[发明专利]一种安全性评估方法及安全性评估设备

说明书

本发明公开了一种安全性评估方法及安全性评估设备，安全性评估设备预先根据评估对象可能出现的漏洞抽象得到漏洞模型，并存储该漏洞模型以及该漏洞模型的标准特征。在评估阶段，安全性评估设备获取评估对象的特征数据，并根据评估对象预先设置的漏洞模型从评估对象的特征数据中提取与漏洞模型对应的潜在漏洞特征，然后将提取到的潜在漏洞特征与漏洞模型的标准特征进行匹配，以根据匹配结果确定评估对象是否存在漏洞模型对应的泄露隐患。由于在对评估对象进行安全性评估时，安全性评估设备可以依据预先设置的漏洞模型以及漏洞模型对应的标准特征自动进行评估工作无需依赖人力进行，降低了安全性评估对人力资源的需求，有利于实现资源的优化配置。

技术领域

本发明涉及安全技术领域，更具体地说，涉及一种安全性评估方法及安全性评估设备。

背景技术

传统的安全评估方案中，人力在测评工作中占主导地位。随着安全产品硬件工艺和防护策略的不断提升，传统的安全评估方案已经面临着越来越多的挑战：产品信息泄露的隐患依然存在，且相比过去，信息泄露的采集难度和信息泄露的分析复杂度已经提升。但与此同时，可用于安全性评估的测评资源却没有增加，所以，继续采用传统的安全性评估方法，则测评资源无法满足测评要求。

发明内容

本发明要解决的技术问题在于：解决因传统安全评估方案依赖于人力评估，对人力资源要求高，导致现有测评资源无法满足评估需求的问题，针对该技术问题，提供一种安全性评估方法及安全性评估设备。

为解决上述技术问题，本发明提供一种安全性评估方法，应用于安全性评估设备，所述安全性评估方法包括：

获取评估对象旁路泄露的特征数据；

根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征；

将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配；

根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞。

可选地，所述评估对象包括硬件和程序中的至少一种；所述获取评估对象旁路泄露的特征数据包括：

若所述评估对象包括硬件，则获取所述硬件的旁路泄露波形数据，并对所述旁路泄露波形数据进行去噪压缩处理得到所述硬件的特征数据；

若所述评估对象包括程序，则获取所述程序的程序文本数据，并对所述程序文本数据进行文本字段分类打包处理得到所述程序的特征数据。

可选地，所述根据预先存储的漏洞模型从所述评估对象的特征数据中提取与所述漏洞模型对应的潜在漏洞特征包括：

按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理；

计算经分类处理得到的各类特征数据对应的潜在漏洞特征值。

可选地，所述按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理包括：

采用自主学习算法按照所述漏洞模型的分类策略对所述评估对象的特征数据进行分类处理，所述自主学习算法包括机器学习算法和深度学习算法中的至少一种。

可选地，所述将提取到的潜在漏洞特征与所述漏洞模型的标准特征进行匹配包括：

将计算得到的所述潜在漏洞特征值与所述标准特征对应的标准特征值进行比较；

判断所述潜在漏洞特征值是否达到所述标准特征对应的要求。

可选地，所述根据匹配结果确定所述评估对象是否存在所述漏洞模型对应的漏洞包括：

若所述评估对象的所述潜在漏洞特征值达到所述标准特征对应的要求，则判定所述评估对象存在所述漏洞模型对应的漏洞；否则，则判定所述评估对象不存在所述漏洞模型对应的漏洞。