公开(公告)号：CN117436086A

公开(公告)日：2024-01-23

申请号：CN202311396519.1

申请日：2023-10-26

Applicant: 华中科技大学

Inventor： 成浩 ,  李超凡 ,  王虎 ,  胡雨涛 ,  孙铭远 ,  邹德清

IPC: G06F21/57 ,  G06F21/12 ,  G06N5/022 ,  G06N5/04

Abstract: 本发明公开了一种基于知识图谱的软件供应链安全分析方法及系统，属于软件供应链安全技术领域，方法包括：获取漏洞知识、组件知识、组件依赖关系以及漏洞库与组件库之间的映射知识；构建以漏洞为实体的漏洞知识图谱和以组件为实体的组件知识图谱，再利用所述映射知识将所述漏洞知识图谱和组件知识图谱整合为供应链知识图谱；通过查询语句获取所述供应链知识图谱的推理结果，所述推理结果包括漏洞信息、漏洞所影响的组件信息以及漏洞传播路径；遍历所有漏洞传播路径，过滤噪声依赖关系和冗余依赖关系。本发明能够构建自动化、千万级别的软件供应链知识图谱，从而达到提高基于知识图谱的软件供应链安全分析结果准确度，维护供应链安全的目的。

公开(公告)号：CN117436086B

公开(公告)日：2024-07-16

申请号：CN202311396519.1

申请日：2023-10-26

Applicant: 华中科技大学

Inventor： 孙铭远 ,  成浩 ,  李超凡 ,  王虎 ,  胡雨涛 ,  邹德清

IPC: G06F21/57 ,  G06F21/12 ,  G06N5/022 ,  G06N5/04

Abstract: 本发明公开了一种基于知识图谱的软件供应链安全分析方法及系统，属于软件供应链安全技术领域，方法包括：获取漏洞知识、组件知识、组件依赖关系以及漏洞库与组件库之间的映射知识；构建以漏洞为实体的漏洞知识图谱和以组件为实体的组件知识图谱，再利用所述映射知识将所述漏洞知识图谱和组件知识图谱整合为供应链知识图谱；通过查询语句获取所述供应链知识图谱的推理结果，所述推理结果包括漏洞信息、漏洞所影响的组件信息以及漏洞传播路径；遍历所有漏洞传播路径，过滤噪声依赖关系和冗余依赖关系。本发明能够构建自动化、千万级别的软件供应链知识图谱，从而达到提高基于知识图谱的软件供应链安全分析结果准确度，维护供应链安全的目的。