(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211146956.3 (22)申请日 2022.09.21 (71)申请人 南通富力荣科技发展 有限公司 地址 226000 江苏省南 通市南通高新区新 世纪大道266号江海智汇园A2座506-6 室 (72)发明人 袁杰　王云　 (74)专利代理 机构 南通国鑫智汇知识产权代理 事务所(普通 合伙) 32606 专利代理师 吕林峰 (51)Int.Cl. G06F 21/57(2013.01) G06F 21/56(2013.01) H04L 9/40(2022.01) (54)发明名称 一种软件安全漏洞管理方法及系统 (57)摘要 本发明公开了一种软件安全漏洞管理方法 及系统， 涉及数据处理领域， 其中， 所述方法包 括： 获得预设时间周期； 采集获取目标软件在预 设时间周期内运行中出现的多个安全漏洞； 按照 多个漏洞类型对其进行分类， 获得分类结果； 采 集获取多个安全漏洞在预设时间周期被攻击的 攻击信息， 获得多个攻击信息； 根据多个攻击信 息对多个安全漏洞进行分级， 获得第一分级结 果； 根据多个修复难度信息对多个安全漏洞进行 分级， 获得第二分级结果； 根据分类结果、 第一分 级结果和第二分级结果， 构建软件安全漏洞信息 空间， 进行目标软件的安全漏洞维护管理。 达到 了提高软件安全漏洞管理的准确性， 提升软件安 全漏洞的管理质量 等技术效果。 权利要求书3页 说明书10页 附图2页 CN 115270140 A 2022.11.01 CN 115270140 A 1.一种软件安全漏洞管理方法， 其特 征在于， 所述方法包括： 获得预设时间周期； 采集获取目标 软件在所述预设时间周期内运行中出现的多个安全漏洞； 按照多个漏洞类型， 对所述多个安全漏洞进行分类， 获得分类结果； 采集获取所述多个安全漏洞在所述预设时间周期被攻击的攻击信 息， 获得多个攻击信 息； 根据所述多个攻击信息， 对所述多个安全漏洞进行分级， 获得第一分级结果； 采集获取 所述多个安全漏洞的修复难度， 获得多个修复难度信息； 根据所述多个修复难度信息， 对所述多个安全漏洞进行分级， 获得第二分级结果； 根据所述分类结果、 所述第一分级结果和所述第二分级结果， 构建软件安全漏洞信息 空间， 进行 所述目标 软件的安全漏洞维护管理。 2.根据权利要求1所述的方法， 其特征在于， 所述按照多个漏洞类型， 对所述多个安全 漏洞进行分类， 包括： 获取所述多个漏洞类型， 所述多个漏洞类型包括缓冲区溢出漏洞、 格 式化字符漏洞、 指 针覆盖漏洞、 SQ L漏洞、 Bypas s漏洞和信息泄 露漏洞； 按照所述多个漏洞类型， 对所述多个安全漏洞进行分类， 获得 所述分类结果。 3.根据权利要求1所述的方法， 其特征在于， 采集获取所述多个安全漏洞在所述预设时 间周期被攻击的攻击信息， 包括： 采集获取所述多个安全漏洞在所述预设时间周期内被攻击的攻击次数， 获得多个攻击 次数信息； 采集获取所述多个安全漏洞在所述预设时间周期内被攻击成功的次数， 获得多个成功 攻击次数信息； 根据所述多个成功攻击次数信息的大小， 进行权 重分配， 获得第一权 重分配结果； 采用所述第 一权重分配结果分别对所述多个攻击次数信 息进行加权计算， 获得所述多 个攻击信息 。 4.根据权利要求1所述的方法， 其特征在于， 根据所述多个攻击信息， 对所述多个安全 漏洞进行分级， 包括： 根据所述目标 软件， 获得多个同族软件； 根据所述预设时间周期， 采集获取所述多个同族软件在此前多个所述预设时间周期内 的样本攻击信息， 获得样本攻击信息集 合； 对所述样本攻击信 息集合内的多个样本攻击信 息进行评价分级， 获得样本分级结果集 合； 基于所述样本攻击信息集 合和所述样本分级结果 集合， 构建安全漏洞分级模型； 分别将所述多个攻击信息输入所述安全漏洞分级模型， 获得多个安全漏洞分级信息， 作为所述第一分级结果。 5.根据权利要求4所述的方法， 其特征在于， 基于所述样本攻击信 息集合和所述样本分 级结果集合， 构建安全漏洞分级模型， 包括： 从所述多个样本攻击信息进行随机 选择一样本攻击信息， 作为第一划分阈值； 采用所述第一划分阈值， 构建所述安全漏洞分级模型的第一分类节点， 所述第一分类权　利　要　求　书 1/3 页 2 CN 115270140 A 2节点对输入数据进行二分类， 其中， 所述输入数据为 攻击信息； 再次从所述多个样本攻击信息进行随机 选择一样本攻击信息， 作为第二划分阈值； 采用所述第二划分阈值， 构建所述安全漏洞分级模型的第二分类节点， 所述第二分类 节点对所述第一分类节点的二分类结果再次进行二分类； 继续构建所述安全漏洞分级模型的多级分类节点， 直到所述多级分类节点的级数达到 预设阈值； 根据所述多 级分类节点， 获得多个最终分类结果区间； 采用所述样本分级结果集合， 对所述多个最终分类结果 区间分别设置不同的样本分级 结果， 获得 所述安全漏洞分级模型。 6.根据权利要求5所述的方法， 其特征在于， 根据所述多个修复难度信息， 对所述多个 安全漏洞进行分级， 包括： 基于修复所述目标软件安全漏洞的多个评价主体， 根据所述多个修复难度信息， 分别 对所述多个安全漏洞进行修复难度评级， 获得多个初步评级结果； 根据所述多个初步评级结果， 计算获得 所述多个安全漏洞的多个评级结果均值； 根据所述多个评级结果均值， 获得 所述第二分级结果。 7.根据权利要求6所述的方法， 其特征在于， 根据所述分类结果、 所述第一分级结果和 所述第二分级结果， 构建软件安全漏洞 信息空间， 包括： 根据所述第二分级结果内所述多个安全漏洞的评级， 进行权重分配， 获得第二权重分 配结果； 采用所述第二权重分配结果对所述第一分级结果内所述多个安全漏洞的多个安全漏 洞分级信息进行加权计算， 获得多个维护优先级信息； 根据所述分类结果和所述多个维护优先级信息， 构建所述软件安全漏洞 信息空间。 8.根据权利要求7所述的方法， 其特征在于， 根据 所述分类结果和所述多个维护优先级 信息， 构建所述软件安全漏洞 信息空间， 包括： 基于知识图谱， 根据所述多个安全漏洞， 获得多个实体信息； 根据所述多个安全漏洞和所述分类结果之间的映射关系， 获得第 一属性信 息和多个第 一属性值信息； 根据所述多个安全漏洞和所述多个维护优先级信 息之间的映射关系， 获得第 二属性信 息和多个第二属性 值信息； 根据所述多个实体信 息、 第一属性信 息、 多个第 一属性值信 息、 第二属性信息和多个第 二属性值信息， 构建获得 所述软件安全漏洞 信息空间。 9.一种软件安全漏洞管理系统， 其特 征在于， 所述系统包括： 预设周期确定模块， 所述预设周期确定模块用于获得 预设时间周期； 漏洞采集模块， 所述漏洞采集模块用于采集获取目标软件在所述预设时间周期内运行 中出现的多个安全漏洞； 分类模块， 所述分类模块用于按照多个漏洞类型， 对所述多个安全漏洞进行分类， 获得 分类结果； 攻击信息采集模块， 所述攻击信 息采集模块用于采集获取所述多个安全漏洞在所述预 设时间周期被攻击的攻击信息， 获得多个攻击信息；权　利　要　求　书 2/3 页 3 CN 115270140 A 3