CN110287704A - 一种基于漏洞图谱的漏洞软件依赖关系构建方法 - Google Patents

一种基于漏洞图谱的漏洞软件依赖关系构建方法 Download PDF

Info

Publication number
CN110287704A
CN110287704A CN201910556668.7A CN201910556668A CN110287704A CN 110287704 A CN110287704 A CN 110287704A CN 201910556668 A CN201910556668 A CN 201910556668A CN 110287704 A CN110287704 A CN 110287704A
Authority
CN
China
Prior art keywords
software
entity
loophole
map
depended
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910556668.7A
Other languages
English (en)
Other versions
CN110287704B (zh
Inventor
吴敬征
倪琛
杨牧天
罗天悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhongke Weilan Technology Co Ltd
Original Assignee
Beijing Zhongke Weilan Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhongke Weilan Technology Co Ltd filed Critical Beijing Zhongke Weilan Technology Co Ltd
Priority to CN201910556668.7A priority Critical patent/CN110287704B/zh
Publication of CN110287704A publication Critical patent/CN110287704A/zh
Application granted granted Critical
Publication of CN110287704B publication Critical patent/CN110287704B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明实施例公开了一种基于漏洞图谱的漏洞软件依赖关系构建方法,涉及信息安全技术领域。所述方法包括:在漏洞图谱中选取样本软件,对样本软件进行信息抽取和信息补全,形成样本软件实体,并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系;对待测软件进行依赖软件和软件属性的提取,并自动抽取所述待测软件的属性及其依赖软件,形成待测软件实体和依赖软件实体;将待测软件实体和依赖软件实体与样本软件实体进行匹配和关联,并对漏洞图谱进行扩充;在扩充后的漏洞图谱中对待测软件的依赖软件进行检测,生成检测报告。本发明实施例能够解决现有技术中尚不存在基于漏洞图谱的漏洞软件依赖关系构建方法而导致软件安全性低的问题。

