一种运维脚本的风险检测方法、装置、设备及介质与流程

1.本公开涉及信息安全领域，具体涉及一种运维脚本的风险检测方法、装置、电子设备、介质和程序产品。


背景技术：

2.脚本是使用特定的描述性语言、依据一定的格式编写的可执行文件。
3.在脚本风险检测方面，现有技术通过对输入的脚本进行解析，通过脚本命令匹配实现脚本风险检测。对于复合脚本命令，通过有限状态自动机方法，根据预设命令限定复合脚本命令，导致了现有风险检测方法无法处理具有复杂逻辑的脚本命令风险场景，无法实现脚本中高危命令的匹配，也无法准确判断脚本是否存在漏洞。
4.此外，由于不同开发人员有不同的脚本命令开发习惯，导致现有技术中关于预设命令的风险知识库存在数据质量低、语义信息缺乏、规则应用低效等技术问题。并且，不同的脚本命令开发习惯也会导致实际应用中风险检测缺乏灵活性和规范性，降低风险检测的准确性。


技术实现要素：

5.鉴于上述问题，本公开提供了一种运维脚本的风险检测方法、装置、设备、介质和程序产品。
6.根据本公开的第一个方面，提供了一种运维脚本的风险检测方法，包括：根据待检测脚本的内容特征，确定待检测脚本的脚本特征图，脚本特征图为知识图谱，待检测脚本包括用于运行或维护预设功能的可执行文件；确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，得到m个相似度，其中，m个漏洞特征图是根据通用漏洞数据确定的，通用漏洞数据包括多个通用漏洞，每个通用漏洞对应多个漏洞代码文本，漏洞代码文本与漏洞特征图一一对应，其中，m为大于等于1的整数；以及根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果。
7.根据本公开的实施例，其中，确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，包括：确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合；根据共同实体集合和每个漏洞特征图，确定与每个漏洞特征图对应的最大共同实体图；以及根据脚本特征图和最大共同实体图，确定脚本特征图与每个漏洞特征图之间的相似度。
8.根据本公开的实施例，其中，根据共同实体集合和每个漏洞特征图，确定与每个漏洞特征图对应的最大共同实体图，包括：获取每个漏洞特征图的关系特征；以及根据关系特征和共同实体集合，确定最大共同实体图。
9.根据本公开的实施例，其中，确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合，包括：基于实体对齐，将脚本特征图中的实体映射到预训练的标准实体词嵌入数据上，得到脚本特征图的第一词嵌入数据，标准实体词嵌入数据是根据通用漏洞
数据确定的；获取每个漏洞特征图的第二词嵌入数据；根据第一词嵌入数据和第二词嵌入数据，得到共同实体集合。
10.根据本公开的实施例，其中，根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果，包括：根据m个相似度，确定目标通用漏洞；根据目标通用漏洞，确定待检测脚本的风险检测结果，风险检测结果包括目标通用漏洞的风险等级和解决措施。
11.根据本公开的实施例，其中，根据m个相似度，确定目标通用漏洞，包括：在m个相似度中存在一个相似度满足预设条件的情况下，将满足预设条件的相似度对应的漏洞特征图作为目标漏洞特征图；以及根据目标漏洞特征图的标识信息，确定与目标漏洞图对应的目标通用漏洞。
12.根据本公开的实施例，其中，根据m个相似度，确定目标通用漏洞，包括：在m个相似度中存在n个相似度满足预设条件的情况下，确定与n个相似度一一对应的n个漏洞特征图，n为大于等于1的整数，且m大于等于n；根据n个漏洞特征图，确定与n个漏洞特征图一一对应的n个通用漏洞；根据n个通用漏洞中每个通用漏洞包括的p个漏洞特征图的相似度，确定每个通用漏洞的综合相似度，得到n个综合相似度，p为大于等于1的整数；以及将n个综合相似度中最高的综合相似度对应的通用漏洞作为目标通用漏洞。
13.根据本公开的实施例，其中，根据目标通用漏洞，确定待检测脚本的风险检测结果，包括：将目标通用漏洞输入预先构建的通用漏洞知识图谱，输出与目标通用漏洞对应的风险等级和解决措施，其中，通用漏洞知识图谱是根据通用漏洞数据构建的，通用漏洞数据是从通用漏洞知识库中获取的。
