[发明专利]使用CVE条目来验证网络设备的漏洞的方法

权利要求书

1.一种用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，包括：

由计算机化数据处理单元对每个所述CVE条目进行索引，定义索引的CVE条目；

由所述计算机化数据处理单元对与所述网络设备相关的计算机网络上的网络分组进行解码，定义与所述网络设备的身份相关的解码串；

由所述计算机化数据处理单元将所述解码串与所述索引的CVE条目进行匹配，如果发现匹配，则发出警报；

其中，所述索引包括根据每个所述CVE条目生成CVE树，定义所述索引的CVE条目，

其中，所述生成包括识别易受攻击配置字段，并针对每个所述易受攻击配置字段提取包括运算符属性和嵌套CPE记录的易受攻击条件的集合，其中，所述CVE树被设置有所述运算符属性作为节点，以及所述CPE记录作为来自所述节点的叶子，

其中，所述解码包括以具有预定大小的多个n元语法的序列对所述解码串进行标记解析，并且

其中，所述匹配包括在所述CVE树中查找所述多个n元语法的序列，如果当所述运算符属性对应于OR时，在至少一个所述CPE记录之间发现匹配，则发出所述警报，以及如果当所述运算符属性对应于AND时，在所有所述CPE记录之间发现匹配，则发出所述警报。

2.根据权利要求1所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述生成包括标识所述易受攻击配置字段，并进一步针对每个所述易受攻击配置字段，提取至少一个主运算符属性和易受攻击条件的多个嵌套集合，并且

其中，所述CVE树被设置有所述主运算符属性作为节点，以及所述易受攻击条件的每个集合作为来自所述节点的叶子。

3.根据权利要求1或2所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述生成还包括通过名称属性对每个所述CPE记录进行分割，定义分割CPE记录，所述分割CPE记录被设置有第一个所述名称属性作为CPE父节点，以及每个后续所述名称属性分别作为来自前一个所述名称属性的CPE叶子并且作为后一个所述名称属性的CPE节点，并且

其中，所述CVE树中的每个所述CPE记录被所述相关的分割CPE记录取代，其中最后一个所述名称属性作为来自所述运算符属性的CPE叶子。

4.根据权利要求3所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述匹配包括从第一个所述名称属性开始在所述CVE树中查找所述多个n元语法的序列，如果当所述运算符属性对应于OR时，在至少一个所述分割CPE记录的所有名称属性之间发现匹配，则发出所述警报，以及如果当所述运算符属性对应于AND时，在所有所述分割CPE记录的所有名称属性之间发现匹配，则发出所述警报。

5.根据权利要求3或4所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述匹配包括从第一个所述名称属性开始并回溯所述CVE树，在所述CVE树中查找所述多个n元语法的序列，并且

其中，当没有找到与n元语法的匹配时，则跳过n元语法。

6.根据权利要求3至5中任一项所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，针对具有更多所述叶子的所述CVE树的所述节点进行所述分割，

其中，所述匹配包括从所述分割节点的第一个所述名称属性开始并回溯所述CVE树直到所述父节点，在所述CVE树中查找所述多个n元语法的序列，并且

对具有更多所述叶子的所述CVE树的后续所述节点迭代进行所述分割和所述匹配。

7.根据权利要求1至6中任一项所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述网络分组是所述网络设备用来通告其身份的发现协议类型。

8.根据权利要求7所述的用于使用CVE条目来验证网络设备的漏洞的方法，其特征在于，所述网络分组是思科发现协议。