一种对漏洞优先级排列的方法及装置与流程

1.本发明涉及漏洞处理技术领域，具体而言，涉及一种对漏洞优先级排列的方法及装置。


背景技术：

2.在现有技术中大多系统基于安全性检测所使用的安全工具进行实时扫描，从而获取漏洞数据。但是对于目前系统使用检测工具扫描所产生的漏洞数据而言，无论是否有确定的cve编号或者是cnnvd编号，并不需要全部进行处理。以业务系统为例，即使安全团队修补了所有高危和严重漏洞，也只不过修复了大约24%的可利用漏洞，就这意味着安全团队将大量的时间消耗在不重要或不紧急的事情上，而对于系统真正可能存在安全风险的地方容易产生忽略。因此，亟需一种对漏洞优先级排列的方法，通过对漏洞数据进行优先级排序，使安全人员能够更有效地管理和优化漏洞修复流程，提高漏洞修复的效率和准确性。


技术实现要素：

3.本发明的目的在于提供一种对漏洞优先级排列的方法及装置，以改善上述问题。为了实现上述目的，本发明采取的技术方案如下：第一方面，本技术提供了一种对漏洞优先级排列的方法，所述方法包括：获取在预设时间内的所有漏洞信息；对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；对所述二级评估指标项进行权重分析，得到二级权重值；对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。
4.第二方面，本技术还提供了一种对漏洞优先级排列的装置，所述装置包括：获取模块，用于获取在预设时间内的所有漏洞信息；第一处理模块，用于对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；第二处理模块，用于根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；第三处理模块，用于对所述二级评估指标项进行权重分析，得到二级权重值；排序模块，用于对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。
5.本发明的有益效果为：
针对现有的漏洞扫描工具所产生的结果是一个大而全的问题，如果全部进行处理，随着时间的推理，所产生的边际效应也会降低，会有大量的时间消耗在解决紧急性不是很强的漏洞上。本发明引入一种对漏洞优先级排列的方法，通过评估指标项和权重值计算，为每个漏洞确定一个优先级，从而将主要精力集中在解决紧急性较高的漏洞上，减少时间和精力的浪费，这将使安全人员能够更有效地管理和优化漏洞修复流程，提高漏洞修复的效率和准确性，从而达到更高的安全水平。
6.本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
7.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
8.图1为本发明实施例中所述的对漏洞优先级排列的方法流程示意图;图2为本发明实施例中所述的对漏洞优先级排列的装置结构示意图；图3为本发明实施例中所述第二处理模块的结构示意图；图4为本发明实施例中所述的对漏洞优先级排列的设备结构示意图；图中标记：800、对漏洞优先级排列的设备；801、处理器；802、存储器；803、多媒体组件；804、i/o接口；805、通信组件；901、获取模块；902、第一处理模块；903、第二处理模块；904、第三处理模块；905、排序模块；9011、第一获取单元；9012、预处理单元；9013、第一计算单元；9014、第二计算单元；9031、第一处理单元；9032、第二处理单元；9033、第三处理单元；9034、预测单元；9035、第一分析单元；90331、第一处理子单元；90332、第二处理子单元；90333、第三处理子单元；9041、第四处理单元；9042、第五处理单元；9043、第六处理单元；9044、第二分析单元；90431、第二获取单元；90432、第四处理子单元；90433、第五处理子单元；90434、第六处理子单元；90435、第七处理子单元；90436、第八处理子单元。
具体实施方式
9.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
10.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的
描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
实施例1：
11.本实施例提供了一种对漏洞优先级排列的方法。
12.参见图1，图中示出了本方法包括步骤s1至s5，具体有：s1:获取在预设时间内的所有漏洞信息；在步骤s1中，为明确所有漏洞信息的具体获取过程，具体有：s11:根据确定的数据源进行漏洞的初始收集，得到初始漏洞数据集；在步骤s11中，数据源可选取cve、cnnvd、cnvd、nvd、jvn等多个国内外核心漏洞数据源，其中可以重点选取cve和cnnvd，所述cve为通用漏洞披露，能够对广泛认同的信息安全漏洞或者已经暴露出来的弱点给一个公共的名称；所述cnnvd为中国国家信息安全漏洞库，在此漏洞库中能够对漏洞编号、来源厂商、危害等级、漏洞名称、收录时间、更新时间、漏洞描述、参考来源、官方补丁信息、cnnvd编号等进行公开。
13.另外，当数据源未提供具体数据信息，且未提供现成的数据接口时，可在分析各漏洞数据库的数据特征后开发爬虫脚本进行收集。
14.s12:对所述初始漏洞数据集进行预处理，得到中间漏洞数据集；在步骤s12中，对于所述初始漏洞数据集中同一数据源收集得到的数据，删除空白信息和编号重复的数据；对所述初始漏洞数据集的数据进行特征对齐，统一数据格式，以得到中间漏洞数据集。例如：以cve数据源和cnnvd数据源为判断基准，通过cve数据源中的漏洞编号和cnnvd数据源中的漏洞编号对异常漏洞数据进行识别和剔除。
15.在步骤s12中，所述中间漏洞数据集中统一了数据格式，但不同数据源对于同一个漏洞的描述具体差异性，因此本方法引入步骤s13通过去重算法进行高效去重。
16.s13:对所述中间漏洞数据集通过局部敏感哈希去重算法进行计算，得到特征漏洞数据集；在步骤s13中，由于中间漏洞数据集繁杂，若采用nlp等去重算法，虽能提高精度，但效率很低。本方法引入局部敏感哈希去重算法，其能够将原始的文本映射为64位的二进制数字串，通过比较二进制数字串的差异，进而来表示原始文本内容的差异。
17.步骤s13中，首先对所述中间漏洞数据集生成特征单词，如：cve编号、影响实体、漏洞类型、漏洞的公开日期等特征单词；根据局部敏感哈希去重算法，对所述特征单词计算其hash值，并将hash值生成结果；对每个特征单词预设不同权重值，并通过预设权重值与hash值生成结果进行加权、合并和降维，以得到特征漏洞数据集。
18.s14:对所述特征漏洞数据集进行数据相似性计算，得到所有漏洞信息。
19.若在步骤s13中，以cve编号为特征单词，则特征漏洞数据集包括以cve编号为基准的漏洞数据集和未以cve编号为基准的待处理漏洞数据集；在步骤s14中，通过计算以cve编号为基准的漏洞数据集和未以cve编号为基准的待处理漏洞数据集之间的汉明距离，实现相似性计算，以得到所有漏洞信息。在得到汉明距离计算值后，其可通过与预设的一个汉明距离阈值进行比较，实现相似度筛分；之后，将汉明距离计算值与预设的多个不同的汉明距离阈值进行比较，得到相似度分布信息。
20.s2:对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指
标项包括一级评估指标项和二级评估指标项；在步骤s2中，所述一级评估指标性为漏洞危害程度指标项，所述二级评估指标项包括热点漏洞指标项、安全工具检测指标项和攻击手段指标项。
21.所述漏洞危害程度指标项用于描述漏洞的危害程度，若从扩散的角度来考虑漏洞的危害程度：当来自于服务主机被攻破后，攻击者可以使用密码撞库或者暴力破解，来横向破坏工具同属网段的所有主机，而同一个管理者所管理的服务主机，其对应的密码极大的概率是同一个密码，故对于本系统来说扩散概率高，危害程度大。因此本方法提出对一级评估指标性所对应的漏洞危害程度指标项进行预测，以实现合理的权重分配，满足后期利用漏洞信息评估值进行漏洞优先级排序的合理性。
22.s3:根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；在本方法中，为明确一级权重值的具体计算过程，步骤s3包括：s31:对所有所述漏洞信息进行解析，得到漏洞信息所对应的解析数据集；在步骤s31中，将所有所述漏洞信息生成解析树，然后对解析树根据预设规则进行节点修剪，最后遍历解析树以获取漏洞信息对应的序列，从而得到漏洞信息所对应的解析数据集。
23.由于解析数据集仅是对所有所述漏洞信息进行了解码，并未形成直观的表达，因此引入步骤s32。
24.s32:对所述解析数据集通过抽象语法树进行构建，得到漏洞信息的处理数据集；在步骤s32中所述抽象语法树为现有技术，其作用在于针对具体任务设定对解析后的源码进行关键节点的提取与进一步信息合成，生成解析数据集所对应的树、图或者文本序列信息，所述树、图或者文本序列信息构成了漏洞信息的处理数据集。
25.s33:对所述处理数据集进行特征提取，得到所述处理数据集所对应的特征向量；在本方法中，为明确特征向量的具体计算，步骤s33包括步骤s331至s333，具体有：s331:对所述处理数据集中的数据对应生成多个读取序列，所述读取序列用于对所述处理数据集中的数据进行定位；s332:对每个所述读取序列根据预设的长短期神经网络进行向量计算，得到每个读取序列的特征子向量；s333:根据每个所述读取序列的特征子向量进行求解，得到所述处理数据集所对应的特征向量。
26.在步骤s333中，对特征子向量进行求解时可采用均值处理。
27.s34:根据所述特征向量通过预设的漏洞预测模型进行漏洞预测，得到漏洞严重性的预测标签，所述漏洞严重性的预测标签用于确定预测权重值；在步骤s34中，预设的漏洞预测模型可采用分类器，而针对数值特征向量的分类器有逻辑回归、支持向量机、随机森林等。本发明采用随机森林，根据随机森林中的决策树对一些特征做分叉，将所述处理数据集对应的特征向量输入至随机森林后，生成特征向量1或0，指示其是否为漏洞信息，从而得到了漏洞严重性的预测标签。
28.s35:根据所述一级评估指标项和所述漏洞严重性的预测标签进行分析，得到一级权重值。
29.在步骤s35中，所述一级评估指标项为漏洞危害程度指标项，而所述漏洞严重性的预测标签对应匹配不同的预测权重值，所述预测权重值用于对预设的一级权重初始值进行修正，以得到一级权重值。在本方法中，一级权重值考虑了漏洞危害程度的预测，在最大程度上满足了漏洞解决的紧急性需求。
30.所述二级评估指标项包括热点漏洞指标项、安全工具检测指标项和攻击手段指标项。
31.所述热点漏洞指标项来源于互联网平台的监测，所述互联网平台主要包括微博、twitter等信息交流平台。所监控的数据主要分为以下几种：cnnvd、cve、cwe、cnvd。对于该四类的漏洞编号，本方法内会有全量的数据维护；同时每天通过爬虫程序、第三方平台开放api接口，来获取漏洞的讨论热度。例如：有个漏洞能够确认其cve编号，那么通过其cve编号则可以确认其cnnvd编号、cnvd编号、cwe编号。那么通过这四个漏洞编号，通过程序获取当天、本周、本月的讨论热度趋势信息，则可以得到漏洞的关注度的变化趋势。当该漏洞的讨论热度上升较快，那么意味着其关注度变高，进而会导致其利用性和严重性的变高。也可以这样理解：绝大多数漏洞的热度在数据上的表现趋近于0，当某个漏洞的热度值突然变高，那么意味着该漏洞出现了新的影响，无论是严重程度还是关注程度，都是必须优先解决的问题。
32.所述安全工具检测指标项包括：交互式检测系统、静态检测分析系统、动态检测分析系统、软件成分分析系统；其中交互式检测系统是通过代理、vpn或者在服务端部署插件程序，来收集、监控web应用程序运行时函数执行、数据传输，并于扫描器进行实时交互，来确定漏洞的信息，它的误报率极低，漏洞信息的详细程度很高，因此其所检测出的漏洞的可信程度也最高。对于交互式检测系统，可以直接定位到异常流量，可以获取到是否存在系统访问。但是对于其他类型检测系统所检测出的漏洞，则需要判断其是否存在任意文件访问、任意文件执行。确定这两点之后，可以避免90%的风险扩散。
33.所述静态检测分析系统是目前使用最广泛的一种白盒测试技术，其在编码阶段分析应用程序的源代码或者二进制文件的语法、结构、过程接口等来发现程序代码存在的安全漏洞，其在开发阶段对源代码进行测试，检测误报率非常高，但无法确定漏洞是否可以被利用。
34.所述动态检测分析系统则是在测试或者运行阶段来分析应用程序的动态运行状态。模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该应用是否容易收到攻击。由于该类工具是站在攻击者的视角，因此其发现的问题，一定是严重性比较高的问题，其无需源代码，但是只能测试基于http/https的web应用程序，也无法定位漏洞的具体位置。
35.所述软件成分分析系统则是检测并跟踪代码库中的所有开源组件，以帮助开发人员进行管理有风险的组件。但是该类工具，只能对引用的组件进行分析，无法对程序中所引用的代码片段进行分析，无法确定所引用的代码片段是否为恶意代码。当漏洞数据传入的时候，该漏洞对应的安全工具必须为已知状态。本方法内动态维护一个字典，该字典维护了安全工具和工具类型的映射。通过安全工具的名称，则可以将其对应的工具类型进行定位，同时可对其进行系统分类指标的判断。
36.所述攻击手段指标项需要通过漏洞的描述信息，确定其是否有可用的技战术，从
而确定其是否具有行之有效的攻击手段。在确定攻击手段还需要一份数据，为capec数据，全称为common attack pattern enumeration and classification，该数据会提供攻击模式可用的公共分类。当有了cve编号，则可以通过该编号，获取到其详细信息中的cwe编号。而通过cwe编号，则可以在capec的数据中，获取到该编号所可采用的详细攻击手段。如果能够匹配到攻击手段，则说明该漏洞具有行之有效的方式进行攻击。
37.本发明以热点漏洞指标项为例进行说明：s4:对所述二级评估指标项进行权重分析，得到二级权重值；当所述二级评估指标项包括热点漏洞指标项，步骤s4包括：s41:根据预设的爬取范围对所有所述漏洞信息所对应的平台进行爬取，得到热点漏洞监测信息；s42:对所述热点漏洞监测信息进行预处理，得到热点漏洞预处理信息；在步骤s42中所述预处理主要包括过滤噪声数据，如：剔除热点漏洞监测信息中的空白信息和无效文本信息。在过滤无效文本信息时，可根据无效文本的特征生成关键词，通过关键词进行信息过滤。
38.s43:根据预设漏洞传播量模型和预设漏洞传播速度模型进行评估模型构建，得到热点漏洞评估模型；在本方法中，为明确所述热点漏洞评估模型的具体构建，包括s431-s436，具体有：s431:获取热点漏洞的时间划分尺度和有向图中的所有根节点；在步骤s431中，所述有向图为漏洞信息流向图，其表明了漏洞的根位置信息。
39.s432:根据所述热点漏洞的时间划分尺度对预设时间进行划分，得到多个评估时段；评估时段的计算公式有：;上式中，表示预设时间，表示热点漏洞的时间划分尺度，表示评估时段。
40.s433:对每个所述评估时段内的漏洞扩散速度的最大值进行求解，得到预设漏洞传播速度模型；在步骤s433中，预设漏洞传播速度模型的计算公式为：;上式中，表示预设漏洞传播速度模型，表示在第一个评估时段内的漏洞扩散速度的最大值，表示在第i个评估时段内的漏洞扩散速度的最大值。
41.s434:根据所述有向图中的所有根节点对漏洞传播量进行求解，得到预设漏洞传播量模型；在步骤s434中，预设漏洞传播量模型的计算公式为：；
上式中，表示预设漏洞传播量模型，m表示有向图中的总层数，n表示流向的分叉数，表示流向的分叉数节点所对应的度数之和。
42.s435:根据预设漏洞传播量模型和预设漏洞传播速度模型构建判断矩阵；s436:对所述判断矩阵通过层次分析法进行求解，得到热点漏洞评估模型。
43.在步骤s436中，首先对判断矩阵求解其对应的特征矩阵向量；此外，通过层次分析法中的一致性指标ci，来度量判断矩阵的平均偏离一致性，当ci越接近于0时，判断矩阵偏离一致性的程度就越小，表面当前模型的评估性越好。
44.热点漏洞评估模型的计算公式为：；上式中，表示热点漏洞评估模型，表示特征矩阵向量的一个分量，表示特征矩阵向量的另一个分量，表示预设漏洞传播速度模型，表示预设漏洞传播量模型。
45.s44:对所述热点漏洞预处理信息根据所述热点漏洞评估模型进行分析，得到热点漏洞指标项所对应的二级权重值。
46.在步骤s44中，所述热点漏洞评估模型已考虑了热点漏洞的传播速度和热点漏洞的传播量，根据热点漏洞评估模型的输出结果，在预设的二级权重数据库中进行对应匹配，以得到当下热点漏洞指标项所对应的二级权重值。
47.s5:对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。
48.在步骤s5中，预设的排序模型计算公式为：;在上式中，表示预设的排序模型输出的漏洞信息评估值；表示一级权重值；表示一级评估指标项，在本实施例中，一级评估指标项对应为漏洞危害程度指标项；表示二级权重值；表示二级评估指标项，在本实施例中，二级评估指标项对应为热点漏洞指标项。
实施例2：
49.如图2所示，本实施例提供了一种对漏洞优先级排列的装置，所述装置包括：获取模块901，用于获取在预设时间内的所有漏洞信息；第一处理模块902，用于对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；第二处理模块903，用于根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；第三处理模块904，用于对所述二级评估指标项进行权重分析，得到二级权重值；排序模块905，用于对所述评估指标项、所述一级权重值和所述二级权重值通过预
设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。
50.在本发明所公开的一种实施方法中，所述获取模块901包括：第一获取单元9011，用于根据确定的数据源进行漏洞的初始收集，得到初始漏洞数据集；预处理单元9012，用于对所述初始漏洞数据集进行预处理，得到中间漏洞数据集；第一计算单元9013，用于对所述中间漏洞数据集通过局部敏感哈希去重算法进行计算，得到特征漏洞数据集；第二计算单元9014，用于对所述特征漏洞数据集进行数据相似性计算，得到所有漏洞信息。
51.如图3所示，在本发明所公开的一种实施方法中，所述第二处理模块903包括：第一处理单元9031，用于对所有所述漏洞信息进行解析，得到漏洞信息所对应的解析数据集；第二处理单元9032，用于对所述解析数据集通过抽象语法树进行构建，得到漏洞信息的处理数据集；第三处理单元9033，用于对所述处理数据集进行特征提取，得到所述处理数据集所对应的特征向量；预测单元9034，用于根据所述特征向量通过预设的漏洞预测模型进行漏洞预测，得到漏洞严重性的预测标签，所述漏洞严重性的预测标签用于确定预测权重值；第一分析单元9035，用于根据所述一级评估指标项和所述漏洞严重性的预测标签进行分析，得到一级权重值。
52.在本发明所公开的一种实施方法中，所述第三处理单元9033包括：第一处理子单元90331，用于对所述处理数据集中的数据对应生成多个读取序列，所述读取序列用于对所述处理数据集中的数据进行定位；第二处理子单元90332，用于对每个所述读取序列根据预设的长短期神经网络进行向量计算，得到每个读取序列的特征子向量；第三处理子单元90333，用于根据每个所述读取序列的特征子向量进行求解，得到所述处理数据集所对应的特征向量。
53.在本发明所公开的一种实施方法中，所述第三处理模块904包括：第四处理单元9041，用于根据预设的爬取范围对所有所述漏洞信息所对应的平台进行爬取，得到热点漏洞监测信息；第五处理单元9042，用于对所述热点漏洞监测信息进行预处理，得到热点漏洞预处理信息；第六处理单元9043，用于根据预设漏洞传播量模型和预设漏洞传播速度模型进行评估模型构建，得到热点漏洞评估模型；第二分析单元9044，用于对所述热点漏洞预处理信息根据所述热点漏洞评估模型进行分析，得到热点漏洞指标项所对应的二级权重值。
54.在本发明所公开的一种实施方法中，所述第六处理单元9043包括：第二获取单元90431，用于获取热点漏洞的时间划分尺度和有向图中的所有根节
点；第四处理子单元90432，用于根据所述热点漏洞的时间划分尺度对预设时间进行划分，得到多个评估时段；第五处理子单元90433，用于对每个所述评估时段内的漏洞扩散速度的最大值进行求解，得到预设漏洞传播速度模型；第六处理子单元90434，用于根据所述有向图中的所有根节点对漏洞传播量进行求解，得到预设漏洞传播量模型；第七处理子单元90435，用于根据预设漏洞传播量模型和预设漏洞传播速度模型构建判断矩阵；第八处理子单元90436，用于对所述判断矩阵通过层次分析法进行求解，得到热点漏洞评估模型。
55.需要说明的是，关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
实施例3：
56.相应于上面的方法实施例，本实施例中还提供了一种对漏洞优先级排列的设备，下文描述的一种对漏洞优先级排列的设备与上文描述的一种对漏洞优先级排列的方法可相互对应参照。
57.图4是根据示例性实施例示出的一种对漏洞优先级排列的设备800的框图。如图4所示，该对漏洞优先级排列的设备800可以包括：处理器801，存储器802。该对漏洞优先级排列的设备800还可以包括多媒体组件803，i/o接口804，以及通信组件805中的一者或多者。
58.其中，处理器801用于控制该对漏洞优先级排列的设备800的整体操作，以完成上述的对漏洞优先级排列的方法中的全部或部分步骤。存储器802用于存储各种类型的数据以支持在该对漏洞优先级排列的设备800的操作，这些数据例如可以包括用于在该对漏洞优先级排列的设备800上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如联系人数据、收发的消息、图片、音频、视频等等。该存储器802可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(static random access memory，简称sram)，电可擦除可编程只读存储器(electrically erasable programmable read-only memory，简称eeprom)，可擦除可编程只读存储器(erasable programmable read-only memory，简称eprom)，可编程只读存储器(programmable read-only memory，简称prom)，只读存储器(read-only memory，简称rom)，磁存储器，快闪存储器，磁盘或光盘。多媒体组件803可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器802或通过通信组件805发送。音频组件还包括至少一个扬声器，用于输出音频信号。i/o接口804为处理器801和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件805用于该对漏洞优先级排列的设备800与其他设备之间进行有线或无线通信。无线通信，例如wi-fi，蓝牙，近场通信(near fieldcommunication，简称nfc)，2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件805可以包括：
wi-fi模块，蓝牙模块，nfc模块。
59.在一示例性实施例中，对漏洞优先级排列的设备800可以被一个或多个应用专用集成电路(application specific integrated circuit，简称asic)、数字信号处理器(digitalsignal processor，简称dsp)、数字信号处理设备(digital signal processing device，简称dspd)、可编程逻辑器件(programmable logic device，简称pld)、现场可编程门阵列(field programmable gate array，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述的对漏洞优先级排列的方法。
60.在另一示例性实施例中，还提供了一种包括程序指令的计算机可读存储介质，该程序指令被处理器执行时实现上述的对漏洞优先级排列的方法的步骤。例如，该计算机可读存储介质可以为上述包括程序指令的存储器802，上述程序指令可由对漏洞优先级排列的设备800的处理器801执行以完成上述的对漏洞优先级排列的方法。
实施例4：
61.相应于上面的方法实施例，本实施例中还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种对漏洞优先级排列的方法可相互对应参照。
62.一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例的对漏洞优先级排列的方法的步骤。
63.该可读存储介质具体可以为u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
64.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
65.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

技术特征：
1.一种对漏洞优先级排列的方法，其特征在于，包括：获取在预设时间内的所有漏洞信息；对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；对所述二级评估指标项进行权重分析，得到二级权重值；对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。2.根据权利要求1所述的对漏洞优先级排列的方法，其特征在于，获取在预设时间内的所有漏洞信息，包括：根据确定的数据源进行漏洞的初始收集，得到初始漏洞数据集；对所述初始漏洞数据集进行预处理，得到中间漏洞数据集；对所述中间漏洞数据集通过局部敏感哈希去重算法进行计算，得到特征漏洞数据集；对所述特征漏洞数据集进行数据相似性计算，得到所有漏洞信息。3.根据权利要求1所述的对漏洞优先级排列的方法，其特征在于，根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值，包括：对所有所述漏洞信息进行解析，得到漏洞信息所对应的解析数据集；对所述解析数据集通过抽象语法树进行构建，得到漏洞信息的处理数据集；对所述处理数据集进行特征提取，得到所述处理数据集所对应的特征向量；根据所述特征向量通过预设的漏洞预测模型进行漏洞预测，得到漏洞严重性的预测标签，所述漏洞严重性的预测标签用于确定预测权重值；根据所述一级评估指标项和所述漏洞严重性的预测标签进行分析，得到一级权重值。4.根据权利要求3所述的对漏洞优先级排列的方法，其特征在于, 对所述处理数据集进行特征提取，得到所述处理数据集所对应的特征向量，包括：对所述处理数据集中的数据对应生成多个读取序列，所述读取序列用于对所述处理数据集中的数据进行定位；对每个所述读取序列根据预设的长短期神经网络进行向量计算，得到每个读取序列的特征子向量；根据每个所述读取序列的特征子向量进行求解，得到所述处理数据集所对应的特征向量。5.根据权利要求1所述的对漏洞优先级排列的方法，其特征在于,对所述二级评估指标项进行权重分析，得到二级权重值，所述二级评估指标项包括热点漏洞指标项，包括：根据预设的爬取范围对所有所述漏洞信息所对应的平台进行爬取，得到热点漏洞监测信息；对所述热点漏洞监测信息进行预处理，得到热点漏洞预处理信息；根据预设漏洞传播量模型和预设漏洞传播速度模型进行评估模型构建，得到热点漏洞评估模型；对所述热点漏洞预处理信息根据所述热点漏洞评估模型进行分析，得到热点漏洞指标
项所对应的二级权重值。6.一种对漏洞优先级排列的装置，其特征在于，应用了权利要求1至5任意一项所述的对漏洞优先级排列的方法，包括：获取模块，用于获取在预设时间内的所有漏洞信息；第一处理模块，用于对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；第二处理模块，用于根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；第三处理模块，用于对所述二级评估指标项进行权重分析，得到二级权重值；排序模块，用于对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。7.根据权利要求6所述的对漏洞优先级排列的装置，其特征在于，所述获取模块包括：第一获取单元，用于根据确定的数据源进行漏洞的初始收集，得到初始漏洞数据集；预处理单元，用于对所述初始漏洞数据集进行预处理，得到中间漏洞数据集；第一计算单元，用于对所述中间漏洞数据集通过局部敏感哈希去重算法进行计算，得到特征漏洞数据集；第二计算单元，用于对所述特征漏洞数据集进行数据相似性计算，得到所有漏洞信息。8.根据权利要求6所述的对漏洞优先级排列的装置，其特征在于，所述第二处理模块包括：第一处理单元，用于对所有所述漏洞信息进行解析，得到漏洞信息所对应的解析数据集；第二处理单元，用于对所述解析数据集通过抽象语法树进行构建，得到漏洞信息的处理数据集；第三处理单元，用于对所述处理数据集进行特征提取，得到所述处理数据集所对应的特征向量；预测单元，用于根据所述特征向量通过预设的漏洞预测模型进行漏洞预测，得到漏洞严重性的预测标签，所述漏洞严重性的预测标签用于确定预测权重值；第一分析单元，用于根据所述一级评估指标项和所述漏洞严重性的预测标签进行分析，得到一级权重值。9.根据权利要求8所述的对漏洞优先级排列的装置，其特征在于，所述第三处理单元包括：第一处理子单元，用于对所述处理数据集中的数据对应生成多个读取序列，所述读取序列用于对所述处理数据集中的数据进行定位；第二处理子单元，用于对每个所述读取序列根据预设的长短期神经网络进行向量计算，得到每个读取序列的特征子向量；第三处理子单元，用于根据每个所述读取序列的特征子向量进行求解，得到所述处理数据集所对应的特征向量。10.根据权利要求6所述的对漏洞优先级排列的装置，其特征在于，所述第三处理模块包括：
第四处理单元，用于根据预设的爬取范围对所有所述漏洞信息所对应的平台进行爬取，得到热点漏洞监测信息；第五处理单元，用于对所述热点漏洞监测信息进行预处理，得到热点漏洞预处理信息；第六处理单元，用于根据预设漏洞传播量模型和预设漏洞传播速度模型进行评估模型构建，得到热点漏洞评估模型；第二分析单元，用于对所述热点漏洞预处理信息根据所述热点漏洞评估模型进行分析，得到热点漏洞指标项所对应的二级权重值。

技术总结
本发明提供了一种对漏洞优先级排列的方法及装置，涉及漏洞处理技术领域，本方法包括：获取在预设时间内的所有漏洞信息；对所有所述漏洞信息进行漏洞评估指标的确定，得到评估指标项，所述评估指标项包括一级评估指标项和二级评估指标项；根据所述一级评估指标项对所有所述漏洞信息通过预设的漏洞预测模型进行权重计算，得到一级权重值；对所述二级评估指标项进行权重分析，得到二级权重值；对所述评估指标项、所述一级权重值和所述二级权重值通过预设的排序模型进行计算，得到漏洞信息评估值，所述漏洞信息评估值用于进行漏洞优先级排序。本方法使安全人员能够更有效地管理和优化漏洞修复流程，提高漏洞修复的效率和准确性。提高漏洞修复的效率和准确性。提高漏洞修复的效率和准确性。


技术研发人员：付杰 温海林 靳岩 贝松涛
受保护的技术使用者：上海比瓴科技有限公司
技术研发日：2023.08.09
技术公布日：2023/9/9