针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统

1.一种针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，应用于漏洞修复系统，所述方法包括：
从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于所述威胁攻击活动序列确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布；
基于所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对所述安全防护进程以及所述安全防护进程所对应的共享安全防护进程进行漏洞修复。
2.根据权利要求1所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于所述威胁攻击活动序列确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布的步骤，包括：
从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，所述威胁攻击活动序列中包括若干威胁攻击活动，且所述若干威胁攻击活动中涵盖威胁攻击链数据；
依据所述若干威胁攻击活动建立所述目标威胁感知事件的威胁攻击关系网络，所述威胁攻击关系网络中包括若干网络成员；一个网络成员映射一个威胁攻击活动，且各具有网络连接关系的网络成员所映射的威胁攻击活动在所述目标威胁感知事件中存在威胁攻击协同行为；
依据所述威胁攻击关系网络中的各网络成员之间的威胁攻击协同信息，生成所述各网络成员所映射的威胁攻击活动的威胁攻击参与度；
基于各威胁攻击活动的威胁攻击参与度从所述威胁攻击活动序列中选择所述目标威胁感知事件的关键威胁攻击链数据，并依据所述关键威胁攻击链数据的威胁攻击路径变量建立所述目标威胁感知事件的漏洞分类特征，将所述漏洞分类特征加载至安全漏洞分类模型中，确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布，所述漏洞分类特征表征所述目标威胁感知事件所对应的安全防护进程的安全漏洞相关特征。
3.根据权利要求2所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述依据所述关键威胁攻击链数据的威胁攻击路径变量建立所述目标威胁感知事件的漏洞分类特征的步骤，具体包括：
从所述威胁攻击活动序列中获取所述关键威胁攻击链数据对应的衍生威胁攻击链数据，所述衍生威胁攻击链数据符合下述特征：在所述威胁攻击关系网络中，用于关联所述衍生威胁攻击链数据的网络成员与用于关联所述关键威胁攻击链数据的网络成员存在衍生攻击特征关系；
提取所述关键威胁攻击链数据的威胁攻击路径变量，以及所述衍生威胁攻击链数据的威胁攻击路径变量；
聚合所述关键威胁攻击链数据的威胁攻击路径变量和所述衍生威胁攻击链数据的威胁攻击路径变量，输出所述目标威胁感知事件的漏洞分类特征。
4.根据权利要求2或3所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述基于各威胁攻击活动的威胁攻击参与度从所述威胁攻击活动序列中选择所述目标威胁感知事件的关键威胁攻击链数据的步骤，具体包括：
依据威胁攻击参与度的大小排列次序，从所述威胁攻击活动序列选择预设次序区间的威胁攻击活动输出为所述目标威胁感知事件的若干威胁感知情报；或者，从所述威胁攻击活动序列中，选择威胁攻击参与度大于预设参与度的威胁攻击活动输出为所述目标威胁感知事件的若干威胁感知情报，所述若干威胁感知情报中包括一个或者多个关键威胁攻击链数据；
从所述一个或者多个关键威胁攻击链数据中，选择威胁攻击参与度最大的关键威胁攻击链数据输出为所述目标威胁感知事件的关键威胁攻击链数据。
5.根据权利要求4所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述方法还包括：
获取各威胁感知情报的威胁攻击路径变量，并确定所述各威胁感知情报的威胁攻击路径变量与所述漏洞分类特征之间的匹配度；
基于所述各威胁感知情报的威胁攻击路径变量与所述漏洞分类特征之间的匹配度，从所述若干威胁感知情报中选择所述目标威胁感知事件的漏洞基础情报，所述漏洞基础情报的威胁攻击路径变量与所述漏洞分类特征之间的匹配度大于设定匹配度；
将所述目标威胁感知事件和所述漏洞基础情报进行关联性配置，以使得基于所述漏洞基础情报对所述目标威胁感知事件进行安全漏洞分析。
6.根据权利要求4所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述漏洞分类特征为所述目标威胁感知事件的整体AI决策特征，所述安全漏洞相关特征为所述目标威胁感知事件的威胁感知情报特征；所述方法还包括：
从所述一个或者多个关键威胁攻击链数据中选择所述目标威胁感知事件的关键威胁攻击链数据，所述关键威胁攻击链数据的威胁攻击参与度小于所述关键威胁攻击链数据的威胁攻击参与度；
依据所述关键威胁攻击链数据的威胁攻击路径变量建立所述目标威胁感知事件的威胁感知态势的AI决策特征，所述目标威胁感知事件的威胁感知态势的AI决策特征表征所述目标威胁感知事件的威胁感知态势的威胁情景变量；
将所述目标威胁感知事件、所述漏洞分类特征和所述威胁感知态势的AI决策特征加载至攻击渗透评价程序中，以使得在响应到攻击渗透评价指令时，基于所述漏洞分类特征和所述威胁感知态势的AI决策特征进行攻击渗透评价处理；
其中，所述攻击渗透评价程序还包括一个或者多个其它威胁感知事件，且每个其它威胁感知事件均具有对应的整体AI决策特征和对应的威胁感知态势的AI决策特征；所述方法还包括：
在响应到攻击渗透评价指令时，获取所述攻击渗透评价指令携带的攻击渗透评价信息的攻击渗透评价特征；
获取所述攻击渗透评价程序中的各威胁感知事件，以及各威胁感知事件的一个或者多个AI决策特征，每个威胁感知事件均具有一个风险影响参数，所述每个威胁感知事件的一个或者多个AI决策特征包括所述每个威胁感知事件的整体AI决策特征和威胁感知态势的AI决策特征；
分别计算所述每个威胁感知事件的各AI决策特征与所述攻击渗透评价特征之间的匹配度，并基于所述匹配度优化所述每个威胁感知事件的风险影响参数；
依据所述每个威胁感知事件的优化后的风险影响参数，对所述各威胁感知事件进行降序排序；
选择位于首位的威胁感知事件输出为待进一步挖掘的威胁感知事件进行输出；
其中，所述基于所述匹配度优化所述每个威胁感知事件的风险影响参数的步骤，具体包括：
针对任一威胁感知事件，基于所述任一威胁感知事件的各AI决策特征与所述攻击渗透评价特征之间的匹配度，从所述任一威胁感知事件的一个或者多个AI决策特征中确定匹配度最大的AI决策特征；
如果解析到所述匹配度最大的AI决策特征为所述任一威胁感知事件的整体AI决策特征，则提高所述任一威胁感知事件的风险影响参数；
如果解析到所述匹配度最大的AI决策特征为所述任一威胁感知事件的威胁感知态势的AI决策特征，则降低所述任一威胁感知事件的风险影响参数。
7.根据权利要求2或3所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述依据所述若干威胁攻击活动建立所述目标威胁感知事件的威胁攻击关系网络的步骤，具体包括：
依据所述若干威胁攻击活动建立所述目标威胁感知事件的基础威胁攻击关系网络，所述基础威胁攻击关系网络中包括若干网络成员，每个网络成员映射一个威胁攻击活动；
从所述若干威胁攻击活动中选择至少一对协同的威胁攻击活动实例的组合，所述协同的威胁攻击活动实例的组合是指由在所述目标威胁感知事件中存在威胁攻击协同行为的两个威胁攻击活动所构成的威胁攻击活动实例的组合；
基于所述至少一对协同的威胁攻击活动实例的组合，从所述基础威胁攻击关系网络中确定出一个或者多个网络成员子网络，任一网络成员子网络包括：
分别记录一对协同的威胁攻击活动实例的组合中的两个威胁攻击活动的两个网络成员；
在所述基础威胁攻击关系网络中分别连接各网络成员子网络中的两个网络成员，输出所述目标威胁感知事件的威胁攻击关系网络；
其中，所述从所述若干威胁攻击活动中选择至少一对协同的威胁攻击活动实例的组合的步骤，具体包括：
确定第一威胁攻击活动在所述目标威胁感知事件中的第一威胁攻击渗透区间，所述第一威胁攻击活动为所述若干威胁攻击活动中的任一威胁攻击活动；
基于所述第一威胁攻击活动的第一威胁攻击渗透区间从所述若干威胁攻击活动中获取第二威胁攻击活动，所述第二威胁攻击活动在所述目标威胁感知事件中的第二威胁攻击渗透区间与所述第一威胁攻击渗透区间之间的渗透区间交集比例大于设定比例；
计算所述第一威胁攻击活动和所述第二威胁攻击活动之间的防御时空域关联参数，所述防御时空域关联参数表征所述第一威胁攻击活动和所述第二威胁攻击活动之间的防御时空域匹配度；
如果解析到所述第一威胁攻击活动和所述第二威胁攻击活动之间的防御时空域关联参数大于预设关联参数值，则确定所述第一威胁攻击活动和所述第二威胁攻击活动在所述目标威胁感知事件中存在所述威胁攻击协同行为，并依据所述第一威胁攻击活动和所述第二威胁攻击活动建立一对协同的威胁攻击活动实例的组合。
8.根据权利要求2或3所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述依据所述威胁攻击关系网络中的各网络成员之间的威胁攻击协同信息，生成所述各网络成员所映射的威胁攻击活动的威胁攻击参与度的步骤，具体包括：
针对任一网络成员所映射的威胁攻击活动，依据所述威胁攻击关系网络中的各网络成员之间的威胁攻击协同信息，生成与所述任一网络成员存在网络连接关系的一个或者多个关联网络成员；
计算所述任一网络成员所映射的威胁攻击活动和各关联网络成员所映射的威胁攻击活动之间的防御时空域关联参数；
基于所述防御时空域关联参数和所述各关联网络成员所映射的威胁攻击活动的威胁攻击参与度，确定所述任一网络成员所映射的威胁攻击活动的威胁攻击参与度。
9.根据权利要求2或3所述的针对大数据安全漏洞挖掘的漏洞修复方法，其特征在于，所述从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列的步骤，具体包括：
对漏洞修复分析任务所指示的目标威胁感知事件进行威胁攻击活动分析，输出基础威胁攻击活动序列，所述基础威胁攻击活动序列中包括若干基础威胁攻击活动；
基于一个或者多个起始威胁攻击追踪图谱从所述基础威胁攻击活动序列中提取若干种子威胁攻击活动，所述种子威胁攻击活动是指存在于所述一个或者多个起始威胁攻击追踪图谱中的基础威胁攻击活动；
依据所述若干种子威胁攻击活动建立所述目标威胁感知事件的威胁攻击活动序列；
其中，所述基础威胁攻击活动序列中的每个基础威胁攻击活动均具有一个威胁攻击流程过程中的时间窗口网络流数据；所述基于一个或者多个起始威胁攻击追踪图谱从所述基础威胁攻击活动序列中提取若干种子威胁攻击活动的步骤，具体包括：
从所述基础威胁攻击活动序列中提取目标威胁攻击流程过程中的时间窗口网络流数据的基础威胁攻击活动，所述目标威胁攻击流程过程中的时间窗口网络流数据包括以下至少一项：攻击类型发生的种类、每种攻击类型发生的次数以及至当前时间窗口为止各攻击类型发生的概率；
基于一个或者多个起始威胁攻击追踪图谱从所述目标威胁攻击流程过程中的时间窗口网络流数据的基础威胁攻击活动中提取若干种子威胁攻击活动；
其中，所述依据所述若干种子威胁攻击活动建立所述目标威胁感知事件的威胁攻击活动序列的步骤，具体包括：
如果解析到所述若干种子威胁攻击活动中存在匹配攻击粒度关联要求的种子威胁攻击活动，则对所述匹配攻击粒度关联要求的种子威胁攻击活动进行攻击粒度关联处理；
将攻击粒度关联处理后的威胁攻击活动序列以及未进行攻击粒度关联处理的种子威胁攻击活动均输出为威胁攻击活动添加至所述目标威胁感知事件的威胁攻击活动序列中；
如果解析到所述若干种子威胁攻击活动中不存在匹配所述攻击粒度关联要求的种子威胁攻击活动，则将各种子威胁攻击活动均输出为威胁攻击活动添加至所述目标威胁感知事件的威胁攻击活动序列中，所述攻击粒度关联要求包括：在所述目标威胁感知事件中的威胁攻击渗透区间相匹配，且存在于同一个起始威胁攻击追踪图谱中。
10.一种漏洞修复系统，其特征在于，所述漏洞修复系统包括机器可读存储介质、处理器，所述机器可读存储介质上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述处理器执行权利要求1‑9中任意一项的针对大数据安全漏洞挖掘的漏洞修复方法。

针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统\n技术领域\n[0001] 本申请涉及信息安全技术领域，具体而言，涉及一种针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统。\n背景技术\n[0002] 安全漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。因此为保证互联网服务的正常运行和为保证用户使用体验，需要及时发现并处理安全漏洞，并进行针对性修复。相关技术中，通常是以全局化威胁感知事件进行漏洞分析和修复的方式，然而该方式难以满足更具定位性的高效率漏洞修复需求。\n发明内容\n[0003] 为了至少克服现有技术中的上述不足，本申请的目的在于提供一种针对大数据安全漏洞挖掘的漏洞修复方法及漏洞修复系统。\n[0004] 第一方面，本申请提供一种针对大数据安全漏洞挖掘的漏洞修复方法，应用于漏洞修复系统，所述漏洞修复系统与若干威胁感知服务器通信连接，所述方法包括：\n从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于所述威胁攻击活动序列确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布；\n基于所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对所述安全防护进程以及所述安全防护进程所对应的共享安全防护进程进行漏洞修复。\n[0005] 第二方面，本申请实施例还提供一种针对大数据安全漏洞挖掘的漏洞修复系统，所述针对大数据安全漏洞挖掘的漏洞修复系统包括漏洞修复系统以及与所述漏洞修复系统通信连接的若干威胁感知服务器；\n所述漏洞修复系统，用于：\n从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于所述威胁攻击活动序列确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布；\n基于所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对所述安全防护进程以及所述安全防护进程所对应的共享安全防护进程进行漏洞修复。\n[0006] 采用以上任意一个方面的技术方案，本申请通过从威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于威胁攻击活动序列确定目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布，从而基于目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对安全防护进程以及安全防护进程所对应的共享安全防护进程进行漏洞修复，由此以单个的目标威胁感知事件为单位进行安全漏洞挖掘，并进行多个共享安全防护进程的统一漏洞修复，相较于相关技术中以全局化威胁感知事件进行漏洞分析和修复的方式而言可以提供更具定位性的高效率漏洞修复方案。\n附图说明\n[0007] 图1为本发明实施例提供的针对大数据安全漏洞挖掘的漏洞修复方法的流程示威胁攻击活动。\n具体实施方式\n[0008] 下面介绍本发明一种实施例提供的针对大数据安全漏洞挖掘的漏洞修复系统10的架构，该针对大数据安全漏洞挖掘的漏洞修复系统10可以包括漏洞修复系统100以及与漏洞修复系统100通信连接的威胁感知服务器200。其中，针对大数据安全漏洞挖掘的漏洞修复系统10中的漏洞修复系统100和威胁感知服务器200可以通过配合执行以下方法实施例所描述的针对大数据安全漏洞挖掘的漏洞修复方法，具体漏洞修复系统100和威胁感知服务器200的执行步骤部分可以参照以下方法实施例的详细描述。\n[0009] 本实施例提供的针对大数据安全漏洞挖掘的漏洞修复方法可以由漏洞修复系统\n100执行，下面结合图1对该针对大数据安全漏洞挖掘的漏洞修复方法进行详细介绍。\n[0010] Process100，从所述威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于所述威胁攻击活动序列确定所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布。\n[0011] Process200，基于所述目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对所述安全防护进程以及所述安全防护进程所对应的共享安全防护进程进行漏洞修复。\n[0012] 例如，在获得参考安全漏洞分布后，可以从预先指定的共享漏洞修复指令库中提取参考安全漏洞分布所对应的共享漏洞修复指令，并基于所述共享漏洞修复指令对所述安全防护进程以及所述安全防护进程所对应的共享安全防护进程进行漏洞修复。或者，在未从预先指定的共享漏洞修复指令库中提取到与该参考安全漏洞分布所对应的共享漏洞修复指令时，可以向开发人员终端输出所述参考安全漏洞分布所对应的漏洞定位特征点（如每个参考安全漏洞在安全防护进程运行过程中所存在的进程代码位置），以提示开发人员终端进行针对性修复。\n[0013] 采用以上技术方案，通过从威胁感知服务器的漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列，并基于威胁攻击活动序列确定目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布，从而基于目标威胁感知事件所对应的安全防护进程的参考安全漏洞分布对安全防护进程以及安全防护进程所对应的共享安全防护进程进行漏洞修复，由此以单个的目标威胁感知事件为单位进行安全漏洞挖掘，并进行多个共享安全防护进程的统一漏洞修复，相较于相关技术中以全局化威胁感知事件进行漏洞分析和修复的方式而言可以提供更具定位性的高效率漏洞修复方案。\n[0014] 针对一些示例性的设计思路而言，下面结合具体实施例对Process100进行详细说明。\n[0015] Process110，从漏洞修复分析任务所指示的目标威胁感知事件中获得威胁攻击活动序列。\n[0016] 对于任一威胁感知事件而言，该威胁感知事件中通常包括大量的威胁攻击活动，这些大量的威胁攻击活动中可包括一个或若干威胁攻击链数据；所谓的威胁攻击链数据是指由威胁攻击过程中的每个威胁攻击节点构成的路径数据。\n[0017] 威胁攻击活动均是用于描述威胁感知事件中所涉及的攻击行为信息的，而威胁感知事件的安全漏洞相关特征又是用于对威胁感知事件中所涉及的主要攻击行为特征进行决策的；可见，威胁感知事件中的威胁攻击活动和威胁感知事件的安全漏洞相关特征存在关联。因此，本方案中可通过威胁感知事件中所包括的威胁攻击活动来确定威胁感知事件的安全漏洞相关特征的技术方案。例如，在响应到关于目标威胁感知事件的威胁情景变量的挖掘请求时，漏洞修复系统100便可获取漏洞修复分析任务所指示的目标威胁感知事件。\n由此，可从该目标威胁感知事件中获得威胁攻击活动序列；此处的威胁攻击活动序列中可包括若干威胁攻击活动，且该若干威胁攻击活动中涵盖威胁攻击链数据。针对一些可能的设计思路而言，漏洞修复系统100可对目标威胁感知事件进行威胁攻击活动分析，并将威胁攻击活动分析所得到的基础威胁攻击活动序列与一个或者多个威胁攻击流程过程中的时间窗口网络流数据库进行匹配，以匹配获得基础威胁攻击活动序列中所包含的且位于一个或者多个起始威胁攻击追踪图谱中的基础威胁攻击活动。然后，基于匹配获得的基础威胁攻击活动确定目标威胁感知事件中的威胁攻击活动，从而建立得到目标威胁感知事件的威胁攻击活动序列。\n[0018] Process120，依据若干威胁攻击活动建立目标威胁感知事件的威胁攻击关系网络。\n[0019] 针对一些可能的设计思路而言，目标威胁感知事件的威胁攻击关系网络中可包括若干网络成员；一个网络成员映射一个威胁攻击活动，且各具有网络连接关系的网络成员所映射的威胁攻击活动在目标威胁感知事件中存在威胁攻击协同行为。换言之，在目标威胁感知事件中存在威胁攻击协同行为的两个威胁攻击活动所对应的网络成员，在该威胁攻击关系网络中是存在网络连接关系的。其中，此处所提及的威胁攻击协同行为可包括如下任一种含义：\n针对一些可能的设计思路而言，上述所提及的威胁攻击协同行为可以是指：依据一个外部攻击源在目标威胁感知事件上进行威胁攻击协同的过程中，两个威胁攻击活动同时出现在该外部攻击源中的协同活动。设若干威胁攻击活动包括：威胁攻击活动L、威胁攻击活动M、威胁攻击活动E、威胁攻击活动B……假设由于在该威胁攻击协同过程中，威胁攻击活动L和威胁攻击活动M可同时出现在该外部攻击源中，因此可认为威胁攻击活动L和威胁攻击活动M在目标威胁感知事件中存在威胁攻击协同行为。由于在该威胁攻击协同过程中，威胁攻击活动M和威胁攻击活动E可同时出现在该外部攻击源中，因此可认为威胁攻击活动M和威胁攻击活动E在目标威胁感知事件中存在威胁攻击协同行为。由于威胁攻击活动E和威胁攻击活动B无法同时出现在该外部攻击源中，因此可认为威胁攻击活动E和威胁攻击活动B在目标威胁感知事件中不具有威胁攻击协同行为，以此类推。\n[0020] 针对另一些可能的设计思路而言，威胁攻击协同行为可以是指：依据一个外部攻击源在目标威胁感知事件上进行威胁攻击协同的过程中，两个威胁攻击活动同时出现在该外部攻击源中且该两个威胁攻击活动之间的防御时空域关联参数大于预设关联参数值的关系。其中，两个威胁攻击活动之间的防御时空域关联参数可基于两个威胁攻击活动的威胁攻击路径变量计算得到；两个威胁攻击活动之间的防御时空域关联参数可用于映射两个威胁攻击活动之间的防御时空域匹配度，且防御时空域关联参数和防御时空域匹配度成正比；换言之，若两个威胁攻击活动之间的防御时空域关联参数越大，则该两个威胁攻击活动之间的防御时空域匹配度越大。例如，设预设关联参数值为K，威胁攻击活动L和威胁攻击活动M之间的防御时空域关联参数为kLM、威胁攻击活动M和威胁攻击活动E之间的防御时空域关联参数为kME、威胁攻击活动E和威胁攻击活动B之间的防御时空域关联参数为kEB；且kLMK，kEB