一种待修补漏洞确定方法、装置、计算机设备及存储介质与流程

本发明涉及信息安全，具体涉及一种待修补漏洞确定方法、装置、计算机设备及存储介质。

背景技术：

1、动态异构冗余(dynamic heterogeneous redundancy，dhr)架构是一种典型的模拟防御技术体系结构，它通过一个服务变体处理输入，该服务变体由n个异构执行器和对该服务变体中每个执行器的输出的每个表单k/n判断组成。dhr架构已应用于多个安全领域，如模拟网站服务器、模拟路由器、模拟交换机和模拟域名系统(domain namesystem，dns)。

2、然而，随着更多系统采用dhr架构，如何通过修补漏洞来提高系统的安全性已成为重要的研究课题。与现有的单执行器信息系统架构不同，dhr架构的执行器中的一些漏洞不需要立即修补，例如，只存在于不超过k个执行器中的漏洞不需要立即修补。因此，针对单执行器信息系统架构的基于漏洞严重程度修补漏洞的策略不适用于dhr架构。同时，异构执行器之间具有显著的内部差异，这意味着修补常见漏洞所需的工作量不同。因此，亟需一种能够在资源有限的情况下选择出最推荐修补的漏洞的方法，为采用dhr架构的系统带来最大的安全优势。

3、因此，现有技术存在难以从现存漏洞中筛选出最推荐修补的漏洞的问题。

技术实现思路

1、有鉴于此，本发明提供了一种待修补漏洞确定方法、装置、计算机设备及存储介质，以解决难以从现存漏洞中筛选出最推荐修补的漏洞的问题。

2、第一方面，本发明提供了一种待修补漏洞确定方法，该方法包括：

3、获取执行者包含的漏洞信息，其中，执行者的总量为第一数量；

4、根据漏洞信息，构建执行者漏洞矩阵；

5、根据执行者漏洞矩阵和服务变体与执行者的包含关系，生成服务变体漏洞矩阵，其中，服务变体漏洞矩阵用于表征服务变体的漏洞情况，服务变体的总量为第二数量；

6、基于服务变体漏洞矩阵，对漏洞进行第一轮筛选，其中，第一轮筛选用于确定第一候选漏洞，如果第一候选漏洞数量为一，则将第一候选漏洞作为待修补漏洞；

7、在第一候选漏洞不为一的情况下，基于服务变体漏洞矩阵，对第一候选漏洞进行第二轮筛选，其中，第二轮筛选用于确定第二候选漏洞，如果第二候选漏洞数量为一，则将第二候选漏洞作为待修补漏洞；

8、在第二候选漏洞不为一的情况下，基于服务变体漏洞矩阵，对第二候选漏洞进行第三轮筛选，得到待修补漏洞。

9、本实施例提供的待修补漏洞确定方法，首先，利用执行者漏洞矩阵表征执行者的漏洞信息；其次，生成服务变体漏洞矩阵用于表征服务变体的漏洞信息；最后，基于服务变体漏洞矩阵，通过三轮筛选得到目标矩阵，以达到评估和筛选出dhr系统中应该最先被修补的最优漏洞的效果。解决了现有技术存在从现存漏洞中筛选出最推荐修补的漏洞的问题。

10、在一种可选的实施方式中，根据漏洞信息，构建执行者漏洞矩阵，包括：

11、根据漏洞信息，确定当前存在的所有漏洞；

12、如果执行者包含漏洞，则将执行者和漏洞均对应的第一元素设置为第一预设值；

13、如果执行者不包含漏洞，则将执行者和漏洞均对应的第一元素设置为第二预设值；

14、根据第一元素，构建执行者漏洞矩阵。

15、在本实施方式中，构建执行者漏洞矩阵，通过执行者漏洞矩阵表征每个执行者包含的漏洞信息，便于后续生成服务变体漏洞矩阵。

16、在一种可选的实施方式中，根据执行者漏洞矩阵和服务变体与执行者的包含关系，生成服务变体漏洞矩阵，包括：

17、根据执行者漏洞矩阵、执行者漏洞矩阵的总行数或总列数以及执行者漏洞矩阵的总行数或总列数中待选取行数或待选取列数，选取第三数量个子矩阵，其中，子矩阵的总行数或总列数等于待选取行数或待选取列数，待选取行数和待选取列数是根据包含关系得到的；

18、将各个子矩阵的所有行或所有列进行求和，得到第三数量个向量；

19、判断向量中的第二元素是否大于或等于第一预设阈值；

20、如果第二元素大于或等于第一预设阈值，则将第二元素对应的第三元素设置为第三预设值；

21、如果第二元素小于第一预设阈值，则将第二元素对应的第三元素设置为第四预设值；

22、根据第三元素，生成服务变体漏洞矩阵。

23、在本实施方式中，根据执行者漏洞矩阵和服务变体与执行者的包含关系，生成服务变体漏洞矩阵，通过服务变体漏洞矩阵描述所有服务变体的漏洞可用性，为后续筛选出待修补漏洞提供基础。

24、在一种可选的实施方式中，基于服务变体漏洞矩阵，对漏洞进行第一轮筛选，包括：

25、确定服务变体漏洞矩阵中每一列或每一行不等于第四预设值的第三元素的第四数量；

26、将数值最大的第四数量对应的列或行作为候选列/或候选行，将候选列或候选行对应的漏洞作为第一候选漏洞。

27、在本实施方式中，基于服务变体漏洞矩阵，对漏洞进行第一轮筛选，先确定服务变体漏洞矩阵中每一列或每一行不等于第四预设值的第三元素的第四数量，再将数值最大的第四数量对应的漏洞作为第一候选漏洞。方法适合dhr系统，且简单易行，能够为系统管理员提供应该最先被修补的待修补漏洞，或为第二轮筛选提供基础。

28、在一种可选的实施方式中，基于服务变体漏洞矩阵，对第一候选漏洞进行第二轮筛选，包括：

29、将第一候选漏洞进行排序，得到第一排序结果，并根据第一排序结果将第一个第一候选漏洞作为第一待修补漏洞；

30、在服务变体漏洞矩阵中，将第一待修补漏洞进行修补，得到修补第一待修补漏洞后的服务变体漏洞矩阵；

31、确定修补第一待修补漏洞后的服务变体漏洞矩阵中安全服务变体的第五数量，其中，安全服务变体为不包含漏洞的服务变体；

32、根据第一排序结果将下一个第一候选漏洞作为第一待修补漏洞，并从在服务变体漏洞矩阵中，将第一待修补漏洞进行修补，得到修补第一待修补漏洞后的服务变体漏洞矩阵开始执行后续步骤，直到修补过所有第一候选漏洞；

33、将数值最大的第五数量对应的第一候选漏洞作为第二候选漏洞。

34、在本实施方式中，安全服务变体越多，dhr系统就越安全。基于服务变体漏洞矩阵，将修补后能够产生最多的安全服务变体的第一候选漏洞作为第二候选漏洞，方法适合dhr系统，且简单易行，能够为系统管理员提供应该最先被修补的待修补漏洞，或为第三轮筛选提供基础。

35、在一种可选的实施方式中，基于服务变体漏洞矩阵，对第二候选漏洞进行第三轮筛选，包括：

36、将第二候选漏洞进行排序，得到第二排序结果，并根据第二排序结果将第一个第二候选漏洞作为第二待修补漏洞；

37、在服务变体漏洞矩阵中，将第二待修补漏洞进行修补，得到修补第二待修补漏洞后的服务变体漏洞矩阵；

38、根据修补第二待修补漏洞后的服务变体漏洞矩阵，得到参考指标；

39、根据第二排序结果将下一个第二候选漏洞作为第二待修补漏洞，并从在服务变体漏洞矩阵中，将第二待修补漏洞进行修补，得到修补第二待修补漏洞后的服务变体漏洞矩阵开始执行后续步骤，直到修补过所有第二候选漏洞；

40、将数值最大的参考指标对应的第二候选漏洞作为待修补漏洞。

41、在本实施方式中，通过参考指标表征在服务变体漏洞矩阵中移除某个第二候选漏洞后其他漏洞分布的均匀性。将数值最大的参考指标对应的第二候选漏洞作为待修补漏洞，方法适合dhr系统，且简单易行，能够为系统管理员提供应该最先被修补的待修补漏洞。

42、在一种可选的实施方式中，根据修补第二待修补漏洞后的服务变体漏洞矩阵，得到参考指标，包括：

43、计算修补第二待修补漏洞后的服务变体漏洞矩阵中每一行或每一列的第三元素之和，得到第三数量个元素和；

44、根据元素和与预设公式，计算得到第二候选漏洞对应的漏洞熵，并将漏洞熵作为参考指标。

45、在本实施方式中，根据修补第二待修补漏洞后的服务变体漏洞矩阵，计算漏洞熵，将漏洞熵作为参考指标，为进行第三轮筛选提供基础。

46、第二方面，本发明提供了一种待修补漏洞确定装置，该装置包括：

47、获取模块，用于获取执行者包含的漏洞信息，其中，执行者的总量为第一数量；

48、构建模块，用于根据漏洞信息，构建执行者漏洞矩阵；

49、生成模块，用于根据执行者漏洞矩阵和服务变体与执行者的包含关系，生成服务变体漏洞矩阵，其中，服务变体漏洞矩阵用于表征服务变体的漏洞情况，服务变体的总量为第二数量；

50、第一筛选模块，用于基于服务变体漏洞矩阵，对漏洞进行第一轮筛选，其中，第一轮筛选用于确定第一候选漏洞，如果第一候选漏洞数量为一，则将第一候选漏洞作为待修补漏洞；

51、第二筛选模块，用于在第一候选漏洞不为一的情况下，基于服务变体漏洞矩阵，对第一候选漏洞进行第二轮筛选，其中，第二轮筛选用于确定第二候选漏洞，如果第二候选漏洞数量为一，则将第二候选漏洞作为待修补漏洞；

52、第三筛选模块，用于在第二候选漏洞不为一的情况下，基于服务变体漏洞矩阵，对第二候选漏洞进行第三轮筛选，得到待修补漏洞。

53、第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的待修补漏洞确定方法。

54、第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的待修补漏洞确定方法。