本發明涉及一種基于反向傳播神經網絡的操作系統的漏洞評分模型和方法，方法包括如下步驟：S1.確定評分指標體系，收集數據；S2.構建神經網絡模型；S3.預處理數據；S4.訓練神經網絡；模型包括數據收集模塊和神經網絡評分模塊。本發明解決了現有評分方案存在的使用線性評分公式不準確、信息不充分時無法提供漏洞評分、不提供針對操作系統的評分方法問題。

技術領域

本專利申請屬于通用漏洞評分技術領域，更具體地說，是涉及一種基于反向傳播神經網絡的操作系統的漏洞評分模型和方法。

背景技術

當前廣泛使用的漏洞風險評估標準CVSS根據漏洞攻擊的難易程度、攻擊后造成影響的嚴重程度等指標對計算機系統的安全漏洞危險程度給出評分，從而使響應者可以根據威脅對響應和資源進行優先級排序。該評分方法使用線性建模方式度量各種因素對漏洞嚴重程度的影響，忽略了各影響因素間的非線性關系。

基于CVSS的評分標準絕大多數只提供對漏洞的基本屬性的評估，并未將不同環境下的漏洞修復狀態和用戶需求納入考量范圍，因此更沒有針對操作系統環境的漏洞風險評估，在一定程度上限制了自主可控事業的快速發展。

現有技術中，存在一些對計算機系統的安全漏洞的嚴重程度進行評估的方法，都是基于CVSS2.0或CVSS3.0標準進行實現的。這些評分方案為三組度量指標分別設計了一個線性的評分公式，其中每個度量指標對漏洞評估得分的權重都是恒定不變的。此外，由于平臺、版本、甚至軟件編譯方式的不同，現有評分方案僅為某個漏洞提供單個CVSS基本評分。

現有技術的缺點具體為：

1)線性評分公式不準確

現有技術雖然對某個安全漏洞的嚴重程度給出基本度量組的評分，但這些評分方案都使用線性的評分公式，沒有充分考慮到每個度量指標間的非線性關系。

2)沒有針對平臺的評分方法(收集兩組數據的方式需要新穎)

漏洞帶來的威脅可能會隨著時間而改變，而現有方案不提供時間度量組的評分，無法滿足一些國內外企業(例如金融企業)需要實時了解漏洞嚴重程度的需求。

此外，不同的環境可能會對漏洞給組織及其利益相關者帶來的風險產生不同的影響。現有方案并不提供針對某個操作系統的環境度量組漏洞評分。

3)信息不充分時無法及時提供漏洞評分

現有評分方案在漏洞信息不充分時不能進行脆弱性評估。例如，對于“零日漏洞攻擊”，當發現這種漏洞時，通常需要一個月甚至幾個月后才能得到相關的詳細公告和評分。而黑客發現代碼中的安全漏洞并且在漏洞被修復或補丁可用之前就可利用該漏洞對系統進行攻擊。這種情況下，對于漏洞的脆弱性評估能為安全管理人員提供一定的參考價值，以供安全管理人員決定是否需要采取額外的緩解措施。

發明內容

本發明針對現有評分方案存在的使用線性評分公式不準確、信息不充分時無法提供漏洞評分、不提供針對操作系統的評分方法等問題，提出了一種基于神經網絡的操作系統的動態漏洞評分模型和方法。

為了解決上述問題，本發明所采用的技術方案是：

一種基于反向傳播神經網絡的操作系統的漏洞評分方法，包括如下步驟：

S1.確定評分指標體系，收集數據；

S2.構建神經網絡模型；

S3.對收集到的數據進行預處理數據；

S4.訓練神經網絡；

S5.獲取CVE評分。

本發明技術方案的進一步改進在于：步驟S1的具體流程如下，