CN109639720A - 漏洞最优改进策略确定方法、装置及存储介质、服务器 - Google Patents

漏洞最优改进策略确定方法、装置及存储介质、服务器 Download PDF

Info

Publication number
CN109639720A
CN109639720A CN201910015157.4A CN201910015157A CN109639720A CN 109639720 A CN109639720 A CN 109639720A CN 201910015157 A CN201910015157 A CN 201910015157A CN 109639720 A CN109639720 A CN 109639720A
Authority
CN
China
Prior art keywords
loophole
improvement strategy
attacking
strategy
improvement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910015157.4A
Other languages
English (en)
Inventor
邢玉苗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201910015157.4A priority Critical patent/CN109639720A/zh
Publication of CN109639720A publication Critical patent/CN109639720A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及研发管理、开发辅助、服务管理技术领域,本申请实施例提供的一种漏洞最优改进策略确定方法,包括:获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;基于所述漏洞信息和各所述改进策略构建攻防博弈模型;根据所述攻防博弈模型确定最优改进策略。实现了漏洞改进策略更为客观的选定,基于漏洞信息以及改进策略构建攻防博弈模型,通过筛选攻防博弈模型中的各改进策略,确定最优改进策略,在此过程中,测试人员未进行主观的改进策略的选定,进而可以降低测试人员与研发人员的矛盾,并进一步降低测试人员的工作量,同时提高改进策略选定的效率。

Description

漏洞最优改进策略确定方法、装置及存储介质、服务器
技术领域
本发明涉及研发管理、开发辅助、服务管理技术领域,具体涉及一种漏洞最优改进策略确定方法、装置及存储介质、服务器。
背景技术
随着网络信息系统的复杂化和大规模化,在应用程序研发阶段,会出现多样性的漏洞,该漏洞可能降低用户体验感,还可能成为应用程序被攻击的点,且攻击手段愈加多样,应用程序的安全攻防双方的目标对立性和策略依存性,使得最优改进策略难以选取。如何根据不同的攻击强度或者漏洞的影响,折衷考虑改进成本和收益,实现适度安全条件下的主动改进,已成为网络安全面临的主要挑战之一。同时对于从事测试类工作人员,经常会遇到生产bug。因此会有需求对生产bug进行回溯,那么就会涉及到某个生产bug往后的避免措施,即改进策略。目前所了解的现状来看,对bug的应对措施通常是用户根据经验来判断,导致工作人员不能够客观地选取措施,常常为比较片面的且非大众认同实用的措施。
发明内容
为克服以上技术问题,特别是改进策略难以选取以及策略选取客观性不强的问题,特提出以下技术方案:
本发明实施例提供的一种漏洞最优改进策略确定方法,包括:
获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
根据所述攻防博弈模型确定最优改进策略。
可选地,所述基于所述漏洞信息和各所述改进策略构建攻防博弈模型,包括:
获取改进策略价值量化标准;
结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型。
可选地,所述获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略,包括:
获取扫描应用程序得到的所述漏洞信息;
从所述漏洞信息中提取所述漏洞影响信息;
依据所述漏洞影响信息获取与所述漏洞影响信息对应的所述改进策略。
可选地,所述攻防博弈模型利用四元组BRGM=(N,S,θ,U)表示,其中,N是漏洞影响信息集合,S是改进策略集合,θ是基于改进策略确定的漏洞风险集合,U是攻防博弈价值集合。
可选地,结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型,包括:
基于各所述漏洞影响信息及其对应的所述改进策略确定所述漏洞风险级别;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型。
可选地,所述依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型,包括:
依据所述改进策略价值量化标准,获取所述改进策略对应在各价值项目的分值;
对各所述价值项目的分值和权重的乘积进行加权,获得所述改进策略的攻防博弈价值;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述攻防博弈价值构建所述攻防博弈模型。
可选地,所述根据所述攻防博弈模型确定最优改进策略,还包括:
依据所述最优改进策略对所述漏洞信息对应的漏洞进行改进。
本发明实施例还提供了一种漏洞最优改进策略确定装置,包括:
获取模块,用于获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
构建模块,用于基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
确定模块,用于根据所述攻防博弈模型确定最优改进策略。
可选地,所述构建模块,包括:
标准获取单元,用于获取改进策略价值量化标准;
构建单元,用于结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现任一技术方案所述的漏洞最优改进策略确定方法。
本发明实施例还提供了一种服务器,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个应用程序配置用于执行根据任一技术方案所述的漏洞最优改进策略确定方法的步骤。
本发明与现有技术相比,具有以下有益效果:
1、本申请实施例提供的一种漏洞最优改进策略确定方法,包括:获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;基于所述漏洞信息和各所述改进策略构建攻防博弈模型;根据所述攻防博弈模型确定最优改进策略。本申请提供的漏洞最优改进策略确定方法是从多个改进策略中综合选取一个能多方面改进漏洞的策略。通过本申请提供的方法,使得改进策略不仅仅能够最大程度改进应用程序,形成应用程序在该漏洞的防御,还最大程度的降低时间成本、经济成本、人力成本,实现以最少的成本实现最大且也最可靠的防御。当然,在其他的实施方式中,也可以基于该漏洞可能给应用程序造成的影响,筛选最优改进策略,其可以基于漏洞改进的紧迫性、重要性等筛选出最优改进策略。由于漏洞改进策略的确定时基于漏洞信息进行确定的,进而避免测试人员在筛选改进策略过程中的主观意识,更为客观的实现改进策略的确定,有利于减少测试人员与开发人员的矛盾,同时也降低了测试人员的工作量。
2、本申请实施例提供的一种漏洞最优改进策略确定方法,优选的攻防博弈模型采用四元组BRGM=(N,S,θ,U)表示,其中,N是漏洞影响信息集合,S是改进策略集合,θ是基于改进策略确定的漏洞风险集合,U是攻防博弈价值集合。其中,N漏洞影响信息集合和θ基于改进策略确定的漏洞风险集合均是通过漏洞信息确定的,其可以是从漏洞信息中提取出来的,漏洞风险也可以是基于漏洞信息以及测试人员和研发人员制定的风险级别确定规则进行确定,风险级别基于漏洞风险分值进行确定。详见后文。U攻防博弈价值集合是通过改进策略价值量化标准得到的改进策略的价值,该博弈模型综合了漏洞影响、改进策略、漏洞风险以及改进策略价值(攻防博弈价值),使得该攻防博弈模型中攻防双方比较均衡,进而在改进策略选定过程中,可以更为综合考虑各方面的影响,使得改进策略能够最大程度实现对应用程序漏洞的改进,同时也能综合改进策略在重要性、改进可行性、紧迫性、低成本、预期效果上的影响。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明漏洞最优改进策略确定方法的典型实施例中一种实施方式的流程示意图;
图2为本发明漏洞最优改进策略确定装置的典型实施例的结构示意图;
图3为本发明服务器的一实施例结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本领域技术人员应当理解,本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言种类、级别,也不受其赖以运行的操作系统或平台所限制。理所当然地,此类概念也不受任何形式的终端所限制。
本申请实施例提供的一种漏洞最优改进策略确定方法,如图1所示,包括:S100、S200、S300。
S100:获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
S200:基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
S300:根据所述攻防博弈模型确定最优改进策略。
本申请提供的漏洞最优改进策略确定方法是从多个改进策略中综合选取一个能多方面改进漏洞的策略。具体的,当测试应用程序时,若扫描到漏洞,则依据漏洞被攻击时可能造成的影响,采取对应的策略,由于该影响可能是多方面的,而部分改进策略可能仅能降低某一方面的影响。因此,当扫描应用程序得到漏洞信息时,则基于该漏洞信息获取相对应的至少一个对应的改进策略。结合前述可知,漏洞常常是应用程序被攻击的点,因此,在本申请中基于攻防博弈模型确定最优改进策略。相应的,在本申请中,基于漏洞信息确定攻击方,将改进策略作为防御方;由于攻击方主要是根据应用程序的漏洞进行攻击的,或者说该漏洞导致应用程序出现的缺陷,其可与改进策略形成攻防双方,因此,在确定攻击方相关信息时,可以基于漏洞信息确定攻击方想要攻击的点,改进策略则是根据攻击方想要攻击的点进行漏洞的改进,防止攻击方从漏洞的该点攻击应用程序,避免给应用程序造成更大的影响,进而形成攻击方和改进策略之间的博弈,其中,攻击方可能攻击的点和改进策略之间可以为一对一、一对多、多对多中任意一种模式。因此,可以基于漏洞信息和改进策略构建攻防博弈模型。如前所述,由于基于漏洞信息确定的攻击方可能攻击的点和改进策略之间的对应关系,在构建完成攻防博弈模型之后,则从该攻防博弈模型中筛选出最优改进策略,筛选方法如贪心算法、纳什均衡等。该改进策略不仅仅能够最大程度改进应用程序,形成应用程序在该漏洞的防御,还需要最大程度的降低时间成本、经济成本、人力成本,实现以最少的成本实现最大且也最可靠的防御。当然,在其他的实施方式中,也可以基于该漏洞可能给应用程序造成的影响,筛选最优改进策略,其可以基于漏洞改进的紧迫性、重要性等筛选出最优改进策略。通过前述方法,由于漏洞改进策略的确定时基于漏洞信息进行确定的,进而避免测试人员在筛选改进策略过程中的主观意识,更为客观的实现改进策略的确定,有利于减少测试人员与开发人员的矛盾,同时也降低了测试人员的工作量。
可选地,所述基于所述漏洞信息和各所述改进策略构建攻防博弈模型,包括:
获取改进策略价值量化标准;
结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型。
结合前述可知,为了实现改进策略的客观筛选,在本申请中,需要量化改进策略的价值,具体的,改进策略价值可以通过测试和开发人员的进行制定,常规的改进策略价值量化标准,在构建攻防博弈模型过程中,能够为改进策略的筛选增加更为客观的依据。在本申请提供的实施例中,根据改进策略在各方面的得分值,确定该改进策略综合性能,改进策略的检查项目包括:重要性、改进可行性、紧迫性、低成本、预期效果。其中每一项可以依据其所在应用程序运行过程中情况确定,例如:重要性:在当前众多改进策略中,该策略是否是关键的策略?1)长期的策略比临时的策略更重要;2)预防策略比纠正策略更重要;不同情况对应分值不同,如:(9分):是最关键的策略,(6分):是重要的策略,但并不是最关键的,(3分):是否是关键的策略,有点拿不准,(1分):是次要的策略,但具有解决价值,(0分):是次要的策略,不具有解决价值。其他项目如重要性,基于bug测试结果给出对应的分值。具体的,对应的改进策略各项目对应分数机制如表1,在打分时,则依据策略对应项目得分关键点对各策略进行打分。本申请的改进策略价值量化标准详见表1。其中,结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型,详见后文说明。
表1
可选地,所述攻防博弈模型利用四元组BRGM=(N,S,θ,U)表示,其中,N是漏洞影响信息集合,S是改进策略集合,θ是基于改进策略确定的漏洞风险集合,U是攻防博弈价值集合。
如前所述,在本申请中攻防博弈模型的构建是基于漏洞信息和基于漏洞信息确定的改进策略构建而成。其中,基于漏洞信息确定的攻击方可能攻击的点和改进策略,之后再构建攻防博弈模型。在本申请中,优选地,攻防博弈模型采用四元组BRGM=(N,S,θ,U)表示,其中,N是漏洞影响信息集合,S是改进策略集合,θ是基于改进策略确定的漏洞风险集合,U是攻防博弈价值集合。其中,N漏洞影响信息集合和θ基于改进策略确定的漏洞风险集合均是通过漏洞信息确定的,其可以是从漏洞信息中提取出来的,漏洞风险也可以是基于漏洞信息以及测试人员和研发人员制定的风险级别确定规则进行确定,风险级别基于漏洞风险分值进行确定。详见后文。U攻防博弈价值集合是通过改进策略价值量化标准得到的改进策略的价值,如结合表1得到的改进策略的分值。
可选地,所述获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略,包括:
获取扫描应用程序得到的所述漏洞信息;
从所述漏洞信息中提取所述漏洞影响信息;
依据所述漏洞影响信息获取与所述漏洞影响信息对应的所述改进策略。
如前所述,在扫描应用程序过程中扫描到漏洞时,则获取该漏洞的漏洞信息,漏洞信息包括:参数、id、漏洞详情、用户对漏洞的反馈等;常见的漏洞参数有:比如该漏洞出现概率是1次或多次或每一次;漏洞的平台是前端或后台;漏洞的来源是系统测试或回归测试或冒烟测试或UAT测试;漏洞的模块是登录或会话或设置等;b、常见的漏洞详情有:程序停止运行/程序登录失效等。简单来说,详情就是漏洞的描述现象。基于漏洞的描述现象便可以获知该漏洞对整个程序的影响,即其中包括了漏洞影响信息,根据漏洞的描述现象获取改进该现象的改进策略,如前所述,改进策略为测试和研发人员根据漏洞制定的措施。
可选地,结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型,包括:
基于各所述漏洞影响信息及其对应的所述改进策略确定所述漏洞风险级别;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型。
如前所述,在扫描到漏洞时则可以基于漏洞信息快速地确定漏洞风险级别。进一步地,还可以基于漏洞影响信息、改进策略共同确定漏洞风险级别。例如,在漏洞严重级别分别对应:致命、严重、一般、提示时,基于漏洞影响信息可以确定漏洞影响较小、对应的改进策略所需要的时间、人力、经济等成本耗费小,且该漏洞不属于紧迫性漏洞时,则可以确定该漏洞风险级别较低,为提示。进一步地,还可以依据预设的漏洞风险分值和漏洞风险级别之间的关联关系确定漏洞风险级别。相应的,漏洞风险分值的得分判断依据固有公式:级别分值="外部影响"分值*权重+"出现概率"分值*权重+"用户操作类型"分值*权重+"业务功能数"分值*权重+"故障影响"分值*权重+"故障恢复条件"分值*权重。其中,公式中的分值则是表示对应的条件分值(此处分值可以根据测试人员和研发人员制定),如外部影响条件分为:正常条件、异常条件、个人条件;出现概率条件分为:高概率、低概率、极低概率;用户操作类型条件分为:必用操作、非必用操作、异常操作;业务功能用户数条件分为:多数用户、部分用户、极少用户;故障影响条件:损坏其它功能/关键用户(VIP)问题、崩溃/卡死、功能完全失效/体验极差、影响其他功能/功能运行出错或部分失效/体验较差、不影响用户使用的错误、失效/体验不太令人满意、不易察觉的错误、失效;故障恢复条件:杀进程后呈故障态、杀进程后不需触发,一段时长后故障会自动出现、功能性故障(与是否杀进程无关)/复杂的操作后故障恢复/长时间等待后故障自行恢复、简单、关联其它操作后故障恢复/在可接受的时间内故障自行恢复,公式中的权重则分别对应各项的百分比(总分比为100%),如外部影响条件权重占比10%、出现概率权重占比18%、用户操作类型权重占比18%、业务功能用户数权重占比17%、故障影响权重占比20%、故障恢复条件权重占比17%。其中,公式中的条件可以为本申请中的漏洞影响信息,其基于用户反馈和/或测试人员指定条件分值确定规则确定各条件的分值。更进一步地,还可以将前述的公式与改进策略结合确定漏洞风险级别,使得漏洞风险级别确定更为准确。如与前述改进策略价值量化标准确定同一个漏洞对应的各改进策略的分值,然后获取该漏洞的改进策略的平均分值,基于漏洞风险级别分值、改进策略平均分值与风险级别的关联关系确定漏洞风险级别,关联关系基于测试人员和研发人员进行确定,之后依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型,详述如前文所述。在此不做赘述。
可选地,所述依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型,包括:
依据所述改进策略价值量化标准,获取所述改进策略对应在各价值项目的分值;
对各所述价值项目的分值和权重的乘积进行加权,获得所述改进策略的攻防博弈价值;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述攻防博弈价值构建所述攻防博弈模型。
如前所述,为了能够得到改进策略的攻防博弈价值,体现出最优改进策略确定的客观性,在本申请中,依据表1的改进策略价值量化标准确定各改进策略在各检查项的分值,然后依据其在攻防博弈价值中所占的权重确定改进策略在每一项的分配的分值,之后加权各项的分值和权重的乘积得到改进策略的攻防博弈价值。相应的,攻防博弈价值计算公式为:攻防博弈价值=重要性权重*分值+改进的可行性权重*分值+紧迫性权重*分值+低成本权重*分值+预期效果权重*分值。结合前述可知,基于各检查项的得分,结合各检查项在避免漏洞过程中所占的权重确定该漏洞对应改进策略分值,以便于基于该分值采取对应的策略,具体如,结合表1的改进策略价值量化标准的示例可知,某一应用程序的不同改进措施得分如下,例如,改进策略1的得分=6*30%+6*30%+6*10%+9*10%+6*20%=6.3分,改进策略2的得分为=9*30%+9*30%+6*10%+6*10%+6*20%=7.8分。将同一漏洞对应的各改进策略的攻防博弈价值作为攻防博弈价值集合的元素,变得到攻防博弈模型中的攻防博弈价值集合。之后则可以通过贪心算法等对攻防博弈模型进行运算,确定出最优改进策略。可选地,所述根据所述攻防博弈模型确定最优改进策略,还包括:依据所述最优改进策略对所述漏洞信息对应的漏洞进行改进。在确定了最优改进策略之后,则可以基于该改进策略对漏洞信息对应的漏洞进行改进,进而实现漏洞改进策略和漏洞改进的高效完成。
本发明实施例还提供了一种漏洞最优改进策略确定装置,在其中一种实施方式中,如图2所示,包括:获取模块100、构建模块200、确定模块300:
获取模块100,用于获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
构建模块200,用于基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
确定模块300,用于根据所述攻防博弈模型确定最优改进策略。
进一步地,如图2所示,本发明实施例中提供的一种漏洞最优改进策略确定方法装置还包括:标准获取单元210,用于获取改进策略价值量化标准;第一构建单元220,用于结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型。漏洞信息获取单元110,用于获取扫描应用程序得到的所述漏洞信息;提取单元120,用于从所述漏洞信息中提取所述漏洞影响信息;改进策略获取单元130,用于依据所述漏洞影响信息获取与所述漏洞影响信息对应的所述改进策略。风险级别确定单元221,用于基于各所述漏洞影响信息及其对应的所述改进策略确定所述漏洞风险级别;第二构建单元222,用于依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型。项目分值确定单元2221,用于依据所述改进策略价值量化标准,获取所述改进策略对应在各价值项目的分值;加权单元2222,用于对各所述价值项目的分值和权重的乘积进行加权,获得所述改进策略的攻防博弈价值;第三构建单元2223,用于依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述攻防博弈价值构建所述攻防博弈模型。改进模块400,用于依据所述最优改进策略对所述漏洞信息对应的漏洞进行改进
本发明实施例提供的一种漏洞最优改进策略确定装置可以实现上述漏洞最优改进策略确定方法的实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。
本发明实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现任一项技术方案所述的漏洞最优改进策略确定方法。其中,所述计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random AcceSS Memory,随即存储器)、EPROM(EraSable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically EraSable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,存储设备包括由设备(例如,计算机、手机)以能够读的形式存储或传输信息的任何介质,可以是只读存储器,磁盘或光盘等。
本发明实施例提供的一种计算机可读存储介质,可实现上述漏洞最优改进策略确定方法的实施例,在本申请在获取到漏洞信息之后,为了能够实现漏洞改进策略更为客观的选定,基于漏洞信息以及改进策略构建攻防博弈模型,通过筛选攻防博弈模型中的各改进策略,确定最优改进策略,在此过程中,测试人员未进行主观的改进策略的选定,进而可以降低测试人员与研发人员的矛盾,并进一步降低测试人员的工作量,同时提高改进策略选定的效率;本申请实施例提供的一种漏洞最优改进策略确定方法,包括:获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;基于所述漏洞信息和各所述改进策略构建攻防博弈模型;根据所述攻防博弈模型确定最优改进策略。本申请提供的漏洞最优改进策略确定方法是从多个改进策略中综合选取一个能多方面改进漏洞的策略。具体的,当测试应用程序时,若扫描到漏洞,则依据漏洞被攻击时可能造成的影响,采取对应的策略,由于该影响可能是多方面的,而部分改进策略可能仅能降低某一方面的影响。因此,当扫描应用程序得到漏洞信息时,则基于该漏洞信息获取相对应的至少一个对应的改进策略。结合前述可知,漏洞常常是应用程序被攻击的点,因此,在本申请中基于攻防博弈模型确定最优改进策略。相应的,在本申请中,基于漏洞信息确定攻击方,将改进策略作为防御方;由于攻击方主要是根据应用程序的漏洞进行攻击的,或者说该漏洞导致应用程序出现的缺陷,其可与改进策略形成攻防双方,因此,在确定攻击方相关信息时,可以基于漏洞信息确定攻击方想要攻击的点,改进策略则是根据攻击方想要攻击的点进行漏洞的改进,防止攻击方从漏洞的该点攻击应用程序,避免给应用程序造成更大的影响,进而形成攻击方和改进策略之间的博弈,其中,攻击方可能攻击的点和改进策略之间可以为一对一、一对多、多对多中任意一种模式。因此,可以基于漏洞信息和改进策略构建攻防博弈模型。如前所述,由于基于漏洞信息确定的攻击方可能攻击的点和改进策略之间的对应关系,在构建完成攻防博弈模型之后,则从该攻防博弈模型中筛选出最优改进策略,筛选方法如贪心算法、纳什均衡等。该改进策略不仅仅能够最大程度改进应用程序,形成应用程序在该漏洞的防御,还需要最大程度的降低时间成本、经济成本、人力成本,实现以最少的成本实现最大且也最可靠的防御。当然,在其他的实施方式中,也可以基于该漏洞可能给应用程序造成的影响,筛选最优改进策略,其可以基于漏洞改进的紧迫性、重要性等筛选出最优改进策略。通过前述方法,由于漏洞改进策略的确定时基于漏洞信息进行确定的,进而避免测试人员在筛选改进策略过程中的主观意识,更为客观的实现改进策略的确定,有利于减少测试人员与开发人员的矛盾,同时也降低了测试人员的工作量。
此外,在又一种实施例中,本发明还提供一种服务器,如图3所示,所述服务器处理器503、存储器505、输入单元507以及显示单元509等器件。本领域技术人员可以理解,图3示出的结构器件并不构成对所有服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件。存储器505可用于存储应用程序501以及各功能模块,处理器503运行存储在存储器505的应用程序501,从而执行设备的各种功能应用以及数据处理。存储器505可以是内存储器或外存储器,或者包括内存储器和外存储器两者。内存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)、快闪存储器、或者随机存储器。外存储器可以包括硬盘、软盘、ZIP盘、U盘、磁带等。本发明所公开的存储器包括但不限于这些类型的存储器。本发明所公开的存储器505只作为例子而非作为限定。
输入单元507用于接收信号的输入,以及用户输入的个人信息和相关的身体状况信息。输入单元507可包括触控面板以及其它输入设备。触控面板可收集客户在其上或附近的触摸操作(比如客户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作),并根据预先设定的程序驱动相应的连接装置;其它输入设备可以包括但不限于物理键盘、功能键(比如播放控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。显示单元509可用于显示客户输入的信息或提供给客户的信息以及计算机设备的各种菜单。显示单元509可采用液晶显示器、有机发光二极管等形式。处理器503是计算机设备的控制中心,利用各种接口和线路连接整个电脑的各个部分,通过运行或执行存储在存储器503内的软件程序和/或模块,以及调用存储在存储器内的数据,执行各种功能和处理数据。图3中所示的一个或多个处理器503能够执行、实现图2中所示的获取模块100的功能、构建模块200的功能、确定模块300的功能、标准获取单元210的功能、第一构建单元220的功能、漏洞信息获取单元110的功能、改进策略获取单元130的功能、风险级别确定单元221的功能、第二构建单元222的功能、项目分值确定单元2221的功能、加权单元2222的功能、第三构建单元2223的功能、改进模块400的功能。
在一种实施方式中,所述服务器包括一个或多个处理器503,以及一个或多个存储器505,一个或多个应用程序501,其中所述一个或多个应用程序501被存储在存储器505中并被配置为由所述一个或多个处理器503执行,所述一个或多个应用程序301配置用于执行以上实施例所述的漏洞最优改进策略确定方法。
本发明实施例提供的一种服务器,可实现上述漏洞最优改进策略确定方法的实施例,在本申请在获取到漏洞信息之后,为了能够实现漏洞改进策略更为客观的选定,基于漏洞信息以及改进策略构建攻防博弈模型,通过筛选攻防博弈模型中的各改进策略,确定最优改进策略,在此过程中,测试人员未进行主观的改进策略的选定,进而可以降低测试人员与研发人员的矛盾,并进一步降低测试人员的工作量,同时提高改进策略选定的效率;本申请实施例提供的一种漏洞最优改进策略确定方法,包括:获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;基于所述漏洞信息和各所述改进策略构建攻防博弈模型;根据所述攻防博弈模型确定最优改进策略。本申请提供的漏洞最优改进策略确定方法是从多个改进策略中综合选取一个能多方面改进漏洞的策略。具体的,当测试应用程序时,若扫描到漏洞,则依据漏洞被攻击时可能造成的影响,采取对应的策略,由于该影响可能是多方面的,而部分改进策略可能仅能降低某一方面的影响。因此,当扫描应用程序得到漏洞信息时,则基于该漏洞信息获取相对应的至少一个对应的改进策略。结合前述可知,漏洞常常是应用程序被攻击的点,因此,在本申请中基于攻防博弈模型确定最优改进策略。相应的,在本申请中,基于漏洞信息确定攻击方,将改进策略作为防御方;由于攻击方主要是根据应用程序的漏洞进行攻击的,或者说该漏洞导致应用程序出现的缺陷,其可与改进策略形成攻防双方,因此,在确定攻击方相关信息时,可以基于漏洞信息确定攻击方想要攻击的点,改进策略则是根据攻击方想要攻击的点进行漏洞的改进,防止攻击方从漏洞的该点攻击应用程序,避免给应用程序造成更大的影响,进而形成攻击方和改进策略之间的博弈,其中,攻击方可能攻击的点和改进策略之间可以为一对一、一对多、多对多中任意一种模式。因此,可以基于漏洞信息和改进策略构建攻防博弈模型。如前所述,由于基于漏洞信息确定的攻击方可能攻击的点和改进策略之间的对应关系,在构建完成攻防博弈模型之后,则从该攻防博弈模型中筛选出最优改进策略,筛选方法如贪心算法、纳什均衡等。该改进策略不仅仅能够最大程度改进应用程序,形成应用程序在该漏洞的防御,还需要最大程度的降低时间成本、经济成本、人力成本,实现以最少的成本实现最大且也最可靠的防御。当然,在其他的实施方式中,也可以基于该漏洞可能给应用程序造成的影响,筛选最优改进策略,其可以基于漏洞改进的紧迫性、重要性等筛选出最优改进策略。通过前述方法,由于漏洞改进策略的确定时基于漏洞信息进行确定的,进而避免测试人员在筛选改进策略过程中的主观意识,更为客观的实现改进策略的确定,有利于减少测试人员与开发人员的矛盾,同时也降低了测试人员的工作量。
本发明实施例提供的服务器可以实现上述提供的漏洞最优改进策略确定方法的实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种漏洞最优改进策略确定方法,其特征在于,包括:
获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
根据所述攻防博弈模型确定最优改进策略。
2.根据权利要求1所述的漏洞最优改进策略确定方法,其特征在于,所述基于所述漏洞信息和各所述改进策略构建攻防博弈模型,包括:
获取改进策略价值量化标准;
结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型。
3.根据权利要求2所述的漏洞最优改进策略确定方法,其特征在于,所述获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略,包括:
获取扫描应用程序得到的所述漏洞信息;
从所述漏洞信息中提取所述漏洞影响信息;
依据所述漏洞影响信息获取与所述漏洞影响信息对应的所述改进策略。
4.根据权利要求3所述的漏洞最优改进策略确定方法,其特征在于,所述攻防博弈模型利用四元组BRGM=(N,S,θ,U)表示,其中,N是漏洞影响信息集合,S是改进策略集合,θ是基于改进策略确定的漏洞风险集合,U是攻防博弈价值集合。
5.根据权利要求4所述的漏洞最优改进策略确定方法,其特征在于,结合所述漏洞信息、各所述改进策略、改进策略价值量化标准构建所述攻防博弈模型,包括:
基于各所述漏洞影响信息及其对应的所述改进策略确定所述漏洞风险级别;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型。
6.根据权利要求5所述的漏洞最优改进策略确定方法,其特征在于,所述依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述改进策略价值量化标准构建所述攻防博弈模型,包括:
依据所述改进策略价值量化标准,获取所述改进策略对应在各价值项目的分值;
对各所述价值项目的分值和权重的乘积进行加权,获得所述改进策略的攻防博弈价值;
依据所述漏洞影响信息、所述漏洞风险级别、所述改进策略和所述攻防博弈价值构建所述攻防博弈模型。
7.根据权利要求1至6任一项所述的漏洞最优改进策略确定方法,其特征在于,所述根据所述攻防博弈模型确定最优改进策略,还包括:
依据所述最优改进策略对所述漏洞信息对应的漏洞进行改进。
8.一种漏洞最优改进策略确定装置,其特征在于,包括:
获取模块,用于获取扫描应用程序得到的漏洞信息以及改进所述漏洞信息对应漏洞的各改进策略;
构建模块,用于基于所述漏洞信息和各所述改进策略构建攻防博弈模型;
确定模块,用于根据所述攻防博弈模型确定最优改进策略。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现权利要求1至7任一项所述的漏洞最优改进策略确定方法。
10.一种服务器,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个应用程序配置用于执行根据权利要求1至7任一项所述的漏洞最优改进策略确定方法的步骤。
CN201910015157.4A 2019-01-08 2019-01-08 漏洞最优改进策略确定方法、装置及存储介质、服务器 Pending CN109639720A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910015157.4A CN109639720A (zh) 2019-01-08 2019-01-08 漏洞最优改进策略确定方法、装置及存储介质、服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910015157.4A CN109639720A (zh) 2019-01-08 2019-01-08 漏洞最优改进策略确定方法、装置及存储介质、服务器

Publications (1)

Publication Number Publication Date
CN109639720A true CN109639720A (zh) 2019-04-16

Family

ID=66060094

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910015157.4A Pending CN109639720A (zh) 2019-01-08 2019-01-08 漏洞最优改进策略确定方法、装置及存储介质、服务器

Country Status (1)

Country Link
CN (1) CN109639720A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111950770A (zh) * 2020-07-20 2020-11-17 上海淇馥信息技术有限公司 一种管理资源返还辅助策略的方法、装置和电子设备
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
CN113407248A (zh) * 2020-12-11 2021-09-17 绍兴文理学院 基于流量权重控制的传感边缘云内部DDoS攻击主动防御方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130074188A1 (en) * 2011-09-16 2013-03-21 Rapid7 LLC. Methods and systems for improved risk scoring of vulnerabilities
US20170359359A1 (en) * 2016-06-06 2017-12-14 Paypal, Inc. Cyberattack prevention system
CN108683664A (zh) * 2018-05-15 2018-10-19 北京理工大学 一种基于多层次博弈模型的网络风险分析和最优主动防御方法
CN108833402A (zh) * 2018-06-11 2018-11-16 中国人民解放军战略支援部队信息工程大学 一种基于有限理性博弈理论的网络最优防御策略选取方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130074188A1 (en) * 2011-09-16 2013-03-21 Rapid7 LLC. Methods and systems for improved risk scoring of vulnerabilities
US20170359359A1 (en) * 2016-06-06 2017-12-14 Paypal, Inc. Cyberattack prevention system
CN108683664A (zh) * 2018-05-15 2018-10-19 北京理工大学 一种基于多层次博弈模型的网络风险分析和最优主动防御方法
CN108833402A (zh) * 2018-06-11 2018-11-16 中国人民解放军战略支援部队信息工程大学 一种基于有限理性博弈理论的网络最优防御策略选取方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘景玮等: "基于网络攻防博弈模型的最优防御策略选取方法", 《计算机科学》 *
李涛: "基于动态博弈模型的网络防御策略选取方法", 《中国优秀硕士论文库信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112702300A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种安全漏洞的防御方法和设备
WO2021077987A1 (zh) * 2019-10-22 2021-04-29 华为技术有限公司 一种安全漏洞的防御方法和设备
CN111950770A (zh) * 2020-07-20 2020-11-17 上海淇馥信息技术有限公司 一种管理资源返还辅助策略的方法、装置和电子设备
CN113407248A (zh) * 2020-12-11 2021-09-17 绍兴文理学院 基于流量权重控制的传感边缘云内部DDoS攻击主动防御方法

Similar Documents

Publication Publication Date Title
US11972695B2 (en) Method and system for evaluating individual and group cyber threat awareness
CN109639720A (zh) 漏洞最优改进策略确定方法、装置及存储介质、服务器
US9697362B2 (en) Security assessment incentive method for promoting discovery of computer software vulnerabilities
CN109617910A (zh) 漏洞风险评估方法、装置及存储介质、服务器
Seker et al. The concept of cyber defence exercises (cdx): Planning, execution, evaluation
CN110503207A (zh) 联邦学习信用管理方法、装置、设备及可读存储介质
CN108833402A (zh) 一种基于有限理性博弈理论的网络最优防御策略选取方法及装置
Vaz de Melo et al. Forecasting in the NBA and other team sports: Network effects in action
Aoyama et al. On the complexity of cybersecurity exercises proportional to preparedness
Seitz et al. PASDJO: quantifying password strength perceptions with an online game
Gustavson Does good auditing generate quality of government?
Cervellati et al. Violence during democratization and the quality of democratic institutions
CN114553596A (zh) 适用于网络安全的多维度安全情况实时展现方法及系统
US20160371278A1 (en) System and Method for Athlete Assessment and Team Selection
CN115408697A (zh) 网络靶场中防御人员能力评估方法、装置、设备及产品
WO2012029802A1 (ja) 計画作成支援プログラム及び計画作成支援システム
JP7281719B2 (ja) 情報処理装置、投票受付方法及び投票受付プログラム
EP3262509A1 (en) Remote supervision of client device activity
JP2013076754A (ja) 試験装置、問題管理方法、プログラムおよび記録媒体
US11524243B2 (en) Game control method, game server, and game system
Hai-yan et al. Research and design of the common curriculum online examination system that used in military academies
WO2023058677A1 (ja) 管理システム及びゲームシステム
Broadrick et al. {PROVIDENCE}: a Flexible {Round-by-Round}{Risk-Limiting} Audit
Wang Research on the paperless examination in the university public computer laboratory
US11020657B1 (en) Systems and methods for identification and automation of gaming competition reporting and integrity

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190416

RJ01 Rejection of invention patent application after publication