【技术实现步骤摘要】
一种针对可公开获取漏洞的协同利用预测方法
[0001]本专利技术属于网络安全领域,具体设计一种针对可公开获得的漏洞利用代码的协同利用预测方法
。
技术介绍
[0002]随着计算机系统中的软件漏洞不断涌现,用户正面临着越来越严重的安全威胁
。
近年来,软件漏洞数量呈现总体上升趋势,越来越多的漏洞利用代码出现在互联网上,公开的漏洞利用代码已成为网络攻击链的一部分
。
漏洞代码的一大重要来源既是开源代码托管平台和公共漏洞代码数据库
。
例如,
ExploitDB
是一个面向全世界黑客的漏洞提交平台,其中含有大量漏洞利用代码,每个这样的漏洞利用代码都被授予统一的编号,从而实现漏洞代码的共享和预警
。
近年来,对于软件的攻击已经不仅仅止于对单一漏洞的利用
。
更多的对于软件漏洞的攻击倾向于使用多个已存在的软件漏洞
。
这种在一个攻击代码中利用多个漏洞的行为可称为漏洞协同利用(
Co
‑
Exploitation
)
。CVE
‑
2018
‑
15767
和
CVE
‑
2018
‑
15768
这两个漏洞的协同利用代码即为一个很好的例子
。
在一次攻击中,前者用于获取
root
权限进行任意指令执行,后者用于任意读写服务器文件系统上的文件
。 ...
【技术保护点】
【技术特征摘要】
1.
一种针对可公开获取漏洞的协同利用预测方法,该方法以漏洞基本信息为核心,以漏洞利用代码作者
、
托管平台
、
漏洞代码
、
所攻击的设备为主要实体的漏洞知识图谱的方法为第一部分,以基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测方法为第二部分,其特征在于,所述方法包括:步骤1:收集公开来源中的漏洞信息;步骤2:对收集到的原始数据进行知识提取,获取知识三元组信息;步骤3:汇总知识三元组信息,并基于知识本体构建漏洞领域知识图谱;步骤4:从已构建的知识图谱中提取多模态节点向量和边关系二元组;步骤5:使用提取的节点向量和边关系二元组进行基于特征融合或迁移学习的多模态异构图神经网络的漏洞协同利用预测
。2.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法,其特征在于,所述步骤1中:每日定时从
CVE Reference
以及可信的三方漏洞情报平台中获取提取代码托管平台(
GitHub、Gitee
)中含漏洞利用代码仓库的
URL
,并通过网页模糊测试工具判定
URL
所对应的网页内容是否含漏洞利用代码仓库,对含有漏洞利用代码仓库的网页进一步通过代码托管平台的
API
进行作者
、
作者组织
、
漏洞代码所属
CVE
编号的提取;每日定时从开源漏洞信息数据库(
CVE、CPE、CWE、NVD、CVSS
)中通过网络爬虫和开源情报平台的
API
进行漏洞描述
、
漏洞严重度分数和
CVSS
子项分数
、
漏洞所能攻击的平台
、
漏洞种类的提取,并从
ExploitDB
中提取漏洞代码
、
漏洞代码编号
。3.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法,其特征在于,所述步骤2中:将步骤1中收集到的信息中的无意义内容(空信息
、
非
ASCII
字符
、
默认的缺省内容)去除,将处理结束的信息分为结构化信息和非结构化信息,并根据所设计的漏洞领域本体图对处理完成的结构化信息进行线索关联,获取包含实体
‑
关系
‑
实体的知识三元组;在开源的漏洞描述语料库上依据语义标注命名实体(受影响的产品
、
受影响产品的提供商
、
受影响产品的版本),并将标注完成的语料库切分为两个子集,作为命名实体识别模型的数据集;搭建并使用包含预训练模型的深度学习命名实体识别模型进行训练,然后使用训练好的分类模型进行实体的标注,从而提取包含实体
‑
关系
‑
实体的知识三元组
。4.
根据权利要求1所述的一种针对可公开获取漏洞的协同利用预测方法,其特征在于,所述步骤3中:漏洞利用知识本体的实体类型包括:“漏洞基本信息”、“漏洞种类”、“所攻击的设备”、“设备的提供商”、“漏洞所被公开的代码托管平台仓库”、“漏洞利用代码作者”、“作者所属组织”、“ExploitDB
信息”;漏洞利用知识本体中的实体关系包括:“属于”、“实现”、“可攻击”、“依赖于”、“子类型”、“协同利用”及这些关系的逆关系;根据知识本体的设计,将所提取的知识构成漏洞知识图谱,并使用图数据库进行持久化储存
。5.
根据权利要求1所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。