一种安全漏洞与法律法规的关联方法及关联系统技术方案

本发明专利技术公开了一种安全漏洞与法律法规的关联方法及关联系统，涉及网络安全技术领域，关联方法包括：收集法律法规数据和安全漏洞数据并进行结构化，分别得到对应的结构化文本数据；对结构化的文本数据进行中文分词，并由分词结果中过滤掉停用词，得到两类数据的词条列表；基于词条构建词典，并基于TF

【技术实现步骤摘要】
一种安全漏洞与法律法规的关联方法及关联系统


[0001]本专利技术涉及网络安全
，尤其涉及一种安全漏洞与法律法规的关联方法以及一种安全漏洞与法律法规的关联系统。

技术介绍

[0002]随着互联网的迅速发展及普及，我们的生活已经离不开网络。伴随着5G、IPv6、云计算等技术的发展，世界被越来越多的智能硬件和数据包围，有数据表明预计到 2030 年全球联网设备将超千亿。随着整个虚拟网络空间的不断扩大一些非常重要的关键基础设施也暴露在网络空间中，有软件的地方就可能存在漏洞，每天都有新的漏洞被爆出，历史漏洞已经超过50万。
[0003]在业务中对这类关键基础设施网络资产管理的过程中，需要说明每一个漏洞如果不修复会触犯哪些法律法规以及关保等保条例，目前都是人工的方式或者使用模糊匹配的方式去关联。各种法律法规和各种条例也在不断的推出，通过人工的方式去处理工作量相当庞大。使用模糊匹配的方式进行关键词匹配，每一个漏洞能关联到大量的法律法规条目，准确率又非常低，最终还需要人工审核一遍，效率相当低。

技术实现思路

[0004]针对上述问题，本专利技术提供了一种安全漏洞与法律法规的关联方法及关联系统，通过构建法律法规数据与安全漏洞数据相关联的知识库，自动化梳理出每个安全漏洞可以关联到哪些法律法规条目，实现业务的自动化和智能化，不仅大大节省了人力工作量，同时也提高了准确率。同时，能够利用该知识库训练有监督学习模型，对新发的安全漏洞预测相关联的法律法规，应用至智能报告中用以衡量如果黑客利用该漏洞将触犯哪一部法律的哪几条，存在漏洞的网络资产归属单位不做漏洞修复将可能会造成多大程度的损失以及触犯那几条法律法规，承担什么样的后果。
[0005]为实现上述目的，本专利技术提供了一种安全漏洞与法律法规的关联方法，包括：收集法律法规数据和安全漏洞数据，并对所述法律法规数据和所述安全漏洞数据进行结构化，分别得到对应的结构化文本数据；对法律法规结构化文本数据和安全漏洞结构化文本数据进行中文分词，并利用预设的停用词列表由分词结果中过滤掉停用词，分别得到两类数据的词条列表；基于所述词条列表中的词条构建词典，并基于TF
‑
IDF（Term Frequency
‑
Inverse Document Frequency，词频逆文档频率）为每个词条构建文档向量；遍历计算每条法律法规向量和每条安全漏洞向量的余弦相似度，并利用余弦相似度大于预设阈值的数据构建知识库，得到安全漏洞与法律法规的关联关系。
[0006]在上述技术方案中，优选地，安全漏洞与法律法规的关联方法还包括：以所述知识库作为训练样本、训练基于LSTM的文本分类器；将新发安全漏洞数据输入训练完成的所述文本分类器，得到所述新发安全漏洞数
据相关联的法律法规。
[0007]在上述技术方案中，优选地，所述对所述法律法规数据和所述安全漏洞数据进行结构化的具体过程包括：针对下载的文本形式的所述法律法规数据，处理得到由法律法规名称、法律法规条目和法律法规内容构成的列表形式结构化表格；针对不同渠道下载的所述安全漏洞数据，将不同渠道的数据进行关联，得到结构化的每个安全漏洞对应的中文描述文本。
[0008]在上述技术方案中，优选地，所述对法律法规结构化文本数据和安全漏洞结构化文本数据进行中文分词的具体过程包括：将所述法律法规结构文本数据中的法律法规名称和法律法规名称两列字段进行合并，并利用分词算法对合并的字段进行中文分词；将所述漏洞数据中的漏洞名称、漏洞类型和漏洞描述进行合并并转化为列表形式，并利用所述分词算法对列表中的字段进行中文分词。
[0009]在上述技术方案中，优选地，所述基于所述词条列表中的词条构建词典，并基于TF
‑
IDF为每个词条构建文档向量的具体过程包括：将两类数据的所述词条列表合并，并为每个词条分配唯一索引或编号以构建词典，其中，所述词典为所述词条与索引建立映射关系，所述词典以字典或哈希表的形式存储；基于词频逆文档频率TF
‑
IDF为所述词典中词条与索引之间的映射关系构建文档向量。
[0010]在上述技术方案中，优选地，所述遍历计算每条法律法规向量和每条安全漏洞向量的余弦相似度的具体过程包括：对每条法律法规向量和每条安全漏洞向量进行长度归一化，并采用稀疏矩阵对所述法律法规向量和所述安全漏洞向量进行压缩存储；遍历计算每条法律法规向量和每条安全漏洞向量的余弦相似度。
[0011]在上述技术方案中，优选地，所述利用余弦相似度大于预设阈值的数据构建知识库的具体过程包括：将余弦相似度大于预设阈值的法律法规数据和安全漏洞数据存入数据库，形成所述知识库；其中，所述知识库的字段包括所述法律法规数据的法律法规名称、法律法规条目和法律法规内容、不同渠道安全漏洞数据的漏洞名称、漏洞类型和漏洞描述，以及所述法律法规数据和所述安全漏洞数据的相似度；其中，所述数据库的类型采用MySQL、Oracle、hive或hbase。
[0012]在上述技术方案中，优选地，所述文本分类器的训练过程中，以漏洞名称、漏洞类型和漏洞描述作为输入特征，以法律法规条目作为输出分类特征；将所述新发安全漏洞数据的漏洞名称、漏洞类型和/或漏洞描述输入所述文本分类器，得到相关联的法律法规条目。
[0013]本专利技术还提出一种安全漏洞与法律法规的关联系统，应用如上述技术方案中任一项公开的安全漏洞与法律法规的关联方法，包括：
数据结构化模块，用于收集法律法规数据和安全漏洞数据，并对所述法律法规数据和所述安全漏洞数据进行结构化，分别得到对应的结构化文本数据；数据预处理模块，用于对法律法规结构化文本数据和安全漏洞结构化文本数据进行中文分词，并利用预设的停用词列表由分词结果中过滤掉停用词，分别得到两类数据的词条列表；词典向量构建模块，用于基于所述词条列表中的词条构建词典，并基于TF
‑
IDF为每个词条构建文档向量；知识库构建模块，用于遍历计算每条法律法规向量和每条安全漏洞向量的余弦相似度，并利用余弦相似度大于预设阈值的数据构建知识库，得到安全漏洞与法律法规的关联关系。
[0014]在上述技术方案中，优选地，安全漏洞与法律法规的关联系统还包括分类器预测模块，用于以所述知识库作为训练样本、训练基于LSTM的文本分类器；将新发安全漏洞数据输入训练完成的所述文本分类器，得到所述新发安全漏洞数据相关联的法律法规。
[0015]与现有技术相比，本专利技术的有益效果为：通过构建法律法规数据与安全漏洞数据相关联的知识库，自动化梳理出每个安全漏洞可以关联到哪些法律法规条目，实现了业务的自动化和智能化，不仅大大节省了人力工作量，同时也提高了准确率。同时，能够利用该知识库训练有监督学习模型，对新发的安全漏洞预测相关联的法律法规，应用至智能报告中用以衡量如果黑客利用该漏洞将触犯哪一部法律的哪几条，存在漏洞的网络资产归属单位不做漏洞修复将可能会造成多大程度的损失以及触犯那几条法律法规，承担什么样的后果。
附图说明
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全漏洞与法律法规的关联方法，其特征在于，包括：收集法律法规数据和安全漏洞数据，并对所述法律法规数据和所述安全漏洞数据进行结构化，分别得到对应的结构化文本数据；对法律法规结构化文本数据和安全漏洞结构化文本数据进行中文分词，并利用预设的停用词列表由分词结果中过滤掉停用词，分别得到两类数据的词条列表；基于所述词条列表中的词条构建词典，并基于TF
‑
IDF为每个词条构建文档向量；遍历计算每条法律法规向量和每条安全漏洞向量的余弦相似度，并利用余弦相似度大于预设阈值的数据构建知识库，得到安全漏洞与法律法规的关联关系。2.根据权利要求1所述的安全漏洞与法律法规的关联方法，其特征在于，还包括：以所述知识库作为训练样本、训练基于LSTM的文本分类器；将新发安全漏洞数据输入训练完成的所述文本分类器，得到所述新发安全漏洞数据相关联的法律法规。3.根据权利要求1所述的安全漏洞与法律法规的关联方法，其特征在于，所述对所述法律法规数据和所述安全漏洞数据进行结构化的具体过程包括：针对下载的文本形式的所述法律法规数据，处理得到由法律法规名称、法律法规条目和法律法规内容构成的列表形式结构化表格；针对不同渠道下载的所述安全漏洞数据，将不同渠道的数据进行关联，得到结构化的每个安全漏洞对应的中文描述文本。4.根据权利要求3所述的安全漏洞与法律法规的关联方法，其特征在于，所述对法律法规结构化文本数据和安全漏洞结构化文本数据进行中文分词的具体过程包括：将所述法律法规结构文本数据中的法律法规名称和法律法规名称两列字段进行合并，并利用分词算法对合并的字段进行中文分词；将所述漏洞数据中的漏洞名称、漏洞类型和漏洞描述进行合并并转化为列表形式，并利用所述分词算法对列表中的字段进行中文分词。5.根据权利要求4所述的安全漏洞与法律法规的关联方法，其特征在于，所述基于所述词条列表中的词条构建词典，并基于TF
‑
IDF为每个词条构建文档向量的具体过程包括：将两类数据的所述词条列表合并，并为每个词条分配唯一索引或编号以构建词典，其中，所述词典为所述词条与索引建立映射关系，所述词典以字典或哈希表的形式存储；基于词频逆文档频率TF
‑
IDF为所述词典中词条与索引之间的映射关系构建文档向量。6.根据权利要求5所述的安全漏洞与...

【专利技术属性】
技术研发人员：王建国，王德民，田鑫程，王建龙，郭飞，李可，
申请(专利权)人：北京天云海数技术有限公司，
类型：发明
国别省市：