CN115357722A - 一种漏洞情报的关联方法 - Google Patents

一种漏洞情报的关联方法 Download PDF

Info

Publication number
CN115357722A
CN115357722A CN202210800658.5A CN202210800658A CN115357722A CN 115357722 A CN115357722 A CN 115357722A CN 202210800658 A CN202210800658 A CN 202210800658A CN 115357722 A CN115357722 A CN 115357722A
Authority
CN
China
Prior art keywords
vulnerability
information
software
soft
intelligence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210800658.5A
Other languages
English (en)
Inventor
司红星
孙基栩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siwei Chuangzhi Beijing Technology Development Co ltd
Original Assignee
Siwei Chuangzhi Beijing Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siwei Chuangzhi Beijing Technology Development Co ltd filed Critical Siwei Chuangzhi Beijing Technology Development Co ltd
Priority to CN202210800658.5A priority Critical patent/CN115357722A/zh
Publication of CN115357722A publication Critical patent/CN115357722A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Stored Programmes (AREA)

Abstract

本发明涉及信息安全领域,公开了一种漏洞情报的关联方法。该方法在CWE和CAPEC标准的基础上,通过人工消歧和构建新关系边的方式来构建图谱的概念图,并通过扩展知识源和对实体与情报的属性进行梳理的方式,来获取专业的知识和得到受关注的漏洞情报信息。本发明提供的方法不仅能够根据图谱构建的依赖关系,快速准确地判断出各类组件是否存在,从而拓展漏洞挖掘的攻击面,同时,还实现了围绕漏洞概念进行信息的组织和信息的分类,提高了不同领域、不同来源知识的精确性,增强了各类知识的组织关联性,提升了漏洞情报的应用性。