Description

一种基于漏洞图谱的漏洞软件依赖关系构建方法
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种基于漏洞图谱的漏洞软件依赖关系构建方法。
背景技术
随着敏捷开发和开源软件的流行,开源软件的应用愈发广泛。研究显示,一个软件中平均75%的软件代码来自开源软件。开源软件在给开发带来便利的同时,其存在的漏洞也为软件带来了巨大的风险。根据Veracode发布的《2017年软件安全报告》,88%的Java应用包含至少一个含有漏洞的软件,53.3%的Java应用软件都在使用包含漏洞的软件版本。开源软件拉动支持(pull support)模式,使得开发人员需要自行负责跟踪其使用的开源软件,并对发现的漏洞进行修复和更新;而漏洞修复的复杂性和开发人员的安全意识不足,造成只有不到28%的企业会对软件的安全性进行审查。由于存在漏洞的软件(包括开源软件)被大量复用,当一个软件中的漏洞被挖掘并利用,可以导致依赖该软件的应用软件面临被攻击的风险。因此,构建漏洞软件的依赖关系,发现并跟踪应用软件的依赖软件,对提升应用软件的安全性很有必要。
漏洞图谱(Vulnerability Graph)是基于安全漏洞领域知识构建的领域知识图谱,通过对每个安全漏洞进行概念刻画与描述,挖掘漏洞、软件、威胁等相关事务之间的联系,是事务之间联系最有效的表示方式。
基于漏洞图谱构建漏洞和软件,软件和软件之间的联系,同时对软件中的漏洞进行跟踪,可以有效提升依赖此软件的应用软件的安全性。但到目前为止,还没有基于漏洞图谱的漏洞软件依赖关系构建方法。
发明内容
为此,本发明实施例提供一种基于漏洞图谱的漏洞软件依赖关系构建方法,以解决现有技术中尚不存在基于漏洞图谱的漏洞软件依赖关系构建方法而导致软件安全性低的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,
提供一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,所述方法包括:在漏洞图谱中选取样本软件,对样本软件进行信息抽取和信息补全,形成样本软件实体,并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系,其中,所述样本软件为受到漏洞实体影响的软件;对待测软件进行依赖软件和软件属性的提取,并自动抽取所述待测软件的属性及其依赖软件,形成待测软件实体和依赖软件实体;将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联,并对漏洞图谱进行扩充;在扩充后的漏洞图谱中对待测软件的依赖软件进行检测,生成检测报告。
进一步地,在漏洞图谱中对漏洞实体和样本软件实体建立关联关系的方法包括:在漏洞图谱中,查询并筛选出符合条件的漏洞实体,其中,受到所述漏洞实体影响的样本软件类型为应用程序;抽取样本软件的厂商名称、软件名称、版本号信息;根据信息来源的类型制定相应的抽取规则,获取样本软件的所属领域、应用范围、编程语言信息;将样本软件的厂商名称、软件名称、版本号信息以及所属领域、应用范围和编程语言信息进行融合,形成新的软件属性,构建样本软件实体;将构建的样本软件实体加入漏洞图谱,并在漏洞图谱中创建所述样本软件实体与影响此软件的漏洞实体之间的关系。
进一步地,形成所述待测软件实体的方法包括:
根据待测软件信息来源的类型制定抽取规则,根据抽取规则获取待测软件的属性值,根据抽取的待测软件的属性值作为属性,创建待测软件实体;其中待测软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
进一步地,形成所述依赖软件实体的方法包括:查找待测软件的依赖软件,并根据依赖软件信息来源类型制定抽取规则,根据抽取规则获取依赖软件的属性值,根据抽取的依赖软件的属性值作为属性,创建依赖软件实体;其中,依赖软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
进一步地,将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联时,首先在漏洞图谱中查询是否存在于待测软件和依赖软件的名称,检测是否存在与待测软件实体和依赖软件实体名称相同的软件实体;若不存在,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充,然后在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;若存在,则计算待测软件实体和依赖软件实体与样本软件实体的实体相似度,再按照实体相似度的大小进行待测软件实体和依赖软件实体与漏洞图谱关联关系的匹配。
进一步地,设置两个软件实体的实体相似度阈值为T,若计算得到的实体相似度的值S大于T,则两个软件实体等价,在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;若计算得到的实体相似度的值S小于或等于T,则两个软件实体不等价,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充。
进一步地,所述实体相似度的计算公式为:
其中,S为两个软件实体的实体相似度,xi,yi为两个软件实体在第i个属性上的属性值,x1,y1为软件实体的厂商名称属性值,T1为x1,y1的属性相似度阈值,wi为权重,wi越大,则两个软件实体的相似度越高。
