[发明专利]面向源代码双极性软件安全漏洞图谱构建方法

说明书

本发明公开了一种面向源代码双极性软件安全漏洞图谱构建方法，解决当前漏洞图模型中漏洞特征单一，语义信息匮乏，漏洞挖掘精度低的问题。技术方案是：通过爬虫获取漏洞源代码；对漏洞源代码预处理；数据分析提取与抽取，包括特征提取，实体抽取和关系抽取；漏洞图谱构建，包括子图为漏洞图谱的基本单元，漏洞图谱可视化及存储；漏洞图谱优化，通过对子图剪枝去除大量的冗余信息，达到漏洞图谱优化。本发明构建的漏洞图谱通过对比将漏洞的正反向特性同时展现出来，体现特征项之间错综复杂关系，丰富了现有的语义结构信息，为研究漏洞的成因提供了可靠依据，提高了漏洞挖掘精度，保障了系统软件的安全性，用于计算机安全漏洞挖掘及管理。

技术领域

本发明属于计算机信息安全技术领域，主要涉及软件安全漏洞的图谱构建，具体是一种面向源代码双极性软件安全漏洞图谱构建方法，用于计算机安全漏洞挖掘及管理。

背景技术

随着计算机系统的广泛使用，软件中隐藏的缺陷可能导致安全漏洞，这些漏洞通常是由于开发者在编写代码的时候遗留或者处理不当引起的，攻击者通过这些漏洞潜在地破坏系统和应用程序。每年有大量的漏洞被公开并提交给国家漏洞库，根据国家安全漏洞库NVD(National Vulnerability Database)统计，这些数据在逐年增高。由于开源软件和代码重用的盛行，这些漏洞可以被迅速的传播。实践证明，这些漏洞无论从政治上、经济上、军事上都带来巨大的影响力，给国家安全带来巨大的威胁。因此，围绕软件安全漏洞的研究日益受到个人、组织以及国家的重视。

源代码的漏洞特征可以采用空间向量模型、序列模型和图模型表示。传统的漏洞模式挖掘算法中，数据流图、控制流图、函数调用图、抽象语法树等从不同的角度揭示了漏洞的静态特征或者是动态特性。但是由于实际漏洞形成原因和表现方式异常复杂，图模型表示方法缺乏足够的语义信息，难以表达出完整的漏洞特征，漏洞和漏洞补丁之间的关系，特征项之间错综复杂的关系，以及爆发点难以展现出来。

漏洞是产生网络安全问题的根源之一，目前对于漏洞研究主要从漏洞库的建设和漏洞挖掘发展水平两方面进行衡量。漏洞库的建设是为了对已知漏洞通过找到补丁代码进行修复，漏洞挖掘是综合各种应用技术和工具，尽可能找到软件中存在的漏洞。现有的漏洞库中记录信息粒度较粗，可用信息较少，漏洞挖掘技术大都针对特定的程序设计语言或者漏洞类型，漏洞源代码的标注不够丰富，对漏洞模式描述不完整，所使用的漏洞挖掘算法效率较低，安全漏洞的误报率和漏报率较高。

综上所述，针对面向源代码漏洞图谱构建，现有的研究仅仅是对漏洞图谱的应用方面，且仅对漏洞图谱的单面考虑漏洞特征，仅仅展现出漏洞节点的相关特征，并没有展现出补丁节点的相关特征，其次缺乏足够的语义特征，导致构建的漏洞图谱不够全面，深入。截止目前，还没有一种漏洞图谱构建方法，用于网络安全问题。

发明内容

本发明为了克服上述现有技术的不足，提出了一种能够体现漏洞正向特征和反向特征的面向源代码双极性软件安全漏洞图谱构建方法。

本发明是一种面向源代码双极性软件安全漏洞图谱的构建方法，其特征在于，包括有如下步骤：

(1)漏洞源代码获取：将国家安全漏洞库NVD(National VulnerabilityDatabase)中的漏洞源代码通过爬虫的方式下载并获取到漏洞源代码的数据，该数据包括漏洞代码和补丁代码，将获取到的漏洞源代码数据存储在本地漏洞源代码仓库；

(2)数据预处理：将漏洞源代码数据通过自然语言预处理NLP(Natural LanguagePreprocessing)技术，剔除其中无用信息和干扰信息，得到预处理数据；