CN110069929B - 漏洞处置分析方法及其分析模型的构建方法和装置 - Google Patents
漏洞处置分析方法及其分析模型的构建方法和装置 Download PDFInfo
- Publication number
- CN110069929B CN110069929B CN201910311318.4A CN201910311318A CN110069929B CN 110069929 B CN110069929 B CN 110069929B CN 201910311318 A CN201910311318 A CN 201910311318A CN 110069929 B CN110069929 B CN 110069929B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- decision tree
- attribute
- node
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供一种漏洞处置分析方法及其分析模型的构建方法和装置,涉及网络安全技术领域,用以提高漏洞修复的效率。该方法包括:首先构建第一决策树,之后获取扫描到的漏洞;利用第一决策树,确定获取的漏洞的处置结果;处置结果包括修复或忽略;其中,第一决策树是通过以下方法构建的:获取至少两个漏洞样本及各漏洞样本对应的处置结果;根据各漏洞样本对应的处置结果,构建第一决策树,第一决策树中各节点的输出根据至少两个漏洞样本各自对应的处置结果确定。上述方法,根据对新扫描到的漏洞属性的分析,能够得到该漏洞的处置结果。根据处置结果,对漏洞进行修复或者忽略,节省了分析漏洞的时间,缩短了修复漏洞的周期,提高了修复漏洞的效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种漏洞处置分析方法及其分析模型的构建方法和装置。
背景技术
漏洞是指一个系统存在的弱点或缺陷、系统对特定威胁攻击或危险事件的敏感性、或进行攻击的威胁作用的可能性。漏洞数量越多,漏洞管理也越复杂。漏洞的存在,很容易导致黑客的侵入及病毒的驻留,会导致数据丢失和篡改、隐私泄露乃至金钱上的损失。
现有技术的漏洞管理方案中,针对扫描类设备对主机和网站扫描出来的漏洞,需要运维人员对于每个漏洞的属性进行分析,并按照分析结果,对每个漏洞进行修复。
在漏洞数量很小的时候,上述方法并不复杂,但是当漏洞量达到万级、十万级、百万级时,运维成本急剧上升。也就是说,运维人员人工对漏洞的属性的进行分析,以及对漏洞进行修复上,都会非常被动和缓慢。
发明内容
为了缩短漏洞修复的周期,提高漏洞修复的效率,提高漏洞运维人员的工作效率,本申请实施例提供一种漏洞处置分析方法及其分析模型的构建方法。
第一方面,本申请实施例提供一种漏洞处置分析方法,该方法包括:
获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性;
利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略;
其中,所述第一决策树是通过以下方法构建的:
获取至少两个漏洞样本及各漏洞样本对应的处置结果;
确定各离散的漏洞属性对应的增益率;
根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
一种可能的实施方式中,确定获取的漏洞的处置结果之后,还包括:
若所述处置结果为修复,则利用第二决策树,确定所述漏洞的修复等级;
其中,所述第二决策树是通过以下方法构建的:从所述漏洞样本中,获取已修复的漏洞样本;获取所述已修复的漏洞样本的修复时长;根据所述修复时长,确定所述已修复的漏洞样本的修复等级;确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率;根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
一种可能的实施方式中,所述方法还包括:
将获取的漏洞的处置结果以及修复等级发送至人工运维平台。
一种可能的实施方式中,扫描的漏洞还包括连续的漏洞属性,构建第一决策树或构建第二决策树之前,所述方法还包括:
针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;
确定各区间的增益率;
针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。
第二方面,本申请实施例提供一种漏洞处置分析模型的构建方法,该方法包括:
获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略;
确定各离散的漏洞属性对应的增益率;
根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
一种可能的实施方式中,每个漏洞属性对应决策树中的一个节点,根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,包括:
对于未处理节点,确定该未处理节点是否是最后一个处理节点;
若该未处理节点不是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率;其中,每个属性取值的处置概率用于表征具有该取值的样本中不同处置结果的概率;并,针对每个属性取值,若该属性取值的处置概率满足第一预设条件,则确定该属性取值连接叶子节点,所述叶子节点为忽略;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;
若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率,确定该属性取值连接叶子节点,该叶子节点为对应的处置概率。
一种可能的实施方式中,构建第一决策树之后,还包括:
剪去所述第一决策树的叶子节点中,所述处置概率小于第一预设阈值的分支。
一种可能的实施方式中,所述方法还包括:
从所述漏洞样本中,获取已修复的漏洞样本;
获取所述已修复的漏洞样本的修复时长;
根据所述修复时长,确定所述已修复的漏洞样本的修复等级;
确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率;
根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
一种可能的实施方式中,根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,包括:
对于未处理节点,确定该未处理节点是否是最后一个处理节点;
