漏洞類型聚類的層次化漏洞修復模型*

高 妮，賀毅岳，申 元，高 嶺

1.西安財經學院 信息學院，西安 710100

2.西北大學 經濟管理學院，西安 710127

3.西北大學 信息科學與技術學院，西安 710127

1 引言

基于主機發現漏洞的最終目的是采用補丁修復方式對各類漏洞進行修復，以消除網絡系統中的潛在威脅。只有修復真正威脅到系統的漏洞，合理地安裝補丁才可以消除潛在威脅。如果發現系統漏洞而不及時給漏洞打補丁或者只是簡單地選擇修復高危漏洞，將導致漏洞的安全問題長期存在，因此選擇合適的漏洞修復策略非常關鍵。

傳統的漏洞優先修復方案主要是使用基于通用漏洞評分系統（common vulnerability scoring system，CVSS）[1]評分推薦的優先修復策略。根據漏洞的CVSS評分值，將漏洞CVSS評分范圍所對應的漏洞優先級別劃分為1～3級，如表1，每種漏洞優先級別對應不同的修復策略。一般認為CVSS評分值為7分以上的漏洞都應優先立即修復。從表1可以看出，基于CVSS評分推薦的修復策略過于簡單。美國國家信息安全漏洞庫（national vulnerability database，NVD）[2]公布的2002年到2015年73 526個安全漏洞信息中，高危漏洞數量占41.26%，而低危漏洞數量占8.46%。如果上百個高危漏洞需要打補丁，哪些高危漏洞優先修復呢，因此需要更為精確、細粒度的漏洞修復策略。

Table 1 Repair strategy based on CVSS score表1 基于CVSS評分的修復策略

對漏洞風險進行評估是漏洞修復策略選擇的前提，故許多學者通過改進CVSS評分方法來影響修復策略。Frei等人[3]提出了漏洞概率分布模型用于評估漏洞利用性和補丁利用性的概率大小，為進一步漏洞修復奠定基礎。Fruhwirth等人[4]利用漏洞潛在的上下文信息來影響漏洞修復優先次序。何林等人[5]提出了一種基于SVM（support vector machine）的漏洞修復模型，改進了傳統漏洞修復方案。Subramanian等人[6]設計漏洞檢測和修復模型。汪志亮等人[7]提出收益與代價相結合的漏洞修復模型。Huang等人[8]利用馬爾科夫隨機模型進行軟件漏洞補丁管理。

以往漏洞修復模型存在難以確定同一危害等級漏洞修復優先次序的問題，故需要更為精確、細粒度的漏洞修復策略。漏洞類型已經成為區分漏洞危害性的一個新指標，并對漏洞修復優先次序有重要影響，故本文利用該指標構建漏洞修復模型。針對傳統漏洞修復方案過于簡單的問題，將目標主機漏洞劃分為主機、漏洞類型威脅等級、漏洞類型、漏洞4個層次，采用“自下而上、先局部后整體”的漏洞修復策略，提出一種基于漏洞類型的層次化漏洞修復方法，最終給出細粒度的漏洞修復優先次序。

2 漏洞類型聚類的層次化漏洞修復模型

2.1 模型設計

漏洞類型聚類的層次化漏洞修復（vulnerability remediation based on vulnerability type clustering，VR-VTC）模型設計如圖1所示，包含3個步驟。

Fig.1 Architecture of VR-VTC model圖1 VR-VTC模型架構

步驟1漏洞聚類分析。

（1）PSO-K-means聚類算法[9]：利用PSO（particle swarm optimization）算法尋找聚類中心，對預處理后的漏洞數據運用K-means算法實現漏洞聚類。

（2）漏洞類型威脅性量化分析：利用每種漏洞類型高危、中危、低危各個危害等級的百分比，計算每種漏洞類型的威脅因子。

步驟2漏洞嚴重性評估。

（1）根據基于OVAL（open vulnerability assessment language）[10]的漏洞掃描器獲得的主機漏洞報告，查找最新發布的相關安全補丁。

（2）利用文獻[11]提出的基于粗糙集的漏洞嚴重性評估方法對主機中每個漏洞進行定量和定性評估。

步驟3漏洞修復策略選擇。

（1）構建面向漏洞類型的層次化目標主機模型，目標主機模型從上到下分解為主機、漏洞類型威脅等級、漏洞類型、漏洞4個層次，采用“自下而上、先局部后整體”的漏洞修復策略。

（2）提出一種基于漏洞類型的層次化漏洞修復方法，最終給出細粒度的漏洞修復策略。

（3）根據漏洞優先級別執行相應的修復策略。

2.2 漏洞類型的威脅因子

漏洞類型（vulnerability type，VT）中高危、中危、低危各自的百分比分別表示為：

在漏洞類型中高危、中危、低危各自百分比的基礎上，可獲得該漏洞類型威脅因子（vulnerability type threat factor，VTTF），其計算公式為：

其中，ω1、ω2、ω3分別表示高危、中危、低危的漏洞百分比的權重大小，且滿足ω1+ω2+ω3=1。權重大小的取值依據安全管理人員的專家經驗知識，并根據式（4）計算每種漏洞類型的威脅因子，進而確定所有漏洞類型威脅因子的取值范圍，最終將漏洞類型威脅因子評分進行等級劃分。

2.3 基于漏洞類型的修復策略選擇

本文提出了面向漏洞類型的層次化目標主機模型構建方法，如圖2所示。目標主機模型的層次關系分解為主機、漏洞類型威脅等級、漏洞類型、漏洞4個層次，采用“自下而上、先局部后整體”的策略，其具體步驟為：

（1）利用基于OVAL的漏洞掃描器[12]獲得的主機Host共N個漏洞Vi，其中i的取值范圍是1≤i≤N。

（2）利用文獻[11]提出的基于粗糙集的漏洞嚴重性評估方法計算每個漏洞危害性評分QS，并獲得對應的漏洞危害等級。

（3）對于M個漏洞類型，將具有相同類型的漏洞Vi分到一個漏洞類型VTk組里，其中k的取值范圍為1≤k≤M。

（4）將漏洞類型威脅等級是“弱危害”的所有漏洞放到Ggreen組中。同樣地，將“中危害”、“強危害”等級的漏洞分別放到對應的組中。

Fig.2 Hierarchical target host model oriented to vulnerability type圖2 面向漏洞類型的層次化目標主機模型

本文提出基于漏洞類型的層次化漏洞修復方法，其步驟為：

（1）在Ggreen組中，對每個漏洞按照Ggreen威脅等級規則執行相應的修復策略。若QS為高危，則優先級別為P1，補丁安裝時間最多1周；若為中危，則優先級別為P2，補丁安裝時間最多5周；若為低危，則優先級別為P3，補丁安裝時間最多9周。

（2）在Gyellow組中，對每個漏洞按照Gyellow威脅等級規則執行相應的修復策略。若QS為高危，則優先級別為P1，補丁安裝時間最多2周；若為中危，則優先級別為P2，補丁安裝時間最多6周；若為低危，則優先級別為P3，補丁安裝時間最多10周。

（3）在Gred組中，對每個漏洞Gred威脅等級規則執行相應的修復策略。若QS為高危，則優先級別為P1，補丁安裝時間最多3周；若為中危，則優先級別為P2，補丁安裝時間最多7周；若為低危，則優先級別為P3，補丁安裝時間最多11周。

3 實驗與分析

3.1 漏洞聚類結果分析

本文采用NVD數據庫[2]在2004—2015年期間公布的65 295個安全漏洞樣本進行實驗，利用文獻[9]中PSO-K-means算法對所有漏洞樣本進行聚類分析。CNNVD（China National Vulnerability Database of Information Security）[13-14]對所有漏洞進行漏洞類型的人工標記，其結果有26種漏洞類型[15]，通過爬蟲程序獲取每個漏洞對應的漏洞類型，將其與利用PSOK-means算法獲得的聚類結果進行性能對比。

PSO-K-means算法的各個參數取值為：粒子群的種群規模大小m=65 295，聚類數目k=26，最大迭代次數maxTime=200，粒子群的適應度方差閾值threδ=0.1，利用文獻[9]中算法1得到的頻繁字典keylib有50個。因此，KSset的規模大小為50×65 295的二維向量。

圖3顯示了PSO-K-means算法獲得的聚類結果與CNNVD人工標記的漏洞類型對比結果。其中，橫軸表示漏洞類型，縱軸表示漏洞數量。從實驗結果可以看出，PSO-K-means算法達到了良好的聚類效果，可對漏洞進行自動、有效的分類管理。

3.2 漏洞類型威脅等級分析

表2給出了26種漏洞類型各自高危、中危、低危漏洞的百分比。由于每種漏洞類型的漏洞危害等級百分比分布是一個動態變量，根據安全管理人員的專家經驗知識，漏洞危害等級的分值越高，其對應的漏洞危害等級百分比權重也越高。依據3種漏洞危害等級的分值范圍，設置高危、中危、低危的漏洞百分比權重分別為ω1=0.6，ω2=0.3，ω3=0.1，并根據式（4）計算各種漏洞類型的威脅因子。

3.3 漏洞修復策略分析

Fig.3 Vulnerability clustering analysis圖3 漏洞聚類結果分析

Table 2 Various kinds of vulnerability types threat factor表2 各種漏洞類型威脅因子

Table 3 Vulnerability types threat rank表3 漏洞類型威脅等級

采用OVAL的漏洞掃描器對局域網中主機A進行漏洞檢測，獲得11個漏洞信息見表4所示，對該漏洞集合利用文獻[11]提出的基于粗糙集的漏洞嚴重性評估方法RAR計算每個漏洞危害性評分，并獲得對應的漏洞危害等級；3.1節已經完成對NVD數據庫在2004—2015年期間公布的所有漏洞數據進行自動標注漏洞類型，查詢主機A檢測到的11個漏洞各自對應的漏洞類型，并根據表3查找對應的威脅等級，其結果如表4所示。

從定量角度可以看出，v5＞v11＞v7＞v3＞v1＞v2＞v4＞v6＞v8＞v9＞v10。根據面向漏洞類型的層次化目標主機模型構建方法，將威脅等級為強危害的漏洞放入組Gred中，包括漏洞序號v1、v3、v4、v5、v9、v11；將威脅等級為中危害的漏洞放入組Gyellow中，包括漏洞序號v7；將威脅等級為弱危害的漏洞放入組Ggreen中，包括漏洞序號v2、v6、v8、v10。

Gred、Gyellow、Ggreen中，按照其修復規則制定補丁修復策略，輸出補丁優先修復過程見圖4，制定相關策略如下：P1優先級的漏洞序號為v1、v3、v5、v11，其補丁修復時間最多為1周；P2優先級的漏洞序號為v7、v9，其補丁修復時間最多為2周；P3優先級的漏洞序號為“無”；P4優先級的漏洞序號為v4，其補丁修復時間最多為5周；P5優先級的漏洞序號為“無”；P6優先級的漏洞序號為v2、v6、v8，其補丁修復時間最多為7周；P7優先級的漏洞序號為“無”；P8優先級的漏洞序號為“無”；P9優先級的漏洞序號為v10，其補丁修復時間最多為11周。

Table 4 Vulnerability information of hostA表4 主機A的漏洞信息

Fig.4 Vulnerability remediation strategy圖4 漏洞修復策略

4 結束語

深入分析現有漏洞評估與修復策略存在的問題，以及漏洞類型對漏洞修復優先次序的重要影響，提出了一種基于漏洞類型聚類的層次化漏洞修復模型，有效解決了難以確定同一危害等級漏洞修復優先次序的問題。實驗驗證了本文模型改進了傳統的“一旦掃描出漏洞就要進行修復”的理念，從漏洞危害評分、漏洞危害等級、漏洞類型、漏洞類型威脅等級等多個角度出發，實現了對漏洞修復優先次序的細粒度管理，有效解決了難以確定同一危害等級漏洞修復優先次序的問題。

[1]Mell P,Scarfone K,Romanosky S.Common vulnerability scoring system[J].IEEE Security&Privacy Magazine,2006,4(6):85-89.

[2]NIST.The national vulnerability database(NVD)[EB/OL].[2015-10-28].https://nvd.nist.gov/.

[3]Frei S,May M,Fiedler U,et al.Large-scale vulnerability analysis[C]//Proceedings of the 2006 SIGCOMM Workshop on Large-Scale Attack Defense,Pisa,Sep 11-15,2006.New York:ACM,2006:131-138.

[4]Frühwirth C,M?nnist? T.Improving CVSS-based vulnerability prioritization and response with context information[C]//Proceedings of the 3rd International Symposium on Empirical Software Engineering and Measurement,Lake Buena Vista,Oct 15-16,2009.Washington:IEEE Computer Society,2009:535-544.

[5]He Lin,Gao Ling,Chen Dongqi,et al.Research of vulnerability-patch associated repair model based on SVM[C]//Proceedings of the 3rd International Conference on Multimedia Information Networking&Security,Shanghai,Nov 4-6,2011.Washington:IEEE Computer Society,2011:356-360.

[6]Subramanian D,Le H T,Loh P K K,et al.An empirical vulnerability remediation model[C]//Proceedings of the 2010 International Conference on Wireless Communications,Networking and Information Security,Beijing,Jun 25-27,2010.Piscataway:IEEE,2010:376-380.

[7]Wang Zhiliang,Gu Naijie,Li Kai.Benefit and cost combined vulnerabilities repair model[J].Journal of Chinese Computer Systems,2009,30(11):2163-2168.

[8]Huang C C,Farn K J,Lin Fengyu,et al.Software vulnerability patch management with semi-Markov decision process[J].Applied Mathematics&Information Sciences,2013,7(6):2467-2476.

[9]Gao Ling,Shen Yuan,Gao Ni,et al.Clustering analysis vulnerability information based on text mining[J].Journal of Southeast University:Natural Science Edition,2015,45(5):845-850.

[10]Open vulnerability assessment language[EB/OL].[2015-07-09].http://oval.mitre.org.

[11]Fu Zhiyao,Gao Ling,Sun Qian,et al.Evaluation of vulnerability severity based on rough sets and attributes reduction[J].Journal of Computer Research and Development,2016,53(5):1009-1017.

[12]He Lin.Research of vulnerability detection and repair technology supporting the compatible repository[D].Xi'an:Northwest University,2013.

[13]China national vulnerability database of information security(CNNVD)[EB/OL].(2010-11-16).http://www.cnnvd.org.cn/.

[14]Zhang Yuqing,Wu Shuping,Liu Qixu,et al.Design and implementation of national security vulnerability database[J].Journal on Communications,2011,32(6):93-100.

[15]Liao Xiaofeng,Wang Yongji,Fan Xiubin,et al.National security vulnerability database classification based on an LDA topic model[J].Journal of Tsinghua University:Science and Technology,2012,52(10):1351-1355.

附中文參考文獻：

[7]汪志亮,顧乃杰,李凱.收益與代價相結合的漏洞修復模型[J].小型微型計算機系統,2009,30(11):2163-2168.

[9]高嶺,申元,高妮,等.基于文本挖掘的漏洞信息聚類分析[J].東南大學學報:自然科學版,2015,45(5):845-850.

[11]付志耀,高嶺,孫騫,等.基于粗糙集的漏洞屬性約簡及嚴重性評估[J].計算機研究與發展,2016,53(5):1009-1017.

[12]何林.支持兼容知識庫的漏洞檢測與修復技術研究[D].西安:西北大學,2013.

[14]張玉清,吳舒平,劉奇旭,等.國家安全漏洞庫的設計與實現[J].通信學報,2011,32(6):93-100.

[15]廖曉鋒,王永吉,范修斌,等.基于LDA主題模型的安全漏洞分類[J].清華大學學報:自然科學版,2012,52(10):1351-1355.