一种漏洞威胁感知方法、装置、存储介质和设备

技术领域

本申请涉及互联网安全领域，尤其涉及一种漏洞威胁感知方法、装置、存储介质和设备。

背景技术

漏洞往往存在于操作系统、Web组件、数据库、应用程序等组件中，漏洞从暴露方式上来看，可分为显性漏洞和隐性漏洞两种类型。所谓显性漏洞，是指互联网已公开漏洞利用代码(POC)，只要使用已公布的攻击方法就会对信息系统造成安全威胁。所谓隐性漏洞，指的是互联网未公开漏洞利用代码，但是少数黑客掌握漏洞攻击方法，可能会对信息系统造成威胁的漏洞。为此，需要实时感知信息系统是否被第三方利用漏洞进行攻击，以保障信息系统的安全。

目前，现有技术大多数采用模拟攻击的方式，对信息系统中的漏洞进行感知，在感知到漏洞后及时对漏洞进行修复。然而，现有的感知方式，通常只能针对显性漏洞威胁(显性漏洞的POC已被互联网公开)，却无法实现对隐性漏洞威胁的感知(隐性漏洞的POC没有被公开)。为此，如何感知信息系统是否存在隐性漏洞威胁，成为本领域技术人员所亟需解决的问题。

发明内容

本申请提供了一种漏洞威胁感知方法、装置、存储介质和设备，目的在于感知信息系统中的组件是否存在隐性漏洞威胁。

为了实现上述目的，本申请提供了以下技术方案：

一种漏洞威胁感知方法，包括：

对组件的流量进行流量感知，得到所述组件在各个时刻的特征量；

获取所述组件在各个时刻的工作状态，并依据预先构建的漏洞等级和所述组件的工作状态的对应关系，得到所述组件在各个时刻的漏洞等级；

将同一时刻所得到的所述特征量与所述漏洞等级进行映射关联，得到映射关系；

在所述映射关系反映第一变化趋势的情况下，确定所述组件存在隐性漏洞威胁；其中，所述第一变化趋势为：在预设时间周期内，所述特征量的增长速率大于所述漏洞等级的增长速率，所述特征量的增长值大于预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值大于预设系数；所述预设第一阈值、以及所述预设系数均基于所述组件的工作状态所确定。

可选的，还包括：

在所述映射关系反映第二变化趋势和第三变化趋势的情况下，确定所述组件存在显性漏洞威胁；

其中，所述第二变化趋势为：在所述预设时间周期内，所述特征量的增长速率等于所述漏洞等级的增长速率，所述特征量的增长值大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值等于所述预设系数；

所述第三变化趋势为：在所述预设时间周期内，所述特征量的增长速率小于所述漏洞等级的增长速率，所述特征量的增长值大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值小于所述预设系数。

可选的，还包括：

在所述映射关系反映第四变化趋势的情况下，确定所述组件存在安全隐患；其中，所述第四变化趋势为：在所述预设时间周期内，所述特征量的增长值不大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值不大于所述预设系数。

可选的，还包括：

在所述映射关系反映第五变化趋势的情况下，确定所述组件不受漏洞威胁；其中，所述第五变化趋势为：在所述预设时间周期内，所述特征量的增长值不大于预设第二阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值不大于所述预设系数；所述预设第二阈值小于所述预设第一阈值。

可选的，所述对组件的流量进行流量感知，得到所述组件在各个时刻的特征量，包括：

解析组件的流量，得到多种流量特征；每种所述流量特征均用于指示一种数据项；

针对每种所述流量特征进行流量感知，得到每种所述流量特征在各个时刻的数值；

针对每个所述时刻，基于各种所述流量特征之间的预设相关性，将多种所述流量特征的数值，合成为特征量。

可选的，构建所述漏洞等级和所述组件的工作状态的对应关系的过程，包括：

利用攻击行为，对所述组件进行攻击，并获取处于被攻击状态下的所述组件的工作状态；

基于所述攻击行为和漏洞等级的预设对应关系，以及所述攻击行为和所述组件的工作状态的对应关系，匹配所述漏洞等级和所述组件的工作状态，得到所述漏洞等级和所述组件的工作状态的对应关系。

可选的，还包括：

为信息系统建立系统画像；所述系统画像包括多个画像标签，每个所述画像标签用于指示一个所述组件；

所述确定所述组件存在隐性漏洞威胁，包括：

为所述组件所属的画像标签，设置用于指示所述组件存在隐性漏洞威胁的标识。

一种漏洞威胁感知装置，包括：

感知单元，用于对组件的流量进行流量感知，得到所述组件在各个时刻的特征量；

构建单元，用于获取所述组件在各个时刻的工作状态，并依据预先构建的漏洞等级和所述组件的工作状态的对应关系，得到所述组件在各个时刻的漏洞等级；

映射单元，用于将同一时刻所得到的所述特征量与所述漏洞等级进行映射关联，得到映射关系；

确定单元，用于在所述映射关系反映第一变化趋势的情况下，确定所述组件存在隐性漏洞威胁；其中，所述第一变化趋势为：在预设时间周期内，所述特征量的增长速率大于所述漏洞等级的增长速率，所述特征量的增长值大于预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值大于预设系数；所述预设第一阈值、以及所述预设系数均基于所述组件的工作状态所确定。

一种计算机可读存储介质，所述计算机可读存储介质包括存储的程序，其中，所述程序执行所述的漏洞威胁感知方法。

一种漏洞威胁感知设备，包括：处理器、存储器和总线；所述处理器与所述存储器通过所述总线连接；

所述存储器用于存储程序，所述处理器用于运行程序，其中，所述程序运行时执行所述的漏洞威胁感知方法。

本申请提供的技术方案，对组件的流量进行流量感知，得到组件在各个时刻的特征量。获取组件在各个时刻的工作状态，并依据预先构建的漏洞等级和组件的工作状态的对应关系，得到组件在各个时刻的漏洞等级。将同一时刻所得到的特征量与漏洞等级进行映射关联，得到映射关系。在映射关系反映第一变化趋势的情况下，确定组件存在隐性漏洞威胁。其中，第一变化趋势为：在预设时间周期内，特征量的增长速率大于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值大于预设系数。预设第一阈值、以及预设系数均基于组件的工作状态所确定。可见，利用本申请的方法，基于特征量和漏洞等级之间的映射关系，能够感知组件中是否存在隐性漏洞威胁。相较于现有技术，适用性更广。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a为本申请实施例提供的一种漏洞威胁感知方法的示意图；

图1b为本申请实施例提供的一种应用系统受害程度示意图；

图1c为本申请实施例提供的一种矢量夹角示意图；

图1d为本申请实施例提供的一种二维坐标系平面示意图；

图1e为本申请实施例提供的一种三维坐标系空间示意图；

图1f为本申请实施例提供的一种漏洞威胁曲线的示意图；

图1g为本申请实施例提供的一种区域分布位置示意图；

图1h为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图1i为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图1j为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图1k为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图1l为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图2为本申请实施例提供的另一种漏洞威胁曲线的示意图；

图3为本申请实施例提供的另一种漏洞威胁感知方法的示意图；

图4为本申请实施例提供的一种漏洞威胁感知装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

如图1a所示，为本申请实施例提供的一种漏洞威胁感知方法的示意图，包括如下步骤：

S101：为信息系统建立系统画像。

其中，系统画像包括各个画像标签，每个画像标签用于指示一个组件(例如，应用系统、中间件、以及服务器的IP等)。在本申请实施例中，为信息系统建立系统画像的具体实现过程，为本领域技术人员所熟悉的公知常识，这里不再赘述。

S102：针对每个组件，利用各类型攻击行为，对组件进行攻击，并获取处于被攻击状态下的组件的工作状态。

其中，攻击行为的类型包括但不限于为：缓冲区溢出攻击、木马蠕虫攻击、畸形字符串攻击、电子邮件炸弹攻击、以及APT攻击等类型。组件的工作状态包括但不限于是：信息被盗取篡改、正常运行、以及宕机等。

具体的，假设利用3种攻击行为(即攻击行为A、攻击行为B、以及攻击行为C)，对某一应用系统(即组件的一种具体表达方式)进行攻击，3种攻击行为给应用系统所造成的受害程度，如图1b所示。由图1b可知，攻击行为A给应用系统所造成的受害程度最高，其次为攻击行为B，最后为攻击行为C，从而进一步得出，应用系统在被攻击行为A攻击下的工作状态，比在被攻击行为B攻击下的工作状态差，应用系统在被攻击行为B攻击下的工作状态，比在被攻击行为C攻击下的工作状态差。

S103：基于攻击行为和漏洞等级的预设对应关系，以及攻击行为和组件的工作状态的对应关系，匹配漏洞等级和组件的工作状态，得到漏洞等级和组件的工作状态的对应关系。

其中，漏洞等级包括第一等级、第二等级、以及第三等级。在本申请实施例中，第三等级的漏洞对组件所带来的威胁程度高于，第二等级的漏洞对组件所带来的威胁程度，第二等级的漏洞对组件所带来的威胁程度高于，第一等级的漏洞对组件所带来的威胁程度。

需要说明的是，第一等级的漏洞对组件所带来的威胁程度，通常可以视为无威胁。

S104：解析组件的流量，得到多种流量特征。

其中，每种流量特征均用于指示一种数据项，流量特征包括但不限于：TCP连接数、HTTP会话数、源IP数、端口资源、以及网络带宽资源等。解析组件的流量的具体实现过程，为本领域技术人员所熟悉的公知常识，这里不再赘述。

S105：针对每种流量特征进行流量感知，得到每种流量特征在各个时刻的数值。

其中，所谓的流量感知，为本领域技术人员所熟悉的公知常识，这里不再赘述。

S106：基于各种流量特征之间的预设相关性，将多种流量特征的数值，合成为特征量。

其中，基于数学原理可知，可以将流量特征的数值视为矢量，特征量则为多条矢量的合成矢量，将多条矢量合成为一条矢量的具体实现过程为本领域技术人员所熟悉的公知常识。具体的，如图1c所示，以矢量A和矢量B为例，假设矢量A和矢量B之间的相关性夹角(其取值范围为0°～90°，相关性夹角越小，则指示两条矢量之间相关性越大，即两个流量特征之间的相关性越大，反之亦然)为α，则合成矢量C＝|A||B|cosα。

需要说明的是，各种流量特征之间的相关性(即上述提及的相关性夹角)可由技术人员根据实际情况进行设置。

此外，由于不同类型的流量特征的计数单位并不相同，因此，在将多种流量特征的数值合成为特征量之前，还需对多种流量特征的数值进行归一化处理。对多种流量特征的数值进行归一化处理的具体实现过程，为本领域技术人员所熟悉的公知常识，这里不再赘述。

S107：获取组件在各个时刻的工作状态，并依据漏洞等级和组件的工作状态的对应关系，得到组件在各个时刻的漏洞等级。

其中，获取组件在各个时刻的工作状态的具体实现过程，为本领域技术人员所熟悉的公知常识。

S108：将各个时刻的特征量和漏洞等级进行匹配，得到时刻、特征量、以及漏洞等级之间的对应关系。

S109：基于时刻、特征量、以及漏洞等级之间的对应关系，在预先构建的二维坐标系平面上，生成组件在各个时刻的元素点。

其中，元素点的横坐标用于指示特征量，纵坐标用于指示漏洞等级。具体的二维坐标系平面，可以参见图1d所示。

需要说明的是，还可以在预先构建的三维坐标系空间上，生成组件在各个时刻的空间元素点。在三维坐标系空间中，空间元素点的第一维度坐标用于指示特征量，第二维度坐标用于指示漏洞等级，第三维度坐标用于指示画像标签(即组件)。具体的三维坐标系空间，可以参见图1e所示。

S110：按照各个时刻由先至后的顺序，依次连接各个元素点，得到组件的漏洞威胁曲线。

具体的漏洞威胁曲线，可以参见图1f所示。在图1f中，漏洞威胁曲线上的箭头所在的元素点，即组件在最新时刻的元素点。

S111：根据预设规则，预先将二维坐标系平面划分为五个区域。

其中，区域包括第一区域、第二区域、第三区域、第四区域和第五区域。在本申请实施例中，预设规则包括：

将漏洞等级为第一等级、特征量的取值范围为不小于预设数值(可默认为0)、且不大于预设第二阈值的区域，作为第一区域；

将漏洞等级为第一等级、特征量的取值范围为大于预设第二阈值、且不大于预设第一阈值的区域，以及漏洞等级为第二等级，特征量的取值范围为不小于预设数值、且不大于预设第一阈值的区域，作为第二区域；

将漏洞等级为第一等级、特征量的取值范围为大于预设第一阈值的区域，以及漏洞等级为第二等级、特征量的取值范围为大于预设第一阈值的区域，作为第三区域；

将漏洞等级为第三等级、特征量的取值范围为不小于预设数值、且不大于预设第一阈值的区域，作为第四区域；

将漏洞等级为第三等级、特征量的取值范围为大于预设第一阈值的区域，作为第五区域。

需要说明的是，预设第一阈值大于预设第二阈值，预设第二阈值大于预设数值。此外，第三等级高于第二等级，第二等级高于第一等级。

由划分得到的各个区域可知，预设第一阈值和预设第二阈值的具体取值，都与组件的工作状态有关。也就是说，预设第一阈值和预设第二阈值基于组件的工作状态所决定。

具体的，第一区域、第二区域、第三区域、第四区域和第五区域在二维坐标系平面上的分布情况，如图1g所示。

S112：分析漏洞威胁曲线途经的区域，并利用预设的数学模型，预估漏洞威胁曲线在未来时刻途经的区域。

其中，预设的数学模型包括但不限于马尔科夫模型。

S113：在确定漏洞威胁曲线只途经第一区域、且在未来时刻途经第一区域的情况下，为组件所属的画像标签设置第一标识。

其中，第一标识用于指示组件不受漏洞威胁。具体的，只途经第一区域、且在未来时刻也只途经第一区域的漏洞威胁曲线，可以参见图1h所示。

S114：在确定漏洞威胁曲线途经第一区域和第二区域、且在未来时刻途经第二区域的情况下，为组件所属的画像标签设置第二标识。

其中，第二标识用于指示组件存在安全隐患。具体的，途经第一区域和第二区域、且在未来时刻只途经第二区域的漏洞威胁曲线，可以参见图1i所示。

S115：在确定漏洞威胁曲线途经第一区域、第二区域和第三区域、且在未来时刻途经第三区域的情况下，为组件所属的画像标签设置第三标识。

其中，第三标识用于指示组件存在隐性漏洞威胁。具体的，途经第一区域、第二区域和第三区域、且在未来时刻只途经第三区域的漏洞威胁曲线，可以参见图1j所示。

S116：在确定漏洞威胁曲线途经第一区域、第二区域和第四区域、且在未来时刻途经第四区域的情况下，为组件所属的画像标签设置第四标识。

其中，第四标识用于指示组件存在显性漏洞威胁。具体的，途经第一区域、第二区域和第四区域、且在未来时刻只途经第四区域的漏洞威胁曲线，可以参见图1k所示。

S117：在确定漏洞威胁曲线途经第一区域、第二区域和第五区域、且在未来时刻途经第五区域的情况下，为组件所属的画像标签设置第五标识。

其中，第五标识用于指示组件存在显性漏洞威胁。具体的，途经第一区域、第二区域和第五区域、且在未来时刻只途经第五区域的漏洞威胁曲线，可以参见图1l所示。

由S113-S117所示的内容可知，若画像标签设置有第二标识、第三标识、第四标识、或者第五标识，则确定画像标签所指示的组件存在漏洞。由于信息系统所包含的组件数量较多，为了提高信息系统的安全防护操作(例如漏洞修复、杀毒、网络检测等操作)的效率，可以为标识增加优先级属性，具体的，第五标识的优先级高于第四标识的优先级，第四标识的优先级高于第三标识的优先级，第三标识的优先级高于第二标识的优先级，第二标识的优先级高于第一标识的优先级。在为各个组件进行安全防护操作时，按照优先级由高到低的顺序，依次为各个组件进行安全防护操作。

综上所述，基于组件的流量特征在各个时刻的数值、以及工作状态，确定时刻、特征量、以及漏洞等级之间的对应关系，并依据时刻、特征量、以及漏洞等级之间的对应关系，在预设的二维坐标系平面上生成组件的漏洞威胁曲线，根据漏洞威胁曲线在二维坐标系平面上所途经的区域，确定组件是否存在隐性漏洞威胁，从而实现对组件所存在的漏洞威胁的感知。并且，通过为信息系统建立系统画像，利用画像标签指示组件，并为画像标签设置相应的标识，从而实现各个组件所存在的漏洞威胁的感知，适用性较强。

为了方便理解上述实施例所示的流程应用场景，下面以struts s2-052中间件为例，进行介绍说明：

预先为struts s2-052中间件所属的信息系统(具体为招聘网站)建立系统画像，则struts s2-052中间件作为系统画像中的一个画像标签，记为第一画像标签，解析strutss2-052中间件的流量，得到多种流量特征，并组合多种流量特征得到特征量。

9月5日，通过流量感知发现来自某数据中心的IP向招聘网站发起大量访问请求(即发送请求报文)，经分析，确定请求报文中尝试利用struts s2-052中间件内的特殊指令执行系统命令(即将指令操作视为攻击行为)。此时互联网上并未公布关于struts s2-052中间件的新漏洞，但是外部仍旧对于招聘网站不断尝试攻击。查看系统画像，发现第一画像标签的标识为第一标识，且根据流量回溯发现外部的访问请求都没成功，因此确定该攻击行为并未对struts s2-052中间件产生影响，确定struts s2-052中间件在9月5日内不受漏洞威胁。

9月6日，Apache Struts(struts s2-052中间件的开发商)发布官方安全公告，指出struts s2-052中间件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9805，此时并未公布漏洞的POC(即该漏洞可以理解为隐性漏洞)。通过比对发现该漏洞描述与从9月5日起招聘网站的尝试攻击行为的特征量一致。随着漏洞信息的公布，有越来越多的黑客尝试利用此漏洞进行扫描攻击，招聘网站监测到的尝试攻击数大大增加，但是招聘网站仍然正常工作。查看系统画像，发现第一画像标签的标识为第二标识，即确定struts s2-052中间件存在安全隐患，因此可以提示技术人员对struts s2-052中间件进行漏洞修复、漏洞查找等安全防护工作。

9月7日，互联网上公开关于Struts S2-052漏洞的POC，攻击者利用已公布的POC对招聘网站进行攻击，但是被招聘网站的防火墙(也可以为预设的阻断规则)所拦截，并为对招聘网站造成影响，招聘网站仍旧正常工作。查看系统画像，发现第一画像标签的标识为第三标识，即确定struts s2-052中间件存在隐性漏洞威胁，但是并没有给招聘网站带来负面影响，为了防患未然，也可以提示技术人员对struts s2-052中间件进行漏洞修复、漏洞查找等安全防护工作。

经由struts s2-052中间件在9月5日、9月6日、以及9月7日这三天内的特征量的变化、以及工作状态的变化，得到struts s2-052中间件的漏洞威胁曲线如图2所示。在图2中，O-A线段为struts s2-052中间件在9月5日的漏洞威胁曲线，A-B线段为struts s2-052中间件在9月6日的漏洞威胁曲线，B-C线段为struts s2-052中间件在9月7日的漏洞威胁曲线。由于9月7日当天，第三方发起的攻击行为，被招聘网站的防火墙(或者阻断规则)所拦截，且技术人员及时对struts s2-052中间件进行应急处理(可以理解为漏洞修复)，从而使得struts s2-052中间件的特征量随之回到正常水平，即图2中所示出的O-C线段。

综上所述，利用本申请实施例提供的漏洞威胁感知方法，可以感知信息系统中的每个组件是否存在隐性漏洞威胁，相较于现有技术，适用性更强。

需要说明的是，上述实施例提及的漏洞威胁曲线，是本申请所述漏洞威胁感知方法一种可选的具体实现方式。当然，利用预先划分好的区域、以及漏洞威胁曲线所途经的区域，来分析组件是否存在隐性漏洞威胁，也是本申请所述漏洞威胁感知方法一种可选的具体实现方式。由数学应用原理可知，漏洞威胁曲线可以理解为特征量与漏洞等级的映射关系。为此，上述实施例提及的流程，可以概括为图3所示的方法。

如图3所示，为本申请实施例提供的另一种漏洞威胁感知方法的示意图，包括如下步骤：

S301：对组件的流量进行流量感知，得到组件在各个时刻的特征量。

其中，对组件的流量进行流量感知，得到组件在各个时刻的特征量的具体实现过程，可以参见上述提及S104、S105和S106。

S302：获取组件在各个时刻的工作状态，并依据预先构建的漏洞等级和组件的工作状态的对应关系，得到组件在各个时刻的漏洞等级。

其中，预先构建漏洞等级和组件的工作状态的对应关系的过程，额可以参见上述提及的S102和S103。

S303：将同一时刻所得到的特征量与漏洞等级进行映射关联，得到映射关系。

其中，将同一时刻所得到的特征量与漏洞等级进行映射关联，得到映射关系的具体过程，可以参见上述提及S107-S111。

S304：在映射关系反映第一变化趋势的情况下，确定组件存在隐性漏洞威胁。

可选的，在映射关系反映第二变化趋势和第三变化趋势的情况下，确定组件存在显性漏洞威胁。

可选的，在映射关系反映第四变化趋势的情况下，确定组件存在安全隐患。

可选的，在映射关系反映第五变化趋势的情况下，确定组件不受漏洞威胁。

第一变化趋势为：在预设时间周期内，特征量的增长速率大于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值大于预设系数。

其中，所谓的第一变化趋势，可以参考图1j所示的漏洞威胁曲线。

第二变化趋势为：在预设时间周期内，特征量的增长速率等于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值等于预设系数。

其中，所谓的第二变化趋势，可以参考图1l所示的漏洞威胁曲线。

第三变化趋势为：在预设时间周期内，特征量的增长速率小于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值小于预设系数。

其中，所谓的第三变化趋势，可以参考图1k所示的漏洞威胁曲线。

第四变化趋势为：在预设时间周期内，特征量的增长值不大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值不大于预设系数。

其中，所谓的第四变化趋势，可以参考图1i所示的漏洞威胁曲线。

第五变化趋势为：在预设时间周期内，特征量的增长值不大于预设第二阈值，且特征量的增长值与漏洞等级的增长值之间的比值不大于预设系数。

其中，所谓的第五变化趋势，可以参考图1h所示的漏洞威胁曲线。

需要说明的是，预设第一阈值、以及预设系数均基于组件的工作状态所确定，预设第二阈值小于预设第一阈值。

需要强调的是，所谓的预设系数其实就是上述实施例提及的漏斗威胁曲线的余切(即特征量/漏洞等级)，由数学原理可知，曲线的余切能够反映曲线的变化趋势，因此，利用预设系数表征映射关系的变化趋势。

综上所述，利用本实施例所述的方法，基于特征量和漏洞等级之间的映射关系，能够感知组件中是否存在隐性漏洞威胁。相较于现有技术，适用性更广。

与上述本申请实施例提供的漏洞威胁感知方法相对应，本申请实施例还提供了一种漏洞威胁感知装置。

如图4所示，为本申请实施例提供的一种漏洞威胁感知装置的结构示意图，包括：

感知单元100，用于对组件的流量进行流量感知，得到组件在各个时刻的特征量。

其中，感知单元100具体用于：解析组件的流量，得到多种流量特征；每种流量特征均用于指示一种数据项；针对每种流量特征进行流量感知，得到每种流量特征在各个时刻的数值；针对每个时刻，基于各种流量特征之间的预设相关性，将多种流量特征的数值，合成为特征量。

构建单元200，用于获取组件在各个时刻的工作状态，并依据预先构建的漏洞等级和组件的工作状态的对应关系，得到组件在各个时刻的漏洞等级。

其中，构建单元200具体用于：利用攻击行为，对组件进行攻击，并获取处于被攻击状态下的组件的工作状态；基于攻击行为和漏洞等级的预设对应关系，以及攻击行为和组件的工作状态的对应关系，匹配漏洞等级和组件的工作状态，得到漏洞等级和组件的工作状态的对应关系。

映射单元300，用于将同一时刻所得到的特征量与漏洞等级进行映射关联，得到映射关系。

确定单元400，用于在映射关系反映第一变化趋势的情况下，确定组件存在隐性漏洞威胁，其中，第一变化趋势为：在预设时间周期内，特征量的增长速率大于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值大于预设系数；预设第一阈值、以及预设系数均基于组件的工作状态所确定。

其中，确定单元400还用于：在映射关系反映第二变化趋势和第三变化趋势的情况下，确定组件存在显性漏洞威胁；其中，第二变化趋势为：在预设时间周期内，特征量的增长速率等于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值等于预设系数；第三变化趋势为：在预设时间周期内，特征量的增长速率小于漏洞等级的增长速率，特征量的增长值大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值小于预设系数。

确定单元400还用于：在映射关系反映第四变化趋势的情况下，确定组件存在安全隐患；其中，第四变化趋势为：在预设时间周期内，特征量的增长值不大于预设第一阈值，且特征量的增长值与漏洞等级的增长值之间的比值不大于预设系数。

确定单元400还用于：在映射关系反映第五变化趋势的情况下，确定组件不受漏洞威胁；其中，第五变化趋势为：在预设时间周期内，特征量的增长值不大于预设第二阈值，且特征量的增长值与漏洞等级的增长值之间的比值不大于预设系数；预设第二阈值小于预设第一阈值。

画像单元500，用于为信息系统建立系统画像；系统画像包括多个画像标签，每个画像标签用于指示一个组件。

其中，画像单元500还用于为组件所属的画像标签，设置用于指示组件存在隐性漏洞威胁的标识。

综上所述，利用本实施例所述的方法，基于特征量和漏洞等级之间的映射关系，能够感知组件中是否存在隐性漏洞威胁。相较于现有技术，适用性更广。

本申请还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的程序，其中，程序执行上述本申请提供的漏洞威胁感知方法。

本申请还提供了一种漏洞威胁感知设备，包括：处理器、存储器和总线。处理器与存储器通过总线连接，存储器用于存储程序，处理器用于运行程序，其中，程序运行时执行上述本申请提供的漏洞威胁感知方法，包括如下步骤：

对组件的流量进行流量感知，得到所述组件在各个时刻的特征量；

获取所述组件在各个时刻的工作状态，并依据预先构建的漏洞等级和所述组件的工作状态的对应关系，得到所述组件在各个时刻的漏洞等级；

将同一时刻所得到的所述特征量与所述漏洞等级进行映射关联，得到映射关系；

在所述映射关系反映第一变化趋势的情况下，确定所述组件存在隐性漏洞威胁；其中，所述第一变化趋势为：在预设时间周期内，所述特征量的增长速率大于所述漏洞等级的增长速率，所述特征量的增长值大于预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值大于预设系数；所述预设第一阈值、以及所述预设系数均基于所述组件的工作状态所确定。

可选的，还包括：

在所述映射关系反映第二变化趋势和第三变化趋势的情况下，确定所述组件存在显性漏洞威胁；

其中，所述第二变化趋势为：在所述预设时间周期内，所述特征量的增长速率等于所述漏洞等级的增长速率，所述特征量的增长值大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值等于所述预设系数；

所述第三变化趋势为：在所述预设时间周期内，所述特征量的增长速率小于所述漏洞等级的增长速率，所述特征量的增长值大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值小于所述预设系数。

可选的，还包括：

在所述映射关系反映第四变化趋势的情况下，确定所述组件存在安全隐患；其中，所述第四变化趋势为：在所述预设时间周期内，所述特征量的增长值不大于所述预设第一阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值不大于所述预设系数。

可选的，还包括：

在所述映射关系反映第五变化趋势的情况下，确定所述组件不受漏洞威胁；其中，所述第五变化趋势为：在所述预设时间周期内，所述特征量的增长值不大于预设第二阈值，且所述特征量的增长值与所述漏洞等级的增长值之间的比值不大于所述预设系数；所述预设第二阈值小于所述预设第一阈值。

可选的，所述对组件的流量进行流量感知，得到所述组件在各个时刻的特征量，包括：

解析组件的流量，得到多种流量特征；每种所述流量特征均用于指示一种数据项；

针对每种所述流量特征进行流量感知，得到每种所述流量特征在各个时刻的数值；

针对每个所述时刻，基于各种所述流量特征之间的预设相关性，将多种所述流量特征的数值，合成为特征量。

可选的，构建所述漏洞等级和所述组件的工作状态的对应关系的过程，包括：

利用攻击行为，对所述组件进行攻击，并获取处于被攻击状态下的所述组件的工作状态；

基于所述攻击行为和漏洞等级的预设对应关系，以及所述攻击行为和所述组件的工作状态的对应关系，匹配所述漏洞等级和所述组件的工作状态，得到所述漏洞等级和所述组件的工作状态的对应关系。

可选的，还包括：

为信息系统建立系统画像；所述系统画像包括多个画像标签，每个所述画像标签用于指示一个所述组件；

所述确定所述组件存在隐性漏洞威胁，包括：

为所述组件所属的画像标签，设置用于指示所述组件存在隐性漏洞威胁的标识。

本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。