[发明专利]一种漏洞检测方法及系统

说明书

本发明实施例涉及一种漏洞检测方法及系统，其中，所述方法包括：获取安全漏洞数据库中的漏洞数据，并根据所述漏洞数据，构建漏洞图谱的本体结构；获取所述漏洞图谱中的路径特征，并通过准确率和命中率对获取的所述路径特征进行筛选；根据筛选后的路径特征生成用于训练的正样本，以及构造用于训练的负样本，并利用所述正样本和所述负样本进行逻辑回归模型的训练，得到逻辑回归权重模型；通过所述逻辑回归权重模型对软件列表中的软件进行预测，以确定受到漏洞影响的软件。本申请提供的技术方案，能够快速、准确地判定漏洞的影响范围，从而缩减攻击窗口期。

技术领域

本申请涉及数据安全技术领域，特别涉及一种漏洞检测方法及系统。

背景技术

近年来，信息安全问题越来越严重。CVE数据库中的漏洞数量急剧增加，CVE是指公共漏洞和暴露(Common Vulnerabilities and Exposures)，用于给广泛认同的信息安全漏洞或已经暴露的脆弱点设定一个标准化的公共名称。在过去3年中，共有37,600个漏洞被披露，而该数据库在20年左右的时间里总共记录了120,125个漏洞。每条漏洞数据是一个实际漏洞的标准化表述，这些数据之间存在一些有价值的关联信息。比如，开源代码能够以功能模块的形式被不同的软件复用，当这些软件中某一个爆发漏洞时，其余软件也会受到影响。CVE数据中记录了广泛认可的安全漏洞的标准化信息，可以帮助研究人员使用标准名称快速定位不同独立漏洞数据库中的相应漏洞信息，并进行进一步的价值挖掘，如漏洞挖掘等。

然而，现有的漏洞挖掘和检测技术(包括动态检测和静态检测)，大多分析软件和代码本身的行为。其中，动态检测主要指在可供软件运行的平台上安装软件，模拟用户的操作行为，同时监控软件的运行状况，然后记录和分析软件的行为。静态检测主要是将代码抽象成数据，再根据代码数据的特征来判断其是否有害。这些方法在一定程度上都获得了相应的效果，但并未充分利用软件和漏洞之间的关联信息，且难以通过漏洞检测的方法来全面准确地确定一个漏洞的影响范围。由于人力资源的限制，漏洞数据库在记录已披露的漏洞时往往无法详尽确认其影响范围。对于受到影响但未被记录的漏洞，会导致攻击窗口(攻击窗口是指漏洞披露时间点到厂商修复该漏洞的时间点之间的时间段)的长期暴露，从而带来严重的安全威胁。

现有的自动生成漏洞利用软件的工具最快能够在十几分钟内生成特定漏洞的利用程序，即使是很短的攻击窗口也可能造成严重的后果。

发明内容

本申请的目的在于提供一种漏洞检测方法及系统，能够快速、准确地判定漏洞的影响范围，从而缩减攻击窗口期。

为实现上述目的，本申请提供一种漏洞检测方法，所述方法包括：

获取安全漏洞数据库中的漏洞数据，并根据所述漏洞数据，构建漏洞图谱的本体结构；

获取所述漏洞图谱中的路径特征，并通过准确率和命中率对获取的所述路径特征进行筛选；

根据筛选后的路径特征生成用于训练的正样本，以及构造用于训练的负样本，并利用所述正样本和所述负样本进行逻辑回归模型的训练，得到逻辑回归权重模型；

通过所述逻辑回归权重模型对软件列表中的软件进行预测，以确定受到漏洞影响的软件。

进一步地，根据所述漏洞数据，构建漏洞图谱的本体结构包括：

将所述漏洞数据中用于表示软件和漏洞的信息以实体的形式展示于漏洞图谱中，并设定所述漏洞图谱中各个节点之间的关系类型；其中，所述漏洞图谱的本体结构通过三元组结构数据表示。

进一步地，获取所述漏洞图谱中的路径特征包括：

令关系路径π＝r₁,…,r_m为节点v₀到v_m的关系路径，其中r₁,…,r_m是漏洞图谱中各个实体之间的关系；