若不是,则确定该未处理节点的各属性取值对应的等级概率;其中,每个属性取值的等级概率用于表征具有该取值的样本中不同修复等级的概率;并,针对每个属性取值中的每个等级概率,若该等级概率满足第二预设条件,则确定该属性取值连接叶子节点,所述叶子节点为该等级概率对应的修复等级;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;
若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的等级概率,确定该属性取值连接叶子节点,该叶子节点为对应的等级概率。
一种可能的实施方式中,构建第二策树之后,还包括:
剪去所述第二决策树的叶子节点中,所述等级概率小于第二预设阈值的分支。
一种可能的实施方式中,所述漏洞还包括连续的漏洞属性,构建第一决策树或构建第二决策树之前,所述方法还包括:
针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;
确定各区间的增益率;
针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。
第三方面,本申请实施例中提供一种漏洞处置分析装置,该装置包括:
第一获取模块,用于获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性;
第一确定模块,用于利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略;
第一构建模块,用于构建第一决策树;其中,所述第一决策树是通过以下方法构建的:
获取至少两个漏洞样本;及各漏洞样本对应的处置结果;
确定各离散的漏洞属性对应的增益;
根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
第四方面,本申请实施例提供一种漏洞处置分析模型的构建装置,该装置还包括:
第二获取模块,用于获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略;
第二确定模块,用于确定各离散的漏洞属性对应的增益;
第二构建模块,用于根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
本申请另一实施例还提供了一种计算装置,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请实施例提供的任一漏洞处置建议分析方法及其分析模型的构建方法。
本申请另一实施例还提供了一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行本申请实施例中的任一漏洞处置建议分析方法及其分析模型的构建方法。
本申请实施例提供的漏洞处置建议分析方法及其分析模型的构建方法,通过已构建的第一决策树,分析新扫描到的漏洞。扫描到的漏洞与构建第一决策树时的漏洞中的至少部分漏洞属性相同,相同的漏洞属性的属性值也可能不同。所以,根据对新扫描到的漏洞属性的分析,能够得到该漏洞的处置结果。利用第二决策树对处置结果为修复的漏洞进行分析,得到修复优先级。根据处置结果对漏洞进行修复或者忽略,根据修复优先级,优先修复优先级高的漏洞,节省了分析漏洞的时间,缩短了修复漏洞的周期,提高了修复漏洞的效率,提高了漏洞运维人员的工作效率。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种漏洞处置分析模型的构建流程图;
图2为本申请实施例中另一种漏洞处置分析模型的构建流程图;
图3为本申请实施例中部分第一决策树示意图;
图4为通过本申请实施例提供的方案构建的第一决策树;
图5为通过本申请实施例提供的方案剪枝的第一决策树;
图6为本申请实施例中另一种漏洞处置分析模型的构建流程图;
图7为本申请实施例中另一种漏洞处置分析模型的构建流程图;
图8为本申请实施例中的第二决策树;
图9为通过本申请实施例提供的方案剪枝的第二决策树;
图10为本申请实施例中一种漏洞处置分析方法的流程图;
图11为本申请实施例中一种处置建议分析装置示意图;
图12为本申请实施例中一种漏洞处置分析模型的构建装置示意图;
图13为通过本申请实施方式的计算装置。
具体实施方式
目前,对于漏洞的管理,需要依靠人工对漏洞进行分析并对漏洞进行修复。但是,上述方法导致修复漏洞周期长,对漏洞的修复效率低等问题。
基于上述场景,本申请实施例提供一种漏洞处置分析方法及其分析模型的构建方法。该方法中,首先建立第一决策树,包括:先获取至少两个漏洞样本及各漏洞样本对应的处置结果,然后确定各离散的漏洞属性对应的增益;之后根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树。
之后,通过第一决策树对新扫描到的漏洞进行分析,得到处置结果,包括:获取扫描到的漏洞,该漏洞中包括至少两个离散的漏洞属性;利用第一决策树,确定获取的漏洞的处置结果。
上述方法,通过已构建的第一决策树,分析新扫描到的漏洞。扫描到的漏洞与构建第一决策树时的漏洞中的至少部分漏洞属性相同,相同的漏洞属性的属性值也可能不同。所以,根据对新扫描到的漏洞属性的分析,能够得到该漏洞的处置结果。根据处置结果,对漏洞进行修复或者忽略,节省了分析漏洞的时间,缩短了修复漏洞的周期,提高了修复漏洞的效率。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了能够清楚地了解本申请提供的技术方案,对本申请的一些名词进行解释:
1、处置概率,包括修复概率和忽略概率。处置结果中包括修复和忽略,修复概率指的是获取的漏洞样本中已修复的漏洞样本的占比,忽略概率指的是漏洞样本中未修复的漏洞样本的占比。例如,已获取的样本为10个,其中已修复的样本为7个,未修复的样本为3个。则,修复概率为70%,忽略概率为30%,处置概率为修复概率70%、忽略概率30%。具体实施时,处置概率还可用不同处置结果的比值来表示,例如修复概率可以表示为已获取的样本中修复的样本的数量与已获取的样本的数量的比值,7/10。
2、修复等级包括一级、二级、三级、四级、五级。分别用V1、V2、V3、V4、V5表示。其中,修复等级越高表示漏洞的优先级越高。在修复漏洞时,优先修复优先级高的漏洞,也就是修复等级高的漏洞。
3、等级概率,包括V1的等级概率、V2的等级概率、V3的等级概率、V4的等级概率和V5的等级概率。以V1的等级概率为例,获取的样本为20个,修复等级为一级的为7个,则V1的等级概率为35%、V2的等级概率5%、V3的等级概率10%、V4的等级概率20%、V5的等级概率30%。
下面结合附图介绍本发明实施例提供的技术方案。为了能够清楚的了解本申请实施例,首先介绍本申请实施例中一种漏洞处置分析模型的构建方法。
参阅图1,为本申请实施例中一种漏洞处置分析模型的构建流程图。该流程包括以下步骤:
步骤101:获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略。
