CN110704848B - 脆弱点量化评估方法及装置 - Google Patents
脆弱点量化评估方法及装置 Download PDFInfo
- Publication number
- CN110704848B CN110704848B CN201910926917.7A CN201910926917A CN110704848B CN 110704848 B CN110704848 B CN 110704848B CN 201910926917 A CN201910926917 A CN 201910926917A CN 110704848 B CN110704848 B CN 110704848B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- potential
- evaluation
- transformation
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011158 quantitative evaluation Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000011156 evaluation Methods 0.000 claims abstract description 175
- 230000009466 transformation Effects 0.000 claims abstract description 134
- 238000004364 calculation method Methods 0.000 claims description 24
- 230000015654 memory Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 19
- 238000006243 chemical reaction Methods 0.000 description 40
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000005065 mining Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000001151 other effect Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种脆弱点量化评估方法及装置,涉及信息安全技术领域。具体实现方案为:获取待处理脆弱点的潜在漏洞;对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,漏洞转化评价表包括评价维度、评价值、权重和评价值说明;根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值。从而,解决了如何对非漏洞类型的脆弱点进行量化评估的问题。
Description
技术领域
本申请涉及计算机技术领域中的信息安全技术。
背景技术
在信息安全领域中,可将漏洞、安全防护措施缺陷、暴露某个脆弱的攻击面等信息资产所面临的风险来源统一称作“信息资产的脆弱点”,对脆弱点进行量化评估可以让信息资产拥有者客观地认识到资产所面临的安全风险。
其中,“漏洞”指的是可以攻击成功的信息系统安全缺陷,通常指一个或多个黑客可以利用的已知资产(资源)弱点。换句话说,它是一种使攻击能够成功实现的已知问题。漏洞具备可确定的特性,例如攻击路径、影响范围、信息安全危害,因此漏洞是可以定性,甚至定量评价的。非漏洞类型的脆弱点如安全防护措施缺陷、暴露某个脆弱的攻击面等存在着不确定性,其不能直接造成信息资产被攻击利用,其只表现了信息资产的脆弱性,暗示着信息资产可能存在的漏洞或其它可被攻击的可能性,无法定性或定量地描述该类脆弱点可以给信息资产造成的风险,但是,多数情况下,该类脆弱点的攻击利用是通过从脆弱性中挖掘确定的漏洞进而进行攻击。
现有的对脆弱点进行量化评估的方法中,主要是对漏洞进行量化评估,无法对非漏洞类型的脆弱点进行量化评估。
发明内容
本申请提供一种脆弱点量化评估方法及装置,以解决如何对非漏洞类型的脆弱点进行量化评估的问题。
第一方面,本申请提供一种脆弱点量化评估方法,包括:
获取待处理脆弱点的潜在漏洞;
对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;
根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值。
上述申请中的一个实施例具有如下优点或有益效果:通过获取脆弱点的潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值,从而解决了对非漏洞类型的脆弱点进行量化评估的问题。
可选的,所述获取待处理脆弱点的潜在漏洞,包括:
从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。
上述申请中的一个实施例具有如下优点或有益效果:通过从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值,从而解决了对非漏洞类型的脆弱点进行量化评估的问题。
可选的,所述获取待处理脆弱点的潜在漏洞,包括:
接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
可选的,所述对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,包括:
显示所述漏洞转化评价表给用户;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
可选的,所述根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,包括:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
可选的,所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价。
可选的,所述根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值,包括:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
第二方面,本申请提供一种脆弱点量化评估装置,包括:
第一获取模块,用于获取待处理脆弱点的潜在漏洞;
第二获取模块,用于对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;
第一处理模块,用于根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
第二处理模块,用于根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值。
可选的,所述第一获取模块用于:从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。
可选的,所述第一获取模块用于:
接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。
可选的,所述第二获取模块用于:
显示所述漏洞转化评价表给用户;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
可选的,所述第一处理模块用于:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
可选的,所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价。
可选的,所述第二处理模块用于:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
上述第二方面以及上述第二方面的各可能的实施方式所提供的脆弱点量化评估装置,其有益效果可以参见上述第一方面和第一方面的各可能的实施方式所带来的有益效果,在此不再赘述。
第三方面,本申请提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行第一方面及第一方面各可能的实施方式中任一项所述的方法。
第四方面,本申请提供一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行第一方面及第一方面各可能的实施方式中任一项所述的方法。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1为本申请脆弱点量化评估方法实施例一的流程图;
图2为本申请脆弱点量化评估方法实施例二的流程图;
图3为本申请脆弱点量化评估装置实施例一的结构示意图;
图4是用来实现本申请实施例的脆弱点量化评估方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
首先,下面对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
1、脆弱点,即信息资产的脆弱点,本申请实施例中将漏洞、安全防护措施缺陷、暴露某个脆弱的攻击面等风险来源统一称作脆弱点。
2、漏洞转化系数,是脆弱点向漏洞转化概率的一种相对值。以结果1为必然可能,即该脆弱点转化成漏洞的可能性为必然,特例情况是该脆弱点类型就是漏洞,其漏洞转化系数为1,0表示脆弱点不具备转化漏洞的可能性,该情况下说明该脆弱点的利用不可能通过发现漏洞的方式,本申请实施例不适用,0~1表示脆弱点向漏洞转化的概率,具有相对值的意义,可以反映不同脆弱点转化成漏洞的可能性大小。
3、“至少一个”是指一个或者多个,“示例性的”或者“例如”等词用于表示作例子、例证或说明,本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或方案不应被解释为比其它实施例或方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例中,通过获取脆弱点的潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值,从而解决了如何对非漏洞类型的脆弱点进行量化评估的问题。下面结合附图通过具体实施例,对本申请实施例的脆弱点量化评估方法的具体实现过程进行详细说明。
图1为本申请脆弱点量化评估方法实施例一的流程图,本实施例中的执行主体可以为任一可执行本实施例的脆弱点量化评估方法的硬件装置或软件模块,如图1所示,本实施例的方法可以包括:
S101、获取待处理脆弱点的潜在漏洞。
具体地,获取待处理脆弱点的潜在漏洞,有两种可实施的方式,作为一种可实施的方式,可以是接收用户输入的待处理脆弱点的至少一个潜在漏洞,此处的用户为信息安全从业者,由信息安全从业者识别出待处理脆弱点的潜在漏洞,然后输入到可执行本实施例的脆弱点量化评估方法的装置中。具体来说,信息安全从业者从脆弱点中识别潜在漏洞有两个思路:第一,基于对脆弱点所处信息系统的位置、该处脆弱点在信息系统中的作用等知识的了解,结合信息安全漏洞成因去判别该处脆弱点是否存在的某种漏洞的可能性;第二,从渗透测试角度考虑,该处脆弱点可以达成何种攻击目的,每个目的需要什么样的漏洞才能达成,该脆弱点处是否可能存在该种漏洞。从脆弱点中识别漏洞是每一个信息安全从业者的基本能力,本实施例不再详述。
作为另一种可实施的方式,可以是从预先存储的潜在漏洞库中查找与待处理脆弱点对应的至少一个潜在漏洞,潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。其中,潜在漏洞列表为信息安全从业人员根据大量脆弱点样本识别出潜在漏洞,得到脆弱点与潜在漏洞的对应关系,形成潜在漏洞库,并预先存储。
例如,脆弱点为“某信息系统中存在一个未知监听端口,该端口由root进程开启”。获取该脆弱点的潜在漏洞如表一所示:
表一潜在漏洞
S102、对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,漏洞转化评价表包括评价维度、评价值、权重和评价值说明。
具体地,漏洞转化评价表包括评价维度、评价值、权重和评价值说明。评价维度可以包括:专业知识、专业工具、目标知识、目标环境和时间代价。如下表二为一种漏洞转化评价表的示例:
表二漏洞转化评价表
漏洞转化评价表预先存储,表二仅为一种示例,实际应用中还可以为其它。
具体地,S102中对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,具体可以为:
S1021、显示漏洞转化评价表给用户。
此处可以是在获取到待处理脆弱点的潜在漏洞后,针对每一潜在漏洞,向用户推送预先存储的漏洞转化评价表,此处的用户可以是信息安全从业人员,由信息安全从业人员根据漏洞转化评价表对每一潜在漏洞进行评价,得到与每一潜在漏洞对应的每一评价维度的权重,并输入。
S1022、接收用户根据漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到漏洞转化评价结果。
S103、根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数。
具体地,S103可以为:
根据漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
其中漏洞转化评价结果即为与每一潜在漏洞对应的每一评价维度的权重,将每一评价维度的权重代入上述计算公式,可得到每一潜在漏洞的漏洞转化系数TF。
S104、根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值。
具体地,S104可以为:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
其中,潜在漏洞的量化评估值可以根据现有的对漏洞进行量化评估的方法获得,当前具有很多公开的漏洞评价标准,例如通用漏洞评分系统(General VulnerabilityScoring System,CVSS)、打开Web安全项目(Open Web Security Project,OWASP)可根据当前的漏洞评价标准对潜在漏洞进行量化评估,然后再根据漏洞转化系数和计算公式获得待处理脆弱点的量化评估值。
本实施例提供的脆弱点量化评估方法,通过获取脆弱点的潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定待处理脆弱点的量化评估值,从而解决了对非漏洞类型的脆弱点进行量化评估的问题。
下面采用一个具体的实施例,对图1所示方法实施例的技术方案进行详细说明。
图2为本申请脆弱点量化评估方法实施例二的流程图,如图2所示,本实施例的方法可以包括:
S201、获取待处理脆弱点的潜在漏洞。
具体地,获取待处理脆弱点的潜在漏洞详细过程可参见S101的详细描述,此处不再赘述。例如,脆弱点为“某信息系统中存在一个未知监听端口,该端口由root进程开启”。获取该脆弱点的潜在漏洞如上文中表一所示,获取的该脆弱点的潜在漏洞为“远程代码执行漏洞”和“拒绝服务漏洞”。
S202、显示漏洞转化评价表给用户,漏洞转化评价表包括评价维度、评价值、权重和评价值说明,评价维度包括:专业知识、专业工具、目标知识、目标环境和时间代价。
S203、接收用户根据漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到漏洞转化评价结果。
例如,根据表二所示的漏洞转化评价表,信息安全从业人员对于从脆弱点“某信息系统中存在一个未知监听端口风险,该端口由root进程开启”到发现“远程代码执行漏洞“进行评价:
1)专业知识维度方面评价为专家。理由是远程代码执行漏洞的发现过程包括目标知识了解、漏洞挖掘、漏洞验证,其中目标知识了解需要逆向目标系统,漏洞挖掘可能需要自制工具,漏洞验证需要对操作系统和二进制知识非常了解,具有这种全面和深入的知识,因此可评价为专家。
2)辅助设备评价为公开可获得。对于常规以太网端口的测试和研究,无需特制设备。
3)目标环境评价为简单。由于是以太网端口,可通过设置与目标系统处于同一网络接触目标环境。
4)时间代价评为一个月以内。由于该漏洞的挖掘需要经历逆向、工具自制、漏洞挖掘、漏洞验证等众多耗时工作,因此评估为一个月以内。
“拒绝服务漏洞”评价类似,由于漏洞验证较为简单,因此时间代价评价为一周以内,其它不变。因此,对表一中的潜在漏洞的漏洞转化评价结果如下表三所示:
表三漏洞转化评价结果
S204、根据漏洞转化评价结果计算每一潜在漏洞的漏洞转化系数。
根据漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
例如,根据表三计算得到的漏洞转化系数如下表四所示:
表四漏洞转化系数
| 脆弱点 | 潜在漏洞 | 漏洞转化系数 |
| 开放未知监听端口风险 | 远程代码执行漏洞 | 0.0792 |
| 开放未知监听端口风险 | 远程拒绝服务漏洞 | 0.1584 |
S205、根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值计算待处理脆弱点的量化评估值。
具体地,根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
其中,潜在漏洞的量化评估值可以根据现有的对漏洞进行量化评估的方法获得,然后再根据漏洞转化系数和计算公式计算获得待处理脆弱点的量化评估值。
本实施例提供的脆弱点量化评估方法,通过获取脆弱点的潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果和计算公式计算每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值和计算公式计算待处理脆弱点的量化评估值,从而解决了对非漏洞类型的脆弱点进行量化评估的问题。
图3为本申请脆弱点量化评估装置实施例一的结构示意图,如图3所示,本实施例的装置可以包括:第一获取模块101、第二获取模块102、第一处理模块103和第二处理模块104,其中,第一获取模块101用于获取待处理脆弱点的潜在漏洞;
第二获取模块102用于对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;
第一处理模块103用于根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
第二处理模块104用于根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值。
可选的,所述第一获取模块101用于:
从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。
可选的,所述第一获取模块101用于:
接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。
可选的,所述第二获取模块102用于:
显示所述漏洞转化评价表给用户;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
可选的,所述第一处理模块103用于:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
可选的,所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价。
可选的,所述第二处理模块104用于:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
本申请实施例提供的脆弱点量化评估装置,可执行上述方法实施例,其具体实现原理和技术效果,可参见上述方法实施例,本实施例此处不再赘述。
本申请中可以根据上述方法示例对脆弱点量化评估装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请各实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图4所示,是根据本申请实施例的脆弱点量化评估方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图4所示,该电子设备包括:一个或多个处理器401、存储器402,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图4中以一个处理器401为例。
存储器402即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的脆弱点量化评估方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的脆弱点量化评估方法。
存储器402作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的脆弱点量化评估方法对应的程序指令/模块(例如,附图3所示的第一获取模块101、第二获取模块102、第一处理模块103和第二处理模块104)。处理器401通过运行存储在存储器402中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的脆弱点量化评估方法。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据实现脆弱点量化评估方法的电子设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器402可选包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至脆弱点量化评估的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
脆弱点量化评估方法的电子设备还可以包括:输入装置403和输出装置404。处理器401、存储器402、输入装置403和输出装置404可以通过总线或者其他方式连接,图4中以通过总线连接为例。