进一步地,所述检测报告包括:待测软件的所有依赖软件、待测软件与依赖软件之间的依赖关系、依赖软件存在的漏洞信息和漏洞修复建议。
本发明实施例具有如下优点:
本发明首先建立样本软件实体,并将样本软件实体与漏洞实体相关联,再对待测软件的依赖软件进行提取,并生成待测软件实体和依赖软件实体,通过抽取规则获取对应属性的待测软件实体和依赖软件实体进行检测,对漏铜图谱进行扩充,并通过比较实体相似度的大小来判断待测软件实体与依赖软件实体和漏洞图谱中实体的相似度,再进行关联,提取给定软件的依赖软件并生成检测报告。本发明为漏洞软件的依赖关系建立了自动化的发现和检测体系,并提供检测结果供软件开发使用人员参考。本发明可有效减少依赖软件中的漏洞给应用软件带来的安全风险,进而提升应用软件的安全性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例提供的一种基于漏洞图谱的漏洞软件依赖关系构建方法流程图;
图2为本发明实施例提供的一种基于漏洞图谱的漏洞软件依赖关系构建方法中步骤S4的具体流程图;
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于漏洞图谱的漏洞软件依赖关系构建方法,包括:
S1、在漏洞图谱中选取样本软件,对样本软件进行信息抽取和信息补全,形成样本软件实体,并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系,其中,所述样本软件为受到漏洞实体影响的软件;
具体地,首先在漏洞图谱中,查询并筛选出符合条件的漏洞实体,其中,受到漏洞实体影响的样本软件类型为应用程序;信息抽取即:抽取样本软件的厂商名称、软件名称、版本号信息。信息补全即:将以抽取的信息为属性构建样本软件实体。
然后根据信息来源的类型制定相应的抽取规则,获取样本软件的所属领域、应用范围、编程语言信息;
再将样本软件的厂商名称、软件名称、版本号信息以及所属领域、应用范围和编程语言信息进行融合,形成新的软件属性,构建样本软件实体;
将构建的样本软件实体加入漏洞图谱,并在漏洞图谱中创建所述样本软件实体与影响此软件的漏洞实体之间的关系。
S2、对待测软件进行依赖软件和软件属性的提取,并自动抽取所述待测软件的属性及其依赖软件,形成待测软件实体和依赖软件实体;
具体地,根据待测软件信息来源的类型制定抽取规则,根据抽取规则获取待测软件的属性值,根据抽取的待测软件的属性值作为属性,创建待测软件实体;其中待测软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
查找待测软件的依赖软件,并根据依赖软件信息来源类型制定抽取规则,根据抽取规则获取依赖软件的属性值,根据抽取的依赖软件的属性值作为属性,创建依赖软件实体;其中,依赖软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
上述抽取规则可以是根据任一软件所具有的属性类型和属性值,抽取具有该属性的待测软件或依赖软件。
S3、将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联,并对漏洞图谱进行扩充;
参考图2,具体地,将待测软件实体和依赖软件实体与样本软件实体进行匹配和关联时,首先在漏洞图谱中查询是否存在于待测软件和依赖软件的名称,检测是否存在与待测软件实体和依赖软件实体名称相同的软件实体;
若不存在,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充,然后在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;
若存在,则使用Jaccard系数,计算待测软件实体和依赖软件实体与样本软件实体的实体相似度,再按照实体相似度的大小进行待测软件实体和依赖软件实体与漏洞图谱关联关系的匹配。Jaccard系数,又叫Jaccard相似性系数,用来比较样本集中的相似性和分散性的一个概率。Jaccard系数等于样本集交集与样本集合集的比值,即J=|A∩B|/|A∪B|。
实体相似度的计算公式为:
其中,S为两个软件实体的实体相似度,xi,yi为两个软件实体在第i个属性上的属性值,x1,y1为软件实体的厂商名称属性值,T1为x1,y1的属性相似度阈值,sim(xi,yi)表示第i个属性的相似度,wi为权重,wi越大,则两个软件实体的相似度越高。
设置两个软件实体的实体相似度阈值为T,若计算得到的实体相似度的值S大于T,则两个软件实体等价,在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;
若计算得到的实体相似度的值S小于或等于T,则两个软件实体不等价,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充。
S4、在扩充后的漏洞图谱中对待测软件的依赖软件进行检测,生成检测报告。
检测报告包括:待测软件的所有依赖软件、待测软件与依赖软件之间的依赖关系、依赖软件存在的漏洞信息和漏洞修复建议。供软件开发人员和使用人员参考,能够帮助软件开发者和使用者跟踪应用软件的安全状况,防范安全风险,进而提升应用软件整体安全。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (8)

