本申請涉及數(shù)據(jù)處理，特別是涉及漏洞文件定位方法、裝置、計算機設(shè)備和存儲介質(zhì)。

背景技術(shù)：

1、開源軟件(open?source?software，oss)是指源代碼對公眾開放的軟件，允許用戶自由使用、修改和分發(fā)，而oss漏洞的管理通常利用公共咨詢，例如，國家漏洞數(shù)據(jù)庫(national?vulnerability?database，nvd)通過公共漏洞和暴露(commonvulnerabilities?and?exposures，cve)條目來記錄漏洞。但是，許多原始漏洞條目的質(zhì)量較低，即條目描述中缺少有效的漏洞信息，進而無法基于低質(zhì)量的漏洞條目準確識別漏洞文件。

2、針對相關(guān)技術(shù)中存在無法基于低質(zhì)量的漏洞條目準確識別漏洞文件的問題，目前還沒有提出有效的解決方案。

技術(shù)實現(xiàn)思路

1、在本實施例中提供了一種漏洞文件定位方法、裝置、計算機設(shè)備和存儲介質(zhì)，以解決相關(guān)技術(shù)中無法基于低質(zhì)量的漏洞條目準確識別漏洞文件的問題。

2、第一個方面，在本實施例中提供了一種漏洞文件定位方法，所述方法包括：

3、獲取每個第一漏洞條目對應(yīng)的補充描述信息；所述補充描述信息包含用于描述所述第一漏洞條目對應(yīng)漏洞的關(guān)鍵要素；

4、基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目；

5、確定所述第二漏洞條目對應(yīng)的目標存儲庫；

6、將所述第二漏洞條目與所述目標存儲庫中的各漏洞文件進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述漏洞文件作為目標漏洞文件。

7、在其中的一些實施例中，所述獲取每個第一漏洞條目對應(yīng)的補充描述信息，包括：

8、獲取出現(xiàn)在各所述第一漏洞條目中的所有參考鏈接；

9、基于預(yù)設(shè)的篩選規(guī)則，從各所述參考鏈接中選取多個目標參考鏈接；

10、根據(jù)每個所述第一漏洞條目，對各所述目標參考鏈接指向的網(wǎng)站進行信息收集，得到對應(yīng)的所述補充描述信息。

11、在其中的一些實施例中，所述基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目，包括：

12、通過大語言模型對所述補充描述信息進行關(guān)鍵要素提??；

13、基于預(yù)設(shè)的描述模板，根據(jù)提取結(jié)果對所述第一漏洞條目中的原始描述信息進行增強處理，得到所述第二漏洞條目。

14、在其中的一些實施例中，所述確定所述第二漏洞條目對應(yīng)的目標存儲庫，包括：

15、確定所述第二漏洞條目對應(yīng)的存儲庫集合；所述存儲庫集合包括不同修改版本下的同一開源存儲庫；

16、確定每個所述修改版本的提交時間與所述第二漏洞條目的發(fā)布時間之間的差值；

17、將最小差值對應(yīng)的所述修改版本作為目標修改版本；

18、確定所述目標修改版本下的開源存儲庫為所述第二漏洞條目對應(yīng)的目標存儲庫。

19、在其中的一些實施例中，所述將所述第二漏洞條目與所述目標存儲庫中的各漏洞文件進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述漏洞文件作為目標漏洞文件，包括：

20、對所述第二漏洞條目中的描述信息進行關(guān)鍵組件提取，得到對應(yīng)的多個漏洞組件；

21、將每個所述漏洞組件與所述目標存儲庫中的各漏洞文件進行匹配，將匹配結(jié)果中與所述漏洞組件相匹配的所述漏洞文件作為第一漏洞文件；

22、將所述第二漏洞條目中的描述信息與每個所述第一漏洞文件的相關(guān)信息進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述第一漏洞文件作為所述目標漏洞文件；所述相關(guān)信息包括所述第一漏洞文件的文件內(nèi)容和文件路徑。

23、在其中的一些實施例中，所述將所述第二漏洞條目中的描述信息與每個所述第一漏洞文件的相關(guān)信息進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述第一漏洞文件作為所述目標漏洞文件，包括：

24、將所述第二漏洞條目中的描述信息和各所述第一漏洞文件的相關(guān)信息輸入至大語言模型，得到每個所述第一漏洞文件對應(yīng)的置信度；所述置信度用于指示所述第一漏洞文件與所述第二漏洞條目之間的匹配程度；

25、將所述置信度大于預(yù)設(shè)閾值的所述第一漏洞文件作為所述目標漏洞文件。

26、在其中的一些實施例中，在基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目之后，所述方法還包括：

27、在未獲取與所述第二漏洞條目相對應(yīng)的目標存儲庫時，將所述第二漏洞條目作為上下文信息輸入至大語言模型，得到與所述第二漏洞條目相匹配的目標漏洞文件。

28、第二個方面，在本實施例中提供了一種漏洞文件定位裝置，所述裝置包括：獲取模塊、增強模塊、搜索模塊和匹配模塊；

29、所述獲取模塊，用于獲取每個第一漏洞條目對應(yīng)的補充描述信息；所述補充描述信息包含用于描述所述第一漏洞條目對應(yīng)漏洞的關(guān)鍵要素；

30、所述增強模塊，用于基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目；

31、所述搜索模塊，用于確定所述第二漏洞條目對應(yīng)的目標存儲庫；

32、所述匹配模塊，用于將所述第二漏洞條目與所述目標存儲庫中的各漏洞文件進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述漏洞文件作為目標漏洞文件。

33、第三個方面，在本實施例中提供了一種計算機設(shè)備，包括存儲器、處理器以及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)上述第一個方面所述的漏洞文件定位方法。

34、第四個方面，在本實施例中提供了一種存儲介質(zhì)，其上存儲有計算機程序，該程序被處理器執(zhí)行時實現(xiàn)上述第一個方面所述的漏洞文件定位方法。

35、與相關(guān)技術(shù)相比，在本實施例中提供的漏洞文件定位方法、裝置、計算機設(shè)備和存儲介質(zhì)，通過獲取每個第一漏洞條目對應(yīng)的補充描述信息；基于補充描述信息，對第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目；確定第二漏洞條目對應(yīng)的目標存儲庫；進一步地，將第二漏洞條目與目標存儲庫中的各漏洞文件進行匹配，確定與第二漏洞條目相匹配的漏洞文件為目標漏洞文件，解決了無法基于低質(zhì)量的漏洞條目準確識別漏洞文件的問題，實現(xiàn)了提高漏洞條目的質(zhì)量，并基于漏洞條目中的有效漏洞信息準確識別漏洞文件。

36、本申請的一個或多個實施例的細節(jié)在以下附圖和描述中提出，以使本申請的其他特征、目的和優(yōu)點更加簡明易懂。

技術(shù)特征：

1.一種漏洞文件定位方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的漏洞文件定位方法，其特征在于，所述獲取每個第一漏洞條目對應(yīng)的補充描述信息，包括：

3.根據(jù)權(quán)利要求1所述的漏洞文件定位方法，其特征在于，所述基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目，包括：

4.根據(jù)權(quán)利要求1所述的漏洞文件定位方法，其特征在于，所述確定所述第二漏洞條目對應(yīng)的目標存儲庫，包括：

5.根據(jù)權(quán)利要求1所述的漏洞文件定位方法，其特征在于，所述將所述第二漏洞條目與所述目標存儲庫中的各漏洞文件進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述漏洞文件作為目標漏洞文件，包括：

6.根據(jù)權(quán)利要求5所述的漏洞文件定位方法，其特征在于，所述將所述第二漏洞條目中的描述信息與每個所述第一漏洞文件的相關(guān)信息進行匹配，將匹配結(jié)果中與所述第二漏洞條目相匹配的所述第一漏洞文件作為所述目標漏洞文件，包括：

7.根據(jù)權(quán)利要求1所述的漏洞文件定位方法，其特征在于，在所述基于所述補充描述信息，對所述第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目之后，所述方法還包括：

8.一種漏洞文件定位裝置，其特征在于，所述裝置包括：獲取模塊、增強模塊、搜索模塊和匹配模塊；

9.一種計算機設(shè)備，包括存儲器和處理器，其特征在于，所述存儲器中存儲有計算機程序，所述處理器被設(shè)置為運行所述計算機程序以執(zhí)行權(quán)利要求1至7中任一項所述的漏洞文件定位方法的步驟。

10.一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，其特征在于，所述計算機程序被處理器執(zhí)行時實現(xiàn)權(quán)利要求1至7中任一項所述的漏洞文件定位方法的步驟。

技術(shù)總結(jié)
本申請涉及一種漏洞文件定位方法、裝置、計算機設(shè)備和存儲介質(zhì)，其中，該漏洞文件定位方法包括：獲取每個第一漏洞條目對應(yīng)的補充描述信息；基于補充描述信息，對第一漏洞條目中的原始描述信息進行增強處理，得到第二漏洞條目；確定第二漏洞條目對應(yīng)的目標存儲庫；進一步地，將第二漏洞條目與目標存儲庫中的各漏洞文件進行匹配，確定與第二漏洞條目相匹配的漏洞文件為目標漏洞文件。通過本申請，解決了無法基于低質(zhì)量的漏洞條目準確識別漏洞文件的問題，實現(xiàn)了提高漏洞條目的質(zhì)量，并基于漏洞條目中的有效漏洞信息準確識別漏洞文件。

技術(shù)研發(fā)人員：王濤,任曉雪,楊小虎
受保護的技術(shù)使用者：杭州高新區(qū)（濱江）區(qū)塊鏈與數(shù)據(jù)安全研究院
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2