技術領域

本發明涉及一種軟件漏洞特征操作序列的提取方法，特別涉及一種基于閉 合序列模式挖掘的軟件漏洞特征操作序列的提取方法，屬于信息安全技術領域。

背景技術

隨著黑客攻擊事件數量的不斷上升，蠕蟲在Internet上的泛濫，信息安全 逐漸成為人們眼中的焦點。信息安全中的一個核心問題就是存在于計算機系統 中的軟件安全漏洞，惡意的攻擊者可以利用這些安全漏洞提升權限，訪問未授 權資源，甚至破壞敏感數據。計算機軟件的普遍應用帶給人們越來越多的便捷， 并日益影響人們的日常生活，但計算機軟件中存在大量的錯誤及漏洞，隱藏著 巨大的風險。阻止系統攻擊和入侵的根本解決途徑是在軟件缺陷被利用之前發 現并進行分析和研究。

任何系統或軟件的運行都會假定一個安全域，這個安全域是由安全策略規 定的，在該域內的任何操作都是安全的、可控的，一旦超出該域或者違反了安 全策略，系統或軟件的運行就是不可控的、未知的。漏洞是由安全域切換到非 安全域的觸發點。漏洞是靜態的、被動的、可觸發的。一般而言，一條漏洞信 息包括漏洞名稱、漏洞級別、漏洞成因、漏洞影響、漏洞描述、受影響的系統、 未受影響的系統、漏洞解決方案、漏洞利用類型和漏洞利用方法等，此外還要 考慮漏洞來源、漏洞發布日期、漏洞參考信息等。

現有的用于軟件漏洞特征操作序列的提取方法包括以下步驟：

第1步：將漏洞模型從數據庫中載入流程即裝入內存、建立漏洞模型的數據 結構。

所述漏洞模型載入流程：漏洞模型由漏洞狀態的狀態結點、有向邊的集合 所構成；在內存中建立由有向邊類型進行檢索的操作轉換表的流程；通過對軟 件漏洞程序抽象提取處理，過濾去除無關的操作，進行提取與漏洞模型相關的 操作序列的流程。

第2步：提取軟件漏洞特征操作序列，即根據漏洞模型的相關操作的信息， 得到軟件漏洞程序操作序列，然后對軟件漏洞程序操作序列進行抽取，得到軟 件漏洞特征操作序列。

所述提取軟件漏洞特征操作序列流程：從軟件漏洞程序控制流中提取軟件 漏洞程序操作序列，并以函數為單位進行組織，每個函數組織一個軟件漏洞程 序操作序列鏈表，對軟件漏洞程序操作序列鏈表進行遍歷，得到軟件漏洞特征 操作序列。

提取的軟件漏洞特征操作序列可用于軟件漏洞的分析，以判斷軟件漏洞產 生的原因。但是目前軟件漏洞特征操作序列提取方法存在以下缺點：

1.由于現有的軟件漏洞特征操作序列提取方法提取出的軟件漏洞特征操作 序列冗余性大，在抽取這些軟件漏洞特征操作序列時存在大量的重復工作，從 而影響特征相似性匹配速度以及軟件漏洞分析方法的適用性；

2.由于每一軟件漏洞出現的頻率不相同，即某些軟件漏洞是經常出現的， 某些軟件漏洞出現的次數較少，現有方法中沒有對這種情況區別對待，降低了 軟件漏洞分析的效率；

3.由于軟件漏洞程序操作序列集的增量性，現有的軟件漏洞特征操作序列 的提取方法不能有效的利用已提取的軟件漏洞特征操作序列，來加速提取新的 軟件漏洞特征操作序列的過程，從而影響整個軟件漏洞特征操作序列提取的效 率。

本發明涉及到的另外一項重要的已有技術是閉合序列模式挖掘算法的 CloSpan算法。

其算法描述如下：

算法ClosedMining(DS，min_sup，L)

輸入：數據庫DS和最小支持度min_sup

輸出：閉合序列集L

(1)刪除非頻繁項集和空的序列，在待挖掘數據庫DS中對序列中的每個項集 進行排序。

(2)對長度為1的頻繁項集調用CloSpan算法。

(3)刪除結果集中的非閉合序列。

CloSpan(s，Ds，min_sup，L)算法描述如下：

輸入：序列s，投影數據庫Ds，最小支持度min_sup

輸出：前綴搜索序列格L

一個序列之所以稱為序列模式，它必須是頻繁的，即它在數據庫中出現的 次數至少是min_sup次。最小支持度的取值視實際情況而定。本發明在軟件漏洞 特征操作序列的提取中使用該算法時，DS表示軟件漏洞程序操作序列數據庫，L 是挖掘到的頻繁發生的軟件漏洞特征操作序列，min_sup是最小支持度。

發明內容