改進漏洞基礎評分指標權重分配方法

謝麗霞，徐偉華

(中國民航大學 計算機科學與技術學院，天津 300300)

改進漏洞基礎評分指標權重分配方法

謝麗霞*，徐偉華

(中國民航大學 計算機科學與技術學院，天津 300300)

(*通信作者電子郵箱lxxie@126.com)

針對通用漏洞評分系統(CVSS)的基礎評分指標權重分配過多依賴專家經驗導致客觀性不足的問題，提出一種漏洞威脅基礎評分指標權重分配方法。首先，對評分要素的相對重要性進行排序；然后，采用指標權重組合最優搜索方法搜索權重組合方案;最后,結合灰色關聯度分析方法，將基于專家經驗決策的多個權重分配方案作為輸入，獲得權重組合方案。實驗結果表明，與CVSS相比，從定量角度對比分析，所提方法評分結果分值分布比CVSS更為平緩連續，有效地避免了過多極端值的出現，并且評分分值分布的離散化更能客觀有效地區分不同漏洞威脅的嚴重性；從定性角度對比分析，與CVSS中絕大多數漏洞(92.9%)被定為中高嚴重級別相比，所提方法在漏洞嚴重等級分配上實現了更為均衡的特征分布。

漏洞評分；評分要素；權重分配；灰色關聯；權重組合

0 引言

近幾年來，信息系統的漏洞數量呈指數級增長，高級持續性威脅(Advanced Persistent Threat, APT)攻擊不斷涌現，并且具有極強的針對性和隱蔽性。以入侵檢測、防火墻等技術為代表的傳統防護手段已不足以應對這些安全威脅。漏洞威脅評分方法可根據漏洞自身的相關屬性和危害程度的不同作出排序，優先處理破壞性較強的安全漏洞，將漏洞可能引起的風險降低到最小[1]。

依據評分結果的多樣性，漏洞威脅評分分為定性評估和定量評估兩種方法。根據相關要素以高、中、低三個量級評定漏洞風險等級的方法稱為定性評估。但定性評估具有主觀性強和可重復性差等特點，因此風險評估與應急響應過程中存在許多不確定因素。定量評估則是參照既定的評分標準，以量化數值的形式反映出漏洞的威脅程度[2]。通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)[3]給出了一個簡潔統一的漏洞評分標準，以量化評分的形式，通過添加漏洞的相關屬性，使安全機構能夠量化計算漏洞的威脅程度，更好地降低漏洞帶來的安全風險。

唐成華等[4]提出了一種利用遺傳模糊層次分析漏洞威脅的分析方法，利用改進的模糊層次分析法求出各種風險因素的權重，建立模糊矩陣，利用遺傳算法求解分析。張恒巍等[5]提出了基于博弈模型和風險矩陣的漏洞風險評分方法，針對安全漏洞，建立漏洞攻防博弈模型，結合攻擊圖和風險矩陣對漏洞連通關系進行定量分析。付志耀等[6]采用粗糙集理論中可辨識矩陣算法，提出了基于粗糙集的漏洞評估方法，在漏洞屬性約簡和屬性權重計算上有所提高。

上述方法都是以單個安全漏洞威脅的量化評分為基礎，依據CVSS并結合多個漏洞間的相互關聯進行評分，量化計算出漏洞可能引起的風險程度。但CVSS自身存在不足，在制定時基礎評分指標權重分配過多依賴于專家學者的主觀經驗決策，度量標準缺乏客觀性；并且CVSS在對漏洞威脅進行基礎評分的過程中對機密性、完整性及可利用性作均等權重分配而沒有考慮其相對重要性，不能明確區分評分相近的漏洞的內部屬性差異性，導致資源的重復和浪費。

本文在CVSS評分基礎上，重新設計基礎評分要素權重分配方法，根據評分要素的相對重要性對其權重進行優化分配，并與灰色關聯度分析方法結合，使評分結果更具客觀性，提高了評分結果的多樣性，便于直觀地對漏洞威脅性加以區分。

1 漏洞基礎評分指標權重分配方法設計

1.1 漏洞基本評分指標影響性分析

CVSS基本評分指標分為可利用性和影響性兩部分，其包含要素及權重分配值[7]如表1所示。

表1 CVSS權重分配

由表1可見，影響性指標所包含的機密性、完整性和可利用性三個要素權重分配相同。但是，漏洞威脅產生的影響構成較為復雜，對其賦予相同權值限制了基本評分結果的多樣性，導致無法區分具有不同屬性的漏洞。本文研究的思路是：依據漏洞被成功利用后對系統的機密性、完整性和可利用性所造成的危害程度進行權重分配。

由CVSS的權重分配結果可知：當系統的機密性、完整性和可利用性沒有受到破壞時，將權重值均設定為0；將造成完全影響的權重設定為部分影響的權重的2倍；所有權重值設定范圍為0～7.0。

對機密性、完整性和可利用性的分析如下：

1)漏洞被成功利用后對系統的機密性造成的危害很難被發現，且機密性一旦遭到破壞是不可逆的，無法對其進行恢復。更為嚴重的是，攻擊者會利用漏洞將受保護的信息泄露給非授權的個人和實體，使授權機構及合法用戶處于“失控”狀態，極大地危害組織的信息安全并造成不可估量的經濟損失[8-10]。故本文將機密性設定為最主要的影響因素。

2)完整性對系統造成的影響也較難被發現，且通常會對可用性產生一定的影響[8,11]，故本文將完整性設定為次要的影響因素。

3)與機密性和完整性相比，漏洞被成功利用后，對信息系統可利用性的影響具有易被發現的特點，且造成的破壞也較容易恢復[8,11]，故本文將可利用性設定為一般的影響因素。

由上述分析可知，當系統漏洞被成功利用并造成破壞后，對系統機密性影響遠高于對系統完整性影響和可利用性影響。

1.2 漏洞評分指標權重組合最優搜索方法

依據1.1節的分析結果，為提高漏洞評分的多樣性和精確性，達到真實反映漏洞威脅程度的目的，本文提出一種漏洞評分指標權重組合最優搜索方法。該方法的流程設計如圖1所示。

圖1 評分指標權重組合最優搜索方法流程

為避免出現無法真實反映漏洞威脅的極端值，應保證完整性的完全影響大于機密性的部分影響，且可利用性的完全影響大于完整性的部分影響。由于最終漏洞評分結果需要保留一位小數，且部分影響權重為完全影響的一半，故將最小增減量的步長設定為0.2。采用與CVSS一致的權重范圍(0～7.0)，Wc表示保密性權重，Wi表示完整性權重，Wa表示可用性權重，t表示最小增減量步長，則：

Wc+Wi+Wa=7

(1)

由于部分影響為完全影響的一半，完整性的完全影響大于機密性的部分影響，可利用性的完全影響要大于完整性的部分影響，故:

2*Wa>Wi

(2)

且:

2*Wi>Wc

(3)

由式(2)～(3)可得，4*Wa>Wc，2*Wa>Wi。代入式(1)，可得：

7*Wa>7

(4)

即：

Wa>1

(5)

由于最小增量步長為0.2，則：

Wa≥1.2

(6)

所以，Wa的最小取值為1.2。

由于Wa≤Wi，步長為0.2，則：

Wa≤Wi-0.2

(7)

且:

Wi≤Wc-0.2

(8)

采用與Wa最小值推導相同方法，可得：

3*Wa≤7-0.6

即：

Wa≤(7-0.6)/3

(9)

同理，由于最小增量步長為0.2，可得Wa的最大取值為2.0。

由以上推導得出可利用性權重Wa取值范圍為1.2～2.0。

此外，機密性、完整性和可利用性評分要素又具有“無影響”“部分影響”和“完全影響”三個屬性類別，由此可得到33種權重組合方案，方案改進需保證權重方案組合各列項取值相異。

通過執行該搜索方法，可得到基本評分指標機密性、完整性和可利用性的14組權重組合方案，方案具體構成如表2所示。

表2 權重組合方案

1.3 基于灰色關聯度分析的指標權重求解

CVSS過多依賴專家經驗決策，導致其主觀性偏強，并且專家知識缺乏也容易對決策結果造成影響。1.2節提出的最優搜索方法只針對評估要素相對重要性作出改進，并沒有克服權重分配主觀性較強這一缺陷。因此，本文依據灰色關聯度分析來對1.2節所得的14種分配方案進行關聯集成，得到更具客觀性的權重分配方案。

可將表2中的14種權重分配方案視為14個專家的經驗決策方案，將14種權重分配結果與其中某一專家決策的權重分配結果中的權重最大值(設定)作量化比較，利用簡易數學模型根據不同方案的權重值作集成計算，得到的結果既吸取了專家主觀決策信息，也具備更高的客觀性。

采用灰色關聯度分析指標權重求解方法的設計過程如下：

1)生成評估指標權值矩陣。把14種權重分配方案中各評估指標不同權重方案數據形式化表示為矩陣形式Z=(Z1,Z2,…,Zn)T，則有：

(10)

2)給出參考數據列。參考數據列Z0的組成權值為Z中權重值最大的數值。把這個值賦給m個專家,則Z0=(z0(1),z0(2),…,z0(m))；

3)求解n個評估指標序列Z1,Z2,…,Zn與Z0的間距；

(11)

4)求解n個評估指標權值:

Wi=1/(1+Doi)

(12)

根據上述計算步驟，分別對機密性、完整性和可利用性所包含的“無”“部分”以及“完全”影響三個屬性類別分別作基于灰色關聯度分析的指標權重求解。而由表2可知，機密性、完整性和可利用性三個評估要素的“無影響”屬性類別的所有方案權重分配均為0，因此只需對“部分”“完全”這兩個屬性類別作灰色關聯度指標的權重求解。利用上述計算式(10)～(12)，權重求解步驟設計如下：

1)依據表2，確定三個評估要素“部分影響”類別權重分配表，如表3所示。表3中的數據是不同權重分配方案賦給三個評分要素“部分”類別的權重。

表3 “部分”類別權重分配

2)依據基于灰色關聯度分析的指標權重求解方法中的步驟2)寫出參考數列Z0。由表3可知，所有權重取值中最大值為1.9，因此Z0={1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9，1.9}。

3)依據基于灰色關聯度分析的指標權重求解方法步驟1)中的式(10)寫出評估指標權重矩陣，即：

式中：Z1、Z2、Z3分別代表機密性、完整性、可利用性。數列由14種權重分配方案結果組成，相對所設定的參考數列Z0，Z1、Z2、Z3稱為比較數列。將數列Z0、Z1、Z2、Z3代入式(11)～(12)中，可得評估要素Z1、Z2、Z3的“部分”類別的權重集合為：W={w1,w2,w3}={1.8,1.2,0.7}。

同上，依據表2，確定“完全”類別權重分配表，如表4所示。

同上，確定數列組成，Z0為參考數列，Z1、Z2、Z3為比較數列，分別代表機密性、完整性和可利用性，得到評估指標權重矩陣為：

4)將數列Z0、Z1、Z2、Z3代入式(11)～(12)中，可得評估要素Z1、Z2、Z3的“完全”類別的權重值集合為：W={w1,w2,w3}={3.6,2.4,1.4}。

表4 “完全”類別權重分配表

2 驗證實驗與結果分析

2.1 實驗工具和環境

選擇“統計產品與服務解決方案”軟件(StatisticalProductandServiceSolutions,SPSS)作為統計分析應用工具，從美國國家漏洞數據庫(NationalVulnerabilityDatabase,NVD)[12]里隨機選取5 000個漏洞樣本作為本文漏洞評分方法的實驗數據。在Windows系統環境下安裝開放數據庫連接(OpenDataBaseConnectivity,ODBC)引擎，使用SPSS并通過ODBC直接訪問NVD數據庫管理系統導入實驗數據樣本。

2.2 樣本數據預處理

分析基本指標間的關聯性，需要對樣本數據作預處理。對樣本包含的所有漏洞的機密性、完整性和可利用性三個指標信息進行分類，統計出各個指標中完全影響、部分影響及無影響所占據的百分比。

在SPSS環境下，采用對個案的值計數功能完成統計過程，分別設置機密性、完整性和可利用性作為目標計數變量輸入，統計出完全影響、部分影響及無影響三個屬性類別在目標計數變量中所占比例，統計結果如圖2所示。

利用上述統計結果對機密性、完整性和可利用性進行雙因素交叉作用下的列聯表分析，分析兩兩因素間有無顯著性影響。分別設定三個指標為列聯表的行列變量，作頻數列聯分析。列聯表的頻數分布可以對列聯表中行列變量之間是否彼此獨立進行簡單的判斷。列聯表分析結果如表5～7所示。

由表5～7可知，基本評估指標是相互關聯的而非相互獨立。尤為顯著的是，由表5可知，對系統機密性和完整性同時造成完全影響的漏洞占實驗樣本的95.58%。由表6可知，95.56%的樣本漏洞在對系統機密性造成完全影響的同時也對系統的可利用性造成完全破壞。由表7可知，99.24%的樣本漏洞對系統完整性和可利用性同時造成了完全影響。

圖2 指標影響類別組成

表5 機密性-完整性列聯表 %

表6 機密性-可利用性列聯表 %

表7 完整性-可利用性列聯表 %

因此各評分指標在完全影響這一類別上具有很強的關聯性，即成功利用漏洞后如果對系統機密性、完整性和可利用性其中之一造成了完全影響，則對另外兩者造成完全影響的概率很大。同樣，其余影響類別間也具有一定關聯性。

通過以上對數據樣本的預處理分析可知，不同的漏洞具有不同的屬性，可視為漏洞組成的相關組件。由于構成漏洞的組件構造具有復雜性，組件之間并不是相互獨立的，所造成的威脅影響也并不是以相同的比例出現，所以應盡量避免不同屬性的漏洞獲得相同的評估分值。因此需要對評估要素權值的均等分配作適當改進，盡量提高評估分值的多樣性，以便更好地對漏洞威脅加以區分，有利于系統優化。

2.3 樣本數據描述性統計分析

在本節中，基本評估分值計算式如下：

基本評分標準值=取整(10*攻擊途徑*攻擊復雜度*認證((機密性影響*機密性影響偏移量)+ (完整性影響*完整性影響偏移量)+ (可用性影響*可用性影響偏移量)))

在SPSS環境下，采用Frequencies過程以及Descriptives過程，選取均值、總和、標準差、變異系數、最小值、最大值和分位數等描述集中趨勢的基本統計量作為參數，分析樣本數據變量取值狀況并獲取樣本數據的分布特征。Frequencies過程可以產生詳細的頻數分布表以及計算百分位數，Descriptives過程可對變量進行描述性統計分析并計算出相應的統計指標，得到頻數分布表如表8所示。

表8 頻數分析基本統計結果

該實驗中，判定最優方案的重要依據是：實驗樣本在進行權重轉換后的頻數基本統計結果中最終得到不同分值數量，分值多樣性越高意味著對漏洞差異區分程度越好。由表8可知方案15獲得最終分值數量為78種，多于CVSS以及另外14種方案。

由于基本評估分值限定在一個相對較小的取值范圍內(0～10)，且由表8可以看出，不同方案統計結果相差不大，因此需要對實驗結果進行假設檢驗，用于判斷所有方案的評判標準是否相同。如果相同，則實驗結果無意義。

2.4 權重方案一致性檢驗

Kendall’sW一致性檢驗適用于分析評判者的判別標準是否一致，Kendall一致性協同系數W值越接近1，說明評判者的評價標準一致性越好。在實踐中，m個評估機構按照某些特別屬性對n個對象進行排序，如果要評判這m個評估機構的評估結果是否一致，就需要運用Kendall協同系數檢驗。

本實驗需驗證不同加權方案的評分標準是不一致的，因此提出零假設H0：所有分數(CVSS以及15種加權方案)分布是一致的。在SPSS環境下，設置檢驗方法類型為Kendall’sW一致性檢驗，顯著性水平選定為0.01，檢驗結果得到W值為0.087，該值遠小于1且漸近顯著性概率值0.002也小于所選定的顯著性水平0.01，因此拒絕零假設H0，可以確定在本質上CVSS以及15種加權方案評分標準是不一致的。

2.5 對比與分析

針對CVSS和運用本文方法得到的方案15，分別從定量和定性兩個角度進行對比分析。

具體過程為：根據2.3節表8的頻數分析基本統計結果，對上述兩種方案進行定量對比分析，結果如表9所示。

表9 CVSS和方案15頻數分析基本統計結果

由表9可知，在中值和平均值方面，CVSS都要高于方案15。若把5定為中值標準，則CVSS的漏洞評分結果會更“偏激”，即高危類別的漏洞數量所占比例過高。同時，CVSS的四分位數取值范圍更窄，變異系數也略低。

綜上所示，方案15評分結果分值分布比CVSS更為平緩連續，有效地避免了過多極端值的出現，并且評分分值分布的離散化更能客觀有效地區分不同漏洞威脅的嚴重性。

下面對兩種方案再作定性對比分析。在SPSS環境下進行數據等級劃分，設定數值轉化規則為Lowestthru3.9 →“低”，4thru6.9 →“中”，7thruHighest→“高”，選定柱形圖作為輸出圖表，結果如圖3所示。

圖3 CVSS與方案15定性分析對比

由圖3可知，在CVSS中，絕大多數漏洞(92.9%)被定為中高嚴重級別。與CVSS相比，方案15在三種漏洞嚴重等級分配上實現了更為均衡的特征分布。

3 結語

本文提出了一種漏洞威脅基本評分指標權重分配方法，依據機密性、完整性和可利用性三個漏洞威脅基本評分要素的相對重要性差異，設計了一種最優搜索方法，對評分要素權重進行優化分配，通過與灰色關聯度分析方法結合，得到更加客觀的指標分配方案。驗證實驗結果表明，與CVSS相比，本文方法在一定程度上削弱了指標權重分配的主觀性，提高了漏洞評分結果的多樣性和準確性。

本文提出的方法簡單適用，給信息技術管理者、信息安全機構提供了一種有效的漏洞威脅優先級確認方法。漏洞評分結果的均衡分布也有助于軟件供應商優先出廠修補程序，優化資源配置。可以進一步挖掘包含在不同重要數據庫中更多潛在信息，目前CVSS3.0已出版，可參照CVSS3.0納入的新的計算指標來對本文評分方法結構進行改進，得到更精細有效的評分系統。

)

[1] 劉奇旭,張翀斌,張玉清,等.安全漏洞等級劃分關鍵技術研究[J].通信學報,2012,33(Z1):79-87.(LIUQX,ZHANGYB,ZHANGYQ,etal.Researchonkeytechnologiesofvulnerabilitythreatclassification[J].JournalonCommunications, 2012, 33(Z1): 79-87.)

[2] 李銳.通用安全漏洞評估系統(CVSS)簡介及應用建議[J].計算機安全,2011(5):58-60.(LIR.Briefintroductionandapplicationofgeneralsecurityvulnerabilityassessmentsystem(CVSS) [J].NetworkandComputerSecurity, 2011(5): 58-60.)

[3]MELLP,SCARFONEK,ROMANOSKYS.Acompleteguidetothecommonvulnerabilityscoringsystemversion2.0 [EB/OL]. [2016- 10- 09].https://wenku.baidu.com/view/5c90a4d5c1c708a1284a44fc.html.

[4] 唐成華,田吉龍,湯申生,等.一種基于GA-FAHP的軟件漏洞風險評估方法[J].計算機科學,2015,42(9):134-138,158.(TANGCH,TIANJL,TANGSS,etal.RiskassessmentofsoftwarevulnerabilitybasedonGA-FAHP[J].ComputerScience, 2015, 42(9): 134-138, 158.)

[5] 張恒巍,張健,韓繼紅,等.基于博弈模型和風險矩陣的漏洞風險分析方法[J].計算機工程與設計,2016,37(6):1421- 1427.(ZHANGHW,ZHANGJ,HANJH,etal.Vulnerabilityriskanalysismethodbasedongamemodelandriskmatrix[J].ComputerEngineeringandDesign, 2016, 37(6): 1421-1427.)

[6] 付志耀,高嶺,孫騫,等.基于粗糙集的漏洞屬性約簡及嚴重性評估[J].計算機研究與發展,2016,53(5):1009-1017.(FUZY,GAOL,SUNQ,etal.Evaluationofvulnerabilityseveritybasedonroughsetsandattributesreduction[J].JournalofComputerResearchandDevelopment, 2016, 53(5): 1009-1017.)

[7] 韋濤,彭武,王冬海.基于漏洞屬性分析的軟件安全評估方法[J].電光與控制,2015,22(8):66-70.(WEIT,PENGW,WANGDH.Amethodforsoftwaresecurityassessmentbasedonanalysisofsoftwaredefects[J].ElectronicsOptics&Control, 2015, 22(8): 66-70.)

[8]WANGY,YANGY.PVL:anovelmetricforsinglevulnerabilityratinganditsapplicationinIMS[J].JournalofComputationalInformationSystems, 2012, 8(2): 579-590.

[9]CAMPBELLK,GORDONLA,LOEBMP,etal.Theeconomiccostofpubliclyannouncedinformationsecuritybreaches:empiricalevidencefromthestockmarket[J].JournalofComputerSecurity, 2003, 11(3): 431-448.

[10]CAVUSOGLUH,MISHRAB,RAGHUNATHANS.TheeffectofInternetsecuritybreachannouncementsonmarketvalue:capitalmarketreactionsforbreachedfirmsandInternetsecuritydevelopers[J].InternationalJournalofElectronicCommerce, 2004, 9(1): 70-104.

[11]MELLP,SCARFONEK.Improvingthecommonvulnerabilityscoringsystem[J].IETInformationSecurity, 2007, 1(3): 119-127.

[12] 蔣誠.信息安全漏洞等級定義標準及應用[J].信息安全與通信保密,2007(6):148-149.(JIANGC.Rankdefinitionstandardandapplicationforinformationsecurityvulnerability[J].InformationSecurityandCommunicationPrivacy, 2007(6): 148-149.)

ThisworkispartiallysupportedbytheNationalScienceandTechnologyMajorProject(2012ZX03002002),theNationalNaturalScienceFoundationofChina(60776807, 61179045),theScienceandTechnologyMajorProjectofTianjin(09JCZDJC16800),theScienceandTechnologyFoundationofCivilAviationUniversityofChina(MHRD201009,MHRD201205).

XIE Lixia, born in 1974, M. S., associate professor. Her research interests include network and information security.

XU Weihua, born in 1989, M. S. candidate. Her research interests include network and information security.

Improved weight distribution method of vulnerability basic scoring index

XIE Lixia*, XU Weihua

(CollegeofComputerScienceandTechnology,CivilAviationUniversityofChina,Tianjin300300,China)

The basic scoring index weight distribution of the Common Vulnerability Scoring System (CVSS) relies too much on expert experience, which leads to the lack of objectivity. In order to solve the problem, a vulnerability basic scoring index weight distribution method was proposed. Firstly, the relative importances of scoring elements were sorted. Then, the index weight combination optimal search method was used to search the weight combination scheme. Finally, combined with the grey relation analysis method, the multiple weight distribution schemes based on expert experience decision were used as the input to obtain the weight combination scheme. The experimental results show that, compared with CVSS, from the quantitative point of view, the proposed method has more gentle score distribution of scoring results than the CVSS, which effectively avoids the excessive extreme values, and the discretization of score distribution can effectively distinguish the severity of different vulnerabilities objectively and effectively. The comparative analysis from the qualitative point of view show that, while the vast majority of vulnerabilities (92.9%) in CVSS are designated as the high level of severity, the proposed method can achieve more balanced characteristic distribution in grade distribution of vulnerability severity.

vulnerability scoring; scoring element; weight distribution; grey relation; weight combination

2016- 12- 12;

2017- 03- 02。 基金項目:國家科技重大專項(2012ZX03002002)；國家自然科學基金資助項目(60776807，61179045)；天津市科技計劃重點項目(09JCZDJC16800)；中國民航科技基金資助項目(MHRD201009，MHRD201205)。

謝麗霞(1974—)，女，重慶人，副教授，碩士，CCF會員，主要研究方向：網絡與信息安全； 徐偉華(1989—)，女，山東煙臺人，碩士研究生，主要研究方向：網絡與信息安全。

1001- 9081(2017)06- 1630- 06

10.11772/j.issn.1001- 9081.2017.06.1630

TP393.08

A