基于CVSS的漏洞风险基础评估方法技术

一种基于CVSS的漏洞风险基础评估方法。其包括对数据进行预处理的S01阶段；确定上述三项基础评估指标的权重并进行最优化的S02阶段；求解基础评估指标权重的S03阶段；4)计算出每一漏洞威胁的基础评估值的S04阶段。与现有技术相比，本发明专利技术提供的基于CVSS的漏洞风险基础评估方法是在CVSS评估基础上，重新设计基础评估指标权重分配方法，根据基础评估指标的相对重要性对其权重进行优化分配，并与灰色关联度指标权重求解方法结合，使评估结果更具客观性，提高了评估结果的多样性，便于直观地对漏洞威胁性加以区分。

【技术实现步骤摘要】
基于CVSS的漏洞风险基础评估方法
本专利技术属于系统安全
，特别是涉及一种基于CVSS的漏洞风险基础评估方法。
技术介绍
近几年来，信息系统的漏洞数量呈指数级数增长，高级持续性威胁(AdvancedPersistentThreat,APT)攻击不断涌现，并且具有极强的针对性和隐蔽性。以入侵检测、防火墙等技术为代表的传统防护手段已不足以应对这些安全威胁。漏洞威胁评分方法可根据漏洞自身的相关属性和危害程度的不同做出排序，并优先处理破坏性较强的安全漏洞，将漏洞可能引起的风险降低到最小。依据评分结果的多样性，漏洞威胁评分分为定性评估和定量评估两种方法。根据相关要素以高、中、低三个量级评定漏洞风险等级的方法称为定性评估。但定性评估具有主观性强和可重复性差等特点，因此风险评估与应急响应过程中存在许多不确定因素。定量评估则是参照既定的评分标准，以量化数值的形式反映出漏洞的威胁程度。通用漏洞评分系统(CommonVulnerabilityScoringSystem，CVSS)给出了一个简洁统一的漏洞评分标准，以量化评分的形式，通过添加漏洞的相关属性，使安全机构能够量化计算漏洞的威胁程度，更好地降低漏洞带来的安全风险。唐成华等提出了一种利用遗传模糊层次分析漏洞威胁的分析方法，利用改进的模糊层次分析法求出各种风险因素的权重，建立模糊矩阵，利用遗传算法求解分析。张恒巍等提出了基于博弈模型和风险矩阵的漏洞风险评分方法，针对安全漏洞，建立漏洞攻防博弈模型，结合攻击图和风险矩阵对漏洞连通关系进行定量分析。付志耀等采用粗糙集理论中可辨识矩阵算法，提出了基于粗糙集的漏洞评估方法，在漏洞属性约简和属性权重计算上有所提高。但上述方法都是以单个安全漏洞威胁的量化评分为基础，依据CVSS并结合多个漏洞间的相互关联进行评分，量化计算出漏洞可能引起的风险程度。但CVSS自身存在不足，在制定时基础评估指标权重分配过多依赖于专家学者的主观经验决策，度量标准缺乏客观性。并且CVSS在对漏洞威胁进行基础评分的过程中对机密性影响、完整性影响及可利用性影响做均等权重分配而没有考虑其相对重要性，不能明确区分评分相近的漏洞的内部属性差异性，导致资源的重复和浪费。
技术实现思路
为了解决上述问题，本专利技术的目的在于提供一种基于CVSS的漏洞风险基础评估方法。为了达到上述目的，本专利技术提供的基于CVSS的漏洞风险基础评估方法包括按顺序进行的下列步骤：1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段；2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段；3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶段；4)计算出每一漏洞威胁的基础评估值的S04阶段：将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估。在步骤1)中，所述的从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性的方法是：从NVD漏洞数据库内近三年收录的漏洞中随机选取5000个漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比，然后利用上述统计结果对机密性影响、完整性影响和可利用性影响进行双因素交叉作用下的列联表分析，分析两两因素间有无显著性影响。在步骤2)中，所述的确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案的方法是：依据漏洞被成功利用后对系统的机密性影响、完整性影响和可利用性影响所造成的危害程度进行权重分配，并且由CVSS的权重分配结果可知：当系统的机密性、完整性和可用性没有受到破坏时，将权重值均设定为0；将造成完全影响的权重设定为部分影响的权重的2倍；所有权重值设定范围为0—7.0；为避免出现无法真实反映漏洞威胁的极端值，应保证完整性的完全影响大于机密性的部分影响，且可用性的完全影响大于完整性的部分影响，推导得出基础评估指标权重分配组合最优搜索方法，执行该搜索方法可得到14组满足条件的权重分配方案。在步骤3)中，所述的利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重的方法是：对机密性影响、完整性影响和可利用性影响所包含的“无”、“部分”以及“完全”影响三个属性类别分别作基于灰色关联度分析的指标权重求解，得到基于灰色关联度分析的三项基础评估指标的权重。在步骤4)中，所述的将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估的方法是：将上述获得的机密性影响权值、完整性影响权值、可利用性影响权值分别带入如公式(13)～(16)所示的CVSS中关于漏洞基本评价公式而计算出漏洞威胁的基础评估值，公式(15)中所包含的攻击途径、攻击复杂度及认证权值由表5列出：基础评分值＝(0.6×影响性+0.4×可利用性影响-1.5)×f(13)影响性＝10.41×(1-(1-机密性影响权值)×(1-完整性影响权值)×(1-可利用性影响权值))(14)可利用性影响＝20×攻击途径权值×攻击复杂度权值×认证权值(15)如果影响性＝0则f＝0,否则f＝1.176(16)然后在上述基础评分值的基础上添加时效性评估指标影响因子，最后再添加环境评估指标影响因子，最后得到一个最终的评估分数，取值范围为0～10，定义得分区间0～3.9为低级漏洞，4～6.9为中级漏洞，7～10为严重漏洞，最后依据最终的评估分数判断出漏洞威胁优先等级，进而确定出安全漏洞的修复顺序；表5本专利技术提供的基于CVSS的漏洞风险基础评估方法从漏洞威胁成功利用后可能造成的经济损失及威胁破坏后果是否可逆的角度切入，将机密性影响、完整性影响及可利用性影响三项基础评分指标依据其相对重要性排序，并与CVSS相结合提出了一种指标权重分配最优搜索方法模型。该模型执行所得权重分配结果为下文提出的基于灰色关联度的指标权重求解方法提供了计算模型输入值。然后，本文档来自技高网...

【技术保护点】
一种基于CVSS的漏洞风险基础评估方法，其特征在于：所述的基于CVSS的漏洞风险基础评估方法包括按顺序进行的下列步骤：1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段；2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段；3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶段；4)计算出每一漏洞威胁的基础评估值的S04阶段：将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估。...

【技术特征摘要】
1.一种基于CVSS的漏洞风险基础评估方法，其特征在于：所述的基于CVSS的漏洞风险基础评估方法包括按顺序进行的下列步骤：1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段；2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段；3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶段；4)计算出每一漏洞威胁的基础评估值的S04阶段：将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估。2.根据权利要求1所述的基于CVSS的漏洞风险基础评估方法，其特征在于：在步骤1)中，所述的从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性的方法是：从NVD漏洞数据库内近三年收录的漏洞中随机选取5000个漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比，然后利用上述统计结果对机密性影响、完整性影响和可利用性影响进行双因素交叉作用下的列联表分析，分析两两因素间有无显著性影响。3.根据权利要求1所述的基于CVSS的漏洞风险基础评估方法，其特征在于：在步骤2)中，所述的确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组...

【专利技术属性】
技术研发人员：谢丽霞，胡立杰，杨宏宇，徐伟华，
申请(专利权)人：中国民航大学，
类型：发明
国别省市：天津,12