14.本公开的第二方面提供了一种运维脚本的风险检测装置，包括：脚本特征图确定模块，用于根据待检测脚本的内容特征，确定待检测脚本的脚本特征图，脚本特征图为知识图谱，待检测脚本包括用于运行或维护预设功能的可执行文件；相似度确定模块，用于确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，得到m个相似度，其中，m个漏洞特征图是根据通用漏洞数据确定的，通用漏洞数据包括多个通用漏洞，每个通用漏洞对应多个漏洞代码文本，漏洞代码文本与漏洞特征图一一对应，其中，m为大于等于1的整数；以及检测模块，用于根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果。
15.本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器执行上述运维脚本的风险检测方法。
16.本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述运维脚本的风险检测方法。
17.本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述运维脚本的风险检测方法。
18.本公开通过利用知识图谱技术，将待检测脚本和通用漏洞数据构建为知识图谱的形式，然后将待检测脚本的知识图谱与通用漏洞的知识图谱进行匹配，实现了待检测脚本的风险检测，无需依赖人工设定的检测命令进行风险检测，提高了风险检测的准确性。并且，本公开将待检测脚本的语义特征融合在待检测脚本的知识图谱中，能够实现对不同开发人员开发的待检测脚本的检测，在提高脚本风险检测准确性的基础上，还提高了风险检
测的灵活性。
附图说明
19.通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
20.图1示意性示出了根据本公开实施例的运维脚本的风险检测方法的应用场景；
21.图2示意性示出了根据本公开实施例的运维脚本的风险检测方法的流程图；
22.图3示意性示出了根据本公开实施例的相似度确定方法的流程图；
23.图4示意性示出了根据本公开实施例的风险检测结果确定方法的流程图；
24.图5示意性示出了根据本公开实施例的风险检测方法的交互示意图；
25.图6示意性示出了根据本公开实施例的运维脚本的风险检测装置的结构框图；以及
26.图7示意性示出了根据本公开实施例的适于运维脚本的风险检测方法的电子设备的方框图。
具体实施方式
27.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
28.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
29.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
30.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
31.本公开的实施例提供了一种运维脚本的风险检测方法，包括：根据待检测脚本的内容特征，确定待检测脚本的脚本特征图，脚本特征图为知识图谱，待检测脚本包括用于运行或维护预设功能的可执行文件；确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，得到m个相似度，其中，m个漏洞特征图是根据通用漏洞数据确定的，通用漏洞数据包括多个通用漏洞，每个通用漏洞对应多个漏洞代码文本，漏洞代码文本与漏洞特征图一一对应，其中，m为大于等于1的整数；以及根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果。
32.图1示意性示出了根据本公开实施例的运维脚本的风险检测方法的应用场景。
33.如图1所示，根据该实施例的应用场景100可以包括终端设备101、102、103、网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
34.用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种脚本编写应用、检测应用，例如编程应用、网页浏览器应用、搜索类应用、等(仅为示例)。
35.终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
