CN116488840A - 一种漏洞态势评估方法、装置、电子设备及存储介质 - Google Patents
一种漏洞态势评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116488840A CN116488840A CN202211636370.5A CN202211636370A CN116488840A CN 116488840 A CN116488840 A CN 116488840A CN 202211636370 A CN202211636370 A CN 202211636370A CN 116488840 A CN116488840 A CN 116488840A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- attacker
- score
- protected object
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000011156 evaluation Methods 0.000 claims abstract description 46
- 238000013145 classification model Methods 0.000 claims abstract description 9
- 238000004364 calculation method Methods 0.000 claims description 15
- 238000012549 training Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 12
- 230000003068 static effect Effects 0.000 claims description 9
- 230000002776 aggregation Effects 0.000 claims description 7
- 238000004220 aggregation Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 239000000523 sample Substances 0.000 claims description 4
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 4
- 230000004927 fusion Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007499 fusion processing Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种漏洞态势评估方法、装置、电子设备及存储介质,涉及人工智能技术领域。该方法包括将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;根据所述得分计算信息熵;根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果;该方法从攻击者、漏洞、被保护对象三个角度对漏洞进行量化评估,解决了漏洞态势难以被评估的问题。
Description
技术领域
本申请涉及人工智能技术领域,具体而言,涉及一种漏洞态势评估方法、装置、电子设备及存储介质。
背景技术
近年来,随着网络技术的发展,互联网已经成为军事、生活及医疗等方面必不可少的部分。然而,在互联网为大众带来便利的同时,越来越多的攻击者利用安全漏洞进行网络攻击,给网络安全环境带来了巨大的挑战,极大的影响了国内外社会、经济及文化等领域的发展。漏洞每年新发布数量呈指数型增长,可见安全漏洞对于互联网在安全领域中的影响巨大。因此,良好的安全漏洞管理方式、科学的漏洞态势感知技术的研究对维护网络环境安全有着重大意义。现有的各大漏洞网站的漏洞标准不一致,结构不统一,尤其是当被报出时,漏洞的严重程度难以被评估。
发明内容
本申请实施例的目的在于提供一种漏洞态势评估方法、装置、电子设备及存储介质,从攻击者、漏洞、被保护对象三个角度对漏洞进行量化评估,解决了漏洞态势难以被评估的问题。
本申请实施例提供了一种漏洞态势评估方法,所述方法包括:
将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
根据所述得分计算信息熵;
根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
在上述实现过程中,利用熵权法将攻击者能力、漏洞等级和被保护对象影响程度三个维度作为评估指标对漏洞态势进行量化,解决了漏洞态势难以被评估的问题。
进一步地,在所述将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分的步骤之前,所述方法还包括:
基于威胁数据生成攻击者画像;
基于漏洞库数据生成漏洞画像;
基于主动探测数据生成被保护对象画像;
利用画像属性特征和评分等级标签进行分类器模型训练,分别得到攻击者能力检测模型、漏洞评分模型和被保护对象受害程度模型。
在上述实现过程中,将画像属性特征作为输入,评分等级的分类标签作为输出进行模型训练,可得到三个分类器模型。
进一步地,所述基于威胁数据生成攻击者画像,包括:
基于威胁情报及内部告警事件根据攻击者所使用的攻击资源生成攻击者画像,攻击者画像属性包括静态属性和聚合属性。
在上述实现过程中,通过对漏洞利用的攻击者使用的攻击资源进行画像,从而得到攻击者画像。
进一步地,所述基于漏洞库数据生成漏洞画像,包括:
利用词频-逆文档频率算法进行关键词提取,以获得漏洞画像属性。
在上述实现过程中,通过对被利用漏洞与各大漏洞进行关联获取漏洞画像。
进一步地,所述基于主动探测数据生成被保护对象画像,包括:
基于资产信息、主动探测数据获取被保护对象画像,被保护对象画像属性包括静态属性和聚合属性。
在上述实现过程中,通过主动探测数据获取被保护对象画像。
进一步地,所述根据所述得分计算信息熵,包括:
基于所述得分计算归一化得分:
其中,xi为任意漏洞态势等级对应的各个评估指标的得分,xij为第i行漏洞态势等级、第j列评估指标对应的得分;所述评估指标包括攻击者能力、漏洞等级和被保护对象影响程度;
根据所述归一化得分计算第一权重:
根据所述第一权重计算信息熵:
在上述实现过程中,利用攻击者能力、漏洞等级和被保护对象影响程度三个评估指标的不同漏洞态势等级对应的得分计算信息熵。
进一步地,所述根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果,包括:
根据所述信息熵计算各个评估指标的第二权重:
其中,k表示评估指标总数,则k=m=3;
根据所述第二权重计算各个漏洞态势等级的得分:
获取所述得分中的最大值对应的漏洞态势等级作为评估结果。
在上述实现过程中,利用熵权法量化得分,将得分中的最大值对应的评估等级作为评估结果。
本申请实施例还提供一种漏洞态势评估装置,所述装置包括:
得分获取模块,用于将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
信息熵计算模块,用于根据所述得分计算信息熵;
评估结果获取模块,用于根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
在上述实现过程中,利用熵权法将攻击者能力、漏洞等级和被保护对象影响程度三个维度作为评估指标对漏洞态势进行量化,解决了漏洞态势难以被评估的问题。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的漏洞态势评估方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述中任一项所述的漏洞态势评估方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种漏洞态势评估方法的流程图;
图2为本申请实施例提供的漏洞态势评估的具体实现方法示意图;
图3为本申请实施例提供的型训练流程图;
图4为本申请实施例提供的信息熵计算流程图;
图5为本申请实施例提供的评估结果获取流程图;
图6为本申请实施例提供的一种漏洞态势评估装置的结构框图;
图7为本申请实施例提供的另一种漏洞态势评估装置的结构框图。
图标:
100-得分获取模块;110-模型训练模块;200-信息熵计算模块;201-归一化得分计算模块;202-第一权重计算模块;203-信息熵获取模块;300-评估结果获取模块;301-第二权重计算模块;302-得分计算模块;303-评估结果确定模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供的一种漏洞态势评估方法的流程图。该方法从攻击者、漏洞、被保护对象三个角度对漏洞态势进行评估,并定量计算出漏洞态势等级,具体包括以下步骤:
步骤S100:将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
步骤S200:根据所述得分计算信息熵;
步骤S300:根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
如图2所示,为漏洞态势评估的具体实现方法示意图,在步骤100之前,需要先对模型进行训练,分别获得攻击者能力检测模型、漏洞评分模型和被保护对象受害程度模型,如图3所示,为模型训练流程图,具体包括以下步骤:
步骤S111:基于威胁数据生成攻击者画像;
基于威胁情报及内部告警事件根据攻击者所使用的攻击资源生成攻击者画像,攻击者画像属性包括静态属性和聚合属性。
静态属性:对报告、情报等信息进行直接抽取,例如所属国家、所属组织、目标国家、目标行业等、域名注册国家。
聚合属性:对随时间动态变化的关系的抽取,例如恶意域名数量、恶意样本数量、历史武器库、TTPS、活跃度等。
步骤S112:基于漏洞库数据生成漏洞画像;
利用词频-逆文档频率算法进行关键词提取,以获得漏洞画像属性。
示例地,如对NVD、CNVD、Exploit-DB等相关漏洞库数据中的漏洞生成漏洞画像。
漏洞画像属性如漏洞分类(按漏洞位置划分)、CNNVD编号、CNVD编号、可用性、攻击途径、攻击复杂度、是否需要进行认证、保密性、危害等级、完整性、CVE编号、漏洞名称、附件信息、漏洞评分、漏洞分类(按平台划分)、漏洞描述、最后修改日期、漏洞发布日期、参考连接、漏洞分类(按行业划分)。
将NVD、CNVD、Exploit-DB等相关漏洞库数据中的数据进行知识融合,从而解决多个漏洞库中的名称描述不一致问题:
不同来源的漏洞库之间的数据存在交叉与互补信息,以漏洞实体为例,同一漏洞实体在CVE和BID两个漏洞库中表现为不同的漏洞记录,故需要将这两类实体进行对齐为同一实体。
如BID漏洞库中的编号为“106674”的漏洞和CVE漏洞库中编号为“CVE-2019-1010142”的漏洞应属于同一漏洞实体。
BID漏洞库中记录的“CVE”属性和CVE漏洞库中记录的“CVE_ID”都属于CVE编号,BID漏洞库中记录的“Published”、“Updated”属性分别和CVE漏洞库中记录的“publishedDate”、“lastModifiedDate”对应表示发布时间与更新时间,BID漏洞库中记录的“Vulnerable”和CVE漏洞库中记录的“cpe23Uri”属性对应表示影响的实体,故应将这些等价属性进行对齐并归纳为本申请的属性字段。
BID漏洞库中的“Local”字段与CVE漏洞库中记录的“accessVector”这两个属性的语义信息是一样的,表示该漏洞是一个本地漏洞还是一个网络漏洞,但此处属性字段和属性的值都需要进行语义转换然后融合。在融合的过程中,某些属性的值可能存在冲突需要将属性值对齐,如BID漏洞库的发布时间与更新时间是与CVE漏洞库中的记录冲突的,此处基于更加权威通用的CVE记录为准进行融合。
此外,不同漏洞库中的漏洞信息的丰富程度不同,使得一些漏洞库中部分数据在其他漏洞库中没有,故在融合过程中需要将不同漏洞库中数据进行补全融合,如在BID漏洞库中记录有“漏洞标题”字段,但CVE漏洞库中没有记录此数据,故将BID漏洞库中的“漏洞标题”表示为本体漏洞类的“漏洞名称”属性;同样地,CVE漏洞库中记录有“漏洞描述”,但BID漏洞库中没有记录此字段,故将CVE记录中的“漏洞描述”纳入到本体中。
另外,相较于CVE漏洞库中记录的“受影响实体”的内容,BID漏洞库中记录的“受影响实体”属性字段的属性信息更加全面丰富,故在融合过程中需补全同样属性字段的值并将重复冗余的属性信息去掉。
可利用词频-逆文档频率(TF-IDF)算法对每个漏洞进行关键词提取,TF-IDF是文本数据挖掘、文本分类等任务中常用的一种基于统计的算法,通过评估每个单词在文档中的重要程度来提取关键词。TF-IDF的思想主要是:一个词的重要程度通过它在文件中出现的频率或次数得以体现,随着出现的频率增长,其重要程度上升,具体地,词频率可以表示为:
其中,nij表示第i个词在第j个文件中出现的次数;k表示语料库中文件的个数;公式的分母表示第j个文件中所有词出现的次数之和。
idfi表示第i个词的普遍重要性度量,其中|D|表示语料库中包含文件的总数,|{j:ti∈dj}|表示包含第f个词的文件总数。
tfidfij=tfij*idfi;
tfidfij值表示第i个词的重要程度,通过计算所有词的重要程度并进行排序可以提取文档中的关键词。
步骤S113:基于主动探测数据生成被保护对象画像;
基于资产信息、主动探测数据获取被保护对象画像,被保护对象画像属性包括静态属性和聚合属性。
静态属性:如所属行业、所属省份、备案信息、应用系统、服务、主题等。
聚合属性,即对随时间动态变化的关系的抽取如用户数量、每日流入字节数、每日流出字节数、每日流入包数、每日流出包数等。
步骤S114:利用画像属性特征和评分等级标签进行分类器模型训练,分别得到攻击者能力检测模型、漏洞评分模型和被保护对象受害程度模型。
在一起攻击事件中,攻击者、漏洞、被保护对象之间存在对应关系,通过多个专家结合对应的画像库分别对一起攻击事件中的攻击者、漏洞、被保护对象分别评分,打分范围为0~1分,通过多个专家的评分去平均值分别对攻击者、漏洞、被保护对象进行评价,如下表所示,为专家评分表:
表1专家评分表
专家打分作为训练数据的标签,如专家给出攻击者的打分为0.1分,则该攻击者的标签为低。
将漏洞画像属性特征如静态属性和聚合属性作为模型的输入,等级对应的分类标签作为输出,对模型进行训练,得到漏洞画像对应的分类器模型即为漏洞评分模型。
攻击者能力检测模型和被保护对象受害程度模型的训练过程与漏洞评分模型相同,最终得到三个分类器模型,分别用于对攻击者、漏洞、被保护对象的等级进行划分。示例地,分类器可以使用随机森林。
本申请将攻击者能力、漏洞等级、被保护对象严重程度作为划分漏洞严重等级的因素。确定了影响因素后,各因素之间的权重以及如何给出对漏洞态势评估至关重要,本方法使用熵权法利用数据本身分布情况对数据权重进行自动计算,避免了主观因素的影响,具体地:
通过攻击者能力、漏洞等级、被保护对象影响程度划分漏洞态势等级的严重程度,严重程度分为特别重大、重大、较大、一般四个等级。其中攻击者能力、漏洞等级、被保护对象严重程度的分数通过已训练分类器自动计算,示例地,具体得分如下表所示:
攻击者能力 | 漏洞等级 | 被保护对象影响程度 | |
特别重大 | 0.3 | 0.5 | 0.6 |
重大 | 0.2 | 0.2 | 0.2 |
较大 | 0.4 | 0.2 | 0.1 |
一般 | 0.1 | 0.1 | 0.1 |
表2分类器计算的得分
如图4所示,为信息熵计算流程图,步骤S200具体可以包括:
步骤S201:基于所述得分计算归一化得分:
其中,xi为任意漏洞态势等级对应的各个评估指标的得分,xij为第i行漏洞态势等级、第j列评估指标对应的得分;所述评估指标包括攻击者能力、漏洞等级和被保护对象影响程度;
示例地,如表3所示,为归一化得分表:
攻击者能力 | 漏洞等级 | 被保护对象影响程度 | |
特别重大 | 0.67 | 1 | 1 |
重大 | 0.33 | 0.25 | 0.2 |
较大 | 1 | 0.25 | 0 |
一般 | 0 | 0 | 0 |
表3归一化得分表
步骤S202:根据所述归一化得分计算第一权重:
示例地,Yij为表3中第i行、第j列的值,如Y12对应的值为1,n=4,m=3。
示例地,如下表所示,为计算得到的第一权重:
攻击者能力 | 漏洞等级 | 被保护对象影响程度 | |
特别重大 | 0.33 | 0.67 | 0.83 |
重大 | 0.17 | 0.17 | 0.17 |
较大 | 0.5 | 0.17 | 0 |
一般 | 0 | 0 | 0 |
表4第一权重
步骤S203:根据所述第一权重计算信息熵:
示例地,Pij为表4中第i行第j列对应的值,可得到下表所示的信息熵:
攻击者能力 | 漏洞等级 | 被保护对象影响程度 | |
信息熵 | 0.92 | 0.79 | 0.41 |
表5各评估指标的信息熵
如图5所示,为评估结果获取流程图,步骤300具体可以包括以下步骤:
步骤301:根据所述信息熵计算各个评估指标的第二权重:
其中,k表示评估指标总数,则k=m=3;
示例地,Ej表示表5中第j列,则可得到各个评估指标的第二权重表:
攻击者能力 | 漏洞等级 | 被保护对象影响程度 | |
信息熵 | 0.09 | 0.24 | 0.67 |
表6各个评估指标的第二权重
步骤302:根据所述第二权重计算各个漏洞态势等级的得分:
示例地,wj为表6中数据,Pij为表3中数据,可得到各个漏洞态势等级的得分,如下表所示:
漏洞态势等级 | 分数 |
特别重大 | 0.55 |
重大 | 0.2 |
严重 | 0.15 |
一般 | 0.1 |
表7最终得分表
步骤303:获取所述得分中的最大值对应的漏洞态势等级,并作为评估结果。
将最终得分中的最大值作为评估结果,例如上表中的最大值为0.55,则该事件对应的漏洞态势为特别重大。
综上,该方法从攻击者、漏洞、被保护对象三个角度对漏洞进行量化评估,解决了漏洞态势难以被评估的问题。
实施例2
本申请实施例提供一种漏洞态势评估装置,如图6所示,为一种漏洞态势评估装置的结构框图,所述装置包括但不限于:
得分获取模块100,用于将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
信息熵计算模块200,用于根据所述得分计算信息熵;
评估结果获取模块300,用于根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
其中,如图7所示,为另一种漏洞态势评估装置的结构框图,该装置还包括模型训练模块110,模型训练模块110具体用于:
基于威胁数据生成攻击者画像;
基于漏洞库数据生成漏洞画像;
基于主动探测数据生成被保护对象画像;
利用画像属性特征和评分等级标签进行分类器模型训练,分别得到攻击者能力检测模型、漏洞评分模型和被保护对象受害程度模型。
信息熵计算模块200包括但不限于:
归一化得分计算模块201,用于基于所述得分计算归一化得分;
第一权重计算模块202,用于根据所述归一化得分计算第一权重;
信息熵获取模块203,用于根据所述第一权重计算信息熵。
评估结果获取模块300包括但不限于:
第二权重计算模块301,用于根据所述信息熵计算各个评估指标的第二权重;
得分计算模块302,用于根据所述第二权重计算各个漏洞态势等级的得分;
评估结果确定模块303,用于获取所述得分中的最大值对应的漏洞态势等级,并作为评估结果。
对于具体的计算过程在实施例1中已经具体说明,在此不做赘述。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行实施例1所述的漏洞态势评估方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行实施例1所述的漏洞态势评估方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种漏洞态势评估方法,其特征在于,所述方法包括:
将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
根据所述得分计算信息熵;
根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
2.根据权利要求1所述的漏洞态势评估方法,其特征在于,在所述将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分的步骤之前,所述方法还包括:
