[发明专利]漏洞威胁程度评估方法

说明书

本发明实施例公开了一种漏洞威胁程度评估方法，包括：获取与相应参考漏洞一一对应的描述数据和威胁程度；对所述相应参考漏洞的所述描述数据分别进行文本预处理得到多个处理后描述数据；构建对应所述多个处理后描述数据的词袋模型；根据所述词袋模型对所述多个处理后描述数据基于统计特征和主成分分析方法进行特征提取得到多个特征向量；利用所述多个特征向量和所述多个威胁程度对XGBoost分类器进行训练；以及利用训练所得分类器评估待评估漏洞的威胁程度。本发明实施例充分利用了漏洞库中漏洞的描述数据和威胁程度，对于新入库却暂时没有威胁程度评估的漏洞可以进行及时的智能评估，为安全人员对新漏洞的修复优先度排序提供良好决策支持。

技术领域

本发明涉及漏洞分析技术领域，尤其涉及一种漏洞威胁程度评估方法。

背景技术

信息系统在各企业和组织中起着至关重要的作用，随着办公信息化程度的提高，信息系统的安全稳定对业务的正常运行起着至关重要的作用。漏洞(vulnerability)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下对信息系统进行访问或破坏。随着代码规模的巨大化及逻辑的复杂化，漏洞的曝光频率越来越高，而不同漏洞对于信息系统的影响是不同的，有些漏洞被曝光后会被开发者忽略，而有些会被高度重视并及时修补。

随着国家法律法规的完善，为保护开发者利益及使用者的财产、隐私安全等，漏洞被曝光后其利用方式不再会被曝光，对于开发者来说，也就难以获知该漏洞的实际威胁。在NVD(National Vulnerability Database)等主流漏洞库中，通常会用CVSS(CommonVulnerability Scoring System，通用漏洞评分系统，参见网址https://www.first.org/cvss/的介绍)对相应漏洞的威胁程度进行评估。

CVSS评分是一个常用的漏洞威胁程度评估方式，评分过程通常需要专家的参与，目前主流的是2.0版本和3.0版本，其从基本(Base)、时效性(Temporal)和环境(Environmental)三个方面对一个漏洞进行评分，并最终会得到一个漏洞的综合严重程度(High、Medium、Low——高、中、低)。

然而，一个漏洞刚刚被曝光时通常其威胁程度还没有被评估，而漏洞的利用往往仅需要很短的时间；开发者通常需要在了解漏洞威胁程度的情况下合理安排漏洞的修复，因此，如何根据对于漏洞的简短描述来智能预测该漏洞的威胁程度是一个很有价值的研究问题。

目前研究者对漏洞进行的研究，多半是针对源代码结合领域知识提取特征，并应用机器学习分类器对漏洞的存在进行智能检测，或依据提取的特征对漏洞进行自动化分类来促进漏洞管理，在漏洞的威胁程度方面研究较少。

对于安全漏洞的研究一直是安全领域研究中的热点。传统的安全漏洞分析方法主要包括静态分析、动态分析和混合分析三类：静态分析是一种常用的手工分析方法，安全人员直接从代码中挖掘可能存在的漏洞；动态分析是在程序运行时对程序可能存在的漏洞进行的分析，这种方法模拟真实的攻击者进行测试，依赖于攻击向量的完整性；混合分析则是上述两种方式的综合。

以上分析方法解决的是漏洞在某信息系统中的具体位置，在实际工作中，这些任务通常由一线安全人员完成。然而，单纯依赖组织内部的安全人员对漏洞进行分析在当前漏洞层出不穷的情况下显得力不从心，漏洞的分析及修补应根据其威胁程度和管理者手头资源来进行确定。

开源漏洞库(例如NVD、CVE、CNNVD等)为安全人员提供了良好的威胁情报(threatintelligence)，实时更新的漏洞库可以让安全人员及时了解新发现的漏洞。然而，新收录的漏洞通常没有相应的威胁程度的评估，修复一个漏洞往往需要巨大的人力，对业务会造成较大影响，应根据其威胁程度来安排漏洞的合理修复顺序，对漏洞进行评估是提供优先度依据的有效方法。