1.一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,所述方法包括:
在漏洞图谱中选取样本软件,对样本软件进行信息抽取和信息补全,形成样本软件实体,并在漏洞图谱中对漏洞实体和样本软件实体建立关联关系,其中,所述样本软件为受到漏洞实体影响的软件;
对待测软件进行依赖软件和软件属性的提取,并自动抽取所述待测软件的属性及其依赖软件,形成待测软件实体和依赖软件实体;
将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联,并对漏洞图谱进行扩充;
在扩充后的漏洞图谱中对待测软件的依赖软件进行检测,生成检测报告。
2.如权利要求1所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,在漏洞图谱中对漏洞实体和样本软件实体建立关联关系的方法包括:
在漏洞图谱中,查询并筛选出符合条件的漏洞实体,其中,受到所述漏洞实体影响的样本软件类型为应用程序;
抽取样本软件的厂商名称、软件名称、版本号信息;
根据信息来源的类型制定相应的抽取规则,获取样本软件的所属领域、应用范围、编程语言信息;
将样本软件的厂商名称、软件名称、版本号信息以及所属领域、应用范围和编程语言信息进行融合,形成新的软件属性,构建样本软件实体;
将构建的样本软件实体加入漏洞图谱,并在漏洞图谱中创建所述样本软件实体与影响此软件的漏洞实体之间的关系。
3.如权利要求1所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,形成所述待测软件实体的方法包括:
根据待测软件信息来源的类型制定抽取规则,根据抽取规则获取待测软件的属性值,根据抽取的待测软件的属性值作为属性,创建待测软件实体;其中待测软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
4.如权利要求1所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,形成所述依赖软件实体的方法包括:
查找待测软件的依赖软件,并根据依赖软件信息来源类型制定抽取规则,根据抽取规则获取依赖软件的属性值,根据抽取的依赖软件的属性值作为属性,创建依赖软件实体;其中,依赖软件的属性值包括厂商名称、软件名称、版本号、所属领域、应用范围和编程语言。
5.如权利要求1所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,将所述待测软件实体和依赖软件实体与所述样本软件实体进行匹配和关联时,首先在漏洞图谱中查询是否存在于待测软件和依赖软件的名称,检测是否存在与待测软件实体和依赖软件实体名称相同的软件实体;
若不存在,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充,然后在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;
若存在,则计算待测软件实体和依赖软件实体与样本软件实体的实体相似度,再按照实体相似度的大小进行待测软件实体和依赖软件实体与漏洞图谱关联关系的匹配。
6.如权利要求5所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,设置两个软件实体的实体相似度阈值为T,若计算得到的实体相似度的值S大于T,则两个软件实体等价,在漏洞图谱中建立待测软件实体、依赖软件实体与样本软件实体之间的关联关系;
若计算得到的实体相似度的值S小于或等于T,则两个软件实体不等价,则直接将待测软件实体和依赖软件实体添加到漏洞图谱中,对漏洞图谱进行扩充。
7.如权利要求5所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,所述实体相似度的计算公式为:
其中,S为两个软件实体的实体相似度,xi,yi为两个软件实体在第i个属性上的属性值,x1,y1为软件实体的厂商名称属性值,T1为x1,y1的属性相似度阈值,wi为权重,wi越大,则两个软件实体的相似度越高。
8.如权利要求1所述的一种基于漏洞图谱的漏洞软件依赖关系构建方法,其特征在于,所述检测报告包括:待测软件的所有依赖软件、待测软件与依赖软件之间的依赖关系、依赖软件存在的漏洞信息和漏洞修复建议。
CN201910556668.7A 2019-06-25 2019-06-25 一种基于漏洞图谱的漏洞软件依赖关系构建方法 Active CN110287704B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910556668.7A CN110287704B (zh) 2019-06-25 2019-06-25 一种基于漏洞图谱的漏洞软件依赖关系构建方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910556668.7A CN110287704B (zh) 2019-06-25 2019-06-25 一种基于漏洞图谱的漏洞软件依赖关系构建方法

