楊宏宇，謝麗霞，朱 丹

(中國民航大學計算機科學與技術(shù)學院 天津 東麗區(qū) 300300)

近年來，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用規(guī)模的擴大，網(wǎng)絡(luò)信息安全事件的發(fā)生也越來越頻繁。據(jù)統(tǒng)計，2007年5月～2008年5月，在被公安部調(diào)查的單位中，62.7%的單位發(fā)生過網(wǎng)絡(luò)安全事件，32%的單位多次發(fā)生安全事件，其中，未修補的網(wǎng)絡(luò)安全漏洞是導致安全事件發(fā)生的最主要原因[1]。漏洞也叫脆弱性，是指在硬件、軟件、協(xié)議的設(shè)計、具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷。脆弱性是計算機系統(tǒng)的一組特性，惡意的主體(攻擊者或者攻擊程序)能夠利用該組特性，通過已授權(quán)的手段和方式獲取對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害[2]。

據(jù)統(tǒng)計，在每周信息安全通報中，有超過50個新漏洞被發(fā)現(xiàn)[3]，因而處理系統(tǒng)漏洞的工作量非常大。為提高對漏洞的處理效率，確保漏洞補丁和系統(tǒng)安全加固措施的有效性，必須對每個已知系統(tǒng)漏洞的嚴重性和威脅程度進行量化評估，并確定其優(yōu)先處理等級。在計算機安全領(lǐng)域，特別是網(wǎng)絡(luò)安全領(lǐng)域，對計算機系統(tǒng)進行脆弱性量化評估十分重要[4]。

1 相關(guān)工作

2007年6月20日，美國信息安全響應(yīng)與安全組(FIRST)和通用安全漏洞評分系統(tǒng)專家組(CVSS-SIG)聯(lián)合發(fā)布了通用缺陷評估系統(tǒng)(common vulnerability scoring system，CVSS)2.0版本[5]。通過對CVSS2.0的研究發(fā)現(xiàn)，CVSS無法解決對系統(tǒng)評估要素及其重要性的量化評分問題，也不能解決漏洞評估指標的權(quán)重分配問題。

文獻[6]提出了一種針對主機安全性的量化融合模型，通過對安全信息的信任度融合及關(guān)聯(lián)分析，提出對主機漏洞存在可能性及漏洞可利用性的分析方法。但該研究沒有指出如何解決漏洞各因素之間的相互影響關(guān)系，也沒有給出如何建立漏洞可利用性影響因素和安全性量化指標之間的轉(zhuǎn)換方法。

文獻[7]提出了基于公共漏洞及暴露標準(common vulnerabilities & exposures，CVE)漏洞庫的生存性量化分析方法，利用CVE漏洞庫的漏洞檢索項和工具包對被測系統(tǒng)進行模擬攻擊，利用攻擊結(jié)果計算系統(tǒng)的生存性量化值。但該研究沒有給出確定各屬性的影響權(quán)重值的算法。

由于漏洞嚴重性評估過程涉及多個層面、多個因素，且部分信息明確、部分信息不明確，因此具有不確定性和復(fù)雜性。本文采用層次分析法和灰色系統(tǒng)理論的灰色評估方法建立一種漏洞嚴重性評估模型。

2 漏洞嚴重性因素權(quán)重的獲取方法

層次分析法(analytical hierarchy process，AHP)是一種將定性與定量分析相結(jié)合的多因素決策分析法，適用于存在不確定性和主觀信息的情況[8]。層次分析法求解問題時，把問題分解成不同的組成元素，再按照各元素間的隸屬關(guān)系，通過它們之間的相互影響、相互關(guān)聯(lián)建立一個多層次的分析結(jié)構(gòu)模型，并通過兩兩比較的方式確定層次中各元素的相對重要性。AHP提高了決策者進行決策的有效性、可靠性和可行性，是一種十分有效的系統(tǒng)分析和科學決策方法。

本文采用AHP建立漏洞嚴重性遞階層次分析模型，確定影響漏洞嚴重性各因素的權(quán)重值。該方法包括以下4個步驟：

(1) 建立遞階層次結(jié)構(gòu)模型

遞階層次結(jié)構(gòu)模型主要分為3個層次：最高層只有一個元素，一般是分析問題的預(yù)定目標或理想結(jié)果；中間層一般為準則、子準則，即能否達到目標的判斷準則，可由若干個層次組成；最低層包括為實現(xiàn)目標可供選擇的各種措施、決策、方案等。模型如圖1所示。

圖1 遞階層次模型

(2) 構(gòu)造判斷矩陣

層次分析法評判標度及其含義如表1所示，參照表1的比較標度，運用成對比較法比較同一層次中各因素關(guān)于上一層次的同一個因素的相對重要性，從而構(gòu)成判斷矩陣(也稱成對比較矩陣)。假設(shè)判斷矩陣A=(aij)n×n，可以表示為：

表1 層次分析法評判標度及其含義

(3) 計算權(quán)向量

采用方根法計算每一個判斷矩陣的最大特征根λmax及對應(yīng)特征向量W=(w1,w2, …,wn)T。

(4) 一致性檢驗

表2 隨機一致性指標RI值

3 漏洞嚴重性影響因素的量化算法

灰色系統(tǒng)理論以“部分信息已知，部分信息未知”的“小樣本”“貧信息”不確定性系統(tǒng)為研究對象，主要通過對“部分”已知信息的生成、開發(fā)，提取有價值的信息[9-11]。由于中心點三角白化權(quán)函數(shù)[11]在交叉現(xiàn)象、聚類系數(shù)、端點選取等方面優(yōu)于傳統(tǒng)的三角白化權(quán)函數(shù)，因此本文采用灰色系統(tǒng)理論中的基于中心點三角白化權(quán)函數(shù)的灰色評估方法，解決漏洞嚴重性影響因素的量化問題。建立中心點三角白化權(quán)函數(shù)的方法包括以下兩個步驟：

(1) 劃分灰類

按照評估要求所需劃分的灰類數(shù)s，選取λ1,λ2, …,λs為最屬于灰類1, 2, …,s的中心點，將各個指標的取值范圍也相應(yīng)地劃分為s個灰類，如將j指標的取值范圍[λ1,λs+1]劃分為s個小區(qū)間[λ1,λ2], …,[λk?1,λk], …, [λs?1,λs], [λs,λs+1]。

(2) 觀測值的灰類隸屬度計算

4 灰色層次評估模型

4.1 模型設(shè)計

根據(jù)層次化網(wǎng)絡(luò)安全威脅態(tài)勢定量評估的思想[12]，基于AHP遞階層次結(jié)構(gòu)模型建立漏洞量化評估模型的指標體系，如圖2所示。

圖2 灰色層次評估模型結(jié)構(gòu)圖

采用基于中心點三角白化權(quán)函數(shù)的灰色評估方法計算指標體系中最底層各評估指標屬于各灰類的灰色評價權(quán)向量。由于灰色評估方法沒有指出如何確定各評估指標的權(quán)重計算更高層指標的灰色評價權(quán)向量，故本文采用AHP確定各評估指標權(quán)重，再結(jié)合灰色評估方法，綜合評估中間層和目標層指標屬于各灰類的灰色評價權(quán)向量，最終確定目標層指標的量化值及所屬的灰類。

4.2 漏洞評估方法

1) 建立漏洞評估指標體系

借鑒CVSS、漏洞生命周期理論和AHP遞階層次結(jié)構(gòu)模型，根據(jù)漏洞嚴重性的影響因素，從漏洞可信度、可利用性、對目標系統(tǒng)的安全性影響、修復(fù)水平4個方面建立漏洞嚴重性評估指標體系，如表3所示。

表3 漏洞嚴重性評估指標體系

設(shè)0級指標為A，一級評價指標集合為Bi(i=1,2,3,4)；二級評價指標集合為Cij(i=1,j=1,2；i=2,j=1,2,3；i=3,j=1, 2, 3；i=4,j=1, 2, 3)。

2) 計算各層指標權(quán)重

用AHP求解各層指標的權(quán)重集。其中0級指標A關(guān)于一級指標Bi的權(quán)重集設(shè)為W=(w1,w2,w3,w4)T；一級指標Bi關(guān)于其下屬的二級指標Cij的權(quán)重集設(shè)為W1=(w11,w12)T，W2=(w21,w22,w23)T，W3=(w31,w32,w33)T，W4=(w41,w42,w43)T。

3) 劃分灰類并確定指標取值

(1) 確定灰類

將各指標的取值分為4個灰類，分別為“低”“偏低”“中”“高”。選取最屬于灰類1、2、3、4的中心點λ1、λ2、λ3、λ4，它們的值分別取為2.0、4.0、6.0、8.0，再將指標的灰類取值向左、右各延拓至λ0=0.0、λ5=10.0，從而將各指標的取值劃分5個灰類區(qū)間[λ0,λ1]、[λ1,λ2]、[λ2,λ3]、[λ3,λ4]、[λ4,λ5]。

(2) 確定指標取值

由專家對指標評分確定指標取值，假設(shè)請m位評價專家考評各指標，設(shè)專家序號為h(h=1,2,…,m)。通過給出各指標評價等級的標準，請每一位專家分別獨立地考察漏洞，對每一評價指標進行評價，按照等級標準打分，記為dijh，據(jù)此得出漏洞的評價樣本矩陣D。

4) 計算各指標的灰色評價權(quán)并綜合分析

(1) 建立各灰類的中心點白化權(quán)函數(shù)

指標j的一個觀測值x屬于灰類k(k=0,1,2,3,4,5)中心點白化函數(shù)fjk(x)。

(2) 計算各指標對應(yīng)各灰類的灰色評價權(quán)[10-11]

對于二級評價指標Cij，屬于第k個評價灰類的灰色評價系數(shù)定義為：

接著對0級指標A下屬的一級指標Bi做綜合評價，其綜合評價權(quán)向量記為V，則有：

將各評價灰類等級按“灰水平”賦值，即各評價灰類等級值化向量S=(更低，低，偏低，中，高，更高)=(0.0,2.0,4.0,6.0,8.0,10.0)。記為：

式中UV表示漏洞嚴重性的等級值。

5 實驗與結(jié)果

5.1 實驗環(huán)境

為了驗證本文提出的灰色層次模型對漏洞嚴重性評估的有效性，采用Nmap和Nessus作為漏洞掃描工具，對實驗室局域網(wǎng)服務(wù)器和網(wǎng)絡(luò)進行漏洞掃描。服務(wù)器操作系統(tǒng)為Microsoft Windows Server 2003 Service Pack 2，Windows防火墻開啟，并裝有瑞星安全防護系統(tǒng)。漏洞評估實驗所采用的漏洞標準是CVE。

首先用Nmap對主機進行端口掃描，然后用Nessus對主機的端口進行漏洞掃描[13]，得到CVE-2005-1794、CVE-2002-1117、CVE-1999-0524、CVE-2004-0002和CVE-2004-0060 5個安全漏洞本文以CVE- 2005-1794漏洞為例進行漏洞量化評估演示。從美國國家漏洞庫(national vulnerability database，NVD)獲取的漏洞CVE-2005-1794的詳細信息如表4所示。

表4 漏洞CVE-2005-1794的NVD詳細信息

5.2 實驗與計算過程

根據(jù)漏洞掃描所獲得CVE-2005-1794漏洞的詳細信息，對漏洞的嚴重性進行評估。

(1) 構(gòu)造評估體系中每一層的判斷矩陣，分別為：

(2) 一致性驗證及確定指標權(quán)重

由步驟(1)得到的判斷矩陣，計算各層指標權(quán)重W1～W4。

對各判斷矩陣進行一致性驗證，得到各矩陣的最大特征值為λmax(C1)=1.944，λmax(C2)=3.036，λmax(C3)=2.608，λmax(C4)=2.257，λmax(B)=4.222。

計算得到各矩陣相對一致性指標為CR(C1)=?0.056≤0.10，CR(C2)=0.031≤0.10，CR(C3)= ? 0.338≤0.10，CR(C4)= ? 0.409≤0.10，CR(B)=0.081≤0.10。

經(jīng)驗證，各矩陣的相對一致性指標均小于0.10，故各判斷矩陣均具有滿意的一致性，判斷結(jié)果合理。

(3) 假設(shè)有一位專家Mijk=fijk(dij1)，請專家打分，獲得由各二級指標得分組成的評分樣本矩陣：

計算各二級指標Cij屬于各個灰類的灰色評價系數(shù)，得到一級指標Bi的所有二級指標Cij對于各個評價灰類的灰色評價權(quán)矩陣M1、M2、M3、M4。

(4) 計算0級指標A下屬所有一級指標Bi對于各評價灰類的灰色評價權(quán)矩陣：

(5) 計算總指標A的灰色評價權(quán)向量：

(6) 計算該漏洞嚴重性的綜合量化值：

采用上述方法和流程對其他4個漏洞的嚴重性進行評估，得到所有漏洞的嚴重性等級和綜合量化值，如表5所示。

5.3 結(jié)果分析

本文模型在評估過程中根據(jù)被評對象的實際情況確定各影響因素的權(quán)重和量化值。漏洞嚴重性評估結(jié)果亦如表5所示。漏洞CVE-2002-1117被攻擊后會造成對系統(tǒng)未授權(quán)信息的披露，而系統(tǒng)對安全需求保密性要求最高，本文模型對該漏洞嚴重性的評估結(jié)果在中、高之間，并偏高，綜合量化值為5.871。漏洞CVE-2004-006被攻擊后會造成對系統(tǒng)的服務(wù)中斷，而系統(tǒng)對安全需求可用性的要求相對保密性要低很多，本文模型對該漏洞嚴重性的評估結(jié)果等級為很低，綜合量化值為3.570。因此本文模型能真實有效地評估系統(tǒng)中漏洞的嚴重性。

表5 漏洞嚴重性評估結(jié)果

6 結(jié) 論

為了提高對漏洞的處理效率，方便確定漏洞的優(yōu)先處理等級，需要對漏洞的嚴重性進行評估。在網(wǎng)絡(luò)與信息安全領(lǐng)域，系統(tǒng)和網(wǎng)絡(luò)的脆弱性評估正在成為一個研究熱點。本文提出了一種基于灰色評估方法和層次分析法的漏洞量化評估模型，根據(jù)漏洞嚴重性的影響因素，從可信度、可能性、影響程度、修復(fù)水平4個方面建立漏洞嚴重性評估指標體系；采用層次分析法建立漏洞嚴重性遞階層次分析模型，確定影響漏洞嚴重性各因素的權(quán)重值；通過灰色層次評估模型對漏洞的嚴重性進行綜合量化計算和評估。實驗結(jié)果表明，本文提出的模型對系統(tǒng)漏洞的嚴重性能有效、準確地進行量化評估。

[1] 公安部. 62.7%的被調(diào)查單位發(fā)生過網(wǎng)絡(luò)安全事件[EB/OL]. [2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.The Ministry of Public Security of China. 62.7%investigated enterprises occurred network security events[EB/OL].[2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.

[2] 邢栩嘉, 林 闖, 蔣屹新. 計算機系統(tǒng)脆弱性評估研究[J].計算機學報, 2004, 27(1): 1-11.XING Xu-jia, LIN Chuang, JIANG Yi-xin. A survey of computer vulnerability assessment[J]. Chinese Journal of Computers, 2004, 27(1): 1-11.

[3] OPPLEMAN V, FRIEDRICHS O, WATSON B. Extreme exploits: advanced defenses against hardcore hacks[M].Columbus, OH: McGraw-Hill Education Company Inc,2005.

[4] 王秋艷, 張玉清. 一種通用漏洞評級方法[J]. 計算機工程,2008, 34(19): 133-136.WANG Yan-qiu, ZHANG Yu-qing. Common vulnerability rating method[J]. Computer Engineering, 2008, 34(19):133-136.

[5] MELL P, SCARFONE K, ROMANOSKY S. A complete guide to the common vulnerability scoring system version 2.0[EB/OL]. [2009-03-04]. http://www.first.org/cvss/ cvssguide.html.

[6] 陸余良, 夏 陽. 主機安全量化融合模型研究[J]. 計算機學報, 2005, 28(5): 914-920.LU Yu-liang, XIA Yang. Research on target-computer secure quantitative fusion model[J]. Chinese Journal of Computers,2005, 28(5): 914-920.

[7] 王王王, 許榕生. 基于CVE漏洞庫的生存性量化分析數(shù)據(jù)庫和量化算法的設(shè)計[J]. 計算機應(yīng)用, 2008, 28(2):415-421.WANG Xin-zhe, XU Rong-sheng. Design of survivability quantum analysis database and quantum algorithm based on CVE database[J]. Journal of Computer Applications, 2008,28(2): 415-421.

[8] 趙煥臣, 許樹伯, 金 生. 層次分析法[M]. 北京: 科學出版社, 1986.ZHAO Huan-chen, XU Shu-bo, JIN Sheng. Analytic hierarchy process[M]. Beijing: Science Press, 1986.

[9] 劉思峰, 黨耀國, 方志耕. 灰色系統(tǒng)理論及其應(yīng)用[M].北京: 科學出版社, 2005.LIU Si-feng, DANG Yao-guo, FANG Zhi-geng. Grey system theory and its application[M]. Beijing: Science Press,2005.

[10] 鄧聚龍, 王仲東, 李 峰. 灰預(yù)測與灰評估理論及其應(yīng)用[D]. 武漢: 華中科技大學, 2002.DENG Ju-long, WANG Zhong-dong, LI Feng. Grey prediction and grey evaluation theory and application[D].Wuhan: Huazhong University of Science and Technology,2002.

[11] 劉思峰, 謝乃明. 基于改進三角白化權(quán)函數(shù)的灰評估方法[J/OL]. [2009-03-04]. 中國科技論文在線http://www.paper. edu.cn.LIU Si-feng, XIE Nai-ming. A new grey evaluation method based on reformative triangular whitenization weight function[J/OL]. [2009-03-04]. Chinese Science paper Online, http://www.paper.edu.cn.

[12] 陳秀真, 鄭慶華, 管曉宏, 等. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J]. 軟件學報, 2006, 4(17): 885-897.CHEN Xiu-zhen, ZHENG Qing-hua, GUAN Xiao-hong, et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006, 4(17):885-897.

[13] LAI Y, HSIA P. Using the vulnerability information of computer systems to improve the network security[J].Computer Communications, 2007, 30(9): 2032-2047.