[0047] 进一步地,如图5所示,所述步骤S14包括:
[0048] S141、计算所述软件包依赖关系子图中各节点的重要度系数。
[0049] 通常,节点被调用的越多,调用它的软件包节点越重要,该软件包的重要性也越 高。在这里,用标准PageRank算法来度量每个节点的重要程度。
[0050] 计算公式为:
[0051] 其中PR㈧为A的PageRank值,C⑴为节点i的出度,BA为所有指向A的节点集, d为阻尼系数,表示任意节点间存在依赖关系的概率,这里将Ι-d设为每个节点重要程度的 最小值。
[0052] 被调用的软件包的节点重要度系数等于调用它的各个软件包的节点重要度系数 之和。如图6所示,节点1、2、3、4的重要度系数分别为31、32、33、34,节点1与节点2、3、4 存在依赖关系,节点1的重要度系数SI = S2+S3+S4,这里的S1、S2、S3、S4即根据上述公式 计算得到的PR值。
[0053] 其中,每一个节点的重要度系数计算都要考虑调用它的上一级节点,而上一级节 点的重要度系数计算同样要考虑其更上一级的节点。
[0054] S142、确定所述漏洞的漏洞威胁系数。
[0055] 具体地,确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威 胁系数.
[0056] 其中,漏洞分为8个安全等级:不易受攻击的(Not Vulnerable)、待定的 (Pending)、未知的(Unknown)、可以忽略的(Negligible)、低(Low)、中(Medium)、高 (High)、危险的(Critical),将8个安全等级分别对应0~7,以此作为漏洞的威胁系数RL。
[0057] S143、根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值。
[0058] 计算公式为:
[0059] 其中,RISieS1为节点i的漏洞风险值,Step为间接依赖的级数,直接依赖于漏洞 所影响软件包的软件包的Step为1。
[0060] S144、根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞 风险值。
[0061] 具体地,采用权重分析法,计算所有关联节点的综合漏洞风险值的加权和,即是综 合漏洞风险值T0TAL_RISK :
[0063] 其中,LP1为各关联节点i在整个网络图中的权重,此权重等于该节点的重要度系 数S 1, RISieS1为节点i的漏洞风险值。
[0064] 本发明提供的软件系统漏洞风险评估方法,对软件系统中的软件包依赖元数据进 行预处理,构建软件依赖网络,并获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间 的关联关系,根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞 的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图,基于 所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。与 现有技术相比,本发明基于软件依赖网络来评估漏洞对软件系统带来的影响,能够对软件 系统的安全风险进行更加直观准确的综合评估。
[0065] 实施例2
[0066] 本实施例提供一种软件系统漏洞风险评估装置,如图7所示,所述软件系统漏洞 风险评估装置包括:
[0067] 依赖网络构建单元11,用于对软件系统中的软件包依赖元数据进行预处理,构建 软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文 件;
[0068] 关联关系构建单元12,用于获取漏洞信息,根据所述漏洞信息构建漏洞与软件包 之间的关联关系;
[0069] 依赖关系子图构建单元13,用于根据所述软件依赖网络和所述漏洞与软件包之间 的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建 软件包依赖关系子图;
[0070] 风险评估单元14,用于基于所述软件包依赖关系子图中各节点的重要程度,评估 漏洞对整体软件系统的安全风险。
[0071] 进一步地,如图8所示,所述风险评估单元14包括:
[0072] 重要度系数计算模块141,用于计算所述软件包依赖关系子图中各节点的重要度 系数;
[0073] 漏洞威胁系数确定模块142,用于确定所述漏洞的漏洞威胁系数;
[0074] 漏洞风险值计算模块143,用于根据所述漏洞的漏洞威胁系数,计算所述各节点的 漏洞风险值;
[0075] 综合漏洞风险值计算模块144,用于根据所述各节点的重要度系数和所述各节点 的漏洞风险值,计算综合漏洞风险值。
[0076] 进一步地,所述漏洞威胁系数确定模块142,用于确定所述漏洞所对应的安全等 级,根据所述安全等级确定对应的漏洞威胁系数。
[0077] 可选地,所述软件包信息包括软件包名称、依赖软件包、优先级。
[0078] 可选地,所述漏洞信息包括漏洞名称、受影响软件包、安全等级、漏洞描述。
[0079] 本发明提供的软件系统漏洞风险评估装置,对软件系统中的软件包依赖元数据进 行预处理,构建软件依赖网络,并获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间 的关联关系,根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞 的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图,基于 所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。与 现有技术相比,本发明基于软件依赖网络来评估漏洞对软件系统带来的影响,能够对软件 系统的安全风险进行更加直观准确的综合评估。
[0080] 本发明实施例软件系统漏洞风险评估方法及装置,可以适用于对复杂软件系统漏 洞风险进行评估,但不仅限于此。
[0081] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0082] 以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应 涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1. 一种软件系统漏洞风险评估方法,其特征在于,包括: 对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包 依赖元数据为所述软件系统中记录所有软件包信息的文件; 获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系; 根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包 以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图; 基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全 风险。2. 根据权利要求1所述的方法,其特征在于,所述基于所述软件包依赖关系子图中各 节点的重要程度,评估漏洞对整体软件系统的安全风险包括: 计算所述软件包依赖关系子图中各节点的重要度系数; 确定所述漏洞的漏洞威胁系数; 根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风险值; 根据所述各节点的重要度系数和所述各节点的漏洞风险值,计算综合漏洞风险值。3. 根据权利要求2所述的方法,其特征在于,所述确定所述漏洞的漏洞威胁系数包括: 确定所述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数。4. 根据权利要求1至3中任一项所述的方法,其特征在于,所述软件包信息包括软件包 名称、依赖软件包、优先级。5. 根据权利要求1至3中任一项所述的方法,其特征在于,所述漏洞信息包括漏洞名 称、受影响软件包、安全等级、漏洞描述。6. -种软件系统漏洞风险评估装置,其特征在于,包括: 依赖网络构建单元,用于对软件系统中的软件包依赖元数据进行预处理,构建软件依 赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件; 关联关系构建单元,用于获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的 关联关系; 依赖关系子图构建单元,用于根据所述软件依赖网络和所述漏洞与软件包之间的关联 关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包 依赖关系子图; 风险评估单元,用于基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对 整体软件系统的安全风险。7. 根据权利要求6所述的装置,其特征在于,所述风险评估单元包括: 重要度系数计算模块,用于计算所述软件包依赖关系子图中各节点的重要度系数; 漏洞威胁系数确定模块,用于确定所述漏洞的漏洞威胁系数; 漏洞风险值计算模块,用于根据所述漏洞的漏洞威胁系数,计算所述各节点的漏洞风 险值; 综合漏洞风险值计算模块,用于根据所述各节点的重要度系数和所述各节点的漏洞风 险值,计算综合漏洞风险值。8. 根据权利要求7所述的装置,其特征在于,所述漏洞威胁系数确定模块,用于确定所 述漏洞所对应的安全等级,根据所述安全等级确定对应的漏洞威胁系数。9. 根据权利要求6至8中任一项所述的装置,其特征在于,所述软件包信息包括软件包 名称、依赖软件包、优先级。10. 根据权利要求6至8中任一项所述的装置,其特征在于,所述漏洞信息包括漏洞名 称、受影响软件包、安全等级、漏洞描述。
【专利摘要】本发明实施例公开了一种软件系统漏洞风险评估方法及装置,涉及信息安全技术领域,解决了现有技术中不能直观准确地对软件系统存在的安全风险进行综合评估的问题。所述软件系统漏洞风险评估方法包括:对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络;获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。本发明的实施例主要用于对复杂软件系统漏洞风险进行评估。
【IPC分类】H04L29/06, G06F21/57, G06F21/56
【公开号】CN105046155
【申请号】CN201510355563
【发明人】王兵, 邓波, 李海龙, 赵亮, 王峰, 施寅生, 许帅
【申请人】北京系统工程研究所
【公开日】2015年11月11日
【申请日】2015年6月24日