[发明专利]支持漏洞关联性挖掘的漏洞自动分类方法

权利要求书

1.一种支持漏洞关联性挖掘的漏洞自动分类方法，其特征在于：其具体操作步骤为：

步骤一、构建一个漏洞数据库，收集漏洞记录；

选取国家漏洞数据库NVD作为数据源，构建一个漏洞数据库；

所述漏洞数据库包括：通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述字段、前提特权集、结果特权集；

其中，通用漏洞CVE编号、通用漏洞评分系统CVSS评分、是否需要网络、获取容易程度、是否需要认证、机密性影响、完整性影响、可用性影响、漏洞描述字段字段是通过国家漏洞数据库直接获取的；前提特权集和结果特权集为空；

所述漏洞描述字段字段是用自然语言描述漏洞的特征，“漏洞描述字段”字段为“…users/attackers to…by/via…”格式；

步骤二、确定特权集类别；

特权集类别包括：系统管理员特权集、普通系统管理员特权集、普通用户特权集、访问者特权集、受限访问者特权集；

所述系统管理员特权集包含系统管理员所拥有的所有权限；系统管理员为拥有系统最高权限的用户帐号，系统管理员的权限为：管理系统设备、系统文件和系统进程，读写任意文件内容；攻击者利用系统管理员特权集造成的危害有：植入系统级木马，以虚假身份欺骗或直接追加、修改、删除、创建文件内容，造成系统不可恢复性崩溃；

所述普通系统管理员特权集包含系统管理员所拥有的部分权限；普通系统管理员的权限为：管理部分系统设备、系统文件和系统进程，读写部分系统文件内容；攻击者利用普通系统管理员特权集造成的危害有：通过追加、修改、删除、创建某些系统文件内容或系统进程内存空间的数据结构，造成系统某些文件看起来不可用、系统当机或拒绝服务；

所述普通用户特权集包含普通用户所拥有的所有权限；普通用户所拥有的权限为：在自己独立私有的资源空间内追加、修改、删除、创建个人文件；攻击者利用普通用户特权集造成的的危害有：植入用户级木马，修改普通用户的所有文件或进程空间的内容，导致用户崩溃或不可用；

所述访问者特权集包含受信任的系统远程访问者所拥有的所有权限；受信任的系统远程访问者所拥有的权限有：与系统交互数据、扫描系统信息；攻击者利用访问者特权集造成的危害有：帮助其他受限访问者用户完成身份验证或发送大量数据包造成系统内存溢出；

所述受限访问者特权集是指被系统防火墙隔离在外的不受信任的访问者所拥有的权限；不受信任的访问者仅拥有证实主机有效性的权限，不具备使用该系统的任何权限；攻击者利用受限访问者特权集不能对系统造成危害；

漏洞的前提特权集和结果特权集的取值为5个特权集类别中的一个；

步骤三、训练分类器；

针对步骤二所述的5个特权集类别，分别训练3个前提特权集训练器和4个结果特权集训练器；具体操作为：

步骤3.0：从步骤一中所述漏洞数据库中选取一部分漏洞记录，作为训练数据集；然后人工标注每条漏洞记录的前提特权集和结果特权集；

步骤3.1：从训练数据集中选取前提特权集为普通用户特权集的300条以上数据；

步骤3.2：对每条训练数据中的“漏洞描述字段”字段进行处理；“漏洞描述字段”字段为“…user/attackers to…by/via…”格式；将“by/via”之后的部分截取出来，存入文件d₁中，每条训练数据占一行，文件d₁的行数用符号J₁表示；

步骤3.3：利用开源分词工具StandardAnalyzer对文件d₁进行处理，统计每个单词出现的数量，文件d₁中出现的单词的数量用符号I₁表示；

步骤3.4：通过公式(1)计算单词的重要性；

其中，tf_i,j表示第i个单词在第j行的重要性，i和j均为正整数，并且i∈[1，I₁]，j∈[1，J₁]；n_i,j表示第i个单词在第j行中出现的次数；

步骤3.5：通过公式(2)计算第i个单词的逆向文件频率，用符号idf_i表示；逆向文件频率用来度量单词的普遍性；

其中，t_i表示第i个单词；|{j:t_i∈r_j}|表示文件d₁包含单词t_i的行数；

步骤3.6：通过公式(3)计算单词的权重得分；

其中，TFIDF_i表示第i个单词的权重得分；

某一行的高词语频率，以及该词语在整个文件内的低行数频率，可以产生高权重的TFIDF_i；因此，TFIDF_i值倾向于过滤掉常见词语，保留重要的词语；

步骤3.7：将文件d₁中出现的单词按照TFIDF_i值降序排列，取前n个词作为特征关键词，n∈[5,12]；记录特征关键词及对应的TFIDF_i值；

步骤3.8：经过步骤3.1至3.7的操作，得到前提特权集为普通用户特权集对应的特征关键词及对应的TFIDF_i值；

步骤3.9：从训练数据集中选取前提特权集为访问者特权集的300条以上数据；重复3.2至至3.7的操作，得到前提特权集为访问者特权集对应的特征关键词及对应的TFIDF_i值；

步骤3.10：从训练数据集中选取前提特权集为受限访问者特权集的300条以上数据；重复3.2至至3.7的操作，得到前提特权集为受限访问者特权集对应的特征关键词及对应的TFIDF_i值；

步骤3.11：从训练数据集中选取结果特权集为系统管理员特权集的300条以上数据；

步骤3.12：对每条训练数据中的“漏洞描述字段”字段进行处理；“漏洞描述字段”字段为“…user/attackers to…by/via…”格式；将“to”到“by/via”之间的部分截取出来，存入文件d₂中，每条训练数据占一行，文件d₂的行数用符号J₂表示；

步骤3.13：利用开源分词工具StandardAnalyzer对文件d₂进行处理，统计每个单词出现的数量，文件d₂中出现的单词的数量用符号I₂表示；

步骤3.14：通过公式(4)计算单词的重要性；

其中，tf_i′,_j′表示第i′个单词在第j′行的重要性，i′和j′均为正整数，并且i∈[1，I₂]，j∈[1，J₂]；n_i′,_j′表示第i′个单词在第j′行中出现的次数；

步骤3.15：通过公式(5)计算第i′个单词的逆向文件频率，用符号idf_i′表示；逆向文件频率用来度量单词的普遍性；

其中，t_i′表示第i′个单词；|{j′:t_i′∈r_j′}|表示文件d₂包含单词t_i′的行数；

步骤3.16：通过公式(6)计算单词的权重得分；

其中，TFIDF_i′表示第i′个单词的权重得分；

步骤3.17：将文件d₂中出现的单词按照TFIDF_i′值降序排列，取前n个词作为特征关键词，n∈[5,12]；记录特征关键词及对应的TFIDF_i′值；

步骤3.18：经过步骤3.11至3.17的操作，得到结果特权集为系统管理员特权集对应的特征关键词及对应的TFIDF_i′值；

步骤3.19：从训练数据集中选取结果特权集为普通系统管理员特权集的300条以上数据；重复3.12至至3.17的操作，得到结果特权集为普通系统管理员特权集对应的特征关键词及对应的TFIDF_i′值；

步骤3.20：从训练数据集中选取结果特权集为普通用户特权集的300条以上数据；重复3.12至至3.17的操作，得到结果特权集为普通用户特权集对应的特征关键词及对应的TFIDF_i′值；

步骤3.21：从训练数据集中选取结果特权集为访问者特权集的300条以上数据；重复3.12至至3.17的操作，得到结果特权集为访问者特权集对应的特征关键词及对应的TFIDF_i′值；

步骤四、测试数据；

步骤4.1：从步骤一中所述漏洞数据库中选取一条测试数据；

步骤4.2：对测试数据中的“漏洞描述字段”字段进行处理；“漏洞描述字段”字段为“…user/attackers to…by/via…”格式；将“by/via”之后的部分截取出来，并利用开源分词工具StandardAnalyzer处理，得到若干个单词；

步骤4.3：对于步骤4.2得到的单词，依次查找每个单词是否在步骤3.8得到前提特权集为普通用户特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i值并求和，结果用符号P₁表示；

步骤4.4：对于步骤4.2得到的单词，依次查找每个单词是否在步骤3.9得到前提特权集为访问者特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i值并求和，结果用符号P₂表示；

步骤4.5：对于步骤4.2得到的单词，依次查找每个单词是否在步骤3.10得到前提特权集为受限访问者特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i值并求和，结果用符号P₃表示；

步骤4.6：比较P₁、P₂和P₃的值，选取最大值对应的特权集作为该条测试数据的前提特权集的值；

步骤4.7：对测试数据中的“漏洞描述字段”字段进行处理；“漏洞描述字段”字段为“…user/attackers to…by/via…”格式；将“to”到“by/via”之间的部分截取出来，并利用开源分词工具StandardAnalyzer处理，得到若干个单词；

步骤4.8：对于步骤4.7得到的单词，依次查找每个单词是否在步骤3.18得到结果特权集为系统管理员特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i′值并求和，结果用符号R₁表示；

步骤4.9：对于步骤4.7得到的单词，依次查找每个单词是否在步骤3.19得到结果特权集为普通系统管理员特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i′值并求和，结果用符号R₂表示；

步骤4.10：对于步骤4.7得到的单词，依次查找每个单词是否在步骤3.20得到结果特权集为普通用户特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i′值并求和，结果用符号R₃表示；

步骤4.11：对于步骤4.7得到的单词，依次查找每个单词是否在步骤3.21得到访问者特权集对应的特征关键词中出现，如果出现，则记录该特征关键词对应的TFIDF_i′值并求和，结果用符号R₄表示；

步骤4.12：比较R₁、R₂、R₃和R₄的值，选取最大值对应的特权集作为该条测试数据的结果特权集的值。