技術領域

本發明屬于可信計算領域，涉及一種獲取軟件安全缺陷的方法。

背景技術

在計算機迅速發展的今天，計算機軟件的安全特性已經不僅僅是軟件的附加屬性，更是 本質特性。并且當今網絡的迅速發展，軟件的可靠性與安全性的要求更是越來越高，這是因 為網絡使得計算機應用程序和計算機系統呈現出高度互聯的發展趨勢，這種趨勢在給IT行業 帶來驚人機會的同時，也意味著這些高度互聯的計算機受到攻擊的可能性也越大。計算機系 統被破壞而癱瘓，關鍵信息泄漏而導致巨額經濟損失以及其他無形的損失，軟件的維護和故 障恢復費用變得愈來愈昂貴，從中都可以看出對計算機的攻擊造成的損失十分慘重。

計算機面臨的安全問題越來越嚴重，人們對安全的關注和要求也越來越高。2002年1月 15日，微軟首席架構師比爾蓋茨先生提出了“可信計算”的概念，概括地說明了一種高級策略， 也即是如何向用戶提供更加安全、可靠的新型計算機系統，并且能使這些設備和服務時刻為 人們提供便利的同時也讓人們感覺不到它們的存在。這一概念的提出，意味著微軟將安全這 一衡量軟件產品的一個重要指標提高到了顯著的位置。為了向用戶提供更加安全可靠的應用 程序和系統，微軟進行了Windows安全活動主題的一系列安全活動，旨在向廣大的開發人員 傳授分析，設計，開發，測試，注釋，發布和維護安全的軟件——為了抵擋惡意代碼攻擊而 設計和開發健壯安全的軟件代碼，而不再僅僅是實現安全特性的軟件代碼。

目前，國內外領域研究安全缺陷分類的方法各不相同。缺陷分類要根據組織自身的開發 對象與環境來制定。隨著軟件工程學的發展，特別是在學術界開始研究軟件開發過程時，缺 陷就已不再局限于程序和代碼了，軟件開發過程中，組織的管理結構都對軟件質量產生了重 要影響。研究人員開始越來越關注軟件開發過程對缺陷的影響。承擔大型、復雜軟件開發的 組織、公司需要較高級別的軟件能力成熟度。為滿足軟件開發組織實施缺陷預防、改善軟件 過程和提高軟件能力成熟度的需要，一個緊急重要的工作就是建立一個軟件缺陷庫，動態搜 集和管理軟件缺陷。軟件缺陷庫的內容應包含軟件開發生命周期各個階段產生的缺陷并對其 分類、從攻擊角度研究的攻擊模式、以及緩和缺陷或攻擊的緩和方案。

國內外的研究成果層出不窮，同時也不斷地發現新的軟件安全缺陷；隨著網絡的迅速發 展，很多組織、公司將發現的軟件安全缺陷發布到萬維網上。如何將這些分布在萬維網上零 星的軟件安全缺陷信息收集起來？如何對這些包含信息廣而又分散的安全缺陷信息進行數據 挖掘、信息抽??？這也是本發明試圖解決的核心問題。

發明內容

鑒于上述現有技術存在的問題，本發明提出一種獲取現有已公布的軟件安全缺陷的方法， 本發明將垂直搜索、語義標注信息抽取技術的研究成果應用到可信計算領域中，采用垂直搜 索技術從萬維網上獲取軟件安全缺陷信息，并進一步基于語義標注對其信息抽取，可用于從 Internet上搜索挖掘已公布的軟件安全缺陷，包括軟件開發生命周期各個階段產生的缺陷分 類、從攻擊角度研究的攻擊模式、以及緩和缺陷或攻擊的緩和方案。為此，本發明采用如下 的技術方案：

一種基于垂直搜索及語義標注獲取軟件安全缺陷的方法，包括下列步驟：

1)使用基于垂直搜索技術的搜索爬蟲從安全缺陷信息相關網頁里爬取一組或一組以上 的網頁，其中包含有足夠多的安全缺陷相關網頁，再將這些網頁分成與此領域相關和 不相關兩類，得到兩類訓練網頁集：安全領域相關訓練網頁集和安全領域不相關訓練 網頁集；

2)從安全領域相關訓練網頁集里選擇潛在的關鍵詞，在聽取專家意見的情況下添加潛在 的關鍵詞，并根據下列的幾率比公式選取關鍵詞：

其中，式中，w表 示潛在的關鍵詞，c表示安全領域相關網頁訓練集，表示安全領域無關網頁訓練集，設定一 個選擇關鍵詞的閾值，將應當選擇p_w為正且值大于設定的閾值的詞作為關鍵詞，值越大賦 予越大的權值；

3)利用所選取的關鍵詞建立安全缺陷領域過濾訓練器；

4)使用基于垂直搜索技術的搜索爬蟲，自動從internet上的其他安全缺陷信息相關網頁 里下載網頁；