据权利要求9所述的系统,其中所述处理器适于通过以下操作概率性地确定所述软件产品是否可利用:
从所述电子文档提取针对每个潜在漏洞问题的特征;基于所提取的所述特征确定向量;基于所述向量选择多个漏洞评分模型中的一个漏洞评分模型,所述多个漏洞评分模型选自所述机器学习模型库;以及使用所述多个漏洞评分模型中的所选择的所述漏洞评分模型,基于所述向量来确定漏洞准确度得分。11.根据权利要求10所述的系统,其中所述处理器还适于:接收策略数据或业务规则集合;将所提取的所述特征与所述策略数据或业务规则集合进行比较;以及,基于所扫描的所述源代码确定与检测到的所述潜在漏洞问题中的至少一个潜在漏洞问题相对应的标记。12.根据权利要求11所述的系统,其中所述向量基于所述标记。13.根据权利要求10
‑
12中任一项所述的系统,其中所述处理器还适于向用户显示所述漏洞准确度得分。14.根...
【专利技术属性】
技术研发人员:F,
申请(专利权)人:埃森哲环球解决方案有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。