[发明专利]漏洞风险评估方法、装置及存储介质、服务器

说明书

本发明涉及研发管理、开发辅助、服务管理技术领域，本申请实施例提供的一种漏洞风险评估方法，包括：获取扫描应用程序得到的漏洞信息；从所述漏洞信息中提取漏洞风险因子，通过卷积神经网络计算所述漏洞风险因子，获得所述漏洞风险权重；基于所述漏洞风险权重确定漏洞风险级别。在本申请中，整个bug风险级别评判均没有测试人员主观参与，都是以预设条件、风险权重以及风险权重与风险级别之间的关联关系确定对应风险级别，进而使得整个bug的风险级别的确定都是客观的，相对做到bug风险级别确定的公平公正，避免了研发人员和测试人员之间的矛盾，bug风险级别的判断结果更准确，合理利用人力资源对bug制定合理的修复方案，降低后续产生该bug的概率。

技术领域

本发明涉及研发管理、开发辅助、服务管理技术领域，具体涉及一种漏洞风险评估方法、装置及存储介质、服务器。

背景技术

漏洞发现是攻击者与防护者双方对抗的关键过程，防护者如果不能早于攻击者发现可被利用的漏洞，攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞，信息安全事件发生的可能性就越小。

为了防患于未然，需要对应用程序进行漏洞检测，在漏洞被利用之前发现漏洞并修补。目前在检测到漏洞时，通常对该漏洞的风险等级进行评估，并根据不同的风险等级制定修复方案。一般采用漏洞库的测评标准进行测评，但是该测评标准并未考虑到漏洞网站的访问流量和与该漏洞相关联的业务影响等因素，由此导致采用上述漏洞库的测评标准评定的漏洞风险等级并不符合实际漏洞对网站的危害，同时还会掺杂评估人员的主观因素，导致风险级别的判断比较片面，如：是否必现、是否崩溃，如实必现崩溃则致命bug，但其实，必现的崩溃也未必是致命的，比如隐藏的路径很深，或不常用的某个小功能，那就不能根据这个必现崩溃来做出判断是致命的，使得bug风险级别判断不准确、误报率高，从而导致后续根据该风险等级制定的修复方案不够合理，不能有效起到防范作用。

发明内容

为克服以上技术问题，特别是bug风险级别判断不准确、误报率高，从而导致后续根据该风险等级制定的修复方案不够合理，不能有效起到防范作用的问题，特提出以下技术方案：

本发明实施例提供的一种漏洞风险评估方法，包括：

获取扫描应用程序得到的漏洞信息；

从所述漏洞信息中提取漏洞风险因子，通过卷积神经网络计算所述漏洞风险因子，获得所述漏洞风险权重；

基于所述漏洞风险权重确定漏洞风险级别。

可选地，所述通过卷积神经网络计算所述漏洞风险因子，获得所述漏洞风险权重，包括：

通过卷积神经网络计算各所述漏洞风险因子，确定各所述漏洞风险因子对应第一漏洞风险值；

获取各所述漏洞风险因子对应的权重值，将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权，获得所述漏洞风险权重。

可选地，所述从所述漏洞信息中提取漏洞风险因子，通过卷积神经网络计算所述漏洞风险因子，获得所述漏洞风险权重，包括：

获取应用程序的版本，依据该应用程序的版本对所述漏洞信息进行过滤；

从过滤后的所述漏洞信息中提取所述漏洞风险因子，将所述漏洞风险因子输入卷积神经网络；

通过所述卷积神经网络计算各所述漏洞风险因子，确定该应用程序版本各所述漏洞风险因子对应的所述第一漏洞风险值；

获取该应用程序版本各所述漏洞风险因子对应的权重值，将各所述漏洞风险因子对应的所述权重值和所述第一漏洞风险值的乘积进行加权，获得该版本应用程序的所述漏洞风险权重。

可选地，所述获取各所述漏洞风险因子对应的权重值，包括：

获取应用程序的类型信息，依据所述类型信息获取各所述漏洞风险因子对应的权重值。