一种基于分词与攻击匹配的漏洞等级评估装置及其方法与流程

本发明涉及网络安全技术领域，尤其涉及一种基于分词与攻击匹配的漏洞等级评估装置及其方法。

背景技术：

传统的漏洞威胁评估方法主要是通过漏洞扫描器进行漏洞信息采集，基于采集到的漏洞等级的cvss评分进行修复优先级判定，部分评估方式会结合资产的价值来确定资产的风险值，进而实现对漏洞的排序。只针对漏洞脆弱性进行的评估，能够单方面的指导漏洞修复工作，然而，针对资产量非常大的工作单元，漏洞的修补优先级仍是挑战。另一方面，在实际工作中，安全运维人员会通过安全防护设备，发现来自内外部的大量攻击告警，告警准确性依赖于攻击特征的编写，且告警产生多针对尝试动作，无法对攻击的结果进行实质性判断，在对告警的处理方面一般也是根据告警设备定义的告警等级，或者结合资产的价值进行排序。漏洞扫描及攻击告警的产生都有其自身的原理性缺陷，单纯只是通过漏洞扫描或者只是通过告警，出现大量的误报，对安全运维人员的实际工作增加了巨大的工作量。

技术实现要素：

本发明的目的在于提供一种基于分词与攻击匹配的漏洞等级评估装置及其方法。

本发明采用的技术方案是：

一种基于分词与攻击匹配的漏洞等级评估装置，其包括如下模块：

数据分词模块：对漏洞信息、攻击告警信息进行分词，并提取关键信息；

图生成模块：根据漏洞提取出的关键信息生成有向无环图；

相似度匹配模块：根据告警提取出的关键信息在有向无环图中进行匹配并计算相似度；

资产重要性计算模块：根据ip互访信息计算资产价值；

漏洞等级评估模块：根据相似度、资产价值加权计算漏洞分值和攻击等级，定位高风险漏洞及攻击。

进一步地，关键信息包括操作系统版本、中间件版本、漏洞利用方式、攻击关键词和攻击所利用漏洞信息。

进一步地，有向无环图为主机-服务-版本-漏洞-利用方式对应关系的有向无环图。

进一步地，相似度匹配模块利用jaccard相似系数计算攻击与漏洞的相似度。

一种基于分词与攻击匹配的漏洞等级评估方法，其包括如下步骤：

步骤1、将漏洞基础库信息和漏洞扫描器产生的漏洞信息进行分词，并提取关键信息；

步骤2、根据提取的关键信息生成有向无环图；

步骤3、实时将安全防护设备产生的攻击告警信息进行分词，并提取关键信息；

步骤4、使用攻击告警信息分词结果在有向无环图中进行匹配，利用jaccard相似系数计算攻击与漏洞的相似度；

其中，a为攻击，m为资产，p(a，m)是攻击与资产的匹配度，sv(vi)是对vi漏洞分词，sa(a)是对a攻击分词，jaccard()是jaccard相似度计算公式；

步骤5、根据流量提取ip互访信息；

步骤6、根据ip互访信息，计算资产访问出去的节点数量，从而计算资产重要度，

其中m()是资产的重要度，初始设定为固定值，经过多次迭代收敛至合理范围，f(mi)是mi可访问的节点集合，t(mj)是可访问mj的节点集合，n为节点总数，d为阻尼因子，d用以缓解等级泄露和等级沉没；

步骤7、根据相似度、资产的重要性信息，加权计算获取攻击的等级分值，从而定位高风险攻击，攻击的等级的计算公式如下：

r(a，mi)＝p(a，mi)m(mi)

其中，r(x)是攻击的等级，p(x)是攻击与资产的匹配度，m(x)是资产的重要度；

步骤8、根据攻击等级，结合匹配到的资产相关漏洞，计算确定漏洞等级，以提取高风险漏洞，漏洞等级的计算公式如下：

其中，vr(x)是漏洞的等级，jaccard(x)>0是指jaccard系数大于0的部分进行加和，a为攻击，m为资产，a为攻击集合，e(a)是指所有a攻击过的资产集合，r(x)是攻击与资产的匹配度。

进一步地，步骤1或步骤3的关键信息包括操作系统版本、中间件版本、漏洞利用方式、攻击关键词、攻击所利用漏洞。

进一步地，步骤2生成主机-服务-版本-漏洞-利用方式对应关系的有向无环图。

本发明采用以上技术方案，立足资产维度，采用将安全防护设备产生的告警和漏洞扫描器产生的漏洞相关联，识别正在被威胁利用的脆弱性，并进行优先级标识，用以指导安全运维工作的开展。通过将漏洞信息及安全漏洞基础库信息进行分词及关键信息提取，产生主机-服务-版本-漏洞-利用方式的有向无环图。再将告警信息进行分词及关键信息提取，之后与漏洞的有向无环图进行对比，利用相似度算法计算威胁同脆弱性的相似度，高相似度的威胁利用脆弱性的可能性更高。从而定位有向无环图中被匹配到的漏洞及其所在资产，标记其为高处理优先级，并建议尽早进行修复。

本发明通过将安全防护设备产生的告警和漏洞扫描器产生的漏洞相关联，通过计算相似度，识别正在被威胁利用的脆弱性，并进行优先级标识，用以指导安全运维工作的开展，减少安全运维人员的工作量；通过将攻击告警信息和漏洞扫描信息进行比对，可以规避一些安全防护设备的误报信息；通过对识别到正在被攻击的资产的漏洞信息进行匹配，对可能存在类似漏洞的资产及时推送漏洞预警，可以在攻击大规模扩散之前尽早预防。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明一种基于分词与攻击匹配的漏洞等级评估方法的流程示意图；

图2为本发明一种基于分词与攻击匹配的漏洞等级评估装置架构示意图。

具体实施方式

安全风险需要从威胁、脆弱性、资产价值三个维度结合在一起进行研判，在实际工作中，威胁一般会通过部署ips、ids、waf等安全防护设备进行识别。脆弱性会使用漏洞扫描器、基线扫描工具等对主机、数据库、应用中间件等进行探测发现。资产的价值基于其承载的业务进行评定。威胁利用相关的脆弱性作用于有价值的资产，是识别风险的路径。本专利立足资产维度，采用将安全防护设备产生的告警和漏洞扫描器产生的漏洞相关联，识别正在被威胁利用的脆弱性，并进行优先级标识，用以指导安全运维工作的开展。通过将漏洞信息及安全漏洞基础库信息进行分词及关键信息提取，产生主机-服务-版本-漏洞-利用方式的有向无环图。再将告警信息进行分词及关键信息提取，之后与漏洞的有向无环图进行对比，利用相似度算法计算威胁同脆弱性的相似度，高相似度的威胁利用脆弱性的可能性更高。从而定位有向无环图中被匹配到的漏洞及其所在资产，标记其为高处理优先级，并建议尽早进行修复。

如图1或图2所示，本发明公开了一种基于分词与攻击匹配的漏洞等级评估装置，其包括如下模块：

数据分词模块：对漏洞信息、攻击告警信息进行分词，并提取关键信息；

图生成模块：根据漏洞提取出的关键信息生成有向无环图；

相似度匹配模块：根据告警提取出的关键信息在有向无环图中进行匹配并计算相似度；

资产重要性计算模块：根据ip互访信息计算资产价值；

漏洞等级评估模块：根据相似度、资产价值加权计算漏洞分值和攻击等级，定位高风险漏洞及攻击。

进一步地，关键信息包括操作系统版本、中间件版本、漏洞利用方式、攻击关键词和攻击所利用漏洞信息。

进一步地，有向无环图为主机-服务-版本-漏洞-利用方式对应关系的有向无环图。

进一步地，相似度匹配模块利用jaccard相似系数计算攻击与漏洞的相似度。

一种基于分词与攻击匹配的漏洞等级评估方法，其包括如下步骤：

步骤1、将漏洞基础库信息和漏洞扫描器产生的漏洞信息进行分词，并提取关键信息；

步骤2、根据提取的关键信息生成有向无环图；

步骤3、实时将安全防护设备产生的攻击告警信息进行分词，并提取关键信息；

步骤4、使用攻击告警信息分词结果在有向无环图中进行匹配，利用jaccard相似系数计算攻击与漏洞的相似度；

其中，a为攻击，m为资产，p(a，m)是攻击与资产的匹配度，sv(vi)是对vi漏洞分词，sa(a)是对a攻击分词，jaccard()是jaccard相似度计算公式；

步骤5、根据流量提取ip互访信息；

步骤6、根据ip互访信息，计算资产访问出去的节点数量，从而计算资产重要度，

其中m()是资产的重要度，初始设定为固定值，经过多次迭代收敛至合理范围，f(mi)是mi可访问的节点集合，t(mj)是可访问mj的节点集合，n为节点总数，d为阻尼因子，d用以缓解解决了等级泄露和等级沉没；

步骤7、根据相似度、资产的重要性信息，加权计算获取攻击的等级分值，从而定位高风险攻击，攻击的等级的计算公式如下：

r(a，mi)＝p(a，mi)m(mi)

其中，r(x)是攻击的等级，p(x)是攻击与资产的匹配度，m(x)是资产的重要度；

步骤8、根据攻击等级，结合匹配到的资产相关漏洞，计算确定漏洞等级，以提取高风险漏洞，漏洞等级的计算公式如下：

其中，vr(x)是漏洞的等级，jaccard(x)>0是指jaccard系数大于0的部分进行加和，a为攻击，m为资产，a为攻击集合，e(a)是指所有a攻击过的资产集合，r(x)是攻击与资产的匹配度。

进一步地，步骤1或步骤3的关键信息包括操作系统版本、中间件版本、漏洞利用方式、攻击关键词、攻击所利用漏洞。

进一步地，步骤2生成主机-服务-版本-漏洞-利用方式对应关系的有向无环图。

本发明采用以上技术方案，通过将安全防护设备产生的告警和漏洞扫描器产生的漏洞相关联，通过计算相似度，识别正在被威胁利用的脆弱性，并进行优先级标识，用以指导安全运维工作的开展，减少安全运维人员的工作量；通过将攻击告警信息和漏洞扫描信息进行比对，可以规避一些安全防护设备的误报信息；通过对识别到正在被攻击的资产的漏洞信息进行匹配，对可能存在类似漏洞的资产及时推送漏洞预警，可以在攻击大规模扩散之前尽早预防。