基于威胁数据生成攻击者画像;
基于漏洞库数据生成漏洞画像;
基于主动探测数据生成被保护对象画像;
利用画像属性特征和评分等级标签进行分类器模型训练,分别得到攻击者能力检测模型、漏洞评分模型和被保护对象受害程度模型。
3.根据权利要求2所述的漏洞态势评估方法,其特征在于,所述基于威胁数据生成攻击者画像,包括:
基于威胁情报及内部告警事件根据攻击者所使用的攻击资源生成攻击者画像,攻击者画像属性包括静态属性和聚合属性。
4.根据权利要求2所述的漏洞态势评估方法,其特征在于,所述基于漏洞库数据生成漏洞画像,包括:
利用词频-逆文档频率算法进行关键词提取,以获得漏洞画像属性。
5.根据权利要求2所述的漏洞态势评估方法,其特征在于,所述基于主动探测数据生成被保护对象画像,包括:
基于资产信息、主动探测数据获取被保护对象画像,被保护对象画像属性包括静态属性和聚合属性。
6.根据权利要求1所述的漏洞态势评估方法,其特征在于,所述根据所述得分计算信息熵,包括:
基于所述得分计算归一化得分:
其中,xi为任意漏洞态势等级对应的各个评估指标的得分,xij为第i行漏洞态势等级、第j列评估指标对应的得分;所述评估指标包括攻击者能力、漏洞等级和被保护对象影响程度;
根据所述归一化得分计算第一权重:
根据所述第一权重计算信息熵:
7.根据权利要求1所述的漏洞态势评估方法,其特征在于,所述根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果,包括:
根据所述信息熵计算各个评估指标的第二权重:
其中,k表示评估指标总数,则k=m=3;
根据所述第二权重计算各个漏洞态势等级的得分:
获取所述得分中的最大值对应的漏洞态势等级,并作为评估结果。
8.一种漏洞态势评估装置,其特征在于,所述装置包括:
得分获取模块,用于将待评估漏洞态势数据输入预先训练的分类模型,分别得到攻击者能力、漏洞等级和被保护对象影响程度的得分;
信息熵计算模块,用于根据所述得分计算信息熵;
评估结果获取模块,用于根据所述信息熵计算攻击者能力、漏洞等级和被保护对象影响程度的评估结果。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行计算机程序以使所述电子设备执行根据权利要求1至7中任一项所述的漏洞态势评估方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至7任一项所述的漏洞态势评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211636370.5A CN116488840A (zh) | 2022-12-20 | 2022-12-20 | 一种漏洞态势评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211636370.5A CN116488840A (zh) | 2022-12-20 | 2022-12-20 | 一种漏洞态势评估方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116488840A true CN116488840A (zh) | 2023-07-25 |
Family
ID=87218378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211636370.5A Pending CN116488840A (zh) | 2022-12-20 | 2022-12-20 | 一种漏洞态势评估方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116488840A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116720197A (zh) * | 2023-08-09 | 2023-09-08 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
-
2022
- 2022-12-20 CN CN202211636370.5A patent/CN116488840A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116720197A (zh) * | 2023-08-09 | 2023-09-08 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
CN116720197B (zh) * | 2023-08-09 | 2023-11-03 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cumby et al. | A machine learning based system for semi-automatically redacting documents | |
Pramanik et al. | Big data analytics for security and criminal investigations | |
Ngoc et al. | New approach to quantification of privacy on social network sites | |
Setty et al. | Event2vec: Neural embeddings for news events | |
Ozdikis et al. | Incremental clustering with vector expansion for online event detection in microblogs | |
Zhang et al. | EX‐Action: Automatically Extracting Threat Actions from Cyber Threat Intelligence Report Based on Multimodal Learning | |
Mitra et al. | Combating fake cyber threat intelligence using provenance in cybersecurity knowledge graphs | |
CN116488840A (zh) | 一种漏洞态势评估方法、装置、电子设备及存储介质 | |
Rossi et al. | Challenges of protecting confidentiality in social media data and their ethical import | |
Jing et al. | Information credibility evaluation in online professional social network using tree augmented naïve Bayes classifier | |
Jlifi et al. | Towards a soft three-level voting model (Soft T-LVM) for fake news detection | |
TK et al. | Identifying sensitive data items within hadoop | |
Folino et al. | An ensemble-based framework for user behaviour anomaly detection and classification for cybersecurity | |
Torra et al. | Privacy models and disclosure risk measures | |
Carvalho et al. | The compromise of data privacy in predictive performance | |
Boley et al. | Efficient discovery of interesting patterns based on strong closedness | |
Carpineto et al. | Kθ-affinity privacy: Releasing infrequent query refinements safely | |
Sánchez et al. | A semantic-preserving differentially private method for releasing query logs | |
Orooji et al. | Flexible adversary disclosure risk measure for identity and attribute disclosure attacks | |
Fan et al. | Using data-driven analytics to enhance archival processing of the COVID-19 hate speech twitter archive (CHSTA) | |
Alhindi et al. | Data Loss Prevention using document semantic signature | |
Allard et al. | Online publication of court records: circumventing the privacy-transparency trade-off | |
Chaudhary et al. | The case analysis on sentiment based ranking of nodes in social media space | |
Sun et al. | On the identity anonymization of high‐dimensional rating data | |
Chen et al. | A semantic inference based method for privacy measurement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |