彭 華，莫禮平，唐贊玉

（吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南吉首 416000）

CVE漏洞分類框架下的SVM學(xué)習(xí)模型構(gòu)建＊

彭 華，莫禮平，唐贊玉

（吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南吉首 416000）

在CVE漏洞分類框架中，構(gòu)建了基于支持向量機(jī)的學(xué)習(xí)模型，實(shí)現(xiàn)了根據(jù)不同的分類特征對(duì)CVE進(jìn)行分類.

支持向量機(jī)（SVM）；公共漏洞和暴露（CVE）；分類特征；分類準(zhǔn)確性

CVE漏洞分類框架下的SVM對(duì)多種漏洞數(shù)據(jù)庫(kù)（如BID，X－Force，Secunia等）中的分類特征進(jìn)行自動(dòng)集成，使得該框架能夠以分類特征為基礎(chǔ)實(shí)現(xiàn)CVE漏洞分類，從而成為一個(gè)擁有分類和歸納能力的CVE漏洞分類器.關(guān)于基于SVM的CVE漏洞分類框架的詳細(xì)內(nèi)容見文獻(xiàn)［1］.筆者分析了該框架下使用SVM為分類特征構(gòu)造學(xué)習(xí)模型的方法，設(shè)計(jì)了數(shù)據(jù)融合和清理過(guò)程，從而消除訓(xùn)練數(shù)據(jù)的不一致性，使用所建立的學(xué)習(xí)模型對(duì)無(wú)標(biāo)記的CVE漏洞進(jìn)行分類，最后采用n倍交叉驗(yàn)證方法對(duì)學(xué)習(xí)模型的效果進(jìn)行了評(píng)估.

1 分類特征訓(xùn)練數(shù)據(jù)的產(chǎn)生

為分類特征產(chǎn)生訓(xùn)練數(shù)據(jù)的學(xué)習(xí)模型使用T＝｛ˉxi，yi｝的形式來(lái)表達(dá)，其中i＝1，...，m.第i個(gè)數(shù)據(jù)點(diǎn)的特征向量和其真標(biāo)記表示為ˉxi∈Rd，yi∈Y＝｛l1，...，lk｝.顯然，如果手動(dòng)地對(duì)T進(jìn)行搜集和標(biāo)記，將會(huì)費(fèi)時(shí)費(fèi)力.因此，該框架通過(guò)使用每個(gè)CVE條目中的引用池來(lái)自動(dòng)產(chǎn)生訓(xùn)練數(shù)據(jù).一方面，CVE中大量的引用為CVE分類器提供了搜集分類信息的豐富資源；另一方面，不同資源中私有的數(shù)據(jù)格式、沖突的分類模式以及不一致的特征含義使整個(gè)信息抽取過(guò)程復(fù)雜化.考慮到特征數(shù)據(jù)的引用次數(shù)和質(zhì)量，該框架主要使用漏洞數(shù)據(jù)庫(kù)BID，X－Force和Secunia作為來(lái)源產(chǎn)生訓(xùn)練數(shù)據(jù)，見表1.

表1 Secunia漏洞數(shù)據(jù)庫(kù)中SA－11066和SA－24893條目

續(xù)表

創(chuàng)建Secunia的條目所使用的模板由3個(gè)部分組成，即General，Vulnerable和Description.其中，General部分包含了描述性標(biāo)題及其基本特征，Vulnerable部分說(shuō)明了有此漏洞的系統(tǒng)或產(chǎn)品，Description部分則是對(duì)該漏洞進(jìn)行的詳細(xì)說(shuō)明.與BID比較而言，Secunia漏洞數(shù)據(jù)庫(kù)也通過(guò)一定的特征對(duì)安全漏洞進(jìn)行分類，如表1中SA－11066和SA－24893條目所示，分別對(duì)應(yīng)著CVE－2004－0445和CVE－2007－2151.Secunia中的Impact部分提供了在Vulnerability Impact特征上的分類信息，而Critical則指明了漏洞的嚴(yán)重性，與Vulnerability Severity特征對(duì)應(yīng).在該框架下，相同的分類特征可以融合，而不同的分類特征可以互補(bǔ)，共同對(duì)漏洞進(jìn)行統(tǒng)一分類.

來(lái)自不同來(lái)源的互補(bǔ)的分類特征也許會(huì)限制構(gòu)建訓(xùn)練數(shù)據(jù)的來(lái)源，與分類特征Vulnerability Cause相關(guān)的信息只能從BID獲得，而分類特征Vulnerability Severity的訓(xùn)練數(shù)據(jù)只能從Secunia獲得.因此，與某些分類特征相關(guān)的訓(xùn)練數(shù)據(jù)數(shù)量也許對(duì)于建立一個(gè)可信賴的學(xué)習(xí)模型來(lái)說(shuō)是不充足的，究其原因有如下幾點(diǎn)：（1）并不是每個(gè)CVE條目都有對(duì)漏洞數(shù)據(jù)庫(kù)BID，X－Force和Secunia的引用；（2）漏洞數(shù)據(jù)庫(kù)BID，X－Force和Secunia中的條目也許不能提供指定分類特征上的信息；（3）來(lái)自漏洞數(shù)據(jù)庫(kù)BID，XForce和Secunia中的數(shù)據(jù)也許是雷同的、重疊的或沖突的，減少了它們的可用性.

該框架被配置成使用CVE進(jìn)一步擴(kuò)大某分類特征的訓(xùn)練數(shù)據(jù)集，能夠匹配問(wèn)題中分類特征的任一唯一性關(guān)鍵詞，與一個(gè)分類特征相關(guān)的關(guān)鍵詞由領(lǐng)域?qū)＜沂褂胣－gram產(chǎn)生器（該框架使用自然語(yǔ)言處理工具）進(jìn)行創(chuàng)建.框架中支持使用正則表達(dá)式的模式，關(guān)鍵詞匹配過(guò)程僅被應(yīng)用于CVE條目，該CVE條目并不在BID，X－Force或Secunia搜集來(lái)的訓(xùn)練數(shù)據(jù)中，若一個(gè)CVE條目匹配任一指定的關(guān)鍵詞模式串，該條目被放入訓(xùn)練數(shù)據(jù)中.

2 數(shù)據(jù)的合并與清理

X－Force漏洞數(shù)據(jù)庫(kù)中XF－16132和XF－33730條目見表2.

表2 X－Force漏洞數(shù)據(jù)庫(kù)中XF－16132和XF－33730條目

續(xù)表

為獲得足夠的對(duì)應(yīng)某分類特征的已標(biāo)記樣例，該框架從多個(gè)漏洞數(shù)據(jù)庫(kù)中取得信息.不幸的是，不同來(lái)源的數(shù)據(jù)可能在分類特征的內(nèi)涵、外延或粒度上存在不一致，因此要求在構(gòu)建訓(xùn)練數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)合并和清理.例如，在為CVE－2004－0445搜集與分類特征Vulnerability Impact的相關(guān)信息時(shí)，從表1中SA－11066的Impact字段可以獲得DoS和system access，然而，在表2中XF－16132的Consequences字段僅能獲得DoS.顯而易見，在數(shù)據(jù)合并之前，需要解決不同來(lái)源的命名上的不一致.Secunia和X－Force對(duì)相同的分類使用不同的名字.例如前者中使用DoS和system access，后者中使用gain access.對(duì)于相同的分類特征，一些漏洞數(shù)據(jù)庫(kù)將其作為一元分類特征，另外一些將其作為多元分類特征.結(jié)果在CVE－2004－0445中描述的安全漏洞，對(duì)于Vulnerability Impact特征被X－Force賦予單一的分類DoS，在Secunia中同時(shí)被描述為DoS和system access.所以建立分類映射模式來(lái)解決不同來(lái)源的分類特征維度上的不一致，例如，X－Force和Secunia分別為分類特征Vulnerability Impact定義了10個(gè)和11個(gè)分類.來(lái)自多個(gè)來(lái)源的分類信息的不兼容也對(duì)數(shù)據(jù)合并提出了更大的挑戰(zhàn).例如分類特征Vulnerability Severity上，在Secunia上有5級(jí)度量標(biāo)準(zhǔn)，而在X－Force上只有3級(jí)度量標(biāo)準(zhǔn).另外，CVE－2004－0445安全漏洞被Secunia認(rèn)為是極端嚴(yán)重的，但在X－Force中被認(rèn)為只是較嚴(yán)重的.

來(lái)自不同來(lái)源的漏洞的不同定義和擴(kuò)展，使得在一個(gè)CVE條目中描述的一個(gè)安全漏洞被當(dāng)做不同漏洞數(shù)據(jù)庫(kù)中的多個(gè)漏洞，導(dǎo)致同一個(gè)漏洞數(shù)據(jù)庫(kù)中存在與一個(gè)CVE條目相關(guān)的多個(gè)引用.例如，CVE－2004－0452可能由于其一元特征Vulnerability Severity被放入沖突的分類，因?yàn)樵撀┒赐瑫r(shí)被Secunia中的SA－12991和SA－18517引用，它們分別具有l(wèi)ess critical和highly critical的嚴(yán)重性.顯而易見，分類信息的不一致產(chǎn)生有噪聲的訓(xùn)練數(shù)據(jù)，并且影響了所構(gòu)造學(xué)習(xí)模型的分類準(zhǔn)確性.在訓(xùn)練數(shù)據(jù)產(chǎn)生期間進(jìn)行數(shù)據(jù)合并和清理時(shí)，該框架遵守下列原則：（1）對(duì)于多元分類特征，若取自多重來(lái)源的數(shù)據(jù)能兼容并且能夠建立一個(gè)分類映射模式，這些數(shù)據(jù)可以合并在一起；（2）對(duì)于一元分類特征，如果特征的分類能夠排序的話，擁有最大值的信息來(lái)源將被使用；（3）對(duì)于不同來(lái)源間以不兼容方式定義的分類特征，CVE分類器更傾向于使用擁有最好粒度的來(lái)源或擁有最大標(biāo)記數(shù)量的來(lái)源.為搜集某特征對(duì)應(yīng)的訓(xùn)練數(shù)據(jù)的算法如下所示.

算法1

1：T和Y分別是某分類特征的訓(xùn)練數(shù)據(jù)集和標(biāo)記集，L是該特征的二類分類器的集合；

2：for（標(biāo)記集Y中每個(gè)分類c）do

3：初始化正例集Tp和負(fù)例集Tn為空集；

4：for（訓(xùn)練數(shù)據(jù)集T中的每個(gè)條目e）do

5：若e有標(biāo)記c，則將e放入Tp，否則放入Tn；

6：end for

7：基于正例和負(fù)例訓(xùn)練集——Tp和Tn，為分類c構(gòu)建一個(gè)SVM二類分類器；

8：將產(chǎn)生的二類分類器放入L；

9：end for

10：if（分類特征是univariate且其維度＞2）then

11：將該學(xué)習(xí)任務(wù)作為一個(gè)約束優(yōu)化問(wèn)題，并建立一個(gè)多類模型.

12：返回依賴于分類準(zhǔn)確性的該多類模型或二類分類器集合L

13：else

14：返回二類分類器集合L作為學(xué)習(xí)模型；

15：end if

算法1中描繪的過(guò)程用來(lái)為一個(gè)分類特征產(chǎn)生訓(xùn)練數(shù)據(jù).為了一個(gè)CVE搜集分類信息，算法1首先標(biāo)識(shí)了其對(duì)BID，Secunia和X－Force的引用，然后從每個(gè)引用來(lái)源處抽取數(shù)據(jù)并根據(jù)上述數(shù)據(jù)合并和清理的原則檢測(cè)所取得數(shù)據(jù)的兼容性.例如，針對(duì)分類特征Vulnerability Impact，來(lái)自X－Force和Secunia的數(shù)據(jù)是兼容的，因?yàn)檫@2個(gè)來(lái)源的分類是可轉(zhuǎn)換的.相反，針對(duì)分類特征Vulnerability Severity，X－Force和Secunia的分類模式卻是不兼容的，這是因?yàn)樗鼈兪褂貌煌亩攘繕?biāo)準(zhǔn).算法1也試圖確定分類特征是單元的還是多元的，由于一個(gè)CVE能被賦予多個(gè)分類，因此分類特征Vulnerability Impact被標(biāo)識(shí)為多元的.

3 SVM學(xué)習(xí)模型的構(gòu)造

當(dāng)分類特征的維度（標(biāo)記集Y的大小）等于2時(shí)，學(xué)習(xí)模型就是一個(gè)SVM二類分類器.對(duì)于｜Y｜＞2的分類特征，學(xué)習(xí)問(wèn)題使用多類到二類削減方法被分解成｜Y｜個(gè)二類分類任務(wù).［2］使用一對(duì)多的訓(xùn)練方法建立｜Y｜個(gè)二類分類器：通過(guò)將訓(xùn)練數(shù)據(jù)中具有l(wèi)i標(biāo)記的數(shù)據(jù)點(diǎn)作為正例，剩余的數(shù)據(jù)點(diǎn)作為負(fù)例，將Y的li標(biāo)記的學(xué)習(xí)任務(wù)轉(zhuǎn)換為2個(gè)分類.如System Access是分類特征Vulnerability Impact中11個(gè)分類中的1個(gè).在其訓(xùn)練數(shù)據(jù)之中，CVE－2004－0445記為正例，而CVE－2007－2151雖然擁有DoS的真標(biāo)記，仍然被記為負(fù)例.當(dāng)分類特征是一元的情況下，該框架也為其創(chuàng)建1個(gè)多類分類器而不是將其削減為2類分類任務(wù)［1］.為某個(gè)指定的分類特征構(gòu)造學(xué)習(xí)模型的過(guò)程如下所示.

算法2

1：初始化某分類特征的訓(xùn)練數(shù)據(jù)集T；

2：初始化特征的分類集Y，特征類型type賦為univariate（一元特征）

3：for（CVE字典中的每個(gè)條目e）do

4：取得e的引用池，把對(duì)BID，Secunia和X－Force的引用放入集合P.

5：初始化e的分類集A

6：for（引用池P中的每一項(xiàng)p）do

7：抽取來(lái)自p的特征信息，檢查它與A中數(shù)據(jù)的兼容性，若兼容的話，則加入集合A中.

8：end for

9：for（每一個(gè)（關(guān)鍵詞，分類）對(duì)（k，c））do

10：找到與關(guān)鍵詞k匹配的CVE條目，然后把c放入集合A

11：end for

12：把（e，A）對(duì)放入訓(xùn)練數(shù)據(jù)集T中，把分類信息A放入Y，若｜A｜＞1，type賦為multivariate（多元特征）

13：end for

14：輸出訓(xùn)練數(shù)據(jù)集T、標(biāo)記集Y和特征類型type.

某分類特征的訓(xùn)練數(shù)據(jù)可能不會(huì)覆蓋到CVE字典中所有條目，這就使得一些CVE條目無(wú)標(biāo)記.漏洞數(shù)量的快速增長(zhǎng)要求最新發(fā)現(xiàn)的漏洞需要被分類［3］.該框架除了使用算法2為所有分類特征建立學(xué)習(xí)模型外，還使用它們對(duì)無(wú)標(biāo)記CVE條目或新發(fā)現(xiàn)的漏洞進(jìn)行分類.標(biāo)記不可見數(shù)據(jù)點(diǎn)的過(guò)程如下所示.

算法3

1：S是無(wú)標(biāo)記樣例的測(cè)試集；L和Y分別是學(xué)習(xí)模型和分類特征的標(biāo)記集；type是特征類型（univariate或multivariate）；

2：for（S的每個(gè)樣例s）do

3：if（L是一個(gè)多類學(xué)習(xí)模型）then

4：將L的計(jì)算結(jié)果作為s的標(biāo)記；

5：else

6：初始化由L賦給s的標(biāo)記集B；

7：for（學(xué)習(xí)模型L中每個(gè)二類分類器l）do

8：使用l對(duì)s進(jìn)行分類并將輸出放入B中；

9：end for

10：if（特征類型是univariate）then

11：找到B的最大值，并將其對(duì)應(yīng)的分類作為s的標(biāo)記.

12：end if

13：end if

14：end for

對(duì)于一個(gè)多元分類特征，只要無(wú)標(biāo)記CVE的二類分類器對(duì)該CVE輸出正值，該無(wú)標(biāo)記CVE就可能被賦予多個(gè)分類.而對(duì)于一個(gè)一元分類特征，算法3僅僅將無(wú)標(biāo)記CVE放入有最高輸出的分類中.例如，假定一元分類特征Vulnerability Severity包含5個(gè)分類，并且其學(xué)習(xí)模型由5個(gè)二類分類器組成，如果第2個(gè)二類分類器輸出正值而其余4個(gè)分類器輸出的是負(fù)值，那么CVE－2005－1993將歸屬第2個(gè)分類.

分類準(zhǔn)確性定義為分類準(zhǔn)確性＝正確分類的樣例數(shù)／驗(yàn)證集的樣例數(shù)，該框架還使用了Fβ來(lái)計(jì)算精度P和回歸R的加權(quán)調(diào)合平均值，其公式為Fβ＝（1＋β2）PR／（β2P＋R）.一個(gè)類的精度P定義為P＝正確標(biāo)記的樣例數(shù)／歸屬該分類中的樣例總數(shù)，回歸R的定義為R＝正確標(biāo)記的樣例數(shù)／實(shí)際屬于該分類中的樣例總數(shù).通過(guò)設(shè)置β＝1，精度P和回歸R被認(rèn)為是同等重要，可以獲得F1，且F1＝2PR／（P＋R）.通過(guò)學(xué)習(xí)模型得到的形如分類準(zhǔn)確度和精度的度量效果是交叉驗(yàn)證過(guò)程的n次迭代獲得的度量結(jié)果的平均值.經(jīng)驗(yàn)證，該學(xué)習(xí)模型具有較好的性能.

4 結(jié)語(yǔ)

在CVE漏洞分類框架下設(shè)計(jì)并構(gòu)造了基于SVM的學(xué)習(xí)模型，加強(qiáng)和完善了該框架對(duì)CVE漏洞分類的能力.為進(jìn)一步完善該框架的功能和靈活性，下一步，筆者擬使用帶決定性屬性和特殊性屬性的分類特征集合進(jìn)行研究，并集成包含隱Markov模型和條件隨機(jī)場(chǎng)在內(nèi)的建模方法來(lái)提高分類性能.

［1］ 彭 華，李宗壽.基于SVM的CVE漏洞分類框架構(gòu)造［J］.吉首大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，34（1）：66－71.

［2］ 劉奇旭，張翀斌，張玉清，等.安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究［J］.通信學(xué)報(bào).2012，33（S1）：79－87.

［3］ 廖曉鋒，王永吉，范修斌，等.基于LDA主題模型的安全漏洞分類［J］.清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2012，52（10）：1 351－1 355.

（責(zé)任編輯 陳炳權(quán)）

Construction of a SVM Learning Model in the Categorization Framework for CVE

PENG Hua，MO Li－ping，TANG Zan－yu
（College of Information Science and Engineering，Jishou University，Jishou，416000，Hunan China）

In the categorization framework for CVE，this paper designs and constructs a learning model based on SVM，so that it can categorize the CVE according to the different taxonomic features.In the process of constructing a learning model based on SVM，first of all，the training data is generated according to the different taxonomic features in the several vulnerability databases，then a data fusion and cleansing process are designed to eliminate the inconsistencies of data，and finally the n－fold cross－validation method is used to evaluate the effect of the model.The learning model has been verified to have better performance of CVE classification.

support vector machine（SVM）；common vulnerabilities and exposures（CVE）；taxonomic feature，classification accuracy

TP39

A

10.3969／j.issn.1007－2985.2013.03.014

1007－2985（2013）03－0062－05

2013－03－12

湖南省科技廳科技計(jì)劃資助項(xiàng)目（2011FJ3209）；湖南省教育廳一般科學(xué)研究資助項(xiàng)目（11C1025）

彭 華（1980－），男，湖南吉首人，吉首大學(xué)信息科學(xué)與工程學(xué)院講師，碩士，主要從事網(wǎng)絡(luò)安全、嵌入式系統(tǒng)研究.