具体实施时,可以构建一个威胁情报中心。威胁情报中心会记录漏洞id和属性取值的对应关系,例如poc、risk、heat的取值,以及漏洞id与处置结果的对应关系。每个漏洞样本可以包括多个漏洞属性。例如:
poc表示漏洞是否会被利用,其中,poc取0时表示漏洞不会被利用,poc取1时表示漏洞会被利用;
risk表示漏洞的风险值,其中漏洞的风险值取值0-10,取值越高表示漏洞的风险值越高;
heat表示漏洞的热度,取值0-100,取值越高表示漏洞的热度越高;
importance表示漏洞所在资产的关注度,共有五个等级,包括1、2、3、4、5,其中,等级越高表示关注度越高;
df表示漏洞所在资产是否被防护,取值1时表示被防护,取值0时表示未被防护。
前述多个属性中,poc、importance、df是数值上离散的漏洞属性。其余的为数值上连续的漏洞属性。
步骤102:确定各离散的漏洞属性对应的增益率。
步骤103:根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
上述方法,通过获取多个漏洞,根据漏洞属性和处置结果建立第一决策树,使得能够通过建立的第一决策树对新扫描到的漏洞进行分析,能够得到新扫描到的漏洞的处置结果。这种方式,可以避免通过人工对漏洞进行分析并修复漏洞,节省对漏洞进行分析的时间,能够缩短修复漏洞的周期。
下面针对上述步骤102中,如何确定各离散的漏洞属性对应的增益做一下说明。例如,对于离散的漏洞属性poc、df、importance计算增益。针对poc,在获取的n个漏洞样本中,已修复的漏洞样本有x个,忽略的样本有y个。n个漏洞样本中,poc取值为0的有a个,poc取值为1的有b个,其中,poc取值为0的漏洞样本中,已修复的漏洞样本有x1个,忽略的漏洞样本有y1个。poc取值为1的漏洞样本中,已修复的漏洞样本有x2个,忽略的漏洞样本有y2个。
首先,通过公式(1)-公式(3)计算分类要求信息:
I(p1,n1)=-(x1/a)log(x1/a) 公式(1)
其中,p1表示poc取值为0时已修复的漏洞样本,n1表示poc取值为0时忽略的漏洞样本。
I(p2,n2)=-(x2/b)log(x2/b) 公式(2)
其中,p2表示poc取值为1时已修复的漏洞样本,n2表示poc取值为1时忽略的漏洞样本。
I(p,n)=-(x/n)log(x/n) 公式(3)
其中,p表示获取的漏洞样本中已修复的漏洞样本,n表示获取的漏洞样本中忽略的漏洞样本。
其次,计算poc的期望信息要求:
E(poc)=(a/n)I(p1,n1)+(b/n)I(p2,n2) 公式(4)
之后,计算poc的增益:
Gsin(poc)=I(p,n)-E(poc) 公式(5)
最后,计算poc的增益率:
其中,splitInfo(poc)表示poc的分裂信息:
同理,能够得到df和importance的增益率。
具体实施时,漏洞分析时,采用的漏洞的属性还可包括数值连续的漏洞属性。所以,还需要计算连续的漏洞属性的增益。可以具体实施为,针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间。例如,risk取值为0-10,可以将[0-3]分为第一区间,(3-7]分为第二区间,(7,10]分为第三区间。预设规则可以根据运维人员的经验进行设置,本申请不做限定。之后,确定各区间的增益率。具体的,可以根据上述公式(1)-公式(7)计算各区间的增益率。针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。具体的,可以将各区间的增益率取平均值得到漏洞属性的增益率,或者也可以将各区间的增益率加权平均,得到漏洞属性的增益率。各区间的权值可以由运维人员设置。
上述方法,将连续的漏洞属性分割成各区间,变成离散的值,可以计算连续的漏洞属性的增益率。此外,通过计算各漏洞属性的增益率,能够得到各漏洞属性对决策结果(即修复漏洞还是忽略漏洞)的影响程度,增益率越高对决策结果的影响越大,这样构建的决策树能够更准确的分析新扫描的漏洞的处置结果。
上述步骤103可以具体执行为如图2所示的步骤。
步骤A1:对于未处理节点,确定该未处理节点是否是最后一个处理节点,若不是则执行步骤A2,若是则执行步骤A6。
步骤A2:确定该未处理节点的各属性取值对应的处置概率;其中,每个属性取值的处置概率用于表征具有该取值的样本中不同处置结果的概率。
步骤A3:针对每个属性取值,判断该属性取值的处置概率是否满足第一预设条件,若满足则执行步骤A4,否则执行步骤A5。
具体的,第一预设条件可以是处置概率中忽略概率高于第一预设百分比,该第一预设百分比例如50%、60%等,或者可以是处置概率中忽略概率大于修复概率等。第一预设条件可以根据情况设置。例如,还可以设置为处置概率中修复概率大于忽略概率,或者处置概率中修复概率高于第二预设百分比,例如60%、80%等。此时,若该属性取值的处置概率不满足第一预设条件,则确定该属性取值连接叶子节点,所述叶子节点为忽略。若满足,则通过该属性取值建立与下一个未处理节点的连接关系。
步骤A4:确定该属性取值连接叶子节点,所述叶子节点为忽略。
步骤A5:通过该属性取值建立与下一个未处理节点的连接关系。
步骤A6:确定该未处理节点的各属性取值对应的处置概率,确定该属性取值连接叶子节点,该叶子节点为对应的处置概率。
具体实施时,针对离散的漏洞属性,可以通过属性取值连接叶子节点或者下一未处理节点。针对连续的漏洞属性,则通过该连续的漏洞属性的各区间连接叶子节点或者下一未处理节点。具体的,参阅图3,为本申请实施例中部分第一决策树示意图。以risk为例,将risk分割为三个区间,分别为[0-4]、(4-7]、(7-10]。确定risk各区间对应的处置概率,若该属性区间对应的处置概率满足第三预设条件,则确定该属性区间连接叶子节点,所述叶子节点为忽略,如图3中,risk通过区间[0-4]与忽略建立连接。否则,该通过该属性区间建立与下一个未处理节点的连接关系,例如图3中,risk通过区间(4-7]建立与heat的连接关系。具体的,第三预设条件可以与第一预设条件相同。
上述方法,通过处置概率判断各节点是连接叶子节点,或是继续分裂连接下一个节点,这样通过对获取的多个漏洞样本的属性和处置结果的分析,构建的第一决策树能够更准确的分析新扫描的漏洞的属性以及对新漏洞的处置结果。
为了能够更清楚的理解本申请提供的漏洞处置建议分析模型的构建方法,下面以图4为例,继续对本申请提供的方案进行说明。如图4所示,为通过本申请实施例提供的方案构建的第一决策树。
