一种确定基于bvs的检查项权重值的方法及装置的制作方法

专利名称：一种确定基于bvs的检查项权重值的方法及装置的制作方法
技术领域：
本发明涉及计算机技术领域,尤指一种确定基于安全配置核查系统(BenchmarkVerification System, BVS)的检查项权重值的方法及装置。
背景技术：
BVS的相关产品一般具有自定义模板的功能，这项功能能够提供一个平台，用户可以使用这个平台根据行业规范开发需要的扫描模板。自定义的扫描模板一般是由若干条自定义检查项组成，每条自定义检查项对应一条安全基线，安全基线出自于行业安全规范，由相关行业制订。自定义的扫描模板中每条检查项对应一个权重值，用以表明该检查项的重要性，权值值越高，表示该检查项越重要；反之，表示该检查项越不重要。使用自定义的扫描模板对设备进行扫描时，若该检查项的扫描结果为True，则说明该检查项合格，得到权重值；若该检测项的扫描结果为False，则说明该检查项不合格，得不到权重值。扫描完成后，用合规检查项的权重值之和与所有检查项的权重值之和相比，就可以得到综合扫描分值，然后生成报表，后续根据报表进行相关分析。目前，在自定义扫描模板时，每创建一条检查项，是由人工来确定创建的检查项的权重值。例如，用户A使用该平台根据《中国移动网络部Cisco路由器安全配置规范》开发了一个扫描模板X ;用 户B也根据同样的规范开发了一个扫描模板Y ;由于扫描模板X和Y是对应同一份规范，它们的检查项对应的安全基线相同，应该具有同样的权重值，但是现在由于检查项的权重值是由模板开发者自行确定，往往会出现对应同一条安全基线的检查项的权重值不一致的情况。如扫描模板X中的检查项:“口令复杂度要求:包含字母数字下划线”权重值被A设置为7，而扫描模板Y中的这个检查项的权重值被B设置为4。因此，由于是由人工确定检查项的权重值，导致扫描模板开发的效率非常低；并且，由于针对一个检查项的权重值由不同的人员确定时会得到多个权重值，导致根据扫描模板生成的报表的准确性较低。

发明内容
本发明实施例提供一种确定基于BVS的检查项权重值的方法及装置，用以解决现有技术中存在由人工确定检查项的权重值导致扫描模板开发的效率和根据扫描模板生成的报表的准确性较低的问题。一种确定基于BVS的检查项权重值的方法，包括:在自定义扫描模板时,新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项；从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项；若能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。一种确定基于BVS的检查项权重值的装置，包括:获取单元，用于在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项；筛选单元，用于从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项；确定单元，用于若所述筛选单元能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。本发明有益效果如下:本发明实施例提供的确定基于BVS的检查项权重值的方法及装置，通过在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项；从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项；若能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项 的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。该方案不再需要人工设置新建检查项的权重值，可以提高扫描模板开发的效率；并且，由于考虑了相似检查项的权重值及相似检查项与新建检查项的相似度，一个新建检查项只能对应一个权重值，不会再出现对应多个权重值的情况，这样就提高了根据扫描模板生成的报表的准确性。


图1为本发明实施例中确定基于BVS的检查项权重值的方法的流程图；图2为本发明实施例中检查库中存储的检查项与关键字的示意图；图3为本发明实施例中确定基于BVS的检查项权重值的装置的结构示意图。
具体实施例方式针对现有技术中存在的由人工确定检查项的权重值导致的效率和准确性较低的的问题，本发明实施例提供的一种确定基于BVS的检查项权重值的方法，该方法的流程如图1所示，执行步骤如下:SlO:在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与新建检查项所属的模板类型相同的检查项，作为新建检查项的同类型检查项。现有的模板包括中间件、数据库、操作系统和网络设备等等，中间件可以包括Apache、Tomcat、IIS等各类网络(Web)服务器应用，数据库可以包括Oracle、MySQL等常见数据库应用，每个应用可以对应一个或多个检查项。例如:如果一个应用为检测用户名，对于移动的安全配置规范中，要求用户名大于10个字符，可以新建检查项“检测用户名是否大于10个字符”来对设备进行扫描；而电信的安全配置规范中，要求用户名大于5个字符，可以新建检查项“检测用户名是否大于5个字符”来对设备进行扫描。在新建一条检查项之后，首先确定新建检查项所属的模板类型，然后在预先建立的检查项库中获取与新建检查项所属的模板类型相同的检查项，由于同类型的检查项性质相同，对应的安全配置规范中的安全基线有一定程度的相似性，因此可以参考同类型检查项的权重值确定新建检查项的权重值。Sll:从同类型检查项中筛选出与新建检查项的相似度大于设定阈值的检查项作为新建检查项的相似检查项；若能够筛选出新建检查项的相似检查项，执行S12 ;若未能筛选出相似检查项，执行S13。S12:根据相似检查项与新建检查项的相似度、及对应的相似检查项的权重值，确定新建检查项的权重值。S13:选取预设的权重值作为新建检查项的权重值、且从预设关键字集合中选取关键字作为新建检查项对应的关键字，将新建检查项及其对应的关键字和权重值添加到检查项库中。可以预设几个权重值，例如:若有简单等级、常见等级和破坏力等级三个，每个等级可以赋予一定的值，也可以计算出这三个值的均值，那么这三个值和这三个值的均值就组成了预设的权重值，从这四个权重值中选取一个作为新建检查项的权重值；可以从预设关键字集合中选取关键字作为新建检查项对应的关键字，然后将新建检查项及其对应的关键字和权重值添加到检查项库中，这样就可以丰富检查项库中的内容。
该方案不再需要人工设置新建检查项的权重值，可以扫描模板开发的提高效率；并且，由于考虑了相似检查项的权重值及相似检查项与新建检查项的相似度，一个新建检查项只能对应一个权重值，不会再出现对应多个权重值的情况，这样就提高了根据扫描模板生成的报表的准确性。具体的，上述Sll中的从同类型检查项中筛选出与新建检查项的相似度大于设定阈值的检查项作为新建检查项的相似检查项，具体包括:在新建检查项中提取关键字作为新建检查项对应的关键字，以及在检查项库中获取同类型检查项对应的关键字；根据同类型检查项对应的关键字与新建检查项对应的关键字，计算每个同类型检查项与新建检查项的相似度；分别将每个同类型检查项与新建检查项的相似度与设定阈值比较；筛选出与新建检查项的相似度大于设定阈值的同类型检查项作为新建检查项的相似检查项。可以在新建检查项中提取出部分字或词作为该新建检查项对应的关键字，新建检查项可以记为BL_New。例如:对于新建检查项“检测用户名是否大于10个字符”，可以提取“用户名”、“大于”、“10个字符”这些词作为该新建检查项对应的关键字。在检查项库中存储了检查项、对应的关键字以及对应的权重值，一个检查项可以对应多个关键字，一个关键字也可以对应多个检查项，如图2所示，其中K1、K2……Κ12表示关键字，BLU BL2……BL6表示在检查项库中已有的检查项。假设BL_New所属的模板类型是中间件，那么BLl、BL2、BL3是BL_New的同类型检查项，可以根据BL1、BL2、BL3对应的关键字与BL_New对应的关键字，分别计算BL1、BL2、BL3与BL_New的相似度；分别将BL1、BL2、BL3与BL_New的相似度与设定阈值比较，筛选出与BL_New的相似度大于设定阈值的同类型检查项作为新建检查项的相似检查项。设定阈值可以根据实际需要进行设定，可以选取同类型检查项对应的关键字的最大个数的倒数，例如，同类型检查项对应的关键字的最大个数是3个，那么设定阈值可以为1/3。这里仅仅是列举了一种确定设定阈值的方法，还有很多方式，这不再一一赘述。具体的，上述根据同类型检查项对应的关键字与新建检查项对应的关键字，计算每个同类型检查项与新建检查项的相似度，具体包括:针对每个同类型检查项，执行如下操作:将当前同类型检查项对应的关键字组成的集合作为第一关键字集合，将新建检查项对应的关键字组成的集合作为第二关键字集合；确定第一关键字集合与第二关键字集合的交集和并集；计算交集中关键字的个数与并集中关键字的个数的比值，将计算出的比值作为当前同类型检查项与新建检查项的相似度。继续沿用上例，若要计算BLl与BL_New的相似度，将BLl对应的关键字组成的集合作为第一关键字集合，记为K(BL1 )，将BL_New对应的关键字组成的集合作为第二关键字集合，记为K (BL_New)，第一关键字集合与第二关键字集合的交集记为K (BLl) H K (BL_New)，第一关键字集合与第二关键字集合的并集记为K (BLl) U K (BL_New)，那么BLl与
BL_New的相似度
权利要求
1.一种确定基于BVS的检查项权重值的方法,其特征在于,包括: 在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项； 从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项； 若能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。
2.如权利要求1所述的方法，其特征在于，从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项，具体包括: 在所述新建检查项中提取关键字作为所述新建检查项对应的关键字，以及在所述检查项库中获取所述同类型检查项对应的关键字； 根据所述同类型检查项对应的关键字与所述新建检查项对应的关键字，计算每个所述同类型检查项与所述新建检查项的相似度； 分别将每个所述同类型检查项与所述新建检查项的相似度与所述设定阈值比较；筛选出与所述新建检查项的相似度大于所述设定阈值的同类型检查项作为所述新建检查项的相似检查项。
3.如权利要求2所述的方法，其特征在于，根据所述同类型检查项对应的关键字与所述新建检查项对应的关键字，计算每个所述同类型检查项与所述新建检查项的相似度，具体包括:` 针对每个所述同类型检查项，执行如下操作: 将当前同类型检查项对应的关键字组成的集合作为第一关键字集合，将所述新建检查项对应的关键字组成的集合作为第二关键字集合； 确定所述第一关键字集合与所述第二关键字集合的交集和并集； 计算所述交集中关键字的个数与所述并集中关键字的个数的比值，将计算出的比值作为所述当前同类型检查项与所述新建检查项的相似度。
4.如权利要求1所述的方法，其特征在于，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值，具体包括: 分别计算每个所述相似检查项与所述新建检查项的相似度、与对应的相似检查项的权重值的乘积； 计算得到的乘积的和值，将得到的和值作为所述新建检查项的权重值。
5.如权利要求1所述的方法，其特征在于，还包括: 若未能筛选出相似检查项，选取预设的权重值作为所述新建检查项的权重值、且从预设关键字集合中选取关键字作为所述新建检查项对应的关键字，将所述新建检查项及其对应的关键字和权重值添加到所述检查项库中。
6.一种确定基于BVS的检查项权重值的装置，其特征在于，包括: 获取单元，用于在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项；筛选单元，用于从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项； 确定单元，用于若所述筛选单元能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。
7.如权利要求6所述的装置，其特征在于，所述筛选单元，具体用于: 在所述新建检查项中提取关键字作为所述新建检查项对应的关键字，以及在所述检查项库中获取所述同类型检查项对应的关键字； 根据所述同类型检查项对应的关键字与所述新建检查项对应的关键字，计算每个所述同类型检查项与所述新建检查项的相似度； 分别将每个所述同类型检查项与所述新建检查项的相似度与所述设定阈值比较；筛选出与所述新建检查项的相似度大于所述设定阈值的同类型检查项作为所述新建检查项的相似检查项。
8.如权利要求7所述的装置，其特征在于，所述筛选单元，具体用于: 针对每个所述同类型检查项，执行如下操作: 将当前同类型检查项对应的关键字组成的集合作为第一关键字集合，将所述新建检查项对应的关键字组成的集合作为第二关键字集合； 确定所述第一关键字集 合与所述第二关键字集合的交集和并集； 计算所述交集中关键字的个数与所述并集中关键字的个数的比值，将计算出的比值作为所述当前同类型检查项与所述新建检查项的相似度。
9.如权利要求6所述的装置，其特征在于，所述确定单元，具体用于: 分别计算每个所述相似检查项与所述新建检查项的相似度、与对应的相似检查项的权重值的乘积； 计算得到的乘积的和值，将得到的和值作为所述新建检查项的权重值。
10.如权利要求6所述的装置，其特征在于，所述确定单元，还用于: 若所述筛选单元未能筛选出相似检查项，选取预设的权重值作为所述新建检查项的权重值、且从预设关键字集合中选取关键字作为所述新建检查项对应的关键字，将所述新建检查项及其对应的关键字和权重值添加到所述检查项库中。
全文摘要
本发明公开了一种确定基于BVS的检查项权重值的方法及装置，该方法包括在自定义扫描模板时，新建一条检查项后，确定新建检查项所属的模板类型，并在预先建立的检查项库中获取与所述新建检查项所属的模板类型相同的检查项，作为所述新建检查项的同类型检查项；从所述同类型检查项中筛选出与所述新建检查项的相似度大于设定阈值的检查项作为所述新建检查项的相似检查项；若能够筛选出所述新建检查项的相似检查项，根据所述相似检查项与所述新建检查项的相似度、及对应的相似检查项的权重值，确定所述新建检查项的权重值。该方案可以提高确定新建检查项的权重值的效率和准确性。
文档编号G06F9/44GK103226470SQ20131009150
公开日2013年7月31日 申请日期2013年3月21日 优先权日2013年3月21日
发明者符润祯 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司