CN116389034A - 一种漏洞优先级确定方法及装置 - Google Patents

一种漏洞优先级确定方法及装置 Download PDF

Info

Publication number
CN116389034A
CN116389034A CN202211735487.9A CN202211735487A CN116389034A CN 116389034 A CN116389034 A CN 116389034A CN 202211735487 A CN202211735487 A CN 202211735487A CN 116389034 A CN116389034 A CN 116389034A
Authority
CN
China
Prior art keywords
vulnerability
information
factor
determining
loopholes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211735487.9A
Other languages
English (en)
Inventor
康益
郭冬
郭佳兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211735487.9A priority Critical patent/CN116389034A/zh
Publication of CN116389034A publication Critical patent/CN116389034A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供一种漏洞优先级确定方法及装置,应用于漏洞管理技术领域,其中,漏洞优先级确定方法包括:对目标资产进行扫描,获得目标资产上漏洞对应的漏洞信息;根据漏洞信息确定漏洞对应的漏洞评分;其中,漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;根据漏洞评分确定漏洞的优先级,以使用户对优先级高的漏洞进行处理。在上述方案中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子,基于上述四项指标维度,可以提高对漏洞的危险程度的体现程度,从而使得用户可以根据基于上述漏洞评分确定的优先级对漏洞进行处理。因此,可以减轻用户的工作量以及存在安全风险的概率。

Description

一种漏洞优先级确定方法及装置
技术领域
本申请涉及漏洞管理技术领域,具体而言,涉及一种漏洞优先级确定方法及装置。
背景技术
漏洞优先级技术(Vulnerability prioritization technology,VPT)是一个漏洞管理领域的微创新技术,被广泛用于漏洞评估领域。这是因为,在安全运营工作中,想修复所有的漏洞几乎不可能,VPT是采用某些方法和流程,动态的将需要修复的漏洞进行优先级排序和流程优化,提高修复效率,以达到用最少的时间实现最好的效果。
在现有技术中,一般基于CVSS(Common Vulnerability Scoring System)评分确定漏洞的优先级。其中,CVSS是由事件响应与安全团队论坛创建,并由美国国家漏洞库保持数据日常维护更新的一套漏洞评价标准体系,主要目的是帮助行业衡量漏洞危害的严重程度,并指导行业进行漏洞修复。但是,采用上述方式确定的漏洞优先级并不能很好的体现漏洞的危险程度,从而导致安全风险存在的概率变高。
发明内容
本申请实施例的目的在于提供一种漏洞优先级确定方法及装置,用以解决现有技术中确定漏洞优先级的方式并不能很好的体现漏洞的危险程度,从而导致安全风险存在的概率变高的技术问题。
第一方面,本申请实施例提供一种漏洞优先级确定方法,包括:对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
在上述方案中,根据扫描到的目标资产上漏洞对应的漏洞信息,可以确定漏洞对应的漏洞评分。其中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子,基于上述四项指标维度,可以提高对漏洞的危险程度的体现程度,从而使得用户可以根据基于上述漏洞评分确定的优先级对漏洞进行处理。因此,可以减轻用户的工作量以及存在安全风险的概率。
在可选的实施方式中,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:根据所述漏洞信息确定所述漏洞对应的CVSS评分信息,并根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息;获取表征所述漏洞是否存在利用脚本的脚本信息以及表征所述漏洞是否存在官方补丁的补丁信息;根据所述CVSS评分信息、所述调用信息、所述脚本信息以及所述补丁信息确定所述威胁能力因子。
在上述方案中,根据漏洞被黑客利用的经验,当漏洞存在利用脚本且漏洞软件厂商没有提供官方补丁时,可以认为该漏洞属于1day漏洞。此外,如果漏洞可以被远程调用,则说明该漏洞是黑客较为喜欢利用的漏洞。因此,因此,基于上述分析,在基于CVSS评分的基础上,可以根据漏洞的远程调用情况、脚本信息以及补丁信息修正漏洞的威胁能力因子。其中,当漏洞能够被远程调用、存在利用脚本、没有官方补丁时,漏洞的威胁能力因子较高,漏洞的危险程度较高,因此,漏洞的优先级越高。
在可选的实施方式中,所述根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息,包括:在所述CVSS评分信息表征所述漏洞存在对应的CVSS评分时,根据所述CVSS评分信息判断所述漏洞是否被远程调用;在所述CVSS评分信息表征所述漏洞不存在对应的CVSS评分时,利用TF-IDF算法判断所述漏洞是否被远程调用。
在可选的实施方式中,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:根据所述漏洞信息验证所述漏洞是否存在,得到对应的验证因子;获取所述目标资产对应的资产网络环境信息,并根据所述资产网络环境信息判断所述目标资产是否有被攻击的风险,得到对应的保护因子;根据扫描所述漏洞对应的厂商信息以及所述漏洞信息确定对应的漏洞来源可信度;根据所述验证因子、所述保护因子以及所述漏洞来源可信度确定所述可利用度因子。
在上述方案中,可以结合漏洞是否经过验证、漏洞所在的目标资产是否被安全设备保护以及漏洞的来源确定漏洞的可利用度因子。其中,当漏洞的可利用度因子越小时,漏洞存在的可能性越小;当漏洞不存在时,说明不需要对漏洞进行处理,因此,漏洞的优先级较低。
在可选的实施方式中,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:根据所述漏洞信息确定所述目标资产对应的漏洞数量;获取所述目标资产对应的流量信息;根据所述漏洞数量以及所述流量信息确定所述频率因子。
在上述方案中,通过汇总目标资产上的漏洞数以及目标资产的流量信息,可以获取漏洞的频率因子。其中,当漏洞的频率因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
在可选的实施方式中,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:获取所述用户处理所述漏洞所用的第一时间以及所述用户从发现所述漏洞到处理所述漏洞的第二时间;根据所述第一时间以及所述第二时间确定所述时间因子。
在上述方案中,通过分析用户对漏洞的处理时间,可以看出用户对各种类型漏洞的关注程度。因此,可以通过统计用户处理漏洞所用的第一时间以及用户从发现漏洞到处理所述漏洞的第二时间来确定漏洞的时间因子。其中,当漏洞的时间因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
在可选的实施方式中,所述漏洞评分还包括自定义因子,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,还包括:根据所述漏洞信息判断所述漏洞与所述用户定义的自定义项目匹配上的数量;根据所述数量确定所述自定义因子。
在上述方案中,根据用户实际情况的不同,用户可以对漏洞对应的其他项目提出个性化的需求,因此,用户可以根据实际情况添加自定义项目作为附加评分。当漏洞与越多自定义项目匹配上时,说明漏洞的危险程度越高,因此,漏洞的优先级越高。
第二方面,本申请实施例提供一种漏洞优先级确定装置,包括:扫描模块,用于对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;第一确定模块,用于根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;第二确定模块,用于根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
在上述方案中,根据扫描到的目标资产上漏洞对应的漏洞信息,可以确定漏洞对应的漏洞评分。其中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子,基于上述四项指标维度,可以提高对漏洞的危险程度的体现程度,从而使得用户可以根据基于上述漏洞评分确定的优先级对漏洞进行处理。因此,可以减轻用户的工作量以及存在安全风险的概率。
在可选的实施方式中,所述第一确定模块具体用于:根据所述漏洞信息确定所述漏洞对应的CVSS评分信息,并根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息;获取表征所述漏洞是否存在利用脚本的脚本信息以及表征所述漏洞是否存在官方补丁的补丁信息;根据所述CVSS评分信息、所述调用信息、所述脚本信息以及所述补丁信息确定所述威胁能力因子。
在上述方案中,根据漏洞被黑客利用的经验,当漏洞存在利用脚本且漏洞软件厂商没有提供官方补丁时,可以认为该漏洞属于1day漏洞。此外,如果漏洞可以被远程调用,则说明该漏洞是黑客较为喜欢利用的漏洞。因此,因此,基于上述分析,在基于CVSS评分的基础上,可以根据漏洞的远程调用情况、脚本信息以及补丁信息修正漏洞的威胁能力因子。其中,当漏洞能够被远程调用、存在利用脚本、没有官方补丁时,漏洞的威胁能力因子较高,漏洞的危险程度较高,因此,漏洞的优先级越高。
在可选的实施方式中,所述第一确定模块还用于:在所述CVSS评分信息表征所述漏洞存在对应的CVSS评分时,根据所述CVSS评分信息判断所述漏洞是否被远程调用;在所述CVSS评分信息表征所述漏洞不存在对应的CVSS评分时,利用TF-IDF算法判断所述漏洞是否被远程调用。
在可选的实施方式中,所述第一确定模块具体用于:根据所述漏洞信息验证所述漏洞是否存在,得到对应的验证因子;获取所述目标资产对应的资产网络环境信息,并根据所述资产网络环境信息判断所述目标资产是否有被攻击的风险,得到对应的保护因子;根据扫描所述漏洞对应的厂商信息以及所述漏洞信息确定对应的漏洞来源可信度;根据所述验证因子、所述保护因子以及所述漏洞来源可信度确定所述可利用度因子。
在上述方案中,可以结合漏洞是否经过验证、漏洞所在的目标资产是否被安全设备保护以及漏洞的来源确定漏洞的可利用度因子。其中,当漏洞的可利用度因子越小时,漏洞存在的可能性越小;当漏洞不存在时,说明不需要对漏洞进行处理,因此,漏洞的优先级较低。
在可选的实施方式中,在所述漏洞评分包括所述频率因子时,所述第一确定模块具体用于:根据所述漏洞信息确定所述目标资产对应的漏洞数量;获取所述目标资产对应的流量信息;根据所述漏洞数量以及所述流量信息确定所述频率因子。
在上述方案中,通过汇总目标资产上的漏洞数以及目标资产的流量信息,可以获取漏洞的频率因子。其中,当漏洞的频率因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
在可选的实施方式中,在所述漏洞评分包括所述时间因子时,所述第一确定模块具体用于:获取所述用户处理所述漏洞所用的第一时间以及所述用户从发现所述漏洞到处理所述漏洞的第二时间;根据所述第一时间以及所述第二时间确定所述时间因子。
在上述方案中,通过分析用户对漏洞的处理时间,可以看出用户对各种类型漏洞的关注程度。因此,可以通过统计用户处理漏洞所用的第一时间以及用户从发现漏洞到处理所述漏洞的第二时间来确定漏洞的时间因子。其中,当漏洞的时间因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
在可选的实施方式中,所述漏洞评分还包括自定义因子,所述第一确定模块还用于:根据所述漏洞信息判断所述漏洞与所述用户定义的自定义项目匹配上的数量;根据所述数量确定所述自定义因子。
在上述方案中,根据用户实际情况的不同,用户可以对漏洞对应的其他项目提出个性化的需求,因此,用户可以根据实际情况添加自定义项目作为附加评分。当漏洞与越多自定义项目匹配上时,说明漏洞的危险程度越高,因此,漏洞的优先级越高。
第三方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如第一方面所述的漏洞优先级确定方法。
第四方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如第一方面所述的漏洞优先级确定方法。
第五方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如第一方面所述的漏洞优先级确定方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种漏洞优先级确定方法的流程图;
图2为本申请实施例提供的一种漏洞优先级确定装置的结构框图;
图3为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
在介绍本申请实施例提供的漏洞优先级确定方法之前,首先对本申请实施例中涉及到的背景技术进行介绍。
信息风险因素分析(Factor Analysis of Information Risk,FAIR)是近年发展起来的一种量化评估网络信息安全风险的方法。该方法是一种面向网络信息安全的(简化版的)风险量化评估模型和方法,以结构化方式量化评估信息安全风险的概率和结果大小。
0day漏洞、1day漏洞以及Nday漏洞:0day漏洞是漏洞信息未公布的漏洞,此时漏洞攻击程序入侵所有***;1day漏洞是漏洞信息被公布后,官方没有补丁或修复方案,此时漏洞攻击程序可以入侵大部分***;Nday漏洞是漏洞信息以后官方补丁或修复方案,此时漏洞攻击程序只能入侵未及时修复的***。
CVSS是由事件响应与安全团队论坛创建,并由美国国家漏洞库保持数据日常维护更新的一套漏洞评价标准体系,主要目的是帮助行业衡量漏洞危害的严重程度,并指导行业进行漏洞修复。用CVSS评分机制对新安全漏洞进行危害性评价时,通常会从基础维度(Base Metric Group)、生命周期维度(Temporal Metric Group)和环境维度(Environmental Metric Group)进行评估,并生成一个0到10分之间的评分值来评估漏洞的严重程度。
为了解决现有技术中存在的技术问题,本申请实施例参考上述FAIR,以威胁能力因子、可利用度因子、频率因子以及时间因子为4个主要指标维度,并支持用户根据实际情况添加自定义选型和选择优先级评估模式配置适合自身使用场景的VPT评估模型,能够对0day漏洞、1day漏洞以及Nday漏洞都有相应的响应措施,从而使得本申请实施例的优先级评估结果成为漏洞处理人员的重要参考依据,减轻相应的工作量和安全风险。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种漏洞优先级确定方法的流程图,该漏洞优先级确定方法可以包括如下步骤:
步骤S101:对目标资产进行扫描,获得目标资产上漏洞对应的漏洞信息。
步骤S102:根据漏洞信息确定漏洞对应的漏洞评分;其中,漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子。
步骤S103:根据漏洞评分确定漏洞的优先级,以使用户对优先级高的漏洞进行处理。
具体的,在上述步骤S101中,本申请实施例对目标资产进行扫描的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况以及现有技术进行合适的调整。
漏洞对应的漏洞信息是指与该漏洞相关的一些信息。需要说明的是,本申请实施例对上述漏洞信息的具体实施方式同样不作具体的限定,本领域技术人员同样可以根据实际情况进行合适的调整。举例来说,漏洞信息可以包括漏洞对应的漏洞类型;或者,漏洞信息可以包括漏洞是否有对应的CVSS评分;或者,漏洞信息可以包括用户对漏洞进行处理的相关信息等。
在上述步骤S102中,漏洞评分是基于漏洞信息确定的一个数值。在本申请实施例中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子中的一项或者多项。举例来说,漏洞评分可以仅包括威胁能力因子;或者,漏洞评分可以同时包括威胁能力因子、可利用度因子、频率因子以及时间因子。
其中,威胁能力因子为一个数值,用于表征漏洞的威胁程度。可以理解的是,当漏洞的威胁能力因子越大时,说明漏洞的威胁程度越高,需要优先对漏洞进行处理,此时,漏洞的优先级越高;当漏洞的威胁能力因子越小时,说明漏洞的威胁程度越低,不需要优先对漏洞进行处理,此时,漏洞的优先级越低。
可利用度因子为一个数值,用于表征漏洞是否可以利用。可以理解的是,当漏洞的可利用因子越大时,说明漏洞可以被利用的可能性越高,可以优先对漏洞进行处理,此时,漏洞的优先级越高;当漏洞的可利用因子越小时,说明漏洞的可以被利用的可能性越低,不需要优先对漏洞进行处理,此时,漏洞的优先级越低;当漏洞的可利用因子为0时,说明漏洞不可以被利用,不需要对漏洞进行处理。
频率因子为一个数值,用于表征漏洞出现的频率。可以理解的是,当漏洞的频率因子越大时,说明漏洞出现的频率越高,可以优先对漏洞进行处理,此时,漏洞的优先级越高;当漏洞的频率因子越小时,说明漏洞出现的频率越低,不需要优先对漏洞进行处理,此时,漏洞的优先级越低。
时间因子为一个数值,用于表征用户对漏洞的关注程度。可以理解的是,当漏洞的时间因子越大时,说明用户对漏洞的关注程度越高,可以优先对漏洞进行处理,此时,漏洞的优先级越高;当漏洞的时间因子越小时,说明用户对漏洞的关注程度越低,不需要优先对漏洞进行处理,此时,漏洞的优先级越低。
需要说明的是,漏洞评分的数值大小可以有多种确定方式。举例来说,漏洞评分的数值大小可以等于其包括的四项因子的乘积;或者,漏洞评分的数值大小可以等于其包括的四项因子加权平均值等。
当漏洞评分的数值大小等于其包括的多项因子的乘积,作为一种实施方式,若用户对多项因子中的部分因子更加偏重时,可以放大用户偏重的因子的数值大小,从而放大用户偏重的因子对最终漏洞评分造成的影响。
当漏洞评分的数值大小等于其包括的多项因子加权平均值,作为一种实施方式,若用户对多项因子中的部分因子更加偏重时,可以放大用户偏重的因子的权重大小,从而放大用户偏重的因子对最终漏洞评分造成的影响。
此外,本申请实施例对确定上述威胁能力因子、可利用度因子、频率因子以及时间因子的具体实施方式同样不作具体的限定,本领域技术人员同样可以根据实际情况进行合适的调整。
在上述步骤S103中,可以根据漏洞评分确定漏洞的优先级,用户在知晓漏洞的优先级之后,可以根据上述优先级,从高到低对漏洞进行相应的处理。
作为一种实施方式,当漏洞评分与漏洞的优先级成正比时,漏洞评分越高,说明漏洞的危险程度越高,因此,漏洞的优先级越高;当漏洞评分与漏洞的优先级成反比时,漏洞评分越高,说明漏洞的危险程度越低,因此,漏洞的优先级越低。
需要说明的是,本申请实施例对用户根据优先级顺序对漏洞进行处理的具体实时方式不作具体的限定,本领域技术人员可以根据实际情况以及漏洞的类型进行合适的调整。
在上述方案中,根据扫描到的目标资产上漏洞对应的漏洞信息,可以确定漏洞对应的漏洞评分。其中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子,基于上述四项指标维度,可以提高对漏洞的危险程度的体现程度,从而使得用户可以根据基于上述漏洞评分确定的优先级对漏洞进行处理。因此,可以减轻用户的工作量以及存在安全风险的概率。
进一步的,在上述实施例的基础上,下面对确定威胁能力因子的具体实施方式进行介绍。在该种实施方式中,上述步骤S102具体可以包括如下步骤:
步骤1),根据漏洞信息确定漏洞对应的CVSS评分信息,并根据CVSS评分信息确定表征漏洞是否被远程调用的调用信息。
步骤2),获取表征漏洞是否存在利用脚本的脚本信息以及表征漏洞是否存在官方补丁的补丁信息。
步骤3),根据CVSS评分信息、调用信息、脚本信息以及补丁信息确定威胁能力因子。
具体的,在上述步骤1)中,可以根据漏洞信息确定漏洞对应的CVSS评分信息。其中,本申请实施例对上述CVSS评分信息的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,CVSS评分信息可以包括表征漏洞是否存在对应的CVSS评分;或者,CVSS评分信息包括CVSS评分细则等。
基于上述CVSS评分信息,可以判断漏洞是否被远程调用;当漏洞被远程调用时,漏洞的威胁能力较高。
在上述步骤2)中,还可以获取漏洞的脚本信息以及补丁信息。其中,脚本信息表征漏洞是否存在利用脚本,而补丁信息表征漏洞是否存在官方补丁。当漏洞存在利用脚本时,漏洞的威胁能力较高;当漏洞存在官方补丁时,漏洞的威胁能力较低。
需要说明的是,本申请实施例对上述利用脚本的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整,例如:POC、EXP等。
在上述步骤3)中,结合漏洞的调用信息、脚本信息以及补丁信息,若漏洞有对应的CVSS评分详情,则可以直接对已有的CVSS评分进行修正,得到对应的威胁能力因子;若漏洞没有对应的CVSS评分详情,则使用漏洞的评级直接给一个基础分数来进行修正,最终获取到对应的威胁能力因子。因此,依照漏洞能否被远程调用、漏洞是否存在利用脚本、漏洞是否存在官方补丁,可以对CVSS分数或者基础分数进行如表1示出的修正。
Figure BDA0004032748360000141
表1基于调用信息、脚本信息以及补丁信息进行修正的对照表
因此,通过此种威胁能力判断方式可以对没有CVSS评分或者刚发布的漏洞特别是1day漏洞进行威胁评估。
需要说明的是,当用户对威胁能力因子偏重时,可以通过如下公式对威胁能力因子进行修正:
P1=10-2×(10-A1);
其中,P1表示修正后的威胁能力因子,A1表示修正前的威胁能力因子。
在上述方案中,根据漏洞被黑客利用的经验,当漏洞存在利用脚本且漏洞软件厂商没有提供官方补丁时,可以认为该漏洞属于1day漏洞。此外,如果漏洞可以被远程调用,则说明该漏洞是黑客较为喜欢利用的漏洞。因此,因此,基于上述分析,在基于CVSS评分的基础上,可以根据漏洞的远程调用情况、脚本信息以及补丁信息修正漏洞的威胁能力因子。其中,当漏洞能够被远程调用、存在利用脚本、没有官方补丁时,漏洞的威胁能力因子较高,漏洞的危险程度较高,因此,漏洞的优先级越高。
进一步的,在上述实施例的基础上,上述根据CVSS评分信息确定表征漏洞是否被远程调用的调用信息的步骤,具体可以包括如下步骤:
步骤1),在CVSS评分信息表征漏洞存在对应的CVSS评分时,根据CVSS评分信息判断漏洞是否被远程调用。
步骤2),在CVSS评分信息表征漏洞不存在对应的CVSS评分时,利用TF-IDF算法判断漏洞是否被远程调用。
具体的,在上述步骤1)中,可以根据CVSS评分信息判断漏洞是否存在对应的CVSS评分;若CVSS评分信息表征漏洞存在对应的CVSS评分,则可以采用如下方式判断漏洞是否被远程调用:根据CVSS评分细则中的攻击途径获取漏洞是否被远程调用。
在上述步骤2)中,同样可以根据CVSS评分信息判断漏洞是否存在对应的CVSS评分;若漏洞没有对应的CVSS评分详情,则可以根据漏洞的基本情况使用TF-IDF算法分析判断漏洞是否被远程调用。
其中,TF-IDF算法主要思想为:如果一个单词在该文章中出现的频率高,并且在其它文章中出现频率很低,则认为该单词具有很好的区分能力,适合用来进行分类。因此,可以基于对已有的漏洞信息进行TF-IDF算法获知的关于漏洞详情中对于远程调用描述的高频词来区分漏洞是否可以被远程调用。
进一步的,在上述实施例的基础上,上述步骤S102具体可以包括如下步骤:
步骤1),根据漏洞信息验证漏洞是否存在,得到对应的验证因子。
步骤2),获取目标资产对应的资产网络环境信息,并根据资产网络环境信息判断目标资产是否有被攻击的风险,得到对应的保护因子。
步骤3),根据扫描漏洞对应的厂商信息以及漏洞信息确定对应的漏洞来源可信度。
步骤4),根据验证因子、保护因子以及漏洞来源可信度确定可利用度因子。
具体的,在上述步骤1)中,可以通过漏洞的POC来验证漏洞是否存在,得到对应的验证因子。作为一种实施方式,当漏洞存在时,其对应的验证因子为1;当漏洞不存在时,其对应的验证因子为0;当未对漏洞进行验证时,其对应的验证因子为0.8。
在上述步骤2)中,根据资产网络环境信息以及漏洞信息,可以判断目标资产是否有被攻击的风险,得到对应的保护因子。其中,资产网络环境信息是指目标资产对应的相关信息。作为一种实施方式,当目标资产没有被攻击的风险时,其对应的保护因子为0.5;当目标资产有被攻击的风险时,其对应的保护因子为1。
需要说明的是,当目标资产被安全设备保护时,可以认为目标资产没有被攻击的风险。
在上述步骤3)中,因为目前很多漏扫设备扫描是直接通过被扫描设备的软件版本来判断,而不能真实的去判断漏洞是否存在,因此,可以根据扫描漏洞对应的厂商信息以及漏洞信息确定对应的漏洞来源可信度。其中,广商信息可以包括漏扫报告来源厂商及厂商扫描是否只是根据软件版本来探测;基于上述厂商信息以及漏洞信息,可以制定多种不同的可信度参数,作为对应的漏洞来源可信度。
在上述步骤4)中,根据上述验证因子、保护因子以及漏洞来源可信度,可以确定漏洞对应的可利用度因子。需要说明的是,本申请实施例对根据验证因子、保护因子以及漏洞来源可信度确定可利用度因子的具体实施方式不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,可利用度因子的数值大小可以等于验证因子、保护因子以及漏洞来源可信度的乘积;或者,可利用度因子的数值大小可以等于验证因子、保护因子以及漏洞来源可信度的加权平均值等。
需要说明的是,当用户对可利用度因子偏重时,可以通过如下公式对可利用度因子进行修正:
P2=1-1.5×(1-A2);
其中,P2表示修正后的可利用度因子,A2表示修正前的可利用度因子;若基于上述公式计算得到P2小于0,则P2直接取0。
在上述方案中,可以结合漏洞是否经过验证、漏洞所在的目标资产是否被安全设备保护以及漏洞的来源确定漏洞的可利用度因子。其中,当漏洞的可利用度因子越小时,漏洞存在的可能性越小;当漏洞不存在时,说明不需要对漏洞进行处理,因此,漏洞的优先级较低。
进一步的,在上述实施例的基础上,在漏洞评分包括频率因子时,上述步骤S102具体可以包括如下步骤:
步骤1),根据漏洞信息确定目标资产对应的漏洞数量。
步骤2),获取目标资产对应的流量信息。
步骤3),根据漏洞数量以及流量信息确定频率因子。
具体的,发明人发现,要避免或者减少零日漏洞的攻击危害,就需要做好常规的漏洞防护工作,这是因为在实际的漏洞修复过程中,很多修复方案都是隐藏软件的指纹信息避免被黑客的指纹扫描软件给识别到,也就是说如果一个软件或***的脆弱性管理也就是漏洞防护工作做的到位的话,是可以一定程度上被识别出0day漏洞对应的软件信息,达到减少被黑客针对性使用0day漏洞攻击脚本攻击的概率的。因此,可以将漏洞的频率因子作为漏洞优先级评估的维度之一。
在上述步骤3)中,作为一种实施方式,可以根据以下表2确定漏洞对应的频率因子,其中,表2示出了漏洞数量以及流量信息与频率因子之间的关系。
Figure BDA0004032748360000181
Figure BDA0004032748360000191
表2漏洞数量以及流量信息与频率因子之间的关系
需要说明的是,当用户对频率因子偏重时,可以通过如下公式对频率因子进行修正:
P3=1-2×(1-A3);
其中,P3表示修正后的频率因子,A3表示修正前的频率因子;若基于上述公式计算得到P3小于0,则P3直接取0。
在上述方案中,通过汇总目标资产上的漏洞数以及目标资产的流量信息,可以获取漏洞的频率因子。其中,当漏洞的频率因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
进一步的,在上述实施例的基础上,在漏洞评分包括时间因子时,上述步骤S102具体可以包括如下步骤:
步骤1),获取用户处理漏洞所用的第一时间以及用户从发现漏洞到处理漏洞的第二时间。
步骤2),根据第一时间以及第二时间确定时间因子。
具体的,作为一个成熟的漏洞处置机制的一部分,通过分析用户对各种类型漏洞的处置时间,可以看出用户对各种类型漏洞的关注程度,所以某个类型的漏洞处置时间出现了问题,也可以很清晰的作为存在管理脆弱性的一个写照。因此,可以将用户处理漏洞时间超时的情况,作为漏洞优先级评估的维度之一。
由于用户处理漏洞超时和未超时属于对立的两种分类情况,因此,在上述步骤2)中,可以首先确定用户针对漏洞的处置时间因子。
作为一种实施方式,可以使用sigmoid函数通过如下公式确定上述处置时间因子:
Figure BDA0004032748360000201
其中,Sx表示处置时间因子,q表示用户处理漏洞所用的第一时间,x表示用户从发现漏洞到处理漏洞的第二时间。
由上述公式可知,当用户处理漏洞未超时的情况下,上述处置时间因子趋于0且不大于0.5;当用户处理漏洞超时,上述处置时间因子大于0.5且趋于1。
因此,可以通过如下公式确定时间因子:
P4=1+Sx×w;
其中,P4表示时间因子,w表示权重系数,其中,当用户对时间因子偏重时,w=2,当用户对时间因子不偏重时,w=1。
在上述方案中,通过分析用户对漏洞的处理时间,可以看出用户对各种类型漏洞的关注程度。因此,可以通过统计用户处理漏洞所用的第一时间以及用户从发现漏洞到处理漏洞的第二时间来确定漏洞的时间因子。其中,当漏洞的时间因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
进一步的,在上述实施例的基础上,漏洞评分还包括自定义因子,此时,上述步骤S102还可以包括如下步骤:
步骤1),根据漏洞信息判断漏洞与用户定义的自定义项目匹配上的数量。
步骤2),根据数量确定自定义因子。
具体的,在上述步骤1)中,根据用户现场的实际情况不同,用户可能会对不同项目提出个性化要求,因此,用户可以根据实际情况添加自定义项目作为附加评分。
需要说明的是,本申请实施例对自定义项目的具体实施方式不作集体的限定,本领域技术人员可以根据实际情况进行合适的调整。举例来说,自定义项目可以包括重点关注资产、资产类型、业务***、安全域等。
根据漏洞信息,可以判断漏洞与用户定义的自定义项目能否匹配上,并统计可以匹配上的自定义项目的数量。
在上述步骤2)中,自定义因子的数值大小可以根据漏洞匹配自定义项目的数量决定。作为一种实施方式,可以根据以下表3确定漏洞对应的自定义因子,其中,表3示出了漏洞匹配自定义项目的数量与自定义因子之间的关系。
漏洞匹配自定义项目的数量 自定义因子
0个 0
1个 15
2个 18
大于3个 20
表3漏洞匹配自定义项目的数量与自定义因子之间的关系
需要说明的是,在上述四项因子的基础上,若增加自定义因子确定漏洞评分,则可以在根据上述四项因子确定的评分的基础上加上上述自定义因子,得到对应的漏洞评分。
在上述方案中,根据用户实际情况的不同,用户可以对漏洞对应的其他项目提出个性化的需求,因此,用户可以根据实际情况添加自定义项目作为附加评分。当漏洞与越多自定义项目匹配上时,说明漏洞的危险程度越高,因此,漏洞的优先级越高。
因此,基于上述漏洞优先级确定方法,首先,通过漏洞优先级评估体系的筛选,优先处理对***环境威胁较大的漏洞,减少漏洞处理人员的工作量;其次,通过按照漏洞优先级的推荐顺序修复漏洞,可以对危害性较大的1day漏洞进行优先处理,增强***对0day漏洞的防御能力,减少Nday漏洞可能对***造成威胁的可能。
请参照图2,图2为本申请实施例提供的一种漏洞优先级确定装置的结构框图,该漏洞优先级确定装置200包括:扫描模块201,用于对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;第一确定模块202,用于根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;第二确定模块203,用于根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
在上述方案中,根据扫描到的目标资产上漏洞对应的漏洞信息,可以确定漏洞对应的漏洞评分。其中,漏洞评分可以包括威胁能力因子、可利用度因子、频率因子以及时间因子,基于上述四项指标维度,可以提高对漏洞的危险程度的体现程度,从而使得用户可以根据基于上述漏洞评分确定的优先级对漏洞进行处理。因此,可以减轻用户的工作量以及存在安全风险的概率。
进一步的,在上述实施例的基础上,所述第一确定模块具体202用于:根据所述漏洞信息确定所述漏洞对应的CVSS评分信息,并根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息;获取表征所述漏洞是否存在利用脚本的脚本信息以及表征所述漏洞是否存在官方补丁的补丁信息;根据所述CVSS评分信息、所述调用信息、所述脚本信息以及所述补丁信息确定所述威胁能力因子。
在上述方案中,根据漏洞被黑客利用的经验,当漏洞存在利用脚本且漏洞软件厂商没有提供官方补丁时,可以认为该漏洞属于1day漏洞。此外,如果漏洞可以被远程调用,则说明该漏洞是黑客较为喜欢利用的漏洞。因此,因此,基于上述分析,在基于CVSS评分的基础上,可以根据漏洞的远程调用情况、脚本信息以及补丁信息修正漏洞的威胁能力因子。其中,当漏洞能够被远程调用、存在利用脚本、没有官方补丁时,漏洞的威胁能力因子较高,漏洞的危险程度较高,因此,漏洞的优先级越高。
在可选的实施方式中,所述第一确定模块具还于:在所述CVSS评分信息表征所述漏洞存在对应的CVSS评分时,根据所述CVSS评分信息判断所述漏洞是否被远程调用;在所述CVSS评分信息表征所述漏洞不存在对应的CVSS评分时,利用TF-IDF算法判断所述漏洞是否被远程调用。
进一步的,在上述实施例的基础上,所述第一确定模块202具体用于:根据所述漏洞信息验证所述漏洞是否存在,得到对应的验证因子;获取所述目标资产对应的资产网络环境信息,并根据所述资产网络环境信息判断所述目标资产是否有被攻击的风险,得到对应的保护因子;根据扫描所述漏洞对应的厂商信息以及所述漏洞信息确定对应的漏洞来源可信度;根据所述验证因子、所述保护因子以及所述漏洞来源可信度确定所述可利用度因子。
在上述方案中,可以结合漏洞是否经过验证、漏洞所在的目标资产是否被安全设备保护以及漏洞的来源确定漏洞的可利用度因子。其中,当漏洞的可利用度因子越小时,漏洞存在的可能性越小;当漏洞不存在时,说明不需要对漏洞进行处理,因此,漏洞的优先级较低。
进一步的,在上述实施例的基础上,在所述漏洞评分包括所述频率因子时,所述第一确定模块202具体用于:根据所述漏洞信息确定所述目标资产对应的漏洞数量;获取所述目标资产对应的流量信息;根据所述漏洞数量以及所述流量信息确定所述频率因子。
在上述方案中,通过汇总目标资产上的漏洞数以及目标资产的流量信息,可以获取漏洞的频率因子。其中,当漏洞的频率因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
进一步的,在上述实施例的基础上,在所述漏洞评分包括所述时间因子时,所述第一确定模块202具体用于:获取所述用户处理所述漏洞所用的第一时间以及所述用户从发现所述漏洞到处理所述漏洞的第二时间;根据所述第一时间以及所述第二时间确定所述时间因子。
在上述方案中,通过分析用户对漏洞的处理时间,可以看出用户对各种类型漏洞的关注程度。因此,可以通过统计用户处理漏洞所用的第一时间以及用户从发现漏洞到处理所述漏洞的第二时间来确定漏洞的时间因子。其中,当漏洞的时间因子越大时,漏洞的危险程度越高,因此,漏洞的优先级越高。
进一步的,在上述实施例的基础上,所述漏洞评分还包括自定义因子,所述第一确定模块202还用于:根据所述漏洞信息判断所述漏洞与所述用户定义的自定义项目匹配上的数量;根据所述数量确定所述自定义因子。
在上述方案中,根据用户实际情况的不同,用户可以对漏洞对应的其他项目提出个性化的需求,因此,用户可以根据实际情况添加自定义项目作为附加评分。当漏洞与越多自定义项目匹配上时,说明漏洞的危险程度越高,因此,漏洞的优先级越高。
请参照图3,图3为本申请实施例提供的一种电子设备的结构框图,该电子设备300包括:至少一个处理器301,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信,通信接口302用于与其他节点设备进行信令或数据的通信,存储器303存储有处理器301可执行的机器可读指令。当电子设备300运行时,处理器301与存储器303之间通过通信总线304通信,机器可读指令被处理器301调用时执行上述漏洞优先级确定方法。
例如,本申请实施例的处理器301通过通信总线304从存储器303读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:对目标资产进行扫描,获得目标资产上漏洞对应的漏洞信息。步骤S102:根据漏洞信息确定漏洞对应的漏洞评分;其中,漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子。步骤S103:根据漏洞评分确定漏洞的优先级,以使用户对优先级高的漏洞进行处理。
其中,处理器301包括一个或多个,其可以是一种集成电路芯片,具有信号的处理能力。上述的处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、微控制单元(Micro Controller Unit,简称MCU)、网络处理器(NetworkProcessor,简称NP)或者其他常规处理器;还可以是专用处理器,包括神经网络处理器(Neural-network Processing Unit,简称NPU)、图形处理器(Graphics Processing Unit,简称GPU)、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuits,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且,在处理器301为多个时,其中的一部分可以是通用处理器,另一部分可以是专用处理器。
存储器303包括一个或多个,其可以是,但不限于,随机存取存储器(RandomAccess Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),电可擦除可编程只读存储器(ElectricErasable Programmable Read-Only Memory,简称EEPROM)等。
可以理解,图3所示的结构仅为示意,电子设备300还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备300可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备300也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在计算机可读存储介质上的计算机程序,计算机程序包括计算机程序指令,当计算机程序指令被计算机执行时,计算机能够执行上述实施例中漏洞优先级确定方法的步骤,例如包括:对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行前述方法实施例所述的漏洞优先级确定方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (11)

1.一种漏洞优先级确定方法,其特征在于,包括:
对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;
根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;
根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
2.根据权利要求1所述的漏洞优先级确定方法,其特征在于,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:
根据所述漏洞信息确定所述漏洞对应的CVSS评分信息,并根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息;
获取表征所述漏洞是否存在利用脚本的脚本信息以及表征所述漏洞是否存在官方补丁的补丁信息;
根据所述CVSS评分信息、所述调用信息、所述脚本信息以及所述补丁信息确定所述威胁能力因子。
3.根据权利要求2所述的漏洞优先级确定方法,其特征在于,所述根据所述CVSS评分信息确定表征所述漏洞是否被远程调用的调用信息,包括:
在所述CVSS评分信息表征所述漏洞存在对应的CVSS评分时,根据所述CVSS评分信息判断所述漏洞是否被远程调用;
在所述CVSS评分信息表征所述漏洞不存在对应的CVSS评分时,利用TF-IDF算法判断所述漏洞是否被远程调用。
4.根据权利要求1所述的漏洞优先级确定方法,其特征在于,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:
根据所述漏洞信息验证所述漏洞是否存在,得到对应的验证因子;
获取所述目标资产对应的资产网络环境信息,并根据所述资产网络环境信息判断所述目标资产是否有被攻击的风险,得到对应的保护因子;
根据扫描所述漏洞对应的厂商信息以及所述漏洞信息确定对应的漏洞来源可信度;
根据所述验证因子、所述保护因子以及所述漏洞来源可信度确定所述可利用度因子。
5.根据权利要求1所述的漏洞优先级确定方法,其特征在于,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:
根据所述漏洞信息确定所述目标资产对应的漏洞数量;
获取所述目标资产对应的流量信息;
根据所述漏洞数量以及所述流量信息确定所述频率因子。
6.根据权利要求1所述的漏洞优先级确定方法,其特征在于,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,包括:
获取所述用户处理所述漏洞所用的第一时间以及所述用户从发现所述漏洞到处理所述漏洞的第二时间;
根据所述第一时间以及所述第二时间确定所述时间因子。
7.根据权利要求1-6任一项所述的漏洞优先级确定方法,其特征在于,所述漏洞评分还包括自定义因子,所述根据所述漏洞信息确定所述漏洞对应的漏洞评分,还包括:
根据所述漏洞信息判断所述漏洞与所述用户定义的自定义项目匹配上的数量;
根据所述数量确定所述自定义因子。
8.一种漏洞优先级确定装置,其特征在于,包括:
扫描模块,用于对目标资产进行扫描,获得所述目标资产上漏洞对应的漏洞信息;
第一确定模块,用于根据所述漏洞信息确定所述漏洞对应的漏洞评分;其中,所述漏洞评分包括威胁能力因子、可利用度因子、频率因子以及时间因子;
第二确定模块,用于根据所述漏洞评分确定所述漏洞的优先级,以使用户对所述优先级高的漏洞进行处理。
9.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-7任一项所述的漏洞优先级确定方法。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-7任一项所述的漏洞优先级确定方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-7任一项所述的漏洞优先级确定方法。
CN202211735487.9A 2022-12-30 2022-12-30 一种漏洞优先级确定方法及装置 Pending CN116389034A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211735487.9A CN116389034A (zh) 2022-12-30 2022-12-30 一种漏洞优先级确定方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211735487.9A CN116389034A (zh) 2022-12-30 2022-12-30 一种漏洞优先级确定方法及装置

Publications (1)

Publication Number Publication Date
CN116389034A true CN116389034A (zh) 2023-07-04

Family

ID=86979388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211735487.9A Pending CN116389034A (zh) 2022-12-30 2022-12-30 一种漏洞优先级确定方法及装置

Country Status (1)

Country Link
CN (1) CN116389034A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116720197A (zh) * 2023-08-09 2023-09-08 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置
CN116915461A (zh) * 2023-07-14 2023-10-20 北京立思辰安科技术有限公司 一种获取最终漏洞扫描设备的数据处理***
CN117692187A (zh) * 2023-12-04 2024-03-12 湖北华中电力科技开发有限责任公司 一种基于动态的漏洞修复优先级排序方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116915461A (zh) * 2023-07-14 2023-10-20 北京立思辰安科技术有限公司 一种获取最终漏洞扫描设备的数据处理***
CN116915461B (zh) * 2023-07-14 2024-06-07 北京立思辰安科技术有限公司 一种获取最终漏洞扫描设备的数据处理***
CN116720197A (zh) * 2023-08-09 2023-09-08 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置
CN116720197B (zh) * 2023-08-09 2023-11-03 北京比瓴科技有限公司 一种对漏洞优先级排列的方法及装置
CN117692187A (zh) * 2023-12-04 2024-03-12 湖北华中电力科技开发有限责任公司 一种基于动态的漏洞修复优先级排序方法及装置
CN117692187B (zh) * 2023-12-04 2024-06-04 湖北华中电力科技开发有限责任公司 一种基于动态的漏洞修复优先级排序方法及装置

Similar Documents

Publication Publication Date Title
JP7441582B2 (ja) データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム
CN116389034A (zh) 一种漏洞优先级确定方法及装置
US11570211B1 (en) Detection of phishing attacks using similarity analysis
CN108933785B (zh) 网络风险监控方法、装置、计算机设备及存储介质
US11531766B2 (en) Systems and methods for attributing security vulnerabilities to a configuration of a client device
US9413773B2 (en) Method and apparatus for classifying and combining computer attack information
KR101702614B1 (ko) 온라인 사기 검출 동적 점수 합계 시스템 및 방법
US9798981B2 (en) Determining malware based on signal tokens
US20160029221A1 (en) Methods and Systems for Detecting Malware and Attacks that Target Behavioral Security Mechanisms of a Mobile Device
US20160156646A1 (en) Signal tokens indicative of malware
CN109600362B (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
US10104112B2 (en) Rating threat submitter
CN109886016B (zh) 用于检测异常数据的方法、设备和计算机可读存储介质
CN109684878B (zh) 一种基于区块链技术隐私信息防篡改方法及***
CN112307477A (zh) 代码检测方法、装置、存储介质以及终端
CN107070845B (zh) 用于检测网络钓鱼脚本的***和方法
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及***
US11157620B2 (en) Classification of executable files using a digest of a call graph pattern
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、***及设备
CN110852091A (zh) 错别字的监测方法、装置、电子设备和计算机可读介质
CN112235312B (zh) 一种安全事件的可信度确定方法、装置及电子设备
CN114357458A (zh) 一种数据库风险评估***、方法、电子设备及存储介质
CN112085590B (zh) 规则模型的安全性的确定方法、装置和服务器
CN116708036B (zh) 告警数据的评分方法、***及电子设备
CN111143843B (zh) 恶意应用程序的检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination