CN113922998A - 一种漏洞风险评估方法、装置、电子设备及可读存储介质 - Google Patents

一种漏洞风险评估方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN113922998A
CN113922998A CN202111152577.0A CN202111152577A CN113922998A CN 113922998 A CN113922998 A CN 113922998A CN 202111152577 A CN202111152577 A CN 202111152577A CN 113922998 A CN113922998 A CN 113922998A
Authority
CN
China
Prior art keywords
vulnerability
asset
characteristic
feature
risk score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111152577.0A
Other languages
English (en)
Inventor
王振洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111152577.0A priority Critical patent/CN113922998A/zh
Publication of CN113922998A publication Critical patent/CN113922998A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请属于网络安全技术领域,公开了一种漏洞风险评估方法、装置、电子设备及可读存储介质,该方法包括,获取漏洞特征数据以及资产特征数据,根据漏洞特征数据中的漏洞特征值,确定第一风险评分;根据资产特征数据中的资产特征值,预估第二风险评分;根据第一风险评分和第二风险评分,获得漏洞风险评分。这样,在进行漏洞风险评估时,还综和考虑了资产特征数据的重要性和脆弱性,提高了漏洞风险评估的准确性。

Description

一种漏洞风险评估方法、装置、电子设备及可读存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种漏洞风险评估方法、装置、电子设备及可读存储介质。
背景技术
随着互联网技术的发展,漏洞的种类和数量越来越多,漏洞修复的难度也越来越大。为提高网络安全性,通常会对各漏洞风险进行评估,并根据漏洞风险的评估结果,进行漏洞的预防以及修复。
现有技术下,通常采用通用漏洞评分系统(Common Vulnerability ScoringSystem,CVSS)结合概念验证(Proof of concept,POC)信息,对漏洞风险进行评估。
但是,采用这种方式,用于漏洞风险评估的数据通常为静态信息,漏洞风险评估的准确度较低。
由此,在进行漏洞风险评估时,如何提高漏洞风险评估的准确度,是一个需要解决的技术问题。
发明内容
本申请实施例的目的在于提供一种漏洞风险评估方法、装置、电子设备及可读存储介质,用以在进行漏洞风险评估时,提高漏洞风险评估的准确度。
一方面,提供一种漏洞风险评估方法,包括:
获取漏洞特征数据以及资产特征数据,其中,漏洞特征数据中包含漏洞特征的漏洞特征值,资产特征数据中包含资产特征的资产特征值;
根据漏洞特征数据中的漏洞特征值,确定第一风险评分;
根据资产特征数据中的资产特征值,预估第二风险评分;
根据第一风险评分和第二风险评分,获得漏洞风险评分。
在上述实现过程中,在进行漏洞风险评估时,综和考虑了资产特征数据的重要性和脆弱性,提高了漏洞风险评估的准确性。
一种实施方式中,根据漏洞特征数据中的漏洞特征值,确定第一风险评分,包括:
获取从漏洞特征数据中还包含的每一漏洞特征的漏洞特征类型;
获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分;
获取分别针对每一漏洞特征设置的漏洞特征权重;
根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
在上述实现过程中,根据不同漏洞特征对漏洞风险影响的重要程度,设置了不同的权重,并采用权重加和的方式,进行漏洞风险评估,进一步提高了漏洞风险评估的准确性。
一种实施方式中,获取分别针对每一漏洞特征的特征值和漏洞特征类型对应设置的特征评分,包括:
获取漏洞特征数据中还包含的目标漏洞类型;
获取针对目标漏洞类型设置的第一对应关系,其中,第一对应关系为漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的对应关系;
基于第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
在上述实现过程中,针对不同的目标漏洞类型,设置了不同的第一对应关系。
一种实施方式中,根据资产特征数据中的资产特征值,预估第二风险评分,包括:
获取资产特征数据中还包含的各资产特征的资产特征类型;
获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分;
获取分别针对每一资产特征设置的资产特征权重;
根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