Description

一种漏洞情报的关联方法
技术领域
本发明涉及知识工程领域,具体涉及一种漏洞情报的关联方法。
背景技术
知识图谱是结构化的语义知识库,用于以符号形式描述物理世界中的概念及其相互关系,其基本组成单位是“实体—关系—实体”三元组,以及实体及其相关属性—值对,各个实体间通过关系相互联结,构成了网状的知识结构,知识图谱能聚合大量知识,从而实现知识的快速响应和推理。
传统根据图谱构建的漏洞知识挖掘方法,一方面,由于未对实体和关系进行细致划分和逻辑梳理,使得概念图谱存在逻辑断层,导致在进行知识推理应用时,会因为出现孤岛节点以及关系的断层而导致无法将隐性信息进行很好的关联;另一方面,因为没有对漏洞作用组件进行实体和关系细化,忽略了组件之间的关联关系,造成了针对组件供应链的漏洞情报挖掘无法实施;此外,由于概念图的部分关系颗粒度过粗,未能对CWE和CAPEC标准内部关系进行梳理关联,使得在进行漏洞分类时,无法在更高的维度上对攻击收益进行分析。
发明内容
为了解决上述背景技术中提到的至少一个问题,本发明在梳理CWE和CAPEC标准的基础上,通过人工消歧和构建新关系边的方式来构建图谱的概念图,以确保初始知识的质量在一个较高的水平;并且,本发明通过扩展知识源的方式来丰富实体和关系的数量,在确保获取足够多的专业知识前提下,对实体和情报属性进行细致梳理,来得到受关注的漏洞情报信息。
为了达到上述目的,本发明采用以下技术方案予以实现。
一种漏洞情报的关联方法,工作流程包括步骤:
步骤S1,根据漏洞分类标准构建漏洞脆弱性及攻击收益子图,其中,漏洞分类标准包括软件脆弱性类型数据集和攻击类型枚举和分类数据集,具体步骤为:
步骤S101,直接引用软件脆弱性类型数据集、攻击类型枚举和分类数据集的官方定义;步骤S102,从攻击类型枚举和分类数据集中的“Related_Attack_Patterns”字段中抽取出攻击类型,从软件脆弱性类型数据的中的“Related_Weaknesses”字段中提取出脆弱点列表;
步骤S103,使用“Nature”字段,对提取出的攻击类型与脆弱点列表进行关系定义,定义公式为:
CWE≡CAPEC
其中,CWE表示从软件脆弱性类型数据集提取出的脆弱点列表,CAPEC表示从攻击类型枚举和分类数据集中提取出的攻击类型,≡表示被利用的关系。
步骤S2,抽取通用平台枚举标准中的软件依赖描述,构建软件与软件之间的依赖关系,具体步骤为:
步骤S201,从通用平台枚举标准中的的软件依赖描述字段,提取出软件的依赖关系;
步骤S202,根据软件依赖关系的特性,构建软件依赖规则:
规则一,如果关系可靠度为1,则软件依赖关系为强关联规则;
规则二,如果被依赖的软件存在依赖关系,则之前的依赖关系将被继承,具体公式为:
Soft1>>Soft2&&Soft2>>Soft3==Soft1>>Soft3
其中,Soft1,Soft2和Soft3表示不同的软件,>>表示依赖关系,&&表示逻辑与关系,==表示等价于;
规则三,如果依赖的软件存在,则被依赖的软件一定存在,具体公式为:
Soft1>>Soft2==Soft1→Soft2
其中,Soft1和Soft2表示不同的软件,>>表示依赖关系,==表示等价于,→表示必要条件;
步骤S203,根据定义的推理规则,进行漏洞的供应链推理。
步骤S3,调用公开漏洞情报平台的数据接口,并从数据接口返回的信息中提取公开漏洞情报平台的半结构化数据,具体步骤为:
步骤S301,通过HTTP请求的方式,调用各个公开漏洞情报平台的的数据接口,公开漏洞情报平台具体包括通用漏洞披露平台、中国国家信息安全漏洞共享平台和美国国家信息安全漏洞共享平台;
步骤S302,接收各个公开漏洞情报平台返回的信息,并对返回的信息进行JSON序列化;
步骤S303,从序列化后的JSON中解析出各个公开漏洞情报平台的半结构数据。
步骤S4,根据所述漏洞脆弱性及攻击收益子图,对所述半结构化数据进行数据操作,其中,数据操作包括:
对半结构化数据中包含的漏洞危害评分数值进行调优;
对半结构化数据中的漏洞描述信息进行“漏洞类型分类”属性扩展;
具体步骤为:
步骤S401,根据情报组织模块,通过参考威胁情报规范中实体和关系的描述,来确定所述半结构数据中漏洞情报知识图谱的原始实体及概念关系;
步骤S402,以漏洞情报知识图谱的漏洞为中心点,根据其他实体与漏洞关系位置的不同对漏洞情报知识图谱进行逻辑分层,具体分层规则为:
按照漏洞作用目标的不同分为组件概念层;
按照漏洞概念的不同分为漏洞概念层;
按照了解漏洞信息的不同分为情报信息层;
按照情报补充说明信息的不同分为情报实例层。
步骤S5,根据情报组织模块,抽取所述半结构化数据中的实体和关系,并根据抽取的实体和关系,构建所述半结构化数据中实体的属性;
步骤S6,利用python编程语言编写的脚本,将组件库导入Neo4j数据库形成关联漏洞情报的知识图谱,其中,组件库包括:
所述漏洞脆弱性及攻击收益子图;
软件与软件之间的依赖关系;
从半结构化数据中抽取的实体和关系;
结构化数据中根据实体构建的属性。
本发明提出了一种漏洞情报的关联方法,与现有的技术相比,具有以下有益效果:
本发明根据通用平台枚举标准构建组件之间的关联关系,在进行供应链漏洞挖掘应用时,能够根据构建图谱的依赖关系,快速准确的判断出各类组件是否存在,从而拓展漏洞挖掘的攻击面。
本发明构建了以漏洞概念为核心的漏洞情报知识图谱,实现了围绕漏洞概念进行信息的组织和信息的分类,提高了不同领域、不同来源知识的精确性,增强了各类知识的组织关联性,提升了情报的应用性。
附图说明
图1是本发明的逻辑流程图;
图2是本发明中漏洞情报知识图谱的原始实体及概念关系图;
图3是本发明中漏洞情报知识图谱进行逻辑分层图。
具体实施方式
为了使本发明的目的、特征能够更加的明显和易懂,下面通过实施例并结合附图对本技术方案进行详细说明。
一种漏洞情报的关联方法,如图1所示,具体工作流程包括步骤:
步骤S1,根据漏洞分类标准构建漏洞脆弱性及攻击收益子图,其中,漏洞分类标准包括软件脆弱性类型数据集和攻击类型枚举和分类数据集,具体步骤为:
步骤S101,直接引用软件脆弱性类型数据集、攻击类型枚举和分类数据集的官方定义。
步骤S102,从攻击类型枚举和分类数据集中的“Related_Attack_Patterns”字段中抽取出攻击类型,从软件脆弱性类型数据的中的“Related_Weaknesses”字段中提取出脆弱点列表。
步骤S103,使用“Nature”字段,对提取出的攻击类型与脆弱点列表进行关系定义,定义公式为:
CWE≡CAPEC
其中,CWE表示从软件脆弱性类型数据集提取出的脆弱点列表,CAPEC表示从攻击类型枚举和分类数据集中提取出的攻击类型,≡表示被利用的关系。
步骤S2,抽取通用平台枚举标准中的软件依赖描述,构建软件与软件之间的依赖关系,具体步骤为:
步骤S201,从通用平台枚举标准中的的软件依赖描述字段,提取出软件的依赖关系。
步骤S202,根据软件依赖关系的特性,构建软件依赖规则:
规则一,如果关系可靠度为1,则软件依赖关系为强关联规则。
规则二,如果被依赖的软件存在依赖关系,则之前的依赖关系将被继承,具体公式为:
Soft1>>Soft2&&Soft2>>Soft3==Soft1>>Soft3
其中,Soft1,Soft2和Soft3表示不同的软件,>>表示依赖关系,&&表示逻辑与关系,==表示等价于。
规则三,如果依赖的软件存在,则被依赖的软件一定存在,具体公式为:
Soft1>>Soft2==Soft1→Soft2
其中,Soft1和Soft2表示不同的软件,>>表示依赖关系,==表示等价于,→表示必要条件;
步骤S203,根据定义的推理规则,进行漏洞的供应链推理。
步骤S3,调用公开漏洞情报平台的数据接口,并从数据接口返回的信息中提取公开漏洞情报平台的半结构化数据,具体步骤为:
步骤S301,通过HTTP请求的方式,调用各个公开漏洞情报平台的的数据接口,公开漏洞情报平台具体包括通用漏洞披露平台、中国国家信息安全漏洞共享平台和美国国家信息安全漏洞共享平台。
步骤S302,接收各个公开漏洞情报平台返回的信息,并对返回的信息进行JSON序列化。
步骤S303,从序列化后的JSON中解析出各个公开漏洞情报平台的半结构数据。
步骤S4,根据所述漏洞脆弱性及攻击收益子图,对所述半结构化数据进行数据操作,其中,数据操作包括:
对半结构化数据中包含的漏洞危害评分数值进行调优。
对半结构化数据中的漏洞描述信息进行“漏洞类型分类”属性扩展。
具体步骤为:
步骤S401,根据情报组织模块,通过参考威胁情报规范中实体和关系的描述,来确定如图2所示的半结构数据中漏洞情报知识图谱的原始实体及概念关系。
步骤S402,以漏洞情报知识图谱的漏洞为中心点,根据其他实体与漏洞关系位置的不同对漏洞情报知识图谱进行逻辑分层,如图3所示,具体分层规则为:
按照漏洞作用目标的不同分为组件概念层。
按照漏洞概念的不同分为漏洞概念层。
按照了解漏洞信息的不同分为情报信息层。
按照情报补充说明信息的不同分为情报实例层。
步骤S5,根据情报组织模块,抽取所述半结构化数据中的实体和关系,并根据抽取的实体和关系,构建所述半结构化数据中实体的属性。
步骤S6,利用python编程语言编写的脚本,将组件库导入Neo4j数据库形成关联漏洞情报的知识图谱,其中,组件库包括:
漏洞脆弱性及攻击收益子图。
软件与软件之间的依赖关系。
从半结构化数据中抽取的实体和关系。
结构化数据中根据实体构建的属性。
至此,按照本发明公开的方法,已实施完一次本发明的工作过程。
虽然,本说明书中已经用一般性说明及具体实施方案对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (9)

