【技術實現步驟摘要】
本申請涉及安全測試,具體而言,涉及一種基于llm的asoc漏洞評估方法、裝置、設備及介質。
技術介紹
1、在當前的應用安全測試領域,各種安全測試工具被廣泛用于識別、分析和報告軟件系統中的潛在安全漏洞。目前通常采用sast工具(靜態應用安全測試)、iast工具(交互式應用安全測試)等工具對漏洞進行安全檢測,這樣,通過自動化掃描、靜態代碼分析、動態分析等多種技術手段,可以提高應用程序的安全性,但是目前的檢測方式無法對漏洞進行全面檢測,只能從單一方面進行檢測,檢測的準確性較差,如何提高漏洞檢測的準確性是目前急需解決的問題。
技術實現思路
1、本申請的一些實施例的目的在于提供一種基于llm的asoc漏洞評估方法、裝置、設備及介質,通過本申請的實施例的技術方案,通過獲取待檢測的項目代碼文件,并確定所述項目代碼文件中的漏洞信息;根據預先設置的漏洞有效性識別模型和所述漏洞信息,確定所述漏洞信息的有效性信息,其中,所述預先設置的漏洞有效性識別模型是采用不同類型的預設漏洞檢測工具獲取到樣本漏洞信息,并根據所述樣本漏洞信息對大模型進行訓練得到的;所述有效性信息至少包括有效漏洞信息;根據預設分類規則,確定與所述有效漏洞信息對應的漏洞類型,并分別計算每一個有效漏洞的分值;根據所述漏洞信息的有效性信息、所述漏洞類型和所述分值,對所述待檢測的項目代碼文件中的漏洞進行評估,本申請實施例中通過采用多種不同類型的漏洞檢測工具獲取樣本漏洞信息,進而對大模型進行訓練,得到漏洞有效性識別模型,從而在實際應用中,可以采用該
2、第一方面,本申請的一些實施例提供了一種基于llm的asoc漏洞評估方法,包括:
3、獲取待檢測的項目代碼文件,并確定所述項目代碼文件中的漏洞信息;
4、根據預先設置的漏洞有效性識別模型和所述漏洞信息,確定所述漏洞信息的有效性信息,其中,所述預先設置的漏洞有效性識別模型是采用不同類型的預設漏洞檢測工具獲取到樣本漏洞信息,并根據所述樣本漏洞信息對大模型進行訓練得到的;所述有效性信息至少包括有效漏洞信息;
5、根據預設分類規則,確定與所述有效漏洞信息對應的漏洞類型,并分別計算每一個有效漏洞的分值;
6、根據所述漏洞信息的有效性信息、所述漏洞類型和所述分值,對所述待檢測的項目代碼文件中的漏洞進行評估。
7、本申請的一些實施例通過采用多種不同類型的漏洞檢測工具獲取樣本漏洞信息,進而對大模型進行訓練,得到漏洞有效性識別模型,從而在實際應用中,可以采用該漏洞有效性識別模型判斷檢測出的漏洞是否為有效漏洞,然后對有效漏洞進行分類,進而在每一種漏洞分類中計算有效漏洞的分值,并根據漏洞信息的有效性信息、漏洞類型和分值,對所述待檢測的項目代碼文件中的漏洞進行評估,這樣,可以對漏洞進行全面檢測和評估,提高漏洞檢測的準確性。
8、可選地,所述預先設置的漏洞有效性識別模型是通過如下方式獲得的:
9、獲取樣本項目代碼文件;
10、采用預設漏洞檢測工具,對所述樣本項目代碼文件進行漏洞檢測,得到與所述預設漏洞檢測工具對應的漏洞檢測結果;其中,所述預設漏洞檢測工具至少包括交互式應用安全測試方法、靜態應用安全測試方法、動態應用安全測試方法、軟件組成分析方法、自動化滲透測試方法和運行時應用程序自我保護方法中的多種;
11、對與所述預設漏洞檢測工具對應的漏洞檢測結果進行預處理,得到與漏洞標識對應的樣本漏洞信息;
12、根據所述與漏洞標識對應的樣本漏洞信息,對大模型進行訓練,得到所述漏洞有效性識別模型。
13、本申請的一些實施例通過不同檢測工具的漏洞結果規范化數據對齊和整合過程,基于整合后的完整漏洞數據,通過大模型精確判斷漏洞是否有效,去除誤報。
14、可選地,所述對與所述預設漏洞檢測工具對應的漏洞檢測結果進行預處理,得到與漏洞標識對應的樣本漏洞信息,包括:
15、根據預設字段對與所述預設漏洞檢測工具對應的漏洞檢測結果進行字段處理,得到標準化的漏洞檢測結果,所述預設字段至少包括一級字段和二級字段;
16、對所述標準化的漏洞檢測結果進行去重和數據對齊處理,得到與所述漏洞標識對應的樣本漏洞信息。
17、本申請的一些實施例通過不同檢測工具的漏洞結果規范化數據對齊和整合過程,提高數據處理的準確性。
18、可選地,所述根據所述與漏洞標識對應的樣本漏洞信息,對大模型進行訓練,得到所述漏洞有效性識別模型,包括:
19、根據與所述漏洞標識對應的樣本漏洞信息,確定與所述樣本漏洞信息對應的特征向量;
20、對與所述樣本漏洞信息對應的特征向量進行數據清洗,得到模型的輸入向量;
21、根據所述模型的輸入向量對所述大模型進行訓練,得到所述漏洞有效性識別模型,以及與所述漏洞有效性識別模型對應的訓練參數,所述訓練參數至少包括學習率、損失函數和訓練次數。
22、本申請的一些實施例,通過基于整合后的完整漏洞數據,通過大模型精確判斷漏洞是否有效,去除誤報,提高漏洞有效性檢測的準確性。
23、可選地,所述根據預設分類規則,確定與所述有效漏洞信息對應的漏洞類型,包括:
24、根據開放網絡應用程序安全項目規則,對所述有效漏洞信息進行分類處理,得到與所述有效漏洞信息對應的漏洞類型,其中,所述漏洞類型至少包括注入類、敏感數據泄露類;xml外部實體類;跨站腳本類;不安全的反序列化類或使用含有已知漏洞的組件類中的一種。
25、本申請的一些實施例將有效漏洞類中的漏洞根據漏洞類型分類,如根據owasp(開放網絡應用程序安全項目)定期發布的漏洞類型分類,進行優先級排序,根據類型不同,嚴重程度越高,修復優先級越高。
26、可選地,所述計算每一個有效漏洞的分值,包括:
27、獲取有效漏洞的計算字段,其中,所述預設漏洞檢測工具和工具數量;
28、根據所述預設漏洞檢測工具的準確率,分別計算每一種預設漏洞檢測工具對應的評分權重;
29、根據所述評分權重和所述漏洞信息的有效性信息,計算每一個有效漏洞的分值。
30、本申請的一些實施例,根據評分結果(分數越高,優先級越高)進行優先級排序。
31、可選地,所述根據所述漏洞信息的有效性信息、所述漏洞類型和所述分值,對所述待檢測的項目代碼文件中的漏洞進行評估,包括:
32、根據所述漏洞信息的有效性信息,獲取有效漏洞;
33、在漏洞為有效漏洞的情況下,根據所述漏洞類型的優先級,對所述有效漏洞進行排序處理,得到第一排序結果;
34、對于同一類型的有效漏洞,本文檔來自技高網...
【技術保護點】
1.一種基于LLM的ASOC漏洞評估方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述預先設置的漏洞有效性識別模型是通過如下方式獲得的:
3.根據權利要求2所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述對與所述預設漏洞檢測工具對應的漏洞檢測結果進行預處理,得到與漏洞標識對應的樣本漏洞信息,包括:
4.根據權利要求3所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述根據所述與漏洞標識對應的樣本漏洞信息,對大模型進行訓練,得到所述漏洞有效性識別模型,包括:
5.根據權利要求1所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述根據預設分類規則,確定與所述有效漏洞信息對應的漏洞類型,包括:
6.根據權利要求1所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述計算每一個有效漏洞的分值,包括:
7.根據權利要求1所述的基于LLM的ASOC漏洞評估方法,其特征在于,所述根據所述漏洞信息的有效性信息、所述漏洞類型和所述分值,對所述待檢測的項
8.一種基于LLM的ASOC漏洞評估裝置,其特征在于,所述裝置包括:
9.一種電子設備,其特征在于,包括存儲器、處理器以及存儲在所述存儲器上并可在所述處理器上運行的計算機程序,其中,所述處理器執行所述程序時可實現權利要求1-7中任意一項權利要求所述的基于LLM的ASOC漏洞評估方法。
10.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質上存儲有計算機程序,其特征在于,所述程序被處理器執行時可實現權利要求1-7中任意一項權利要求所述的基于LLM的ASOC漏洞評估方法。
...【技術特征摘要】
1.一種基于llm的asoc漏洞評估方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于llm的asoc漏洞評估方法,其特征在于,所述預先設置的漏洞有效性識別模型是通過如下方式獲得的:
3.根據權利要求2所述的基于llm的asoc漏洞評估方法,其特征在于,所述對與所述預設漏洞檢測工具對應的漏洞檢測結果進行預處理,得到與漏洞標識對應的樣本漏洞信息,包括:
4.根據權利要求3所述的基于llm的asoc漏洞評估方法,其特征在于,所述根據所述與漏洞標識對應的樣本漏洞信息,對大模型進行訓練,得到所述漏洞有效性識別模型,包括:
5.根據權利要求1所述的基于llm的asoc漏洞評估方法,其特征在于,所述根據預設分類規則,確定與所述有效漏洞信息對應的漏洞類型,包括:
6.根據權利要求1所述的基于llm的asoc...
【專利技術屬性】
技術研發人員:張濤,寧戈,周幸,李浩,王越,劉鎮,杜玉潔,
申請(專利權)人:北京安普諾信息技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。