一種基于軟件漏洞識(shí)別的置信度標(biāo)識(shí)方法、信息存儲(chǔ)介質(zhì)

基本信息

申請(qǐng)?zhí)?/td> CN202111204320.5 申請(qǐng)日 -
公開(公告)號(hào) CN114201757A 公開(公告)日 2022-03-18
申請(qǐng)公布號(hào) CN114201757A 申請(qǐng)公布日 2022-03-18
分類號(hào) G06F21/57(2013.01)I;G06F21/55(2013.01)I;G06F8/41(2018.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 楊牧天;劉梅;羅天悅;吳敬征;王麗敏 申請(qǐng)(專利權(quán))人 北京中科微瀾科技有限公司
代理機(jī)構(gòu) 北京久誠知識(shí)產(chǎn)權(quán)代理事務(wù)所(特殊普通合伙) 代理人 翟麗紅
地址 100007北京市東城區(qū)后永康胡同17號(hào)10號(hào)樓1層1037
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于軟件漏洞識(shí)別的置信度標(biāo)識(shí)方法,從多種預(yù)定鏈路收集已知軟件漏洞信息,所述已知軟件漏洞信息包括CPE信息、漏洞描述信息、開源軟件發(fā)行信息;提取待測(cè)軟件的包名、版本信息;將所述包名與CPE信息、漏洞描述數(shù)據(jù)、開源軟件發(fā)行信息進(jìn)行匹配,如果包名匹配不成功,則基于軟件包命名矩陣,查找對(duì)應(yīng)的別名,通過別名進(jìn)行匹配,將所述版本信息與已知軟件漏洞信息的版本信息進(jìn)行匹配,根據(jù)匹配結(jié)果標(biāo)識(shí)所依據(jù)的漏洞源數(shù)據(jù)的置信度;本發(fā)明通過包名或者別名匹配到的數(shù)據(jù),以及版本號(hào)信息是否匹配,為不同的漏洞數(shù)據(jù)源設(shè)置置信度,從而判斷漏洞檢測(cè)結(jié)果的準(zhǔn)確度以及達(dá)到漏洞檢測(cè)的全面性,同時(shí)為后續(xù)漏洞修復(fù)的策略提供依據(jù)。