CN117370987A - 基于知识图谱的云服务平台安全审计漏洞评测方法及系统 - Google Patents

Abstract

本发明公开了基于知识图谱的云服务平台安全审计漏洞评测方法及系统，首先采集云服务安全漏洞数据，再根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层，接着将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；本发明实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能，且评测结果能为信息安全审计提供参考依据，还能不断的健全安全管理体系，便于云服务平台的持续管理和连续性审计，提升了对信息资产的保护能力和风险意识，适合被广泛推广和使用。

Description

基于知识图谱的云服务平台安全审计漏洞评测方法及系统

技术领域

本发明涉及信息系统审计技术领域，具体涉及基于知识图谱的云服务平台安全审计漏洞评测方法及系统。

背景技术

云服务平台安全是指保护云服务平台及其上托管的数据和应用免受未经授权的访问、数据泄露、服务中断、恶意攻击等安全威胁的能力。云服务平台安全审计是指对云服务平台的安全控制措施、操作过程和安全事件进行独立的评估和审查，以确保云服务平台的安全性和合规性。安全审计可以帮助组织和用户了解云服务平台的安全状况，发现潜在漏洞威胁，并提供改进建议和控制措施。

知识图谱是一种用于表示和组织知识的图形化结构。它通过实体、属性和关系的方式来描述事物和概念，并提供了丰富的推理和查询能力。知识图谱可以用于存储和管理威胁的相关信息，从而为安全审计提供更全面的信息支持。

目前，通常云服务平台漏洞威胁分析都是针对实时攻击和异常行为，并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面，并未结合所在云服务平台的信息资产进行安全风险定性分析；尽管目前漏洞收集的方法比较多，但漏洞分析并未结合所在云服务的信息资产拓扑进行风险评估，这种分析结果不能有效地准确识别和分析安全风险和漏洞影响，进而不能有效地采取相应措施来改进和加强安全控制以提高云服务的安全性和可信度；因此，需要设计基于知识图谱的云服务平台安全审计漏洞评测方法及系统。

发明内容

本发明的目的是克服现有技术的不足，为更好的解决现有云服务平台漏洞威胁分析都是针对实时攻击和异常行为，并且传统信息安全审计主要包括安全策略和控制评估、安全事件和日志审计、物理安全审计等方面，并未结合所在云服务平台的信息资产进行安全风险定性分析的问题，提供了基于知识图谱的云服务平台安全审计漏洞评测方法及系统，其实现了具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能，且评测结果能为信息安全审计提供参考依据，还能不断的健全安全管理体系，便于云服务平台的持续管理和连续性审计，提升了对信息资产的保护能力和风险意识。

为了达到上述目的，本发明所采用的技术方案是：

基于知识图谱的云服务平台安全审计漏洞评测方法及系统，包括以下步骤，

步骤(A)，采集云服务安全漏洞数据；

步骤(B)，根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层；

步骤(C)，将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；

步骤(D)，根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产；

步骤(E)，将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集；

步骤(F)，构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(A)，采集云服务安全漏洞数据，其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息，且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(B)，根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层，其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系，所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点，所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系，所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型，所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分，所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本，所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(C)，将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建，其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(D)，根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产，其中云服务平台信息资产包含软件、硬件和应用。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(E)，将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集，具体步骤如下；

步骤(E1)，将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配，得到匹配结果；

步骤(E2)，根据匹配结果进行图谱查询，得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点，再得到与漏洞节点相关联的漏洞风险节点；

步骤(E3)，由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。

前述的基于知识图谱的云服务平台安全审计漏洞评测方法，步骤(F)，构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果；

步骤(F1)，构建多准则决策分析模式，其中多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则；

步骤(F2)，利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测，具体步骤如下，

步骤(F21)，根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A，且评测决策矩阵为mx5阶，其中a_ij是评测决策矩阵A的矩阵元素，并表示第i个漏洞的第j个评测准则得分，m表示漏洞的个数；

步骤(F22)，将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X，其中x_ij是标准化矩阵X的矩阵元素，并表示第i个漏洞的第j个评测准则的归一化得分；

步骤(F23)，确定五个漏洞评测准则的影响权重b_j表示第j个准测的权重，且分别是b₁、b₂、b₃、b₄和b₅，并将影响权重代入标准化矩阵X，得到加权决策矩阵C，其中c_ij是加权决策矩阵C的矩阵元素，并表示第i个漏洞的第j个评测准则的加权得分，c_ij的计算公式如公式(1)所示，

c_ij＝x_ijb_j (1)；

步骤(F24)，将漏洞排序，且序号分别为1、2、m，再将每一对漏洞h和漏洞g的评测准则集J＝{1，2，3，4，5}划分成2个不相交的子集，并分别为第一子集和第二子集，所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成，称为漏洞h对漏洞g的和谐集D_hg，所述第二子集由漏洞h中加权得分低于漏洞g的准则组成，称为漏洞h对漏洞g的不和谐集E_hg，基于和谐集D_hg和不和谐集E_hg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下，

步骤(F241)，基于和谐集D_hg构造m×m阶的和谐性矩阵H，所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣，其中k_hg为和谐性矩阵H的元素，并表示漏洞h对漏洞g的和谐指数，且k_hg的计算公式如公式(2)所示，

步骤(F242)，基于不和谐集E_hg构造m×m阶的不和谐性矩阵K，所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣，其中k_hg为不和谐性矩阵K的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg为矩阵的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg的计算公式如公式(3)所示，

步骤(F25)，根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E，所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况，其中e_hg为综合性支配矩阵E的元素，并表示漏洞h对漏洞g的支配关系指数，且e_hg的计算公式如公式(4)所示，

e_hg＝h_hg-k_hg (4)；

步骤(F26)，基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示，

步骤(F27)，将威胁指数从大到小进行排序，再根据排序结果给出安全风险评测结果并输出。

基于知识图谱的云服务平台安全审计漏洞评测系统，包括采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块，所述采集模块用于采集云服务安全漏洞数据；所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层；所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产；所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集；所述漏洞集评测模块用于构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

前述的基于知识图谱的云服务平台安全审计漏洞评测系统，所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。

前述的基于知识图谱的云服务平台安全审计漏洞评测系统，所述多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。

本发明的有益效果是：

(1)、本发明首先根据已知的云服务安全漏洞构建云服务平台安全审计知识图谱，再根据现有云服务平台的信息资产情况和已知的漏洞威胁数据，接着通过知识图谱并利用知识图谱查询推理技术得到云服务平台有安全威胁的漏洞集，再对漏洞集利用多准则决策分析方法确定综合性支配矩阵，随后得到反映不同漏洞对云服务平台的安全威胁情况，有效地实现了本发明具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能，且评测结果能为信息安全审计提供参考依据，还能不断的健全安全管理体系。

(2)、本发明所构建的云服务安全审计知识图谱能够有效地实现对云服务平台安全风险的综合评估，便于云服务平台的持续管理和连续性审计，提升了对信息资产的保护能力和风险意识。

(3)、本发明能根据所掌握的信息数据，分析评测结果中的风险可以评估云服务平台的安全、可靠与有效，以判断云服务平台是否能够保证信息资产的安全、数据的完整以及有效率利用组织的资源并有效果地实施组织目标。

附图说明

图1是本发明的基于知识图谱的云服务平台安全审计漏洞评测方法的流程图。

具体实施方式

下面将结合说明书附图，对本发明作进一步的说明。

如图1所示，本发明的基于知识图谱的云服务平台安全审计漏洞评测方法及系统，包括以下步骤，

步骤(A)，采集云服务安全漏洞数据，其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息，且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

步骤(B)，根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层，其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系，所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点，所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系，所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型，所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分，所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本，所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

步骤(C)，将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建，其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

步骤(D)，根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产，其中云服务平台信息资产包含软件、硬件和应用。

步骤(E)，将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集，具体步骤如下；

步骤(E1)，将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配，得到匹配结果；

步骤(E2)，根据匹配结果进行图谱查询，得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点，再得到与漏洞节点相关联的漏洞风险节点；

步骤(E3)，由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。

步骤(F)，构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果；

步骤(F1)，构建多准则决策分析模式，其中多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则；

步骤(F2)，利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测，具体步骤如下，

步骤(F21)，根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A，且评测决策矩阵为mx5阶，其中a_ij是评测决策矩阵A的矩阵元素，并表示第i个漏洞的第j个评测准则得分，m表示漏洞的个数；

步骤(F22)，将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X，其中x_ij是标准化矩阵X的矩阵元素，并表示第i个漏洞的第j个评测准则的归一化得分；

步骤(F23)，确定五个漏洞评测准则的影响权重b_j表示第j个准测的权重，且分别是b₁、b₂、b₃、b₄和b₅，并将影响权重代入标准化矩阵X，得到加权决策矩阵C，其中c_ij是加权决策矩阵C的矩阵元素，并表示第i个漏洞的第j个评测准则的加权得分，c_ij的计算公式如公式(1)所示，

c_ij＝x_ijb_j (1)；

步骤(F24)，将漏洞排序，且序号分别为1、2、m，再将每一对漏洞h和漏洞g的评测准则集J＝{1，2，3，4，5}划分成2个不相交的子集，并分别为第一子集和第二子集，所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成，称为漏洞h对漏洞g的和谐集D_hg，所述第二子集由漏洞h中加权得分低于漏洞g的准则组成，称为漏洞h对漏洞g的不和谐集E_hg，基于和谐集D_hg和不和谐集E_hg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下，

步骤(F241)，基于和谐集D_hg构造m×m阶的和谐性矩阵H，所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣，其中k_hg为和谐性矩阵H的元素，并表示漏洞h对漏洞g的和谐指数，且k_hg的计算公式如公式(2)所示，

步骤(F242)，基于不和谐集E_hg构造m×m阶的不和谐性矩阵K，所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣，其中k_hg为不和谐性矩阵K的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg为矩阵的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg的计算公式如公式(3)所示，

步骤(F25)，根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E，所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况，其中e_hg为综合性支配矩阵E的元素，并表示漏洞h对漏洞g的支配关系指数，且e_hg的计算公式如公式(4)所示，

e_hg＝h_hg-k_hg (4)；

步骤(F26)，基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示，

步骤(F27)，将威胁指数从大到小进行排序，再根据排序结果给出安全风险评测结果并输出。

基于知识图谱的云服务平台安全审计漏洞评测系统，采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块，所述采集模块用于采集云服务安全漏洞数据；所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层；所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产；所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集；所述漏洞集评测模块用于构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

具体地，所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。

具体地，所述多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。

为了更好的描述本发明的使用效果，下面介绍本发明的一个具体实施例。

(1)，本实施例中漏洞节点包含漏洞编号CVE_ID、漏洞名称CVE_value和漏洞类型part，漏洞风险节点包含机密性影响V3_confidentialityImpact、完整性影响V3_integrityImpact、可用性影响V3_availabilityImpact、攻击复杂度V3_attackComplexity和漏洞评分V3_baseScore。

(2)，本实施例漏洞编号CVE_ID为CVE-2021-21973，漏洞描述CVE_value为“ThevSphere Client(HTML5)contains an SSRF(Server Side Request Forgery)vulnerability due to improper validation of URLs in a vCenter Serverplugin.Amalicious actor with network access to port 443may exploit this issueby sending aPOST request to vCenter Server plugin leading to informationdisclosure.This affects:VMware vCenter Server(7.x before 7.0U1c,6.7before6.7U3l and 6.5before 6.5U3n)and VMware Cloud Foundation(4.x before 4.2and 3.xbefore 3.10.1.2)”，漏洞类型part为a(application应用级)，可用性影响V3_availabilityImpact为NONE，完整性影响V3_integrityImpact为NONE、机密性影响V3_confidentialityImpact为LOW、攻击复杂度V3_attackComplexity为LOW和漏洞评分V3_baseScore为5.3。该漏洞CVE-2021-21973会作用在vmware供应商的vcenter_server产品中。

(3)，本实施例所构建的模式层有四类节点，分别为漏洞节点CVE、漏洞风险节点CVE_Impact、产品节点Product和厂商节点Vendor，且每个实体的属性定义分别如表1-4所示。

表1、实体CVE的属性定义

表2、实体CVE_Impact的属性定义

属性名称	属性含义	取值类型
			V3_availabilityImpact	可用性影响	String
V3_integrityImpact	完整性影响	String
			V3_confidentialityImpact	机密性影响	String
V3_attackComplexity	攻击复杂度	String
			V3_baseScore	漏洞评分	String

表3、实体Product的属性定义

表4、实体Vendor的属性定义

属性名称	属性含义	取值类型
			Vendor_name	厂商名称	String

(4)，本实施例所构建的模式层有三类关系，分别是漏洞节点CVE与漏洞风险节点CVE_Impact的关系IMPACT，漏洞节点CVE与漏洞产品节点Product的关系HAPPEN，以及漏洞厂商节点Vendor与漏洞产品节点Product的关系HAS，每个关系的定义如表5-7所示，

表5、关系IMPACT的定义

关系名称	实体1	实体2
			IMPACT	CVE	CVE_Impact

表6、关系HAPPEN的定义

关系名称	实体1	实体2
			HAPPEN	CVE	Product

表7、关系HAS属性定义

关系名称	实体1	实体2
			HAS	Vendor	Product

(5)，本实施例根据云服务平台明确需要进行安全漏洞分析的云服务平台信息资产集合{V_Product_name，V_Product_version，V_Vendor_name}，其中v_Product_name\inV_Product_name，v_Product_version\in V_Product_version和v_Vendor_name\in V_Vendor_name分别表示一个信息资产对应的一个产品名称、产品版本和厂商；其中云平台设计使用了vmware厂商vcenter_server产品，产品版本为6.7，其信息资产包括{vcenter_server，6.7，vmware}。

(6)，本实施例将信息资产{V_Product_name,V_Product_version,V_Vendor_name}具体组件匹配到云服务平台安全审计知识图谱，找出与信息资产相关的所有漏洞节点CVE和所有漏洞风险节点CVE_Impact，得到对云服务平台有安全威胁的漏洞集{V_CVE，V_CVE_Impact}，v_CVE\in V_CVE和v_CVE_Impact\in V_CVE_Impact分别表示一个威胁漏洞对应的漏洞节点和漏洞风险节点。

(7)，本实施例构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

综上所述，本发明的基于知识图谱的云服务平台安全审计漏洞评测方法及系统，首先根据已知的云服务安全漏洞构建云服务平台安全审计知识图谱，再根据现有云服务平台的信息资产情况和已知的漏洞威胁数据，接着通过知识图谱并利用知识图谱查询推理技术得到云服务平台有安全威胁的漏洞集，再对漏洞集利用多准则决策分析方法确定综合性支配矩阵，随后得到反映不同漏洞对云服务平台的安全威胁情况，有效地实现了本发明具有对云服务平台的安全漏洞进行风险分析并对风险分析结果的基础上使用多准则决策分析来评测云服务平台信息安全威胁的功能，且评测结果能为信息安全审计提供参考依据，还能不断的健全安全管理体系，同时所构建的云服务安全审计知识图谱能够有效地实现对云服务平台安全风险的综合评估，便于云服务平台的持续管理和连续性审计，提升了对信息资产的保护能力和风险意识；这对于所有的云服务平台的实际工作过程中都能根据所能掌握的信息数据，分析结果中的风险可以评估云服务平台的安全、可靠与有效，以判断云服务平台是否能够保证信息资产的安全、数据的完整以及有效率利用组织的资源并有效果地实施组织目标。

以上显示和描述了本发明的基本原理、主要特征及优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (10)

1.基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：包括以下步骤，

步骤(A)，采集云服务安全漏洞数据；

步骤(B)，根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层；

步骤(C)，将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；

步骤(D)，根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产；

步骤(E)，将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集；

步骤(F)，构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

2.根据权利要求1所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(A)，采集云服务安全漏洞数据，其中云服务安全漏洞数据包含漏洞基本信息和漏洞风险信息，且所述云服务安全漏洞数据通过自动化爬虫引擎获取。

3.根据权利要求2所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(B)，根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层，其中云服务平台安全审计知识图谱模式层包含四类节点和三类关系，所述四类节点分别是漏洞节点、漏洞风险节点、漏洞产品节点和漏洞厂商节点，所述三类关系分别是漏洞节点与漏洞风险节点的关系、漏洞节点与漏洞产品节点的关系及漏洞产品节点与漏洞厂商节点的关系，所述漏洞节点包含漏洞编号、漏洞名称和漏洞类型，所述漏洞风险节点包含机密性影响、完整性影响、可用性影响、攻击复杂度和漏洞评分，所述的漏洞产品节点包含漏洞所影响的产品名称和漏洞所影响的产品版本，所述的漏洞厂商节点表示漏洞所影响的产品提供厂商。

4.根据权利要求3所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(C)，将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建，其中导入的云服务安全漏洞数据会存入云服务平台安全审计知识图谱的图数据库。

5.根据权利要求4所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(D)，根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产，其中云服务平台信息资产包含软件、硬件和应用。

6.根据权利要求5所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(E)，将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集，具体步骤如下；

步骤(E1)，将云服务平台信息资产具体与云服务平台安全审计知识图谱中的漏洞产品节点和漏洞厂商节点相匹配，得到匹配结果；

步骤(E2)，根据匹配结果进行图谱查询，得到与漏洞产品节点和漏洞厂商节点相关联的漏洞节点，再得到与漏洞节点相关联的漏洞风险节点；

步骤(E3)，由漏洞节点和漏洞风险节点组成对云服务平台有安全威胁的漏洞集。

7.根据权利要求6所述的基于知识图谱的云服务平台安全审计漏洞评测方法，其特征在于：步骤(F)，构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果；

步骤(F1)，构建多准则决策分析模式，其中多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则；

步骤(F2)，利用多准则决策分析模式对有安全威胁的漏洞集进行安全风险评测，具体步骤如下，

步骤(F21)，根据有安全威胁的漏洞集中漏洞节点和漏洞风险节点确定评测决策矩阵A，且评测决策矩阵为mx5阶，其中a_ij是评测决策矩阵A的矩阵元素，并表示第i个漏洞的第j个评测准则得分，m表示漏洞的个数；

步骤(F22)，将评测决策矩阵进行归一化处理得到mx5阶的标准化矩阵X，其中x_ij是标准化矩阵X的矩阵元素，并表示第i个漏洞的第j个评测准则的归一化得分；

步骤(F23)，确定五个漏洞评测准则的影响权重b_j表示第j个准测的权重，且分别是b₁、b₂、b₃、b₄和b₅，并将影响权重代入标准化矩阵X，得到加权决策矩阵C，其中c_ij是加权决策矩阵C的矩阵元素，并表示第i个漏洞的第j个评测准则的加权得分，c_ij的计算公式如公式(1)所示，

c_ij＝x_ijb_j (1)；

步骤(F24)，将漏洞排序，且序号分别为1、2、m，再将每一对漏洞h和漏洞g的评测准则集J＝{1，2，3，4，5}划分成2个不相交的子集，并分别为第一子集和第二子集，所述第一子集由漏洞h中加权得分不低于漏洞g的准则组成，称为漏洞h对漏洞g的和谐集D_hg，所述第二子集由漏洞h中加权得分低于漏洞g的准则组成，称为漏洞h对漏洞g的不和谐集E_hg，基于和谐集D_hg和不和谐集E_hg分别构建和谐性矩阵H和不和谐矩阵K的具体步骤如下，

步骤(F241)，基于和谐集D_hg构造m×m阶的和谐性矩阵H，所述和谐性矩阵H用于判断不同漏洞间准则权重的相对优劣，其中k_hg为和谐性矩阵H的元素，并表示漏洞h对漏洞g的和谐指数，且k_hg的计算公式如公式(2)所示，

步骤(F242)，基于不和谐集E_hg构造m×m阶的不和谐性矩阵K，所述不和谐性矩阵K用于判断不同漏洞间不同准则的得分相对优劣，其中k_hg为不和谐性矩阵K的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg为矩阵的元素，并表示漏洞h对漏洞g的不和谐指数，且k_hg的计算公式如公式(3)所示，

步骤(F25)，根据和谐性矩阵H和不和谐矩阵K确定m×m阶的综合性支配矩阵E，所述综合性支配矩阵E用于表示不同漏洞在多漏洞评测准则融合下的综合效果情况，其中e_hg为综合性支配矩阵E的元素，并表示漏洞h对漏洞g的支配关系指数，且e_hg的计算公式如公式(4)所示，

e_hg＝h_hg-k_hg (4)；

步骤(F26)，基于综合性支配矩阵E计算每个漏洞的威胁指数其中威胁指数/>的计算公式如公式(5)所示，

步骤(F27)，将威胁指数从大到小进行排序，再根据排序结果给出安全风险评测结果并输出。

8.基于知识图谱的云服务平台安全审计漏洞评测系统，所述系统的运行过程采用基于权利要求1-7任一项所述的方法，其特征在于：包括采集模块、图谱模式层构建模块、图谱数据层构建模块、漏洞检测模块、漏洞集获得模块和漏洞集评测模块，所述采集模块用于采集云服务安全漏洞数据；

所述图谱模式层构建模块用于根据云服务安全漏洞数据构建云服务平台安全审计知识图谱模式层；

所述图谱数据层构建模块用于将采集到的云服务安全漏洞数据按云服务平台安全审计知识图谱模式层导入，完成云服务平台安全审计知识图谱数据层的构建；

所述漏洞检测模块用于根据云服务平台确定需要进行安全漏洞检测的云服务平台信息资产；

所述漏洞集获得模块用于将云服务平台信息资产与云服务平台安全审计知识图谱进行匹配，得到对云服务平台有安全威胁的漏洞集；

所述漏洞集评测模块用于构建多准则决策分析模式，并对有安全威胁的漏洞集进行安全风险评测，输出评测结果。

9.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统，其特征在于：所述对云服务平台有安全威胁的漏洞集由漏洞节点和漏洞风险节点组成。

10.根据权利要求8所述的基于知识图谱的云服务平台安全审计漏洞评测系统，其特征在于：所述多准则决策分析模式包含五个漏洞评测准则，且所述五个漏洞评测准则分别是机密性影响准则、完整性影响准则、可用性影响准则、攻击复杂度准则和漏洞评分准则。