謝麗霞，徐偉華

(中國(guó)民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

改進(jìn)漏洞基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配方法

謝麗霞*，徐偉華

(中國(guó)民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

(*通信作者電子郵箱lxxie@126.com)

針對(duì)通用漏洞評(píng)分系統(tǒng)(CVSS)的基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配過(guò)多依賴(lài)專(zhuān)家經(jīng)驗(yàn)導(dǎo)致客觀性不足的問(wèn)題，提出一種漏洞威脅基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配方法。首先，對(duì)評(píng)分要素的相對(duì)重要性進(jìn)行排序；然后，采用指標(biāo)權(quán)重組合最優(yōu)搜索方法搜索權(quán)重組合方案;最后,結(jié)合灰色關(guān)聯(lián)度分析方法，將基于專(zhuān)家經(jīng)驗(yàn)決策的多個(gè)權(quán)重分配方案作為輸入，獲得權(quán)重組合方案。實(shí)驗(yàn)結(jié)果表明，與CVSS相比，從定量角度對(duì)比分析，所提方法評(píng)分結(jié)果分值分布比CVSS更為平緩連續(xù)，有效地避免了過(guò)多極端值的出現(xiàn)，并且評(píng)分分值分布的離散化更能客觀有效地區(qū)分不同漏洞威脅的嚴(yán)重性；從定性角度對(duì)比分析，與CVSS中絕大多數(shù)漏洞(92.9%)被定為中高嚴(yán)重級(jí)別相比，所提方法在漏洞嚴(yán)重等級(jí)分配上實(shí)現(xiàn)了更為均衡的特征分布。

漏洞評(píng)分；評(píng)分要素；權(quán)重分配；灰色關(guān)聯(lián)；權(quán)重組合

0 引言

近幾年來(lái)，信息系統(tǒng)的漏洞數(shù)量呈指數(shù)級(jí)增長(zhǎng)，高級(jí)持續(xù)性威脅(Advanced Persistent Threat, APT)攻擊不斷涌現(xiàn)，并且具有極強(qiáng)的針對(duì)性和隱蔽性。以入侵檢測(cè)、防火墻等技術(shù)為代表的傳統(tǒng)防護(hù)手段已不足以應(yīng)對(duì)這些安全威脅。漏洞威脅評(píng)分方法可根據(jù)漏洞自身的相關(guān)屬性和危害程度的不同作出排序，優(yōu)先處理破壞性較強(qiáng)的安全漏洞，將漏洞可能引起的風(fēng)險(xiǎn)降低到最小[1]。

依據(jù)評(píng)分結(jié)果的多樣性，漏洞威脅評(píng)分分為定性評(píng)估和定量評(píng)估兩種方法。根據(jù)相關(guān)要素以高、中、低三個(gè)量級(jí)評(píng)定漏洞風(fēng)險(xiǎn)等級(jí)的方法稱(chēng)為定性評(píng)估。但定性評(píng)估具有主觀性強(qiáng)和可重復(fù)性差等特點(diǎn)，因此風(fēng)險(xiǎn)評(píng)估與應(yīng)急響應(yīng)過(guò)程中存在許多不確定因素。定量評(píng)估則是參照既定的評(píng)分標(biāo)準(zhǔn)，以量化數(shù)值的形式反映出漏洞的威脅程度[2]。通用漏洞評(píng)分系統(tǒng)(Common Vulnerability Scoring System, CVSS)[3]給出了一個(gè)簡(jiǎn)潔統(tǒng)一的漏洞評(píng)分標(biāo)準(zhǔn)，以量化評(píng)分的形式，通過(guò)添加漏洞的相關(guān)屬性，使安全機(jī)構(gòu)能夠量化計(jì)算漏洞的威脅程度，更好地降低漏洞帶來(lái)的安全風(fēng)險(xiǎn)。

唐成華等[4]提出了一種利用遺傳模糊層次分析漏洞威脅的分析方法，利用改進(jìn)的模糊層次分析法求出各種風(fēng)險(xiǎn)因素的權(quán)重，建立模糊矩陣，利用遺傳算法求解分析。張恒巍等[5]提出了基于博弈模型和風(fēng)險(xiǎn)矩陣的漏洞風(fēng)險(xiǎn)評(píng)分方法，針對(duì)安全漏洞，建立漏洞攻防博弈模型，結(jié)合攻擊圖和風(fēng)險(xiǎn)矩陣對(duì)漏洞連通關(guān)系進(jìn)行定量分析。付志耀等[6]采用粗糙集理論中可辨識(shí)矩陣算法，提出了基于粗糙集的漏洞評(píng)估方法，在漏洞屬性約簡(jiǎn)和屬性權(quán)重計(jì)算上有所提高。

上述方法都是以單個(gè)安全漏洞威脅的量化評(píng)分為基礎(chǔ)，依據(jù)CVSS并結(jié)合多個(gè)漏洞間的相互關(guān)聯(lián)進(jìn)行評(píng)分，量化計(jì)算出漏洞可能引起的風(fēng)險(xiǎn)程度。但CVSS自身存在不足，在制定時(shí)基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配過(guò)多依賴(lài)于專(zhuān)家學(xué)者的主觀經(jīng)驗(yàn)決策，度量標(biāo)準(zhǔn)缺乏客觀性；并且CVSS在對(duì)漏洞威脅進(jìn)行基礎(chǔ)評(píng)分的過(guò)程中對(duì)機(jī)密性、完整性及可利用性作均等權(quán)重分配而沒(méi)有考慮其相對(duì)重要性，不能明確區(qū)分評(píng)分相近的漏洞的內(nèi)部屬性差異性，導(dǎo)致資源的重復(fù)和浪費(fèi)。

本文在CVSS評(píng)分基礎(chǔ)上，重新設(shè)計(jì)基礎(chǔ)評(píng)分要素權(quán)重分配方法，根據(jù)評(píng)分要素的相對(duì)重要性對(duì)其權(quán)重進(jìn)行優(yōu)化分配，并與灰色關(guān)聯(lián)度分析方法結(jié)合，使評(píng)分結(jié)果更具客觀性，提高了評(píng)分結(jié)果的多樣性，便于直觀地對(duì)漏洞威脅性加以區(qū)分。

1 漏洞基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配方法設(shè)計(jì)

1.1 漏洞基本評(píng)分指標(biāo)影響性分析

CVSS基本評(píng)分指標(biāo)分為可利用性和影響性?xún)刹糠郑浒丶皺?quán)重分配值[7]如表1所示。

表1 CVSS權(quán)重分配

由表1可見(jiàn)，影響性指標(biāo)所包含的機(jī)密性、完整性和可利用性三個(gè)要素權(quán)重分配相同。但是，漏洞威脅產(chǎn)生的影響構(gòu)成較為復(fù)雜，對(duì)其賦予相同權(quán)值限制了基本評(píng)分結(jié)果的多樣性，導(dǎo)致無(wú)法區(qū)分具有不同屬性的漏洞。本文研究的思路是：依據(jù)漏洞被成功利用后對(duì)系統(tǒng)的機(jī)密性、完整性和可利用性所造成的危害程度進(jìn)行權(quán)重分配。

由CVSS的權(quán)重分配結(jié)果可知：當(dāng)系統(tǒng)的機(jī)密性、完整性和可利用性沒(méi)有受到破壞時(shí)，將權(quán)重值均設(shè)定為0；將造成完全影響的權(quán)重設(shè)定為部分影響的權(quán)重的2倍；所有權(quán)重值設(shè)定范圍為0～7.0。

對(duì)機(jī)密性、完整性和可利用性的分析如下：

1)漏洞被成功利用后對(duì)系統(tǒng)的機(jī)密性造成的危害很難被發(fā)現(xiàn)，且機(jī)密性一旦遭到破壞是不可逆的，無(wú)法對(duì)其進(jìn)行恢復(fù)。更為嚴(yán)重的是，攻擊者會(huì)利用漏洞將受保護(hù)的信息泄露給非授權(quán)的個(gè)人和實(shí)體，使授權(quán)機(jī)構(gòu)及合法用戶(hù)處于“失控”狀態(tài)，極大地危害組織的信息安全并造成不可估量的經(jīng)濟(jì)損失[8-10]。故本文將機(jī)密性設(shè)定為最主要的影響因素。

2)完整性對(duì)系統(tǒng)造成的影響也較難被發(fā)現(xiàn)，且通常會(huì)對(duì)可用性產(chǎn)生一定的影響[8,11]，故本文將完整性設(shè)定為次要的影響因素。

3)與機(jī)密性和完整性相比，漏洞被成功利用后，對(duì)信息系統(tǒng)可利用性的影響具有易被發(fā)現(xiàn)的特點(diǎn)，且造成的破壞也較容易恢復(fù)[8,11]，故本文將可利用性設(shè)定為一般的影響因素。

由上述分析可知，當(dāng)系統(tǒng)漏洞被成功利用并造成破壞后，對(duì)系統(tǒng)機(jī)密性影響遠(yuǎn)高于對(duì)系統(tǒng)完整性影響和可利用性影響。

1.2 漏洞評(píng)分指標(biāo)權(quán)重組合最優(yōu)搜索方法

依據(jù)1.1節(jié)的分析結(jié)果，為提高漏洞評(píng)分的多樣性和精確性，達(dá)到真實(shí)反映漏洞威脅程度的目的，本文提出一種漏洞評(píng)分指標(biāo)權(quán)重組合最優(yōu)搜索方法。該方法的流程設(shè)計(jì)如圖1所示。

圖1 評(píng)分指標(biāo)權(quán)重組合最優(yōu)搜索方法流程

為避免出現(xiàn)無(wú)法真實(shí)反映漏洞威脅的極端值，應(yīng)保證完整性的完全影響大于機(jī)密性的部分影響，且可利用性的完全影響大于完整性的部分影響。由于最終漏洞評(píng)分結(jié)果需要保留一位小數(shù)，且部分影響權(quán)重為完全影響的一半，故將最小增減量的步長(zhǎng)設(shè)定為0.2。采用與CVSS一致的權(quán)重范圍(0～7.0)，Wc表示保密性權(quán)重，Wi表示完整性權(quán)重，Wa表示可用性權(quán)重，t表示最小增減量步長(zhǎng)，則：

Wc+Wi+Wa=7

(1)

由于部分影響為完全影響的一半，完整性的完全影響大于機(jī)密性的部分影響，可利用性的完全影響要大于完整性的部分影響，故:

2*Wa>Wi

(2)

且:

2*Wi>Wc

(3)

由式(2)～(3)可得，4*Wa>Wc，2*Wa>Wi。代入式(1)，可得：

7*Wa>7

(4)

即：

Wa>1

(5)

由于最小增量步長(zhǎng)為0.2，則：

Wa≥1.2

(6)

所以，Wa的最小取值為1.2。

由于Wa≤Wi，步長(zhǎng)為0.2，則：

Wa≤Wi-0.2

(7)

且:

Wi≤Wc-0.2

(8)

采用與Wa最小值推導(dǎo)相同方法，可得：

3*Wa≤7-0.6

即：

Wa≤(7-0.6)/3

(9)

同理，由于最小增量步長(zhǎng)為0.2，可得Wa的最大取值為2.0。

由以上推導(dǎo)得出可利用性權(quán)重Wa取值范圍為1.2～2.0。

此外，機(jī)密性、完整性和可利用性評(píng)分要素又具有“無(wú)影響”“部分影響”和“完全影響”三個(gè)屬性類(lèi)別，由此可得到33種權(quán)重組合方案，方案改進(jìn)需保證權(quán)重方案組合各列項(xiàng)取值相異。

通過(guò)執(zhí)行該搜索方法，可得到基本評(píng)分指標(biāo)機(jī)密性、完整性和可利用性的14組權(quán)重組合方案，方案具體構(gòu)成如表2所示。

表2 權(quán)重組合方案

1.3 基于灰色關(guān)聯(lián)度分析的指標(biāo)權(quán)重求解

CVSS過(guò)多依賴(lài)專(zhuān)家經(jīng)驗(yàn)決策，導(dǎo)致其主觀性偏強(qiáng)，并且專(zhuān)家知識(shí)缺乏也容易對(duì)決策結(jié)果造成影響。1.2節(jié)提出的最優(yōu)搜索方法只針對(duì)評(píng)估要素相對(duì)重要性作出改進(jìn)，并沒(méi)有克服權(quán)重分配主觀性較強(qiáng)這一缺陷。因此，本文依據(jù)灰色關(guān)聯(lián)度分析來(lái)對(duì)1.2節(jié)所得的14種分配方案進(jìn)行關(guān)聯(lián)集成，得到更具客觀性的權(quán)重分配方案。

可將表2中的14種權(quán)重分配方案視為14個(gè)專(zhuān)家的經(jīng)驗(yàn)決策方案，將14種權(quán)重分配結(jié)果與其中某一專(zhuān)家決策的權(quán)重分配結(jié)果中的權(quán)重最大值(設(shè)定)作量化比較，利用簡(jiǎn)易數(shù)學(xué)模型根據(jù)不同方案的權(quán)重值作集成計(jì)算，得到的結(jié)果既吸取了專(zhuān)家主觀決策信息，也具備更高的客觀性。

采用灰色關(guān)聯(lián)度分析指標(biāo)權(quán)重求解方法的設(shè)計(jì)過(guò)程如下：

1)生成評(píng)估指標(biāo)權(quán)值矩陣。把14種權(quán)重分配方案中各評(píng)估指標(biāo)不同權(quán)重方案數(shù)據(jù)形式化表示為矩陣形式Z=(Z1,Z2,…,Zn)T，則有：

(10)

2)給出參考數(shù)據(jù)列。參考數(shù)據(jù)列Z0的組成權(quán)值為Z中權(quán)重值最大的數(shù)值。把這個(gè)值賦給m個(gè)專(zhuān)家,則Z0=(z0(1),z0(2),…,z0(m))；

3)求解n個(gè)評(píng)估指標(biāo)序列Z1,Z2,…,Zn與Z0的間距；

(11)

4)求解n個(gè)評(píng)估指標(biāo)權(quán)值:

Wi=1/(1+Doi)

(12)

根據(jù)上述計(jì)算步驟，分別對(duì)機(jī)密性、完整性和可利用性所包含的“無(wú)”“部分”以及“完全”影響三個(gè)屬性類(lèi)別分別作基于灰色關(guān)聯(lián)度分析的指標(biāo)權(quán)重求解。而由表2可知，機(jī)密性、完整性和可利用性三個(gè)評(píng)估要素的“無(wú)影響”屬性類(lèi)別的所有方案權(quán)重分配均為0，因此只需對(duì)“部分”“完全”這兩個(gè)屬性類(lèi)別作灰色關(guān)聯(lián)度指標(biāo)的權(quán)重求解。利用上述計(jì)算式(10)～(12)，權(quán)重求解步驟設(shè)計(jì)如下：

1)依據(jù)表2，確定三個(gè)評(píng)估要素“部分影響”類(lèi)別權(quán)重分配表，如表3所示。表3中的數(shù)據(jù)是不同權(quán)重分配方案賦給三個(gè)評(píng)分要素“部分”類(lèi)別的權(quán)重。

表3 “部分”類(lèi)別權(quán)重分配

2)依據(jù)基于灰色關(guān)聯(lián)度分析的指標(biāo)權(quán)重求解方法中的步驟2)寫(xiě)出參考數(shù)列Z0。由表3可知，所有權(quán)重取值中最大值為1.9，因此Z0={1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9}。

3)依據(jù)基于灰色關(guān)聯(lián)度分析的指標(biāo)權(quán)重求解方法步驟1)中的式(10)寫(xiě)出評(píng)估指標(biāo)權(quán)重矩陣，即：

式中：Z1、Z2、Z3分別代表機(jī)密性、完整性、可利用性。數(shù)列由14種權(quán)重分配方案結(jié)果組成，相對(duì)所設(shè)定的參考數(shù)列Z0，Z1、Z2、Z3稱(chēng)為比較數(shù)列。將數(shù)列Z0、Z1、Z2、Z3代入式(11)～(12)中，可得評(píng)估要素Z1、Z2、Z3的“部分”類(lèi)別的權(quán)重集合為：W={w1,w2,w3}={1.8,1.2,0.7}。

同上，依據(jù)表2，確定“完全”類(lèi)別權(quán)重分配表，如表4所示。

同上，確定數(shù)列組成，Z0為參考數(shù)列，Z1、Z2、Z3為比較數(shù)列，分別代表機(jī)密性、完整性和可利用性，得到評(píng)估指標(biāo)權(quán)重矩陣為：

4)將數(shù)列Z0、Z1、Z2、Z3代入式(11)～(12)中，可得評(píng)估要素Z1、Z2、Z3的“完全”類(lèi)別的權(quán)重值集合為：W={w1,w2,w3}={3.6,2.4,1.4}。

表4 “完全”類(lèi)別權(quán)重分配表

2 驗(yàn)證實(shí)驗(yàn)與結(jié)果分析

2.1 實(shí)驗(yàn)工具和環(huán)境

選擇“統(tǒng)計(jì)產(chǎn)品與服務(wù)解決方案”軟件(StatisticalProductandServiceSolutions,SPSS)作為統(tǒng)計(jì)分析應(yīng)用工具，從美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NationalVulnerabilityDatabase,NVD)[12]里隨機(jī)選取5 000個(gè)漏洞樣本作為本文漏洞評(píng)分方法的實(shí)驗(yàn)數(shù)據(jù)。在Windows系統(tǒng)環(huán)境下安裝開(kāi)放數(shù)據(jù)庫(kù)連接(OpenDataBaseConnectivity,ODBC)引擎，使用SPSS并通過(guò)ODBC直接訪問(wèn)NVD數(shù)據(jù)庫(kù)管理系統(tǒng)導(dǎo)入實(shí)驗(yàn)數(shù)據(jù)樣本。

2.2 樣本數(shù)據(jù)預(yù)處理

分析基本指標(biāo)間的關(guān)聯(lián)性，需要對(duì)樣本數(shù)據(jù)作預(yù)處理。對(duì)樣本包含的所有漏洞的機(jī)密性、完整性和可利用性三個(gè)指標(biāo)信息進(jìn)行分類(lèi)，統(tǒng)計(jì)出各個(gè)指標(biāo)中完全影響、部分影響及無(wú)影響所占據(jù)的百分比。

在SPSS環(huán)境下，采用對(duì)個(gè)案的值計(jì)數(shù)功能完成統(tǒng)計(jì)過(guò)程，分別設(shè)置機(jī)密性、完整性和可利用性作為目標(biāo)計(jì)數(shù)變量輸入，統(tǒng)計(jì)出完全影響、部分影響及無(wú)影響三個(gè)屬性類(lèi)別在目標(biāo)計(jì)數(shù)變量中所占比例，統(tǒng)計(jì)結(jié)果如圖2所示。

利用上述統(tǒng)計(jì)結(jié)果對(duì)機(jī)密性、完整性和可利用性進(jìn)行雙因素交叉作用下的列聯(lián)表分析，分析兩兩因素間有無(wú)顯著性影響。分別設(shè)定三個(gè)指標(biāo)為列聯(lián)表的行列變量，作頻數(shù)列聯(lián)分析。列聯(lián)表的頻數(shù)分布可以對(duì)列聯(lián)表中行列變量之間是否彼此獨(dú)立進(jìn)行簡(jiǎn)單的判斷。列聯(lián)表分析結(jié)果如表5～7所示。

由表5～7可知，基本評(píng)估指標(biāo)是相互關(guān)聯(lián)的而非相互獨(dú)立。尤為顯著的是，由表5可知，對(duì)系統(tǒng)機(jī)密性和完整性同時(shí)造成完全影響的漏洞占實(shí)驗(yàn)樣本的95.58%。由表6可知，95.56%的樣本漏洞在對(duì)系統(tǒng)機(jī)密性造成完全影響的同時(shí)也對(duì)系統(tǒng)的可利用性造成完全破壞。由表7可知，99.24%的樣本漏洞對(duì)系統(tǒng)完整性和可利用性同時(shí)造成了完全影響。

圖2 指標(biāo)影響類(lèi)別組成

表5 機(jī)密性-完整性列聯(lián)表 %

表6 機(jī)密性-可利用性列聯(lián)表 %

表7 完整性-可利用性列聯(lián)表 %

因此各評(píng)分指標(biāo)在完全影響這一類(lèi)別上具有很強(qiáng)的關(guān)聯(lián)性，即成功利用漏洞后如果對(duì)系統(tǒng)機(jī)密性、完整性和可利用性其中之一造成了完全影響，則對(duì)另外兩者造成完全影響的概率很大。同樣，其余影響類(lèi)別間也具有一定關(guān)聯(lián)性。

通過(guò)以上對(duì)數(shù)據(jù)樣本的預(yù)處理分析可知，不同的漏洞具有不同的屬性，可視為漏洞組成的相關(guān)組件。由于構(gòu)成漏洞的組件構(gòu)造具有復(fù)雜性，組件之間并不是相互獨(dú)立的，所造成的威脅影響也并不是以相同的比例出現(xiàn)，所以應(yīng)盡量避免不同屬性的漏洞獲得相同的評(píng)估分值。因此需要對(duì)評(píng)估要素權(quán)值的均等分配作適當(dāng)改進(jìn)，盡量提高評(píng)估分值的多樣性，以便更好地對(duì)漏洞威脅加以區(qū)分，有利于系統(tǒng)優(yōu)化。

2.3 樣本數(shù)據(jù)描述性統(tǒng)計(jì)分析

在本節(jié)中，基本評(píng)估分值計(jì)算式如下：

基本評(píng)分標(biāo)準(zhǔn)值=取整(10*攻擊途徑*攻擊復(fù)雜度*認(rèn)證((機(jī)密性影響*機(jī)密性影響偏移量)+ (完整性影響*完整性影響偏移量)+ (可用性影響*可用性影響偏移量)))

在SPSS環(huán)境下，采用Frequencies過(guò)程以及Descriptives過(guò)程，選取均值、總和、標(biāo)準(zhǔn)差、變異系數(shù)、最小值、最大值和分位數(shù)等描述集中趨勢(shì)的基本統(tǒng)計(jì)量作為參數(shù)，分析樣本數(shù)據(jù)變量取值狀況并獲取樣本數(shù)據(jù)的分布特征。Frequencies過(guò)程可以產(chǎn)生詳細(xì)的頻數(shù)分布表以及計(jì)算百分位數(shù)，Descriptives過(guò)程可對(duì)變量進(jìn)行描述性統(tǒng)計(jì)分析并計(jì)算出相應(yīng)的統(tǒng)計(jì)指標(biāo)，得到頻數(shù)分布表如表8所示。

表8 頻數(shù)分析基本統(tǒng)計(jì)結(jié)果

該實(shí)驗(yàn)中，判定最優(yōu)方案的重要依據(jù)是：實(shí)驗(yàn)樣本在進(jìn)行權(quán)重轉(zhuǎn)換后的頻數(shù)基本統(tǒng)計(jì)結(jié)果中最終得到不同分值數(shù)量，分值多樣性越高意味著對(duì)漏洞差異區(qū)分程度越好。由表8可知方案15獲得最終分值數(shù)量為78種，多于CVSS以及另外14種方案。

由于基本評(píng)估分值限定在一個(gè)相對(duì)較小的取值范圍內(nèi)(0～10)，且由表8可以看出，不同方案統(tǒng)計(jì)結(jié)果相差不大，因此需要對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行假設(shè)檢驗(yàn)，用于判斷所有方案的評(píng)判標(biāo)準(zhǔn)是否相同。如果相同，則實(shí)驗(yàn)結(jié)果無(wú)意義。

2.4 權(quán)重方案一致性檢驗(yàn)

Kendall’sW一致性檢驗(yàn)適用于分析評(píng)判者的判別標(biāo)準(zhǔn)是否一致，Kendall一致性協(xié)同系數(shù)W值越接近1，說(shuō)明評(píng)判者的評(píng)價(jià)標(biāo)準(zhǔn)一致性越好。在實(shí)踐中，m個(gè)評(píng)估機(jī)構(gòu)按照某些特別屬性對(duì)n個(gè)對(duì)象進(jìn)行排序，如果要評(píng)判這m個(gè)評(píng)估機(jī)構(gòu)的評(píng)估結(jié)果是否一致，就需要運(yùn)用Kendall協(xié)同系數(shù)檢驗(yàn)。

本實(shí)驗(yàn)需驗(yàn)證不同加權(quán)方案的評(píng)分標(biāo)準(zhǔn)是不一致的，因此提出零假設(shè)H0：所有分?jǐn)?shù)(CVSS以及15種加權(quán)方案)分布是一致的。在SPSS環(huán)境下，設(shè)置檢驗(yàn)方法類(lèi)型為Kendall’sW一致性檢驗(yàn)，顯著性水平選定為0.01，檢驗(yàn)結(jié)果得到W值為0.087，該值遠(yuǎn)小于1且漸近顯著性概率值0.002也小于所選定的顯著性水平0.01，因此拒絕零假設(shè)H0，可以確定在本質(zhì)上CVSS以及15種加權(quán)方案評(píng)分標(biāo)準(zhǔn)是不一致的。

2.5 對(duì)比與分析

針對(duì)CVSS和運(yùn)用本文方法得到的方案15，分別從定量和定性?xún)蓚€(gè)角度進(jìn)行對(duì)比分析。

具體過(guò)程為：根據(jù)2.3節(jié)表8的頻數(shù)分析基本統(tǒng)計(jì)結(jié)果，對(duì)上述兩種方案進(jìn)行定量對(duì)比分析，結(jié)果如表9所示。

表9 CVSS和方案15頻數(shù)分析基本統(tǒng)計(jì)結(jié)果

由表9可知，在中值和平均值方面，CVSS都要高于方案15。若把5定為中值標(biāo)準(zhǔn)，則CVSS的漏洞評(píng)分結(jié)果會(huì)更“偏激”，即高危類(lèi)別的漏洞數(shù)量所占比例過(guò)高。同時(shí)，CVSS的四分位數(shù)取值范圍更窄，變異系數(shù)也略低。

綜上所示，方案15評(píng)分結(jié)果分值分布比CVSS更為平緩連續(xù)，有效地避免了過(guò)多極端值的出現(xiàn)，并且評(píng)分分值分布的離散化更能客觀有效地區(qū)分不同漏洞威脅的嚴(yán)重性。

下面對(duì)兩種方案再作定性對(duì)比分析。在SPSS環(huán)境下進(jìn)行數(shù)據(jù)等級(jí)劃分，設(shè)定數(shù)值轉(zhuǎn)化規(guī)則為L(zhǎng)owestthru3.9 →“低”，4thru6.9 →“中”，7thruHighest→“高”，選定柱形圖作為輸出圖表，結(jié)果如圖3所示。

圖3 CVSS與方案15定性分析對(duì)比

由圖3可知，在CVSS中，絕大多數(shù)漏洞(92.9%)被定為中高嚴(yán)重級(jí)別。與CVSS相比，方案15在三種漏洞嚴(yán)重等級(jí)分配上實(shí)現(xiàn)了更為均衡的特征分布。

3 結(jié)語(yǔ)

本文提出了一種漏洞威脅基本評(píng)分指標(biāo)權(quán)重分配方法，依據(jù)機(jī)密性、完整性和可利用性三個(gè)漏洞威脅基本評(píng)分要素的相對(duì)重要性差異，設(shè)計(jì)了一種最優(yōu)搜索方法，對(duì)評(píng)分要素權(quán)重進(jìn)行優(yōu)化分配，通過(guò)與灰色關(guān)聯(lián)度分析方法結(jié)合，得到更加客觀的指標(biāo)分配方案。驗(yàn)證實(shí)驗(yàn)結(jié)果表明，與CVSS相比，本文方法在一定程度上削弱了指標(biāo)權(quán)重分配的主觀性，提高了漏洞評(píng)分結(jié)果的多樣性和準(zhǔn)確性。

本文提出的方法簡(jiǎn)單適用，給信息技術(shù)管理者、信息安全機(jī)構(gòu)提供了一種有效的漏洞威脅優(yōu)先級(jí)確認(rèn)方法。漏洞評(píng)分結(jié)果的均衡分布也有助于軟件供應(yīng)商優(yōu)先出廠修補(bǔ)程序，優(yōu)化資源配置。可以進(jìn)一步挖掘包含在不同重要數(shù)據(jù)庫(kù)中更多潛在信息，目前CVSS3.0已出版，可參照CVSS3.0納入的新的計(jì)算指標(biāo)來(lái)對(duì)本文評(píng)分方法結(jié)構(gòu)進(jìn)行改進(jìn)，得到更精細(xì)有效的評(píng)分系統(tǒng)。

)

[1] 劉奇旭,張翀斌,張玉清,等.安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報(bào),2012,33(Z1):79-87.(LIUQX,ZHANGYB,ZHANGYQ,etal.Researchonkeytechnologiesofvulnerabilitythreatclassification[J].JournalonCommunications, 2012, 33(Z1): 79-87.)

[2] 李銳.通用安全漏洞評(píng)估系統(tǒng)(CVSS)簡(jiǎn)介及應(yīng)用建議[J].計(jì)算機(jī)安全,2011(5):58-60.(LIR.Briefintroductionandapplicationofgeneralsecurityvulnerabilityassessmentsystem(CVSS) [J].NetworkandComputerSecurity, 2011(5): 58-60.)

[3]MELLP,SCARFONEK,ROMANOSKYS.Acompleteguidetothecommonvulnerabilityscoringsystemversion2.0 [EB/OL]. [2016- 10- 09].https://wenku.baidu.com/view/5c90a4d5c1c708a1284a44fc.html.

[4] 唐成華,田吉龍,湯申生,等.一種基于GA-FAHP的軟件漏洞風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)科學(xué),2015,42(9):134-138,158.(TANGCH,TIANJL,TANGSS,etal.RiskassessmentofsoftwarevulnerabilitybasedonGA-FAHP[J].ComputerScience, 2015, 42(9): 134-138, 158.)

[5] 張恒巍,張健,韓繼紅,等.基于博弈模型和風(fēng)險(xiǎn)矩陣的漏洞風(fēng)險(xiǎn)分析方法[J].計(jì)算機(jī)工程與設(shè)計(jì),2016,37(6):1421- 1427.(ZHANGHW,ZHANGJ,HANJH,etal.Vulnerabilityriskanalysismethodbasedongamemodelandriskmatrix[J].ComputerEngineeringandDesign, 2016, 37(6): 1421-1427.)

[6] 付志耀,高嶺,孫騫,等.基于粗糙集的漏洞屬性約簡(jiǎn)及嚴(yán)重性評(píng)估[J].計(jì)算機(jī)研究與發(fā)展,2016,53(5):1009-1017.(FUZY,GAOL,SUNQ,etal.Evaluationofvulnerabilityseveritybasedonroughsetsandattributesreduction[J].JournalofComputerResearchandDevelopment, 2016, 53(5): 1009-1017.)

[7] 韋濤,彭武,王冬海.基于漏洞屬性分析的軟件安全評(píng)估方法[J].電光與控制,2015,22(8):66-70.(WEIT,PENGW,WANGDH.Amethodforsoftwaresecurityassessmentbasedonanalysisofsoftwaredefects[J].ElectronicsOptics&Control, 2015, 22(8): 66-70.)

[8]WANGY,YANGY.PVL:anovelmetricforsinglevulnerabilityratinganditsapplicationinIMS[J].JournalofComputationalInformationSystems, 2012, 8(2): 579-590.

[9]CAMPBELLK,GORDONLA,LOEBMP,etal.Theeconomiccostofpubliclyannouncedinformationsecuritybreaches:empiricalevidencefromthestockmarket[J].JournalofComputerSecurity, 2003, 11(3): 431-448.

[10]CAVUSOGLUH,MISHRAB,RAGHUNATHANS.TheeffectofInternetsecuritybreachannouncementsonmarketvalue:capitalmarketreactionsforbreachedfirmsandInternetsecuritydevelopers[J].InternationalJournalofElectronicCommerce, 2004, 9(1): 70-104.

[11]MELLP,SCARFONEK.Improvingthecommonvulnerabilityscoringsystem[J].IETInformationSecurity, 2007, 1(3): 119-127.

[12] 蔣誠(chéng).信息安全漏洞等級(jí)定義標(biāo)準(zhǔn)及應(yīng)用[J].信息安全與通信保密,2007(6):148-149.(JIANGC.Rankdefinitionstandardandapplicationforinformationsecurityvulnerability[J].InformationSecurityandCommunicationPrivacy, 2007(6): 148-149.)

ThisworkispartiallysupportedbytheNationalScienceandTechnologyMajorProject(2012ZX03002002),theNationalNaturalScienceFoundationofChina(60776807, 61179045),theScienceandTechnologyMajorProjectofTianjin(09JCZDJC16800),theScienceandTechnologyFoundationofCivilAviationUniversityofChina(MHRD201009,MHRD201205).

XIE Lixia, born in 1974, M. S., associate professor. Her research interests include network and information security.

XU Weihua, born in 1989, M. S. candidate. Her research interests include network and information security.

Improved weight distribution method of vulnerability basic scoring index

XIE Lixia*, XU Weihua

(CollegeofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

The basic scoring index weight distribution of the Common Vulnerability Scoring System (CVSS) relies too much on expert experience, which leads to the lack of objectivity. In order to solve the problem, a vulnerability basic scoring index weight distribution method was proposed. Firstly, the relative importances of scoring elements were sorted. Then, the index weight combination optimal search method was used to search the weight combination scheme. Finally, combined with the grey relation analysis method, the multiple weight distribution schemes based on expert experience decision were used as the input to obtain the weight combination scheme. The experimental results show that, compared with CVSS, from the quantitative point of view, the proposed method has more gentle score distribution of scoring results than the CVSS, which effectively avoids the excessive extreme values, and the discretization of score distribution can effectively distinguish the severity of different vulnerabilities objectively and effectively. The comparative analysis from the qualitative point of view show that, while the vast majority of vulnerabilities (92.9%) in CVSS are designated as the high level of severity, the proposed method can achieve more balanced characteristic distribution in grade distribution of vulnerability severity.

vulnerability scoring; scoring element; weight distribution; grey relation; weight combination

2016- 12- 12;

2017- 03- 02。 基金項(xiàng)目:國(guó)家科技重大專(zhuān)項(xiàng)(2012ZX03002002)；國(guó)家自然科學(xué)基金資助項(xiàng)目(60776807，61179045)；天津市科技計(jì)劃重點(diǎn)項(xiàng)目(09JCZDJC16800)；中國(guó)民航科技基金資助項(xiàng)目(MHRD201009，MHRD201205)。

謝麗霞(1974—)，女，重慶人，副教授，碩士，CCF會(huì)員，主要研究方向：網(wǎng)絡(luò)與信息安全； 徐偉華(1989—)，女，山東煙臺(tái)人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全。

1001- 9081(2017)06- 1630- 06

10.11772/j.issn.1001- 9081.2017.06.1630

TP393.08

A