[发明专利]一种系统漏洞防护方法和装置

说明书

本发明公开了一种系统漏洞防护方法和装置，该方法包括：检测目标系统中的漏洞；获取目标系统的权限分级，并基于权限分级构建目标系统的漏洞之间的关联关系图；根据构建的漏洞之间的关联关系图，计算关联关系图的核度，确定出目标系统的核心漏洞；修复所述核心漏洞，以实现对目标系统的防护。本实施例的系统漏洞防护方案基于目标系统的权限分级建立漏洞之间的关联关系图，并采用核度理论揭示漏洞之间的关联关系，找到对漏洞关联关系图整体影响最高的漏洞，确定系统中的关键漏洞，实现对漏洞的高效率防护，提高系统的安全性。

技术领域

本发明涉及软件安全技术领域，具体涉及一种系统漏洞防护方法和装置。

背景技术

由于信息系统在硬件、软件、协议以及安全策略等方面存在的缺陷和不足，信息产品和信息系统会不可避免地存在安全漏洞，而漏洞是造成信息系统安全威胁的重要因素。为了减少漏洞利用造成的损失，有必要在系统或软件被攻击之前做好安全防护工作。但是由于漏洞数量众多，一一填补虽然可能，却会造成严重的资源浪费或者需要较高的代价，并且在修补漏洞之后，是否可以达到理想的防护效果也难以确定。如果某些漏洞是由某个未检测出的漏洞所引发的，那么在修复这些漏洞后，只要满足条件，新的漏洞又会产生，从而造成明明消除了大量的漏洞，却并没有达到理想的防护效果的现象。

由此可知，现有技术漏洞防护针对单个漏洞进行修复处理，使得实际处理复杂度高，响应时间长，处理效率和漏洞修复的针对性均无法得到保证。

发明内容

本发明提供了一种系统漏洞防护方法和装置，以解决现有技术漏洞防护复杂度高，响应时间长，处理效率和漏洞修复的针对性均无法得到保证的问题。

为了实现上述目的，本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种系统漏洞防护方法，该方法包括：

检测目标系统中的漏洞；

获取目标系统的权限分级，并基于权限分级构建目标系统的漏洞之间的关联关系图；

根据构建的漏洞之间的关联关系图，计算关联关系图的核度，确定出目标系统的核心漏洞；

修复核心漏洞，以实现对目标系统的防护。

根据本发明的另一个方面，提供了一种系统漏洞防护装置，包括：

漏洞检测单元，用于检测目标系统中的漏洞；

关联关系图构建单元，用于获取目标系统的权限分级，并基于权限分级构建目标系统的漏洞之间的关联关系图；

核心漏洞确定单元，用于根据构建的漏洞之间的关联关系图，计算关联关系图的核度，确定出目标系统的核心漏洞；

防护单元，用于修复核心漏洞，以实现对目标系统的防护。

本发明的有益效果是：本发明实施例的系统漏洞防护方案在检测出系统漏洞后，基于系统的权限分级和权限提升，建立漏洞之间的关联关系图，并通过计算关联关系图的核度来分析漏洞之间的关联关系，以找出对该漏洞关联关系图影响最大的核心漏洞，修复核心漏洞进而实现系统防护。与现有技术相比，考虑了漏洞之间的关联关系尤其是权限利用特性关系，从而在修复漏洞时修复核心漏洞即可实现一并修复核心漏洞相关联的漏洞，减少了漏洞处理的数量的有益效果。也降低了系统防护的复杂度，实现了对漏洞的高效率的防护，提高了系统的安全性。

附图说明

图1是本发明一个实施例的一种系统漏洞防护方法的流程示意图；

图2是本发明一个实施例的漏洞关联关系图的示意图；

图3是图2所示的关联关系图的一个具体实例的示意图；

图4是本发明一个实施例的一种系统漏洞防护装置的结构框图。