(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211381671.8 (22)申请日 2022.11.07 (71)申请人 中国科学技术大学 地址 230026 安徽省合肥市包河区金寨路 96号 (72)发明人 谭小彬　程进燕　施钱宝　郑烇　 杨坚　 (74)专利代理 机构 北京凯特来知识产权代理有 限公司 1 1260 专利代理师 郑立明　韩珂 (51)Int.Cl. G06F 21/57(2013.01) G06F 16/35(2019.01) (54)发明名称 漏洞利用概率预测方法、 系统、 设备及存储 介质 (57)摘要 本发明公开了一种 漏洞利用概率预测方法、 系统、 设备及存储介质， 一方面， 仅使用已利用漏 洞样本， 避免了直接进行二分类面临的不会被利 用漏洞类别数据的选择问题； 另 一方面， 对已利 用漏洞样 本训练聚类模型并进行聚类， 不仅使聚 类模型学习到了所有已利用漏洞样 本， 解决了二 分类模型对已利用漏洞样本学习不完整的问题， 而且解决了将所有已利用漏洞样本视为一个整 体时， 相似度距离门槛值包含范围过大， 几乎将 所有漏洞都预测为有可能被利用的问题， 并将待 预测漏洞聚类到最近的聚类簇， 利用它 与所属聚 类簇的中心向量的相似度距离预测其利用概率， 大大提高了预测效果。 权利要求书2页 说明书7页 附图3页 CN 115422556 A 2022.12.02 CN 115422556 A 1.一种漏洞 利用概率预测方法， 其特 征在于， 包括： 获取已利用漏洞样本的描述文本以及待预测漏洞的描述文本， 并分别进行预处理后， 再通过向量 化处理， 获得已利用漏洞样本的向量与待预测漏洞的向量； 使用已利用漏洞样本的向量训练聚类模型， 获得多个聚类簇的中心向量， 对于每一个 聚类簇， 通过计算聚类簇的中心向量与聚类簇中各已利用漏洞样本的向量的相似度距离值 确定聚类簇的相似度距离门槛 值； 利用训练后的聚类模型预测待预测漏洞的向量所属聚类簇， 再计算所述待预测漏洞的 向量与其所属聚类簇的中心向量的相似度 距离值d， 根据相似度 距离值d与待 预测漏洞的向 量所属聚类簇的相似度距离门槛 值大小， 判断待预测漏洞是否被利用。 2.根据权利要求1所述的一种漏洞利用概率预测方法， 其特征在于， 所述通过计算聚类 簇的中心向量与聚类簇中各已利用漏洞样本的向量的相似度距离值确定聚类簇的相似度 距离门槛 值包括： 逐一计算 聚类簇中每一已利用漏洞样本的向量与聚类簇的中心向量的相似度距离值， 选出所有相似度距离值中的最小值作为聚类簇的相似度距离门槛 值。 3.根据权利要求1或2所述的一种漏洞利用概率预测方法， 其特征在于， 确定聚类簇的 相似度距离门槛 值的公式表示 为： 其中， Ti表示第i个聚类簇 的相似度距离门槛值， clusteri表示第i个聚类簇 的中心向 量， vj表示第i个聚类簇中的第j 个已利用漏洞样 本的向量， ni表 示第i个聚类簇中已利用漏 洞样本的向量的数目， 函数 表示相似度距离度量 函数， 函数mi n(.)表示取最小值。 4.根据权利要求1所述的一种漏洞利用概率预测方法， 其特征在于， 所述利用训练后的 聚类模型 预测待预测漏洞的向量所属聚类簇包括： 使用已利用漏洞样本的向量训练聚类模型时， 还获得每一聚类簇的簇标签， 预测待预 测漏洞的向量所属聚类簇时， 根据预测出的待预测漏洞的向量聚类后的簇标签确定待 预测 漏洞的向量所属聚类簇 。 5.根据权利要求1所述的一种漏洞利用概率预测方法， 其特征在于， 所述根据相似度距 离值d与待预测漏洞的向量所属聚类簇的相似度距离门槛值大小， 判断待预测漏洞是否被 利用包括： 若相似度距离值d小于待预测漏洞的向量所属聚类簇的相似度距离门槛值， 则判定待 预测漏洞不会被利用； 若相似度距离值d大于等于待预测漏洞的向量所属聚类簇的相似度距离门槛值， 则判 定待预测漏洞会被利用。 6.根据权利要求1或5所述的一种漏洞利用概率预测方法， 其特征在于， 该方法还包括： 利用获取的已利用漏洞样本的总数与聚类簇数计算弹性变量， 并利用所述弹性变量对所有 聚类簇的相似度距离门槛值分别进行弹性处理， 再根据相似度距离值d与相应的弹性处理 后的聚类簇的相似度距离门槛 值大小， 判断待预测漏洞是否被利用。 7.根据权利要求6所述的一种漏洞利用概率预测方法， 其特征在于， 对于第 i个聚类簇， 计算弹性变量并对相似度距离门槛 值进行弹性处 理的过程表示 为：权　利　要　求　书 1/2 页 2 CN 115422556 A 2其中， N表示获取的已利用 漏洞样本的总数， C表示聚类簇数， ni表示第i个聚类簇中已 利用漏洞样本的向量的数目， 表示第i个聚类簇的弹性变量， Ti表示第i个聚类簇的相似 度距离门槛 值， 表示弹性处理后的第i个聚类 簇的相似度距离门槛 值。 8.一种漏洞利用概率预测系统， 其特征在于， 基于权利要求1~7任一项所述的方法实 现， 该系统包括： 数据获取 单元， 用于获取已利用漏洞样本的描述文本以及待预测漏洞的描述文本； 数据预处理单元， 用于对已利用漏洞样本的描述文本以及待预测漏洞的描述文本分别 进行预处理； 文本向量化单元， 用于对预处理后的已利用漏洞样本的描述文本以及待预测漏洞的描 述文本进行向量 化处理， 获得已利用漏洞样本的向量与待预测漏洞的向量； 聚类单元， 用于使用已利用漏洞样本的向量训练聚类模型， 获得多个聚类簇的中心向 量； 相似度距离门槛值计算单元， 用于对于每一个聚类簇， 通过计算聚类簇的中心向量与 聚类簇中各已利用漏洞样本的向量的相似度距离值确定聚类簇的相似度距离门槛 值； 预测单元， 用于利用训练后的聚类模型预测待预测漏洞的向量所属聚类簇， 再计算所 述待预测漏洞的向量与其所属聚类簇的中心向量的相似度距离值d， 根据相似度 距离值d与 待预测漏洞的向量所属聚类簇的相似度距离门槛 值大小， 判断待预测漏洞是否被利用。 9.一种处理设备， 其特征在于， 包括： 一个或多个处理器； 存储器， 用于存储一个或多个 程序； 其中， 当所述一个或多个程序被所述一个或多个处理器执行时， 使得所述一个或多个 处理器实现如权利要求1~7任一项所述的方法。 10.一种可读存储介质， 存储有计算机程序， 其特征在于， 当计算机程序被处理器执行 时实现如权利要求1~7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115422556 A 3