CN114817929B - 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 - Google Patents
物联网漏洞动态追踪和处理方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114817929B CN114817929B CN202210409775.9A CN202210409775A CN114817929B CN 114817929 B CN114817929 B CN 114817929B CN 202210409775 A CN202210409775 A CN 202210409775A CN 114817929 B CN114817929 B CN 114817929B
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- information
- information table
- data
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Animal Behavior & Ethology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及物联网技术领域,尤其是涉及物联网漏洞动态追踪和处理方法、装置、电子设备及介质,该方法包括:采集漏洞数据;根据漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表;根据当前设备信息表和当前漏洞信息表更新多维知识图谱,多维知识图谱基于历史设备信息表和历史漏洞信息表构建;其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息,本申请可为后续对物联网漏洞的处理提供数据支撑,对物联网漏洞进行高效细粒度分类和处理。
Description
技术领域
本申请涉及物联网技术领域,尤其是涉及物联网漏洞动态追踪和处理方法、装置、电子设备及介质。
背景技术
随着物联网技术的发展创新,海量的物联网设备源源不断的接入网络,部分物联网设备由于缺乏官方持续的技术支持和补丁更新程序,产生了大量的已知漏洞。
目前国际主流的漏洞共享平台未对物联网漏洞做专门的细分类别,国内主流的漏洞披露平台是采用人工或半自动方式进行分类,均存在一定的延时性,相关平台无法满足安全研究人员对物联网漏洞进行处理的高时效性的需求,因此如何通过对物联网漏洞进行高效的、细粒度的分类,供安全研究人员及时对物联网漏洞精准的进行分析,从而可以为后续的安全检测和威胁预警等提供数据支撑成为一个亟需解决的问题。
发明内容
为了为后续对物联网漏洞的处理提供数据支撑,对物联网漏洞进行高效细粒度分类和处理,本申请提出了物联网漏洞动态追踪和处理方法、装置、电子设备及介质。
在本申请的第一方面,提出了一种物联网漏洞动态追踪和处理方法,该方法包括,采集漏洞数据;根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表;根据当前设备信息表和当前漏洞信息表更新多维知识图谱,所述多维知识图谱基于历史设备信息表和历史漏洞信息表构建;其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息。
通过采用上述技术方案,可以定时或基于预设的频率来采集漏洞数据,根据采集到的漏洞数据来更新完善历史设备信息表和历史漏洞信息表,再根据当前设备信息表和当前漏洞信息表来更新知识图谱。通过这种方式,可以及时获取到最新的漏洞数据,在漏洞数据中识别出物联网漏洞,并将物联网漏洞的最新信息更新到设备信息表和漏洞信息表中,从而来更新知识图谱。这样在获取到物联网漏洞的新的威胁情报时,知识图谱可以为安全研究人员提供最新和最全的漏洞关联关系,使得安全研究人员能够快速对物联网漏洞进行处理。
优选地,所述漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据,根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,包括:根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞;将识别到的物联网漏洞在,所述漏洞信息数据中对应的漏洞信息,更新至所述历史设备信息表以及历史漏洞信息表中;根据更新后的所述历史漏洞信息表,确定所述Poc数据和所述威胁情报数据中是否存在物联网漏洞;若存在,则将确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到所述历史漏洞信息表中。
通过采用上述技术方案,采集的漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据,漏洞信息数据是漏洞的一些基本信息,包括CVE编号、漏洞描述信息、漏洞类型、漏洞对应的CPE列表等等,Poc数据是漏洞概念验证代码,威胁情报数据是为了还原已发生的攻击和预测未发生的攻击所需要的线索信息,基于漏洞信息数据更新历史设备信息表和历史漏洞信息表可以使得两个表的信息更加完整,并且完善了知识图谱,采集Poc数据和威胁情报数据可以及时发现物联网漏洞相关的威胁信息,在发现新的物联网漏洞相关的威胁情报后也可以将情报实时推送给安全研究人员,也可由安全研究人员在历史漏洞信息表中定时来获取新增的威胁情报信息,能够快速应对新的威胁情报信息。
优选地,根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞包括,根据所述历史设备信息表生成设备厂商字典、设备型号字典、设备类型字典以及设备标识字典;若四个字典中至少两个字典与所述漏洞信息数据中漏洞对应的漏洞信息相匹配,则确定该漏洞为物联网漏洞。
通过采用上述技术方案,历史设备信息表中至少包括有设备厂商、设备型号、设备类型以及设备标识这四个字段以及物联网漏洞对应于这四个字段的值,历史信息表的预建立是通过采集的网络平台中已公开的所有物联网漏洞的信息来形成的,但是因数据量庞大,故可能会存在部分漏洞信息不完整的情况,故将这四个字段分别对应生成字典来进行匹配可以使得对物联网漏洞的识别更加准确。
优选地,所述将识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息更新至所述历史设备信息表以及历史漏洞信息表中包括,若四个字典中至少一个字典与识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息不相匹配,则在所述漏洞信息数据中提取所述物联网漏洞对应于所述不相匹配的字典的实际信息;将在字典中匹配到的信息和提取的实际信息合并并更新至所述历史设备信息表中;在所述漏洞信息数据中提取所述历史漏洞信息表中每个字段对应的信息并更新至所述历史漏洞信息表中。
通过采用上述技术方案,可以将识别到的物联网漏洞对应于设备信息表中每个字段的信息均获取到,使得每次更新的信息是完整的无需再进行补充的,同时在漏洞信息数据中提取历史漏洞信息表中每个字段对应的信息即可以完善已存在于历史漏洞信息表中的物联网漏洞对应的漏洞信息,也可将新获取的物联网漏洞对应的漏洞信息完整的存储于历史漏洞信息表中。
优选地,在所述漏洞信息数据中提取所述物联网漏洞对应于所述不相匹配的字典的实际信息包括,判断所述漏洞信息数据中是否存在所述物联网漏洞的CPE列表;若是,则在所述CPE列表中获取所述物联网漏洞的设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息;若否,则基于预训练的命名实体模型在所述漏洞信息数据中提取所述物联网漏洞的设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息。
通过采用上述技术方案,CPE列表,即通用平台列举,CPE列表是一个固定格式,大部分CPE列表包括有该物联网漏洞对应的设备厂商信息、设备型号信息、设备类型信息以及设备标识信息这四个信息,故在补充信息时,首先需检查在采集的漏洞信息数据中是否存在物联网漏洞对应的CPE列表,若存在,则可通过列表将信息提取完整。由于部分新的物联网漏洞的CPE列表更新会存在一定延时性,若不存在,再通过预训练的命名实体模型在漏洞描述信息中提取相应的信息进行补充,这种方式可以完善相应数据内容,及时的获取到最新的物联网漏洞信息。
优选地,所述漏洞信息表、Poc数据以及威胁情报数据均至少包括CVE编号,根据更新后的所述历史漏洞信息表确定所述Poc数据和所述威胁情报数据中是否存在物联网漏洞包括,提取所述Poc数据以及威胁情报数据中的相同的CVE编号,判断所述历史漏洞信息表中是否存在所述CVE编号;若存在,则确定所述Poc数据和所述威胁情报数据中存在物联网漏洞。
通过采用上述技术方案,在Poc数据中以及威胁情报数据中提取到相同的CVE编号,再将该CVE编号与历史漏洞信息表中的CVE编号进行比对,是因为Poc数据可对威胁情报数据中的漏洞进行了验证,提高了威胁情报数据的准确性,且CVE编号是漏洞的唯一身份识别标识,这种方式可以提高威胁信息的识别准确性。
优选地,在所述根据所述漏洞数据更新历史设备信息表和历史漏洞信息表之前还包括,对采集的所述漏洞数据进行去重和融合处理。
通过采用上述技术方案,可以去除已处理过的旧数据,融合处理使数据量减少,增强采集的漏洞数据的质量。
在本申请的第二方面,提出了一种物联网漏洞动态追踪和处理装置,该装置包括采集模块,用于采集漏洞数据;第一更新模块,用于根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表;第二更新模块,根据当前设备信息表和当前漏洞信息表更新多维知识图谱,所述多维知识图谱基于历史设备信息表和历史漏洞信息表构建;其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息。
在本申请的第三方面,提出了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如第一方面中任一项所述的方法。
在本申请的第四方面,提出了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面中任一项所述的方法。
综上所述,本申请包括以下至少一种有益技术效果:
1.高效细粒度的对物联网漏洞进行分类,并通过知识图谱将物联网漏洞与相关联的设备厂商、设备类型进行关系展示,安全研究人员可直接迅速地分析漏洞之间的关系,为后续处理提供了数据支持。
2.及时更新物联网漏洞的相关信息,使得安全研究人员可及时获取到最新的信息。
3.解放人工,自动对漏洞信息进行处理,涵盖范围广。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本申请实施例的一种电子设备的结构图。
图2所示为本申请实施例的物联网漏洞动态追踪和处理方法的流程图。
图3所示为本申请实施例中物联网漏洞动态追踪和处理装置的原理框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
随着物联网技术的发展创新,海量的物联网设备源源不断的接入网络,部分物联网设备由于缺乏官方持续的技术支持和补丁更新程序,产生了大量的已知漏洞。但是目前国际主流的漏洞共享平台未对物联网漏洞做专门的细分类别,国内主流的漏洞披露平台是采用人工或半自动方式进行分类的,对物联网漏洞的获取均存在一定的延时性,相关平台无法满足安全研究人员对物联网漏洞进行处理的高时效性的需求,因此如何通过对物联网漏洞进行高效的、细粒度的分类来对物联网漏洞分析,从而可以为后续的安全检测和威胁预警等提供数据支撑成为一个亟需解决的问题。
接下来对本申请实施例所涉及的***架构进行介绍。需要说明的是,本申请实施例描述的***架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
图1示出了本申请实施例的一种电子设备的结构图。
参见图1,电子设备100包括处理器101和存储器103。其中,处理器101和存储器103相连,如通过总线102相连。可选地,电子设备100还可以包括收发器104。需要说明的是,实际应用中收发器104不限于一个,该电子设备100的结构并不构成对本申请实施例的限定。
处理器101可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器101也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线102可包括一通路,在上述组件之间传送信息。总线102可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线102可以分为地址总线、数据总线、控制总线等。为便于表示,图1中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器103可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器103用于存储执行本申请方案的应用程序代码,并由处理器101来控制执行。处理器101用于执行存储器103中存储的应用程序代码,以实现物联网漏洞动态追踪和处理方法。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。需要说明的是,图1示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
图2所示为本申请实施例的物联网漏洞动态追踪和处理方法的流程图,如图2所示,该方法包括,
步骤S201,采集漏洞数据。
在步骤S201中,可以采用定时或基于预设频率采集漏洞数据,并且采用增量式来采集全网络平台上公开的漏洞信息,具体的,可以利用爬虫程序或调用API等方式来实现定时增量采集漏洞数据,本申请采集的漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据,其中漏洞信息数据具体又包括漏洞的CVE编号(通用漏洞披露编号)、漏洞描述信息、CVSS(即“通用漏洞评分***”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度)信息、漏洞类型、相关链接、漏洞对应的CPE(通用平台列举)等,针对于漏洞信息数据,因采集的源头不同,会出现语言不统一的情况,故将不同源头采集漏洞信息数据存入不同的数据库,也可将相同语言的漏洞信息数据存入相同的数据库,具体的可根据实际采集情况创建数据库。因本申请中对漏洞数据优先的采取增量式的采集方式,故在一些申请实施例中,采集到的漏洞数据需要进行去重和融合处理,尤其是漏洞信息数据,因漏洞均有CVE编号作为唯一身份标识,故可基于CVE编号对漏洞信息数据进行去重和融合处理,在一中可实现的方式中,可利用数据库去重或根据HTTP缓存机制去重。融合处理可根据预先设定的融合规则来进行融合,在一个示例中,如果从不同站点采集的A和B两个漏洞信息拥有相同的CVE编号,那么视为同一个漏洞,A中有漏洞标题信息,B中没有,那么就取A中的漏洞标题作为漏洞的标题,若A和B在CVSS中的危险评分一致,取其中一个即可。将去重和融合处理后的漏洞信息数据语言进行统一,统一存入一个非关系型数据库中进行存储。
步骤S202,根据漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表。
在本申请实施例中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息,且两个表是预先设定且相关联的,在一种可实现的方式中,历史设备信息表和历史漏洞信息表的预先设定是通过搜集网络中已公开的所有物联网漏洞的相关信息,进行处理整理形成的。设备信息表和漏洞信息表通过物联网漏洞的CVE编号进行关联。
表1是本申请实施例中设备信息表示例,参见表1,设备信息表中包括有设备厂商、设备型号、设备类型以及设备标识四个字段,创建设备信息库用来存储设备信息表。
表1设备信息表
本申请中还创建有漏洞信息库,用来存储漏洞信息表,本申请中漏洞信息表包括CVE编号,标题,CWE(通用弱点枚举),CPE(通用平台列举),相关链接,漏洞类型,对应的设备类型、设备厂商,POC(漏洞概念验证代码),漏洞标题,解决措施等。
在一些申请实施例中,根据漏洞数据更新历史设备信息表和历史漏洞信息表通过以下步骤实现:
步骤A1,根据历史设备信息表识别漏洞信息数据中的物联网漏洞。
在步骤A1中,根据历史设备信息表识别物联网漏洞的实现过程如下:根据历史设备信息表生成设备厂商字典、设备型号字典、设备类型字典以及设备标识字典;本申请实施例中历史设备信息表中至少包含有设备厂商、设备型号、设备类型以及设备标识四个字段,将这四个字段对应的生成四个字典,每个字典包含历史设备信息表中对应字段已存储的值,例如,历史设备信息表中的设备厂商字段含有C1-C6共6个厂商,则设备厂商字典包括{“C1”,“C2”,“C3”,“C4”,“C5”,“C6”},其他三个字典与设备厂商字典生产方式相同。四个字典中的值与历史设备信息表保持相同,当历史设备信息表发生更新或删减,则字典对应的也需做更新或删减。然后根据四个字典来进行物联网漏洞的识别,具体的,若四个字典中至少两个字典与漏洞信息数据中漏洞对应的漏洞信息相匹配,则确定该漏洞为物联网漏洞。采集的漏洞信息数据至少会包括一个漏洞相关的信息,漏洞的CVE编号、漏洞描述信息、CVSS信息、漏洞类型、相关链接、漏洞对应的CPE等,这些信息可能存在收集不完整的情况。以采集的漏洞信息数据中仅包括一个漏洞为例,使四个字典分别与漏洞信息数据进行匹配,即在漏洞信息数据中提取该漏洞的设备厂商、设备型号、设备类型以及设备标识四个字段对应的信息,然后在四个字典中进行值的匹配,只要至少两个字典在漏洞信息数据中匹配到了相同的值,则判定该漏洞为物联网漏洞。在一些申请实施例中,也可判断在漏洞信息数据中提取的信息是否与至少两个字典相关联,是否相关联可通过关键字进行判断,若至少两个字典与漏洞信息数据相关联,则判定该漏洞为物联网漏洞。
步骤A2,将识别到的物联网漏洞在漏洞信息数据中对应的漏洞信息更新至历史设备信息表以及历史漏洞信息表中。
在步骤A2中,更新历史设备信息表时,首先需要判断步骤A1中是否四个字典均与漏洞信息数据中漏洞对应的漏洞信息相匹配,若是,则这四个字典匹配到的值即该物联网漏洞对应于历史设备信息表中每个字段的值,在将这条记录更新至设备信息表之前,遍历历史设备信息表,检查是否已存在这条记录,若存在,则无需对历史设备信息表进行更新,避免重复存储。
在一些申请实施例中,若四个字典中至少一个字典与识别到的物联网漏洞在漏洞信息数据中对应的漏洞信息不相匹配,则在漏洞信息数据中提取物联网漏洞对应于不相匹配的字典的实际信息,其中,在漏洞信息数据中提取实际信息的过程包括,检查漏洞信息数据中是否存在该物联网漏洞的CPE列表;若存在,则在CPE列表中获取该物联网漏洞的对应于不相匹配的字典所代表的字段的实际信息,即设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息;若漏洞信息数据中不存在该物联网漏洞的CPE列表,则基于预训练的命名实体模型在漏洞信息数据中提取该物联网漏洞的对应于不相匹配的字典所代表的字段的实际信息,即设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息。
因大多数物联网漏洞都会有对应CPE列表,即通用平台列举,CPE列表是一个固定格式,会包括有该物联网漏洞对应的设备厂商信息、设备型号信息、设备类型信息以及设备标识信息这四个信息,故在提取信息时,首先需检查在采集的漏洞信息数据中是否存在物联网漏洞对应的CPE列表,若存在,则可通过列表将信息提取完整,若不存在,再通过预训练的命名实体模型在漏洞描述信息中提取相应的信息,这种方式可以自动补全相应确实字段数据,增加漏洞信息的可阅读性与完整性。
将在字典中匹配到的信息和提取的实际信息合并,形成该物联网漏洞对应于历史设备信息表中每个字段的一条记录,并将合并后的完整记录更新至历史设备信息表中,生成当前设备信息表。在更新历史设备信息表后,还包括根据当前设备信息表更新四个字典。在一种可实现的方式中,在漏洞信息数据中提取设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息后,可以将该物联网漏洞的这条记录做标记,由安全研究人员进行复核,确认正确后再更新至历史设备信息表中。
本申请实施例中,设备厂商字典、设备型号字典、设备类型字典以及设备标识字典这四个字典是根据设备信息表进行实时更新,通过自扩容字典的技术方案可以使得字典信息保持最新的状态,并且保证了对物联网漏洞的识别的准确性。
在更新历史漏洞信息表时,则可利用预训练的命名实体模型在漏洞信息数据中提取历史漏洞信息表中每个字段对应的信息并更新至历史漏洞信息表中,若提取的信息与历史漏洞信息表中已存在的信息相同,则不作更改,更新的为历史漏洞信息表中对应于该物联网漏洞不存在或者不相同的信息。
步骤A3,根据更新后的历史漏洞信息表确定Poc数据和威胁情报数据中是否存在物联网漏洞。
在根据漏洞信息数据更新完历史设备信息表和历史漏洞信息表后,再根据更新后的历史漏洞信息表,来确定Poc数据和威胁情报数据中是否存在物联网漏洞,历史漏洞信息表中至少存储有物联网漏洞对应的CVE编号,Poc数据以及威胁情报数据也至少包括有采集到的漏洞对应的CVE编号,首先通过正则表达式提取Poc数据以及威胁情报数据中的相同的CVE编号,提取相同CVE编号是因为威胁情报数据中的漏洞信息可能会存在虚假、重复、不完整的情况,Poc是漏洞概念验证代码,如果Poc数据中存在于威胁情报数据中相同的CVE编号,证明该CVE变比对应的漏洞已经过验证,或有高度关联,是确实是存在的漏洞,这种方式可以提高威胁情报数据的准确性,然后将提取到的相同的CVE编号与历史漏洞信息表中的每个物联网漏洞的CVE编号进行比对,判断历史漏洞信息表中是否存在相同的CVE编号,若存在,则确定Poc数据和威胁情报数据中存在物联网漏洞。
步骤A4,若存在,则将确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到历史漏洞信息表中。
在步骤A4中,将步骤A3中确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到历史漏洞信息表中,即在历史漏洞信息表中添加该物联网漏洞对应的Poc数据和/或威胁情报数据对应的URL。完成对历史漏洞信息表的更新,生产当前漏洞信息表。
在一些申请实施例中,将当前漏洞信息表中新增的威胁情报数据推送给安全研究人员,一方面可由安全研究人员进行核查,另一方面可使安全研究人员及时的获取到威胁情报信息,及时对相关的漏洞进行处理。
步骤S203,根据当前设备信息表和当前漏洞信息表更新多维知识图谱,多维知识图谱基于历史设备信息表和历史漏洞信息表构建。
在本申请实施例中,预先设定历史设备信息表和历史漏洞信息表后,可依据历史设备信息表以及历史漏洞信息表之间的关联关系构建最初的知识图谱,本申请中,从两个维度来构建知识图谱,同一个设备厂商,基于历史设备信息表中已有的设备厂商字段的信息,将物联网漏洞进行分类来构建知识图谱;同一个设备类型,基于历史设备信息表中已有的设备类型字段的信息,将物联网漏洞进行分类来构建知识图谱。在一些申请实施例中,也可根据历史设备信息表中的其他字段构建多个维度的知识图谱。
其中,构建的知识图谱中还包括有漏洞与漏洞之间的关联度,其关联度取值范围为0到5,如表2所示为漏洞与漏洞之间关联度的计算表,从五个维度去计算漏洞之间的关联度,对于每一个维度,相同取值1,否则取值0,关联度为各维度取值之和。
表2关联度计算表
在每次采集漏洞数据对历史设备信息表和历史漏洞信息表进行更新后,都需对知识图谱进行相应的信息更新,这样在获取到物联网漏洞的新的威胁情报时,知识图谱可以为安全研究人员提供最新的漏洞关联关系,使得安全研究人员能够快速对物联网漏洞进行处理,为安全研究人员提供强大的数据支撑。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图3所示为本申请实施例中物联网漏洞动态追踪和处理装置的原理框图,参照图3,该装置包括:
采集模块301,用于采集漏洞数据。
第一更新模块302,用于根据漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表。
第二更新模块303,根据当前设备信息表和当前漏洞信息表更新多维知识图谱,多维知识图谱基于历史设备信息表和历史漏洞信息表构建。
其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息。
在一些申请实施例中,漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据,第一更新模块具体用于根据历史设备信息表识别漏洞信息数据中的物联网漏洞;将识别到的物联网漏洞在漏洞信息数据中对应的漏洞信息更新至历史设备信息表以及历史漏洞信息表中;根据更新后的历史漏洞信息表确定Poc数据和威胁情报数据中是否存在物联网漏洞;若存在,则将确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到历史漏洞信息表中。
在一些申请实施例中,该装置还包括处理模块,用于对采集的漏洞数据进行去重和融合处理。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (8)
1.一种物联网漏洞动态追踪和处理方法,其特征在于,包括:
采集漏洞数据;根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表;根据当前设备信息表和当前漏洞信息表更新多维知识图谱,所述多维知识图谱基于历史设备信息表和历史漏洞信息表构建;其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息;
所述漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据,根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,包括:
根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞;将识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息更新至所述历史设备信息表以及历史漏洞信息表中;根据更新后的所述历史漏洞信息表确定所述Poc数据和所述威胁情报数据中是否存在物联网漏洞;若存在,则将确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到所述历史漏洞信息表中;
根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞,包括:
根据所述历史设备信息表生成设备厂商字典、设备型号字典、设备类型字典以及设备标识字典;若四个字典中至少两个字典与所述漏洞信息数据中漏洞对应的漏洞信息相匹配,则确定该漏洞为物联网漏洞。
2.根据权利要求1所述的物联网漏洞动态追踪和处理方 法,其特征在于,所述将识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息更新至所述历史设备信息表以及历史漏洞信息表中,包括:
若四个字典中至少一个字典与识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息不相匹配,则在所述漏洞信息数据中提取所述物联网漏洞对应于所述不相匹配的字典的实际信息;将在字典中匹配到的信息和提取的实际信息合并并更新至所述历史设备信息表中;在所述漏洞信息数据中提取所述历史漏洞信息表中每个字段对应的信息并更新至所述历史漏洞信息表中。
3.根据权利要求2所述的物联网漏洞动态追踪和处理方法,其特征在于,在所述漏洞信息数据中提取所述物联网漏洞对应于所述不相匹配的字典的实际信息,包括:
判断所述漏洞信息数据中是否存在所述物联网漏洞的CPE列表;若是,则在所述CPE列表中获取所述物联网漏洞的设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息;若否,则基于预训练的命名实体模型在所述漏洞信息数据中提取所述物联网漏洞的设备厂商信息、设备型号信息、设备类型信息和/或设备标识信息。
4.根据权利要求1所述的物联网漏洞动态追踪和处理方法,其特征在于,所述历史漏洞信息表、Poc数据以及威胁情报数据均至少包括CVE编号,根据更新后的所述漏洞信息表确定所述Poc数据和所述威胁情报数据中是否存在物联网漏洞,包括:
提取所述Poc数据以及威胁情报数据中的相同的CVE编号,判断所述历史漏洞信息表中是否存在所述CVE编号:
若存在,则确定所述Poc数据和所述威胁情报数据中存在物联网漏洞。
5.根据权利要求1所述的物联网漏洞动态追踪和处理方法,其特征在于,在所述根据所述漏洞数据更新历史设备信息表和历史漏洞信息表之前还,包括:
对采集的所述漏洞数据进行去重和融合处理。
6.一种物联网漏洞动态追踪和处理装置,其特征在于,包括:
采集模块,用于采集漏洞数据,所述漏洞数据包括漏洞信息数据、Poc数据以及威胁情报数据;第一更新模块,用于根据所述漏洞数据更新历史设备信息表和历史漏洞信息表,生成当前设备信息表和当前漏洞信息表,具体包括:
根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞;将识别到的物联网漏洞在所述漏洞信息数据中对应的漏洞信息更新至所述历史设备信息表以及历史漏洞信息表中;根据更新后的所述历史漏洞信息表确定所述Poc数据和所述威胁情报数据中是否存在物联网漏洞;若存在,则将确定出的物联网漏洞对应的Poc数据以及威胁情报数据更新到所述历史漏洞信息表中;
其中,根据历史设备信息表识别所述漏洞信息数据中的物联网漏洞,包括:
根据所述历史设备信息表生成设备厂商字典、设备型号字典、设备类型字典以及设备标识字典;若四个字典中至少两个字典与所述漏洞信息数据中漏洞对应的漏洞信息相匹配,则确定该漏洞为物联网漏洞;
第二更新模块,根据当前设备信息表和当前漏洞信息表更新多维知识图谱,所述多维知识图谱基于历史设备信息表和历史漏洞信息表构建;其中,设备信息表用于存储物联网漏洞关联的设备信息,漏洞信息表用于存储物联网漏洞的基本信息。
7.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210409775.9A CN114817929B (zh) | 2022-04-19 | 2022-04-19 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210409775.9A CN114817929B (zh) | 2022-04-19 | 2022-04-19 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114817929A CN114817929A (zh) | 2022-07-29 |
| CN114817929B true CN114817929B (zh) | 2022-11-22 |
Family
ID=82504791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210409775.9A Active CN114817929B (zh) | 2022-04-19 | 2022-04-19 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114817929B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109542846A (zh) * | 2018-11-16 | 2019-03-29 | 重庆邮电大学 | 一种基于数据虚拟化的物联网脆弱性信息管理*** |
| CN112671716A (zh) * | 2020-12-03 | 2021-04-16 | 中国电子科技网络信息安全有限公司 | 基于图谱的漏洞知识挖掘方法及*** |
| CN112699382A (zh) * | 2021-03-25 | 2021-04-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
| CN112749396A (zh) * | 2021-01-21 | 2021-05-04 | 恒安嘉新(北京)科技股份公司 | 安全漏洞知识图谱的构建方法、装置、设备和存储介质 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161426A (zh) * | 2016-06-08 | 2016-11-23 | 北京工业大学 | 一种应用于工业物联网的漏洞扫描方法 |
| CN107154940A (zh) * | 2017-05-11 | 2017-09-12 | 济南大学 | 一种物联网漏洞扫描***及扫描方法 |
| KR101881271B1 (ko) * | 2017-11-15 | 2018-07-25 | 한국인터넷진흥원 | 취약점 정보를 수집하는 장치 및 그 방법 |
| KR101850098B1 (ko) * | 2017-11-21 | 2018-04-19 | 한국인터넷진흥원 | 취약점 정보 공유 문서 생성 방법, 그 시스템 및 장치 |
| JP7174559B2 (ja) * | 2018-08-01 | 2022-11-17 | 株式会社野村総合研究所 | 脆弱性管理システム及びプログラム |
| CN109218336B (zh) * | 2018-11-16 | 2021-02-19 | 北京知道创宇信息技术股份有限公司 | 漏洞防御方法及*** |
| CN110321708B (zh) * | 2019-03-21 | 2021-04-23 | 北京天防安全科技有限公司 | 一种基于资产类别的快速漏洞扫描方法及*** |
| CN110391937B (zh) * | 2019-07-25 | 2022-03-04 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网*** |
| CN111310195A (zh) * | 2020-03-27 | 2020-06-19 | 北京双湃智安科技有限公司 | 一种安全漏洞管理方法、装置、***、设备和存储介质 |
| CN113315767B (zh) * | 2021-05-26 | 2023-08-22 | 国网山东省电力公司电力科学研究院 | 一种电力物联网设备安全检测***及方法 |
| CN113407946A (zh) * | 2021-06-19 | 2021-09-17 | 西安电子科技大学 | 一种针对IoT设备的智能防护方法、*** |
| CN113704767A (zh) * | 2021-08-10 | 2021-11-26 | 北京凌云信安科技有限公司 | 融合漏洞扫描引擎和漏洞工单管理的漏洞管理*** |
| CN113609261B (zh) * | 2021-08-25 | 2023-10-31 | 北京华云安信息技术有限公司 | 基于网络信息安全的知识图谱的漏洞信息挖掘方法和装置 |
| CN114168968A (zh) * | 2021-12-08 | 2022-03-11 | 四川启睿克科技有限公司 | 一种基于物联网设备指纹的漏洞挖掘方法 |
-
2022
- 2022-04-19 CN CN202210409775.9A patent/CN114817929B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109542846A (zh) * | 2018-11-16 | 2019-03-29 | 重庆邮电大学 | 一种基于数据虚拟化的物联网脆弱性信息管理*** |
| CN112671716A (zh) * | 2020-12-03 | 2021-04-16 | 中国电子科技网络信息安全有限公司 | 基于图谱的漏洞知识挖掘方法及*** |
| CN112749396A (zh) * | 2021-01-21 | 2021-05-04 | 恒安嘉新(北京)科技股份公司 | 安全漏洞知识图谱的构建方法、装置、设备和存储介质 |
| CN112699382A (zh) * | 2021-03-25 | 2021-04-23 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 物联网网络安全风险的评估方法、装置及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114817929A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11250137B2 (en) | Vulnerability assessment based on machine inference | |
| US10095780B2 (en) | Automatically mining patterns for rule based data standardization systems | |
| JP2013504118A (ja) | クエリのセマンティックパターンに基づく情報検索 | |
| CN112422574A (zh) | 风险账号的识别方法、装置、介质及电子设备 | |
| CN103455758A (zh) | 恶意网站的识别方法及装置 | |
| CN115827895A (zh) | 一种漏洞知识图谱处理方法、装置、设备及介质 | |
| CN105630656A (zh) | 基于日志模型的***健壮性分析方法及装置 | |
| US20210044606A1 (en) | Automatic generation of detection alerts | |
| CN114139161A (zh) | 一种批量检测漏洞的方法、装置、电子设备及介质 | |
| CN111221690B (zh) | 针对集成电路设计的模型确定方法、装置及终端 | |
| CN112559526A (zh) | 数据表导出方法、装置、计算机设备及存储介质 | |
| CN110765100B (zh) | 标签的生成方法、装置、计算机可读存储介质及服务器 | |
| CN114817929B (zh) | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 | |
| CN116821903A (zh) | 检测规则确定及恶意二进制文件检测方法、设备及介质 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN109597828B (zh) | 一种离线数据核对方法、装置及服务器 | |
| CN114816518A (zh) | 基于simhash的源代码中开源成分筛选识别方法及*** | |
| CN112187768B (zh) | 不良信息网站的检测方法、装置、设备及可读存储介质 | |
| US11347722B2 (en) | Big data regression verification method and big data regression verification apparatus | |
| CN117851608B (zh) | 案件图谱生成方法、装置、设备和介质 | |
| CN111177719B (zh) | 地址类别判定方法、装置、计算机可读存储介质及设备 | |
| CN116483735B (zh) | 一种代码变更的影响分析方法、装置、存储介质及设备 | |
| CN117539759A (zh) | 一种相似缺陷的识别方法、***、电子设备及存储介质 | |
| CN115829059A (zh) | 数据模型更新方法、装置、电子设备及存储介质 | |
| CN115794862A (zh) | 数据库数据的校验方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |