[发明专利]软件漏洞异常智能检测系统及方法

说明书

本发明提供了一种软件漏洞异常智能检测系统及方法，通过自动化特征提取和集成策略算法有效的区分了漏洞和误报，自动化特征提取包括：漏洞和误报数据的输入、自动化数据清洗、自动化特征识别、自动化特征处理并进行向量化，且把各节点集成至通道上进行数据传输；集成策略算法包括：机器学习单节点、集成算法节点和深度学习节点，对外开放统一的配置文件，可自定义各模型超参数、可选择节点配置生成传输通道，根据自身策略得到漏洞异常智能检测模型，生成漏洞检测报告。基于自动化特征提取和集成策略算法，在一定程度上给系统赋予了强通用性、易扩展、低耦合、降低了特征提取对领域知识的缺乏、解除了算法选择的片面性，有效提升了检测效果。

技术领域

本发明涉及计算机网络安全技术领域，具体地讲，涉及一种软件漏洞异常智能检测系统及方法。

背景技术

随着互联网的发展和人们生活水平的不断提高，软件的生态系统得到蓬勃发展，大数据、云计算、可穿戴设备、智慧城市等技术改变了生产生活和思维模式，创建了联系更加紧密的人类社会，这必然使得软件漏洞攻击造成的影响更加普遍和深远。

软件漏洞是软件设计、规范和编程中固有缺陷或者错误。软件是技术进步的产物，而漏洞是存在于软件上的天然短板。虽然漏洞检测水平不断更新，提供商研发补丁的速度与日俱增，但由于软件产生的原因都是在短时间内无法克服的，致使软件漏洞具有普遍性和常存性。传统的漏洞检测需要人工去手动验证，繁琐的任务需要耗资大量的人力物力，同时还不能保证漏洞的误报率，随着人工智能的趋势发展，也可以通过机器学习和深度学习的方法去漏洞检测，但是，传统的机器学习模型在提取特征时，需要足够的领域知识，传统的深度学习模型需要满足足够的数据量，二者显然不能完美的解决目前存在的问题。

发明内容

针对现有的机器学习特征提取依赖足够的领域知识和深度学习依赖足够的数据量问题，本发明首先提出了一种软件漏洞异常智能检测系统，具体技术方案如下：

一种软件漏洞异常智能检测系统，其关键在于，包括激活装置、学习数据存储装置、扫描器、数据收集通道、特征提取模块、离线分析模块和在线预测模块；其中：

所述激活装置：用于启动漏洞异常智能检测进程，并确定是做在线预测还是离线分析；

所述学习数据存储装置，用于离线分析时向所述数据收集通道提供存储的学习数据；

所述扫描器，用于在线预测时向所述数据收集通道提供软件的在线数据，包括漏洞和误报数据；

所述数据收集通道，用于收集学习数据和在线数据，并进行数据清洗；

所述特征提取模块，用于提取各个数据的特征向量并构建最终的特征向量集；

所述离线分析模块，根据所述学习数据对应的特征向量集训练模型，并将最佳模型加载至所述在线预测模块中；

所述在线预测模块，根据加载的最佳模型进行在线预测，得出软件漏洞异常检测结果。

进一步地，系统还包括后台调度器，所述后台调度器按照预定的时间周期触发所述激活装置。

可选地，所述数据收集通道预设有默认清洗函数以及清洗函数自定义接口，通过默认的清洗函数或自定义的清洗函数对数据进行清洗。

可选地，所述特征提取模块通过配置多个行为识别函数得到不同的特征值，所述行为识别函数包括热编码行为识别函数、权重行为识别函数、常规数值行为识别函数。

可选地，所述默认清洗函数包括去重过滤函数和缺失值过滤函数。

可选地，所述离线分析模块中建立了多种算法模型，包括朴素贝叶斯模型、逻辑回归模型、决策树模型、随机森林模型、XGBoost模型、循环神经网络模型，并通过预定指标确定最佳模型。