Publications (2)

Publication Number Publication Date
CN110287704A true CN110287704A (zh) 2019-09-27
CN110287704B CN110287704B (zh) 2021-03-26

Family

ID=68005914

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910556668.7A Active CN110287704B (zh) 2019-06-25 2019-06-25 一种基于漏洞图谱的漏洞软件依赖关系构建方法

Country Status (1)

Country Link
CN (1) CN110287704B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN111597349A (zh) * 2020-04-30 2020-08-28 西安理工大学 一种基于人工智能的轨道交通规范实体关系自动补全方法
CN111914098A (zh) * 2020-07-19 2020-11-10 中信银行股份有限公司 一种知识图谱构建方法、装置、电子设备和可读存储介质
CN112149135A (zh) * 2020-09-16 2020-12-29 国网河北省电力有限公司电力科学研究院 安全漏洞知识图谱的构建方法及装置
CN112434305A (zh) * 2020-12-07 2021-03-02 北京中科微澜科技有限公司 基于补丁的漏洞检测方法、装置、存储介质和电子设备
CN113836541A (zh) * 2021-09-29 2021-12-24 天翼物联科技有限公司 基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质
CN115033894A (zh) * 2022-08-12 2022-09-09 中国电子科技集团公司第三十研究所 一种基于知识图谱的软件组件供应链安全检测方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150242637A1 (en) * 2014-02-25 2015-08-27 Verisign, Inc. Automated vulnerability intelligence generation and application
CN105046155A (zh) * 2015-06-24 2015-11-11 北京系统工程研究所 软件系统漏洞风险评估方法及装置
US20170046519A1 (en) * 2015-08-12 2017-02-16 U.S Army Research Laboratory ATTN: RDRL-LOC-I Methods and systems for defending cyber attack in real-time
US20170195361A1 (en) * 2013-05-29 2017-07-06 Lucent Sky Corporation Method, system, and computer program product for automatically mitigating vulnerabilities in source code
CN106991325A (zh) * 2017-03-02 2017-07-28 北京理工大学 一种软件漏洞的防护方法和装置
CN107798245A (zh) * 2017-11-02 2018-03-13 北京理工大学 一种基于组件依赖图的软件安全漏洞预测方法
CN108763928A (zh) * 2018-05-03 2018-11-06 北京邮电大学 一种开源软件漏洞分析方法、装置和存储介质
CN109347801A (zh) * 2018-09-17 2019-02-15 武汉大学 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN109885698A (zh) * 2019-02-13 2019-06-14 北京航空航天大学 一种知识图谱构建方法及装置、电子设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170195361A1 (en) * 2013-05-29 2017-07-06 Lucent Sky Corporation Method, system, and computer program product for automatically mitigating vulnerabilities in source code
US20150242637A1 (en) * 2014-02-25 2015-08-27 Verisign, Inc. Automated vulnerability intelligence generation and application
CN105046155A (zh) * 2015-06-24 2015-11-11 北京系统工程研究所 软件系统漏洞风险评估方法及装置
US20170046519A1 (en) * 2015-08-12 2017-02-16 U.S Army Research Laboratory ATTN: RDRL-LOC-I Methods and systems for defending cyber attack in real-time
CN106991325A (zh) * 2017-03-02 2017-07-28 北京理工大学 一种软件漏洞的防护方法和装置
CN107798245A (zh) * 2017-11-02 2018-03-13 北京理工大学 一种基于组件依赖图的软件安全漏洞预测方法
CN108763928A (zh) * 2018-05-03 2018-11-06 北京邮电大学 一种开源软件漏洞分析方法、装置和存储介质
CN109347801A (zh) * 2018-09-17 2019-02-15 武汉大学 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN109885698A (zh) * 2019-02-13 2019-06-14 北京航空航天大学 一种知识图谱构建方法及装置、电子设备

