(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210800658.5 (22)申请日 2022.07.06 (71)申请人 四维创智 （北京） 科技发展 有限公司 地址 100085 北京市海淀区上地六街28号 院2号楼4层40 3 (72)发明人 司红星　孙基栩　 (74)专利代理 机构 北京索睿邦知识产权代理有 限公司 1 1679 专利代理师 朱玲 (51)Int.Cl. G06F 16/36(2019.01) G06F 16/35(2019.01) G06K 9/62(2022.01) G06N 5/02(2006.01) (54)发明名称 一种漏洞情 报的关联 方法 (57)摘要 本发明涉及信息安全 领域， 公开了一种 漏洞 情报的关联方法。 该方法在CWE和CAPEC标准的基 础上， 通过人工消歧和构建新关系边的方式来构 建图谱的概念图， 并通过扩展知识源和对实体与 情报的属性进行梳理的方式， 来获取专业的知识 和得到受关注的漏洞情报信息。 本发 明提供的方 法不仅能够根据图谱构建的依赖关系， 快速准确 地判断出各类组件是否存在， 从而拓展漏洞 挖掘 的攻击面， 同时， 还实现了围绕漏洞概念进行信 息的组织和信息的分类， 提高了不同领域、 不同 来源知识的精确性， 增强了各类知识的组织关联 性， 提升了漏洞情 报的应用性。 权利要求书2页 说明书5页 附图2页 CN 115357722 A 2022.11.18 CN 115357722 A 1.一种漏洞情 报的关联 方法， 其特 征在于， 包括 步骤： 步骤S1， 根据漏洞分类标准构建漏洞脆弱性及攻击收益子图， 其中， 漏洞分类标准包括 软件脆弱性类型 数据集和攻击类型枚举和分类数据集； 步骤S2， 抽取通用平台枚举标准中的多个软件依赖描述， 构建软件与软件之间的依赖 关系； 步骤S3， 调用公开漏洞情报平台的数据接口， 并从数据接口返回的信息中提取公开漏 洞情报平台的半结构化数据； 步骤S4， 根据所述漏洞脆弱性及攻击收益子图， 对所述半结构化数据进行 数据操作； 步骤S5， 根据情报组织模块， 抽取所述半结构化数据中的实体和关系， 并根据抽取的实 体和关系， 构建所述半结构化数据中实体的属性； 步骤S6， 利用编写的脚本， 将组件库导入Neo4j数据库形成关联漏洞情报的知识图谱， 其中， 组件库包括： 所述漏洞脆弱性及攻击收益子图； 所述软件与软件之间的依赖关系； 从所述半结构化数据中抽取的实体和关系； 所述结构化数据中根据实体构建的属性。 2.根据权利1所述的漏洞情 报的关联 方法， 其特 征在于， 步骤S1包括： 步骤S101， 直接引用软件脆弱性类型 数据集、 攻击类型枚举和分类数据集的官 方定义； 步骤S102， 从攻击类型枚举和分类数据集中的 “Related_Attack_P atterns”字段中抽 取出攻击类型， 从软件脆弱性类型数据的中的 “Related_Weaknesses ”字段中提取出脆弱点 列表； 步骤S103， 使用 “Nature”字段， 对提取出的攻击类型与 脆弱点列表进行关系定义， 定义 公式为： CWE≡CAPE C 其中， CWE表示从软件脆弱性类型数据集提取出的脆弱点列表， CAPEC表示从攻击类型 枚举和分类数据集中提取 出的攻击类型， ≡表示被利用的关系。 3.根据权利1所述的一种漏洞情 报的关联 方法， 其特 征在于， 步骤S2包括 步骤： 步骤S201， 从通用平台枚举标准中的 的软件依赖描述字段， 提取 出软件的依赖关系； 步骤S202， 根据软件依赖关系的特性， 构建软件依赖规则： 规则一， 如果关系可靠度为1， 则软件依赖关系为强关联规则； 规则二， 如果被依赖的软件 存在依赖关系， 则之前的依赖关系将被继承， 具体公式为： Soft1＞＞Soft2&&Soft2＞＞Soft3＝＝Soft1＞＞Soft3 其中， Soft1， Soft2和Soft3表示不同的软件， >>表示依赖关系， &&表示逻辑与关系， ＝＝ 表示等价于； 规则三， 如果依赖的软件 存在， 则被依赖的软件一定存在， 具体公式为： Soft1＞＞Soft2＝＝Soft1→Soft2 其中， Soft1和Soft2表示不同的软件， >>表示依赖关系， ＝＝表示等价于， →表示必要条 件； 步骤S203， 根据定义的推理规则， 进行漏洞的供应链推理。权　利　要　求　书 1/2 页 2 CN 115357722 A 24.根据权利1所述的一种漏洞情 报的关联 方法， 其特 征在于， 步骤S3包括 步骤： 步骤S301， 通过HT TP请求的方式， 调用各个公开漏洞情 报平台的 的数据接口； 步骤S302， 接收各个公开漏洞情 报平台返回的信息， 并对返回的信息进行JSON序列化； 步骤S303， 从序列化后的JSON中解析 出各个公开漏洞情 报平台的半结构数据。 5.根据权利4所述的一种漏洞情报的关联方法， 其特征在于， 步骤S301中所述的各个公 开漏洞情报平台， 包括通用漏洞披露平台、 中国国家信息安全漏洞共享平台和美 国国家信 息安全漏洞共享平台。 6.根据权利1所述的一种漏洞情报的关联方法， 其特征在于， 步骤S4中所述的数据操作 包括： 对半结构化数据中包 含的漏洞危害评分数值进行调优； 对半结构化数据中的漏洞描述信息进行 “漏洞类型分类 ”属性扩展。 7.根据权利1所述的一种漏洞情 报的关联 方法， 其特 征在于， 步骤S4包括 步骤： 步骤S401， 根据情报组织模块， 通过参考威胁情报规范中实体和关系的描述， 来确定所 述半结构数据中漏洞情 报知识图谱的原 始实体及概念关系； 步骤S402， 以漏洞情报知识图谱的漏洞为中心点， 根据其他实体与漏洞关系位置的不 同对漏洞情 报知识图谱进行逻辑分层。 8.根据权利7所述的一种漏洞情报的关联方法， 其特征在于， 步骤S402中所述的对漏洞 情报知识图谱进行逻辑分层， 具体分层规则为： 按照漏洞作用目标的不同分为组件概念层； 按照漏洞概念的不同分为漏洞概念层； 按照了解漏洞 信息的不同分为情 报信息层； 按照情报补充说明信息的不同分为情 报实例层。 9.根据权利1所述的一种漏洞情报的关联方法， 其特征在于， 步骤S6中所述编写的脚 本， 具体是用pytho n编程语言编写的脚本 。权　利　要　求　书 2/2 页 3 CN 115357722 A 3