在上述实现过程中,根据不同资产特征对漏洞风险影响的重要程度,设置了不同的权重,并采用权重加和的方式,进行漏洞风险评估,进一步提高了漏洞风险评估的准确性。
一种实施方式中,根据第一风险评分和第二风险评分,获得漏洞风险评分,包括:
基于第一风险评分和第二风险评分的乘积,确定漏洞风险评分;
其中,漏洞风险评分与乘积呈正相关。
在上述实现过程中,基于第一风险评分和第二风险评分,确定漏洞风险评分,提高了漏洞风险评估的准确性。
一方面,提供一种漏洞风险评估装置,包括:
获取单元,用于获取漏洞特征数据以及资产特征数据,其中,漏洞特征数据中包含漏洞特征的漏洞特征值,资产特征数据中包含资产特征的资产特征值;
确定单元,用于根据漏洞特征数据中的漏洞特征值,确定第一风险评分;
预估单元,用于根据资产特征数据中的资产特征值,预估第二风险评分;
获得单元,用于根据第一风险评分和第二风险评分,获得漏洞风险评分。
一种实施方式中,确定单元用于:
获取从漏洞特征数据中还包含的每一漏洞特征的漏洞特征类型;
获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分;
获取分别针对每一漏洞特征设置的漏洞特征权重;
根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
一种实施方式中,确定单元用于:
获取漏洞特征数据中还包含的目标漏洞类型;
获取针对目标漏洞类型设置的第一对应关系,其中,第一对应关系为漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的对应关系;
基于第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
一种实施方式中,预估单元用于:
获取资产特征数据中还包含的各资产特征的资产特征类型;
获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分;
获取分别针对每一资产特征设置的资产特征权重;
根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
一种实施方式中,获得单元用于:
基于第一风险评分和第二风险评分的乘积,确定漏洞风险评分;
其中,漏洞风险评分与乘积呈正相关。
一方面,提供了一种电子设备,包括处理器以及存储器,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,运行如上述任一种漏洞风险评估各种可选实现方式中提供的方法的步骤。
一方面,提供了一种可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时运行如上述任一种漏洞风险评估各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机程序产品,计算机程序产品在计算机上运行时,使得计算机执行如上述任一种漏洞风险评估各种可选实现方式中提供的方法的步骤。
本申请实施例提供的一种漏洞风险评估方法、装置、电子设备及可读存储介质中,获取漏洞特征数据以及资产特征数据,根据漏洞特征数据中的漏洞特征值,确定第一风险评分;根据资产特征数据中的资产特征值,预估第二风险评分;根据第一风险评分和第二风险评分,获得漏洞风险评分。这样,在进行漏洞风险评估时,综和考虑了资产特征数据的重要性和脆弱性,提高了漏洞风险评估的准确性。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种漏洞风险评估方法的流程图;
图2为本申请实施例提供的一种确定第一风险评分的方法的实施流程图;
图3为本申请实施例提供的一种确定第二风险评分的方法的实施流程图;
图4为本申请实施例提供的一种漏洞风险评估装置的结构框图;
图5为本申请实施方式中一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
首先对本申请实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
终端设备:可以是移动终端、固定终端或便携式终端,例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信系统设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合,包括这些设备的配件和外设或者其任意组合。还可预见到的是,终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。
服务器:可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。
为了在进行漏洞风险评估时,可以提高漏洞风险评估的准确度,本申请实施例提供了一种漏洞风险评估方法、装置、电子设备及可读存储介质。
本申请实施例中,仅以执行主体为服务器为例进行说明,实际应用中,执行主体还可以为终端设备等电子设备,在此不作限制。
参阅图1所示,为本申请实施例提供的一种漏洞风险评估方法的流程图,该方法的具体实施流程如下:
步骤100:获取漏洞特征数据以及资产特征数据。
具体的,周期性或实时获取漏洞特征数据以及资产特征数据。
其中,漏洞特征数据中包含漏洞特征的漏洞特征值,资产特征数据中包含资产特征的资产特征值。
其中,漏洞特征为与漏洞相关的特征。漏洞特征可以包括以下参数中的至少一种:POC信息、影响设备数量、CVSS以及漏洞年限。资产特征为用于判断设备类型的特征。资产特征可以包括以下参数中的至少一种:设备标识(Identification,ID)、操作系统、应用软件、开放端口、扫描频率、标题信息以及设备类型。
实际应用中,漏洞特征和资产特征均可以根据实际应用场景进行设置,在此不作限制。
这是由于不同设备类型的设备的用途不同,使得不同设备类型的设备的漏洞风险通常不同,例如,打印机的漏洞风险通常较低,路由器的漏洞风险通常较高。
一种实施方式中,实时从关于漏洞的公网中爬取动态的漏洞特征数据。
步骤101:根据漏洞特征数据中的漏洞特征值,确定第一风险评分。
具体的,执行步骤101时,可以采用以下步骤:
S1011:获取从漏洞特征数据中还包含的各漏洞特征的漏洞特征类型。
可选的,漏洞特征类型可以为以下类型中的至少一种:
二进制(binary)、区间类型(range)、数学类型(math)以及降序类型(desc)。
S1012:获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分。
具体的,执行S1012时,可以采用以下任一方式:
方式1:采用漏洞特征类型遍历的方式,分别确定每一漏洞特征的漏洞特征值和漏洞漏洞特征类型对应的漏洞特征评分。
具体的,分别针对每一漏洞特征,执行以下步骤:
步骤1:判断漏洞特征类型是否为二进制,若是,则执行步骤2,否则,执行步骤3。
步骤2:获取针对二进制以及漏洞特征值设置的漏洞特征评分。
步骤3:判断漏洞特征类型是否为区间类型,若是,则执行步骤4,否则,执行步骤5。
步骤4:获取针对区间类型以及漏洞特征值设置的漏洞特征评分。
步骤5:判断漏洞特征类型是否为数学类型,若是,则执行步骤6,否则,执行步骤7。
步骤6:获取针对数学类型以及漏洞特征值设置的漏洞特征评分。
步骤7:判断漏洞特征类型是否为降序类型,若是,则执行步骤8,否则,执行步骤9。
步骤8:获取针对数学类型以及漏洞特征值设置的漏洞特征评分。
步骤9:发出脚本错误告警。
方式2:基于漏洞特征的漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的第一对应关系,分别确定每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
具体的,在执行方式2之前,预先分别针对每一漏洞类型,设置相应的第一对应关系。
可选的,漏洞类型可以为手机二维码漏洞以及安卓应用程序漏洞等。
其中,分别确定每一漏洞特征的漏洞特征值和漏洞特征类型对应漏洞特征评分时,可以采用以下步骤:
步骤一:获取漏洞特征数据中还包含的目标漏洞类型。
步骤二:获取针对目标漏洞类型设置的第一对应关系。
步骤三:基于该第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
这样,就可以根据漏洞类型、漏洞特征值以及漏洞特征类型,确定漏洞特征的漏洞特征评分。
S1013:获取分别针对每一漏洞特征设置的漏洞特征权重。
具体的,在执行S1013之前,预先针对不同的漏洞特征,设置不同的漏洞特征权重。
这样,就可以根据不同漏洞特征对漏洞风险影响的重要程度,设置不同的漏洞特征权重,从而可以在后续步骤中,提高漏洞风险评估的准确度。
S1014:根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
具体的,将各漏洞特征对应的漏洞特征评分和漏洞特征权重,进行加权求和,获得第一风险评分。
这样,就可以确定漏洞特征数据的第一风险评分。
步骤102:根据资产特征数据中的资产特征值,预估第二风险评分。
具体的,执行步骤102时,可以采用以下步骤:
S1021:获取资产特征数据中还包含的各资产特征的资产特征类型。
具体的,资产特征类型可以为以下类型中的至少一种:
二进制、区间类型、数学类型以及降序类型。
S1022:获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分。
具体的,执行S1022时,可以采用以下任一方式:
方式1:方式1:采用资产特征类型遍历的方式,分别确定每一资产特征的资产特征值和资产特征类型对应的资产特征评分。
具体的,分别针对每一资产特征,执行以下步骤:
步骤1:判断资产特征类型是否为二进制,若是,则执行步骤2,否则,执行步骤3。
步骤2:获取针对二进制以及资产特征值设置的资产特征评分。
步骤3:判断资产特征类型是否为区间类型,若是,则执行步骤4,否则,执行步骤5。
步骤4:获取针对区间类型以及资产特征值设置的资产特征评分。
步骤5:判断资产特征类型是否为数学类型,若是,则执行步骤6,否则,执行步骤7。
步骤6:获取针对数学类型以及资产特征值设置的资产特征评分。
步骤7:判断资产特征类型是否为降序类型,若是,则执行步骤8,否则,执行步骤9。
步骤8:获取针对数学类型以及资产特征值设置的资产特征评分。
步骤9:发出脚本错误告警。
方式2:基于资产特征的资产特征值、资产特征类型以及资产特征评分三者之间的第二对应关系,分别确定每一资产特征的资产特征值和资产特征类型对应的资产特征评分。
具体的,基于第二对应关系,分别获得每一资产特征的资产特征值和资产特征类型对应的资产特征评分。
其中,在执行方式2之前,预先设置资产特征的资产特征值、资产特征类型以及资产特征评分三者之间的第二对应关系。
这样,就可以根据资产特征值和资产特征类型,确定各资产特征的资产特征评分。
S1023:获取分别针对每一资产特征设置的资产特征权重。