本申请实施例中,获取了M个漏洞样本,所述漏洞样本中包括poc、df、importance三个离散的漏洞属性和risk、heat两个连续的漏洞属性。还获取了M个漏洞样本对应的处置结果。通过上述公式(1)-公式(7)确定漏洞属性对应的增益率。以增益率最大的漏洞属性为根节点构建第一决策树。具体实施时,可以增益率最大的漏洞属性为根节点,按照增益率从大到小的顺序,选取漏洞属性作为分裂节点构建第一决策树。或者,以增益率最大的漏洞属性为根节点,之后随机选取漏洞属性作为分裂节点构建第一决策树。计算得到的增益率从大到小的顺序为InfoGainRation(poc)>InfoGainRation(df)>InfoGainRation(heat)>InfoGainRation(risk)>InfoGainRation(importance),以按照增益率从大到小的顺序,选取漏洞属性作为分裂节点构建第一决策树为例,本申请实施例中根节点对应的漏洞属性为poc。poc取值为0时处置概率满足第一预设条件,所以确定取值0连接叶子节点(叶子节点为忽略)。poc取值为1时处置概率不满足第一预设条件,则通过取值1建立与下一个未处理节点df的连接关系。同样的,能够得到df的取值与叶子节点和/或heat的连接关系,heat的各区间与叶子节点和/或risk的连接关系,risk的各区间与叶子节点和/或importance的连接关系。针对最后一个未处理节点对应的属性importance,确定importance的各取值对应的处置概率。例如,importance为1的处置概率中忽略概率为15%,修复概率为85%。则,通过取值1连接忽略概率15%,修复概率85%。
参阅图5,为通过本申请实施例提供的方案剪枝的第一决策树。在构建第一决策树之后,剪去所述第一决策树的叶子节点中,所述处置概率小于第一预设阈值的分支。具体的第一预设阈值可以自行设置。例如,可以设置为20%、25%等。以图4中的第一决策树为例,importance为1的处置概率中,忽略概率为15%小于第一预设阈值(20%),所以,剪去该分支。则,取值为1的叶子节点为修复。
通过上述方法,对构建的第一决策树进行剪枝,能够为新扫描的漏洞提供更为清楚地处置结果。
在介绍完本申请实施例中一种漏洞处置分析模型的构建方法之后,接下来介绍另一种漏洞处置分析模型的构建方法。现有技术中,通过人工对漏洞进行分析之后,判断为需要修复的漏洞,还需要人工进一步确定该漏洞的优先级。优先级越高的漏洞,越优先修复。但是,这种通过人工确定漏洞的优先级的方法,浪费人力资源,使得漏洞修复周期变长,降低漏洞修复的效率。
参阅图6,为本申请实施例中另一种漏洞处置分析模型的构建流程图,该流程包括以下步骤:
步骤601:从所述漏洞样本中,获取已修复的漏洞样本。
步骤602:获取所述已修复的漏洞样本的修复时长。
具体实施时,威胁情报中心中针对已修复的漏洞样本还记录了该漏洞样本的修复时长。
步骤603:根据所述修复时长,确定所述已修复的漏洞样本的修复等级。
具体实施时,可以将修复等级分为5个等级。V1对应的修复时长可以为[t1,t2]、V2对应的修复时长可以为[t3,t4]、V3对应的修复时长可以为[t5,t6]、V4对应的修复时长可以为[t7,t8]、V5对应的修复时长可以为[t8,t∞]。
步骤604:确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率。
具体实施时,所述漏洞还包括连续的漏洞属性。对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;确定各区间的增益率;针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。各漏洞属性对应的增益率的计算通过公式(1)-公式(7)实现,此处不再赘述。
步骤605:根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
上述方法,通过获取已修复的漏洞构建第二决策树,对于新扫描的漏洞通过第一决策树分析之后的处置结果为修复的漏洞,继续用第二决策树进行分析,得到新扫描的漏洞的修复等级,修复等级能够反映漏洞的优先级,无需人工对漏洞的优先级进行分析,节省了人力资源,提高了漏洞修复的效率。
上述步骤605可以具体执行为如图7所示的步骤:
步骤B1:对于未处理节点,确定该未处理节点是否是最后一个处理节点,若不是,则执行步骤B2,若是则执行步骤B6。
步骤B2:确定该未处理节点的各属性取值对应的等级概率;其中,每个属性取值的等级概率用于表征具有该取值的样本中不同修复等级的概率。
步骤B3:针对每个属性取值中的每个等级概率,判断该等级概率满足第二预设条件,若满足,则执行步骤B4,若不满足,则执行步骤B5。
具体实施时,第二预设条件可以设置为针对一个修复等级的等级概率,该等级概率高于第三预设百分比,例如50%、60%等。本申请对此不做限定。
步骤B4:确定该属性取值连接叶子节点,所述叶子节点为该等级概率对应的修复等级。
例如,对于poc取值为1的等级概率,修复等级为4的等级概率高于其他修复等级的等级概率。则poc取值1连接叶子节点,叶子节点为V4。
步骤B5:通过该属性取值建立与下一个未处理节点的连接关系。
步骤B6:确定该未处理节点的各属性取值对应的等级概率,确定该属性取值连接叶子节点,该叶子节点为对应的等级概率。
上述方法,通过登记概率判断各节点是连接叶子节点,或是继续分裂连接下一个节点,这样构建的第二决策树,能够更准确分析需要修复的新扫描的漏洞的修复等级。
参阅图8,为本申请实施例中的第二决策树。从获取的漏洞样本中获取了K个已修复的漏洞样本,漏洞样本包括poc、df、importance三个离散的漏洞属性和risk、heat两个连续的漏洞属性。还获取了K个漏洞样本对应的修复时长,并根据修复时长确定了K个漏洞样本对应的修复等级。通过上述公式(1)-公式(7)确定了漏洞属性对应的增益率。同样的,可以增益率最大的漏洞属性为根节点,按照增益率从大到小的顺序,选取漏洞属性作为分裂节点构建第二决策树。或者,以增益率最大的漏洞属性为根节点,之后随机选取漏洞属性作为分裂节点构建第二决策树。计算得到的增益率从大到小的顺序为InfoGainRation(poc)>InfoGainRation(df)>InfoGainRation(heat)>InfoGainRation(risk)>InfoGainRation(importance),以按照增益率从大到小的顺序,选取漏洞属性作为分裂节点构建第二决策树为例,本申请实施例中根节点对应的漏洞属性为poc。poc取值为1时,等级概率不满足第二预设条件,所以,通过取值1建立与下一个未处理节点df的连接关系。同样的,得到了df的取值与叶子节点和/或heat的连接关系,heat的各区间与叶子节点和/或risk的连接关系,risk的各区间与叶子节点和/或importance的连接关系。针对最后一个未处理节点对应的属性importance,确定importance的各取值对应的等级概率。例如,importance为2的等级概率中,V1对应的等级概为10%、修复等级为2的等级概率为15%、修复等级为3的等级概率为5%、修复等级为4的登记概率为40%,修复等级为5的等级概率为30%。则,通过取值2连接等级概率。