36.服务器105可以是提供各种服务的服务器，例如对用户利用终端设备101、102、103所编写的脚本支持风险监测的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户编写的待检测脚本请求获取或生成对应的信息、或数据等)反馈给终端设备。
37.需要说明的是，本公开实施例所提供的运维脚本的风险检测方法一般可以由服务器105执行。相应地，本公开实施例所提供的运维脚本的风险检测装置一般可以设置于服务器105中。本公开实施例所提供的运维脚本的风险检测方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地，本公开实施例所提供的运维脚本的风险检测装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
38.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
39.以下将基于图1描述的场景，通过图2～图5对公开实施例的运维脚本的风险检测方法进行详细描述。
40.图2示意性示出了根据本公开实施例的运维脚本的风险检测方法的流程图。
41.如图2所示，该方法包括操作s210～s230。
42.在操作s210，根据待检测脚本的内容特征，确定待检测脚本的脚本特征图，脚本特征图为知识图谱。
43.根据本公开的实施例，待检测脚本包括用于运行或维护预设功能的可执行文件。例如，在应用程序发布后，待检测脚本可以是测试人员维护预设功能所编写的脚本；在应用程序开发阶段，待检测脚本还可以是开发人员用于实现预设功能所编写的脚本。
44.根据本公开的实施例，待检测脚本是由特定编码语言编写的可执行文件，因此，在构建待检测脚本的脚本特征图之前，可以对待检测脚本进行解析，得到待检测脚本的语义内容特征。
45.根据本公开的实施例，可以通过抽象语法树(abstract syntax tree，ast)对待检测脚本进行解析，得到待检测脚本的抽象语法树结构。代码的抽象语法树结构表现为解析结构中节点和控制流关系的树形结构，可以作为待检测脚本的内容特征。
46.根据本公开的实施例，在获取待检测脚本的内容特征后，将待检测脚本的抽象语法树结构输入到知识图谱构建系统，生成待检测脚本的脚本特征图。其中，待检测脚本的脚本特征图为知识图谱，能够表征待检测脚本内容的拓扑特征。
47.在操作s220，确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，
得到m个相似度。
48.根据本公开的实施例，m个漏洞特征图是根据通用漏洞数据确定的，通用漏洞数据包括多个通用漏洞，每个通用漏洞对应多个漏洞代码文本，漏洞代码文本与漏洞特征图一一对应，m为大于等于1的整数。
49.根据本公开的实施例，通用漏洞数据可以是从开源平台获取的。例如，可以从通用漏洞披露(common vulnerabilities&exposures，cve)库中获取通用漏洞数据。通用漏洞数据包括漏洞的标识信息、漏洞的版本状态、每个漏洞包括的多个漏洞代码文本等。
50.根据本公开的实施例，在获取通用漏洞数据之后，对通用漏洞数据中包含的m个漏洞代码文本进行解析，得到与m个漏洞代码文本对应的内容特征。然后将m个漏洞代码文本的内容特征输入到预先构建的知识图谱构建系统，得到与m个漏洞代码文本一一对应的m个漏洞特征图。
51.根据本公开的实施例，每个通用漏洞包括至少一个漏洞代码文本，因此，需要将与漏洞代码文本一一对应的漏洞特征图与通用漏洞进行连接。具体的，漏洞特征图的根节为通用漏洞id，漏洞特征图可以表示为：
52.{通用漏洞id：漏洞特征图i(em,vn)}
ꢀꢀꢀꢀ
(1)
53.其中，vn表示通用漏洞id下第i个漏洞特征图的n个实体的集合，em表示m个边的集合。i表示通用漏洞id下的第i个漏洞特征图，i＝1,...,n，n表示通用漏洞的漏洞代码文本数量。特别地，当n》1时，表明该通用漏洞包括多个漏洞特征图，即多种漏洞代码特征。
54.根据本公开的实施例，在确定m个漏洞特征图之后，将每个漏洞特征图与脚本特征图进行比较，确定每个漏洞特征图与脚本特征图之间的相似度。具体的，可以根据每个漏洞特征图与脚本特征图中实体的相似度来确定。
55.在操作s230，根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果。
56.根据本公开的实施例，在确定m个漏洞特征图与脚本特征图的m个相似度之后，可以根据设定的预设条件对m个相似度进行筛选。
57.具体的，可以从m个相似度中确定出满足预设阈值的相似度，将满足预设阈值的相似度对应的漏洞特征图，作为与脚本特征图最相近的漏洞特征图。然后根据与该相似度对应的漏洞特征图，确定与该漏洞特征图对应的目标通用漏洞，返回风险检测结果。
58.根据本公开的实施例，风险检测结果包括与待检测脚本匹配的通用漏洞，通用漏洞的具体情况，例如漏洞版本和漏洞风险等级等。风险检测结果还可以包括与该通用漏洞对应的风险处理措施。
59.本公开通过利用知识图谱技术，将待检测脚本和通用漏洞数据构建为知识图谱的形式，然后将待检测脚本的知识图谱与通用漏洞的知识图谱进行匹配，实现了待检测脚本的风险检测，无需依赖人工设定的检测命令进行风险检测，提高了风险检测的准确性。并且，本公开将待检测脚本的语义特征融合在待检测脚本的知识图谱中，能够实现对不同开发人员开发的待检测脚本的检测，在提高脚本风险检测准确性的基础上，还提高了风险检测的灵活性。
60.本公开还将抽象语法树与知识图谱技术相结合，对运维脚本内容进行结构化信息抽取，保留了运维脚本的语义信息，增强了脚本内容的特征表示，解决了实际应用中因脚本
内容复杂、不规范导致的算法适用性低，提高了脚本风险检测算法的鲁棒性和泛化性。
61.根据本公开的实施例，本公开提供的风险检测方法需要将脚本特征图与m个漏洞特征图都进行匹配。m个漏洞特征图中每个漏洞特征图和脚本特征图的匹配方法都类似，因此，以一个漏洞特征图和脚本特征图的匹配为例进行描述。
62.根据本公开的实施例，可以通过脚本特征图与每个漏洞特征图之间的共同实体来确定脚本特征图与每个漏洞特征图之间的相似度。
63.图3示意性示出了根据本公开实施例的相似度确定方法的流程图。
64.如图3所示，该实施例包括操作s321～操作s323，可以作为操作s220的一个具体实施例。
65.在操作s321，确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合。
66.根据本公开的实施例，脚本特征图和漏洞特征图中的实体均为代码的内容特征，例如，可以是具有标识性的一行代码。确定脚本特征图与每个漏洞特征图之间的共同实体，即是确定脚本特征图与每个漏洞特征图中标识性代码的相似度。
67.根据本公开的实施例，可以通过脚本特征图与每个漏洞特征图中实体之间的余弦相似度，确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合。
68.具体的，可以将余弦相似度达到实体相似阈值的两个实体作为共同实体，添加到共同实体集合中。
69.根据本公开的实施例，还可以通过聚类算法、皮耳逊相关系数、欧氏距离等方法确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合。
70.在操作s322，根据共同实体集合和每个漏洞特征图，确定与每个漏洞特征图对应的最大共同实体图。
71.根据本公开的实施例，在当前的漏洞特征图完成抽象语法树解析之后，根据当前的漏洞特征图抽象语法树解析结果和共同实体集合，可以生成最大共同实体图。
72.具体的，在利用将当前漏洞特征图的抽象语法树解析结果和共同实体集合确定最大共同实体图的过程中，共同实体集合中的共同实体在漏洞特征图中可以不存在联系。因此，根据解析结果生成的最大共同实体图中的实体数量可以小于共同实体集合中的实体数量。
73.根据本公开的实施例，作为一个具体实施例，可以根据当前漏洞特征图的关系特征，得到与每个漏洞特征图对应的最大共同实体图。
74.根据本公开的实施例，获取每个漏洞特征图的关系特征，根据关系特征和共同实体集合，确定最大共同实体图。其中，每个漏洞特征图谱的关系特征用于表征每个漏洞特征图内多个实体之间的关联关系。根据关联关系将共同实体集合内存在关联关系的实体连接起来，形成最大共同实体图。
75.根据本公开的实施例，可以利用tarjan+dp算法对获得的关系特征和共同实体集合进行处理，得到最大共同实体图。
76.根据本公开的实施例，还可以利用广度优先搜索算法(breadth-first-search，bfs)，对关系特征和共同实体集合进行处理，得到多个连通图，然后将包含共同实体数量最多的联通图作为最大共同实体图。
77.在操作s323，根据脚本特征图和最大共同实体图，确定脚本特征图与每个漏洞特征图之间的相似度。
78.根据本公开的实施例，在确定最大共同实体图之后，可以通过最大共同实体图中的实体数量和脚本特征图中的实体数量的比值确定相似度。具体的，脚本特征图与每个漏洞特征图之间的相似度满足：
[0079][0080]
其中，g1表示脚本特征图，g2表示漏洞特征图，其中ai(g1,g2)表示第i个漏洞特征图和脚本特征图的最大共同实体图的实体数量，bi(g1,g2)表示第i个漏洞特征图的实体数量，similarityi(g1,g2)表示第i个漏洞特征图和脚本特征图的相似度，β为损失系数，一般设置为1。
[0081]
根据本公开的实施例，在确定脚本特征图与每个漏洞特征图之间的共同实体之前，可以先对脚本特征图与每个漏洞特征图做实体对齐。
[0082]
具体的，将脚本特征图中的实体映射到预训练的标准实体词嵌入数据上，得到脚本特征图的第一词嵌入数据；获取每个漏洞特征图的第二词嵌入数据；根据第一词嵌入数据和第二词嵌入数据，得到共同实体集合。
[0083]
根据本公开的实施例，标准实体词嵌入数据是根据通用漏洞数据确定的。具体的，可以基于skip-gram，预先对通用漏洞数据进行训练，得到预训练词嵌入数据。
[0084]
对于脚本特征图，待检测脚本中的代码表述与通用漏洞数据中的代码表述存在不同。例如，通用漏洞数据中通用漏洞表述为xxxx，在待检测脚本中，对应的描述可以为xxxx-1，xxxx-2等，会降低共同实体的匹配准确度。因此，需要将脚本特征图中的实体映射到预训练的标准实体词嵌入数据上，得到脚本特征图的第一词嵌入数据。
[0085]
根据本公开的实施例，对于脚本特征图，先将实体映射到预训练的标准实体词嵌入数据上，得到第一词嵌入数据。第一词嵌入数据包括脚本特征图中所有实体的实体名嵌入表示，确定实体名嵌入表示的过程满足：
[0086][0087]
其中，oi表示当前实体的第i个维度特征，lp(oi)表示当前实体的第i个维度特征的实体名嵌入表示，在oi拥有预训练的标准实体词嵌入数据的情况下，直接获取对应的标准实体词嵌入数据word_embed(oi)，作为oi的实体名嵌入表示；在oi没有预训练的标准实体词嵌入数据的情况下，获取实体oi的每个字符的嵌入表示char_embed(oi)，组合得到oi的实体名嵌入表示。具体的，可以将每个字符的嵌入表示的平均值作为oi的实体名嵌入表示。
[0088]
类似的，对于每个漏洞特征图，由于每个漏洞特征图都是基于通用漏洞数据得到的，因此，每个漏洞特征图中的所有实体都能在预训练词嵌入数据中找到对应的实体名嵌入表示。
[0089]
根据本公开的实施例，在获取脚本特征图和漏洞特征图的多个维度的实体名嵌入表示后，将脚本特征图的多个维度的实体名嵌入表示编码为文本嵌入，得到最终的第一词嵌入数据。类似的，将漏洞特征图的多个维度的实体名嵌入表示编码为文本嵌入，得到最终的第二词嵌入数据。
[0090]
具体的，利用auto-encoder以无监督的方式将脚本特征实体和漏洞特征实体编码为文本嵌入，对于长文本进行截断处理，对于短文本采取增加占位符处理。
[0091]
得到脚本特征图中的一个实体的第一词嵌入数据的过程满足：
[0092][0093]
其中，表示第l个实体的第一词嵌入数据，n为当前实体的维度数量。
[0094]
本公开利用实体对齐、关系发现提取最大共同实体图的方法，降低了提取最大共同实体图的复杂度，为图匹配方向提供新的拓展思路。在将脚本特征图和漏洞特征图转化为对应的第一词嵌入数据和第二词嵌入数据之后，计算脚本特征图的实体和漏洞特征图的实体之间的余弦相似度，能够统一实体表述，提高风险检测的准确性。
[0095]
此外，本公开通过将知识图谱技术与抽象语法树结合，实现了将待检测脚本和漏洞的语法特征融合到生成的知识图谱中。通过利用实体对齐、关系发现的方法，实现了统一模式下映射提取漏洞特征图和脚本特征图的共同实体集合、最大共同实体图。将抽象语法树的解析结果作为关系发现的先验知识，实现了准确、高效地提取最大共同实体图，解决了以往提取最大共同实体图面临的np完全问题，提升了图匹配算法的性能。
[0096]
图4示意性示出了根据本公开实施例的风险检测结果确定方法的流程图。
[0097]
如图4所示，该实施例包括操作s431～操作s432，可以作为操作s230的一个具体实施例。
[0098]
在操作s431，根据m个相似度，确定目标通用漏洞。
[0099]
在操作s432，根据目标通用漏洞，确定待检测脚本的风险检测结果，风险检测结果包括目标通用漏洞的风险等级和解决措施。
[0100]
根据本公开的实施例，在获得m个相似度之后，可以从m个相似度中筛选出目标相似，然后根据目标相似度确定对应的漏洞特征图和通用漏洞。将与目标相似度对应的通用漏洞作为目标通用漏洞。
[0101]
根据本公开的实施例，在获取目标通用漏洞之后，将目标通用漏洞输入预先构建的通用漏洞知识图谱，输出与目标通用漏洞对应的风险等级和解决措施，其中，通用漏洞知识图谱是根据通用漏洞数据构建的，通用漏洞数据是从通用漏洞知识库中获取的。
[0102]
例如，可以从通用漏洞披露(common vulnerabilities&exposures，cve)库中获取通用漏洞数据，然后以通用漏洞的id为实体，生成通用漏洞知识图谱。
[0103]
在确定目标通用漏洞之后，将目标通用漏洞输入生成的通用漏洞知识图谱中，相应地，查询到目标通用漏洞的解决措施、风险等级等信息。
[0104]
本公开通过利用获取的先验cve数据，动态构建漏洞知识图谱，为风险检测算法提供可靠的先验知识，不仅保证了风险检测的可解释性和自适应性，还通过输出匹配的目标通用漏洞的解决方案，为运维脚本质量评估、审计提供合理、及时、有效的技术方案。
[0105]
根据本公开的实施例，确定目标通用漏洞的方法可以是在m个相似度中存在一个相似度满足预设条件的情况下，将满足预设条件的相似度对应的漏洞特征图作为目标漏洞特征图。然后根据目标漏洞特征图的标识信息，确定与目标漏洞图对应的目标通用漏洞。具体的，在相似度达到预设阈值的情况下，认为该相似度满足预设条件。
[0106]
根据本公开的实施例，在获取的m个相似度中，存在多个相似度满足预设条件的情况下，可以从m个相似度中选取相似度最高的漏洞特征图，然后将与该漏洞特征图对应的通
用漏洞作为目标通用漏洞，返回对应的风险检测结果。
[0107]
根据本公开的实施例，在m个相似度中存在n个相似度满足预设条件的情况下，还可以考虑确定n个相似度对应的漏洞特征图、与漏洞特征图对应的通用漏洞。然后综合考虑每个通用漏洞的所有漏洞特征图，从n个通用漏洞中确定目标通用漏洞。
[0108]
根据本公开的实施例，可以确定与n个相似度一一对应的n个漏洞特征图，进一步确定与n个漏洞特征图一一对应的n个通用漏洞。在得到目标通用漏洞的n个备选项后，根据n个通用漏洞中每个通用漏洞包括的p个漏洞特征图的相似度，确定每个通用漏洞的综合相似度，得到n个综合相似度。最后，将n个综合相似度中最高的综合相似度对应的通用漏洞作为目标通用漏洞。
[0109]
根据本公开的实施例，在确定第i个通用漏洞的综合相似度之前，还可以获取第i个通用漏洞包括的p个漏洞特征图的权重信息，根据p个漏洞特征图的权重信息和相似度信息，加权计算得到第i个通用漏洞的综合相似度。
[0110]
类似地，在获取n个通用漏洞的综合相似度后，对n个综合相似度进行排序，将n个综合相似度中最高的综合相似度对应的通用漏洞作为目标通用漏洞，返回与目标通用漏洞的详细信息和具体的风险解决措施。
[0111]
图5示意性示出了根据本公开实施例的风险检测方法的交互示意图；
[0112]
如图5所示，风险检测装置包括获取模块510、解析模块520、知识图谱构建模块530、相似度确定模块540、检测模块550和风险处理模块560。
[0113]
根据本公开的实施例，获取模块510包括第一获取单元511和第二获取单元512。第一获取单元511可以从通用漏洞平台获取通用漏洞数据，然后将通用漏洞数据输入到解析模块520。第二获取单元512可以获取待检测脚本，然后将待检测脚本输入到解析模块520。解析模块520可以通过抽象语法树对待检测脚本和通用漏洞数据进行解析，得到待检测脚本和通用漏洞的抽象语法树结构，并将解析的抽象语法树结构输入知识图谱构建模块530。
[0114]
知识图谱构建模块530包括第一构建单元531、第二构建单元532、第三构建单元533。在确定待检测脚本和通用漏洞数据的抽象语法树结构之后，第一构建单元531用于根据通用漏洞数据的抽象语法树结构生成漏洞特征图，第二构建单元532用于根据待检测脚本的抽象语法树结构生成脚本特征图，然后将获取的漏洞特征图和脚本特征图输入到相似度确定模块540。相似度确定模块540可以确定多个漏洞特征图和脚本特征图之间的相似度，然后将获取的相似度输入检测模块550.
[0115]
检测模块550在获取多个相似度之后，从多个相似度中确定目标相似度，与目标相似度对应的目标通用漏洞，以及根据第三构建单元533生成的通用漏洞知识图谱确定与目标通用漏洞对应的解决措施。其中，第三构建单元533用于根据通用漏洞数据生成通用漏洞知识图谱。
[0116]
风险处理模块560可以根据检测模块550输出的风险检测结果，自动向用户推荐与风险运维脚本对应的漏洞等级、影响、解决措施等信息。
[0117]
图6示意性示出了根据本公开实施例的运维脚本的风险检测装置的结构框图。
[0118]
如图6所示，该实施例的运维脚本的风险检测装置600包括脚本特征图确定模块610、相似度确定模块620和检测模块630。
[0119]
脚本特征图确定模块610，用于根据待检测脚本的内容特征，确定待检测脚本的脚
本特征图，脚本特征图为知识图谱，待检测脚本包括用于运行或维护预设功能的可执行文件。在一实施例中，脚本特征图确定模块610，可以用于执行前文描述的操作s210，在此不再赘述。
[0120]
相似度确定模块620，用于确定脚本特征图与m个漏洞特征图中每个漏洞特征图之间的相似度，得到m个相似度，其中，m个漏洞特征图是根据通用漏洞数据确定的，通用漏洞数据包括多个通用漏洞，每个通用漏洞对应多个漏洞代码文本，漏洞代码文本与漏洞特征图一一对应，其中，m为大于等于1的整数。在一实施例中，相似度确定模块620可以用于执行前文描述的操作s220，在此不再赘述。
[0121]
检测模块630，用于根据m个相似度，确定与待检测脚本对应的目标通用漏洞和风险检测结果。在一实施例中，检测模块630可以用于执行前文描述的操作s230，在此不再赘述。
[0122]
根据本公开的实施例，相似度确定模块620包括第一相似度确定单元、第二相似度确定单元和第三相似度确定单元。
[0123]
第一相似度确定单元用于确定脚本特征图与每个漏洞特征图之间的共同实体，得到共同实体集合。在一实施例中，第一相似度确定单元可以用于执行前文描述的操作s321，在此不再赘述。
[0124]
第二相似度确定单元用于根据共同实体集合和每个漏洞特征图，确定与每个漏洞特征图对应的最大共同实体图。在一实施例中，第二相似度确定单元可以用于执行前文描述的操作s322，在此不再赘述。
[0125]
第三相似度确定单元用于根据脚本特征图和最大共同实体图，确定脚本特征图与每个漏洞特征图之间的相似度。在一实施例中，第三相似度确定单元可以用于执行前文描述的操作s323，在此不再赘述。
[0126]
根据本公开的实施例，检测模块630包括第一检测单元和第二检测单元。
[0127]
第一检测单元用于根据m个相似度，确定目标通用漏洞。在一实施例中，第一检测单元可以用于执行前文描述的操作s431，在此不再赘述。
[0128]
第二检测单元用于根据目标通用漏洞，确定待检测脚本的风险检测结果，风险检测结果包括目标通用漏洞的风险等级和解决措施。在一实施例中，第二检测单元可以用于执行前文描述的操作s432，在此不再赘述。
[0129]
图7示意性示出了根据本公开实施例的适于运维脚本的风险检测方法的电子设备的方框图。
[0130]
如图7所示，根据本公开实施例的电子设备700包括处理器701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0131]
在ram 703中，存储有电子设备700操作所需的各种程序和数据。处理器701、rom 702以及ram 703通过总线704彼此相连。处理器701通过执行rom 702和/或ram 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除
rom 702和ram 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
[0132]
根据本公开的实施例，电子设备700还可以包括输入/输出(i/o)接口705，输入/输出(i/o)接口705也连接至总线704。电子设备700还可以包括连接至i/o接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
[0133]
本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
[0134]
根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 702和/或ram 703和/或rom 702和ram 703以外的一个或多个存储器。
[0135]
本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的运维脚本的风险检测方法。
[0136]
在该计算机程序被处理器701执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
[0137]
在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分709被下载和安装，和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
[0138]
在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
[0139]
根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如
java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0140]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0141]
本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
[0142]
以上所述的具体实施例，对本公开的目的、技术方案和有益效果进行了进一步详细说明，应理解的是，以上所述仅为本公开的具体实施例而已，并不用于限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。