一种定性与定量结合的漏洞威胁程度排序方法及系统与流程

1.本发明属于网络信息技术领域，涉及一种定性与定量结合的漏洞威胁程度排序方法及系统。


背景技术：

2.信息技术的高速发展带动着各行业信息化的不断产业升级，漏洞(vulnerability)，是指计算机系统安全方面的缺陷，使得系统及其应用数据的保密性、完整性、可用性、访问控制等面临威胁。及时修复漏洞可以有效保护信息系统免受网络入侵、防止信息泄露。漏洞的修复往往需要投入较大的人力，此外更会不可避免地会对正常的生产造成影响。
3.在漏洞修复过程中，通常会根据漏洞评分系统(cvss，common vulnerability scoring system)的分值大小，判定漏洞的威胁程度，进而决定漏洞的修复次序。但由于各行业、企业的具体业务领域不同，其使用的系统、软件、技术会有显著的差异，因此如果仅采用cvss系统，则导致排序的准确性下降。


技术实现要素：

4.本发明的目的在于克服上述现有技术的缺点，提供了一种定性与定量结合的漏洞威胁程度排序方法及系统，该方法及系统能够提交漏洞威胁程度排序的准确性。
5.为达到上述目的，本发明所述的定性与定量结合的漏洞威胁程度排序方法包括：
6.获取待排序的各漏洞；
7.对各漏洞进行定性排序；
8.对各漏洞进行定量排序；
9.根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序。
10.所述对各漏洞进行定性排序的具体过程为：基于弱序关系对各漏洞进行定性排序。
11.所述对各漏洞进行定量排序的具体操作为：
12.通过漏洞评分系统对所有漏洞进行评分，得到各漏洞的分值，再根据分值大小对各漏洞进行定量排序。
13.所述根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序的具体操作为：
14.计算各漏洞在定性排序中的评估状态值，计算各漏洞在定量排序中的评估状态值，再将各漏洞在定性排序中的评估状态值与该漏洞在定量排序中的评估状态值进行相加求和，再将求和的结果作为各漏洞的威胁程度，根据各漏洞的威胁程度对各漏洞进行排序，完成定性与定量结合的漏洞威胁程度排序。
15.本发明所述的定性与定量结合的漏洞威胁程度排序系统包括：
16.获取模块，用于获取待排序的各漏洞；
17.定性排序模块，用于对各漏洞进行定性排序；
18.定量排序模块，用于对各漏洞进行定量排序；
19.综合排序模块，用于根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序。
20.所述对各漏洞进行定性排序的具体过程为：基于弱序关系对各漏洞进行定性排序。
21.所述对各漏洞进行定量排序的具体操作为：
22.通过漏洞评分系统对所有漏洞进行评分，得到各漏洞的分值，再根据分值大小对各漏洞进行定量排序。
23.所述根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序的具体操作为：
24.计算各漏洞在定性排序中的评估状态值，计算各漏洞在定量排序中的评估状态值，再将各漏洞在定性排序中的评估状态值与该漏洞在定量排序中的评估状态值进行相加求和，再将求和的结果作为各漏洞的威胁程度，根据各漏洞的威胁程度对各漏洞进行排序，完成定性与定量结合的漏洞威胁程度排序。
25.本发明具有以下有益效果：
26.本发明所述的定性与定量结合的漏洞威胁程度排序方法及系统在具体操作时，根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序，避免单一排序带来的不准确的问题，同时采用定性与定量相结合的方式，最终得到的漏洞威胁程度排序更加符合企业实际业务，在漏洞修复过程中具有重大的意义，操作简单、方便，实用性极强。
附图说明
27.图1为本发明的结构示意图。
具体实施方式
28.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，不是全部的实施例，而并非要限制本发明公开的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要的混淆本发明公开的概念。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
29.在附图中示出了根据本发明公开实施例的结构示意图。这些图并非是按比例绘制的，其中为了清楚表达的目的，放大了某些细节，并且可能省略了某些细节。图中所示出的各种区域、层的形状及它们之间的相对大小、位置关系仅是示例性的，实际中可能由于制造公差或技术限制而有所偏差，并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
30.参考图1，本发明所述的定性与定量结合的漏洞威胁程度排序方法包括以下步骤：
31.1)确定漏洞集合；
32.在日常漏洞修复或漏洞分析时，存在多个待修复或分析的漏洞，由上述漏洞构成
漏洞集合；
33.2)对各漏洞进行定性排序；
34.在定性排序中，基于弱序关系对各漏洞进行定性排序，所述弱序关系(weak order relation)为一种二元关系，在排序领域有广泛应用，一个二元关系被称作弱序关系，需满足以下两个条件，
35.不对称:
36.负传递:
37.使用弱序关系(weak order relation)时，首先通过比较两个漏洞之间哪一个漏洞与业务的相关程度更高，其次对所有的比较结果进行汇总，最终可以得到所有漏洞在业务相关程度上的排序，该排序根据相关程度按照降序排列；
38.3)对各漏洞进行定量排序；
39.具体的，通过漏洞评分系统(cvss，common vulnerability scoring system)对所有漏洞进行评分，得到各漏洞的分值，再根据分值大小对各漏洞进行定量排序；
40.4)综合漏洞威胁程度排序
41.对于漏洞集v，其中，漏洞vi的评估状态值(esvs，evaluation status value)为：
[0042][0043]
其中，符号＞表示符号前的漏洞严重于符号后的漏洞。
[0044]
具体的，计算各漏洞在定性排序中的评估状态值，计算各漏洞在定量排序中的评估状态值，再将各漏洞在定性排序中的评估状态值与该漏洞在定量排序中的评估状态值进行相加求和，再将求和的结果作为各漏洞的威胁程度，根据各漏洞的威胁程度对各漏洞进行排序，完成定性与定量结合的漏洞威胁程度排序。
[0045]
实施例二
[0046]
本发明所述的定性与定量结合的漏洞威胁程度排序系统包括：
[0047]
获取模块，用于获取待排序的各漏洞；
[0048]
定性排序模块，用于对各漏洞进行定性排序；
[0049]
定量排序模块，用于对各漏洞进行定量排序；
[0050]
综合排序模块，用于根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序。
[0051]
所述对各漏洞进行定性排序的具体过程为：基于弱序关系对各漏洞进行定性排序。
[0052]
所述对各漏洞进行定量排序的具体操作为：
[0053]
通过漏洞评分系统对所有漏洞进行评分，得到各漏洞的分值，再根据分值大小对各漏洞进行定量排序。
[0054]
所述根据定性排序的结果以及定量排序的结果对各漏洞进行威胁程度的排序的具体操作为：
[0055]
计算各漏洞在定性排序中的评估状态值，计算各漏洞在定量排序中的评估状态值，再将各漏洞在定性排序中的评估状态值与该漏洞在定量排序中的评估状态值进行相加
求和，再将求和的结果作为各漏洞的威胁程度，根据各漏洞的威胁程度对各漏洞进行排序，完成定性与定量结合的漏洞威胁程度排序。
[0056]
实施例三
[0057]
一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述定性与定量结合的漏洞威胁程度排序方法的步骤，其中，所述存储器可能包含内存，例如高速随机存储器，也可能还包括非易失性存储器，例如，至少一个磁盘存储器等；处理器、网络接口、存储器通过内部总线互相连接，该内部总线可以是工业标准体系结构总线、外设部件互连标准总线、扩展工业标准结构总线等，总线可以分为地址总线、数据总线、控制总线等。存储器用于存放程序，具体地，程序可以包括程序代码、所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。
[0058]
实施例四
[0059]
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述定性与定量结合的漏洞威胁程度排序方法的步骤，具体地，所述计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。所述易失性存储器可以包括随机存储存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器可以包括只读存储器(rom)、硬盘、闪存、光盘、磁盘等。
[0060]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0061]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0062]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0063]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0064]
最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何
修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。