[发明专利]一种基于软件包命名矩阵的软件漏洞识别方法与系统

权利要求书

1.一种基于软件包命名矩阵的软件漏洞识别方法，其特征在于，该方法包括：提取漏洞数据的CPE信息；

将待检测软件的原始包名与所述CPE信息中的包名进行匹配；

如果原始包名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；

如果原始包名匹配失败，则基于所述原始包名查询软件包命名矩阵，以获取所述原始包名的别名，并将所述别名与所述CPE信息中的包名进行匹配；如果别名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；

如果版本号匹配成功，则过滤出该漏洞数据，作为第一优先漏洞数据；

如果版本号匹配失败，则过滤出该漏洞数据，作为第二优先漏洞数据；

如果别名匹配失败，则判断该漏洞数据不影响待测软件。

2.根据权利要求1所述的基于软件包命名矩阵的软件漏洞识别方法，其特征还在于，该方法还包括：

判断所述CPE信息是否包含漏洞数据运行环境信息；

如果不包含运行环境信息，则不需要进行运行环境信息的匹配；

如果包含运行环境信息，则还需要进行运行环境信息的匹配；

如果运行环境信息不匹配，则确定该漏洞数据不影响待测软件。

3.根据权利要求1所述的基于软件包命名矩阵的软件漏洞识别方法，其特征还在于，所述运行环境信息为包含running with或者running on的字段。

4.根据权利要求1所述的基于软件包命名矩阵的软件漏洞识别方法，其特征还在于，则将待测软件的版本号与所述CPE信息中的版本号进行匹配，包括：

输入待测软件的版本号与所述CPE信息中的版本号；

判断版本号数据是否存在“.”以外的字符，如果存在，则将其他字符替换为“.”；

利用“.”分割版本号；

从最前面位起按照位比较版本号。

5.根据权利要求4所述的基于软件包命名矩阵的软件漏洞识别方法，其特征还在于，从最前面

位起按照位比较版本号，包括：

判断是否存在字母；

如果存在，将当前位的数字与字母分割，并将字母转换为整数类型，再比较大小，数字则直接比较大小，将数值较大的确定为较新版本；

如果待测软件的版本为较新版本，则判断为模糊漏洞；

如果漏洞数据的版本为较新版本，则判断为存在漏洞。

6.一种基于软件包命名矩阵的软件漏洞识别系统，其特征在于，该系统包括：

CPE信息提取模块，用于提取漏洞数据的CPE信息；

包名匹配模块，用于将待检测软件的原始包名与所述CPE信息中的包名进行匹配；

版本号匹配模块，如果原始包名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；

软件包命名矩阵查询模块，如果原始包名匹配失败，则基于所述原始包名查询软件包命名矩阵，以获取所述原始包名的别名；所述包名匹配模块还用于将所述别名与所述CPE信息中的包名进行匹配；如果别名匹配成功，则版本号匹配模块，将待测软件的版本号与所述CPE信息中的版本号进行匹配；漏洞数据过滤模块，如果版本号匹配成功，则过滤出该漏洞数据，作为第一优先漏洞数据；如果版本号匹配失败，则过滤出该漏洞数据，作为第二优先漏洞数据；如果别名匹配失败，则判断该漏洞数据不影响待测软件。

7.根据权利要求6所述的基于软件包命名矩阵的软件漏洞识别系统，其特征还在于，该系统还包括：

运行环境判断模块，用于判断所述CPE信息是否包含漏洞数据运行环境信息；如果不包含运行环境信息，则不需要进行运行环境信息的匹配；

环境信息匹配模块，如果包含运行环境信息，用于进行运行环境信息的匹配，如果运行环境信息不匹配，则确定该漏洞数据不影响待测软件。