[发明专利]一种基于软件包命名矩阵的软件漏洞识别方法与系统

说明书

本发明公开了一种基于软件包命名矩阵的软件漏洞识别方法，提取漏洞数据的CPE信息；将待检测软件的包名与所述CPE信息中的原始包名进行匹配；如果原始包名匹配失败，则基于所述原始包名查询软件包命名矩阵，以获取所述原始包名的别名，并将待检测软件的包名与所述CPE信息中的别名进行匹配；如果原始包名或者别名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；如果版本号匹配成功，则过滤出该漏洞数据，作为第一优先漏洞数据；如果版本号匹配失败，则过滤出该漏洞数据，作为第二优先漏洞数据；如果别名匹配失败，则判断该漏洞数据不影响待测软件。提高了过滤器的覆盖率，为待检测软件的最终安全漏洞分析结果提供了全面的数据基础。

技术领域

本发明涉及设备和网络运行安全技术领域，尤其涉及一种基于软件包命名矩阵的软件漏洞识别方法和系统、信息存储介质。

背景技术

如何依据已知漏洞库、漏洞公开信息进行目标软件的安全性检测是业内一直以来努力的一个方面。Google为了提升搜索引擎返回的答案质量和用户查询的效率，于2012年提出了知识图谱的概念。知识图谱是以数据集为基础，通过分析处理形成数据间的关系网络并通过可视化进行展示，其本质上是一种结构化的、具有丰富的语义关系的网络。近几年来，随着人工智能的快速发展，知识图谱也获得了长足的发展，并且产生了许多优秀的成果。目前，Minzhe Guo 等提出了一种基于本体的方法来对CVE安全漏洞库进行本体建模(Guo M,Wang J A.An ontology-based approach to model common vulnerabilitiesandexposures in information security[C]//ASEE Southest SectionConference.2009.)，借助本体中的概念，公理和基本属性，来发现个体之间、个体与概念之间以及概念之间的复杂关系，该方案目前主要是用于漏洞信息的展示，而且存在可视化效果不足以及查询便利性不足的问题。陶耀东等人提出对工业互联网安全漏洞知识库进行了深入的研究(陶耀东,贾新桐,吴云坤.一种基于知识图谱的工业互联网安全漏洞研究方法[J].信息技术与网络安全,2020,39(01):6-13+18.)，其挖掘出了漏洞-产品、事件-漏洞和事件-产品的关联关系，并进行了分析，取得了一定的成果，但该方案主要缺点在于其仅仅针对工业互联网漏洞，不具备通用性。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的技术方案。因此，本发明的一个方面，提供了一种基于软件包命名矩阵的软件漏洞识别方法，该方法包括：提取漏洞数据的CPE信息；将待检测软件的原始包名与所述CPE信息中的包名进行匹配；如果原始包名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；如果原始包名匹配失败，则基于所述原始包名查询软件包命名矩阵，以获取所述原始包名的别名，并将获取的别名与所述CPE信息中的包名进行匹配；如果别名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；如果版本号匹配成功，则过滤出该漏洞数据，作为第一优先漏洞数据；如果版本号匹配失败，则过滤出该漏洞数据，作为第二优先漏洞数据；如果别名匹配失败，则判断该漏洞数据不影响待测软件。

可选的，该方法还包括：判断所述CPE信息是否包含漏洞数据运行环境信息；如果不包含运行环境信息，则不需要进行运行环境信息的匹配；如果包含运行环境信息，则还需要进行运行环境信息的匹配；如果运行环境信息不匹配，则确定该漏洞数据不影响待测软件。

可选的，该方法还包括：所述运行环境信息为包含running with或者running on的字段。

可选的，则将待测软件的版本号与所述CPE信息中的版本号进行匹配，包括：输入待测软件的版本号与所述CPE信息中的版本号；判断版本号数据是否存在“.”以外的字符，如果存在，则将其他字符替换为“.”；利用“.”分割版本号；从最前面位起按照位比较版本号。