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
DONGDONG DU ET AL.: "Refining Traceability Links Between Vulnerability and Software Component in a Vulnerability Knowledge Graph", 《INTERNATIONAL CONFERENCE ON WEB ENGINEERING》 *
HENRIK PLATE ET AL.: "Impact assessment for vulnerabilities in open-source software libraries", 《2015 IEEE INTERNATIONAL CONFERENCE ON SOFTWARE MAINTENANCE AND EVOLUTION (ICSME)》 *
LORENZO NEIL ET AL.: "Mining Threat Intelligence about Open-Source Projects and Libraries from Code Repository Issues and Bug Reports", 《2018 IEEE INTERNATIONAL CONFERENCE ON INTELLIGENCE AND SECURITY INFORMATICS (ISI)》 *
佚名: "【园区企业】创园国际入驻企业—北京中科微澜科技有限公司", 《HTTPS://WWW.SOHU.COM/A/279591678_99947076》 *
危胜军等: "基于组件依赖图的软件安全漏洞预测方法", 《北京理工大学学报》 *
李文鹏: "面向开源软件项目的软件知识图谱构建方法", 《计算机科学与探索》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110909364A (zh) * 2019-12-02 2020-03-24 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN110909364B (zh) * 2019-12-02 2023-02-10 西安工业大学 面向源代码双极性软件安全漏洞图谱构建方法
CN111597349A (zh) * 2020-04-30 2020-08-28 西安理工大学 一种基于人工智能的轨道交通规范实体关系自动补全方法
CN111597349B (zh) * 2020-04-30 2022-10-11 西安理工大学 一种基于人工智能的轨道交通规范实体关系自动补全方法
CN111914098A (zh) * 2020-07-19 2020-11-10 中信银行股份有限公司 一种知识图谱构建方法、装置、电子设备和可读存储介质
CN112149135A (zh) * 2020-09-16 2020-12-29 国网河北省电力有限公司电力科学研究院 安全漏洞知识图谱的构建方法及装置
CN112149135B (zh) * 2020-09-16 2023-05-02 国网河北省电力有限公司电力科学研究院 一种安全漏洞的评估方法及装置、计算机可读存储介质
CN112434305A (zh) * 2020-12-07 2021-03-02 北京中科微澜科技有限公司 基于补丁的漏洞检测方法、装置、存储介质和电子设备
CN112434305B (zh) * 2020-12-07 2024-03-08 北京中科微澜科技有限公司 基于补丁的漏洞检测方法、装置、存储介质和电子设备
CN113836541A (zh) * 2021-09-29 2021-12-24 天翼物联科技有限公司 基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质
CN113836541B (zh) * 2021-09-29 2024-08-16 天翼物联科技有限公司 基于依赖关系的软件安全检查方法、装置、设备及介质
CN115033894A (zh) * 2022-08-12 2022-09-09 中国电子科技集团公司第三十研究所 一种基于知识图谱的软件组件供应链安全检测方法及装置

Also Published As

Publication number Publication date
CN110287704B (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN110287704A (zh) 一种基于漏洞图谱的漏洞软件依赖关系构建方法
CN110414987B (zh) 账户集合的识别方法、装置和计算机系统
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN111787017B (zh) 一种区块链攻击溯源系统及方法
CN110688456A (zh) 一种基于知识图谱的漏洞知识库构建方法
CN112131882A (zh) 一种多源异构网络安全知识图谱构建方法及装置
CN105491053A (zh) 一种Web恶意代码检测方法及系统
CN111431939A (zh) 基于cti的sdn恶意流量防御方法及系统
US20120233098A1 (en) Multiple Hypothesis Tracking
CN115296924A (zh) 一种基于知识图谱的网络攻击预测方法及装置
US20230289807A1 (en) Method for detecting block chain abnormal behavior based on graph embedding
CN107025407A (zh) 一种office文档文件的恶意代码检测方法及系统
CN108765179A (zh) 一种基于图计算的可信社交关系分析方法
US20120233097A1 (en) Multiple Hypothesis Tracking
CN109413016B (zh) 一种基于规则的报文检测方法和装置
CN109951306A (zh) 告警的处理方法、装置、设备及介质
Zhang et al. Cross-site scripting (XSS) detection integrating evidences in multiple stages
McGahagan et al. A comprehensive evaluation of webpage content features for detecting malicious websites
US20220321598A1 (en) Method of processing security information, device and storage medium
CN103166942B (zh) 一种恶意代码的网络协议解析方法
CN111861281A (zh) 基于知识图谱的风险员工发现方法及装置
CN118018256A (zh) 一种基于知识图谱的网络攻击威胁分析的方法和系统
Ji et al. A novel method of intrusion detection based on federated transfer learning and convolutional neural network
Zekri et al. Immunological approach for intrusion detection
Desai et al. DeSAN: De-anonymization against background knowledge in social networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant