[发明专利]一种对过滤出的漏洞数据进行验证的方法和系统

说明书

本发明公开了一种对过滤出的漏洞数据进行验证的方法，该方法包括：对与目标软件相关的漏洞数据的CPE信息提取版本号信息；基于语义匹配或者分词匹配判断所述版本号信息是否与漏洞描述信息相符；如果相符，则判断所述版本号信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证；如果不相符，则判断所述漏洞描述信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证，并根据漏洞描述信息更新CPE信息；如果所述漏洞描述信息未覆盖目标软件的版本号，则通过预定平台查询所述漏洞数据的CPE信息、漏洞描述信息。通过本发明，能够对从多个数据源过滤出的漏洞数据进行正确性验证并对错误的数据进行补正。

技术领域

本发明涉及软件安全检测技术领域，尤其涉及一种对过滤出的漏洞数据进行验证的方法和系统。

背景技术

目前，主要是依据已知漏洞库、漏洞公开信息进行目标软件的安全性检测，尤其是根据CVE安全漏洞库，进行漏洞检测。通过设定条件对已知漏洞库进行过滤操作，但是，虽然CVE安全漏洞库具有权威性，毕竟它属于国外，对于很多国内软件的安全漏洞并没有记载，即使记载，软件名称也存在不一致的情况。在国内软件安全检测时，还需要考虑其他多种来源。实践中，根据目标软件，过滤出来的与目标软件相关的漏洞数据经常存在误报漏洞的情况。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的技术方案。因此，本发明的一个方面，提供了一种对过滤出的漏洞数据进行验证的方法，该方法包括：对与目标软件相关的漏洞数据的CPE 信息提取版本号信息；基于语义匹配或者分词匹配判断所述版本号信息是否与漏洞描述信息相符；如果相符，则判断所述版本号信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证；如果不相符，则判断所述漏洞描述信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证，并根据漏洞描述信息更新CPE信息；如果所述所述漏洞描述信息未覆盖目标软件的版本号，则通过预定平台查询所述漏洞数据的CPE信息、漏洞描述信息；基于所述查询到的所述CPE信息的版本号信息，判断是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证，并更新漏洞过滤数据；如果没有覆盖，则判断所述查询到的所述漏洞描述信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证，并更新漏洞过滤数据；如果所述漏洞描述信息没有覆盖目标软件的版本号，则确定该漏洞过滤数据未通过验证。

可选的，该方法还包括：判断查询到的漏洞数据是否具有REJECT或者 RESERVED标识，如果是，则则确定该漏洞过滤数据未通过验证。

可选的，通过正则表达式实现所述语义匹配或者分词匹配。

本发明还提供一种对过滤出的漏洞数据进行验证的系统，该系统包括：

版本号信息提取模块，用于与目标相关的漏洞数据CPE信息提取版本号信息；

漏洞数据自身检测模块，用于基于语义匹配或者分词匹配判断所述版本号信息是否与漏洞描述信息相符；第一版本号匹配模块，如果相符，则判断所述版本号信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证；第二版本号匹配模块，如果不相符，则判断所述漏洞描述信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证；漏洞数据更新模块，根据所述漏洞描述信息更新CPE信息；漏洞数据查询模块，用于如果所述所述漏洞描述信息未覆盖目标软件的版本号，通过预定平台查询所述漏洞数据的CPE信息、漏洞描述信息；所述第一版本号匹配模块基于所述查询到的所述CPE信息的版本号信息，判断是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证；所述漏洞数据更新模块，根据所述查询到的所述CPE信息更新漏洞过滤数据；如果没有覆盖，第二版本号匹配模块判断所述查询到的所述漏洞描述信息是否覆盖目标软件的版本号，如果覆盖，则确定该漏洞过滤数据通过验证，并更新；所述漏洞数据更新模块，如果所述漏洞描述信息没有覆盖目标软件的版本号，则确定该漏洞过滤数据未通过验证。