一種確定基於bvs的檢查項權重值的方法及裝置的製作方法

2023-12-06 16:20:51

專利名稱：一種確定基於bvs的檢查項權重值的方法及裝置的製作方法
技術領域：
本發明涉及計算機技術領域,尤指一種確定基於安全配置核查系統(BenchmarkVerification System, BVS)的檢查項權重值的方法及裝置。
背景技術：
BVS的相關產品一般具有自定義模板的功能，這項功能能夠提供一個平臺，用戶可以使用這個平臺根據行業規範開發需要的掃描模板。自定義的掃描模板一般是由若干條自定義檢查項組成，每條自定義檢查項對應一條安全基線，安全基線出自於行業安全規範，由相關行業制訂。自定義的掃描模板中每條檢查項對應一個權重值，用以表明該檢查項的重要性，權值值越高，表示該檢查項越重要；反之，表示該檢查項越不重要。使用自定義的掃描模板對設備進行掃描時，若該檢查項的掃描結果為True，則說明該檢查項合格，得到權重值；若該檢測項的掃描結果為False，則說明該檢查項不合格，得不到權重值。掃描完成後，用合規檢查項的權重值之和與所有檢查項的權重值之和相比，就可以得到綜合掃描分值，然後生成報表，後續根據報表進行相關分析。目前，在自定義掃描模板時，每創建一條檢查項，是由人工來確定創建的檢查項的權重值。例如，用戶A使用該平臺根據《中國行動網路部Cisco路由器安全配置規範》開發了一個掃描模板X ;用 戶B也根據同樣的規範開發了一個掃描模板Y ;由於掃描模板X和Y是對應同一份規範，它們的檢查項對應的安全基線相同，應該具有同樣的權重值，但是現在由於檢查項的權重值是由模板開發者自行確定，往往會出現對應同一條安全基線的檢查項的權重值不一致的情況。如掃描模板X中的檢查項:「口令複雜度要求:包含字母數字下劃線」權重值被A設置為7，而掃描模板Y中的這個檢查項的權重值被B設置為4。因此，由於是由人工確定檢查項的權重值，導致掃描模板開發的效率非常低；並且，由於針對一個檢查項的權重值由不同的人員確定時會得到多個權重值，導致根據掃描模板生成的報表的準確性較低。

發明內容
本發明實施例提供一種確定基於BVS的檢查項權重值的方法及裝置，用以解決現有技術中存在由人工確定檢查項的權重值導致掃描模板開發的效率和根據掃描模板生成的報表的準確性較低的問題。一種確定基於BVS的檢查項權重值的方法，包括:在自定義掃描模板時,新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項；從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項；若能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。一種確定基於BVS的檢查項權重值的裝置，包括:獲取單元，用於在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項；篩選單元，用於從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項；確定單元，用於若所述篩選單元能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。本發明有益效果如下:本發明實施例提供的確定基於BVS的檢查項權重值的方法及裝置，通過在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項；從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項；若能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項 的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。該方案不再需要人工設置新建檢查項的權重值，可以提高掃描模板開發的效率；並且，由於考慮了相似檢查項的權重值及相似檢查項與新建檢查項的相似度，一個新建檢查項只能對應一個權重值，不會再出現對應多個權重值的情況，這樣就提高了根據掃描模板生成的報表的準確性。


圖1為本發明實施例中確定基於BVS的檢查項權重值的方法的流程圖；圖2為本發明實施例中檢查庫中存儲的檢查項與關鍵字的示意圖；圖3為本發明實施例中確定基於BVS的檢查項權重值的裝置的結構示意圖。
具體實施例方式針對現有技術中存在的由人工確定檢查項的權重值導致的效率和準確性較低的的問題，本發明實施例提供的一種確定基於BVS的檢查項權重值的方法，該方法的流程如圖1所示，執行步驟如下:SlO:在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與新建檢查項所屬的模板類型相同的檢查項，作為新建檢查項的同類型檢查項。現有的模板包括中間件、資料庫、作業系統和網絡設備等等，中間件可以包括Apache、Tomcat、IIS等各類網絡(Web)伺服器應用，資料庫可以包括Oracle、MySQL等常見資料庫應用，每個應用可以對應一個或多個檢查項。例如:如果一個應用為檢測用戶名，對於移動的安全配置規範中，要求用戶名大於10個字符，可以新建檢查項「檢測用戶名是否大於10個字符」來對設備進行掃描；而電信的安全配置規範中，要求用戶名大於5個字符，可以新建檢查項「檢測用戶名是否大於5個字符」來對設備進行掃描。在新建一條檢查項之後，首先確定新建檢查項所屬的模板類型，然後在預先建立的檢查項庫中獲取與新建檢查項所屬的模板類型相同的檢查項，由於同類型的檢查項性質相同，對應的安全配置規範中的安全基線有一定程度的相似性，因此可以參考同類型檢查項的權重值確定新建檢查項的權重值。Sll:從同類型檢查項中篩選出與新建檢查項的相似度大於設定閾值的檢查項作為新建檢查項的相似檢查項；若能夠篩選出新建檢查項的相似檢查項，執行S12 ;若未能篩選出相似檢查項，執行S13。S12:根據相似檢查項與新建檢查項的相似度、及對應的相似檢查項的權重值，確定新建檢查項的權重值。S13:選取預設的權重值作為新建檢查項的權重值、且從預設關鍵字集合中選取關鍵字作為新建檢查項對應的關鍵字，將新建檢查項及其對應的關鍵字和權重值添加到檢查項庫中。可以預設幾個權重值，例如:若有簡單等級、常見等級和破壞力等級三個，每個等級可以賦予一定的值，也可以計算出這三個值的均值，那麼這三個值和這三個值的均值就組成了預設的權重值，從這四個權重值中選取一個作為新建檢查項的權重值；可以從預設關鍵字集合中選取關鍵字作為新建檢查項對應的關鍵字，然後將新建檢查項及其對應的關鍵字和權重值添加到檢查項庫中，這樣就可以豐富檢查項庫中的內容。
該方案不再需要人工設置新建檢查項的權重值，可以掃描模板開發的提高效率；並且，由於考慮了相似檢查項的權重值及相似檢查項與新建檢查項的相似度，一個新建檢查項只能對應一個權重值，不會再出現對應多個權重值的情況，這樣就提高了根據掃描模板生成的報表的準確性。具體的，上述Sll中的從同類型檢查項中篩選出與新建檢查項的相似度大於設定閾值的檢查項作為新建檢查項的相似檢查項，具體包括:在新建檢查項中提取關鍵字作為新建檢查項對應的關鍵字，以及在檢查項庫中獲取同類型檢查項對應的關鍵字；根據同類型檢查項對應的關鍵字與新建檢查項對應的關鍵字，計算每個同類型檢查項與新建檢查項的相似度；分別將每個同類型檢查項與新建檢查項的相似度與設定閾值比較；篩選出與新建檢查項的相似度大於設定閾值的同類型檢查項作為新建檢查項的相似檢查項。可以在新建檢查項中提取出部分字或詞作為該新建檢查項對應的關鍵字，新建檢查項可以記為BL_New。例如:對於新建檢查項「檢測用戶名是否大於10個字符」，可以提取「用戶名」、「大於」、「10個字符」這些詞作為該新建檢查項對應的關鍵字。在檢查項庫中存儲了檢查項、對應的關鍵字以及對應的權重值，一個檢查項可以對應多個關鍵字，一個關鍵字也可以對應多個檢查項，如圖2所示，其中K1、K2……Κ12表示關鍵字，BLU BL2……BL6表示在檢查項庫中已有的檢查項。假設BL_New所屬的模板類型是中間件，那麼BLl、BL2、BL3是BL_New的同類型檢查項，可以根據BL1、BL2、BL3對應的關鍵字與BL_New對應的關鍵字，分別計算BL1、BL2、BL3與BL_New的相似度；分別將BL1、BL2、BL3與BL_New的相似度與設定閾值比較，篩選出與BL_New的相似度大於設定閾值的同類型檢查項作為新建檢查項的相似檢查項。設定閾值可以根據實際需要進行設定，可以選取同類型檢查項對應的關鍵字的最大個數的倒數，例如，同類型檢查項對應的關鍵字的最大個數是3個，那麼設定閾值可以為1/3。這裡僅僅是列舉了一種確定設定閾值的方法，還有很多方式，這不再一一贅述。具體的，上述根據同類型檢查項對應的關鍵字與新建檢查項對應的關鍵字，計算每個同類型檢查項與新建檢查項的相似度，具體包括:針對每個同類型檢查項，執行如下操作:將當前同類型檢查項對應的關鍵字組成的集合作為第一關鍵字集合，將新建檢查項對應的關鍵字組成的集合作為第二關鍵字集合；確定第一關鍵字集合與第二關鍵字集合的交集和併集；計算交集中關鍵字的個數與併集中關鍵字的個數的比值，將計算出的比值作為當前同類型檢查項與新建檢查項的相似度。繼續沿用上例，若要計算BLl與BL_New的相似度，將BLl對應的關鍵字組成的集合作為第一關鍵字集合，記為K(BL1 )，將BL_New對應的關鍵字組成的集合作為第二關鍵字集合，記為K (BL_New)，第一關鍵字集合與第二關鍵字集合的交集記為K (BLl) H K (BL_New)，第一關鍵字集合與第二關鍵字集合的併集記為K (BLl) U K (BL_New)，那麼BLl與
BL_New的相似度
權利要求
1.一種確定基於BVS的檢查項權重值的方法,其特徵在於,包括: 在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項； 從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項； 若能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。
2.如權利要求1所述的方法，其特徵在於，從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項，具體包括: 在所述新建檢查項中提取關鍵字作為所述新建檢查項對應的關鍵字，以及在所述檢查項庫中獲取所述同類型檢查項對應的關鍵字； 根據所述同類型檢查項對應的關鍵字與所述新建檢查項對應的關鍵字，計算每個所述同類型檢查項與所述新建檢查項的相似度； 分別將每個所述同類型檢查項與所述新建檢查項的相似度與所述設定閾值比較；篩選出與所述新建檢查項的相似度大於所述設定閾值的同類型檢查項作為所述新建檢查項的相似檢查項。
3.如權利要求2所述的方法，其特徵在於，根據所述同類型檢查項對應的關鍵字與所述新建檢查項對應的關鍵字，計算每個所述同類型檢查項與所述新建檢查項的相似度，具體包括:` 針對每個所述同類型檢查項，執行如下操作: 將當前同類型檢查項對應的關鍵字組成的集合作為第一關鍵字集合，將所述新建檢查項對應的關鍵字組成的集合作為第二關鍵字集合； 確定所述第一關鍵字集合與所述第二關鍵字集合的交集和併集； 計算所述交集中關鍵字的個數與所述併集中關鍵字的個數的比值，將計算出的比值作為所述當前同類型檢查項與所述新建檢查項的相似度。
4.如權利要求1所述的方法，其特徵在於，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值，具體包括: 分別計算每個所述相似檢查項與所述新建檢查項的相似度、與對應的相似檢查項的權重值的乘積； 計算得到的乘積的和值，將得到的和值作為所述新建檢查項的權重值。
5.如權利要求1所述的方法，其特徵在於，還包括: 若未能篩選出相似檢查項，選取預設的權重值作為所述新建檢查項的權重值、且從預設關鍵字集合中選取關鍵字作為所述新建檢查項對應的關鍵字，將所述新建檢查項及其對應的關鍵字和權重值添加到所述檢查項庫中。
6.一種確定基於BVS的檢查項權重值的裝置，其特徵在於，包括: 獲取單元，用於在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項；篩選單元，用於從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項； 確定單元，用於若所述篩選單元能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。
7.如權利要求6所述的裝置，其特徵在於，所述篩選單元，具體用於: 在所述新建檢查項中提取關鍵字作為所述新建檢查項對應的關鍵字，以及在所述檢查項庫中獲取所述同類型檢查項對應的關鍵字； 根據所述同類型檢查項對應的關鍵字與所述新建檢查項對應的關鍵字，計算每個所述同類型檢查項與所述新建檢查項的相似度； 分別將每個所述同類型檢查項與所述新建檢查項的相似度與所述設定閾值比較；篩選出與所述新建檢查項的相似度大於所述設定閾值的同類型檢查項作為所述新建檢查項的相似檢查項。
8.如權利要求7所述的裝置，其特徵在於，所述篩選單元，具體用於: 針對每個所述同類型檢查項，執行如下操作: 將當前同類型檢查項對應的關鍵字組成的集合作為第一關鍵字集合，將所述新建檢查項對應的關鍵字組成的集合作為第二關鍵字集合； 確定所述第一關鍵字集 合與所述第二關鍵字集合的交集和併集； 計算所述交集中關鍵字的個數與所述併集中關鍵字的個數的比值，將計算出的比值作為所述當前同類型檢查項與所述新建檢查項的相似度。
9.如權利要求6所述的裝置，其特徵在於，所述確定單元，具體用於: 分別計算每個所述相似檢查項與所述新建檢查項的相似度、與對應的相似檢查項的權重值的乘積； 計算得到的乘積的和值，將得到的和值作為所述新建檢查項的權重值。
10.如權利要求6所述的裝置，其特徵在於，所述確定單元，還用於: 若所述篩選單元未能篩選出相似檢查項，選取預設的權重值作為所述新建檢查項的權重值、且從預設關鍵字集合中選取關鍵字作為所述新建檢查項對應的關鍵字，將所述新建檢查項及其對應的關鍵字和權重值添加到所述檢查項庫中。
全文摘要
本發明公開了一種確定基於BVS的檢查項權重值的方法及裝置，該方法包括在自定義掃描模板時，新建一條檢查項後，確定新建檢查項所屬的模板類型，並在預先建立的檢查項庫中獲取與所述新建檢查項所屬的模板類型相同的檢查項，作為所述新建檢查項的同類型檢查項；從所述同類型檢查項中篩選出與所述新建檢查項的相似度大於設定閾值的檢查項作為所述新建檢查項的相似檢查項；若能夠篩選出所述新建檢查項的相似檢查項，根據所述相似檢查項與所述新建檢查項的相似度、及對應的相似檢查項的權重值，確定所述新建檢查項的權重值。該方案可以提高確定新建檢查項的權重值的效率和準確性。
文檔編號G06F9/44GK103226470SQ20131009150
公開日2013年7月31日 申請日期2013年3月21日 優先權日2013年3月21日
發明者符潤禎 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司