[发明专利]一种基于开源库与文本挖掘的并行漏洞挖掘方法

说明书

技术领域

本发明属于计算机信息安全技术领域。具体而言，本发明涉及一种基于开源库与文本挖掘的并行漏洞挖掘方法。

背景技术

随着互连网的不断普及和飞速发展，人们越来越多地使用到并依赖于互联网。同时，因互联网信息安全问题产生的经济损失大幅提高，造成的危害也明显增大。存在于各种软件和操作系统中的漏洞，为黑客们发动网络攻击、盗取用户信息、甚至破坏工业基础设施提供了条件。为此世界各国不予余力地研究防范网络中安全隐患的有效方法。

从1996年开始，信息安全专家就开始对互联网攻击模式进行归纳和总结，试图从更高的层次理解网络攻击。而在这其中，被广泛认可的则是由美国国土安全部(United States Department of Homeland Security,DHS)支持的CAPEC(Common AttackPattern Enumeration and Classification)项目。在CAPEC中，每个攻击模式被指定了唯一的ID，并提供了以下的信息：攻击模式描述、攻击步骤、前置条件(如依托的平台及软件版本等攻击前需要满足的技术条件)、后置条件(如攻击后获取的管理员权限等)、攻击实例、相关的CWE(Common Weakness Enumeration)脆弱性和CVE(Common Vulnerabilities and Exposures)漏洞等。CAPEC不但阐述了网络攻击模式的具体细节，还指明了它与CWE、CVE之间的联系。CWE是一个描述软件中的脆弱性集合。对于每一个脆弱性，它提供了以下信息：脆弱性描述、适用的平台、造成的结果、实例以及相关的CVE漏洞。一个CWE脆弱性对应着许多个相关CVE漏洞。

本发明涉及的并行漏洞(Parallel Vulnerabilities)，指的是具有相同攻击基础条件、能达到相同攻击目的和效果、但利用不同攻击路径的漏洞组合。简而言之，并行漏洞使用多路径的方法来分析攻击可能利用的途径，从而提高成功防御网络攻击的概率和覆盖率。

与并行漏洞有着密切联系的则是攻击图：攻击图从攻击者或防御者的视角描述了如何利用系统中存在的漏洞达到攻击或防范的目的；系统管理可以通过攻击图评估他们系统的安全性，以及决定采取怎样的补救措施进行防范。并行漏洞就是源于攻击图中的同一起始点和结束点间的分支并行关系，用于发现这些有并行关系的漏洞组合，可在发现一个漏洞被利用时迅速弥补其它并行漏洞，便于及时对相应漏洞打补丁，进而弥补整个网络的脆弱性，具有较高的网络防御应用价值。

发明内容

本发明的目的在于，基于开源信息库，提取同一攻击模式下关联脆弱性CWE，再从脆弱性CWE关联到漏洞CVE，然后通过文本挖掘和自然语言处理技术，挖掘出并行漏洞，因而具有较高的网络防御应用价值。

本发明的技术方案是：

一种基于开源库与文本挖掘的并行漏洞挖掘方法，步骤包括：

1.数据获取与预处理：

a)从开源库中获取原始攻击模式信息、脆弱性信息和漏洞信息

b)对获取的开源库信息数据进行数据清理，包括统一数据格式、数据净化、填充缺失属性和去除噪声数据

c)对清理后的数据建立数据集合，并形成标识到非结构化文本信息的映射，形成三个集合Pattern{p₁,p₂,…,p_n}，Weak{w₁,w₂,…,w_m}，Vulnerability{v₁,v₂,…,v_s}。其中p_i代表一个攻击模式，w_i代表一个脆弱性，v_i代表一个漏洞。

2.提取映射关系和漏洞集合

解析出攻击模式p_i到脆弱性w_i的映射关系(一对多)、脆弱性w_i到漏洞v_i的映射关系(一对多)，然后形成攻击模式p_i到漏洞v_i的映射关系，从而将庞大的漏洞库依据某一个攻击模式归纳到不同的漏洞集合。

3.对漏洞的文本描述信息进行数学建模