参阅图9,为通过本申请实施例提供的方案剪枝的第二决策树。构建第二策树之后,还包括:剪去所述第二决策树的叶子节点中,所述等级概率小于第二预设阈值的分支。具体实施时,第二预设阈值可以与第一预设阈值不同,例如,可以设置为5%、7%等,本申请不做限定。
上述方法,通过剪去等级概率不满足第二预设阈值的分支,使得第二决策树能够更清楚的反映新扫描的漏洞的修复等级。
在介绍了漏洞处置建议分析模型的构建方法之后,本申请实施例还提供一种漏洞处置分析方法。参阅图10,为本申请实施例中一种漏洞处置分析方法的流程图。该流程包括以下步骤:
步骤1001:获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性。
具体实施时,针对新扫描到的漏洞,获取该漏洞的漏洞id,将漏洞id与威胁情报中心的漏洞id进行比较,相同的漏洞id,其漏洞属性取值是相同的。需要说明的是,漏洞属性中importance和df的取值由漏洞id发生的ip决定,也就是漏洞id发生的资产来决定。
步骤1002:利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略。
其中,所述第一决策树是通过以下方法构建的:获取至少两个漏洞样本及各漏洞样本对应的处置结果;确定各离散的漏洞属性对应的增益;根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
通过上述方法,利用第一决策树对新扫描的漏洞进行分析,能够得到该漏洞的处置结果,不需要人工对漏洞进行分析,节省了漏洞修复的时间,提高了漏洞修复的效率。
一种可能的实施方式中,确定获取的漏洞的处置结果之后,还包括:
若所述处置结果为修复,则利用第二决策树,确定所述漏洞的修复等级;
其中,所述第二决策树是通过以下方法构建的:从所述漏洞样本中,获取已修复的漏洞样本;获取所述已修复的漏洞样本的修复时长;根据所述修复时长,确定所述已修复的漏洞样本的修复等级;确定所述已修复的漏洞样本各离散的漏洞属性对应的增益;根据确定的增益及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
上述方法,利用第二决策树对处置结果为修复的漏洞进行分析,能够得到该漏洞的修复等级,可以使得运维人员根据修复等级由高到低的顺序,对漏洞进行修复。由于不需要人工分析漏洞的优先级,提高了漏洞修复的效率。
在得到了新扫描的漏洞的处置结果及修复等级后,将获取的漏洞的处置结果以及修复等级发送至人工运维平台。运维人员则可以根据平台中漏洞对应的处置结果,对漏洞进行修复或者是忽略该漏洞。运维人员还可以根据漏洞的修复等级,优先修复修复等级高的漏洞。
基于相同的发明构思本申请实施例中还提供一种漏洞处置分析装置。参阅图11,为本申请实施例中一种漏洞处置分析装置示意图。该装置包括:
第一获取模块1101,用于获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性;
第一确定模块1102,用于利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略;
第一构建模块1103,用于构建第一决策树;其中,所述第一决策树是通过以下方法构建的:获取至少两个漏洞样本;及各漏洞样本对应的处置结果;确定各离散的漏洞属性对应的增益;根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
可选的,第一确定模块确定获取的漏洞的处置结果之后,还用于若所述处置结果为修复,则利用第二决策树,确定所述漏洞的修复等级;
第一构建模块还用于构建第二决策树。所述第二决策树是通过以下方法构建的:从所述漏洞样本中,获取已修复的漏洞样本;获取所述已修复的漏洞样本的修复时长;根据所述修复时长,确定所述已修复的漏洞样本的修复等级;确定所述已修复的漏洞样本各离散的漏洞属性对应的增益;根据确定的增益及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
可选的,该装置还包括:
发送模块,用于将获取的漏洞的处置结果以及修复等级发送至人工运维平台。
可选的,扫描的漏洞还包括连续的漏洞属性,第一构建模块还用于,在构建第一决策树或构建第二决策树之前:针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;确定各区间的增益;针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益,确定该漏洞属性的增益。
基于相同的发明构思,本申请实施例中还提供一种漏洞处置分析模型的构建装置。参阅图12,为本申请实施例中一种漏洞处置分析模型的构建装置示意图。该装置包括:
第二获取模块1201,用于获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略;
第二确定模块1202,用于确定各离散的漏洞属性对应的增益;
第二构建模块1203,用于根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
可选的,第二构建模块,具体用于对于未处理节点,确定该未处理节点是否是最后一个处理节点;
若该未处理节点不是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率;其中,每个属性取值的处置概率用于表征具有该取值的样本中不同处置结果的概率;并,针对每个属性取值,若该属性取值的处置概率满足第一预设条件,则确定该属性取值连接叶子节点,所述叶子节点为忽略;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率,确定该属性取值连接叶子节点,该叶子节点为对应的处置概率。
可选的,第二构建模块在构建第一决策树之后,还用于剪去所述第一决策树的叶子节点中,所述处置概率小于第一预设阈值的分支。
可选的,该装置还包括:
第三获取模块,用于从所述漏洞样本中,获取已修复的漏洞样本;
第四获取模块,用于获取所述已修复的漏洞样本的修复时长;
第三确定模块,用于根据所述修复时长,确定所述已修复的漏洞样本的修复等级;
第四确定模块,用于确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率;
第三构建模块,用于根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
可选的,第三构建模块具体用于:对于未处理节点,确定该未处理节点是否是最后一个处理节点;若不是,则确定该未处理节点的各属性取值对应的等级概率;其中,每个属性取值的等级概率用于表征具有该取值的样本中不同修复等级的概率;并,针对每个属性取值中的每个等级概率,若该等级概率满足第二预设条件,则确定该属性取值连接叶子节点,所述叶子节点为该等级概率对应的修复等级;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的等级概率,确定该属性取值连接叶子节点,该叶子节点为对应的等级概率。
可选的,第三构建模块在构建第二策树之后,还用于剪去所述第二决策树的叶子节点中,所述等级概率小于第二预设阈值的分支。
可选的,所述漏洞还包括连续的漏洞属性,第二构建模块或第三构建模块在构建第一决策树或构建第二决策树之前,还用于:
针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;确定各区间的增益率;针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。
在介绍了本申请示例性实施方式的漏洞处置建议分析方法及其分析模型的构建方法和装置之后,接下来,介绍根据本申请的另一示例性实施方式的计算装置。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本申请的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的漏洞处置建议分析方法及其分析模型的构建方法中的步骤。例如,处理器可以执行如图1中所示的步骤101-步骤103或者如图2中所示的A1-A6或者如图6所示步骤601-步骤605或者如图7所示的步骤B1-步骤B6或者如图10所示的步骤1001-步骤1002。
下面参照图13来描述根据本申请的这种实施方式的计算装置130。图13显示的计算装置130仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图13所示,计算装置130以通用计算装置的形式表现。计算装置130的组件可以包括但不限于:上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
总线133表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器132可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)1321和/或高速缓存存储器1322,还可以进一步包括只读存储器(ROM)1323。
存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325,这样的程序模块1324包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置130交互的设备通信,和/或与使得该计算装置130能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口135进行。并且,计算装置130还可以通过网络适配器136与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器136通过总线133与用于计算装置130的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置130使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本申请提供的漏洞处置建议分析方法及其分析模型的构建方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的漏洞处置建议分析方法及其分析模型的构建方法中的步骤,例如,计算机设备可以执行如图1中所示的步骤101-步骤103或者如图2中所示的A1-A6或者如图6所示步骤601-步骤605或者如图7所示的步骤B1-步骤B6或者如图10所示的步骤1001-步骤1002。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的漏洞处置建议分析方法和漏洞处置建议分析模型的构建的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中,远程计算装置可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算装置,或者,可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (14)
1.一种漏洞处置分析方法,其特征在于,所述方法包括:
获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性;
利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略;
其中,所述第一决策树是通过以下方法构建的:
获取至少两个漏洞样本及各漏洞样本对应的处置结果;
确定各离散的漏洞属性对应的增益率,所述增益率用于表示所述漏洞属性对所述处置结果的影响程度;
根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
2.根据权利要求1所述的方法,其特征在于,确定获取的漏洞的处置结果之后,还包括:
若所述处置结果为修复,则利用第二决策树,确定所述漏洞的修复等级;
其中,所述第二决策树是通过以下方法构建的:从所述漏洞样本中,获取已修复的漏洞样本;获取所述已修复的漏洞样本的修复时长;根据所述修复时长,确定所述已修复的漏洞样本的修复等级;确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率;根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
将获取的漏洞的处置结果以及修复等级发送至人工运维平台。
4.根据权利要求2所述的方法,其特征在于,扫描的漏洞还包括连续的漏洞属性,构建第一决策树或构建第二决策树之前,所述方法还包括:
针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;
确定各区间的增益率;
针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。
5.一种漏洞处置分析模型的构建方法,其特征在于,所述方法包括:
获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略;
确定各离散的漏洞属性对应的增益率,所述增益率用于表示所述漏洞属性对所述处置结果的影响程度;
根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
6.根据权利要求5所述的方法,其特征在于,每个漏洞属性对应决策树中的一个节点,根据确定的增益率及各漏洞样本对应的处置结果,构建第一决策树,包括:
对于未处理节点,确定该未处理节点是否是最后一个处理节点;
若该未处理节点不是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率;其中,每个属性取值的处置概率用于表征具有该取值的样本中不同处置结果的概率;并,针对每个属性取值,若该属性取值的处置概率满足第一预设条件,则确定该属性取值连接叶子节点,所述叶子节点为忽略;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;
若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的处置概率,确定该属性取值连接叶子节点,该叶子节点为对应的处置概率。
7.根据权利要求6所述的方法,其特征在于,构建第一决策树之后,还包括:
剪去所述第一决策树的叶子节点中,所述处置概率小于第一预设阈值的分支。
8.根据权利要求5所述的方法,其特征在于,所述方法还包括:
从所述漏洞样本中,获取已修复的漏洞样本;
获取所述已修复的漏洞样本的修复时长;
根据所述修复时长,确定所述已修复的漏洞样本的修复等级;
确定所述已修复的漏洞样本各离散的漏洞属性对应的增益率;
根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,所述第二决策树中各节点的输出根据所述已修复的漏洞样本对应的修复等级确定。
9.根据权利要求8所述的方法,其特征在于,根据确定的增益率及各已修复的漏洞样本对应的修复等级,构建第二决策树,包括:
对于未处理节点,确定该未处理节点是否是最后一个处理节点;
若不是,则确定该未处理节点的各属性取值对应的等级概率;其中,每个属性取值的等级概率用于表征具有该取值的样本中不同修复等级的概率;并,针对每个属性取值中的每个等级概率,若该等级概率满足第二预设条件,则确定该属性取值连接叶子节点,所述叶子节点为该等级概率对应的修复等级;否则,通过该属性取值建立与下一个未处理节点的连接关系;并返回执行确定该未处理节点是否是最后一个处理节点的步骤;
若该未处理节点是最后一个未处理节点,则确定该未处理节点的各属性取值对应的等级概率,确定该属性取值连接叶子节点,该叶子节点为对应的等级概率。
10.根据权利要求9所述的方法,其特征在于,构建第二策树之后,还包括:
剪去所述第二决策树的叶子节点中,所述等级概率小于第二预设阈值的分支。
11.根据权利要求5-9任一所述的方法,其特征在于,所述漏洞还包括连续的漏洞属性,构建第一决策树或构建第二决策树之前,所述方法还包括:
针对各连续的漏洞属性,根据预设规则,将所述连续的漏洞属性分割为多个区间;
确定各区间的增益率;
针对每个连续的漏洞属性,根据该漏洞属性的各区间的增益率,确定该漏洞属性的增益率。
12.一种漏洞处置分析装置,其特征在于,所述装置包括:
第一获取模块,用于获取扫描到的漏洞;所述漏洞中包括至少两个离散的漏洞属性;
第一确定模块,用于利用第一决策树,确定获取的漏洞的处置结果;所述处置结果包括修复或忽略;
第一构建模块,用于构建第一决策树;其中,所述第一决策树是通过以下方法构建的:
获取至少两个漏洞样本;及各漏洞样本对应的处置结果;
确定各离散的漏洞属性对应的增益率,所述增益率用于表示所述漏洞属性对所述处置结果的影响程度;
根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
13.一种漏洞处置分析模型的构建装置,其特征在于,所述装置还包括:
第二获取模块,用于获取至少两个漏洞样本;所述漏洞样本中包括至少两个离散的漏洞属性及各漏洞样本对应的处置结果,所述处置结果包括修复和忽略;
第二确定模块,用于确定各离散的漏洞属性对应的增益率,所述增益率用于表示所述漏洞属性对所述处置结果的影响程度;
第二构建模块,用于根据确定的增益及各漏洞样本对应的处置结果,构建第一决策树,所述第一决策树中各节点的输出根据所述至少两个漏洞样本各自对应的处置结果确定。
14.一种计算机可读介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1-4或5-10中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910311318.4A CN110069929B (zh) | 2019-04-18 | 2019-04-18 | 漏洞处置分析方法及其分析模型的构建方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910311318.4A CN110069929B (zh) | 2019-04-18 | 2019-04-18 | 漏洞处置分析方法及其分析模型的构建方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110069929A CN110069929A (zh) | 2019-07-30 |
| CN110069929B true CN110069929B (zh) | 2021-06-18 |
Family
ID=67367930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910311318.4A Active CN110069929B (zh) | 2019-04-18 | 2019-04-18 | 漏洞处置分析方法及其分析模型的构建方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110069929B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147491B (zh) * | 2019-12-26 | 2022-11-22 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN112069503A (zh) * | 2020-08-05 | 2020-12-11 | 长沙市到家悠享网络科技有限公司 | 任务管理方法、设备及存储介质 |
| CN112311767B (zh) * | 2020-09-29 | 2022-09-16 | 北京智联安行科技有限公司 | 基于关联分析的车联网漏洞分析方法、装置、介质及设备 |
| CN115225336B (zh) * | 2022-06-24 | 2023-08-08 | 中国人民解放军国防科技大学 | 一种面向网络环境的漏洞可利用性的计算方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0999489A2 (en) * | 1998-11-06 | 2000-05-10 | Citibank, N.A. | Method and system for evaluating information security |
| CN103258165A (zh) * | 2013-05-10 | 2013-08-21 | 华为技术有限公司 | 漏洞测评的处理方法和装置 |
| CN106506564A (zh) * | 2016-12-31 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理方法及装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9256746B2 (en) * | 2012-12-14 | 2016-02-09 | Vmware, Inc. | Device and method for remediating vulnerabilities |
| CN104407589B (zh) * | 2014-11-26 | 2017-01-25 | 西北工业大学 | 面向车间制造过程的实时生产性能主动感知与异常分析方法 |
| CN106934423A (zh) * | 2017-03-16 | 2017-07-07 | 重庆邮电大学 | 一种决策树的构建方法及系统 |
| CN108681505B (zh) * | 2018-04-13 | 2021-08-17 | 广东睿江云计算股份有限公司 | 一种基于决策树的测试用例排序方法和装置 |
-
2019
- 2019-04-18 CN CN201910311318.4A patent/CN110069929B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0999489A2 (en) * | 1998-11-06 | 2000-05-10 | Citibank, N.A. | Method and system for evaluating information security |
| CN103258165A (zh) * | 2013-05-10 | 2013-08-21 | 华为技术有限公司 | 漏洞测评的处理方法和装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN106506564A (zh) * | 2016-12-31 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理方法及装置 |
| CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 一种识别漏洞属性的算法;朱俚治等;《万方数据库》;20151123;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110069929A (zh) | 2019-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110069929B (zh) | 漏洞处置分析方法及其分析模型的构建方法和装置 | |
| US10614226B2 (en) | Machine learning statistical methods estimating software system's security analysis assessment or audit effort, cost and processing decisions | |
| CN112183782B (zh) | 故障工单处理方法及设备 | |
| US9589134B2 (en) | Remediation of security vulnerabilities in computer software | |
| CN111160749A (zh) | 一种情报质量评估和情报融合方法及装置 | |
| US8997060B2 (en) | Parallel program analysis and branch prediction | |
| CN111435393B (zh) | 对象漏洞的检测方法、装置、介质及电子设备 | |
| CN111866016A (zh) | 日志的分析方法及系统 | |
| US20170126523A1 (en) | Alert remediation automation | |
| CN111814203B (zh) | 一种环境数据的处理方法、装置、设备及存储介质 | |
| CN112016138A (zh) | 一种车联网自动化安全建模的方法、装置和电子设备 | |
| CN110018935A (zh) | 存储设备测试方法、系统、装置及计算机可读存储介质 | |
| KR20080096518A (ko) | 해석가능한 코드를 실행시키는 것과 연관된 위험의 사정을용이하게 하는 컴퓨터 구현 방법, 컴퓨터 프로그램 제품,및 컴퓨팅 시스템 | |
| CN114491513A (zh) | 基于知识图谱的区块链智能合约重入攻击检测系统与方法 | |
| Pandey et al. | A framework for producing effective and efficient secure code through malware analysis | |
| US20200036737A1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
| CN113965363B (zh) | 一种基于Web用户行为的漏洞研判方法和装置 | |
| CN116167935A (zh) | 二维码的修复方法、装置、设备及介质 | |
| CN114090514A (zh) | 分布式系统的日志检索方法及装置 | |
| CN110674491B (zh) | 用于安卓应用的实时取证的方法、装置和电子设备 | |
| CN113297241A (zh) | 网络流量的判断方法、装置、设备、介质和程序产品 | |
| CN112988441A (zh) | 异常处理方法和装置 | |
| US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
| US20120233224A1 (en) | Data processing | |
| CN114629694B (zh) | 一种分布式拒绝服务DDoS的检测方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant after: NSFOCUS Technologies Group Co.,Ltd. Applicant after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: NSFOCUS TECHNOLOGIES Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |