一种针对可公开获取漏洞的协同利用预测方法技术

本发明专利技术涉及一种针对可公开获得的漏洞利用代码的协同利用预测方法

【技术实现步骤摘要】
一种针对可公开获取漏洞的协同利用预测方法


[0001]本专利技术属于网络安全领域，具体设计一种针对可公开获得的漏洞利用代码的协同利用预测方法
。

技术介绍

[0002]随着计算机系统中的软件漏洞不断涌现，用户正面临着越来越严重的安全威胁
。
近年来，软件漏洞数量呈现总体上升趋势，越来越多的漏洞利用代码出现在互联网上，公开的漏洞利用代码已成为网络攻击链的一部分
。
漏洞代码的一大重要来源既是开源代码托管平台和公共漏洞代码数据库
。
例如，
ExploitDB
是一个面向全世界黑客的漏洞提交平台，其中含有大量漏洞利用代码，每个这样的漏洞利用代码都被授予统一的编号，从而实现漏洞代码的共享和预警
。
近年来，对于软件的攻击已经不仅仅止于对单一漏洞的利用
。
更多的对于软件漏洞的攻击倾向于使用多个已存在的软件漏洞
。
这种在一个攻击代码中利用多个漏洞的行为可称为漏洞协同利用（
Co
‑
Exploitation
）
。CVE
‑
2018
‑
15767
和
CVE
‑
2018
‑
15768
这两个漏洞的协同利用代码即为一个很好的例子
。
在一次攻击中，前者用于获取
root
权限进行任意指令执行，后者用于任意读写服务器文件系统上的文件
。
发现这种极其危险的漏洞协同利用可能，并优化漏洞处理流程，有利于深入对漏洞的认知，降低漏洞治理的成本，增加漏洞治理的效率
。
[0003]对漏洞的协同利用预测过程可分为漏洞情报搜集和协同利用预测两部分
。
在漏洞情报搜集方面，基于漏洞信息的知识图谱为主流方式
。
构建知识图谱的过程又可分为两个过程：领域本体构建
、
结构化数据和非结构化数据的知识提取
。
对于领域本体构建，漏洞本体为网络安全领域本体的一个特异化方向，而对于网络安全领域本体的构建，目前已存在很多本体
。
如，
Zareen Syed
提出的包含
106
个安全实体和
633
条领域公理的网络安全本体
。
这些已有本体都可以成为我们构建漏洞知识本体的参考对象
。
图神经网络作为一种基于节点和关系的神经网络，适合用于知识图谱的图表示学习，近年来被广泛运用在大量领域
。
而在网络空间治理的漏洞协同利用预测方面，研究漏洞之间的深层次关系，自动化提取漏洞之间可能存在的关联，亦为目前漏洞治理的研究热点问题之一
。
[0004]目前，网络爬虫
、
深度学习
、
预训练模型
、
自然语言处理
、
图神经网络等技术已经广泛运用于网络安全领域
。
由于漏洞情报分散
、
知识繁杂
、
更新极快等特点，因此通过人工筛选
、
处理和发现线索的方法已不再满足实用性要求
。
故，运用网络爬虫和自然语言处理技术对漏洞情报进行自动化获取和知识图谱的构建，再通过图神经网络技术对漏洞协同利用进行预测是一种可行的途径
。
[0005]本专利技术基于上述思路，提出一种针对可公开获取漏洞的协同利用预测方法，该方法包括两个部分：一为构成以漏洞基本信息为核心，以漏洞利用代码作者
、
托管平台
、
漏洞代码
、
所攻击的设备为主要实体的漏洞知识图谱的方法，二为基于该知识图谱提出基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测方法
。

