本發(fā)明涉及一種基于詞頻統(tǒng)計(jì)和樸素貝葉斯融合模型的漏洞自動(dòng)分類方法，屬于信息安全
技術(shù)領(lǐng)域：
。
背景技術(shù)：
：網(wǎng)絡(luò)安全脆弱性是指計(jì)算機(jī)系統(tǒng)中存在某些可能被惡意主體(攻擊者或攻擊程序)利用的安全漏洞，從而可能導(dǎo)致對(duì)系統(tǒng)資源的非授權(quán)訪問或?qū)ο到y(tǒng)造成其他損害。近年來逐漸發(fā)展成熟的脆弱性掃描技術(shù)及cve(commonvulnerabilities&exposures，公共漏洞和暴露)標(biāo)準(zhǔn)與通用漏洞評(píng)分系統(tǒng)(commonvulnerabilityscoringsystem,cvss)漏洞評(píng)級(jí)方法，可以檢測(cè)并發(fā)現(xiàn)網(wǎng)絡(luò)中存在的脆弱點(diǎn)，但無法分析脆弱點(diǎn)之間的關(guān)聯(lián)性與相互利用關(guān)系。而網(wǎng)絡(luò)風(fēng)險(xiǎn)中的攻擊手段往往是通過彼此關(guān)聯(lián)的漏洞，從一個(gè)漏洞切入，逐步利用網(wǎng)絡(luò)中與此相關(guān)的漏洞擴(kuò)散至整個(gè)網(wǎng)絡(luò)。因此研究挖掘漏洞之間的關(guān)聯(lián)性有重大意義。漏洞關(guān)聯(lián)圖是一個(gè)描述漏洞間關(guān)聯(lián)關(guān)系的有向圖，它提供了一種形式化、系統(tǒng)化描述漏洞關(guān)聯(lián)性的方法，能比較直觀地反映出漏洞之間的關(guān)聯(lián)關(guān)系。漏洞的關(guān)聯(lián)往往體現(xiàn)在某低用戶級(jí)l的攻擊者通過成功地利用某個(gè)漏洞，獲得一定的特權(quán)提升，從而在非授權(quán)的情況下達(dá)到了一個(gè)高用戶級(jí)h的目的。現(xiàn)有的一種描述用戶權(quán)限提升過程的方法是采用“特權(quán)”、“特權(quán)集”與“特權(quán)提升”的概念，利用決策樹的方法將訪問者與特權(quán)集集合起來，將訪問者分為若干類，并將其擁有的特權(quán)集按重要程度設(shè)置一個(gè)量化的權(quán)值，比如在0-1之內(nèi)的若干個(gè)小數(shù)。目前存在的漏洞分類法主要有普渡大學(xué)coast實(shí)驗(yàn)室的aslam提出的unix操作系統(tǒng)分類法，分為操作故障、環(huán)境故障和編碼故障，但由于沒有具體的量化指標(biāo)，無法評(píng)價(jià)漏洞的危害級(jí)別；哈工大的汪立東提出的軟件弱點(diǎn)分類法，描述了漏洞對(duì)機(jī)密性、完整性和可用性等安全性的影響，knight等人提出的廣義分類法，將弱點(diǎn)分為社會(huì)工程、策略疏忽、邏輯錯(cuò)誤和軟件漏洞四種類型，由于一定程度上的概念模糊，類與類之間不具備互斥性。以上分類方法都是將漏洞作為單一缺陷來分析，張永錚強(qiáng)調(diào)了漏洞之間的關(guān)聯(lián)性，提出了判斷漏洞前后關(guān)聯(lián)性的前提是漏洞可以按“前提特權(quán)集”及“結(jié)果特權(quán)集”進(jìn)行的準(zhǔn)確分類，實(shí)現(xiàn)了一種新穎的支持關(guān)聯(lián)性挖掘的多維量化屬性漏洞分類法，然而并沒有明確指出每一類的具體特征，無法自動(dòng)進(jìn)行分類。國(guó)家發(fā)明專利《支持漏洞關(guān)聯(lián)性挖掘的漏洞自動(dòng)分類方法》(申請(qǐng)?zhí)枺?01710052203.9)從漏洞的自然語言描述中挖掘出每條漏洞的“前提特權(quán)集”及“結(jié)果特權(quán)集”所屬的特權(quán)集分類，并根據(jù)“特權(quán)提升”的概念來判斷漏洞之間存在的關(guān)聯(lián)關(guān)系，達(dá)到分類的目的。但其缺點(diǎn)是只利用了數(shù)據(jù)庫(kù)中“漏洞描述”字段這個(gè)單一屬性，忽視了漏洞的其他屬性對(duì)漏洞關(guān)聯(lián)性的影響，比如漏洞的“可用性評(píng)分”、“影響性評(píng)分”等屬性。因此，該方法的分類準(zhǔn)確率還有待提高。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的是提出一種基于詞頻統(tǒng)計(jì)和樸素貝葉斯融合模型的漏洞自動(dòng)分類方法，通過漏洞的特征屬性與自然語言描述挖掘出漏洞的“前提特權(quán)集”與“結(jié)果特權(quán)集”，并以此來判斷漏洞之間存在的關(guān)聯(lián)關(guān)系。本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的。本發(fā)明提出的一種基于詞頻-逆向文件頻率和樸素貝葉斯融合模型的漏洞自動(dòng)分類方法，具體操作為：步驟一、構(gòu)建一個(gè)漏洞數(shù)據(jù)庫(kù)，收集漏洞記錄。選取國(guó)家漏洞數(shù)據(jù)庫(kù)(nationalvulnerabilitydatabase，nvd)作為數(shù)據(jù)源，構(gòu)建一個(gè)漏洞數(shù)據(jù)庫(kù)。所述漏洞數(shù)據(jù)庫(kù)包括：通用漏洞(commonvulnerabilitiesandexposures，cve)編號(hào)、通用漏洞評(píng)分系統(tǒng)(commonvulnerabilityscoringsystem,cvss)評(píng)分、是否需要網(wǎng)絡(luò)、獲取容易程度、是否需要認(rèn)證、機(jī)密性影響、完整性影響、可用性影響、漏洞描述、前提特權(quán)集、結(jié)果特權(quán)集。其中，通用漏洞cve編號(hào)、通用漏洞評(píng)分系統(tǒng)cvss評(píng)分、是否需要網(wǎng)絡(luò)、獲取容易程度、是否需要認(rèn)證、機(jī)密性影響、完整性影響、可用性影響、漏洞描述字段是通過國(guó)家漏洞數(shù)據(jù)庫(kù)直接獲取的。前提特權(quán)集和結(jié)果特權(quán)集為空。所述漏洞描述字段是用自然語言描述漏洞的特征，“漏洞描述”字段為“…users/attackersto…by/via…”格式。步驟二、確定特權(quán)集類別。特權(quán)集類別包括：超級(jí)系統(tǒng)管理員特權(quán)集、普通系統(tǒng)管理員特權(quán)集、普通用戶特權(quán)集、訪問者特權(quán)集、受限訪問者特權(quán)集。所述超級(jí)系統(tǒng)管理員特權(quán)集包含系統(tǒng)管理員所擁有的所有權(quán)限。超級(jí)系統(tǒng)管理員為擁有系統(tǒng)最高權(quán)限的用戶帳號(hào)，超級(jí)系統(tǒng)管理員的權(quán)限為：管理系統(tǒng)設(shè)備、系統(tǒng)文件和系統(tǒng)進(jìn)程，讀寫任意文件內(nèi)容。攻擊者利用超級(jí)系統(tǒng)管理員特權(quán)集造成的危害有：植入系統(tǒng)級(jí)木馬，以虛假身份欺騙或直接追加、修改、刪除、創(chuàng)建文件內(nèi)容，造成系統(tǒng)不可恢復(fù)性崩潰。所述普通系統(tǒng)管理員特權(quán)集包含系統(tǒng)管理員所擁有的部分權(quán)限。普通管理員的權(quán)限為：管理部分系統(tǒng)設(shè)備、系統(tǒng)文件和系統(tǒng)進(jìn)程，讀寫部分系統(tǒng)文件內(nèi)容。攻擊者利用普通系統(tǒng)管理員特權(quán)集造成的危害有：通過追加、修改、刪除、創(chuàng)建某些系統(tǒng)文件內(nèi)容或系統(tǒng)進(jìn)程內(nèi)存空間的數(shù)據(jù)結(jié)構(gòu)，造成系統(tǒng)某些文件看起來不可用、系統(tǒng)當(dāng)機(jī)或拒絕服務(wù)。所述普通用戶特權(quán)集包含普通用戶所擁有的所有權(quán)限。普通用戶所擁有的權(quán)限為：在自己獨(dú)立私有的資源空間內(nèi)追加、修改、刪除、創(chuàng)建個(gè)人文件。攻擊者利用普通用戶特權(quán)集造成的的危害有：植入用戶級(jí)木馬，修改普通用戶的所有文件或進(jìn)程空間的內(nèi)容，導(dǎo)致用戶崩潰或不可用。所述訪問者特權(quán)集包含受信任的系統(tǒng)遠(yuǎn)程訪問者所擁有的所有權(quán)限。受信任的系統(tǒng)遠(yuǎn)程訪問者所擁有的權(quán)限有：與系統(tǒng)交互數(shù)據(jù)、掃描系統(tǒng)信息。攻擊者利用訪問者特權(quán)集造成的危害有：幫助其他受限訪問者用戶完成身份驗(yàn)證或發(fā)送大量數(shù)據(jù)包造成系統(tǒng)內(nèi)存溢出。所述受限訪問者特權(quán)集是指除去以上四種角色之外的、被系統(tǒng)防火墻隔離在外的不受信任的訪問者所擁有的權(quán)限。不受信任的訪問者僅擁有證實(shí)主機(jī)有效性的權(quán)限，不具備使用該系統(tǒng)的任何權(quán)限。攻擊者利用受限訪問者特權(quán)集不能對(duì)系統(tǒng)造成危害。漏洞的前提特權(quán)集的取值集合為{“受限訪問者特權(quán)集”，“訪問者特權(quán)集”，“普通用戶特權(quán)集”}，結(jié)果特權(quán)集的取值集合為{“訪問者特權(quán)集”，“普通用戶特權(quán)集”，“普通系統(tǒng)管理員特權(quán)集”，“超級(jí)系統(tǒng)管理員特權(quán)集”}。步驟三、訓(xùn)練詞頻-逆向文件頻率(termfrequency-inversedocumentfrequency,tfidf)分類器。針對(duì)步驟二所述的5個(gè)特權(quán)集類別，分別訓(xùn)練3個(gè)前提特權(quán)集訓(xùn)練器和4個(gè)結(jié)果特權(quán)集訓(xùn)練器。具體操作為：步驟3.0：從步驟一中所述漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞記錄，作為訓(xùn)練數(shù)據(jù)集。然后人工標(biāo)注每條漏洞記錄的前提特權(quán)集和結(jié)果特權(quán)集。步驟3.1：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為普通用戶特權(quán)集的300條以上數(shù)據(jù)。步驟3.2：對(duì)每條訓(xùn)練數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理。“漏洞描述”字段為“…user/attackersto…by/via…”格式。將“by/via”之后的部分截取出來，存入文件d1中，每條訓(xùn)練數(shù)據(jù)占一行，文件d1的行數(shù)用符號(hào)j1表示。步驟3.3：利用開源分詞工具(standardanalyzer)對(duì)文件d1進(jìn)行處理，統(tǒng)計(jì)每個(gè)單詞出現(xiàn)的數(shù)量，文件d1中出現(xiàn)的單詞的數(shù)量用符號(hào)i1表示。步驟3.4：通過公式(1)計(jì)算單詞的重要性。其中，tfi,j表示第i個(gè)單詞在第j行的重要性，i和j均為正整數(shù)，并且i∈[1，i1]，j∈[1，j1]；ni,j表示第i個(gè)單詞在第j行中出現(xiàn)的次數(shù)。步驟3.5：通過公式(2)計(jì)算第i個(gè)單詞的逆向文件頻率，用符號(hào)idfi表示。逆向文件頻率用來度量單詞的普遍性。其中，ti表示第i個(gè)單詞；|{j:ti∈rj}|表示文件d1包含單詞ti的行數(shù)。步驟3.6：通過公式(3)計(jì)算單詞的權(quán)重得分。其中，tfidfi表示第i個(gè)單詞的權(quán)重得分。某一行的高詞語頻率，以及該詞語在整個(gè)文件內(nèi)的低行數(shù)頻率，可以產(chǎn)生高權(quán)重的tfidfi。因此，tfidfi值傾向于過濾掉常見詞語，保留重要的詞語。步驟3.7：將文件d1中出現(xiàn)的單詞按照tfidfi值降序排列，取前k個(gè)詞作為特征關(guān)鍵詞，k∈[5,12]。記錄特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi值。并通過公式(4)計(jì)算每個(gè)關(guān)鍵詞的avli值，avli值的作用是將權(quán)重得分映射到0-1中。步驟3.8：經(jīng)過步驟3.1至3.7的操作，得到前提特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli值。步驟3.9：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為訪問者特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.2至至3.7的操作，得到前提特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli值。步驟3.10：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為受限訪問者特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.2至至3.7的操作，得到前提特權(quán)集為受限訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli值。步驟3.11：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集的300條以上數(shù)據(jù)。步驟3.12：對(duì)每條訓(xùn)練數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理。“漏洞描述”字段為“…user/attackersto…by/via…”格式。將“to”到“by/via”之間的部分截取出來，存入文件d2中，每條訓(xùn)練數(shù)據(jù)占一行，文件d2的行數(shù)用符號(hào)j2表示。步驟3.13：利用開源分詞工具(standardanalyzer)對(duì)文件d2進(jìn)行處理，統(tǒng)計(jì)每個(gè)單詞出現(xiàn)的數(shù)量，文件d2中出現(xiàn)的單詞的數(shù)量用符號(hào)i2表示。步驟3.14：通過公式(5)計(jì)算單詞的重要性。其中，tfi′,j′表示第i′個(gè)單詞在第j′行的重要性，i′和j′均為正整數(shù)，并且i∈[1，i2]，j∈[1，j2]；ni′,j′表示第i′個(gè)單詞在第j′行中出現(xiàn)的次數(shù)。步驟3.15：通過公式(6)計(jì)算第i′個(gè)單詞的逆向文件頻率，用符號(hào)idfi′表示。逆向文件頻率用來度量單詞的普遍性。其中，ti′表示第i′個(gè)單詞；|{j′:ti′∈rj′}|表示文件d2包含單詞ti′的行數(shù)。步驟3.16：通過公式(7)計(jì)算單詞的權(quán)重得分。其中，tfidfi′表示第i′個(gè)單詞的權(quán)重得分。步驟3.17：將文件d2中出現(xiàn)的單詞按照tfidfi′值降序排列，取前k'個(gè)詞作為特征關(guān)鍵詞，k'∈[5,12]，k'為人為設(shè)定值。記錄特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值。然后，通過公式(8)計(jì)算每個(gè)關(guān)鍵詞的權(quán)重得分映射到0-1中，得到的結(jié)果用符號(hào)avli'表示。步驟3.18：經(jīng)過步驟3.11至3.17的操作，得到結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli'值。步驟3.19：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至至3.17的操作，得到結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli'值。步驟3.20：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為普通用戶特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至3.17的操作，得到結(jié)果特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli'值。步驟3.21：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為訪問者特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至至3.17的操作，得到結(jié)果特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的avli'值。步驟四、測(cè)試詞頻-逆向文件頻率分類器分類結(jié)果和準(zhǔn)確率。步驟4.1：從步驟一中所述漏洞數(shù)據(jù)庫(kù)中選取一條測(cè)試數(shù)據(jù)。步驟4.2：對(duì)測(cè)試數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理?！奥┒疵枋觥弊侄螢椤啊璾ser/attackersto…by/via…”格式。將“by/via”之后的部分截取出來，并利用開源分詞工具(standardanalyzer)處理，得到若干個(gè)單詞。步驟4.3：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.8得到前提特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p1表示。步驟4.4：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.9得到前提特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p2表示。步驟4.5：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.10得到前提特權(quán)集為受限訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p3表示。步驟4.6：比較p1、p2和p3的值，選取最大值對(duì)應(yīng)的特權(quán)集作為該條測(cè)試數(shù)據(jù)的前提特權(quán)集的值。步驟4.7：對(duì)測(cè)試數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理?！奥┒疵枋觥弊侄螢椤啊璾ser/attackersto…by/via…”格式。將“to”到“by/via”之間的部分截取出來，并利用開源分詞工具(standardanalyzer)處理，得到若干個(gè)單詞。步驟4.8：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.18得到的結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r1表示。步驟4.9：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.19得到的結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r2表示。步驟4.10：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.20得到的結(jié)果特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r3表示。步驟4.11：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.21得到的訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r4表示。步驟4.12：比較r1、r2、r3和r4的值，選取最大值對(duì)應(yīng)的特權(quán)集作為該條測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的值。步驟4.13：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條以上前提特權(quán)集為受限訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)的前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arp1表示。步驟4.14：在步驟一所述的漏洞數(shù)據(jù)庫(kù)選取100條以上前提特權(quán)集為訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，并將準(zhǔn)確率記錄為arp2。步驟4.15：在步驟一所述的漏洞數(shù)據(jù)庫(kù)選取100條以上前提特權(quán)集為普通用戶特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，并將準(zhǔn)確率記錄為arp3。步驟4.16：利用公式(9)計(jì)算詞頻-逆向文件頻率分類器在前提特權(quán)集分類結(jié)果的平均準(zhǔn)確率，用符號(hào)w_pre1表示。w_pre1＝(arp1+arp2+arp3)/3(9)步驟4.17：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條以上結(jié)果特權(quán)集為訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr1表示。步驟4.18：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條以上結(jié)果特權(quán)集為普通用戶特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr2表示。步驟4.19：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條以上結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr3表示。步驟4.20：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條以上結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr4表示。步驟4.21：利用公式(10)計(jì)算詞頻-逆向文件頻率分類器在結(jié)果特權(quán)集分類結(jié)果的平均準(zhǔn)確率。w_res1＝(arr1+arr2+arr3+arr4)/4(10)步驟五、建立樸素貝葉斯分類器。每一個(gè)漏洞擁有前提特權(quán)集與結(jié)果特權(quán)集，所以訓(xùn)練2個(gè)樸素貝葉斯分類器，一個(gè)是前提特權(quán)集訓(xùn)練器和一個(gè)是結(jié)果特權(quán)集訓(xùn)練器。具體操作為：步驟5.1：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，構(gòu)成訓(xùn)練數(shù)據(jù)集，所述訓(xùn)練數(shù)據(jù)集中前提特權(quán)集分別是“受限訪問者特權(quán)集”、“訪問者特權(quán)集”、“普通用戶特權(quán)集”的數(shù)據(jù)條數(shù)相同。用符號(hào)c表示前提特權(quán)集所有的分類集合，c＝{c1,c2,c3}，其中，c1表示“受限訪問者特權(quán)集”，c2表示“訪問者特權(quán)集”，c3表示“普通用戶特權(quán)集”。步驟5.2：用符號(hào)va表示漏洞數(shù)據(jù)的屬性集合，va＝{a1,a2...a7}，其中，a1表示通用漏洞評(píng)分系統(tǒng)評(píng)分，a2表示是否需要網(wǎng)絡(luò)，a3表示獲取容易程度，a4表示是否需要認(rèn)證，a5表示機(jī)密性影響，a6表示完整性影響，a7表示可用性影響。步驟5.3：對(duì)于步驟5.1選取的訓(xùn)練數(shù)據(jù)集，統(tǒng)計(jì)訓(xùn)練數(shù)據(jù)的前提特權(quán)集分別在c1、c2、c3中每一個(gè)屬性ax的概率分布p(ax|cy)，(x∈[1,7],y∈[1,3])。為了防止出現(xiàn)p(ax|cy)的值為0時(shí)，對(duì)結(jié)果產(chǎn)生不利影響，設(shè)定p(ax|cy)＝0時(shí)，p(ax|cy)＝1。經(jīng)過步驟5.1至步驟5.3完成前提特權(quán)集分類器的建立。步驟5.4：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，構(gòu)成訓(xùn)練數(shù)據(jù)集，所述訓(xùn)練數(shù)據(jù)集中結(jié)果特權(quán)集分別是“訪問者特權(quán)集”、“普通用戶特權(quán)集”、“普通系統(tǒng)管理員特權(quán)集”與“超級(jí)系統(tǒng)管理員特權(quán)集”的數(shù)據(jù)條數(shù)相同。用符號(hào)c'表示結(jié)果特權(quán)集所有的分類集合，c'＝{c′1,c′2,c′3,c′4}，其中，c'1表示“訪問者特權(quán)集”，c'2表示“普通用戶特權(quán)集”，c'3表示“普通系統(tǒng)管理員特權(quán)集”，c'4表示“超級(jí)系統(tǒng)管理員特權(quán)集”。步驟5.5：用符號(hào)va表示漏洞數(shù)據(jù)的屬性集合，va＝{a1,a2...a7}，其中，a1表示通用漏洞評(píng)分系統(tǒng)評(píng)分，a2表示是否需要網(wǎng)絡(luò)，a3表示獲取容易程度，a4表示是否需要認(rèn)證，a5表示機(jī)密性影響，a6表示完整性影響，a7表示可用性影響。步驟5.6：對(duì)于步驟5.4選取的訓(xùn)練數(shù)據(jù)集，統(tǒng)計(jì)其結(jié)果特權(quán)集分別在c1′、c′2、c3′和c'4中每一個(gè)屬性ax′的概率分布p(ax|c′y′)，(x∈[1,7],y′∈[1,4])。為了防止出現(xiàn)0值對(duì)結(jié)果產(chǎn)生不利影響，當(dāng)p(ax|c′y′)＝0時(shí)，設(shè)定p(ax|c′y′)＝1。經(jīng)過步驟5.4至步驟5.6完成結(jié)果特權(quán)集分類器的建立。步驟六、測(cè)試樸素貝葉斯分類器分類結(jié)果和準(zhǔn)確率。步驟6.1：步驟4.1中所述測(cè)試數(shù)據(jù)，用符號(hào)vb表示。步驟6.2：根據(jù)貝葉斯定理，利用公式(11)來計(jì)算測(cè)試數(shù)據(jù)vb的前提特權(quán)集對(duì)應(yīng)于分類cy的概率值。其中，n表示步驟5.1中所述訓(xùn)練數(shù)據(jù)集中訓(xùn)練樣本的數(shù)量；p(vb|cy)p(cy)利用公式(12)計(jì)算得到。步驟6.3：為了表示方便，把步驟6.2計(jì)算得到的概率值p(cy|vb)用符號(hào)pre_bpy表示，y∈[1,3]；然后，將pre_bpy中最大的概率值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的前提特權(quán)集的值。步驟6.4：根據(jù)貝葉斯定理，利用公式(13)來計(jì)算測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集對(duì)應(yīng)于分類c′j的概率值。其中，p(vb|c′y')p(c′y')利用公式(14)計(jì)算得到。步驟6.5：為了方便表示，把通過步驟6.4計(jì)算得到的概率值p(c′y′|vb)用符號(hào)pre_bpy′表示，y′∈[1,4]。然后，將pre_bpy′中最大的概率值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集的值。步驟6.6：在步驟一提到的漏洞數(shù)據(jù)庫(kù)中選取300條以上漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)。其中前提特權(quán)集屬于受限訪問者特權(quán)集、訪問者特權(quán)集、普通用戶特權(quán)集的測(cè)試數(shù)據(jù)數(shù)據(jù)條數(shù)相同。步驟6.7：依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟6.2至6.3的操作，得到所述300條以上測(cè)試數(shù)據(jù)的前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)w_pre2表示。步驟6.8：在步驟一提到的漏洞數(shù)據(jù)庫(kù)中選取400條以上已分類的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)。其中結(jié)果特權(quán)集屬于訪問者特權(quán)集、普通用戶特權(quán)集、普通系統(tǒng)管理員特權(quán)集、超級(jí)系統(tǒng)管理員特權(quán)集的測(cè)試數(shù)據(jù)數(shù)據(jù)條數(shù)相同。步驟6.9：依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟6.4至6.5的操作，得到所述400條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)w_res2表示。步驟七、分類器融合。對(duì)于測(cè)試數(shù)據(jù)vb，通過計(jì)算它在兩個(gè)分類器中前提特權(quán)集與結(jié)果特權(quán)集的分類結(jié)果，通過準(zhǔn)確率作為得數(shù)權(quán)重將兩個(gè)結(jié)果進(jìn)行融合。具體為：步驟7.1：對(duì)于測(cè)試數(shù)據(jù)vb，通過公式(15)計(jì)算它的前提特權(quán)集的分類結(jié)果，并從3個(gè)f_preq值中選擇最大值，并把所述最大值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的前提特權(quán)集。f_preq＝pre_avlq×w_pre1+pre_bpq×w_pre2,q∈[1,3](15)步驟7.2：對(duì)于測(cè)試數(shù)據(jù)vb，通過公式公式(16)計(jì)算它的結(jié)果特權(quán)集的分類結(jié)果，并從4個(gè)f_resq'值中選擇最大值，并把所述最大值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集。f_resq'＝res_avlq'×w_res1+res_bpq'×w_res2,q'∈[1,4](16)經(jīng)過上述步驟的操作，即完成對(duì)測(cè)試數(shù)據(jù)vb的自動(dòng)分類。有益效果本發(fā)明提出的支持漏洞關(guān)聯(lián)性挖掘的漏洞自動(dòng)分類法與已有方法相比較，其優(yōu)點(diǎn)是：本發(fā)明方法不僅利用了漏洞數(shù)據(jù)庫(kù)中“漏洞描述”字段，同時(shí)考慮了漏洞的“可用性評(píng)分”、“影響性評(píng)分”等屬性對(duì)漏洞關(guān)聯(lián)性的影響，分類準(zhǔn)確率得到大幅提高。附圖說明圖1為本發(fā)明具體實(shí)施方式中支持漏洞關(guān)聯(lián)性挖掘的漏洞自動(dòng)分類法的流程圖；圖2為本發(fā)明具體實(shí)施方式中使用相同的漏洞數(shù)據(jù)庫(kù)，分別采用決策樹方法(dt)、神經(jīng)網(wǎng)絡(luò)分類法(bpn)、貝葉斯分類方法(bayes)和國(guó)家發(fā)明專利《支持漏洞關(guān)聯(lián)性挖掘的漏洞自動(dòng)分類方法》(申請(qǐng)?zhí)枺?01710052203.9)中的方法(tfidf)以及本發(fā)明方法(fusion)對(duì)漏洞進(jìn)行分類，分類結(jié)果的準(zhǔn)確率柱狀圖。具體實(shí)施方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案做詳細(xì)描述。采用本發(fā)明提出的基于詞頻-逆向文件頻率和樸素貝葉斯融合模型的漏洞自動(dòng)分類方法對(duì)漏洞進(jìn)行分類并得到漏洞間關(guān)聯(lián)關(guān)系的操作流程如圖1所示，具體操作步驟為：步驟一、構(gòu)建一個(gè)漏洞數(shù)據(jù)庫(kù)，從國(guó)家漏洞數(shù)據(jù)庫(kù)(nationalvulnerabilitydatabase，nvd)下載2010-2016年的漏洞數(shù)據(jù)，挑選linux下漏洞數(shù)據(jù)并篩選字段后導(dǎo)入本地?cái)?shù)據(jù)庫(kù)。本地漏洞數(shù)據(jù)庫(kù)字段如表1所示。表1漏洞數(shù)據(jù)庫(kù)字段表字段名稱中文名稱字段來源cve_id通用漏洞編號(hào)namecvss_score通用漏洞評(píng)級(jí)系統(tǒng)評(píng)分cvss_scorevector_av是否需要網(wǎng)絡(luò)cvss_vectorvector_ac獲取容易程度cvss_vectorvector_au是否需要認(rèn)證cvss_vectorvector_c機(jī)密性影響cvss_vectorvector_i完整性影響cvss_vectorvector_n可用性影響cvss_vectordescript漏洞描述descriptv_pre前提特權(quán)集漏洞描述字段挖掘v_res結(jié)果特權(quán)集漏洞描述字段挖掘步驟二、確定特權(quán)集類別。特權(quán)集類別包括：超級(jí)系統(tǒng)管理員特權(quán)集、普通系統(tǒng)管理員特權(quán)集、普通用戶特權(quán)集、訪問者特權(quán)集、受限訪問者特權(quán)集。每個(gè)特權(quán)集對(duì)應(yīng)英文標(biāo)識(shí)如表2所示。表2特權(quán)集對(duì)應(yīng)英文標(biāo)識(shí)表漏洞的前提特權(quán)集的取值集合為{“受限訪問者特權(quán)集”，“訪問者特權(quán)集”，“普通用戶特權(quán)集”}，結(jié)果特權(quán)集的取值集合為{“訪問者特權(quán)集”，“普通用戶特權(quán)集”，“普通系統(tǒng)管理員特權(quán)集”，“超級(jí)系統(tǒng)管理員特權(quán)集”}。步驟三、訓(xùn)練詞頻-逆向文件頻率分類器分類器。針對(duì)步驟二所述的5個(gè)特權(quán)集類別，分別訓(xùn)練3個(gè)前提特權(quán)集訓(xùn)練器和4個(gè)結(jié)果特權(quán)集訓(xùn)練器。具體操作為：步驟3.0：從步驟一中所述漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞記錄，作為訓(xùn)練數(shù)據(jù)集。然后人工標(biāo)注每條漏洞記錄的前提特權(quán)集和結(jié)果特權(quán)集。包含漏洞描述、前提特權(quán)集和結(jié)果特權(quán)集的訓(xùn)練數(shù)據(jù)集如表3所示。表3訓(xùn)練數(shù)據(jù)集步驟3.1：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為普通用戶特權(quán)集的323條數(shù)據(jù)。步驟3.2：對(duì)每條訓(xùn)練數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理。“漏洞描述”字段為“…usersto…by/via…”格式。將“to”到“by/via”之間的部分截取出來，存入文件d1中，每條訓(xùn)練數(shù)據(jù)占一行，文件d1的行數(shù)j1＝323。步驟3.3：利用開源分詞工具(standardanalyzer)對(duì)文件d1進(jìn)行處理，統(tǒng)計(jì)每個(gè)單詞出現(xiàn)的數(shù)量，文件d1中出現(xiàn)的單詞的數(shù)量i1＝1346。步驟3.4：通過公式(1)計(jì)算單詞的重要性。其中，tfi,j表示第i個(gè)單詞在第j行的重要性，i和j均為正整數(shù)，并且i∈[1，i1]，j∈[1，j1]；ni,j表示第i個(gè)單詞在第j行中出現(xiàn)的次數(shù)。文件d1中的第1個(gè)單詞為“execute”，在第一行出現(xiàn)了1次，而第一行一共出現(xiàn)了5個(gè)單詞，所以單詞“execute”在第一行的重要性tfi,j＝0.2。步驟3.5：通過公式(2)計(jì)算第i個(gè)單詞的逆向文件頻率，用符號(hào)idfi表示。逆向文件頻率用來度量單詞的普遍性。其中，ti表示第i個(gè)單詞；|{j:ti∈rj}|表示文件d1包含單詞ti的行數(shù)。在全部323行數(shù)據(jù)中，包含單詞“execute”的行數(shù)為46行，所以單詞“execute”的idf1＝0.84.步驟3.6：通過公式(3)計(jì)算單詞的權(quán)重得分。單詞“execute”的tfidf1值為9.66.其中，tfidfi表示第i個(gè)單詞的權(quán)重得分。某一行的高詞語頻率，以及該詞語在整個(gè)文件內(nèi)的低行數(shù)頻率，可以產(chǎn)生高權(quán)重的tfidfi。因此，tfidfi值傾向于過濾掉常見詞語，保留重要的詞語。步驟3.7：將文件d1中出現(xiàn)的單詞按照tfidfi值降序排列，取前8個(gè)詞作為特征關(guān)鍵詞，記錄特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi值。步驟3.8：經(jīng)過步驟3.1至3.7的操作，得到前提特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi值與avli值，如表4所示。表4前提特權(quán)集為普通用戶特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表步驟3.9：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為訪問者特權(quán)集的300條以數(shù)據(jù)。重復(fù)3.2至至3.7的操作，得到前提特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi值，如表5所示。表5前提特權(quán)集為訪問者特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表特征關(guān)鍵詞tfidfiavlipackage12.840.37craft11.670.34vector7.560.22access5.780.17file4.960.14message2.010.06send1.450.04bypass1.040.03步驟3.10：從訓(xùn)練數(shù)據(jù)集中選取前提特權(quán)集為受限訪問者特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.2至至3.7的操作，得到前提特權(quán)集為受限訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi值，如表6所示。表6前提特權(quán)集為受限訪問者特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表步驟3.11：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集的300條數(shù)據(jù)。步驟3.12：對(duì)每條訓(xùn)練數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理?！奥┒疵枋觥弊侄螢椤啊璾sersto…by/via…”格式。將“by/via”之后的部分截取出來，存入文件d2中，每條訓(xùn)練數(shù)據(jù)占一行，文件d2的行數(shù)用符號(hào)j2表示。步驟3.13：利用開源分詞工具(standardanalyzer)對(duì)文件d2進(jìn)行處理，統(tǒng)計(jì)每個(gè)單詞出現(xiàn)的數(shù)量，文件d2中出現(xiàn)的單詞的數(shù)量用符號(hào)i2表示。步驟3.14：通過公式(4)計(jì)算單詞的重要性。其中，tfi′,j′表示第i′個(gè)單詞在第j′行的重要性，i′和j′均為正整數(shù)，并且i∈[1，i2]，j∈[1，j2]；ni′,j′表示第i′個(gè)單詞在第j′行中出現(xiàn)的次數(shù)。步驟3.15：通過公式(5)計(jì)算第i′個(gè)單詞的逆向文件頻率，用符號(hào)idfi′表示。逆向文件頻率用來度量單詞的普遍性。其中，ti′表示第i′個(gè)單詞；|{j′:ti′∈rj′}|表示文件d2包含單詞ti′的行數(shù)。步驟3.16：通過公式(6)計(jì)算單詞的權(quán)重得分。其中，tfidfi′表示第i′個(gè)單詞的權(quán)重得分。步驟3.17：將文件d2中出現(xiàn)的單詞按照tfidfi′值降序排列，取前8個(gè)詞作為特征關(guān)鍵詞。記錄特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值。步驟3.18：經(jīng)過步驟3.11至3.17的操作，得到結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值，如表7所示。表7結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表特征關(guān)鍵詞tfidfiavliroot11.240.18gain10.630.17obtain10.260.17access9.540.15privilege9.320.15system5.640.09denial2.540.04service2.540.04步驟3.19：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至至3.17的操作，得到結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值，如表8所示。表8結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表特征關(guān)鍵詞tfidfiavliprivilege9.870.25gain9.560.25access8.720.22arbitrary3.210.08service2.540.06bypass2.190.06denial1.960.05guest1.210.03步驟3.20：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為普通用戶特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至至3.17的操作，得到結(jié)果特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值。表9結(jié)果特權(quán)集為普通用戶特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表步驟3.21：從訓(xùn)練數(shù)據(jù)集中選取結(jié)果特權(quán)集為訪問者特權(quán)集的300條以上數(shù)據(jù)。重復(fù)3.12至至3.17的操作，得到結(jié)果特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞及對(duì)應(yīng)的tfidfi′值。表10結(jié)果特權(quán)集為訪問者特權(quán)集的特征關(guān)鍵詞與對(duì)應(yīng)的tfidfi值對(duì)應(yīng)表特征關(guān)鍵詞tfidfiavlifirewall8.540.19gain7.650.17bypass7.430.17list5.940.12transmission5.610.12communication4.930.11sensitive3.380.07read2.630.05步驟四、測(cè)試詞頻-逆向文件頻率分類器分類結(jié)果和準(zhǔn)確率。步驟4.1：從步驟一中所述漏洞數(shù)據(jù)庫(kù)中選取一條測(cè)試數(shù)據(jù)。選取的測(cè)試數(shù)據(jù)cve_id為cve-2014-3390，漏洞描述字段為“thevirtualnetworkmanagementcenter(vnmc)policyimplementationinciscoasasoftware8.7before8.7(1.14),9.2before9.2(2.8),and9.3before9.3(1.1)allowslocaluserstoobtainlinuxrootaccessbyleveragingadministrativeprivilegesandexecutingacraftedscript”。步驟4.2：對(duì)測(cè)試數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理。“漏洞描述”字段為“…user/attackersto…by/via…”格式。將“by/via”之后的部分截取出來，并利用開源分詞工具(standardanalyzer)處理，得到若干個(gè)單詞。截取的漏洞描述字段內(nèi)容為“l(fā)everagingadministrativeprivilegesandexecutingacraftedscript”，得到的單詞為(“l(fā)everage”,“administrative”,“privilege”,“execute”,“craft”,“script”)。步驟4.3：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.8得到前提特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p1表示。對(duì)于步驟4.2得到的單詞，“l(fā)everage”、“execute”、“craft”和“script”在步驟3.8得到的前提集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，將它們對(duì)應(yīng)的avli值相加，所以p1＝0.57.步驟4.4：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.9得到前提特權(quán)集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p2表示。步驟4.2得到的單詞都沒有在步驟3.9得到前提集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，所以p2＝0.步驟4.5：對(duì)于步驟4.2得到的單詞，依次查找每個(gè)單詞是否在步驟3.10得到前提特權(quán)集為受限訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli值并求和，結(jié)果用符號(hào)p3表示。步驟4.2得到的單詞都沒有在步驟3.10得到前提集為受限訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，所以p3＝0。步驟4.6：比較p1、p2和p3的值，選取最大值對(duì)應(yīng)的特權(quán)集作為該條測(cè)試數(shù)據(jù)的前提特權(quán)集的值。比較p1、p2和p3的值，選取最大值p1對(duì)應(yīng)的普通用戶特權(quán)集作為該條測(cè)試數(shù)據(jù)的前提特權(quán)集的值，所以該條漏洞數(shù)據(jù)的前提特權(quán)集字段的值為“user”。步驟4.7：對(duì)測(cè)試數(shù)據(jù)中的“漏洞描述”字段進(jìn)行處理?！奥┒疵枋觥弊侄螢椤啊璾ser/attackersto…by/via…”格式。將“to”到“by/via”之間的部分截取出來，并利用開源分詞工具(standardanalyzer)處理，得到若干個(gè)單詞。截取的漏洞描述字段內(nèi)容為“obtainlinuxrootaccess”，得到的單詞為(“obtain”,“l(fā)inux”,“root”,“access”)。步驟4.8：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.18得到的結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r1表示。對(duì)于步驟4.7得到的單詞，“root”、“obtain”、“access”在步驟3.18得到的結(jié)果集為超級(jí)系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，將它們對(duì)應(yīng)的tfidfi'值相加，所以r1＝0.5。步驟4.9：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.19得到的結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r2表示。對(duì)于步驟4.7得到的單詞，“access”在步驟3.19得到的結(jié)果集為普通系統(tǒng)管理員特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，將它對(duì)應(yīng)的tfidfi'值作為r2，所以r2＝0.22.步驟4.10：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.20得到的結(jié)果特權(quán)集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r3表示。對(duì)于步驟4.7得到的單詞，“access”在步驟3.20得到的結(jié)果集為普通用戶特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，將它對(duì)應(yīng)的tfidfi'值作為r3，所以r3＝0.04。步驟4.11：對(duì)于步驟4.7得到的單詞，依次查找每個(gè)單詞是否在步驟3.21得到的訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，如果出現(xiàn)，則記錄該特征關(guān)鍵詞對(duì)應(yīng)的avli'值并求和，結(jié)果用符號(hào)r4表示。步驟4.7得到的單詞都沒有在步驟3.21得到的結(jié)果集為訪問者特權(quán)集對(duì)應(yīng)的特征關(guān)鍵詞中出現(xiàn)，所以r4＝0.步驟4.12：比較r1、r2、r3和r4的值，選取r1對(duì)應(yīng)的超級(jí)系統(tǒng)管理員特權(quán)集作為該條測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的值，所以該條漏洞數(shù)據(jù)的結(jié)果特權(quán)集的值為“root”。步驟4.13：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條前提特權(quán)集為受限訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)的前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，arp1＝91.46％。步驟4.14：在步驟一所述的漏洞數(shù)據(jù)庫(kù)選取100條前提特權(quán)集為訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，并記錄準(zhǔn)確率arp2＝94.52％。步驟4.15：在步驟一所述的漏洞數(shù)據(jù)庫(kù)選取100條前提特權(quán)集為普通用戶特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)4.2至4.6的操作，得到所述100條以上測(cè)試數(shù)據(jù)前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，并將準(zhǔn)確率記錄為arp3，arp3＝89.25％。步驟4.16：利用公式(9)計(jì)算詞頻-逆向文件頻率分類器在前提特權(quán)集分類結(jié)果的平均準(zhǔn)確率，用符號(hào)w_pre1表示。w_pre1＝(arp1+arp2+arp3)/3(9)計(jì)算結(jié)果為w_pre1＝91.74％。步驟4.17：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條結(jié)果特權(quán)集為訪問者特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr1表示，arr1＝88.46％。步驟4.18：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條結(jié)果特權(quán)集為普通用戶特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr2表示，arr2＝92.49％。步驟4.19：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條結(jié)果特權(quán)集為普通系統(tǒng)管理員特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr3表示，arr3＝95.28％。步驟4.20：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取100條結(jié)果特權(quán)集為超級(jí)系統(tǒng)管理員特權(quán)集的漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)，然后依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟4.7至4.12的操作，得到所述100條以上測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)arr4表示，arr4＝93.81％。步驟4.21：利用公式(10)計(jì)算詞頻-逆向文件頻率分類器在結(jié)果特權(quán)集分類結(jié)果的平均準(zhǔn)確率。w_res1＝(arr1+arr2+arr3+arr4)/4(10)計(jì)算結(jié)果為w_res1＝92.51％。步驟五、建立樸素貝葉斯分類器。每一個(gè)漏洞擁有前提特權(quán)集與結(jié)果特權(quán)集，所以訓(xùn)練2個(gè)樸素貝葉斯分類器，一個(gè)是前提特權(quán)集訓(xùn)練器和一個(gè)是結(jié)果特權(quán)集訓(xùn)練器。具體操作為：步驟5.1：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，構(gòu)成訓(xùn)練數(shù)據(jù)集，所述訓(xùn)練數(shù)據(jù)集中前提特權(quán)集分別是“受限訪問者特權(quán)集”、“訪問者特權(quán)集”、“普通用戶特權(quán)集”的數(shù)據(jù)條數(shù)相同。用符號(hào)c表示前提特權(quán)集所有的分類集合，c＝{c1,c2,c3}，其中，c1表示“受限訪問者特權(quán)集”，c2表示“訪問者特權(quán)集”，c3表示“普通用戶特權(quán)集”。步驟5.2：用符號(hào)va表示漏洞數(shù)據(jù)的屬性集合，va＝{a1,a2...a7}，其中，a1表示通用漏洞評(píng)分系統(tǒng)評(píng)分，a2表示是否需要網(wǎng)絡(luò)，a3表示獲取容易程度，a4表示是否需要認(rèn)證，a5表示機(jī)密性影響，a6表示完整性影響，a7表示可用性影響。其中除了a1外，其余均為離散型數(shù)值，所以我們需要把a(bǔ)1的取值離散化，實(shí)驗(yàn)中設(shè)置了“0-2”、“2-4”、“4-6”、“6-8”、“8-10”五組值。步驟5.3：對(duì)于步驟5.1選取的訓(xùn)練數(shù)據(jù)集，統(tǒng)計(jì)訓(xùn)練數(shù)據(jù)的前提特權(quán)集分別在c1、c2、c3中每一個(gè)屬性ax的概率分布p(ax|cy)，(x∈[1,7],y∈[1,3])。為了防止出現(xiàn)p(ax|cy)的值為0時(shí)，對(duì)結(jié)果產(chǎn)生不利影響，設(shè)定p(ax|cy)＝0時(shí)，p(ax|cy)＝1。經(jīng)過步驟5.1至步驟5.3完成前提特權(quán)集分類器的建立。步驟5.4：在步驟一所述的漏洞數(shù)據(jù)庫(kù)中選取一部分漏洞數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，構(gòu)成訓(xùn)練數(shù)據(jù)集，所述訓(xùn)練數(shù)據(jù)集中結(jié)果特權(quán)集分別是“訪問者特權(quán)集”、“普通用戶特權(quán)集”、“普通系統(tǒng)管理員特權(quán)集”與“超級(jí)系統(tǒng)管理員特權(quán)集”的數(shù)據(jù)條數(shù)相同。用符號(hào)c'表示結(jié)果特權(quán)集所有的分類集合，c'＝{c′1,c′2,c′3,c′4}，其中，c'1表示“訪問者特權(quán)集”，c'2表示“普通用戶特權(quán)集”，c'3表示“普通系統(tǒng)管理員特權(quán)集”，c'4表示“超級(jí)系統(tǒng)管理員特權(quán)集”。步驟5.5：用符號(hào)va表示漏洞數(shù)據(jù)的屬性集合，va＝{a1,a2...a7}，其中，a1表示通用漏洞評(píng)分系統(tǒng)評(píng)分，a2表示是否需要網(wǎng)絡(luò)，a3表示獲取容易程度，a4表示是否需要認(rèn)證，a5表示機(jī)密性影響，a6表示完整性影響，a7表示可用性影響。其中除了a1外，其余均為離散型數(shù)值，所以我們需要把a(bǔ)1的取值離散化，實(shí)驗(yàn)中設(shè)置了“0-2”、“2-4”、“4-6”、“6-8”、“8-10”五組值。步驟5.6：對(duì)于步驟5.4選取的訓(xùn)練數(shù)據(jù)集，統(tǒng)計(jì)其結(jié)果特權(quán)集分別在c1′、c′2、c3′和c'4中每一個(gè)屬性ax′的概率分布p(ax|c′y′)，(x∈[1,7],y′∈[1,4])。為了防止出現(xiàn)0值對(duì)結(jié)果產(chǎn)生不利影響，當(dāng)p(ax|c′y′)＝0時(shí)，設(shè)定p(ax|c′y′)＝1。經(jīng)過步驟5.4至步驟5.6完成結(jié)果特權(quán)集分類器的建立。步驟六、測(cè)試樸素貝葉斯分類器分類結(jié)果和準(zhǔn)確率。步驟6.1：步驟4.1中所述測(cè)試數(shù)據(jù)，用符號(hào)vb表示。步驟6.2：根據(jù)貝葉斯定理，利用公式(11)來計(jì)算測(cè)試數(shù)據(jù)vb的前提特權(quán)集對(duì)應(yīng)于分類cy的概率值。其中，n表示步驟5.1中所述訓(xùn)練數(shù)據(jù)集中訓(xùn)練樣本的數(shù)量；p(vb|cy)p(cy)利用公式(12)計(jì)算得到。步驟6.3：為了表示方便，把步驟6.2計(jì)算得到的概率值p(cy|vb)用符號(hào)pre_bpy表示，y∈[1,3]；然后，將pre_bpy中最大的概率值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的前提特權(quán)集的值。cve_id為cve-2014-3390的測(cè)試數(shù)據(jù)vb，我們得到它的pre_bpi值為0.67，對(duì)應(yīng)前提特權(quán)集分類為“user”。步驟6.4：根據(jù)貝葉斯定理，利用公式(13)來計(jì)算測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集對(duì)應(yīng)于分類c′j的概率值。其中，p(vb|c′y')p(c′y')利用公式(14)計(jì)算得到。步驟6.5：為了方便表示，把通過步驟6.4計(jì)算得到的概率值p(c′y′|vb)用符號(hào)pre_bpy′表示，y′∈[1,4]。然后，將pre_bpy′中最大的概率值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集的值。cve_id為cve-2014-3390的測(cè)試數(shù)據(jù)vb，我們得到它的res_bpi'值為0.58，對(duì)應(yīng)前提特權(quán)集分類為“root”。步驟6.6：在步驟一提到的漏洞數(shù)據(jù)庫(kù)中選取330條漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)。其中前提特權(quán)集屬于受限訪問者特權(quán)集、訪問者特權(quán)集、普通用戶特權(quán)集的測(cè)試數(shù)據(jù)數(shù)據(jù)條數(shù)相同。步驟6.7：依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟6.2至6.3的操作，得到所述300條以上測(cè)試數(shù)據(jù)的前提特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)w_pre2表示。實(shí)驗(yàn)計(jì)算得到w_pre2＝86.34％。步驟6.8：在步驟一提到的漏洞數(shù)據(jù)庫(kù)中選取480條漏洞數(shù)據(jù)，作為測(cè)試數(shù)據(jù)。其中結(jié)果特權(quán)集屬于訪問者特權(quán)集、普通用戶特權(quán)集、普通系統(tǒng)管理員特權(quán)集、超級(jí)系統(tǒng)管理員特權(quán)集的測(cè)試數(shù)據(jù)數(shù)據(jù)條數(shù)相同。步驟6.9：依次對(duì)選取出來的每條測(cè)試數(shù)據(jù)重復(fù)步驟6.4至6.5的操作，得到所述480測(cè)試數(shù)據(jù)的結(jié)果特權(quán)集的分類結(jié)果，對(duì)比預(yù)先標(biāo)注的分類結(jié)果，計(jì)算準(zhǔn)確率，用符號(hào)w_res2表示。實(shí)驗(yàn)計(jì)算得w_res2＝84.78％。步驟七、分類器融合。對(duì)于測(cè)試數(shù)據(jù)vb，通過計(jì)算它在兩個(gè)分類器中前提特權(quán)集與結(jié)果特權(quán)集的分類結(jié)果，通過準(zhǔn)確率作為得數(shù)權(quán)重將兩個(gè)結(jié)果進(jìn)行融合。具體為：步驟7.1：對(duì)于測(cè)試數(shù)據(jù)vb，通過公式(15)計(jì)算它的前提特權(quán)集的分類結(jié)果，并從3個(gè)f_preq值中選擇最大值，并把所述最大值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的前提特權(quán)集。f_preq＝pre_avlq×w_pre1+pre_bpq×w_pre2,q∈[1,3](15)實(shí)驗(yàn)中選取cve-2016-2207漏洞作測(cè)試，該漏洞在前提特權(quán)集三個(gè)分類受限訪問者特權(quán)集、訪問者特權(quán)集與普通用戶特權(quán)集的結(jié)果分別記為pre_avl1＝0.56、pre_avl2＝0.27與pre_avl3＝0.12；在貝葉斯分類器同樣得到它在這三個(gè)分類上的結(jié)果，分別記作pre_bp1＝0.53、pre_bp2＝0.36與pre_bp3＝0.11。利用公式(15)對(duì)最終結(jié)果進(jìn)行計(jì)算，得到f_pre1＝0.97，f_pre2＝0.57，f_pre3＝0.21。把f_pre1對(duì)應(yīng)的分類結(jié)果“access”作為待分類漏洞cve-2016-2207的前提特權(quán)集。步驟7.2：對(duì)于測(cè)試數(shù)據(jù)vb，通過公式公式(16)計(jì)算它的結(jié)果特權(quán)集的分類結(jié)果，并從4個(gè)f_resq'值中選擇最大值，并把所述最大值對(duì)應(yīng)的分類作為測(cè)試數(shù)據(jù)vb的結(jié)果特權(quán)集。f_resq'＝res_avlq'×w_res1+res_bpq'×w_res2,q'∈[1,4](16)實(shí)驗(yàn)中選取cve-2016-2207漏洞作測(cè)試，該漏洞在結(jié)果特權(quán)集四個(gè)分類訪問者特權(quán)集、普通用戶特權(quán)集、普通系統(tǒng)管理員特權(quán)集與超級(jí)系統(tǒng)管理員特權(quán)集的結(jié)果分別記為res_avl1＝0、res_avl2＝0.52、res_avl3＝0.28與res_avl4＝0.21；在貝葉斯分類器同樣得到它在這四個(gè)分類上的結(jié)果，分別記作res_bp1＝0.18、res_bp2＝0.44、res_bp3＝0.21與res_bp4＝0.17，利用公式(16)計(jì)算融合得到的結(jié)果。利用公式(16)對(duì)最終結(jié)果進(jìn)行計(jì)算，得到f_res1＝0.15，f_res2＝0.85，f_res3＝0.44，f_res4＝0.34。把f_res2對(duì)應(yīng)的分類結(jié)果“user”作為待分類漏洞cve-2016-2207的結(jié)果特權(quán)集。比較漏洞cve-2016-2207與漏洞cve-2014-3390，漏洞cve-2016-2207的前提特權(quán)集為access，結(jié)果特權(quán)集為user；漏洞cve-2014-3390的前提特權(quán)集為user，結(jié)果特權(quán)集為root。對(duì)于一個(gè)遠(yuǎn)程訪問者來說，特權(quán)集為access，不能直接利用漏洞cve-2014-3390，但是該遠(yuǎn)程訪問者可以先利用漏洞cve-2016-2207使自己的特權(quán)集提升至user，然后就可以利用漏洞cve-2016-2207，最終一個(gè)遠(yuǎn)程訪問者通過一次多級(jí)攻擊獲取了系統(tǒng)的root權(quán)限。由此可以得出漏洞cve-2016-2207與漏洞cve-2014-3390是相關(guān)聯(lián)的。為了說明本方法(fusion)的有效性，使用相同的漏洞數(shù)據(jù)庫(kù)，分別采用決策樹方法(dt)、神經(jīng)網(wǎng)絡(luò)分類法(bpn)、貝葉斯分類方法(bayes)和國(guó)家發(fā)明專利《支持漏洞關(guān)聯(lián)性挖掘的漏洞自動(dòng)分類方法》(申請(qǐng)?zhí)枺?01710052203.9)中的方法(tfidf)對(duì)漏洞進(jìn)行分類，分類結(jié)果的準(zhǔn)確率如圖2所示。從圖2可以看出，單獨(dú)使用tfidf分類方法使得漏洞分類平均準(zhǔn)確率達(dá)到了約88.74％。在這幾種分類上的整體表現(xiàn)基本優(yōu)于dt、bpn與bayes，這是因?yàn)殛P(guān)于漏洞特權(quán)提升的描述信息更多的存在于“漏洞描述”字段中，這個(gè)結(jié)果表明對(duì)自然語言文本的特征提取取得了不錯(cuò)的效果，較為準(zhǔn)確地找到了體現(xiàn)每一種分類本質(zhì)的單詞或詞組。而后三個(gè)分類器也有平均約70％的準(zhǔn)確率，這表示漏洞的其他屬性如影響性評(píng)分、可用性評(píng)分等屬性與特權(quán)提升也存在著一些間接的聯(lián)系，比如漏洞前提特權(quán)集的等級(jí)越高，一定程度上反應(yīng)了較高的攻擊復(fù)雜度，而漏洞結(jié)果特權(quán)集越高表示漏洞的危害程度越大等等。實(shí)驗(yàn)結(jié)果證明了tfidf與bayes兩個(gè)分類器的融合產(chǎn)生了非常不錯(cuò)的效果，使得分類的準(zhǔn)確率獲得了大幅提升，在不同分類上的平均準(zhǔn)確率達(dá)到了94.9％。當(dāng)前第1頁12