CN116561767B - 漏洞评估方法、装置、设备及存储介质 - Google Patents
漏洞评估方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116561767B CN116561767B CN202310574332.XA CN202310574332A CN116561767B CN 116561767 B CN116561767 B CN 116561767B CN 202310574332 A CN202310574332 A CN 202310574332A CN 116561767 B CN116561767 B CN 116561767B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- attack
- score
- information
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000011156 evaluation Methods 0.000 claims abstract description 162
- 238000013507 mapping Methods 0.000 claims description 46
- 238000013515 script Methods 0.000 claims description 39
- 230000007123 defense Effects 0.000 claims description 19
- 238000011002 quantification Methods 0.000 abstract description 4
- 238000004088 simulation Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 12
- 230000003993 interaction Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000006872 improvement Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000379 polymerizing effect Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开了一种漏洞评估方法、装置、设备及存储介质。本申请通过获取目标漏洞对应的漏洞公布信息及实际攻击信息;对实际攻击信息进行解析,根据解析结果确定第一评估指标分值;根据漏洞公布信息及实际攻击信息进行漏洞利用预测,确定第二评估指标分值;根据第一评估指标分值及第二评估指标分值生成目标漏洞的利用度分值,利用度分值用于表征目标漏洞被利用的可能性。由于是根据可表征漏洞被利用的难度的第一评估指标分值及可表征漏洞被利用几率的第二评估指标分值构建目标漏洞的利用度分值,保证构建的利用度分值可准确的表征目标漏洞被利用的可能性,实现了对漏洞的可利用性的准确量化。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种漏洞评估方法、装置、设备及存储介质。
背景技术
随着IoT的快速发展,物联网安全事件频发,攻击技术也日趋增强,攻击者会利用一些漏洞之间的相互关联来进行攻击,这样不仅能增加攻击隐蔽性,还能提高攻击成功概率。IoT设备的安全日趋严重,如何度量网络安全形势是亟待解决的问题之一。
利用给予攻击路径的度量机制能有效的对目标网络进行安全态势评估,分析漏洞之间的关联,为网络管理者提供安全建议。而基于攻击路径的安全态势评估方法依赖于每一个漏洞的可利用性大小,单个漏洞可利用的大小是基于攻击路径分析网络安全态势评估的重要数据依据,因此,准确量化单个漏洞可利用性就显得尤为重要与关键。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种漏洞评估方法、装置、设备及存储介质,旨在解决现有技术无法准确量化评估单个漏洞的可利用性的技术问题。
为实现上述目的,本发明提供了一种漏洞评估方法,所述方法包括以下步骤:
获取目标漏洞对应的漏洞公布信息及实际攻击信息;
对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性。
可选的,所述对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值的步骤,包括:
依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;
基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
可选的,所述预设评估指标包括网络需求指标;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;
根据所述攻击网络需求确定网络需求级别;
根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
可选的,所述预设评估指标包括攻击达成条件;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
可选的,所述根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值的步骤,包括:
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;
从所述漏洞公布信息中提取各篡改项的条目篡改脚本;
对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;
根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
可选的,所述预设评估指标包括攻击必要权限;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;
根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
可选的,所述根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值的步骤,包括:
根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;
从所述漏洞公布信息中提取权限提升脚本;
获取所述权限提升脚本对应的提权防御策略;
根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
可选的,所述获取目标漏洞对应的漏洞公布信息及实际攻击信息的步骤,包括:
获取目标漏洞的漏洞公布信息,并从所述漏洞公布信息中读取漏洞环境信息及漏洞特征信息;
根据所述漏洞环境信息构建攻击模拟环境;
依据预设攻击工具根据所述漏洞特征信息对所述攻击模拟环境进行攻击模拟,获得所述目标漏洞对应的实际攻击信息。
可选的,所述获取目标漏洞的漏洞公布信息的步骤,包括:
获取所述目标漏洞对应的漏洞标识信息;
根据所述漏洞标识信息在预设漏洞信息库中查找对应的漏洞信息;
从所述漏洞信息中提取漏洞标准编号;
根据所述漏洞标准编号访问漏洞披露库,获得所述目标漏洞的漏洞公布信息。
可选的,述根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值的步骤,包括:
从所述漏洞公布信息中提取所述目标漏洞的近期利用率;
根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;
基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;
获取所述相近漏洞的近期利用率;
基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
可选的,所述基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞的步骤,包括:
在本地漏洞公布库中查找对应的攻击特征与所述漏洞攻击特征相似的漏洞,获得第一近似漏洞;
基于所述漏洞攻击特征访问漏洞披露库,获得第二近似漏洞;
将所述第一近似漏洞与所述第二近似漏洞进行聚合并去重,获得所述目标漏洞对应的相近漏洞。
此外,为实现上述目的,本发明还提出一种漏洞评估装置,所述漏洞评估装置包括以下模块:
获取模块,用于获取目标漏洞对应的漏洞公布信息及实际攻击信息;
解析模块,用于对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
预测模块,用于根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
生成模块,用于根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性。
可选的,所述解析模块,还用于依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
可选的,所述预设评估指标包括网络需求指标;
所述解析模块,还用于对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;根据所述攻击网络需求确定网络需求级别;根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
可选的,所述预设评估指标包括攻击达成条件;
所述解析模块,还用于对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
可选的,所述解析模块,还用于根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;从所述漏洞公布信息中提取各篡改项的条目篡改脚本;对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
可选的,所述预设评估指标包括攻击必要权限;
所述解析模块,还用于对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
可选的,所述解析模块,还用于根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;从所述漏洞公布信息中提取权限提升脚本;获取所述权限提升脚本对应的提权防御策略;根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
此外,为实现上述目的,本发明还提出一种漏洞评估设备,所述漏洞评估设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的漏洞评估程序,所述漏洞评估程序被处理器执行时实现如上所述的漏洞评估方法的步骤。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞评估程序,所述漏洞评估程序执行时实现如上所述的漏洞评估方法的步骤。
本发明通过获取目标漏洞对应的漏洞公布信息及实际攻击信息;对实际攻击信息进行解析,根据解析结果确定第一评估指标分值;根据漏洞公布信息及实际攻击信息进行漏洞利用预测,确定第二评估指标分值;根据第一评估指标分值及第二评估指标分值生成目标漏洞的利用度分值,利用度分值用于表征目标漏洞被利用的可能性。由于是根据可表征漏洞被利用的难度的第一评估指标分值及可表征漏洞被利用几率的第二评估指标分值构建目标漏洞的利用度分值,保证构建的利用度分值可准确的表征目标漏洞被利用的可能性,实现了对漏洞的可利用性的准确量化。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的电子设备的结构示意图;
图2为本发明漏洞评估方法第一实施例的流程示意图;
图3为本发明漏洞评估方法第二实施例的流程示意图;
图4为本发明漏洞评估方法第三实施例的流程示意图;
图5为本发明漏洞评估装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的漏洞评估设备结构示意图。
如图1所示,该电子设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及漏洞评估程序。
在图1所示的电子设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明电子设备中的处理器1001、存储器1005可以设置在漏洞评估设备中,所述电子设备通过处理器1001调用存储器1005中存储的漏洞评估程序,并执行本发明实施例提供的漏洞评估方法。
本发明实施例提供了一种漏洞评估方法,参照图2,图2为本发明一种漏洞评估方法第一实施例的流程示意图。
本实施例中,所述漏洞评估方法包括以下步骤:
步骤S10:获取目标漏洞对应的漏洞公布信息及实际攻击信息。
需要说明的是,本实施例的执行主体可以是所述漏洞评估设备,所述漏洞评估设备可以是个人电脑、服务器、智能终端等电子设备,还可以是其他可实现相同或相似功能的设备,本实施例对此不加以限制,在本实施例及下述各实施例中,以漏洞评估设备为例对本申请漏洞评估方法进行说明。
需要说明的是,目标漏洞可以是被指定进行可利用性评估的漏洞,目标漏洞可由漏洞评估设备的用户或管理人员进行指定。漏洞公布信息可以包括利用该漏洞进行攻击时的攻击手段、攻击脚本、攻击特征、漏洞描述等信息。实际攻击信息可以包括利用该目标漏洞进行攻击时受攻击设备中各系统项、程序和/或进程的变化情况,以及受攻击设备中生成的安全检测信息等信息。
在具体实现中,目标漏洞对应的漏洞公布信息及实际攻击信息可以是从漏洞披露库处获取,其中,漏洞披露库可以是权威的漏洞公布网站或论坛,可以由漏洞评估设备的管理人员预先进行设置。
当然,为了避免每次进行漏洞评估均需要从漏洞评估源处获取数据,漏洞评估设备可以定期从漏洞披露库处获取信息并存储在设备本地,则此时目标漏洞对应的漏洞公布信息及实际攻击信息可以现在设备本地查找,在设备本地未存储目标漏洞对应的漏洞公布信息及实际攻击信息时,再从漏洞披露库处获取。其中,根据实际需要,可以设置一个或多个漏洞披露库。
步骤S20:对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值。
需要说明的是,第一评估指标分值可以是用于表征漏洞被利用的难度的量化分值,第一评估指标分值越高,则对应的漏洞被利用的难度越低。
步骤S30:根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值。
需要说明的是,第二评估指标分值可以是用于表征漏洞被利用的几率的量化分值,第二评估指标分值越高,则对应的漏洞被利用的几率越高。
在具体实现中,进行漏洞利用率预测时,可以基于与该漏洞的近期利用率及与该漏洞相似的其他漏洞近期的利用率进行预测,则此时本实施例所述步骤S20,可以包括:
从所述漏洞公布信息中提取所述目标漏洞的近期利用率;
根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;
基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;
获取所述相近漏洞的近期利用率;
基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
需要说明的是,目标漏洞的近期利用率可以是公布的目标漏洞近期被利用进行攻击的比例。根据实际攻击信息及漏洞公布信息确定目标漏洞对应的漏洞攻击特征可以是从实际攻击信息中提取被篡改系统项,并从漏洞公布信息中提取攻击特征,将提取到的被篡改系统项及攻击特征进行结合,从而生成目标漏洞对应的漏洞攻击特征。
在实际使用中,基于漏洞攻击特征查找与目标漏洞对应的相近漏洞可以是查找对应的攻击特征与漏洞攻击特征之间特征相似度大于预设阈值的漏洞,并将查找到的漏洞作为目标漏洞对应的相近漏洞。其中,预设阈值可以由漏洞评估设备的管理人员预先进行设置;特征相似度可以是余弦相似度、Jaccard相似度或其他类似的相似度,当然,也可以通过预先训练的相似度判定模型进行计算,本实施例对此不加以限制。
其中,相近漏洞的近期利用率可以是相近漏洞近期被利用的比例,与相近漏洞和目标漏洞之间特征相似度的乘积。例如:假设相近漏洞近期被利用的比例为a,相近漏洞和目标漏洞之间特征相似度为b,则此时相近漏洞的近期利用率为a*b。
在具体实现时,基于目标漏洞的近期利用率及相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值可以是将目标漏洞的近期利用率及相近漏洞的近期利用率加权求和,获得第二评估指标分值。
步骤S40:根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值。
需要说明的是,利用度分值可以是用于表征所述目标漏洞被利用的可能性的量化分值,利用度分值越高,则对应的漏洞被利用的可能性就越高。
在实际使用中,根据第一评估指标分值及第二评估指标分值可以是将第一评估指标分值及第二评估指标分值相加,将加和得到的和值作为目标漏洞的利用度分值。
当然,在具体应用时,不同企业在对漏洞进行评估时可能会存在不同的需求,为了适应各种评估场景,根据第一评估指标分值及第二评估指标分值还可以是获取预设分值加权系数,根据预设分值加权系数结合第一评估指标分值及第二评估指标分值进行加权求和,并将加权求和的结果作为目标漏洞的利用度分值。
例如:假设第一评估指标分值为a,第二评估指标分值为b,预设加权分值加权系数为c,则此时目标漏洞的利用度分值s=a*c+b*(1-c)。
在具体应用时,为了保证获取到的相近漏洞尽可能全面,本实施例所述基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞的步骤,可以包括:
在本地漏洞公布库中查找对应的攻击特征与所述漏洞攻击特征相似的漏洞,获得第一近似漏洞;
基于所述漏洞攻击特征访问漏洞披露库,获得第二近似漏洞;
将所述第一近似漏洞与所述第二近似漏洞进行聚合并去重,获得所述目标漏洞对应的相近漏洞。
需要说明的是,漏洞披露库可能会不再对外传输已经公开较久的漏洞数据,而此种数据一般本地漏洞公布库中会留存,为了保证尽可能全面获取到目标漏洞对应的相近漏洞,可以先在本地漏洞公布库中查找对应的攻击特征与漏洞攻击特征相似的漏洞,作为第一近似漏洞,再基于漏洞攻击特征访问漏洞披露库,获取漏洞披露库中对应的攻击特征与漏洞攻击特征相似的漏洞,作为第二近似漏洞,最终将第一近似漏洞与第二近似漏洞进行聚合并去重,从而尽可能全面的获取到目标漏洞对应的相近漏洞。
其中,对应的攻击特征与漏洞攻击特征相似的漏洞可以是对应的攻击特征与漏洞攻击特征之间特征相似度大于预设阈值的漏洞。
本实施例通过获取目标漏洞对应的漏洞公布信息及实际攻击信息;对实际攻击信息进行解析,根据解析结果确定第一评估指标分值;根据漏洞公布信息及实际攻击信息进行漏洞利用预测,确定第二评估指标分值;根据第一评估指标分值及第二评估指标分值生成目标漏洞的利用度分值,利用度分值用于表征目标漏洞被利用的可能性。由于是根据可表征漏洞被利用的难度的第一评估指标分值及可表征漏洞被利用几率的第二评估指标分值构建目标漏洞的利用度分值,保证构建的利用度分值可准确的表征目标漏洞被利用的可能性,实现了对漏洞的可利用性的准确量化。
参考图3,图3为本发明一种漏洞评估方法第二实施例的流程示意图。
基于上述第一实施例,本实施例漏洞评估方法的所述步骤S10,包括:
步骤S101:获取目标漏洞的漏洞公布信息,并从所述漏洞公布信息中读取漏洞环境信息及漏洞特征信息。
需要说明的是,获取目标漏洞的漏洞公布信息可以是获取目标漏洞对应的漏洞标识信息,在本地漏洞公布库中查找对应的漏洞公布信息,其中,本地漏洞公布库可以是漏洞评估设备本地设置的用于存储漏洞公布信息的数据库。漏洞环境信息可以是漏洞所属的系统环境,如设备固件类型、设备固件版本等。漏洞特征信息可以是该漏洞被利用进行攻击时的攻击特征。
在实际使用中,从漏洞公布信息中读取漏洞环境信息及漏洞特征信息可以是从漏洞公布信息中提取攻击特征,获得漏洞特征信息,从漏洞公布信息中提取漏洞描述,根据漏洞描述确定漏洞环境信息。
在具体实现中,本地漏洞公布库中的数据可能并不够全面,在本地漏洞公布库中不存在目标漏洞的漏洞公布信息时,需要从漏洞披露库处获取漏洞公布信息,而此时为了正确的获取到目标漏洞的漏洞公布信息,此时本实施例所述获取目标漏洞的漏洞公布信息的步骤,可以包括:
获取所述目标漏洞对应的漏洞标识信息;
根据所述漏洞标识信息在预设漏洞信息库中查找对应的漏洞信息;
从所述漏洞信息中提取漏洞标准编号;
根据所述漏洞标准编号访问漏洞披露库,获得所述目标漏洞的漏洞公布信息。
需要说明的是,预设漏洞信息库可以是用于存储漏洞信息(如漏洞名称、漏洞标识信息、漏洞标准编号等)的数据库。一般企业在本地存储漏洞时,会根据本地的数据习惯生成漏洞标识信息,而漏洞披露库一般会为漏洞设置对应的标准编号,在从漏洞披露库读取漏洞公布信息时,需要通过漏洞标准编号进行查询,因此,在确定本地漏洞公布库中不存在目标漏洞的漏洞公布信息时,可以先根据漏洞标识信息查找到对应的漏洞信息,再根据漏洞信息中的漏洞标准编号访问漏洞披露库,从而保证可以正确的获取到目标漏洞的漏洞公布信息。
步骤S102:根据所述漏洞环境信息构建攻击模拟环境。
在具体实现中,根据漏洞环境信息构建攻击模拟环境可以是创建虚拟机,根据漏洞环境信息查找对应的固件安装包,将固件安装包安装至创建的虚拟机中,从而构建与实体设备的系统环境一致的攻击模拟环境。
步骤S103:依据预设攻击工具根据所述漏洞特征信息对所述攻击模拟环境进行攻击模拟,获得所述目标漏洞对应的实际攻击信息。
需要说明的是,预设攻击工具可以是由漏洞评估设备的管理人员预先设置的可以用于模拟恶意攻击者攻击的攻击工具。
在实际使用中,依据预设攻击工具根据漏洞特征信息对攻击模拟环境进行攻击模拟,获得目标漏洞对应的实际攻击信息可以是根据漏洞特征信息对预设攻击工具的攻击方式进行设置,然后对攻击模拟环境进行攻击模拟,读取攻击模拟环境受到攻击时各系统项、程序和/或进程的变化情况,以及受攻击设备中生成的安全检测信息等信息,从而获得目标漏洞对应的实际攻击信息。
可以理解的是,部分漏洞披露库在公布漏洞信息时,可能并不会公开对应的实际攻击信息,为了便于分析,可以在通过在本地模拟试题设备进行攻击,以获得目标漏洞对应的实际攻击信息。
本实施例通过获取目标漏洞的漏洞公布信息,并从所述漏洞公布信息中读取漏洞环境信息及漏洞特征信息;根据所述漏洞环境信息构建攻击模拟环境;依据预设攻击工具根据所述漏洞特征信息对所述攻击模拟环境进行攻击模拟,获得所述目标漏洞对应的实际攻击信息。由于会根据漏洞公布信息构建攻击模拟环境进行模拟攻击,保证漏洞披露库在未公布目标漏洞对应的实际攻击信息的情况下,依旧可以获取到实际攻击信息,实现对漏洞的准确评估。
参考图4,图4为本发明一种漏洞评估方法第三实施例的流程示意图。
基于上述第一实施例,本实施例漏洞评估方法的所述步骤S20,包括:
步骤S201:依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值。
需要说明的是,预设评估指标可以包括网络需求指标、攻击打成条件、攻击必要权限、攻击交互需求中的至少一种。
在具体实现中,若预设评估指标为攻击交互需求,则依据预设评估指标对实际攻击信息进行解析,获得预设评估指标对应的指标分值可以是对实际攻击信息进行解析,检测在利用目标漏洞进行攻击时是否需要与用户进行交互,根据交互次数确定攻击交互需求对应的指标分值,其中,交互次数越高,则攻击交互需求对应的指标分值越低,具体的分值设置可以由漏洞评估设备的管理人员根据实际需要预先进行设置。
而若是预设评估指标为网络需求指标,则此时本实施例所述步骤S201,可以包括:
对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;
根据所述攻击网络需求确定网络需求级别;
根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
需要说明的是,攻击网络需求可以是在利用目标漏洞攻击成功时,是否需要网络及需求的网络的种类。
在具体实现中,网络需求级别分为多个级别,从高至低分别可以为:无网络也可以进行攻击、需要连接网络才可进行攻击、需要连接特定网络时可进行攻击(如必须使用局域网或蓝牙才能进行攻击)、无法利用网络攻击(即需要直接接触实体设备,例如必须通过接入硬件植入病毒至设备本地)。
需要说明的是,预设网络分值映射表中可以存储有各网络需求级别与指标分值之间的对应关系,该对应关系可以由漏洞评估设备的管理人员预先进行设置,其中,网络需求级别越高,则其对应的指标分值越高。
而若是预设评估指标为攻击达成条件,则本实施例所述步骤S201,可以包括:
对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
需要说明的是,攻击成功必要的篡改项可以是为了保证攻击成功必须要进行篡改的系统项、进程和/或应用程序。预设项数分值映射表中可以存储有项数与指标分值之间的对应关系,该对应关系可以由漏洞评估设备的管理人员预先进行设置,其中,篡改项的项数越少,则对应的指标分值越高。
进一步地,由于针对不同的系统项、进程和/或应用程序进行篡改的难度其实是不同的,为了合理的对漏洞进行评估,本实施例所述根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值的步骤,可以包括:
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;
从所述漏洞公布信息中提取各篡改项的条目篡改脚本;
对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;
根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
需要说明的是,条目篡改脚本可以是在对篡改项进行篡改时执行的攻击脚本。对条目篡改脚本进行解析,确定篡改困难度及防御困难度可以是对条目篡改脚本中的脚本代码进行解析,确定篡改过程中需要执行的代码行数(即篡改困难度)以及篡改过程中被发现的可能性(即防御困难度),其中,篡改过程中需要执行的代码行数越多,则其篡改困难度越高,脚本代码越接近底层代码,则其防御困难度越高。
在具体实现中,根据篡改困难度及防御困难度篡改指标分值进行调整时,篡改指标分值与篡改困难度成反比,篡改指标分值与防御困难度成正比,具体的调整幅度可以由漏洞评估设备的管理人员根据实际需要进行设置。
而若是预设评估指标为攻击必要权限,则本实施例所述步骤S201,可以包括:
对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;
根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
需要说明的是,攻击成功时所需的最低操作权限可以是利用该漏洞进行攻击时,足以支持完成攻击动作的最低操作权限。预设权限分值映射表中可以存储有最低操作权限与指标分值之间的对应关系,该对应关系可以由漏洞评估设备的管理人员预先进行设置,其中,最低操作权限的级别越低,则对应的指标分值越高。
可以理解的是,攻击成功时所需的最低操作权限的级别越低,则利用该漏洞进行攻击时的泛用性就越强,该漏洞的可利用性就越强,因此,其对应的指标分值就越高。
进一步地,为了更加合理的评估漏洞的可利用性,本实施例所述根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值的步骤,可以包括:
根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;
从所述漏洞公布信息中提取权限提升脚本;
获取所述权限提升脚本对应的提权防御策略;
根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
需要说明的是,部分攻击操作需要更高级别的操作权限才可执行,而利用漏洞进行攻击时,为了保证攻击成功,在权限不足时,攻击者会尝试提高权限,而权限提升的难度越高,则表示利用该漏洞进行攻击时的攻击难度越高,相对的,该漏洞的可利用性就越低,因此,在获取到权限参考分值之后,还可以从漏洞公布信息中提取权限提升脚本,获取权限提升脚本的提权防御策略,然后根据提权防御策略对权限参考分值进行调整,从而获得更加合理的指标分值。
其中,获取权限提升脚本对应的提权防御策略可以是读取解析提升脚本中的提权代码,确定提权过程中的具体操作手段,查找针对该操作手段的防御策略。在根据提权防御策略对权限参考分值进行调整时,提权防御策略的复杂度越高,所需要防御的方向越多,则对权限参考分值的提升幅度就越高,其具体的提升幅度可以由漏洞评估设备的管理人员根据实际需要预先进行设置。
步骤S202:基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
需要说明的是,预设评分产量可以由漏洞评估设备的管理人员预先进行设置,如将预设评分常量设置为8.22。
在具体实现中,基于预设评分常量、预设评估指标对应的预设评分权重及指标分值生成第一评估指标分值可以是通过加权乘积法基于预设评分常量、预设评估指标对应的预设评分权重及指标分值计算第一评估指标分值。
其中,加权乘积法可以为:
式中,Score为第一评估指标分值,s为预设评分常量,n为预设评估指标的数量,An为第n个预设评估指标对应的预设评分权重,Sn为第n个预设评估指标对应的指标分值。
例如:假设预设评分常量为s,预设评估指标的指标分值包括:a、b、c、d四项,对应的预设评分权重分别为A1、A2、A3、A4,则此时第一评估指标分值Score=s*(a*A1)*(b*A2)*(c*A3)*(d*A4)。
本实施例通过依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。由于在评估过程中,采用了至少一项预设评估指标进行评估,且在评估过程中充分考虑到了漏洞的利用复杂度、防御复杂度等进行综合评分,保证确定的第一评估指标分值可以充分反映漏洞被利用的难度。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有漏洞评估程序,所述漏洞评估程序被处理器执行时实现如上文所述的漏洞评估方法的步骤。
参照图5,图5为本发明漏洞评估装置第一实施例的结构框图。
如图5所示,本发明实施例提出的漏洞评估装置包括:
获取模块10,用于获取目标漏洞对应的漏洞公布信息及实际攻击信息;
解析模块20,用于对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
预测模块30,用于根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
生成模块40,用于根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性。
本实施例通过获取目标漏洞对应的漏洞公布信息及实际攻击信息;对实际攻击信息进行解析,根据解析结果确定第一评估指标分值;根据漏洞公布信息及实际攻击信息进行漏洞利用预测,确定第二评估指标分值;根据第一评估指标分值及第二评估指标分值生成目标漏洞的利用度分值,利用度分值用于表征目标漏洞被利用的可能性。由于是根据可表征漏洞被利用的难度的第一评估指标分值及可表征漏洞被利用几率的第二评估指标分值构建目标漏洞的利用度分值,保证构建的利用度分值可准确的表征目标漏洞被利用的可能性,实现了对漏洞的可利用性的准确量化。
进一步的,所述解析模块20,还用于依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
进一步的,所述预设评估指标包括网络需求指标;
所述解析模块20,还用于对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;根据所述攻击网络需求确定网络需求级别;根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
进一步的,所述预设评估指标包括攻击达成条件;
所述解析模块20,还用于对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
进一步的,所述解析模块20,还用于根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;从所述漏洞公布信息中提取各篡改项的条目篡改脚本;对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
进一步的,所述预设评估指标包括攻击必要权限;
所述解析模块20,还用于对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
进一步的,所述解析模块20,还用于根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;从所述漏洞公布信息中提取权限提升脚本;获取所述权限提升脚本对应的提权防御策略;根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
进一步的,所述获取模块10,还用于获取目标漏洞的漏洞公布信息,并从所述漏洞公布信息中读取漏洞环境信息及漏洞特征信息;根据所述漏洞环境信息构建攻击模拟环境;依据预设攻击工具根据所述漏洞特征信息对所述攻击模拟环境进行攻击模拟,获得所述目标漏洞对应的实际攻击信息。
进一步的,所述获取模块10,还用于获取所述目标漏洞对应的漏洞标识信息;根据所述漏洞标识信息在预设漏洞信息库中查找对应的漏洞信息;从所述漏洞信息中提取漏洞标准编号;根据所述漏洞标准编号访问漏洞披露库,获得所述目标漏洞的漏洞公布信息。
进一步的,所述预测模块30,还用于从所述漏洞公布信息中提取所述目标漏洞的近期利用率;根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;获取所述相近漏洞的近期利用率;基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
进一步的,所述预测模块30,还用于在本地漏洞公布库中查找对应的攻击特征与所述漏洞攻击特征相似的漏洞,获得第一近似漏洞;基于所述漏洞攻击特征访问漏洞披露库,获得第二近似漏洞;将所述第一近似漏洞与所述第二近似漏洞进行聚合并去重,获得所述目标漏洞对应的相近漏洞。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的漏洞评估方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本申请公开了A1、一种漏洞评估方法,所述漏洞评估方法包括以下步骤:
获取目标漏洞对应的漏洞公布信息及实际攻击信息;
对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性。
A2、如A1所述的漏洞评估方法,所述对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值的步骤,包括:
依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;
基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
A3、如A2所述的漏洞评估方法,所述预设评估指标包括网络需求指标;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;
根据所述攻击网络需求确定网络需求级别;
根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
A4、如A2所述的漏洞评估方法,所述预设评估指标包括攻击达成条件;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
A5、如A4所述的漏洞评估方法,所述根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值的步骤,包括:
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;
从所述漏洞公布信息中提取各篡改项的条目篡改脚本;
对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;
根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
A6、如A2所述的漏洞评估方法,所述预设评估指标包括攻击必要权限;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;
根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
A7、如A6所述的漏洞评估方法,其特征在于,所述根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值的步骤,包括:
根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;
从所述漏洞公布信息中提取权限提升脚本;
获取所述权限提升脚本对应的提权防御策略;
根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
A8、如A1所述的漏洞评估方法,所述获取目标漏洞对应的漏洞公布信息及实际攻击信息的步骤,包括:
获取目标漏洞的漏洞公布信息,并从所述漏洞公布信息中读取漏洞环境信息及漏洞特征信息;
根据所述漏洞环境信息构建攻击模拟环境;
依据预设攻击工具根据所述漏洞特征信息对所述攻击模拟环境进行攻击模拟,获得所述目标漏洞对应的实际攻击信息。
A9、如A8所述的漏洞评估方法,所述获取目标漏洞的漏洞公布信息的步骤,包括:
获取所述目标漏洞对应的漏洞标识信息;
根据所述漏洞标识信息在预设漏洞信息库中查找对应的漏洞信息;
从所述漏洞信息中提取漏洞标准编号;
根据所述漏洞标准编号访问漏洞披露库,获得所述目标漏洞的漏洞公布信息。
A10、如A1-A9任一项所述的漏洞评估方法,所述根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值的步骤,包括:
从所述漏洞公布信息中提取所述目标漏洞的近期利用率;
根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;
基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;
获取所述相近漏洞的近期利用率;
基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
A11、如A10所述的漏洞评估方法,所述基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞的步骤,包括:
在本地漏洞公布库中查找对应的攻击特征与所述漏洞攻击特征相似的漏洞,获得第一近似漏洞;
基于所述漏洞攻击特征访问漏洞披露库,获得第二近似漏洞;
将所述第一近似漏洞与所述第二近似漏洞进行聚合并去重,获得所述目标漏洞对应的相近漏洞。
本申请还公开了B12、一种漏洞评估装置,所述漏洞评估装置包括以下模块:
获取模块,用于获取目标漏洞对应的漏洞公布信息及实际攻击信息;
解析模块,用于对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
预测模块,用于根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
生成模块,用于根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性。
B13、如B12所述的漏洞评估装置,所述解析模块,还用于依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
B14、如B13所述的漏洞评估装置,所述预设评估指标包括网络需求指标;
所述解析模块,还用于对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;根据所述攻击网络需求确定网络需求级别;根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
B15、如B13所述的漏洞评估装置,所述预设评估指标包括攻击达成条件;
所述解析模块,还用于对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
B16、如B15所述的漏洞评估装置,所述解析模块,还用于根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;从所述漏洞公布信息中提取各篡改项的条目篡改脚本;对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
B17、如B13所述的漏洞评估装置,所述预设评估指标包括攻击必要权限;
所述解析模块,还用于对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
B18、如B17所述的漏洞评估装置,所述解析模块,还用于根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;从所述漏洞公布信息中提取权限提升脚本;获取所述权限提升脚本对应的提权防御策略;根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
本申请还公开了C19、一种漏洞评估设备,所述漏洞评估设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的漏洞评估程序,所述漏洞评估程序被处理器执行时实现如上所述的漏洞评估方法的步骤。
本申请还公开了D20、一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞评估程序,所述漏洞评估程序执行时实现如上所述的漏洞评估方法的步骤。
Claims (10)
1.一种漏洞评估方法,其特征在于,所述漏洞评估方法包括以下步骤:
获取目标漏洞对应的漏洞公布信息及实际攻击信息;
对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性;
其中,所述根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值的步骤,包括:
从所述漏洞公布信息中提取所述目标漏洞的近期利用率;
根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;
基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;
获取所述相近漏洞的近期利用率,所述相近漏洞的近期利用率为相近漏洞近期被利用的比例,与相近漏洞和目标漏洞之间特征相似度的乘积;
基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
2.如权利要求1所述的漏洞评估方法,其特征在于,所述对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值的步骤,包括:
依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值;
基于预设评分常量、所述预设评估指标对应的预设评分权重及所述指标分值生成第一评估指标分值。
3.如权利要求2所述的漏洞评估方法,其特征在于,所述预设评估指标包括网络需求指标;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获取攻击成功时的攻击网络需求;
根据所述攻击网络需求确定网络需求级别;
根据所述网络需求级别在预设网络分值映射表中进行查找,获得所述网络需求指标对应的指标分值。
4.如权利要求2所述的漏洞评估方法,其特征在于,所述预设评估指标包括攻击达成条件;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功必要的篡改项;
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值。
5.如权利要求4所述的漏洞评估方法,其特征在于,所述根据所述篡改项的项数在预设项数分值映射表中进行查找,获得所述攻击达成条件对应的指标分值的步骤,包括:
根据所述篡改项的项数在预设项数分值映射表中进行查找,获得篡改指标分值;
从所述漏洞公布信息中提取各篡改项的条目篡改脚本;
对所述条目篡改脚本进行解析,确定篡改困难度及防御困难度;
根据所述篡改困难度及所述防御困难度对所述篡改指标分值进行调整,获得所述攻击达成条件对应的指标分值。
6.如权利要求2所述的漏洞评估方法,其特征在于,所述预设评估指标包括攻击必要权限;
所述依据预设评估指标对所述实际攻击信息进行解析,获得所述预设评估指标对应的指标分值的步骤,包括:
对所述实际攻击信息进行解析,获得攻击成功时所需的最低操作权限;
根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值。
7.如权利要求6所述的漏洞评估方法,其特征在于,所述根据所述最低操作权限在预设权限分值映射表中进行查找,获得所述攻击必要权限对应的指标分值的步骤,包括:
根据所述最低操作权限在预设权限分值映射表中进行查找,获得权限参考分值;
从所述漏洞公布信息中提取权限提升脚本;
获取所述权限提升脚本对应的提权防御策略;
根据所述提权防御策略对所述权限参考分值进行调整,获得所述攻击必要权限对应的指标分值。
8.一种漏洞评估装置,其特征在于,所述漏洞评估装置包括以下模块:
获取模块,用于获取目标漏洞对应的漏洞公布信息及实际攻击信息;
解析模块,用于对所述实际攻击信息进行解析,根据解析结果确定第一评估指标分值;
预测模块,用于根据所述漏洞公布信息及所述实际攻击信息进行漏洞利用预测,确定第二评估指标分值;
生成模块,用于根据所述第一评估指标分值及所述第二评估指标分值生成所述目标漏洞的利用度分值,所述利用度分值用于表征所述目标漏洞被利用的可能性;
其中,所述预测模块,还用于从所述漏洞公布信息中提取所述目标漏洞的近期利用率;根据所述实际攻击信息及所述漏洞公布信息确定所述目标漏洞对应的漏洞攻击特征;基于所述漏洞攻击特征查找与所述目标漏洞对应的相近漏洞;获取所述相近漏洞的近期利用率,所述相近漏洞的近期利用率为相近漏洞近期被利用的比例,与相近漏洞和目标漏洞之间特征相似度的乘积;基于所述目标漏洞的近期利用率及所述相近漏洞的近期利用率进行漏洞利用预测,确定第二评估指标分值。
9.一种漏洞评估设备,其特征在于,所述漏洞评估设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的漏洞评估程序,所述漏洞评估程序被处理器执行时实现如权利要求1-7中任一项所述的漏洞评估方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有漏洞评估程序,所述漏洞评估程序执行时实现如权利要求1-7中任一项所述的漏洞评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310574332.XA CN116561767B (zh) | 2023-05-19 | 2023-05-19 | 漏洞评估方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310574332.XA CN116561767B (zh) | 2023-05-19 | 2023-05-19 | 漏洞评估方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116561767A CN116561767A (zh) | 2023-08-08 |
| CN116561767B true CN116561767B (zh) | 2024-04-02 |
Family
ID=87499878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310574332.XA Active CN116561767B (zh) | 2023-05-19 | 2023-05-19 | 漏洞评估方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116561767B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681338A (zh) * | 2016-03-04 | 2016-06-15 | 西北大学 | 漏洞利用成功概率计算方法及网络安全风险管理方法 |
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CN115225336A (zh) * | 2022-06-24 | 2022-10-21 | 中国人民解放军国防科技大学 | 一种面向网络环境的漏洞可利用性的计算方法及装置 |
| CN115422556A (zh) * | 2022-11-07 | 2022-12-02 | 中国科学技术大学 | 漏洞利用概率预测方法、系统、设备及存储介质 |
-
2023
- 2023-05-19 CN CN202310574332.XA patent/CN116561767B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681338A (zh) * | 2016-03-04 | 2016-06-15 | 西北大学 | 漏洞利用成功概率计算方法及网络安全风险管理方法 |
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CN115225336A (zh) * | 2022-06-24 | 2022-10-21 | 中国人民解放军国防科技大学 | 一种面向网络环境的漏洞可利用性的计算方法及装置 |
| CN115422556A (zh) * | 2022-11-07 | 2022-12-02 | 中国科学技术大学 | 漏洞利用概率预测方法、系统、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于漏洞类型的漏洞可利用性量化评估系统;雷柯楠 等;《计算机研究与发展》;20171015(第10期);第196-209页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116561767A (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107204960B (zh) | 网页识别方法及装置、服务器 | |
| US20100192222A1 (en) | Malware detection using multiple classifiers | |
| CN112685739B (zh) | 恶意代码检测方法、数据交互方法及相关设备 | |
| CN105229661B (zh) | 基于信号标记确定恶意软件的方法、计算设备及存储介质 | |
| CN109714341A (zh) | 一种Web恶意攻击识别方法、终端设备及存储介质 | |
| CN112685735B (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| KR102058966B1 (ko) | 악성 어플리케이션 탐지 방법 및 그 장치 | |
| Zhang et al. | SaaS: A situational awareness and analysis system for massive android malware detection | |
| Ban et al. | Integration of multi-modal features for android malware detection using linear SVM | |
| Munaiah et al. | Beyond the attack surface: Assessing security risk with random walks on call graphs | |
| CN106874760A (zh) | 一种基于层次式SimHash的Android恶意代码分类方法 | |
| CN111967503A (zh) | 多类型异常网页分类模型的构建方法、异常网页检测方法 | |
| CN116319065A (zh) | 一种应用于商业运维的威胁态势分析方法和系统 | |
| CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
| Sun et al. | SDMP: A secure detector for epidemic disease file based on DNN | |
| CN113904834A (zh) | 基于机器学习的xss攻击检测方法 | |
| Cui et al. | Mmpd: A novel malicious pdf file detector for mobile robots | |
| CN116561767B (zh) | 漏洞评估方法、装置、设备及存储介质 | |
| CN116595554B (zh) | 基于多维度实现政务数据安全性分析方法及装置 | |
| CN117009967A (zh) | 一种恶意代码检测模型构建方法、系统及存储介质 | |
| CN113343219B (zh) | 一种自动高效的高风险移动应用程序检测方法 | |
| Mendes et al. | Benchmarking the security of web serving systems based on known vulnerabilities | |
| CN115225359A (zh) | 蜜罐数据溯源方法、装置、计算机设备和存储介质 | |
| Alamilla et al. | Seismicity assessment using earthquake catalogues with uncertain and incomplete data: probabilistic formulation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |