[发明专利]一种软件漏洞的分类方法及系统

说明书

本发明提供一种软件漏洞的分类方法及系统。所述分类方法使用Skip‑gram语言模型进行漏洞词向量的训练和生成，将每条漏洞文本中的词映射到有限维度的空间中，以此表征语义信息，降低了词向量的稀疏性，然后充分利用卷积神经网络和循环神经网络提取特征和表征语义信息的优势，构建了C‑GRU神经网络模型，利用卷积神经网络提取文本向量的局部特征，利用GRU提取与文本上下文相关的全局特征，将两种互补模型提取的特征进行融合。本发明克服了基于机器学习算法漏洞自动分类方法在处理高维和稀疏问题上表现的效果不是很好，而且不能很好地提取文本特征和表征语义信息，同时忽略了特定的漏洞信息的技术缺陷，提高了软件分类准确性。

技术领域

本发明涉及软件漏洞检测领域，特别涉及一种软件漏洞的分类方法及系统。

背景技术

随着信息技术的快速发展，互联网以及计算机的应用已经深入到各个行业，从能源、交通、生产、军事、医疗到人们的日常生活，都已经离不开互联网的支持。信息技术在给我们带来极大便利的同时，也带来了巨大的风险和隐患。近几年屡屡发生的计算机安全事故，如信息系统被攻击造成机密信息泄露，隐私数据丢失和其他重大损失的安全事件等，给各大企业、组织和个人带来了巨大的损失，而造成计算机安全事故的原因则是系统的漏洞被恶意攻击利用。因此，安全问题得到了广泛的关注，各种组织、论坛、会议还有论文的主题等直指安全问题，使得信息安全问题成为近些年科学研究的热点。在过去的十几年中，漏洞数量增长迅速，对美国国家漏洞数据库(National Vulnerability Database，NVD)从2002年到2019年5月份的数据统计显示，漏洞总数高达121279条，其中包括未知漏洞类型38868条。面对如此海量的计算机漏洞，传统的人工漏洞分类方法局限性愈加明显，如何对其进行有效的分类管理显得尤为重要。为了减少系统被攻击和破坏的风险，降低漏洞修复的成本，有效提高漏洞分类管理的效率，漏洞自动化分类模型的研究越来越受到重视。

近些年来，机器学习算法被越来越多的应用在漏洞分类领域中，以实现漏洞的自动分类。HovsepyanA等人提出了一种新颖的软件组件的漏洞预测方法，该方法将机器学习与文本分析技术结合对软件漏洞源码进行分析，并取得了较好的效果。DumiduWijayasekara等人通过使用来自错误描述的文本信息，对Bayes分类器进行了测试，分析说明了Bayes分类器根据漏洞描述文本信息实现分类上的可行性。Sarang Na等人提出了一种使用Bayes分类器将CVE条目分类为漏洞类型的分类方法，对一些无法提供足够信息的CVE条目进行了研究，同时较好的分析了尚未分类的CVE条目以及未分类的漏洞文档。Davari M等人提出了一种基于激活漏洞条件的自动漏洞分类框架，使用不同的机器学习技术(随机森林，C4.5决策树，逻辑回归和朴素贝叶斯)来构建具有最高F-score的分类器，以标记未知漏洞，并通过实验分析了Firefox项目的580个软件安全缺陷来评估分类的有效性。Marian Gawron等人又将Naive Bayes算法和简单的人工神经网络算法应用于漏洞分类，并在相同的数据集上进行对比，对比实验结果表明人工神经网络算法在漏洞分类效果上要优于Naive Bayes算法。Harer J A等人提出一种使用机器学习进行漏洞检测的数据驱动方法，将深度神经网络模型的应用与随机森林等更传统的模型进行了比较，并发现最佳性能来自将深度模型学习的特征与基于树的模型相结合，最终，提出的最高性能模型在精确-召回曲线下的面积为0.49，ROC曲线下的面积达到了0.87。G Huang等人提出了基于深度神经网络的软件漏洞自动分类方法，该方法基于TF-IDF、信息增益和深度神经网络构建的漏洞自动分类器，以美国国家漏洞数据库(National VulnerabilityDatabase，NVD)中的漏洞为实验数据，漏洞分类的准确率达到了87％，表明该模型具有较高的分类性能。

但是由于软件漏洞的种类和数量比较多，每一条漏洞的描述信息相对较少，使得每条漏洞在生成的词向量空间上呈现出高维度和稀疏的特点。这些基于机器学习算法漏洞自动分类方法在处理高维和稀疏问题上表现的效果不是很好，而且不能很好地提取文本特征和表征语义信息，同时忽略了特定的漏洞信息，而使得软件漏洞分类的准确性不高。