System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于知识图谱的云服务平台安全审计漏洞评测方法及系统技术方案_技高网
当前位置: 首页 > 专利查询>南京审计大学专利>正文

基于知识图谱的云服务平台安全审计漏洞评测方法及系统技术方案

技术编号:40016937 阅读:7 留言:0更新日期:2024-01-16 16:09
本发明专利技术公开了基于知识图谱的云服务平台安全审计漏洞评测方法及系统,首先采集云服务安全漏洞数据,再根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,接着将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;本发明专利技术实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识,适合被广泛推广和使用。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及信息系统审计,具体涉及基于知识图谱的云服务平台安全审计漏洞评测方法及系统


技术介绍

1、云服务平台安全是指保护云服务平台及其上托管的数据和应用免受未经授权的访问、数据泄露、服务中断、恶意攻击等安全威胁的能力。云服务平台安全审计是指对云服务平台的安全控制措施、操作过程和安全事件进行独立的评估和审查,以确保云服务平台的安全性和合规性。安全审计可以帮助组织和用户了解云服务平台的安全状况,发现潜在漏洞威胁,并提供改进建议和控制措施。

2、知识图谱是一种用于表示和组织知识的图形化结构。它通过实体、属性和关系的方式来描述事物和概念,并提供了丰富的推理和查询能力。知识图谱可以用于存储和管理威胁的相关信息,从而为安全审计提供更全面的信息支持。

3、目前,通常云服务平台漏洞威胁分析都是针对实时攻击和异常行为,并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面,并未结合所在云服务平台的信息资产进行安全风险定性分析;尽管目前漏洞收集的方法比较多,但漏洞分析并未结合所在云服务的信息资产拓扑进行风险评估,这种分析结果不能有效地准确识别和分析安全风险和漏洞影响,进而不能有效地采取相应措施来改进和加强安全控制以提高云服务的安全性和可信度;因此,需要设计基于知识图谱的云服务平台安全审计漏洞评测方法及系统。


技术实现思路

1、本专利技术的目的是克服现有技术的不足,为更好的解决现有云服务平台漏洞威胁分析都是针对实时攻击和异常行为,并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面,并未结合所在云服务平台的信息资产进行安全风险定性分析的问题,提供了基于知识图谱的云服务平台安全审计漏洞评测方法及系统,其实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能,且评测结果能为信息安全审计提供参考依据,还能不断的健全安全管理体系,便于云服务平台的持续管理和连续性审计,提升了对信息资产的保护能力和风险意识。

2、为了达到上述目的,本专利技术所采用的技术方案是:

3、基于知识图谱的云服务平台安全审计漏洞评测方法及系统,包括以下步骤,

4、步骤(a),采集云服务安全漏洞数据;

5、步骤(b),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层;

6、步骤(c),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建;

7、步骤(d),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产;

8、步骤(e),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集;

9、步骤(f),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果。

10、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(a),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

11、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(b),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

12、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(c),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

13、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(d),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产,其中云服务平台信息资产包含软件、硬件和应用。

14、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(e),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集,具体步骤如下;

15、步骤(e1),将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配,得到匹配结果;

16、步骤(e2),根据匹配结果进行图谱查询,得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点,再得到与漏洞节点相关联的漏洞风险节点;

17、步骤(e3),由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。

18、前述的基于知识图谱的云服务平台安全审计漏洞评测方法,步骤(f),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果;

19、步骤(f1),构建多准则决策分析模式,其中多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则;

20、步骤(f2),利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测,具体步骤如下,

21、步骤(f21),根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵a,且评测决策矩阵为mx5阶,其中aij是评测决策矩阵a的矩阵元素,并表示第i个漏洞的第j个评测准则得分,m表示漏洞的个数;

22、步骤(f22),将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵x,其中xij是标准化矩阵x的矩阵元素,并表示第i个漏洞的第j个评测准则的归一化得分;

23、步骤(f23),确定五个漏洞评测准则的影响权重bj表示第j个准测的权重,且分别是b1、b2、b3、b4和b5,并将影响权重代入标准化矩阵x,得到加权决策矩阵c,其中cij是加权决策矩阵c的矩阵元素,并表示第i个漏洞的第j个评测准则的加权得分,cij的计算公式如公式(1)所示,

24、cij=xijbj    (1);

25、步骤(f24),将漏洞排序,且序号分别为1、2、m,再将每一对漏洞h和漏洞g的评测准则集j={1,2,3,4,5}划分成2个不相交的子集,并分别为第一子集和第二子集,所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成,称为漏洞h对漏洞g的和谐集dhg,所述第二子集由漏洞h中加权得分低于漏洞g的准则组成本文档来自技高网...

【技术保护点】

1.基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:包括以下步骤,

2.根据权利要求1所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(A),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

3.根据权利要求2所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(B),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

4.根据权利要求3所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(C),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

5.根据权利要求4所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(D),根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产,其中云服务平台信息资产包含软件、硬件和应用。

6.根据权利要求5所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(E),将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配,得到对云服务平台有安全威胁的漏洞集,具体步骤如下;

7.根据权利要求6所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(F),构建多准则决策分析模式,并对有安全威胁的漏洞集进行安全风险评测,输出评测结果;

8.基于知识图谱的云服务平台安全审计漏洞评测系统,所述系统的运行过程采用基于权利要求1-7任一项所述的方法,其特征在于:包括采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块,所述采集模块用于采集云服务安全漏洞数据;

9.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统,其特征在于:所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。

10.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统,其特征在于:所述多准则决策分析模式包含五个漏洞评测准则,且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。

...

【技术特征摘要】

1.基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:包括以下步骤,

2.根据权利要求1所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(a),采集云服务安全漏洞数据,其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息,且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

3.根据权利要求2所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(b),根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层,其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系,所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点,所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系,所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型,所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分,所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本,所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

4.根据权利要求3所述的基于知识图谱的云服务平台安全审计漏洞评测方法,其特征在于:步骤(c),将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入,完成云服务平台安全审计知识图谱数据层的构建,其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

5.根据权...

【专利技术属性】
技术研发人员:巨敏赵辉唐思远
申请(专利权)人:南京审计大学
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有