[发明专利]一种面向网络环境的漏洞可利用性的计算方法及装置

权利要求书

1.一种面向网络环境的漏洞可利用性的计算方法，漏洞可利用性是指漏洞被攻击者利用的可能性，其特征在于，所述计算方法包括：

步骤S1：获取漏洞的历史数据，确定计算所述漏洞可利用性的第一属性集；所述第一属性集中的属性用于表征漏洞历史数据的特性，是漏洞的抽象描述；

步骤S2：基于网络环境，确定计算所述漏洞可利用性的第二属性集，所述第二属性集中的属性用于表征漏洞所处环境的特性；其中，所述环境是指漏洞所处的网络环境；

步骤S3：基于所述第一属性集及所述第二属性集，构建第一样本数据集，并对所述第一样本数据集中的样本数据进行降维，得到降维后的第一样本数据集；获取所述降维后的第一样本数据集的子集，对所述子集进行人工标注；

步骤S4：将所述降维后的第一样本数据集输入生成对抗网络，以对所述降维后的第一样本数据集中未进行人工标注的样本数据进行标注；将所述人工标注的子集及所述生成对抗网络中标注的样本数据组成第二样本数据集；

步骤S5：将所述第二样本数据集输入决策树模型，对所述决策树模型进行训练，得到训练后的决策树模型，所述训练后的决策树模型用于计算漏洞可利用性；

步骤S6：获取待计算漏洞对应的漏洞数据，基于所述第一属性集和所述第二属性集中的属性，提取所述漏洞数据的属性数据，对所述属性数据降维后，输入所述训练后的决策树模型，得到所述待计算漏洞的漏洞可利用性结果数据；

所述步骤S3，所述基于所述第一属性集及所述第二属性集，构建第一样本数据集，并对所述第一样本数据集中的样本数据进行降维，得到降维后的第一样本数据集，包括：

步骤S31：样本空间中的全部样本数据构成了所述第一样本数据集，所述样本空间包括基于漏洞库获取后并经过预处理的由全体历史数据形成的样本；

步骤S32：获取所述样本空间中各样本的漏洞类型，基于漏洞类型之间的相似性，合并漏洞类型，合并规则为：

获取所述样本空间中各样本的漏洞类型属性对应的属性值；将样本量占全部样本比率高于预设阈值的属性值作为单独的一类；对于其他属性值，根据属性值的相似程度，建立树结构，每个节点用于存储一个属性值，对同一分支的属性值进行合并；

步骤S33：获取所述样本空间中各样本，按以下规则进行降维：

将样本的获取权限等级、漏洞对权限的需求两个属性进行合并，合并后的属性值的确定方式为：

若漏洞被利用后获取的权限等级为高权限，且漏洞对权限需求为低权限，则合并后的属性值为高权限；否则，合并后的属性值为低权限；其中，获取的权限等级的属性值包括高权限及低权限，漏洞对权限需求的属性值包括高权限、低权限；高权限及低权限均是相对于目标设备运行时所需的权限比较确定的；

将样本的影响平台范围、影响资产数量两个属性进行合并，合并后的属性值的确定方式为：

若影响资产数量高于第二预设阈值，且影响平台范围大于第三预设阈值，则合并后的属性值为高影响；否则，合并后的属性值为低影响；

所述生成对抗网络的训练方法包括：

步骤S41：初始化判别器D的参数和生成器G的参数；

步骤S42：从所述第一样本数据集中随机采样m个样本，从正态分布中采样m个噪声样本，将采样的所述m个样本和所述m个噪声样本一并输入生成器，通过生成器输出生成的样本；将所述第一样本数据集中的真实样本和所述生成的样本输入判别器，固定生成器G，训练判别器D；

步骤S43：若所述判别器D误差大于或等于第四预设阈值，进入步骤S42；否则，进入步骤S44；

步骤S44：设置学习率，固定所述判别器D，训练所述生成器G；

步骤S45：若所述生成器G误差大于或等于第五预设阈值，进入步骤S44；否则，生成器G训练完毕。