[发明专利]基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法

说明书

本发明涉及一种基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法，属于信息安全技术领域。具体操作为：步骤一、构建一个漏洞数据库，收集漏洞记录。步骤二、确定特权集类别。步骤三、训练词频‑逆向文件频率分类器。步骤四、测试词频‑逆向文件频率分类器分类结果和准确率。步骤五、建立朴素贝叶斯分类器。步骤六、测试朴素贝叶斯分类器分类结果和准确率。步骤七、分类器融合。本发明提出的支持漏洞关联性挖掘的漏洞自动分类法与已有方法相比较，其优点是：本发明方法不仅利用了漏洞数据库中“漏洞描述”字段，同时考虑了漏洞的“可用性评分”、“影响性评分”等属性对漏洞关联性的影响，分类准确率得到大幅提高。

技术领域

本发明涉及一种基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法，属于信息安全技术领域。

背景技术

网络安全脆弱性是指计算机系统中存在某些可能被恶意主体(攻击者或攻击程序)利用的安全漏洞，从而可能导致对系统资源的非授权访问或对系统造成其他损害。近年来逐渐发展成熟的脆弱性扫描技术及CVE(Common VulnerabilitiesExposures，公共漏洞和暴露)标准与通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)漏洞评级方法，可以检测并发现网络中存在的脆弱点，但无法分析脆弱点之间的关联性与相互利用关系。而网络风险中的攻击手段往往是通过彼此关联的漏洞，从一个漏洞切入，逐步利用网络中与此相关的漏洞扩散至整个网络。因此研究挖掘漏洞之间的关联性有重大意义。

漏洞关联图是一个描述漏洞间关联关系的有向图，它提供了一种形式化、系统化描述漏洞关联性的方法，能比较直观地反映出漏洞之间的关联关系。漏洞的关联往往体现在某低用户级L的攻击者通过成功地利用某个漏洞，获得一定的特权提升，从而在非授权的情况下达到了一个高用户级H的目的。现有的一种描述用户权限提升过程的方法是采用“特权”、“特权集”与“特权提升”的概念，利用决策树的方法将访问者与特权集集合起来，将访问者分为若干类，并将其拥有的特权集按重要程度设置一个量化的权值，比如在0-1之内的若干个小数。

目前存在的漏洞分类法主要有普渡大学COAST实验室的Aslam提出的Unix操作系统分类法，分为操作故障、环境故障和编码故障，但由于没有具体的量化指标，无法评价漏洞的危害级别；哈工大的汪立东提出的软件弱点分类法，描述了漏洞对机密性、完整性和可用性等安全性的影响，Knight等人提出的广义分类法，将弱点分为社会工程、策略疏忽、逻辑错误和软件漏洞四种类型，由于一定程度上的概念模糊，类与类之间不具备互斥性。

以上分类方法都是将漏洞作为单一缺陷来分析，张永铮强调了漏洞之间的关联性，提出了判断漏洞前后关联性的前提是漏洞可以按“前提特权集”及“结果特权集”进行的准确分类，实现了一种新颖的支持关联性挖掘的多维量化属性漏洞分类法，然而并没有明确指出每一类的具体特征，无法自动进行分类。

国家发明专利《支持漏洞关联性挖掘的漏洞自动分类方法》(申请号：201710052203.9)从漏洞的自然语言描述中挖掘出每条漏洞的“前提特权集”及“结果特权集”所属的特权集分类，并根据“特权提升”的概念来判断漏洞之间存在的关联关系，达到分类的目的。但其缺点是只利用了数据库中“漏洞描述”字段这个单一属性，忽视了漏洞的其他属性对漏洞关联性的影响，比如漏洞的“可用性评分”、“影响性评分”等属性。因此，该方法的分类准确率还有待提高。

发明内容

本发明的目的是提出一种基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法，通过漏洞的特征属性与自然语言描述挖掘出漏洞的“前提特权集”与“结果特权集”，并以此来判断漏洞之间存在的关联关系。

本发明的目的是通过以下技术方案实现的。

本发明提出的一种基于词频-逆向文件频率和朴素贝叶斯融合模型的漏洞自动分类方法，具体操作为：

步骤一、构建一个漏洞数据库，收集漏洞记录。