[发明专利]一种基于漏洞图谱的漏洞软件依赖关系构建方法

说明书

本发明实施例公开了一种基于漏洞图谱的漏洞软件依赖关系构建方法，涉及信息安全技术领域。所述方法包括：在漏洞图谱中选取样本软件，对样本软件进行信息抽取和信息补全，形成样本软件实体，并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系；对待测软件进行依赖软件和软件属性的提取，并自动抽取所述待测软件的属性及其依赖软件，形成待测软件实体和依赖软件实体；将待测软件实体和依赖软件实体与样本软件实体进行匹配和关联，并对漏洞图谱进行扩充；在扩充后的漏洞图谱中对待测软件的依赖软件进行检测，生成检测报告。本发明实施例能够解决现有技术中尚不存在基于漏洞图谱的漏洞软件依赖关系构建方法而导致软件安全性低的问题。

技术领域

本发明实施例涉及信息安全技术领域，具体涉及一种基于漏洞图谱的漏洞软件依赖关系构建方法。

背景技术

随着敏捷开发和开源软件的流行，开源软件的应用愈发广泛。研究显示，一个软件中平均75％的软件代码来自开源软件。开源软件在给开发带来便利的同时，其存在的漏洞也为软件带来了巨大的风险。根据Veracode发布的《2017年软件安全报告》，88％的Java应用包含至少一个含有漏洞的软件，53.3％的Java应用软件都在使用包含漏洞的软件版本。开源软件拉动支持(pull support)模式，使得开发人员需要自行负责跟踪其使用的开源软件，并对发现的漏洞进行修复和更新；而漏洞修复的复杂性和开发人员的安全意识不足，造成只有不到28％的企业会对软件的安全性进行审查。由于存在漏洞的软件(包括开源软件)被大量复用，当一个软件中的漏洞被挖掘并利用，可以导致依赖该软件的应用软件面临被攻击的风险。因此，构建漏洞软件的依赖关系，发现并跟踪应用软件的依赖软件，对提升应用软件的安全性很有必要。

漏洞图谱(Vulnerability Graph)是基于安全漏洞领域知识构建的领域知识图谱，通过对每个安全漏洞进行概念刻画与描述，挖掘漏洞、软件、威胁等相关事务之间的联系，是事务之间联系最有效的表示方式。

基于漏洞图谱构建漏洞和软件，软件和软件之间的联系，同时对软件中的漏洞进行跟踪，可以有效提升依赖此软件的应用软件的安全性。但到目前为止，还没有基于漏洞图谱的漏洞软件依赖关系构建方法。

发明内容

为此，本发明实施例提供一种基于漏洞图谱的漏洞软件依赖关系构建方法，以解决现有技术中尚不存在基于漏洞图谱的漏洞软件依赖关系构建方法而导致软件安全性低的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，

提供一种基于漏洞图谱的漏洞软件依赖关系构建方法，其特征在于，所述方法包括：在漏洞图谱中选取样本软件，对样本软件进行信息抽取和信息补全，形成样本软件实体，并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系，其中，所述样本软件为受到漏洞实体影响的软件；对待测软件进行依赖软件和软件属性的提取，并自动抽取所述待测软件的属性及其依赖软件，形成待测软件实体和依赖软件实体；将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联，并对漏洞图谱进行扩充；在扩充后的漏洞图谱中对待测软件的依赖软件进行检测，生成检测报告。

进一步地，在漏洞图谱中对漏洞实体和样本软件实体建立关联关系的方法包括：在漏洞图谱中，查询并筛选出符合条件的漏洞实体，其中，受到所述漏洞实体影响的样本软件类型为应用程序；抽取样本软件的厂商名称、软件名称、版本号信息；根据信息来源的类型制定相应的抽取规则，获取样本软件的所属领域、应用范围、编程语言信息；将样本软件的厂商名称、软件名称、版本号信息以及所属领域、应用范围和编程语言信息进行融合，形成新的软件属性，构建样本软件实体；将构建的样本软件实体加入漏洞图谱，并在漏洞图谱中创建所述样本软件实体与影响此软件的漏洞实体之间的关系。

进一步地，形成所述待测软件实体的方法包括：