具体的,在执行S1023之前,预先针对不同的资产特征,设置不同的资产特征权重。
这样,就可以根据不同资产特征,对漏洞风险的影响程度,设置不同的资产特征权重,从而可以在后续步骤中,提高漏洞风险评估的准确度。
S1024:根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
具体的,将各资产特征对应的资产特征评分和资产特征权重进行加权求和,获得第二风险评分。
这样,就可以根据资产特征数据,预估漏洞风险。
步骤103:根据第一风险评分和第二风险评分,获得漏洞风险评分。
具体的,执行步骤103时,可以采用以下方式中的任意一种:
方式1:基于第一风险评分和第二风险评分的乘积,确定漏洞风险评分。
其中,漏洞风险评分与乘积呈正相关。
一种实施方式中,确定第一风险评分和第二风险评分的乘积,并将该乘积,确定为漏洞风险评分。
一种实施方式中,确定第一风险评分和第二风险评分的乘积,并确定该乘积的平方根,以及将该平方根,确定为漏洞风险评分。
方式2:将第一风险评分和第二风险评分进行加权求和,获得漏洞风险评分。
下面采用一个具体的实施例,对上述实施例中确定第一风险评分的方法进行进一步的详细说明。参阅图2所示,为本申请实施例提供的一种确定第一风险评分的方法的实施流程图,该方法的具体实施流程如下:
步骤201:获取漏洞特征数据中包含的目标漏洞类型,以及各漏洞特征的漏洞特征类型和漏洞特征值。
步骤202:基于各漏洞特征,生成漏洞特征集合。
步骤203:获取针对目标漏洞类型设置的第一对应关系。
步骤204:判断漏洞特征集合中包含的漏洞特征的漏洞特征数量是否为非零,若是,则执行步骤205,否则,执行步骤208。
步骤205:基于该第一对应关系,获得漏洞特征集合中一个漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
步骤206:获取针对上述一个漏洞特征设置的漏洞特征权重。
步骤207:从漏洞特征集合中去除上述一个漏洞特征,执行步骤204。
步骤208:根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
下面采用一个具体的实施例,对上述实施例中确定第二风险评分的方法进行进一步的详细说明。参阅图3所示,为本申请实施例提供的一种确定第二风险评分的方法的实施流程图,该方法的具体实施流程如下:
步骤301:获取资产特征数据中的各资产特征的资产特征类型和资产特征值。
步骤302:基于各资产特征,生成资产特征集合。
步骤303:获取资产特征的资产特征值、资产特征类型以及资产特征评分三者之间的第二对应关系。
步骤304:判断资产特征集合中包含的资产特征的资产特征数量是否为非零,若是,则执行步骤305,否则,执行步骤308。
步骤305:基于该第二对应关系,获得资产特征集合中一个资产特征的资产特征值和资产特征类型对应的资产特征评分。
步骤306:获取针对上述一个资产特征设置的资产特征权重。
步骤307:从资产特征集合中去除上述一个资产特征,执行步骤304。
步骤308:根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
传统方式中,通常采用静态CVSS对漏洞风险进行评估,漏洞风险评估的时效性以及准确性较差。而本申请实施例中,实时获取动态的漏洞特征数据,并通过实时获取的漏洞特征数据与资产特征数据,对漏洞风险进行评估,这样,漏洞特征数据是实时更新的,提高了漏洞风险评估的时效性,以及在进行漏洞风险评估时,还综和考虑了资产特征数据的重要性和脆弱性,提高了漏洞风险评估的准确性,进一步的,还根据资产特征以及漏洞特征对漏洞风险影响的重要程度,设置了不同的权重,并采用权重加和的方式,进行漏洞风险评估,进一步提高了漏洞风险评估的准确性。
基于同一发明构思,本申请实施例中还提供了一种漏洞风险评估装置,由于上述装置及设备解决问题的原理与一种漏洞风险评估方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,其为本申请实施例提供的一种漏洞风险评估装置的结构示意图,包括:
获取单元401,用于获取漏洞特征数据以及资产特征数据,其中,漏洞特征数据中包含漏洞特征的漏洞特征值,资产特征数据中包含资产特征的资产特征值;
确定单元402,用于根据漏洞特征数据中的漏洞特征值,确定第一风险评分;
预估单元403,用于根据资产特征数据中的资产特征值,预估第二风险评分;
获得单元404,用于根据第一风险评分和第二风险评分,获得漏洞风险评分。
一种实施方式中,确定单元402用于:
获取从漏洞特征数据中还包含的每一漏洞特征的漏洞特征类型;
获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分;
获取分别针对每一漏洞特征设置的漏洞特征权重;
根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
一种实施方式中,确定单元402用于:
获取漏洞特征数据中还包含的目标漏洞类型;
获取针对目标漏洞类型设置的第一对应关系,其中,第一对应关系为漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的对应关系;
基于第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
一种实施方式中,预估单元403用于:
获取资产特征数据中还包含的各资产特征的资产特征类型;
获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分;
获取分别针对每一资产特征设置的资产特征权重;
根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
一种实施方式中,获得单元404用于:
基于第一风险评分和第二风险评分的乘积,确定漏洞风险评分;
其中,漏洞风险评分与乘积呈正相关。
本申请实施例提供的一种漏洞风险评估方法、装置、电子设备及可读存储介质中,获取漏洞特征数据以及资产特征数据,根据漏洞特征数据中的漏洞特征值,确定第一风险评分;根据资产特征数据中的资产特征值,预估第二风险评分;根据第一风险评分和第二风险评分,获得漏洞风险评分。这样,漏洞特征数据是实时更新的,提高了漏洞风险评估的时效性,以及在进行漏洞风险评估时,还综和考虑了资产特征数据的重要性和脆弱性,提高了漏洞风险评估的准确性。
图5示出了一种电子设备5000的结构示意图。参阅图5所示,电子设备5000包括:处理器5010以及存储器5020,可选的,还可以包括电源5030、显示单元5040、输入单元5050。
处理器5010是电子设备5000的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器5020内的软件程序和/或数据,执行电子设备5000的各种功能,从而对电子设备5000进行整体监控。
本申请实施例中,处理器5010调用存储器5020中存储的计算机程序时执行如图1中所示的实施例提供的漏洞风险评估方法。
可选的,处理器5010可包括一个或多个处理单元;优选的,处理器5010可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器5010中。在一些实施例中,处理器、存储器、可以在单一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
存储器5020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、各种应用等;存储数据区可存储根据电子设备5000的使用所创建的数据等。此外,存储器5020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
电子设备5000还包括给各个部件供电的电源5030(比如电池),电源可以通过电源管理系统与处理器5010逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
显示单元5040可用于显示由用户输入的信息或提供给用户的信息以及电子设备5000的各种菜单等,本发明实施例中主要用于显示电子设备5000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元5040可以包括显示面板5041。显示面板5041可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
输入单元5050可用于接收用户输入的数字或字符等信息。输入单元5050可包括触控面板5051以及其他输入设备5052。其中,触控面板5051,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板5051上或在触控面板5051附近的操作)。
具体的,触控面板5051可以检测用户的触摸操作,并检测触摸操作带来的信号,将这些信号转换成触点坐标,发送给处理器5010,并接收处理器5010发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板5051。其他输入设备5052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
当然,触控面板5051可覆盖显示面板5041,当触控面板5051检测到在其上或附近的触摸操作后,传送给处理器5010以确定触摸事件的类型,随后处理器5010根据触摸事件的类型在显示面板5041上提供相应的视觉输出。虽然在图5中,触控面板5051与显示面板5041是作为两个独立的部件来实现电子设备5000的输入和输出功能,但是在某些实施例中,可以将触控面板5051与显示面板5041集成而实现电子设备5000的输入和输出功能。
电子设备5000还可包括一个或多个传感器,例如压力传感器、重力加速度传感器、接近光传感器等。当然,根据具体应用中的需要,上述电子设备5000还可以包括摄像头等其它部件,由于这些部件不是本申请实施例中重点使用的部件,因此,在图5中没有示出,且不再详述。
本领域技术人员可以理解,图5仅仅是电子设备的举例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本申请实施例中,一种可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,使得通信设备可以执行上述实施例中的各个步骤。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种漏洞风险评估的方法,其特征在于,包括:
获取漏洞特征数据以及资产特征数据,其中,所述漏洞特征数据中包含漏洞特征的漏洞特征值,所述资产特征数据中包含资产特征的资产特征值;
根据所述漏洞特征数据中的漏洞特征值,确定第一风险评分;
根据所述资产特征数据中的资产特征值,预估第二风险评分;
根据所述第一风险评分和所述第二风险评分,获得漏洞风险评分。
2.如权利要求1所述的方法,其特征在于,所述根据所述漏洞特征数据中的漏洞特征值,确定第一风险评分,包括:
获取从所述漏洞特征数据中还包含的每一漏洞特征的漏洞特征类型;
获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分;
获取分别针对每一漏洞特征设置的漏洞特征权重;
根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
3.如权利要求2所述的方法,其特征在于,所述获取分别针对每一漏洞特征的特征值和漏洞特征类型对应设置的特征评分,包括:
获取所述漏洞特征数据中还包含的目标漏洞类型;
获取针对所述目标漏洞类型设置的第一对应关系,其中,所述第一对应关系为漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的对应关系;
基于所述第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
4.如权利要求1-3任一项所述的方法,其特征在于,所述根据所述资产特征数据中的资产特征值,预估第二风险评分,包括:
获取所述资产特征数据中还包含的各资产特征的资产特征类型;
获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分;
获取分别针对每一资产特征设置的资产特征权重;
根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
5.如权利要求1-3任一项所述的方法,其特征在于,所述根据所述第一风险评分和所述第二风险评分,获得漏洞风险评分,包括:
基于所述第一风险评分和所述第二风险评分的乘积,确定所述漏洞风险评分;
其中,所述漏洞风险评分与所述乘积呈正相关。
6.一种漏洞风险评估装置,其特征在于,包括:
获取单元,用于获取漏洞特征数据以及资产特征数据,其中,所述漏洞特征数据中包含漏洞特征的漏洞特征值,所述资产特征数据中包含资产特征的资产特征值;
确定单元,用于根据所述漏洞特征数据中的漏洞特征值,确定第一风险评分;
预估单元,用于根据所述资产特征数据中的资产特征值,预估第二风险评分;
获得单元,用于根据所述第一风险评分和所述第二风险评分,获得漏洞风险评分。
7.如权利要求6所述的装置,其特征在于,所述确定单元用于:
获取从所述漏洞特征数据中还包含的每一漏洞特征的漏洞特征类型;
获取分别针对每一漏洞特征的漏洞特征值和漏洞特征类型对应设置的漏洞特征评分;
获取分别针对每一漏洞特征设置的漏洞特征权重;
根据各漏洞特征对应的漏洞特征评分和漏洞特征权重,确定第一风险评分。
8.如权利要求7所述的装置,其特征在于,所述确定单元用于:
获取所述漏洞特征数据中还包含的目标漏洞类型;
获取针对所述目标漏洞类型设置的第一对应关系,其中,所述第一对应关系为漏洞特征值、漏洞特征类型以及漏洞特征评分三者之间的对应关系;
基于所述第一对应关系,分别获得每一漏洞特征的漏洞特征值和漏洞特征类型对应的漏洞特征评分。
9.如权利要求6-8任一项所述的装置,其特征在于,所述预估单元用于:
获取所述资产特征数据中还包含的各资产特征的资产特征类型;
获取分别针对每一资产特征的资产特征值和资产特征类型对应设置的资产特征评分;
获取分别针对每一资产特征设置的资产特征权重;
根据各资产特征对应的资产特征评分和资产特征权重,确定第二风险评分。
10.如权利要求6-8任一项所述的装置,其特征在于,所述获得单元用于:
基于所述第一风险评分和所述第二风险评分的乘积,确定所述漏洞风险评分;
其中,所述漏洞风险评分与所述乘积呈正相关。
11.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-5任一所述方法。
12.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-5任一所述方法。
CN202111152577.0A 2021-09-29 2021-09-29 一种漏洞风险评估方法、装置、电子设备及可读存储介质 Pending CN113922998A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111152577.0A CN113922998A (zh) 2021-09-29 2021-09-29 一种漏洞风险评估方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111152577.0A CN113922998A (zh) 2021-09-29 2021-09-29 一种漏洞风险评估方法、装置、电子设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN113922998A true CN113922998A (zh) 2022-01-11

Family

ID=79237108

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111152577.0A Pending CN113922998A (zh) 2021-09-29 2021-09-29 一种漏洞风险评估方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113922998A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679339A (zh) * 2022-05-26 2022-06-28 杭州安恒信息技术股份有限公司 一种物联网资产评分方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103118003A (zh) * 2012-12-27 2013-05-22 北京神州绿盟信息安全科技股份有限公司 一种基于资产的风险扫描方法、装置及系统
US20180069889A1 (en) * 2016-09-08 2018-03-08 Corax Cyber Security, Inc. Determining an assessment of a security breach for an asset of a network infrastructure
CN111865981A (zh) * 2020-07-20 2020-10-30 交通运输信息安全中心有限公司 网络安全脆弱性评估系统及方法
CN112163753A (zh) * 2020-09-22 2021-01-01 杭州安恒信息技术股份有限公司 资产风险评估方法、装置、计算机设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103118003A (zh) * 2012-12-27 2013-05-22 北京神州绿盟信息安全科技股份有限公司 一种基于资产的风险扫描方法、装置及系统
US20180069889A1 (en) * 2016-09-08 2018-03-08 Corax Cyber Security, Inc. Determining an assessment of a security breach for an asset of a network infrastructure
CN111865981A (zh) * 2020-07-20 2020-10-30 交通运输信息安全中心有限公司 网络安全脆弱性评估系统及方法
CN112163753A (zh) * 2020-09-22 2021-01-01 杭州安恒信息技术股份有限公司 资产风险评估方法、装置、计算机设备和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679339A (zh) * 2022-05-26 2022-06-28 杭州安恒信息技术股份有限公司 一种物联网资产评分方法、装置、设备及介质
CN114679339B (zh) * 2022-05-26 2022-08-26 杭州安恒信息技术股份有限公司 一种物联网资产评分方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN108470253B (zh) 一种用户识别方法、装置及存储设备
CN109690548B (zh) 基于设备属性和设备风险因素的计算设备保护
CN108804918B (zh) 安全性防御方法、装置、电子设备及存储介质
CN115022098B (zh) 人工智能安全靶场内容推荐方法、装置及存储介质
CN116168038B (zh) 一种图像翻拍检测的方法、装置、电子设备及存储介质
CN112231144A (zh) 一种数据处理方法、装置及电子设备
CN108763478A (zh) 用户隐性特征计算方法、服务器及计算机可读存储介质
CN115150261A (zh) 告警分析的方法、装置、电子设备及存储介质
CN113922998A (zh) 一种漏洞风险评估方法、装置、电子设备及可读存储介质
CN113609479A (zh) 一种文件检测的方法、装置、电子设备及可读存储介质
CN114821751B (zh) 图像识别方法、装置、系统及存储介质
CN115600199A (zh) 安全评估的方法、装置、电子设备及计算机可读存储介质
CN114817742B (zh) 基于知识蒸馏的推荐模型配置方法、装置、设备、介质
CN110278241A (zh) 一种注册请求处理方法及装置
CN113726612A (zh) 一种获取测试数据的方法、装置、电子设备及存储介质
CN113360916A (zh) 应用程序编程接口的风险检测方法、装置、设备及介质
CN113904837A (zh) 一种攻击检测的方法、装置、电子设备及介质
CN113705722B (zh) 一种操作系统版本识别的方法、装置、设备和介质
CN115412726B (zh) 视频真伪检测方法、装置及存储介质
CN114493716A (zh) 一种业务预测的方法、装置、电子设备及存储介质
CN114090123A (zh) 一种设备参数配置的方法、装置、电子设备及存储介质
CN114511929A (zh) 一种异常行为检测的方法、装置、电子设备及存储介质
CN115346217A (zh) 文字行检测的方法、装置、电子设备及存储介质
CN117688484A (zh) 数据异常检测方法、装置、存储介质及电子设备
CN114357140A (zh) 问答信息推送的方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220111

RJ01 Rejection of invention patent application after publication