Document
拖动滑块完成拼图
首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

基于文本挖掘和多指标度量的细粒度漏洞优先级排序方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

摘要:本发明公开了一种基于文本挖掘和多指标度量的漏洞优先级排序方法,从必要性、函数级指标和影响范围这三个维度提出了14个度量指标,细化至函数级别对漏洞进行优先级排序。包括如下步骤:S1、获取软件漏洞代码,并进行数据加载和清洗;S2、针对清洗过后的代码数据集进行深层次信息提取;S3、围绕多指标评价体系对漏洞代码进行评估得到不同维度的分数,首先评估漏洞修复必要性;S4、在完成修复必要性维度的评估之后,继续对漏洞进行函数级指标的分析;S5、完成前两个维度的评估之后,研判漏洞被成功攻击后可能造成的影响范围;S6、在得到三个维度的指标之后,通过评分体系对总分进行计算,对最终的漏洞评分后进行排序,得到参考优先级。

主权项:1.一种基于文本挖掘和多指标度量的细粒度漏洞优先级排序的方法,其特征在于,包括如下步骤:S1、收集待排序的漏洞代码数据,并进行数据筛选和清洗,所述漏洞代码数据包括函数源代码、漏洞描述信息、漏洞提交信息;S2、利用node2vec对清洗后的漏洞代码数据进行深层次信息的提取;S2-1、对于函数源代码,首先通过正则匹配的方式识别出其编写语言并更改相应命名;随后,使用Joern工具为这些源代码文件生成PDG程序依赖图表示;S2-2、遍历所生成的PDG,将PDG中隐含的节点和边的关键信息提取出来,同时保存节点ID和节点内容、相连边之间的映射关系;S2-3、将得到的映射关系,通过经过node2vec模型进行文本特征和边特征训练,一个节点内容的特征矩阵Vit由多个文本Token对应的特征向量Tt组成,i代表节点内容中的Token个数,t代表Token向量的最长长度;一个节点依赖边的特征矩阵Wnm由多条边Edge对应的特征向量Em组成,n代表节点依赖边条数,m代表Edge向量的长度;S2-4、对于漏洞描述信息、漏洞提交信息这两个文本属性,利用已经预训练完成的公开BERT模型进行Embedding得到特征向量desc、commit;S3、根据提取的深层次信息,并通过多指标评价体系对漏洞代码数据进行评估得到多个维度的分数,所述评估的维度包括漏洞修复必要性、函数级指标以及漏洞被成功攻击后可能造成的影响范围;所述漏洞修复必要性、函数级指标以及漏洞被成功攻击后可能造成的影响范围的评估均通过二级指标进行评估;所述漏洞修复必要性的评估包括类型利用率、攻击难易度和严重程度;对所述漏洞修复必要性进行评估的方法为:对于类型利用率:统计过去一段时间被报告的所有类型的漏洞数量以及其中真实被利用以发起攻击的漏洞数量,从而计算每种漏洞的被利用率ExRate,然后将利用率进行归一化,公式如下: 对于攻击难易度:根据漏洞所需的攻击条件Complexity、可被攻击的最远距离AttackOrigin、受利用时的前置身份验证AuthenticationRequired,将每个指标划分成三个层级,最后计算平均分作为此二级指标的分数:DiffScore=Complexity+AttackOrigin+AuthenticationRequired3对于严重程度:利用BERT-BGRU组合模型对漏洞描述信息和漏洞提交信息进行文本挖掘,将S2中由BERT得到的desc、commit文本特征向量进行拼接后输入BGRU模型训练,经过循环学习和损失梯度反向传播机制,将最后一个隐藏层的输出ht经由池化和全连接层后通过softmax层进行分类,用得到的概率作为漏洞严重程度ACVSS的分数,公式如下:temp=poolingWhht+bias,ACVSS=softmaxtemp;所述函数级指标的评估包括修复成本和函数重要程度;对所述漏洞进行函数级别指标评估的方法为:统计函数结构特征相关的信息,包括代码行数LoC和参数个数PC,分数计算公式如下: 衡量函数修复成本,统计函数调用的总次数Call,计算一个函数调用文件外函数的数量Fan-Out以及调用文件内函数的数量Fan-In,通过函数调用复杂度的计算公式反应函数修复难度:CallValue=Call*Fan_Out-Fan_In评估函数重要程度,将任意函数PDG利用S2中得到的节点特征Vit和边特征矩阵Wnm转化成单独的向量表示textVec、edgeVec,随后输入BiGGNN网络中进行函数重要性的自动评估,最终基于某函数在其所在项目中的排名赋予其最终的重要性分数:FucImp=BiGGNNconvattextVec,edgeVec 所述漏洞被成功攻击后可能造成的影响范围的评估包括可用性、机密性和完整性影响;对所述漏洞影响范围进行评估的方法为:S5-1、分别评估漏洞对软件可用性的影响Availability、对软件机密性Confidentiality的影响和对软件完整性Integrity的影响,三个指标的评分最终计算平均值得到漏洞影响范围的分数InfScore: S4、在得到三个维度的指标之后,通过评分体系的加权方法对总分进行计算,最后进行优先级排序。

全文数据:

权利要求:

百度查询: 杭州电子科技大学 杭州电子科技大学滨江研究院有限公司 基于文本挖掘和多指标度量的细粒度漏洞优先级排序方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。

相关技术
相关技术
相关技术
相关技术