基于知識圖譜的軟件配置漏洞分析技術研究
信息技術與網絡安全 5期
張慕榕,張 尼,許鳳凱,崔 軻,魏利卓,鄒志博
(華北計算機系統工程研究所,北京100083)
摘要: 隨著科技發展,軟件也在日益更新,其功能和結構愈發復雜多變,從而伴生的軟件配置漏洞導致的安全問題也日益增多。傳統的人工對配置進行核查不僅耗費時間和精力,而且效率低下,無法滿足及時高效確保軟件配置安全的需求。知識圖譜的發展在各個領域逐顯成效,它具有能處理海量數據、建立知識間關聯關系等優勢,因此通過構建軟件配置漏洞知識圖譜,來整合存儲軟件配置漏洞數據,并達到可視化推理分析、關聯查詢等功能,以實現軟件配置漏洞分析更加智能化的目標。
中圖分類號: TP391
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.05.003
引用格式: 張慕榕,張尼,許鳳凱,等. 基于知識圖譜的軟件配置漏洞分析技術研究[J].信息技術與網絡安全,2022,41(5):17-24.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2022.05.003
引用格式: 張慕榕,張尼,許鳳凱,等. 基于知識圖譜的軟件配置漏洞分析技術研究[J].信息技術與網絡安全,2022,41(5):17-24.
Research on software configuration vulnerability analysis technology based on knowledge graph
Zhang Murong,Zhang Ni,Xu Fengkai,Cui Ke,Wei Lizhuo,Zou Zhibo
(National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract: With the development of science and technology, the software is also updated day by day, its function and structure are more complex and changeable, and the security problems caused by the associated software configuration loopholes are also increasing day by day. The traditional manual configuration verification is not only time-consuming and energy-intensive, but also inefficient. It cannot meet the needs of ensuring the security of software configuration in a timely and efficient manner. The development of knowledge graphs is gradually showing results in various fields. Therefore, this paper integrates and stores software configuration vulnerability data by building a software configuration vulnerability knowledge map, and achieves functions such as visual reasoning analysis and correlation query, so as to achieve the goal of more intelligent software configuration vulnerability analysis.
Key words : knowledge graph;security configuration;data processing;knowledge fusion;graph building
0 引言
隨著信息化、工業化的發展,科技不斷推陳出新,信息系統在人們生活中的應用越來越普遍,其中的組件功能也愈加豐富,配置愈加復雜。例如MySQL服務器的每個軟件含有至少200個配置項,要想在紛繁復雜的配置項中找到正確的配置方式是一件非常耗費人力物力的事情。有研究表明,錯誤的配置不僅有可能導致系統癱瘓致使企業的業務中斷,還會花費大量資源和財力來排除可能的故障。
安全配置錯誤可以發生在一個應用程序堆棧的任何層面,包括平臺、Web服務器、應用服務器、數據庫、框架和自定義代碼。從黑客攻擊的角度,安全配置錯誤往往是安全攻擊的第一個環節(或者可以理解為跳過信息搜集環節),在捕獲此類安全問題后,往往可以獲取較高權限,黑客可以修改配置、提升權限、爆破口令或者連接內部服務器或數據庫,安全配置錯誤威脅甚至等于或高于“后門”安全威脅。從安全防護角度,傳統的安全配置錯誤防護成本極高,比如至少要開展如下工作:自動化安裝部署開發環境,及時更新IT環境安全補丁,使用高安全性應用架構,開展定期或不定期的漏洞掃描和安全審計。
隨著Google提出的圖結構數據[1]——知識圖譜的發展,人們開始借助其可視化等優點展開研究。通過圖結構中的關聯特性來連接知識與數據,在海量的知識庫中挖掘并處理問題。本文主要基于知識圖譜在軟件配置漏洞方向展開分析與研究。
本文詳細內容請下載:http://www.jysgc.com/resource/share/2000004242
作者信息:
張慕榕,張 尼,許鳳凱,崔 軻,魏利卓,鄒志博
(華北計算機系統工程研究所,北京100083)
此內容為AET網站原創,未經授權禁止轉載。