1.一种漏洞情报的关联方法,其特征在于,包括步骤:
步骤S1,根据漏洞分类标准构建漏洞脆弱性及攻击收益子图,其中,漏洞分类标准包括软件脆弱性类型数据集和攻击类型枚举和分类数据集;
步骤S2,抽取通用平台枚举标准中的多个软件依赖描述,构建软件与软件之间的依赖关系;
步骤S3,调用公开漏洞情报平台的数据接口,并从数据接口返回的信息中提取公开漏洞情报平台的半结构化数据;
步骤S4,根据所述漏洞脆弱性及攻击收益子图,对所述半结构化数据进行数据操作;
步骤S5,根据情报组织模块,抽取所述半结构化数据中的实体和关系,并根据抽取的实体和关系,构建所述半结构化数据中实体的属性;
步骤S6,利用编写的脚本,将组件库导入Neo4j数据库形成关联漏洞情报的知识图谱,其中,组件库包括:
所述漏洞脆弱性及攻击收益子图;
所述软件与软件之间的依赖关系;
从所述半结构化数据中抽取的实体和关系;
所述结构化数据中根据实体构建的属性。
2.根据权利1所述的漏洞情报的关联方法,其特征在于,步骤S1包括:
步骤S101,直接引用软件脆弱性类型数据集、攻击类型枚举和分类数据集的官方定义;
步骤S102,从攻击类型枚举和分类数据集中的“Related_Attack_Patterns”字段中抽取出攻击类型,从软件脆弱性类型数据的中的“Related_Weaknesses”字段中提取出脆弱点列表;
步骤S103,使用“Nature”字段,对提取出的攻击类型与脆弱点列表进行关系定义,定义公式为:
CWE≡CAPEC
其中,CWE表示从软件脆弱性类型数据集提取出的脆弱点列表,CAPEC表示从攻击类型枚举和分类数据集中提取出的攻击类型,≡表示被利用的关系。
3.根据权利1所述的一种漏洞情报的关联方法,其特征在于,步骤S2包括步骤:
步骤S201,从通用平台枚举标准中的的软件依赖描述字段,提取出软件的依赖关系;
步骤S202,根据软件依赖关系的特性,构建软件依赖规则:
规则一,如果关系可靠度为1,则软件依赖关系为强关联规则;
规则二,如果被依赖的软件存在依赖关系,则之前的依赖关系将被继承,具体公式为:
Soft1>>Soft2&&Soft2>>Soft3==Soft1>>Soft3
其中,Soft1,Soft2和Soft3表示不同的软件,>>表示依赖关系,&&表示逻辑与关系,==表示等价于;
规则三,如果依赖的软件存在,则被依赖的软件一定存在,具体公式为:
Soft1>>Soft2==Soft1→Soft2
其中,Soft1和Soft2表示不同的软件,>>表示依赖关系,==表示等价于,→表示必要条件;
步骤S203,根据定义的推理规则,进行漏洞的供应链推理。
4.根据权利1所述的一种漏洞情报的关联方法,其特征在于,步骤S3包括步骤:
步骤S301,通过HTTP请求的方式,调用各个公开漏洞情报平台的的数据接口;
步骤S302,接收各个公开漏洞情报平台返回的信息,并对返回的信息进行JSON序列化;
步骤S303,从序列化后的JSON中解析出各个公开漏洞情报平台的半结构数据。
5.根据权利4所述的一种漏洞情报的关联方法,其特征在于,步骤S301中所述的各个公开漏洞情报平台,包括通用漏洞披露平台、中国国家信息安全漏洞共享平台和美国国家信息安全漏洞共享平台。
6.根据权利1所述的一种漏洞情报的关联方法,其特征在于,步骤S4中所述的数据操作包括:
对半结构化数据中包含的漏洞危害评分数值进行调优;
对半结构化数据中的漏洞描述信息进行“漏洞类型分类”属性扩展。
7.根据权利1所述的一种漏洞情报的关联方法,其特征在于,步骤S4包括步骤:
步骤S401,根据情报组织模块,通过参考威胁情报规范中实体和关系的描述,来确定所述半结构数据中漏洞情报知识图谱的原始实体及概念关系;
步骤S402,以漏洞情报知识图谱的漏洞为中心点,根据其他实体与漏洞关系位置的不同对漏洞情报知识图谱进行逻辑分层。
8.根据权利7所述的一种漏洞情报的关联方法,其特征在于,步骤S402中所述的对漏洞情报知识图谱进行逻辑分层,具体分层规则为:
按照漏洞作用目标的不同分为组件概念层;
按照漏洞概念的不同分为漏洞概念层;
按照了解漏洞信息的不同分为情报信息层;
按照情报补充说明信息的不同分为情报实例层。
9.根据权利1所述的一种漏洞情报的关联方法,其特征在于,步骤S6中所述编写的脚本,具体是用python编程语言编写的脚本。
CN202210800658.5A 2022-07-06 2022-07-06 一种漏洞情报的关联方法 Pending CN115357722A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210800658.5A CN115357722A (zh) 2022-07-06 2022-07-06 一种漏洞情报的关联方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210800658.5A CN115357722A (zh) 2022-07-06 2022-07-06 一种漏洞情报的关联方法

Publications (1)

Publication Number Publication Date
CN115357722A true CN115357722A (zh) 2022-11-18

Family

ID=84032415

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210800658.5A Pending CN115357722A (zh) 2022-07-06 2022-07-06 一种漏洞情报的关联方法

Country Status (1)

Country Link
CN (1) CN115357722A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116260637A (zh) * 2023-02-15 2023-06-13 中国电子技术标准化研究院 渗透测试的路径规划方法、装置、电子设备及存储介质
CN116775910A (zh) * 2023-08-18 2023-09-19 北京源堡科技有限公司 基于情报收集的自动化漏洞复现知识库构建方法及介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116260637A (zh) * 2023-02-15 2023-06-13 中国电子技术标准化研究院 渗透测试的路径规划方法、装置、电子设备及存储介质
CN116260637B (zh) * 2023-02-15 2023-11-07 中国电子技术标准化研究院 渗透测试的路径规划方法、装置、电子设备及存储介质
CN116775910A (zh) * 2023-08-18 2023-09-19 北京源堡科技有限公司 基于情报收集的自动化漏洞复现知识库构建方法及介质
CN116775910B (zh) * 2023-08-18 2023-11-24 北京源堡科技有限公司 基于情报收集的自动化漏洞复现知识库构建方法及介质

Similar Documents

Publication Publication Date Title
CN115357722A (zh) 一种漏洞情报的关联方法
CN111722839B (zh) 一种代码生成方法、装置、电子设备及存储介质
WO2017186774A1 (en) Systems and methods for querying databases
Fan et al. Relative information completeness
US11966419B2 (en) Systems and methods for combining data analyses
Lin et al. Semantic classification and hash code accelerated detection of design changes in BIM models
US11899810B2 (en) Systems and methods for determining database permissions
US11449477B2 (en) Systems and methods for context-independent database search paths
CN109255586A (zh) 一种面向电子政务办事的在线个性化推荐方法
Debreceni et al. Query-driven incremental synchronization of view models
CN105260300B (zh) 基于会计准则通用分类标准应用平台的业务测试方法
CN102073823A (zh) 一种基于缺陷分析的软件可信性评价方法
US20140298286A1 (en) Systems and Methods for Automatically Associating Software Elements and Automatic Gantt Chart Creation
Paquet et al. Continuous probability distributions in concurrent games
CN116415199B (zh) 基于审计中间表的业务数据离群分析方法
CN115905353A (zh) 关联数据导出、导入方法、装置、设备及存储介质
JP2012033017A (ja) 規則検査装置、規則検査方法及び規則検査プログラム
Hussain et al. A new hierarchical clustering technique for restructuring software at the function level
Sahoo et al. An algorithm for mining high utility closed itemsets and generators
CN116027938B (zh) 信息交互方法、装置、设备、介质及程序产品
CN103870520A (zh) 用于搜索信息的设备和方法
EP3869355A1 (en) Intelligent and automatic exception handling
Kohler et al. Formal aspects for semantic service modeling based on high-level petri nets
et Durable Enumeration Complexity: Incremental Time, Delay and Space
Köhler et al. Dynamic service composition: A petri-net based approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination