[发明专利]一种基于分类和关联分析的漏洞数据挖掘方法

说明书

技术领域

本发明属于漏洞数据挖掘领域，为了发现漏洞存在的隐藏规律，以便对新漏洞产生的部位类型、漏洞危害时效等因素进行分类预测，提出利用数据挖掘技术对漏洞信息进行处理及分析。结合网络爬虫技术，并通过DB接口建立漏洞详细信息数据库系统，再利用KNN分类技术对漏洞信息进行处理及建立分类模型，还利用Apriori关联挖掘方法发现漏洞产生的原因、时间、危害等内在规律知识，并将发现的规律知识纳入漏洞知识库中，从而有利于对漏洞危害进行预警和防范。

背景技术

目前，系统漏洞的数量在不断增加，其中隐含了某些必然规律或规则，通过数据挖掘、知识发现等手段对漏洞信息库、漏洞发布相关信息(漏洞发布源、转载、公告、交流、讨论)和漏洞利用信息(利用漏洞传播的病毒、木马、漏洞利用工具开发、漏洞带来的损坏)等多方面信息进行处理，获取已有漏洞信息中的隐含规律，以便对已知漏洞的作用时效、区域、危害等级等信息进行统计和分类，做到对新漏洞产生的时间、部位进行预测，或者对新产生漏洞的危害类型进行准确分类。

另外，漏洞之间也存在相互的隐含关系，如何及时有效地发现这些关系成为了未来漏洞数据挖掘的重点和难点。例如某个公司的程序员已经编写好的10个程序后来发现4个有安全漏洞，利用这一信息可以预测在短期，该程序员新完成的程序出现漏洞的可能性是40％；在该程序员4个出现安全漏洞的程序中发现有3个是缓存溢出漏洞，则可指导漏洞检测人员对该公司的产品将重点放在缓存溢出检测上；对类似这些信息的挖掘，找到漏洞产生的隐藏规律，可以对新漏洞、漏洞产生部位类型、漏洞危害时效等因素进行预测，对漏洞危害进行预警和预防具有重要的意义。

因此，知识发现就是从数据库大量的数据中通过数据挖掘算法来提取出隐含的、新颖的、有效的并能被人理解的规则或模式的处理过程。这里的规则或模式即是我们平常所说的知识。它给出数据的某些特性或数据之间的关系，是对数据处理后获取的更深层次的可用于决策支持的信息。

Web上有海量的漏洞利用信息，如漏洞描述、利用漏洞制造的病毒、漏洞危害的区域、时间等等，怎样对这些数据进行复杂的处理分析是漏洞数据挖掘的研究热点。因此，本系统采取自动搜集机制从Web上进行数据采集，生成漏洞信息库，并用文本挖掘方法对漏洞信息库进行数据挖掘。最后，将分类模型按各个指标对分类结果进行评价或解释，并以可视化的方式呈现给用户，使用户能够清晰明了地浏览漏洞分类结果。

参考文献

[1]Common vulnerabilities and exposures[EB/OL].http://www.cve.mitre.org.

[2]单国栋，戴英侠，王航.计算机漏洞分类研究[J].计算机工程，2002，28(10)：3-6.

[3]翟钰，张玉清，武维善等.系统安全漏洞研究及数据库实现[J].计算机工程，2004，30(8)：68-70.

[4]Jiawei Han，Micheline Kamber.Data Mining Concepts and Techniques，Second Edition.China Machine Press.

[5]Sheyner O，Haines S Jha，Lippmann R，et al.Automated genera-tion and analysis of attackgraphs[C].Oakland，CA：Proceedingsof the 2002IEEE Symposium on Security andPrivacy，2002.

[6]张宁，贾自艳，史忠植.使用KNN算法的文本分类[J].计算机工程，2005，31(8)：171-182.

[7]黄嘉满，张冬茉.基于文本的关联规则提取方法的研究[J].计算机仿真，2008，25(1)：96-99.

发明内容

本发明目的是针对Web中大量杂乱无章的漏洞信息，提供了一种基于分类和关联分析的漏洞数据挖掘系统。利用KNN分类方法和Apriori关联挖掘方法发现漏洞产生的原因、时间、危害等内在规律知识，并将发现的规律知识纳入漏洞知识库中。该发明对于漏洞数据挖掘具有很好的分类和关联分析能力。

本发明为实现上述目的，采用如下技术方案：

本发明一种基于分类和关联分析的漏洞数据挖掘方法如下：

①漏洞信息搜集系统，对各安全知识网站公布的漏洞信息进行自动搜集处理即网络爬虫挖掘方法，将Internet上分散的海量信息下载到本地进行数据处理，并建立原始漏洞信息数据库；