[发明专利]一种安全性评估方法及安全性评估设备

权利要求书

1.一种安全性评估方法，其特征在于，应用于安全性评估设备，所述安全性评估方法包括：

获取评估对象旁路泄露的特征数据；

根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征；

将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配；

根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞。

2.如权利要求1所述的安全性评估方法，其特征在于，所述评估对象包括硬件和程序中的至少一种；所述获取评估对象旁路泄露的特征数据包括：

若所述评估对象包括硬件，则获取所述硬件的旁路泄露波形数据，并对所述旁路泄露波形数据进行去噪压缩处理得到所述硬件的特征数据；

若所述评估对象包括程序，则获取所述程序的程序文本数据，并对所述程序文本数据进行文本字段分类打包处理得到所述程序的特征数据。

3.如权利要求1所述的安全性评估方法，其特征在于，所述根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征包括：

按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理；

计算经分类处理得到的各类特征数据对应的潜在漏洞特征值。

4.如权利要求3所述的安全性评估方法，其特征在于，所述按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理包括：

采用自主学习算法按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理，所述自主学习算法包括机器学习算法和深度学习算法中的至少一种。

5.如权利要求3所述的安全性评估方法，其特征在于，所述将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配包括：

将计算得到的所述潜在漏洞特征值与所述标准特征对应的标准特征值进行比较；

判断所述潜在漏洞特征值是否达到所述标准特征对应的要求。

6.如权利要求5所述的安全性评估方法，其特征在于，所述根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞包括：

若所述评估对象的所述潜在漏洞特征值达到所述标准特征对应的要求，则判定所述评估对象存在所述漏洞模型对应的漏洞；否则，则判定所述评估对象不存在所述漏洞模型对应的漏洞。

7.如权利要求1-6任一项所述的安全性评估方法，其特征在于，所述根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞之后，还包括：

若判定所述评估对象存在所述漏洞模型对应的漏洞，则基于数据统计对所述漏洞进行分析；

根据分析结果确定所述漏洞是否是可被恶意利用以获取敏感信息的危险漏洞。

8.如权利要求7所述的安全性评估方法，其特征在于，所述基于数据统计对所述漏洞进行分析包括：

基于数据统计从所述漏洞获取至少一个攻击测试信息，所述攻击测试信息为敏感信息的可能值；

将获取到的所述攻击测试信息与所述敏感信息进行比较，以确定所述攻击测试信息与所述敏感信息是否一致；

若是，则判定所述漏洞是可被恶意利用以获取敏感信息的危险漏洞，若否，则判定漏洞不是可被恶意利用以获取敏感信息的危险漏洞。

9.如权利要求7所述的安全性评估方法，其特征在于，所述根据分析结果确定所述漏洞是否是可被恶意利用以获取敏感信息的危险漏洞之后，还包括：

生成可视的安全评估报告，所述安全评估报告中包括所述评估对象的第一信息，或包括所述第一信息与第二信息，或包括所述第一信息、所述第二信息及第三信息；所述第一信息用于表征所述评估对象是否具有与所述漏洞模型对应的漏洞；所述第二信息用于表征所述漏洞是否为危险漏洞；所述第三信息用于表征从所述漏洞中获取到与敏感信息一致的攻击测试信息的难易程度。

10.一种安全性评估设备，其特征在于，所述安全性评估设备包括处理器、存储器及通信总线；

所述通信总线用于实现处理器和存储器之间的连接通信；

所述存储器中存储有漏洞模型、所述漏洞模型对应的标准特征，以及包括安全性评估程序在内的至少一个程序；

所述处理器用于执行所述存储器中存储的所述安全性评估程序，以实现如权利要求1至9中任一项所述的安全性评估方法的步骤。