黎學(xué)斌, 范九倫, 劉意先

(西安郵電大學(xué) 通信與信息工程學(xué)院， 陜西 西安 710121)

基于AHP和CVSS的信息系統(tǒng)漏洞評(píng)估

黎學(xué)斌, 范九倫, 劉意先

(西安郵電大學(xué) 通信與信息工程學(xué)院， 陜西 西安 710121)

摘要:針對(duì)現(xiàn)有信息系統(tǒng)漏洞危害性評(píng)估結(jié)果缺乏通用性的缺點(diǎn)，提出一種信息系統(tǒng)漏洞評(píng)估算法。該算法從漏洞分類和資產(chǎn)分類兩個(gè)方面建立評(píng)價(jià)指標(biāo)體系，以通用漏洞評(píng)分系統(tǒng)的評(píng)分為基礎(chǔ)，運(yùn)用層次分析法對(duì)信息系統(tǒng)進(jìn)行漏洞危害性評(píng)估，得到系統(tǒng)的漏洞危害性評(píng)分。仿真結(jié)果表明，該信息系統(tǒng)漏洞評(píng)估算法結(jié)果與通用漏洞評(píng)分系統(tǒng)的標(biāo)準(zhǔn)兼容，具有一定的通用性。

關(guān)鍵詞:漏洞評(píng)估；層次分析法；通用漏洞評(píng)分系統(tǒng)

信息系統(tǒng)軟硬件安全漏洞評(píng)估是信息系統(tǒng)脆弱性評(píng)估的重要組成部分。目前,常用的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法有：定量評(píng)估法、定性評(píng)估法以及定量與定性相結(jié)合的綜合評(píng)估法[1]。在綜合評(píng)估法中，層次分析法(AnalyticHierarchyProcess，AHP)[2]是使用最為廣泛的方法之一，已成功應(yīng)用于層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估、信息系統(tǒng)漏洞風(fēng)險(xiǎn)定量評(píng)估、漏洞嚴(yán)重性的灰色層次分析評(píng)估、基于漏洞類別的漏洞威脅評(píng)估等方面[3]。文獻(xiàn)[4-9]基于AHP及其改進(jìn)方法進(jìn)行漏洞評(píng)估，并針對(duì)實(shí)例進(jìn)行分析驗(yàn)證?，F(xiàn)有利用AHP的漏洞評(píng)估方法只是關(guān)注與漏洞有關(guān)的要素的權(quán)值分配問(wèn)題，對(duì)進(jìn)行評(píng)價(jià)的基礎(chǔ)分值沒(méi)有統(tǒng)一標(biāo)準(zhǔn)，導(dǎo)致漏洞評(píng)估結(jié)果缺乏說(shuō)服力和通用性。此外，現(xiàn)有方法只能以單個(gè)漏洞作為評(píng)價(jià)對(duì)象而忽略了對(duì)整個(gè)系統(tǒng)漏洞的綜合評(píng)價(jià)，限制了它們?cè)趯?shí)際環(huán)境中的應(yīng)用。本文擬基于AHP方法對(duì)網(wǎng)絡(luò)資產(chǎn)和漏洞進(jìn)行歸類分層，針對(duì)存在問(wèn)題，以通用漏洞評(píng)分系統(tǒng)(CommonVulnerabilityScoreSystem，CVSS)的標(biāo)準(zhǔn)作為漏洞屬性的基礎(chǔ)分值，對(duì)網(wǎng)絡(luò)系統(tǒng)中的漏洞威脅進(jìn)行評(píng)估。

1通用漏洞評(píng)分系統(tǒng)與層次分析法

1.1通用漏洞評(píng)分系統(tǒng)

CVSS是一個(gè)開(kāi)放并且被廣泛采用的公共資源，利用該系統(tǒng)，可以對(duì)漏洞進(jìn)行評(píng)分，進(jìn)而判斷修復(fù)不同漏洞的優(yōu)先等級(jí)[10]。CVSS對(duì)漏洞的評(píng)價(jià)主要包括：基本評(píng)價(jià)、生命周期評(píng)價(jià)和環(huán)境評(píng)價(jià)三個(gè)方面?；驹u(píng)價(jià)主要是對(duì)漏洞本身固有的一些特點(diǎn)和這些特點(diǎn)可能造成的影響進(jìn)行評(píng)價(jià)；生命周期評(píng)價(jià)是對(duì)漏洞隨時(shí)間變化而改變的特征進(jìn)行評(píng)價(jià)；環(huán)境評(píng)價(jià)則是對(duì)漏洞隨著用戶環(huán)境而改變的因素進(jìn)行評(píng)價(jià)。每個(gè)方面都由若干分量組成，CVSS對(duì)漏洞的評(píng)分主要是對(duì)上述3方面及其相應(yīng)的各個(gè)分量進(jìn)行量化計(jì)算得到[11]。計(jì)算結(jié)果介于0.0和10.0之間，該數(shù)值反映漏洞的評(píng)價(jià)結(jié)果，數(shù)值越大說(shuō)明漏洞的危害性越高。CVSS統(tǒng)一了漏洞評(píng)價(jià)標(biāo)準(zhǔn)，使不同的漏洞評(píng)估方法相互兼容，目前已成為網(wǎng)絡(luò)安全行業(yè)的標(biāo)準(zhǔn)[12]。

1.2層次分析法

AHP是一種定量和定性相結(jié)合多準(zhǔn)則決策分析方法。AHP一般將決策問(wèn)題分為由上到下的3個(gè)層次：目標(biāo)層、準(zhǔn)則層和措施層。目標(biāo)層表示評(píng)估的對(duì)象，AHP對(duì)于繁雜難題制定目標(biāo)最高層，根據(jù)影響因素將目標(biāo)層分解為底層的小目標(biāo)，用決策者的經(jīng)驗(yàn)判斷各衡量目標(biāo)能否實(shí)現(xiàn)的標(biāo)準(zhǔn)之間的相對(duì)重要程度，并合理地給出每個(gè)決策方案的每個(gè)標(biāo)準(zhǔn)的權(quán)重，利用權(quán)重求出各方案的優(yōu)劣次序，能夠有效地處理復(fù)雜的決策問(wèn)題[13]。準(zhǔn)則層包含實(shí)現(xiàn)目標(biāo)所需要的標(biāo)準(zhǔn)，措施層包含了實(shí)現(xiàn)目標(biāo)的各種方案或手段。先相互比較確定準(zhǔn)則層對(duì)目標(biāo)的權(quán)重，再計(jì)算措施層對(duì)每一個(gè)準(zhǔn)則的權(quán)重，最后將這兩組權(quán)重進(jìn)行綜合后得到措施層對(duì)目標(biāo)的權(quán)重[2]。

2漏洞評(píng)估算法

基于AHP和CVSS的信息系統(tǒng)漏洞評(píng)估，需要在確定系統(tǒng)中漏洞和系統(tǒng)中資產(chǎn)的評(píng)價(jià)層次體系的基礎(chǔ)上，利用AHP獲得系統(tǒng)中各個(gè)節(jié)點(diǎn)上的漏洞權(quán)重，再結(jié)合漏洞的CVSS分值得出每個(gè)節(jié)點(diǎn)的漏洞評(píng)分。最后，利用AHP計(jì)算出系統(tǒng)中各個(gè)節(jié)點(diǎn)的權(quán)重值與各節(jié)點(diǎn)的漏洞評(píng)分求出系統(tǒng)的漏洞總評(píng)分。具體步驟如下。

2.1確定漏洞和資產(chǎn)評(píng)價(jià)的層次體系

漏洞和資產(chǎn)評(píng)價(jià)層次體系的確定是進(jìn)行漏洞評(píng)估的核心問(wèn)題，其質(zhì)量直接關(guān)系到評(píng)估結(jié)果的好壞。建立漏洞和資產(chǎn)評(píng)價(jià)層次體系的關(guān)鍵是對(duì)它們進(jìn)行適當(dāng)?shù)姆诸悺?/p>

(1) 漏洞的分類

將美國(guó)國(guó)家漏洞庫(kù)(NationalVulnerabilitiesdatabase)、中國(guó)國(guó)家漏洞庫(kù)(ChinaNationalVulnerabilitiesDatabase)、公共漏洞與暴露(CommonVulnerabilitiesandExposure)、Microsoft等組織較常采用的漏洞屬性作為漏洞分類依據(jù)，選取的漏洞屬性如表1所示。

表1　漏洞屬性

在此基礎(chǔ)上，得到單節(jié)點(diǎn)上漏洞評(píng)估的層次分布圖，如圖1所示。

圖1　系統(tǒng)單個(gè)節(jié)點(diǎn)上的漏洞層次分布圖

(2) 資產(chǎn)分類

選擇可以反映某件資產(chǎn)在系統(tǒng)中的重要性的資產(chǎn)屬性作為資產(chǎn)分類的依據(jù)。目前，資產(chǎn)屬性的選擇并沒(méi)有一個(gè)共通的標(biāo)準(zhǔn)，借鑒文獻(xiàn)[14]，使用表2所示的4個(gè)屬性作為評(píng)判資產(chǎn)重要性的屬性。

表2　系統(tǒng)資產(chǎn)屬性列表

進(jìn)而得到系統(tǒng)中資產(chǎn)評(píng)估的層次分布圖，如圖2所示。

圖2　系統(tǒng)資產(chǎn)的層次分布

2.2計(jì)算每個(gè)節(jié)點(diǎn)的漏洞評(píng)分

(1) 確定漏洞屬性評(píng)分標(biāo)準(zhǔn)

為便于計(jì)算，需先將漏洞庫(kù)網(wǎng)站上每個(gè)漏洞屬性的評(píng)級(jí)賦予一定的分值，分值采用1、3、5三級(jí)評(píng)分制，它與漏洞屬性評(píng)級(jí)的對(duì)應(yīng)關(guān)系如表3所示。

表3　系統(tǒng)漏洞屬性評(píng)分標(biāo)準(zhǔn)

(2) 建立漏洞之間的判斷矩陣

建立準(zhǔn)則層中的漏洞屬性，措施層的各漏洞相互比較形成的判斷矩陣。設(shè)總共有n個(gè)漏洞，則在屬性Q下漏洞的判斷矩陣可表示為

其中rij(i,j=1,…，n)表示在屬性Q下第i個(gè)漏洞相對(duì)于第j個(gè)漏洞的重要程度，設(shè)第i個(gè)漏洞屬性Q的分值為α，第j個(gè)漏洞屬性Q的分值為β，則有

rij=α/β

(3) 計(jì)算節(jié)點(diǎn)中漏洞權(quán)重值

漏洞的權(quán)重向量由準(zhǔn)則層元素的權(quán)重向量和措施層元素的權(quán)重向量相乘得到。準(zhǔn)則層元素的權(quán)重向量事先直接確定。準(zhǔn)則層元素可分為3大類指標(biāo)：可利用性指標(biāo)(包括攻擊向量、攻擊復(fù)雜度和認(rèn)證)、影響性指標(biāo)(包括機(jī)密性影響、完整性影響和可用性影響)、時(shí)間指標(biāo)(包括利用和修補(bǔ)情況)。參考CVSS的計(jì)算公式[10]，同時(shí)為了便于計(jì)算，可利用性指標(biāo)和影響性指標(biāo)的權(quán)重定為0.45，時(shí)間指標(biāo)的權(quán)重定為0.1，將每個(gè)指標(biāo)權(quán)重的平均值作為該指標(biāo)下準(zhǔn)則層元素的權(quán)值，即可利用性指標(biāo)下的3個(gè)元素與影響性指標(biāo)下的3個(gè)元素的權(quán)值為0.45/3=0.15，時(shí)間指標(biāo)下的兩個(gè)元素的權(quán)值為0.1/2=0.05。

求措施層元素的權(quán)重向量即為求元素判斷矩陣的歸一化特征向量。采用方根法[2]求出R的特征向量

w=[w1，w2,…，wn]，

其中wi為第i個(gè)元素的權(quán)重值。設(shè)wp為準(zhǔn)則層上元素判斷矩陣的特征向量，wqi(i=1，…，n)為措施層中針對(duì)第i個(gè)準(zhǔn)則的元素(漏洞)判斷矩陣的特征向量,則漏洞的權(quán)重向量

(4) 求出節(jié)點(diǎn)的漏洞危害性評(píng)分

設(shè)漏洞的CVSS評(píng)分向量為

F=[f1,f2, …,fn]，

其中fi(i=1，…，n)為第i個(gè)漏洞的CVSS評(píng)分,則節(jié)點(diǎn)上總的的漏洞危害性評(píng)分為

S=F·WT

2.3計(jì)算整個(gè)系統(tǒng)的漏洞評(píng)分

(1) 計(jì)算系統(tǒng)中資產(chǎn)的權(quán)重

建立資產(chǎn)判斷矩陣和資產(chǎn)權(quán)重的計(jì)算過(guò)程與文中節(jié)點(diǎn)上漏洞權(quán)重的計(jì)算方法基本一致，區(qū)別在于使用的層次分布圖和評(píng)分標(biāo)準(zhǔn)不同。資產(chǎn)的評(píng)分標(biāo)準(zhǔn)如表4所示。

表4　系統(tǒng)資產(chǎn)屬性評(píng)分標(biāo)準(zhǔn)

(2) 計(jì)算系統(tǒng)的總評(píng)分

設(shè)系統(tǒng)的資產(chǎn)權(quán)重向量為

V=[v1,v2, …,vm]，

資產(chǎn)的漏洞評(píng)分向量為

S=[s1,s2, …,sm]，

其中vi，si(i=1，…，m)分別為第i件資產(chǎn)的權(quán)重值和漏洞評(píng)分，則整個(gè)系統(tǒng)的總漏洞評(píng)分為

T=S·VT

由于將CVSS評(píng)分作為基礎(chǔ)分?jǐn)?shù)，所以T與CVSS的評(píng)分標(biāo)準(zhǔn)兼容。

3驗(yàn)證

構(gòu)建虛擬網(wǎng)絡(luò)環(huán)境來(lái)對(duì)算法進(jìn)行驗(yàn)證，該環(huán)境利用OPNET仿真軟件搭建，包括1個(gè)服務(wù)器、1臺(tái)交換機(jī)和4臺(tái)客戶機(jī)：計(jì)算機(jī)1、計(jì)算機(jī)2、計(jì)算機(jī)3和計(jì)算機(jī)4。網(wǎng)絡(luò)環(huán)境原理如圖3。

假定服務(wù)器價(jià)格超過(guò)7 000元，需全天24h運(yùn)轉(zhuǎn)且存在物理保護(hù)措施?？蛻魴C(jī)的價(jià)格為4 000元，每天運(yùn)轉(zhuǎn)時(shí)間為10h，無(wú)物理保護(hù)措施。設(shè)服務(wù)器上漏洞的CVE標(biāo)識(shí)是CVE-2015-3183、CVE-2015-0257和CVE-2015-4752，計(jì)算機(jī)1上漏洞的CVE標(biāo)識(shí)是CVE-2015-0093、CVE-2015-5115和CVE-2015-1288，計(jì)算機(jī)2上漏洞的CVE標(biāo)識(shí)為CVE-2015-2423、CVE-2015-2472和CVE-2015-2745，計(jì)算機(jī)3上漏洞的CVE標(biāo)識(shí)為CVE-2015-2463和CVE-2015-2417，計(jì)算機(jī)4上漏洞的CVE標(biāo)識(shí)為CVE-2015-2378和CVE-2015-2476。經(jīng)統(tǒng)計(jì)低危漏洞約占漏洞總數(shù)的15%，中危漏洞約占漏洞總數(shù)的62%，高危漏洞約占23%。預(yù)期該系統(tǒng)的漏洞危害應(yīng)大致處于中等水平。

圖3　實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)原理圖

系統(tǒng)中各節(jié)點(diǎn)的漏洞危害性評(píng)分計(jì)算結(jié)果如表5所示。

表5　系統(tǒng)各節(jié)點(diǎn)的漏洞危害性評(píng)分

系統(tǒng)各節(jié)點(diǎn)的權(quán)值計(jì)算結(jié)果如表6所示。

表6　系統(tǒng)各節(jié)點(diǎn)的權(quán)重值

將節(jié)點(diǎn)權(quán)重與各個(gè)節(jié)點(diǎn)的漏洞評(píng)分進(jìn)行加權(quán)運(yùn)算，最終得出整個(gè)系統(tǒng)的漏洞危害評(píng)估分?jǐn)?shù)為

0.424 8×3.86+0.143 8×8.85+

0.143 8+4.31+0.143 8×7.45+

0.42×5.1=5.5。

依據(jù)CVSS評(píng)級(jí)標(biāo)準(zhǔn)可以看出，該網(wǎng)絡(luò)系統(tǒng)本身的漏洞威脅屬于中等級(jí)別，符合之前作出的漏洞危害性大致處于中等水平的預(yù)期。

4結(jié)語(yǔ)

利用層次分析法進(jìn)行安全漏洞評(píng)估，針對(duì)種類和標(biāo)準(zhǔn)繁多導(dǎo)致評(píng)估結(jié)果的可信性和通用性較低的問(wèn)題展開(kāi)研究，提出一種將AHP和CVSS結(jié)合起來(lái)進(jìn)行漏洞評(píng)估的算法，并進(jìn)行驗(yàn)證。評(píng)估結(jié)果表明，此法可以對(duì)一個(gè)信息系統(tǒng)的漏洞進(jìn)行評(píng)分，由于使用CVSS評(píng)分作為漏洞評(píng)價(jià)的基礎(chǔ)分值，評(píng)價(jià)所得的分值也可參照CVSS的評(píng)級(jí)標(biāo)準(zhǔn)進(jìn)行評(píng)級(jí)，故而該算法與CVSS兼容。

參考文獻(xiàn)

[1]蘇航．計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估方法分析[J]．南方農(nóng)機(jī)，2015(6)：86-87．

[2]張炳江．層次分析法及其應(yīng)用案例[M]．北京：電子工業(yè)出版社，2014：31-56．

[3]劉奇旭，張翀斌，張玉清，等．安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J]．通信學(xué)報(bào)，2012，33(S1)：79-87．DOI:10.3969/j.issn.1000-436x.2012.z1.011．

[4]陳鴻星．基于AHP權(quán)值計(jì)算的網(wǎng)絡(luò)安全評(píng)估研究與仿真[J]．計(jì)算機(jī)仿真，2013，30(8)：266-269．

[5]LIUR，YAND，LinF，etal．OptimizationofHierarchicalVulnerabilityAssessmentMethod[C]//IEEEProceedingsofIC-BNMT，Beijing：BroadbandNetwork&MultimediaTechnology．2009：458-462．

[6]YEJ，ZHANGK．VulnerabilityThreatAssessmentBasedonAHPAndFuzzyComprehensiveEvaluation[C]//IEEESeventhInternationalSymposiumonComputationalIntalligenceandDesignComputerSociety，Hangzhou：ComputationalIntelligenceandDesign．2014：513-516．DOI:10.1109/ISCID.2014.231.

[7]呂鎮(zhèn)邦，周波．基于WOWA-FAHP的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J]．計(jì)算機(jī)科學(xué)，2009，36(7)：63-67．

[8]孫兵，張亞平，戴銀華．基于改進(jìn)三角模糊數(shù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法[J]．計(jì)算機(jī)應(yīng)用研究，2009，26(6)：2131-2135．DOI:10.3969/j.issn.1001-3695.2009.06.040.

[9]李建平，王慧強(qiáng)，盧愛(ài)平，等．基于條件隨機(jī)場(chǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化感知方法[J]．傳感器與微系統(tǒng)，2010，29(10)：83-86．DOI:10.13873/j.1000-97872010.10.022．

[10] 王秋艷．通用安全漏洞評(píng)級(jí)研究[D]．西安：西安電子科技大學(xué)，2008：26.

[11] 王秋艷，張玉清．一種通用漏洞評(píng)級(jí)方法[J]．計(jì)算機(jī)工程，2008，34(19)：133-136．

[12] 王如義．基于關(guān)聯(lián)分析的漏洞檢測(cè)和安全評(píng)估技術(shù)研究[D]．西安：西北大學(xué)，2012：31-32．

[13] 劉貫飛．基于層次分析法的四川省體育產(chǎn)業(yè)競(jìng)爭(zhēng)力的研究[D]．成都：西南財(cái)經(jīng)大學(xué)，2013：35．

[14] 趙首花．信息系統(tǒng)資產(chǎn)識(shí)別及風(fēng)險(xiǎn)分析方法研究[D]．西安：陜西師范大學(xué)，2010：14-17．

[責(zé)任編輯：汪湘]

Oninformationsystemvulnerabilitiesassessbasedonanalytichierarchyprocessandcommonvulnerabilityscoresystem

LIXuebin,FANJiulun,LIUYixian

(SchoolofCommunicationandInformationEngineering,Xi’anUniversityofPostsandTelecommunications,Xi’an710121China)

Abstract:For the shortcoming that information system vulnerabilities hazard assessment results lacks versatility, an information system vulnerability assessment algorithm is proposed. This algorithm is to establish the evaluation index system from vulnerability classification and asset classification. It uses Analytic Hierarchy Process to build the network system vulnerability assessment on the base of scores of Common Vulnerability Score System. The result shows that this algorithm’s calculation result is compatible with standards of CVSS and has versatility.

Keywords:vulnerability assessment， analytic hierarchy process， common vulnerability score system

doi:10.13682/j.issn.2095-6533.2016.01.008

收稿日期：2015-09-06

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目(61340040，61202183)

作者簡(jiǎn)介：黎學(xué)斌(1990-)，男，碩士研究生，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。E-mail:1253826010@qq.com 范九倫(1964-)，男，博士，教授，從事網(wǎng)絡(luò)安全與圖像處理研究。E-mail:jiulunf@xupt.edu.cn

中圖分類號(hào)：TN911.23

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：2095-6533(2016)01-0042-05