输入装置403可接收输入的数字或字符信息,以及产生与脆弱点量化评估的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置404可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,通过获取脆弱点的潜在漏洞,接着对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,然后根据漏洞转化评价结果和计算公式计算每一潜在漏洞的漏洞转化系数,最后根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值和计算公式计算待处理脆弱点的量化评估值,从而解决了对非漏洞类型的脆弱点进行量化评估的问题。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (15)
1.一种脆弱点量化评估方法,其特征在于,包括:
获取待处理脆弱点的潜在漏洞;
对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价;
根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值;
所述根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,包括:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
2.根据权利要求1所述的方法,其特征在于,所述获取待处理脆弱点的潜在漏洞,包括:
从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述获取待处理脆弱点的潜在漏洞,包括:
接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。
4.根据权利要求1所述的方法,其特征在于,所述对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,包括:
显示所述漏洞转化评价表给用户;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值,包括:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
6.一种脆弱点量化评估装置,其特征在于,包括:
第一获取模块,用于获取待处理脆弱点的潜在漏洞;
第二获取模块,用于对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价;
第一处理模块,用于根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
第二处理模块,用于根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值;
所述第一处理模块用于:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
7.根据权利要求6所述的装置,其特征在于,所述第一获取模块用于:
从预先存储的潜在漏洞库中查找与所述待处理脆弱点对应的至少一个潜在漏洞,所述潜在漏洞库中存储脆弱点与潜在漏洞的对应关系。
8.根据权利要求6所述的装置,其特征在于,所述第一获取模块用于:
接收用户输入的所述待处理脆弱点的至少一个潜在漏洞。
9.根据权利要求6所述的装置,其特征在于,所述第二获取模块用于:
显示所述漏洞转化评价表给用户;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述第二处理模块用于:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-5中任一项所述的方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-5中任一项所述的方法。
13.一种脆弱点量化评估方法,其特征在于,包括:
获取待处理脆弱点的潜在漏洞;
对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果;所述评价维度包括专业知识、专业工具、目标知识、目标环境和时间代价;
根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数;
根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值;
所述根据所述漏洞转化评价结果确定每一潜在漏洞的漏洞转化系数,包括:
根据所述漏洞转化评价结果和如下计算公式计算每一潜在漏洞的漏洞转化系数TF:
TF=KV*[(DV+TV+EV)/3]*SV;
其中,KV为专业知识的权重,DV为专业工具的权重,TV为目标知识的权重,EV为目标环境的权重,SV为时间代价的权重。
14.根据权利要求13所述的方法,其特征在于,所述对获取的每一潜在漏洞,根据预先存储的漏洞转化评价表获取每一评价维度的权重,得到漏洞转化评价结果,包括:
显示所述漏洞转化评价表给用户,所述漏洞转化评价表包括评价维度、评价值、权重和评价值说明;
接收用户根据所述漏洞转化评价表输入的与每一潜在漏洞对应的每一评价维度的权重并存储,得到所述漏洞转化评价结果。
15.根据权利要求13或14所述的方法,其特征在于,所述根据所有潜在漏洞的漏洞转化系数和潜在漏洞的量化评估值确定所述待处理脆弱点的量化评估值,包括:
根据所有潜在漏洞的漏洞转化系数、潜在漏洞的量化评估值和如下计算公式计算所述待处理脆弱点的量化评估值T:
T=∑潜在漏洞的量化评估值*漏洞转化系数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910926917.7A CN110704848B (zh) | 2019-09-27 | 2019-09-27 | 脆弱点量化评估方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910926917.7A CN110704848B (zh) | 2019-09-27 | 2019-09-27 | 脆弱点量化评估方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110704848A CN110704848A (zh) | 2020-01-17 |
| CN110704848B true CN110704848B (zh) | 2022-06-10 |
Family
ID=69197103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910926917.7A Active CN110704848B (zh) | 2019-09-27 | 2019-09-27 | 脆弱点量化评估方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110704848B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217838B (zh) * | 2020-11-02 | 2021-08-31 | 福州大学 | 一种基于云模型理论的网络攻击面评估方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488168A (zh) * | 2008-01-17 | 2009-07-22 | 北京启明星辰信息技术股份有限公司 | 一种计算机信息系统综合风险计算方法和系统 |
| CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
| CN102799822A (zh) * | 2012-07-11 | 2012-11-28 | 中国信息安全测评中心 | 基于网络环境软件运行安全性度量与评估方法 |
| CN103678123A (zh) * | 2013-11-29 | 2014-03-26 | 西安空间无线电技术研究所 | 一种适用于处理器系统单粒子软错误脆弱点识别方法 |
| CN104346565A (zh) * | 2013-07-30 | 2015-02-11 | 北京神州泰岳软件股份有限公司 | 一种漏洞扫描方法及系统 |
| CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
| CN108777641A (zh) * | 2018-06-05 | 2018-11-09 | 北京理工大学 | 一种基于李群的网络系统风险度量方法 |
-
2019
- 2019-09-27 CN CN201910926917.7A patent/CN110704848B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488168A (zh) * | 2008-01-17 | 2009-07-22 | 北京启明星辰信息技术股份有限公司 | 一种计算机信息系统综合风险计算方法和系统 |
| CN102457412A (zh) * | 2011-10-14 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 基于指标体系的大规模网络安全态势评估方法 |
| CN102799822A (zh) * | 2012-07-11 | 2012-11-28 | 中国信息安全测评中心 | 基于网络环境软件运行安全性度量与评估方法 |
| CN104346565A (zh) * | 2013-07-30 | 2015-02-11 | 北京神州泰岳软件股份有限公司 | 一种漏洞扫描方法及系统 |
| CN103678123A (zh) * | 2013-11-29 | 2014-03-26 | 西安空间无线电技术研究所 | 一种适用于处理器系统单粒子软错误脆弱点识别方法 |
| CN105427172A (zh) * | 2015-12-04 | 2016-03-23 | 北京华热科技发展有限公司 | 一种风险评估方法及系统 |
| CN108777641A (zh) * | 2018-06-05 | 2018-11-09 | 北京理工大学 | 一种基于李群的网络系统风险度量方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110704848A (zh) | 2020-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10210189B2 (en) | Root cause analysis of performance problems | |
| US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
| CN110543506B (zh) | 数据分析方法、装置、电子设备及存储介质 | |
| CN111666206A (zh) | 变更代码的影响范围的获取方法、装置、设备及存储介质 | |
| EP4083823A2 (en) | Method and apparatus for determining risk level of instance on cloud server and electronic device | |
| CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN114238150A (zh) | 程序代码的变异测试方法和装置 | |
| CN110519263A (zh) | 防刷量方法、装置、设备及计算机可读存储介质 | |
| CN110781200B (zh) | 一种区块链异常数据的处理方法、装置、设备和介质 | |
| CN110704848B (zh) | 脆弱点量化评估方法及装置 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN111753330B (zh) | 数据泄露主体的确定方法、装置、设备和可读存储介质 | |
| US8930387B1 (en) | Techniques for suggesting correct identifiers | |
| CN111756762A (zh) | 车辆安全性分析方法、装置、电子设备及存储介质 | |
| US10229223B2 (en) | Mining relevant approximate subgraphs from multigraphs | |
| CN115412358B (zh) | 网络安全风险评估方法、装置、电子设备及存储介质 | |
| CN115296917A (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
| CN114444087A (zh) | 一种越权漏洞检测方法、装置、电子设备及存储介质 | |
| CN114969759A (zh) | 工业机器人系统的资产安全评估方法、装置、终端及介质 | |
| US20150302324A1 (en) | Object lifecycle analysis tool | |
| US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
| CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 | |
| CN116244324B (zh) | 任务数据关系挖掘方法、装置、电子设备及存储介质 | |
| CN113377660B (zh) | 测试方法和装置 | |
| US20240223615A1 (en) | System and method for data set creation with crowd-based reinforcement |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211019 Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Applicant after: Apollo Intelligent Connectivity (Beijing) Technology Co., Ltd. Address before: 100085 Baidu Building, 10 Shangdi Tenth Street, Haidian District, Beijing Applicant before: BAIDU ONLINE NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |