脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法

高妮, 賀毅岳, 常言說, 王孟陽

(1.西安財(cái)經(jīng)學(xué)院 信息學(xué)院，陜西 西安 710100；2.西北大學(xué) 經(jīng)濟(jì)管理學(xué)院, 陜西 西安 710127；3.中國人民銀行西安分行, 陜西 西安 710075 )

脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法

高妮1, 賀毅岳2, 常言說1, 王孟陽3

(1.西安財(cái)經(jīng)學(xué)院 信息學(xué)院，陜西 西安 710100；2.西北大學(xué) 經(jīng)濟(jì)管理學(xué)院, 陜西 西安 710127；3.中國人民銀行西安分行, 陜西 西安 710075 )

針對(duì)CVSS(common vulnerability scoring system)方法很少考慮隨時(shí)間改變的動(dòng)態(tài)指標(biāo)對(duì)脆弱性嚴(yán)重性評(píng)估的動(dòng)態(tài)影響，提出一種脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法(dynamic vulnerability severity assessment，DVSA).在CVSS評(píng)分的基礎(chǔ)上，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)2個(gè)動(dòng)態(tài)指標(biāo).安全影響、靜態(tài)脆弱性可利用性和動(dòng)態(tài)脆弱性可利用性3個(gè)脆弱性指標(biāo)被選取，并進(jìn)行脆弱性指標(biāo)量化.該方法可獲得每個(gè)脆弱性從0到10的嚴(yán)重性量化值，并將脆弱性嚴(yán)重性等級(jí)評(píng)定為高危、中危和低危3個(gè)嚴(yán)重等級(jí).實(shí)驗(yàn)結(jié)果表明DVSA方法可提高脆弱性嚴(yán)重性評(píng)估結(jié)果的多樣性和準(zhǔn)確性.

脆弱性；脆弱性嚴(yán)重性評(píng)估；脆弱性代碼可利用性

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的網(wǎng)絡(luò)安全問題形式日益嚴(yán)峻，然而脆弱性是網(wǎng)絡(luò)系統(tǒng)面臨安全問題的一個(gè)非常重要的影響指標(biāo).2009—2016年的脆弱性統(tǒng)計(jì)數(shù)據(jù)表明，中國國家信息安全漏洞庫(CNNVD)[1]每年新增5 000個(gè)左右的脆弱性數(shù)量，脆弱性成為首要的安全威脅指標(biāo).當(dāng)前脆弱性出現(xiàn)更為智能化的利用工具、被利用危害網(wǎng)絡(luò)范圍越來越大等新特性，那么將會(huì)出現(xiàn)影響更為惡劣的網(wǎng)絡(luò)攻擊事件[2].隨著脆弱性數(shù)量的增加，高級(jí)持續(xù)性威脅(advanced persistent threat, APT)等攻擊方式的涌現(xiàn)，防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)安全防御方法只是盡可能識(shí)別攻擊行為，無法有效對(duì)脆弱性的潛在威脅進(jìn)行防護(hù).因此，對(duì)已知脆弱性的研究與分析具有現(xiàn)實(shí)意義和應(yīng)用前景.

發(fā)現(xiàn)脆弱性的最終目的是利用合適的補(bǔ)丁修復(fù)策略對(duì)脆弱性打補(bǔ)丁，最終可以排除網(wǎng)絡(luò)系統(tǒng)中隱藏的威脅.為了高效修復(fù)脆弱性，對(duì)脆弱性風(fēng)險(xiǎn)進(jìn)行有效評(píng)估是脆弱性修復(fù)策略的憑據(jù)和條件，因此有效評(píng)估脆弱性嚴(yán)重性是極為重要的.另外，對(duì)脆弱性進(jìn)行有效的評(píng)估可以準(zhǔn)確評(píng)估當(dāng)前網(wǎng)絡(luò)系統(tǒng)所面臨的最大安全風(fēng)險(xiǎn)，從而為進(jìn)一步對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù)提供有力幫助，并將脆弱性帶來的威脅降到最低程度.

1 相關(guān)工作

當(dāng)前多數(shù)研究工作常常依靠利用通用脆弱性評(píng)分系統(tǒng)(common vulnerability scoring system, CVSS)[3]計(jì)算脆弱性嚴(yán)重性，本文對(duì)2002-2016年的美國國家信息安全漏洞庫(national vulnerability database, NVD)[4]的74 217個(gè)脆弱性樣本給出CVSS評(píng)分分布情況的統(tǒng)計(jì)結(jié)果.如圖1所示，從基于CVSS的脆弱性評(píng)分分布可以看出，相同的嚴(yán)重性等級(jí)和CVSS分值存在很多的脆弱性數(shù)量.如果上百個(gè)高危脆弱性需要打補(bǔ)丁，那么哪些高危類型的脆弱性需要優(yōu)先打補(bǔ)丁呢？因此，更為多樣化和準(zhǔn)確評(píng)估脆弱性會(huì)更加精確區(qū)分脆弱性之間的差異性.

圖1 0～10分值區(qū)間的CVSS評(píng)分分布Fig.1 Distribution of CVSS score group by ten

脆弱性評(píng)估技術(shù)可以分為脆弱性的定性評(píng)估方法和定量評(píng)估方法.定性評(píng)估主要是以脆弱性的相關(guān)屬性為基礎(chǔ)，通過計(jì)算給脆弱性一個(gè)嚴(yán)重性級(jí)別；定量評(píng)估側(cè)重通過評(píng)分指標(biāo)的整合對(duì)嚴(yán)重性進(jìn)行一個(gè)分值的量化.目前，國內(nèi)外許多學(xué)者在應(yīng)用廣泛的CVSS評(píng)分系統(tǒng)研究的基礎(chǔ)上對(duì)脆弱性評(píng)估方法開展了深入的研究工作，并創(chuàng)建了新的脆弱性評(píng)估體系.Ahmed等[5]提出了網(wǎng)絡(luò)安全評(píng)估框架，該框架可以對(duì)網(wǎng)絡(luò)中已知的和未知的脆弱性分別進(jìn)行定量評(píng)估.Dinh等[6]提出了利用圖形優(yōu)化原理進(jìn)行脆弱性定量和定性的評(píng)估.張玉清等[7]提出了CVRS的脆弱性定量評(píng)估系統(tǒng)，該系統(tǒng)在CVSS理論上添加了客觀因子，還增加了非客觀因子，從而綜合評(píng)估脆弱性的嚴(yán)重性.劉奇旭等[8]提出一種新的脆弱性評(píng)估系統(tǒng)VRSS，該系統(tǒng)可評(píng)估出脆弱性的定量評(píng)分和定性評(píng)級(jí)，主要是利用CVSS相關(guān)理論結(jié)合脆弱性類型指標(biāo)等.在脆弱性評(píng)估研究不斷深入的情況下，為了能夠多方面、綜合地評(píng)估脆弱性，依據(jù)脆弱性屬性，在灰色評(píng)估理論、層次分析法等相關(guān)基礎(chǔ)上進(jìn)行分析處理，也建立了很多評(píng)估方法.付志耀等[9]提出利用屬性約簡(jiǎn)算法獲得評(píng)估所需的脆弱性屬性集，在此集合基礎(chǔ)上利用綜合評(píng)價(jià)算法獲得脆弱性嚴(yán)重性的定性評(píng)級(jí)和定量評(píng)分結(jié)果.

現(xiàn)有脆弱性評(píng)估方法存在僅依賴脆弱性靜態(tài)相關(guān)指標(biāo)的問題，然而脆弱性嚴(yán)重性評(píng)分會(huì)隨著時(shí)間而變化,其中，補(bǔ)丁修復(fù)等級(jí)和脆弱性代碼可利用性2個(gè)動(dòng)態(tài)指標(biāo)可動(dòng)態(tài)影響漏洞嚴(yán)重性評(píng)分.因此，如何選擇準(zhǔn)確的脆弱性評(píng)估指標(biāo)并對(duì)其進(jìn)行定量和定性評(píng)估是脆弱性嚴(yán)重性評(píng)估的關(guān)鍵問題.本文改進(jìn)現(xiàn)有脆弱性評(píng)估方法，利用CVSS評(píng)分機(jī)制，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)2個(gè)動(dòng)態(tài)指標(biāo)，并給出動(dòng)態(tài)指標(biāo)量化方法.一種脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法(dynamic vulnerability severity assessment，DVSA)被提出，最后，DVSA方法通過實(shí)驗(yàn)驗(yàn)證，可提高脆弱性嚴(yán)重性評(píng)估結(jié)果的多樣性和準(zhǔn)確性.

2 脆弱性嚴(yán)重性動(dòng)態(tài)量化評(píng)估

2.1 評(píng)估流程

脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法的框架包括3個(gè)階段，如圖2所示.

階段1：脆弱性嚴(yán)重性評(píng)估指標(biāo)選取.首先在CVSS脆弱性評(píng)分基礎(chǔ)上，增加脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)2個(gè)動(dòng)態(tài)指標(biāo).然后形成3個(gè)脆弱性指標(biāo)：安全影響指標(biāo)、靜態(tài)脆弱性可利用性指標(biāo)和動(dòng)態(tài)脆弱性可利用性指標(biāo).

階段2：脆弱性嚴(yán)重性評(píng)估指標(biāo)量化.對(duì)階段1獲取的3個(gè)脆弱性指標(biāo)進(jìn)行賦值量化.

階段3：脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法.使用3項(xiàng)脆弱性指標(biāo)綜合計(jì)算脆弱性嚴(yán)重性等級(jí)和評(píng)分.

2.2 脆弱性嚴(yán)重性評(píng)估指標(biāo)選取

網(wǎng)絡(luò)攻擊者一般成功利用脆弱性后才會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)形成大規(guī)模威脅，故應(yīng)該對(duì)脆弱性的可利用性進(jìn)行科學(xué)評(píng)估.首先，利用CVSS評(píng)分機(jī)制[3]中原有的特性，本文定義靜態(tài)脆弱性可利用性指標(biāo)為訪問向量、認(rèn)證和訪問復(fù)雜度.

相關(guān)研究表明脆弱性嚴(yán)重性評(píng)分會(huì)隨著時(shí)間而變化，因此僅依賴靜態(tài)脆弱性可利用性指標(biāo)還不夠充分.一般來說脆弱性發(fā)布時(shí)間越久，脆弱性利用工具更為智能化，且自動(dòng)化程度更高，那么脆弱性利用成功的可能性更大.文獻(xiàn)[10]提出脆弱性代碼可利用性服從Pareto分布，故本文利用文獻(xiàn)[10]的脆弱性代碼可利用性方法將其指標(biāo)量化.另一方面，隨著脆弱性發(fā)布時(shí)間的推移，出現(xiàn)脆弱性的廠商會(huì)提高提交補(bǔ)丁的質(zhì)量.故將CVSS評(píng)分機(jī)制涉及到的補(bǔ)丁修復(fù)等級(jí)作為補(bǔ)丁質(zhì)量指標(biāo).因此，本文定義動(dòng)態(tài)脆弱性可利用性指標(biāo)為補(bǔ)丁修復(fù)等級(jí)和脆弱性代碼可利用性.然后，脆弱性被網(wǎng)絡(luò)攻擊者成功利用后，還需要考慮其產(chǎn)生的安全影響.如果一個(gè)脆弱性被攻擊者成功利用后對(duì)網(wǎng)絡(luò)系統(tǒng)造成機(jī)密性、完整性和可用性損失程度越大，那么該脆弱性的嚴(yán)重性越高.因此，本文定義安全影響指標(biāo)為機(jī)密性、完整性和可用性[2].最后，本文根據(jù)上述研究分析將其分到3個(gè)脆弱性指標(biāo)組中，如圖3所示，可定義為：安全影響指標(biāo)、靜態(tài)脆弱性可利用性指標(biāo)和動(dòng)態(tài)脆弱性可利用性指標(biāo).

圖2 脆弱性嚴(yán)重性評(píng)估框架Fig.2 Process of vulnerability severity assessment

圖3 脆弱性嚴(yán)重性評(píng)估指標(biāo)Fig.3 Vulnerability severity assessment factors

2.3 脆弱性嚴(yán)重性評(píng)估指標(biāo)量化

文獻(xiàn)[2]對(duì)安全影響指標(biāo)和靜態(tài)脆弱性可利用性指標(biāo)的量化標(biāo)準(zhǔn)進(jìn)行了分析，給出了靜態(tài)脆弱性可利用性指標(biāo)的量化評(píng)分，并給出了機(jī)密性、完整性和可用性3個(gè)安全屬性的27種排列組合的映射規(guī)則，可將安全影響指標(biāo)賦予0到1的評(píng)估值.

本文重點(diǎn)對(duì)動(dòng)態(tài)脆弱性可利用性指標(biāo)進(jìn)行量化定義.上文已定義動(dòng)態(tài)脆弱性可利用性指標(biāo)為脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)，表1給出了該指標(biāo)的量化取值.文獻(xiàn)[10]說明了脆弱性代碼可利用性概率服從Pareto分布，其大小定義為

(1)

其中x為脆弱性發(fā)布日期到當(dāng)前日期的總天數(shù).

表1 動(dòng)態(tài)脆弱性可利用性指標(biāo)和評(píng)分

2.4 脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法

本文提出DVSA方法，首先，靜態(tài)脆弱性可利用性指標(biāo)大小使用CVSS的exploitability計(jì)算公式去定義，然后，動(dòng)態(tài)脆弱性可利用性指標(biāo)大小使用補(bǔ)丁修復(fù)等級(jí)與脆弱性代碼可利用性的乘積來計(jì)算，再結(jié)合安全影響評(píng)分綜合評(píng)估脆弱性嚴(yán)重性，其評(píng)分規(guī)則定義參見公式(2)

Score = SI+SE+DE,

(2)

其中SI為安全影響評(píng)分，SE為靜態(tài)脆弱性可利用性評(píng)分，DE為動(dòng)態(tài)脆弱性可利用性評(píng)分.

靜態(tài)脆弱性可利用性評(píng)分SE定義公式如下：

SE= 2×AV×AC×Au,

(3)

其中，AV為訪問向量，Au為認(rèn)證，AC為訪問復(fù)雜度.

動(dòng)態(tài)脆弱性可利用性評(píng)分DE定于公式如下：

(4)

其中EA為脆弱性代碼可利用性，RL為補(bǔ)丁修復(fù)等級(jí).安全影響評(píng)分SI可參見文獻(xiàn)[2]中表4.4.

DE取值0～0.5，SI和SE取值都為0～1，可得Score取值0～2.5.因此，可將Score取值映射到0～10，可定義為

Score= 4×(SI+SE+DE).

(5)

將脆弱性嚴(yán)重性的動(dòng)態(tài)綜合量化評(píng)分映射到高危、中危和低危3個(gè)嚴(yán)重級(jí)別，如表2所示.

表2 脆弱性嚴(yán)重性級(jí)別

3 仿真實(shí)驗(yàn)

3.1 單個(gè)脆弱性評(píng)估實(shí)例

本節(jié)對(duì)所提DVSA方法的計(jì)算過程進(jìn)行解釋，并對(duì)一個(gè)具體脆弱性CVE-2016-2843進(jìn)行評(píng)分.該實(shí)例的相關(guān)指標(biāo)信息可以從NVD數(shù)據(jù)庫中獲得，如表3所示.

表3 CVE-2016-2843脆弱性信息

DVSA方法的計(jì)算過程可分為4步驟：

步驟1，根據(jù)公式(3)計(jì)算靜態(tài)脆弱性可利用性為SE= 2×1×0.71×0.704=1.

步驟2，假設(shè)脆弱性CVE-2016-2843當(dāng)前評(píng)估日期為2016年4月7日，從表3中可知該脆弱性的發(fā)布時(shí)間為2016年3月7號(hào).因此，脆弱性發(fā)布日期到當(dāng)前評(píng)估日期的總天數(shù)為30 d，脆弱性代碼可利用性概率大小EA可根據(jù)公式(1)計(jì)算為

從表3中可知補(bǔ)丁修復(fù)等級(jí)RL為官方補(bǔ)丁，從表1中可知官方補(bǔ)丁對(duì)應(yīng)分值為0.87，即RL= 0.87.因此，動(dòng)態(tài)脆弱性可利用性概率大小DE可根據(jù)公式(4)計(jì)算為

DE= 0.5×0.87×0.922 4 = 0.401 25.

步驟3，從表3中可知脆弱性的機(jī)密性、可用性和完整性影響都為“完全”，安全影響SI評(píng)分標(biāo)準(zhǔn)可參照文獻(xiàn)[2]給出的表4.4，SI取值為第1種情況，即SI= 1.

步驟4，脆弱性CVE-2016-2843的嚴(yán)重性評(píng)分可根據(jù)公式(5)計(jì)算為

Score= 4×(1+1+0.401 25) = 9.605.

該脆弱性嚴(yán)重性等級(jí)可參照表2為高危，而CVSS評(píng)分為9.8，是一個(gè)高危脆弱性.仿真實(shí)驗(yàn)結(jié)果表明本文所提DVSA方法與CVSS評(píng)估結(jié)果一致.

3.2 實(shí)驗(yàn)數(shù)據(jù)

本節(jié)實(shí)驗(yàn)利用本文所提DVSA方法對(duì)表4中主機(jī)A的脆弱性信息進(jìn)行嚴(yán)重性評(píng)估，并設(shè)置當(dāng)前評(píng)估時(shí)間為2016-3-12，實(shí)驗(yàn)對(duì)比分析結(jié)果詳見表5和表6.

表4 主機(jī)A的脆弱性信息

3.3 多個(gè)脆弱性評(píng)估對(duì)比分析

由圖2的統(tǒng)計(jì)分析結(jié)果可知，很多脆弱性對(duì)應(yīng)相同的CVSS分?jǐn)?shù).在定量分析方面，本文所提DVSA方法可提高脆弱性嚴(yán)重性評(píng)估結(jié)果的多樣性和準(zhǔn)確性.從表5可以看出，從定量角度出發(fā)，DVSA的評(píng)分結(jié)果與CVSS以及CNNVD的評(píng)分趨勢(shì)一致，都是v5 > v7 > v3 > v1 > v2 > v4 > v6 > v8 > v9.

一方面，脆弱性CVE-2015-8664和CVE-2015-8369的CVSS評(píng)分為7.5，從實(shí)驗(yàn)結(jié)果可以看出使用本文所提DVSA方法可以區(qū)別這2個(gè)脆弱性的差異性，CVE-2015-8369比CVE-2015-8369的評(píng)分略大一點(diǎn).這是因?yàn)榇嗳跣訡VE-2015-8369暫時(shí)無補(bǔ)丁修復(fù)，故防御能力較弱，同時(shí)也表明了本文所提DVSA方法中引入“補(bǔ)丁修復(fù)等級(jí)”這一動(dòng)態(tài)指標(biāo)的有效性.

另一方面，脆弱性CVE-2015-6790和CVE-2014-6444的評(píng)分為4.3，而本文所提DVSA方法分別計(jì)算為5.875和5.863，CVE-2015-6790比CVE-2014-6444的評(píng)分略大一點(diǎn).從表4可以看出前者發(fā)布時(shí)間比后者發(fā)布時(shí)間更久，隨著時(shí)間的推移，攻擊者會(huì)設(shè)計(jì)出攻擊成功率更高的脆弱性利用工具，因此脆弱性代碼可利用性會(huì)隨著時(shí)間動(dòng)態(tài)增加.實(shí)驗(yàn)結(jié)果表明本文所提DVAS方法中引入“脆弱性代碼可利用性”這一動(dòng)態(tài)指標(biāo)的準(zhǔn)確性.

在定性分析方面，從表6可以清晰地看出，脆弱性的評(píng)估等級(jí)和CVSS、CNNVD的評(píng)估結(jié)果基本吻合.綜上所述，利用本文所提DVSA方法能對(duì)脆弱性進(jìn)行有效且準(zhǔn)確的定量和定性評(píng)估，可提高脆弱性嚴(yán)重性評(píng)估結(jié)果的多樣性和準(zhǔn)確性.

表5 DVSA和CVSS的脆弱性嚴(yán)重性評(píng)分比較

表6 DVSA和CVSS、CNNVD的脆弱性嚴(yán)重性級(jí)別比較

4 結(jié)論

深入分析現(xiàn)有脆弱性評(píng)估存在的問題，針對(duì)CVSS方法很少考慮隨時(shí)間改變的動(dòng)態(tài)指標(biāo)對(duì)脆弱性嚴(yán)重性評(píng)估的動(dòng)態(tài)影響，提出了一種脆弱性嚴(yán)重性動(dòng)態(tài)綜合量化評(píng)估方法DVSA.在CVSS評(píng)分的基礎(chǔ)上，引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)2個(gè)動(dòng)態(tài)指標(biāo)，通過DVSA方法可獲得每個(gè)脆弱性從0～10的嚴(yán)重性量化值，并將脆弱性嚴(yán)重性等級(jí)評(píng)定為高危、中危和低危3個(gè)嚴(yán)重等級(jí).實(shí)驗(yàn)表明引入脆弱性代碼可利用性和補(bǔ)丁修復(fù)等級(jí)2個(gè)動(dòng)態(tài)指標(biāo)提高了脆弱性嚴(yán)重性評(píng)估結(jié)果的準(zhǔn)確性和多樣性，能更加細(xì)微地區(qū)分脆弱性的差異性.

[1] 中國信息安全測(cè)評(píng)中心.China national vulnerability database of information security(CNNVD) [EB/OL]. [2017-5-2].http://www.cnnvd.org.cn/.

[2] 高妮.網(wǎng)絡(luò)安全多維動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[D].西安:西北大學(xué), 2016. GAO N.The research on key technologies of multi-dimensional and dynamic risk assement of network security[D].Xi’an:Northwest University, 2016.

[3] THE MITRE CORPORATION.Common vulnerabilities and exposures(CVE) [EB/OL].[2017-4-24].http://www.cve.mitre.org/.

[4] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.National vulnerability database(NVD) [EB/OL]. [2017-1-23].https://nvd.nist.gov/download.cfm.

[5] AHMED M S, AI-SHAER E, KHAN L.A novel quantitative approach for measuring network security[Z].International Conference on Computer Communications, Phoenix, 2008.

[6] DINH T N, YING X, THAI M T, et al.On new approaches of assessing network vulnerability: hardness and approximation[J].IEEE/ACM Transactions on Networking, 2012, 20(2):609-619.

[7] YANG H, ZHANG Y, HU Y, et al.IKE vulnerability discovery based on fuzzing[J].Security & Communication Networks, 2013, 6(7):889-901.

[8] LIU Q, ZHANG Y, KONG Y, et al.Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J].Journal of Systems and Software, 2012, 85(8):1699-1708.

[9] 付志耀, 高嶺, 孫騫, 等.基于粗糙集的脆弱性屬性約簡(jiǎn)及嚴(yán)重性評(píng)估[J].計(jì)算機(jī)研究與發(fā)展, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065. FU Z Y, GAO L, SUN Q, et al.Evaluation of vulnerability severity based on rough sets and attributes reduction[J].Journal of Computer Research and Development, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065.

[10] FREI S, MAY M, FIEDLER U, et al.Large-scale vulnerability analysis[Z].Proceedings of the Workshop on Large-scale Attack Defense, Pisa, 2006:131-138.

(責(zé)任編輯：孟素蘭)

A dynamic and comprehensive quantitative scoring method of vulnerability severity

GAO Ni1, HE Yiyue2, CHANG Yanshuo1, WANG Mengyang3

(1.School of Information, Xi’an University of Finance and Economics, Xi’an 710100, China; 2.School of Economics and Management, Northwest University, Xi’an 710127, China; 3.People's Bank of China Xi’an Branch, Xi’an 710075, China)

The vulnerability severity evaluation is rarely considered the dynamic indicator with changing time in the CVSS method, so the paper proposes a method of dynamic vulnerability severity assessment (DVSA).The code exploitability and the patch remediation level of dynamical indexes are introduced based on the CVSS score.Three vulnerability indexes, such as the safety influence attribute, the static vulnerability exploitability attribute and the dynamic vulnerability exploitability attribute, are selected and quantified.The vulnerability severity is evaluated with values from 0 to 10 by using the DVSA method, which can divide vulnerability severity rank into three levels: high, moderate and low.Experimental results showed that this method can more precisely distinguish the difference between vulnerabilities, and improve the diversity and accuracy of the vulnerability severity evaluation.

vulnerability; vulnerability severity evaluation; the code exploitability of vulnerability

10.3969/j.issn.1000-1565.2017.04.012

2016-08-22

國家自然科學(xué)基金資助項(xiàng)目(61373176; 61572401； 61672426)；陜西省自然科學(xué)基金資助項(xiàng)目(2015JQ7278)

高妮 (1982—)，女，陜西咸陽人，西安財(cái)經(jīng)學(xué)院講師，博士，主要從事網(wǎng)絡(luò)安全、機(jī)器學(xué)習(xí)方向研究. E-mail：gaoni@nwu.edu.cn

TP393

A

1000-1565(2017)04-0405-06