漏洞误报筛选方法及装置与流程

本发明实施例通信
技术领域：
，尤其涉及一种漏洞误报筛选方法及装置。
背景技术：
：随着业务支撑网系统规模大，设备数量多、网络结构复杂，被非法访问、隐私数据和敏感信息泄露、垃圾和不良信息传播等安全风险较高。同时业务支撑网稳定运行所依赖的操作系统、中间件、数据库等因为版本原因可能存在安全漏洞，会造成后台数据泄露，导致木马后门植入，严重时会造成重要业务系统瘫痪，因此业务系统、系统平台的漏洞发现和整改加固工作就尤为重要。目前，采取定期扫描方式发现漏洞，具体包括利用绿盟极光扫描器进行未登陆方式扫描，利用nessus进行辅助扫描以作验证，并将发现的漏洞按照约定的报告格式发送给相关责任人进行整改。在对业务支撑网进行安全评估时发现，考虑到潜在的扫描风险(大范围导致网络堵塞、业务宕机等)，扫描过程中均未通过登陆扫描方式进行。由于不能进行登录扫描等原因，使得漏洞扫描报告中的漏洞数量较多，且存在大量误报，因此需要进行漏洞二次筛选工作。从而使得漏洞数量庞大，误报规则条目多，人工对比效率低下。技术实现要素：针对现有技术存在的问题，本发明实施例提供一种漏洞误报筛选方法及装置。本发明实施例提供一种漏洞误报筛选方法，包括：获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，所述目标漏洞信息包括ip地址、风险等级、漏洞描述和扫描对象基本信息；根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息。本发明实施例提供一种漏洞误报筛选装置，包括：获取模块，用于获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，所述目标漏洞信息包括ip地址、风险等级、漏洞描述和扫描对象基本信息；分析模块，用于根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；选取模块，用于从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；处理模块，用于当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；判断模块，用于根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息。本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述基于区块链的抗双花攻击处理方法的步骤。本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述基于区块链的抗双花攻击处理方法的步骤。本发明实施例提供的一种漏洞误报筛选方法及装置，通过获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息，解决了由于漏洞扫描数据庞大带来的误报筛选工作量大、效率低下、准确性低的问题，并更符合设备和漏洞的真实情况，保证了漏洞误报筛选的准确性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明漏洞误报筛选方法实施例流程图；图2为本发明漏洞误报筛选方法实施例结构示意图；图3为本发明电子设备实施例结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1示出了本发明一实施例提供的一种漏洞误报筛选方法，包括：s11、获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，所述目标漏洞信息包括ip地址、风险等级、漏洞描述和扫描对象基本信息。针对步骤s11，需要说明的是，在本发明实施例中，采取漏洞扫描工具定期扫描方式发现漏洞获得漏洞扫描报告，并将漏洞扫描报告上传给采用本实施例所述方法处理报告的系统上。在执行本发明实施例所述方法时，需要对多条漏洞扫描报告进行遍历扫描，当扫描到哪一条漏洞扫描报告后，确定其为目标漏洞扫描报告。由于对所有漏洞扫描报告均进行相同处理，故对目标漏洞扫描报告的处理过程进行解释即可。本发明实施例对目标漏洞扫描报告进行处理可提出目标漏洞信息。该目标漏洞信息进行具体限定，但至少应该包括ip地址、风险等级、漏洞描述和扫描对象基本信息，在这里扫描对象基本信息包括：扫描的操作系统版本、扫描的各中间件版本、扫描的各数据库版本、扫描的各软件版本等内容。另外，本发明实施例对漏洞扫描报告的格式并不限定，如csv或exel格式等均可。s12、根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型。针对步骤s12，需要说明的是，在本发明实施例中，根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型，具体可包括：s121、根据所述ip地址以及对应的授权账号获得对应设备主机的设备特征；s122、根据所述漏洞描述获得目标设备类型，根据所述目标设备类型与各安全类型之间的关联度、所述风险等级的权重和预设的匹配公式获得所述目标设备类型与各安全类型之间的匹配度；s123、根据所述目标设备类型与各安全类型之间的匹配度确定所述目标安全类型。针对上述步骤s121-步骤s123，需要说明的是，在本发明实施例中，根据所述ip地址以及对应的授权账号登录目标漏洞信息所在的主机，获取设备特征。该设备特征的内容与目标漏洞信息中的扫描对象相关信息的内容可以相同也可以不同，但设备特征的内容不少于目标漏洞信息中的扫描对象相关信息的内容。在本发明实施例中，不同的安全类型，对其准确扫描其是否为漏洞的难度不同，对漏洞误报的影响也不同，因此，在对漏洞误报进行筛选过程中，采用了安全类型作为判断标准之一，提升了筛选的准确性。在本实施例，安全类型包括：代码类、配置类、口令类、通讯类、设计类、攻击类。对目标漏洞信息中的漏洞描述进行分析可获得目标设备类型，使目标设备类型与各安全类型进行匹配，得到与各安全类型之间的匹配度，将匹配度为最高对应的安全类型确定为该目标漏洞信息对应的安全类型。在本发明实施例中，所采用的匹配公式为：aij为目标漏洞信息i与安全等级j之间的匹配度，wij为目标漏洞信息i中设备类型与安全等级j之间的关联度，可通过大数据聚类分析得到，在本发明实施例中，只需在设备类型与安全等级之间的关联度表中直接根据设备类型获取即可。xi为目标漏洞信息i中风险等级的权重。在本发明实施例中，关联度的获取可如下：获取样本数据(此处的样本数据的设备类型、安全类型均已知)，对样本数据采用k-means距离方式，以设备类型进行聚类，将聚类后每一设备类型对应一个类。对于每个类，确定包括的每种安全类型的样本数据的数量，将每种安全类型的样本数据的数量/该类的数据总量的值确定为设备类型与安全类型直接的关联度。风险等级与权重之间的对应表如下表1所示：风险等级权重高wij中0.6*wij低0.1*wij从表中可以看出，风险等级的权重与对应的关联度有关。根据表1中的对应关系，可通过关联度进行对应计算获得权重。s13、从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则。针对步骤s13，需要说明的是，在本发明实施例中，漏洞误报规则库的建立可采用以下处理：在本实施例中，漏洞误报规则库包括2个，1个是依托cve以操作系统、软件版本、修复包及补丁集版本为规则的漏洞误报规则库，另1个是多信息源下的复杂网络规则的漏洞误报规则库。漏洞误报规则库是后续快速的定位哪些漏洞为误报，哪些为非误报的重要依据之一。在本实施例中，业务支撑网设备侧漏洞主要包括以下几个方面：主机(redhat、hp-ux、aix、suse、centos等)、数据库(oracle、mysql)、中间件(websphere、tomcat等)。因此，建立了依托cve以操作系统、软件版本、修复包及补丁集版本为规则的漏洞误报规则库。具体为：根据操作系统、数据库、中间件安全漏洞的修复方式以及操作系统官方、数据库官方、中间件官方发布的安全补丁、补丁集、修复包的信息，建立了依托cve以操作系统、软件版本、修复包及补丁集版本为规则的漏洞误报规则库，详情如下：从操作系统官网漏洞公示页面获取漏洞信息及漏洞特征、修复版本，以漏洞特征及修复版本建立漏洞误报规则。1、操作系统漏洞误报规则：1)针对redhat操作系统，以红帽官方发布的漏洞影响范围、修复版本为依据建立了“根据cve编号+操作系统类型”、“cve编号+操作系统版本”、“cve编号+操作系统版本+软件版本”三条规则；2)针对hp-ux操作系统确定了“cve编号+操作系统版本+软件版本”规则；3)针对aix操作系统确定了“cve编号+操作系统类型”规则。除此之外，在后续工作中，还会根据漏洞扫描结果与官方发布情况更新漏洞误报规则。2、数据库(oracle)漏洞误报规则：以“数据库补丁集+cve编号集合”为规则。3、中间件(websphere)漏洞误报规则：以“中间件修复包+中间件版本号+cve编号集合”为规则。在后续工作中，还会根据漏洞扫描结果与官方发布情况更新漏洞误报规则。另外，目前企业内部往往会有各种各样的安全设备，服务设备，每个信息源每天都在产生大量的日志，单纯的通过根据操作系统、数据库、中间件安全漏洞的修复方式以及操作系统官方、数据库官方、中间件官方发布的安全补丁、补丁集、修复包的信息建立漏洞误报规则库很可能与漏洞实际误报情况不符。从信息论角度看，整合关联的信息越多，不确定性也就越少，模型的效果也就越精准。因此，创新的在多信息源下，将各种信息充分利用起来，通过图数据库和图分析得到复杂网络规则的漏洞误报规则库。例如：获取漏洞报告的样本，每条记录中包括漏洞描述、是否为漏洞的初始判断结论和该判断结论是否为误报的最终结论。针对漏洞描述是否为漏洞的初始判断结论和该判断结论是否为误报的最终结论，采用诸如k-means的大数据分析方法，得到记录之间聚类关系。每条记录作为一个点，存在聚类关系的记录作为一个边，对于任一点i和点j，dij表示点i和点j之间的最短路径(即从点i到达点j的所有路径中，中间经历的点最少的一条路径的距离。该距离可以为中间经历的点的数量+1)。计算平均路径l(其中n表示点的总数量)。如果dij>0.29*l，则确定点i和点j之间存在复杂网络规则，将之间的聚类关系作为一条规则存入漏洞误报规则库。例如，若确定i1点和j1点之间存在复杂网络规则，则将i1点对应的记录与j1点对应的记录进行结合，形成一条规则(规则形式如：规则标识+i1点对应的记录+j1点对应的记录)，将该规则存入漏洞误报规则库。在本发明实施例中，建立的漏洞误报规则库里的漏洞误报规则与安全类型形成对应关系，只需从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则即可。s14、当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级。针对步骤s14，需要说明的是，在本发明实施例中，当所述设备特征与所述扫描对象基本信息相同时，确定所述目标漏洞信息为非误报漏洞信息。当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级。在本实施例中，通过对设备特征和漏洞误报规则的比对可获得所述目标漏洞扫描报告的疑似风险等级。s15、根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息。针对步骤s15，需要说明的是，在本发明实施例中，具体可为：s151、根据所述疑似风险等级的权重、所述主机设备的实际设备类型与目标安全类型的关联度和预设的第一支持度公式获得第一支持度；s152、根据所述风险等级的权重、所述目标设备类型与目标安全等级的关联度和预设的第二支持度公式获得第二支持度；s153、所述第一支持度和所述第二支持度确定所述目标漏洞信息是否为误报漏洞信息。其中，第一支持度公式为：其中，疑似风险等级的权重x1，根据主机设备类型与漏洞对应的安全类型之间的关联程度w1、第一支持度r1。第二支持度公式为：漏洞目标漏洞信息i的风险等级的权重xi、目标漏洞信息i的设备类型与漏洞对应的安全类型之间的关联程度w2，漏洞信息i的支持度r2。若r1>α*r2，则确认漏洞信息i误报，否则，确认漏洞信息未误报。其中α为预先设定的误报系数。本发明实施例提供的一种漏洞误报筛选方法，通过获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息，解决了由于漏洞扫描数据庞大带来的误报筛选工作量大、效率低下、准确性低的问题，并更符合设备和漏洞的真实情况，保证了漏洞误报筛选的准确性。图2示出了本发明一实施例提供的一种漏洞误报筛选装置，包括获取模块21、分析模块22、选取模块23、处理模块24和判断模块25，其中：获取模块21，用于获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，所述目标漏洞信息包括ip地址、风险等级、漏洞描述和扫描对象基本信息；分析模块22，用于根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；选取模块23，用于从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；处理模块24，用于当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；判断模块25，用于根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息。由于本发明实施例所述装置与上述实施例所述方法的原理相同，对于更加详细的解释内容在此不再赘述。需要说明的是，本发明实施例中可以通过硬件处理器(hardwareprocessor)来实现相关功能模块。本发明实施例提供的一种漏洞误报筛选装置，通过获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息，解决了由于漏洞扫描数据庞大带来的误报筛选工作量大、效率低下、准确性低的问题，并更符合设备和漏洞的真实情况，保证了漏洞误报筛选的准确性。图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communicationsinterface)320、存储器(memory)330和通信总线340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行如下方法：获取目标漏洞扫描报告，根据所述目标漏洞扫描报告获得对应的目标漏洞信息，根据所述目标漏洞信息获得对应设备主机的设备特征和目标安全类型；从预设的漏洞误报规则库中选取与所述目标安全类型相对应的漏洞误报规则；当所述设备特征与所述扫描对象基本信息不同时，根据所述设备特征和所述漏洞误报规则确定所述目标漏洞扫描报告的疑似风险等级；根据所述疑似风险等级和所述目标漏洞信息获得所述目标漏洞信息对应的支持度，根据所述支持度确定所述目标漏洞信息是否为误报漏洞信息。此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个非暂态计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12