技术实现思路

[0006]有鉴于此，本专利技术提供了一种针对可公开获取漏洞的协同利用预测方法，旨在实时收集出大量公开来源中的漏洞信息，构建漏洞知识图谱，进行漏洞协同利用预测，预测可被协同利用的漏洞间的联系，帮助网络安全领域从业人员及时
、
全面地获取并研究网络空间中出现的漏洞威胁
。
[0007]一种针对可公开获取漏洞的协同利用预测方法，所述方法包括：
[0008]步骤1：收集公开来源中的漏洞信息；
[0009]步骤2：对收集到的原始数据进行知识提取，获取知识三元组信息；
[0010]步骤3：汇总知识三元组信息，并基于知识本体构建漏洞领域知识图谱；
[0011]步骤4：从已构建的知识图谱中提取多模态节点向量和边关系二元组；
[0012]步骤5：使用提取的节点向量和边关系二元组进行基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测
。
[0013]优选地，所述收集公开来源中的漏洞信息流程包括：
[0014]从
CVE Reference
以及可信的三方漏洞情报平台中获取提取代码托管平台（
GitHub、Gitee
）中含漏洞利用代码仓库的
URL
，并判断
URL
所对应的网页内容是否含有漏洞利用代码仓库，对含有漏洞利用代码仓库的网页进一步通过代码托管平台的
API
进行作者
、
作者组织
、
漏洞代码所属
CVE
编号的提取；
[0015]从开源漏洞信息数据库（
CVE、CPE、CWE、NVD、CVSS
）中通过网络爬虫和开源情报平台的
API
进行漏洞描述
、
漏洞严重度分数和漏洞严重度的子项分数
、
漏洞所能攻击的平台
、
漏洞种类的提取，并从
ExploitDB
中提取漏洞代码
、
漏洞代码编号
。
[0016]优选地，对收集到的原始数据进行知识提取，获取知识三元组的流程包括：
[0017]将步骤1中收集到的信息中的无意义内容（空信息
、
非
ASCII
字符
、
默认的缺省内容）去除；
[0018]将上一步中处理结束的信息分为结构化信息和非结构化信息；
[0019]对上一步中处理结束的信息中的结构化信息进行线索关联，获取包含实体
‑
关系
‑
实体的知识三元组；
[0020]在开源的漏洞描述语料库上依据语义标注命名实体（受影响的产品
、
受影响产品的提供商
、
受影响产品的版本），并将标注完成的语料库切分为两个子集，作为命名实体识别模型的数据集，用于后续的训练过程；
[0021]搭建并使用包含预训练模型的深度学习命名实体识别模型本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种针对可公开获取漏洞的协同利用预测方法，该方法以漏洞基本信息为核心，以漏洞利用代码作者
、
托管平台
、
漏洞代码
、
所攻击的设备为主要实体的漏洞知识图谱的方法为第一部分，以基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测方法为第二部分，其特征在于，所述方法包括：步骤1：收集公开来源中的漏洞信息；步骤2：对收集到的原始数据进行知识提取，获取知识三元组信息；步骤3：汇总知识三元组信息，并基于知识本体构建漏洞领域知识图谱；步骤4：从已构建的知识图谱中提取多模态节点向量和边关系二元组；步骤5：使用提取的节点向量和边关系二元组进行基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测
。2.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法，其特征在于，所述步骤1中：每日定时从
CVE Reference
以及可信的三方漏洞情报平台中获取提取代码托管平台（
GitHub、Gitee
）中含漏洞利用代码仓库的
URL
，并通过网页模糊测试工具判定
URL
所对应的网页内容是否含漏洞利用代码仓库，对含有漏洞利用代码仓库的网页进一步通过代码托管平台的
API
进行作者
、
作者组织
、
漏洞代码所属
CVE
编号的提取；每日定时从开源漏洞信息数据库（
CVE、CPE、CWE、NVD、CVSS
）中通过网络爬虫和开源情报平台的
API
进行漏洞描述
、
漏洞严重度分数和
CVSS
子项分数
、
漏洞所能攻击的平台
、
漏洞种类的提取，并从
ExploitDB
中提取漏洞代码
、
漏洞代码编号
。3.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法，其特征在于，所述步骤2中：将步骤1中收集到的信息中的无意义内容（空信息
、
非
ASCII
字符
、
默认的缺省内容）去除，将处理结束的信息分为结构化信息和非结构化信息，并根据所设计的漏洞领域本体图对处理完成的结构化信息进行线索关联，获取包含实体
‑
关系
‑
实体的知识三元组；在开源的漏洞描述语料库上依据语义标注命名实体（受影响的产品
、
受影响产品的提供商
、
受影响产品的版本），并将标注完成的语料库切分为两个子集，作为命名实体识别模型的数据集；搭建并使用包含预训练模型的深度学习命名实体识别模型进行训练，然后使用训练好的分类模型进行实体的标注，从而提取包含实体
‑
关系
‑
实体的知识三元组
。4.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法，其特征在于，所述步骤3中：漏洞利用知识本体的实体类型包括：“漏洞基本信息”、“漏洞种类”、“所攻击的设备”、“设备的提供商”、“漏洞所被公开的代码托管平台仓库”、“漏洞利用代码作者”、“作者所属组织”、“ExploitDB
信息”；漏洞利用知识本体中的实体关系包括：“属于”、“实现”、“可攻击”、“依赖于”、“子类型”、“协同利用”及这些关系的逆关系；根据知识本体的设计，将所提取的知识构成漏洞知识图谱，并使用图数据库进行持久化储存
。5.
根据权利要求1所...

【专利技术属性】
技术研发人员：黄诚，蒋书熠，曾雨潼，赵建国，
申请(专利权)人：四川大学，
类型：发明
国别省市：