CN111428248A - 一种基于等级赋分的漏洞降噪识别方法及系统 - Google Patents

一种基于等级赋分的漏洞降噪识别方法及系统 Download PDF

Info

Publication number
CN111428248A
CN111428248A CN202010520504.1A CN202010520504A CN111428248A CN 111428248 A CN111428248 A CN 111428248A CN 202010520504 A CN202010520504 A CN 202010520504A CN 111428248 A CN111428248 A CN 111428248A
Authority
CN
China
Prior art keywords
vulnerability
information
score
library
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010520504.1A
Other languages
English (en)
Inventor
陈晓莉
沈慕蓉
丁一帆
章亮
刘刚
林建洪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Ponshine Information Technology Co ltd
Original Assignee
Zhejiang Ponshine Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Ponshine Information Technology Co ltd filed Critical Zhejiang Ponshine Information Technology Co ltd
Priority to CN202010520504.1A priority Critical patent/CN111428248A/zh
Publication of CN111428248A publication Critical patent/CN111428248A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于等级赋分的漏洞降噪识别系统及方法,本发明涉及的一种基于等级赋分的漏洞降噪识别系统,包括:扫描模块,用于扫描原始的漏洞信息;过滤模块,与所述扫描模块连接,用于对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;待整改模块,与所述过滤模块连接,用于根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。本发明可以精确识别漏洞,在海量安全漏洞中第一时间精确判断漏洞影响的紧急程度,最终实现全网漏洞降噪、集中分析、集中管理、集中处置。

Description

一种基于等级赋分的漏洞降噪识别方法及系统
技术领域
本发明涉及漏洞等级评估技术领域,尤其涉及一种基于等级赋分的漏洞降噪识别方法及系统。
背景技术
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。
随着漏洞数量的日趋增加,攻击行为的日趋复杂,防火墙、入侵监测系统等网络安全设备并不能完全抵御各种各样的攻击形式,这使得及时了解并修复已知漏洞变得尤为重要。如果用户对漏洞的危害程度不能很好的区分,那么最先修复的漏洞很可能是无关紧要,而最后安装补丁的却是高危漏洞,就可能导致整个网络暴露于危险之中。漏洞威胁评估方法能够根据漏洞的有关属性,将大量的漏洞根据其危害程度区分开来,进而保证危害最为严重的漏洞优先得到修复。
然而随着云计算和大数据技术的发展,信息和通信关键基础设施承载着更丰富的关键数据、更加重要的任务和海量的信息,随生产环境及资产规模不断扩大,漏洞“越扫越多”,扫描器的“带外检测”方式存在较多量误报,且漏洞报告专业性强或实际生产环境不符,修补建议很难实际落地,安全运维人员无法在海量安全风险信息中第一时间判断紧急重要风险及快速整改。
如公开号为CN101950338A的专利公开了一种基于层次化漏洞威胁评估的漏洞修复方法。包括:1)提取目标系统的若干信息安全属性、一待测漏洞和漏洞在利用过程所需要的攻击条件;2)对该漏洞进行攻击,记录其被利用过程中所需攻击条件的取值,以及被利用成功后造成的损失程度;3)根据损失程度得到该漏洞的定性等级分值;4)根据所需攻击条件的取值,得到该漏洞的攻击利用分值;5)根据攻击利用分值和定性等级分值,得到该漏洞的定量评分分值;6)根据待测漏洞的定量评分分值确定漏洞的处理顺序,对漏洞进行修复。该方法结合定性和定量漏洞评估方法的优点,在直观给出漏洞威胁程度的基础上,尽可能的将漏洞划分得更加细致,进而为用户在修复大量漏洞时提供帮助。其虽然可以给出漏洞修复的先后顺序,但是上述专利对于在检测到漏洞时并未对误报漏洞进行自动化剔除处理,加大了后续的工作量。
发明内容
本发明的目的是针对现有技术的缺陷,提供了一种基于等级赋分的漏洞降噪识别方法及系统,可以精确识别漏洞,在海量安全漏洞中第一时间精确判断漏洞影响的紧急程度,最终实现全网漏洞降噪、集中分析、集中管理、集中处置。
为了实现以上目的,本发明采用以下技术方案:
一种基于等级赋分的漏洞降噪识别系统,包括:
扫描模块,用于扫描原始的漏洞信息;
过滤模块,与所述扫描模块连接,用于对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
待整改模块,与所述过滤模块连接,用于根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
进一步的,所述过滤模块中对扫描到的漏洞信息进行过滤处理具体包括:
第一剔除模块,用于将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集;
第二剔除模块,与第一剔除模块连接,用于将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集;
第三剔除模块,与第二剔除模块连接,用于将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
进一步的,所述过滤模块中得到漏洞风险定级的分值具体包括:
构建模块,用于构建资产、脆弱性和威胁的指标体系;
制定模块,与构建模块连接,用于根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型;
定级模块,与制定模块连接,用于根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
进一步的,所述第一剔除模块中筛选出剔除的漏洞信息后还包括根据筛选出剔除的漏洞信息输出整改建议。
进一步的,所述预设的过滤版本库为威胁情报、各类安全厂家官网发布的漏洞信息生成的漏洞版本库;所述预设的过滤例外库为建立白名单机制生成的漏洞例外库;所述预设的过滤报备库为无法整改的漏洞信息生成的漏洞报备库。
相应的,还提供一种基于等级赋分的漏洞降噪识别方法,包括:
S1.扫描原始的漏洞信息;
S2.对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
S3.根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
进一步的,所述步骤S2中对扫描到的漏洞信息进行过滤处理具体包括:
S21.将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集;
S22.将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集;
S23.将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
进一步的,所述步骤S2中得到漏洞风险定级的分值具体包括:
S24.构建资产、脆弱性和威胁的指标体系;
S25.根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型;
S26.根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
进一步的,所述步骤S21中筛选出剔除的漏洞信息后还包括根据筛选出剔除的漏洞信息输出整改建议。
进一步的,所述预设的过滤版本库为威胁情报、各类安全厂家官网发布的漏洞信息生成的漏洞版本库;所述预设的过滤例外库为建立白名单机制生成的漏洞例外库;所述预设的过滤报备库为无法整改的漏洞信息生成的漏洞报备库。
与现有技术相比,本发明主要在于建立漏洞风险定级评价体系,构建漏洞修复优先级策略,其中在智能过滤模块的设计上,本发明加入漏洞知识库过滤方法,优化传统漏洞生命周期管理流程,有效解决漏洞管理误报多的问题,并采用了漏洞策略库模型设计,完成漏洞风险定级方法,精确识别漏洞,在海量安全漏洞中第一时间精确判断漏洞影响的紧急程度,最终实现全网漏洞降噪、集中分析、集中管理、集中处置。
附图说明
图1是实施例一提供的一种基于等级赋分的漏洞降噪识别系统结构图;
图2是实施例一提供的一种基于等级赋分的漏洞降噪识别系统结构示意图;
图3是实施例一提供的现有技术中漏洞剔除流程示意图;
图4是实施例一提供的本发明漏洞剔除流程示意图;
图5是实施例一提供的官网漏洞及整改示意图;
图6是实施例一提供的扫描器漏洞及通用建议示意图;
图7是实施例一提供的本地漏洞库输出示意图;
图8是实施例一提供的漏洞过滤版本库的建立示意图;
图9是实施例一提供的漏洞过滤例外库的建立示意图;
图10是实施例一提供的漏洞过滤报备库的建立示意图;
图11是实施例二提供的一种基于等级赋分的漏洞降噪识别方法流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
本发明的目的是针对现有技术的缺陷,提供了一种基于等级赋分的漏洞降噪识别方法及系统。
实施例一
本实施例提供一种基于等级赋分的漏洞降噪识别系统,如图1-2所示,包括:
扫描模块11,用于扫描原始的漏洞信息;
过滤模块12,与所述扫描模块连接,用于对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
待整改模块13,与所述过滤模块连接,用于根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
在扫描模块11中,扫描原始的漏洞信息。
通过扫描器安全扫描原始的漏洞信息,并获取扫描器扫描的结果。
在过滤模块12中,对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值。
在误报剔除中,扫描器的“带外检测”方式存在较多误报,其漏洞并未实际依托真实系统环境进行确认,如某tomcat漏洞在suse操作系统下存在,在windows环境下不存在,但扫描器的结果部分具体操作环境,笼统的认为存在某tomcat漏洞,故此类漏洞结果报告难以落实整改,影响整改工作效率。
整改意见不符:如上述某tomcat漏洞,扫描器一般只提供通用建议,如需将tomcat版本升级到x.x.x,但未能针对性的说明不同环境应该如何做加固。
在现有技术中,如图3所示,在漏洞扫描的过程中难免存在误报的情况,当获取到扫描器扫描的结果后,现有的是通过安全人员进行整改,当安全人员发现存在误报或整改建议不准确时,在下次扫描的结果中进行线下比对并进行剔除。现有技术的漏洞剔除中一般直接通过人工方式进行处理删除误报内容,依靠人工审核的方式逐个排查误报,存在人力投入、工作量均较大的问题。
本实施例针对漏洞误报的剔除方法主要结合IT厂商、安全报告等漏洞信息建立漏洞版本库,引入靶向式漏洞库结合日常累积的报备库、例外库等,可以实现漏洞的智能过滤,减少无效漏洞数据,减少后续人工反复投入,提升漏洞验证效率。
在本实施例中,过滤模块12中对扫描到的漏洞信息进行过滤处理具体包括:第一剔除模块121、第二剔除模块122、第三剔除模块123,如图4所示。
第一剔除模块121,用于将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集。
本实施例建立本地自有漏洞过滤版本库,日常主要通过威胁情报获取、各类安全厂家官网(如SUSE官网)发布的漏洞信息,获取其官方的漏洞影响范围及官方整改建议,与扫描器获取到的漏洞进行对比,输出初步受影响的漏洞和真实且合理的整改建议。如图5-8所示为漏洞过滤版本库的建立示意图。
第二剔除模块122,与第一剔除模块连接,用于将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集。
漏洞过滤例外库:由于部分漏洞无法与漏洞过滤版本库进行过滤,则需建立白名单机制,针对设备上不存在此漏洞的误报数据进行自动剔除,经过人为验证确认后,自动修正漏洞状态为“误报”。后续此类漏洞无须再人工处理,可直接对比漏洞过滤例外库进行流程处理即可。如图9所示为漏洞过滤例外库的建立示意图。
第三剔除模块123,与第二剔除模块连接,用于将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
漏洞过滤报备库:由于实际现网业务及组网环境复杂,会存在部分漏洞无法整改(整改会影响业务),或者因近期设备将升级或者业务有调整等导致需申请延期整改的漏洞,均可通过漏洞报备库进行报备,由人员进行线下业务影响分析及明确报备结束时间(不允许永久不整改,一旦超期,此项漏洞仍将披露),经审核确认后此类漏洞状态为“未整改(已报备)”。后续此类漏洞无须再人工处理,只要还在报备的有效期内,可直接对比漏洞过滤报备库进行流程处理即可。如图10所示为漏洞过滤报备库的建立示意图。
在本实施例中,过滤模块12中得到漏洞风险定级的分值具体包括:构建模块124、制定模块125、定级模块126。
构建模块124,用于构建资产、脆弱性和威胁的指标体系。
构建资产、脆弱性和威胁的指标体系,包括但不限于表1所示出的一般场景风险要素指标体系:
Figure 523052DEST_PATH_IMAGE001
表1一般场景风险要素指标体系
以下对各个指标做简要描述:
1、漏洞主要区分应用漏洞和系统漏洞,应用漏洞主要针对web网站;系统漏洞主要适用于操作系统、数据库、中间件、系统组件等,通过漏洞扫描器获取所属资产漏洞信息以及漏洞危险等级,等级分为高、中、低。
2、弱口令主要包括操作系统弱口令,同时也包括snmp、ftp等,通过弱口令扫描工具结合弱口令字典判断是否存在。
3、合规主要针对系统配置是否合规,包括操作系统、网络设备、数据库、中间件等,合规标准以工信部为准。
4、僵木蠕主要包括僵尸网络、木马、蠕虫,主要通过第三方流量特征匹配及样本还原技术获取相关事件。
5、IDS事件主要通过第三方流量特征检测手段获取,如暴力破解、sql注入等安全事件,按照事件可能造成的影响程度区分高、中、低。
6、篡改事件主要指网页篡改事件,通过带内或者带外检测手段获取,通常是由于网站应用存在漏洞或者被植入木马等原因造成。
7、DDOS事件为分布式拒绝服务攻击,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力,通过netflow流量监测系统发现攻击事件。
8、域名劫持可以认为是一种网络攻击方式,一方面可能会影响用户上网体验,用户无法正常访问自己想要上的网站,另一方面,域名如果被解析到钓鱼网站,不仅会造成用户损失,而且还会带来不良的社会影响,通过网站域名拨测技术可以发现网站是否存在劫持。
制定模块125,与构建模块连接,用于根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型。
(1)资产赋分模型
资产赋分方法为通过对资产的机密性(C)、完整性(I)、可用性(U)进行打分后(0-10分),采用对数平均法求得资产价值:
Figure 112297DEST_PATH_IMAGE002
(2)脆弱性与威胁赋分模型
脆弱性和威胁的赋分采用层次分析法,层次分析法(Analytic Hierarchy Process,AHP)于20世纪70年代初被大学教授萨蒂提出,是一种将与决策有关的元素分解成目标、准则、方案等层次,在此基础之上进行定性和定量分析的决策方法。该方法重点在于构建特征矩阵,依据专家评分得到各个特征的权重与系数,为整体决策提供参考。矩阵形式如下:
Figure 567067DEST_PATH_IMAGE003
其中A为判别矩阵,
Figure 368801DEST_PATH_IMAGE004
为要素i与要素j重要性比较的结果,并且具有如下关系:
Figure 589698DEST_PATH_IMAGE005
Figure 84265DEST_PATH_IMAGE004
的标度取值可以参照表2:
Figure 23402DEST_PATH_IMAGE006
表2层次分析法矩阵标度含义
脆弱性与威胁的赋分流程为:
1、确定需要评估的对象,组建专家团队;
2、选择脆弱性(威胁)相应的n个评估指标,将指标标记为a,b,c,……,n;
3、构建一个n*n特征矩阵,该矩阵中
Figure 894406DEST_PATH_IMAGE005
,具体的取值结合专家分析法进行标度;
4、根据特征矩阵计算各个指标的权重,首先按行相乘得到At=(t1,t2,…,tn),开n次方 得到:Am
Figure 232459DEST_PATH_IMAGE007
=(m1,m2,…,mn),归一化后得到每个指标的权重为:
Figure 897926DEST_PATH_IMAGE008
5、对每一个指标有可能出现的频数进行分箱即将连续型数据转化为分类数据,将频数分为5类,从低到高分别用1-5进行表示,记为f i
6、计算脆弱性(威胁)的总体得分:
Figure 589939DEST_PATH_IMAGE009
i
在实际应用中,首先需要构建脆弱性矩阵,分别以字母a——f代表漏洞高、漏洞中、漏洞低、弱口令存在、合规80以下、合规80——85六个二级指标,再通过安全专家团队打分得到脆弱性矩阵如下表3:
Figure 999055DEST_PATH_IMAGE010
表3脆弱性矩阵
根据公式
Figure 194544DEST_PATH_IMAGE008
得到脆弱性的6个指标权重分别为(见表4):
Figure 562071DEST_PATH_IMAGE011
表4脆弱性指标权重
因此,可以得到脆弱性计算公式为(每项指标的实际分值为0-10):
Figure 475801DEST_PATH_IMAGE012
同理构建威胁矩阵,分别以字母a——f代表僵木蠕、IDS安全事件高、IDS安全事件中、篡改事件、DDOS事件、域名劫持六个二级指标,再通过安全专家团队打分得到威胁矩阵表5:
Figure 437676DEST_PATH_IMAGE013
表5威胁矩阵
根据公式
Figure 18830DEST_PATH_IMAGE008
得到威胁的6个指标权重分别为(见表6):
威胁的6个指标权重分别为:
Figure 26101DEST_PATH_IMAGE014
表6 威胁指标权重
因此,可以得到脆弱性计算公式为(每项指标的实际分值为0-10):
Figure 427126DEST_PATH_IMAGE015
定级模块126,与制定模块连接,用于根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
将资产得分、脆弱性得分、威胁得分、CVSS得分进行相加,得到漏洞风险要素综合得分:
Figure 178045DEST_PATH_IMAGE016
其中,漏洞风险要素综合得分威胁程度对照表如表7:
Figure 348126DEST_PATH_IMAGE017
表7 漏洞风险要素综合得分威胁程度对照表
根据风险值大小将风险等级划分为三级,分值越高,漏洞风险等级越高。
风险值范围在1~15.9表示风险发生的影响程度较低或几乎不存在,定义为I级;
风险值范围在16~27.9表示风险发生的影响程度不大,定义为II级;
风险值范围在28~40表示风险发生的影响程度很大,定义为III级。
在待整改模块13中,根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
每个漏洞都会得到一个分值,并通过分值确定漏洞风险的等级,然后根据每个漏洞的等级自动生成漏洞修复的修复清单,后续对漏洞进行修复时可依据该生成的修复清单进行修复,从而使漏洞风险高的得到及时修复。
与现有技术相比,本实施例的有益效果:
1、企业影响层面
遏制因漏洞导致信息泄露等恶劣影响的进一步扩散,对企业信息安全维稳起到了积极作用。
2、运维工作层面
用户可以对漏洞集中处理,集中分析,快速找到安全问题所在,大大降低工作量。
实施例二
本实施例提供一种基于等级赋分的漏洞降噪识别方法,如图11所示,包括:
S11.扫描原始的漏洞信息;
S12.对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
S13.根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
进一步的,所述步骤S12中对扫描到的漏洞信息进行过滤处理具体包括:
S121.将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集;
S122.将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集;
S123.将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
进一步的,所述步骤S12中得到漏洞风险定级的分值具体包括:
S124.构建资产、脆弱性和威胁的指标体系;
S125.根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型;
S126.根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
进一步的,所述步骤S121中筛选出剔除的漏洞信息后还包括根据筛选出剔除的漏洞信息输出整改建议。
进一步的,所述预设的过滤版本库为威胁情报、各类安全厂家官网发布的漏洞信息生成的漏洞版本库;所述预设的过滤例外库为建立白名单机制生成的漏洞例外库;所述预设的过滤报备库为无法整改的漏洞信息生成的漏洞报备库。
需要说明的是,本实施例提供的一种基于等级赋分的漏洞降噪识别方法与实施例一类似,在此不多做赘述。
与现有技术相比,本实施例主要在于建立漏洞风险定级评价体系,构建漏洞修复优先级策略,其中在智能过滤模块的设计上,本发明加入漏洞知识库过滤方法,优化传统漏洞生命周期管理流程,有效解决漏洞管理误报多的问题,并采用了漏洞策略库模型设计,完成漏洞风险定级方法,精确识别漏洞,在海量安全漏洞中第一时间精确判断漏洞影响的紧急程度,最终实现全网漏洞降噪、集中分析、集中管理、集中处置。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例, 而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种基于等级赋分的漏洞降噪识别系统,其特征在于,包括:
扫描模块,用于扫描原始的漏洞信息;
过滤模块,与所述扫描模块连接,用于对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
待整改模块,与所述过滤模块连接,用于根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
2.根据权利要求1所述的一种基于等级赋分的漏洞降噪识别系统,其特征在于,所述过滤模块中对扫描到的漏洞信息进行过滤处理具体包括:
第一剔除模块,用于将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集;
第二剔除模块,与第一剔除模块连接,用于将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集;
第三剔除模块,与第二剔除模块连接,用于将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
3.根据权利要求1所述的一种基于等级赋分的漏洞降噪识别系统,其特征在于,所述过滤模块中得到漏洞风险定级的分值具体包括:
构建模块,用于构建资产、脆弱性和威胁的指标体系;
制定模块,与构建模块连接,用于根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型;
定级模块,与制定模块连接,用于根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
4.根据权利要求2所述的一种基于等级赋分的漏洞降噪识别系统,其特征在于,所述第一剔除模块中筛选出剔除的漏洞信息后还包括根据筛选出剔除的漏洞信息输出整改建议。
5.根据权利要求4所述的一种基于等级赋分的漏洞降噪识别系统,其特征在于,所述预设的过滤版本库为威胁情报、各类安全厂家官网发布的漏洞信息生成的漏洞版本库;所述预设的过滤例外库为建立白名单机制生成的漏洞例外库;所述预设的过滤报备库为无法整改的漏洞信息生成的漏洞报备库。
6.一种基于等级赋分的漏洞降噪识别方法,其特征在于,包括:
S1.扫描原始的漏洞信息;
S2.对扫描到的漏洞信息进行过滤处理,得到漏洞风险定级的分值;
S3.根据得到的漏洞风险定级分值对待整改漏洞进行排序,生成待整改漏洞的修复清单。
7.根据权利要求6所述的一种基于等级赋分的漏洞降噪识别方法,其特征在于,所述步骤S2中对扫描到的漏洞信息进行过滤处理具体包括:
S21.将扫描到的漏洞信息与预设的过滤版本库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第一漏洞信息集;
S22.将得到的第一漏洞信息集与预设的过滤例外库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第二漏洞信息集;
S23.将得到的第二漏洞信息集与预设的过滤报备库进行比对,筛选出剔除的漏洞信息,并将所述剔除的漏洞信息进行剔除,得到剔除后的第三漏洞信息集。
8.根据权利要求6所述的一种基于等级赋分的漏洞降噪识别方法,其特征在于,所述步骤S2中得到漏洞风险定级的分值具体包括:
S24.构建资产、脆弱性和威胁的指标体系;
S25.根据构建的资产、脆弱性和威胁的指标体系制定漏洞策略库模型;所述漏洞策略库模型包括资产赋分模型、脆弱性赋分模型与威胁赋分模型;
S26.根据制定的漏洞策略库模型计算得到资产得分、脆弱性得分、威胁性得分,并对得到的资产得分、脆弱性得分、威胁性得分进行处理,到漏洞信息的综合得分。
9.根据权利要求7所述的一种基于等级赋分的漏洞降噪识别方法,其特征在于,所述步骤S21中筛选出剔除的漏洞信息后还包括根据筛选出剔除的漏洞信息输出整改建议。
10.根据权利要求9所述的一种基于等级赋分的漏洞降噪识别方法,其特征在于,所述预设的过滤版本库为威胁情报、各类安全厂家官网发布的漏洞信息生成的漏洞版本库;所述预设的过滤例外库为建立白名单机制生成的漏洞例外库;所述预设的过滤报备库为无法整改的漏洞信息生成的漏洞报备库。
CN202010520504.1A 2020-06-10 2020-06-10 一种基于等级赋分的漏洞降噪识别方法及系统 Pending CN111428248A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010520504.1A CN111428248A (zh) 2020-06-10 2020-06-10 一种基于等级赋分的漏洞降噪识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010520504.1A CN111428248A (zh) 2020-06-10 2020-06-10 一种基于等级赋分的漏洞降噪识别方法及系统

Publications (1)

Publication Number Publication Date
CN111428248A true CN111428248A (zh) 2020-07-17

Family

ID=71551278

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010520504.1A Pending CN111428248A (zh) 2020-06-10 2020-06-10 一种基于等级赋分的漏洞降噪识别方法及系统

Country Status (1)

Country Link
CN (1) CN111428248A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111949991A (zh) * 2020-08-14 2020-11-17 中国工商银行股份有限公司 漏洞扫描方法、装置、设备和存储介质
CN111967021A (zh) * 2020-08-27 2020-11-20 山东英信计算机技术有限公司 一种漏洞处理方法、装置、设备及计算机可读存储介质
CN113139191A (zh) * 2021-03-25 2021-07-20 国网浙江省电力有限公司衢州供电公司 一种漏洞处置修复优先级的统计方法
CN113946826A (zh) * 2021-09-10 2022-01-18 国网山东省电力公司信息通信公司 一种漏洞指纹静默分析监测的方法、系统、设备和介质
CN113949572A (zh) * 2021-10-18 2022-01-18 杭州安恒信息安全技术有限公司 一种数据处理的方法、装置及介质
CN114866358A (zh) * 2022-07-07 2022-08-05 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统
CN116720197A (zh) * 2023-08-09 2023-09-08 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105260662A (zh) * 2014-07-17 2016-01-20 南京曼安信息科技有限公司 一种未知应用漏洞威胁检测装置及方法
CN109257329A (zh) * 2017-07-13 2019-01-22 国网浙江省电力公司电力科学研究院 一种基于海量Web日志的网站风险指数计算系统及方法
CN109871688A (zh) * 2018-09-21 2019-06-11 中国人民解放军国防科技大学 漏洞威胁程度评估方法
CN110543767A (zh) * 2019-08-10 2019-12-06 苏州浪潮智能科技有限公司 一种针对开源组件漏洞自动化监控方法及系统
CN110912890A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种面向内网的新型漏洞攻击检测系统
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105260662A (zh) * 2014-07-17 2016-01-20 南京曼安信息科技有限公司 一种未知应用漏洞威胁检测装置及方法
CN109257329A (zh) * 2017-07-13 2019-01-22 国网浙江省电力公司电力科学研究院 一种基于海量Web日志的网站风险指数计算系统及方法
CN109871688A (zh) * 2018-09-21 2019-06-11 中国人民解放军国防科技大学 漏洞威胁程度评估方法
CN110543767A (zh) * 2019-08-10 2019-12-06 苏州浪潮智能科技有限公司 一种针对开源组件漏洞自动化监控方法及系统
CN110912890A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种面向内网的新型漏洞攻击检测系统
CN111224988A (zh) * 2020-01-08 2020-06-02 国网陕西省电力公司信息通信公司 一种网络安全信息过滤方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111949991A (zh) * 2020-08-14 2020-11-17 中国工商银行股份有限公司 漏洞扫描方法、装置、设备和存储介质
CN111967021A (zh) * 2020-08-27 2020-11-20 山东英信计算机技术有限公司 一种漏洞处理方法、装置、设备及计算机可读存储介质
CN111967021B (zh) * 2020-08-27 2022-06-03 山东英信计算机技术有限公司 一种漏洞处理方法、装置、设备及计算机可读存储介质
CN113139191A (zh) * 2021-03-25 2021-07-20 国网浙江省电力有限公司衢州供电公司 一种漏洞处置修复优先级的统计方法
CN113139191B (zh) * 2021-03-25 2022-07-26 国网浙江省电力有限公司衢州供电公司 一种漏洞处置修复优先级的统计方法
CN113946826A (zh) * 2021-09-10 2022-01-18 国网山东省电力公司信息通信公司 一种漏洞指纹静默分析监测的方法、系统、设备和介质
CN113949572A (zh) * 2021-10-18 2022-01-18 杭州安恒信息安全技术有限公司 一种数据处理的方法、装置及介质
CN114866358A (zh) * 2022-07-07 2022-08-05 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统
CN114866358B (zh) * 2022-07-07 2022-09-09 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统
CN116720197A (zh) * 2023-08-09 2023-09-08 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置
CN116720197B (zh) * 2023-08-09 2023-11-03 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置

Similar Documents

Publication Publication Date Title
CN111428248A (zh) 一种基于等级赋分的漏洞降噪识别方法及系统
CN106960269B (zh) 基于层次分析法的安全应急处置方法及系统
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US8776241B2 (en) Automatic analysis of security related incidents in computer networks
CN111245793A (zh) 网络数据的异常分析方法及装置
RU2536663C2 (ru) Система и способ защиты от нелегального использования облачных инфраструктур
US20100287615A1 (en) Intrusion detection method and system
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US20180041533A1 (en) Scoring the performance of security products
CN113225358B (zh) 网络安全风险评估系统
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
Aung et al. An analysis of K-means algorithm based network intrusion detection system
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
Almotairi et al. A technique for detecting new attacks in low-interaction honeypot traffic
Melo et al. ISM-AC: An immune security model based on alert correlation and software-defined networking
Bolzoni et al. ATLANTIDES: An Architecture for Alert Verification in Network Intrusion Detection Systems.
CN109190408B (zh) 一种数据信息的安全处理方法及系统
CN113067835B (zh) 一种集成自适应失陷指标处理系统
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN113378159A (zh) 一种基于集中管控的威胁情报的评估方法
Kdosha et al. REMaDD: Resource-Efficient Malicious Domains Detector in Large-Scale Networks
Hussain et al. From Machine Learning Based Intrusion Detection to Cost Sensitive Intrusion Response
Chrun et al. Finding corrupted computers using imperfect intrusion prevention system event data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200717