基于Sigmoid函數的軟件漏洞風險評價算法

王 帆 洪 流 顧 欣

(工業和信息化部電子第五研究所 廣州 510610)

2018年4月20日，在北京召開了全國網絡安全和信息化工作會議，在會議上，習總書記指出：“信息化為中華民族帶來了千載難逢的機遇”，“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障”[1].軟件，作為信息系統的重要組成部分，作為信息化發展的重要基石，軟件是否安全，直接決定了各類信息系統是否安全．信息系統安全了，信息產業才能健康穩定發展．因此，軟件安全，對我國信息化產業的安全健康發展有十分重要的意義[2].

在考察軟件產品安全性時，需要根據軟件漏洞掃描、挖掘和滲透測試的結果，計算得到軟件產品的總體風險值，以對軟件產品的整體漏洞風險情況進行把控[3].但在現有安全測試及滲透測試中，通常僅考慮風險值最高的漏洞，以該漏洞的風險等級作為整個軟件產品的風險等級，而不考慮漏洞數量對軟件產品漏洞風險的影響；另一方面，現有的風險評估方法中，計算模型過于復雜，評價參考因素過多，評價周期過長，不利于在有限時間內了解軟件產品的安全風險[4]情況.因此，本文綜合考慮效率和風險分析等方面因素，提出基于Sigmoid函數[5]的軟件安全風險評價算法，將軟件產品中的單個漏洞風險與漏洞數量有機結合，以此來反映其整體漏洞風險情況.

圖1 Sigmoid函數曲線圖

1 Sigmoid函數簡介

Sigmoid函數是一個在生物學中常見的S型的函數，也稱為S型生長曲線.在信息科學中，由于其單增以及反函數單增等性質，Sigmoid函數常被用作神經網絡的閾值函數，將變量映射到0,1之間.

Sigmoid函數由下列公式定義：

Sigmoid函數曲線由圖1所示：

由Sigmoid函數曲線可以看出，在x從0趨近于無窮大的過程中，函數S(x)的取值從0.5無限趨近于1，因此，當漏洞數量不斷增大時，可以使用該函數的修改函數來表現軟件產品風險值無限接近于當前風險等級風險值上限的情況.

2 漏洞風險評價算法

2.1 漏洞風險評價公式編制原則與思路

在對Sigmoid函數曲線進行修改并編制漏洞風險評價公式時，需要按照以下3個原則進行考量：

1) 漏洞風險評價公式應遵循信息安全中的木桶原理，風險值應不低于軟件產品中漏洞風險值最高的數值[6]，當產品中存在漏洞等級為高的漏洞時，產品漏洞風險等級為高，當產品不存在高風險漏洞，僅存在中低風險漏洞時，則產品的漏洞風險等級為中；

2) 漏洞風險評價公式應考慮到同等級漏洞數量對整個產品漏洞風險的影響，滿足同等級漏洞越多，產品漏洞風險越高的判定原則[7]；

3) 曲線的圖形、曲率應盡可能貼近真實風險情況，鑒于漏洞的數量只能為整數，所以風險值變化趨勢圖應由曲線變為由數個點構成的折線.

按照CVE中對漏洞風險值與風險等級的對應關系，當漏洞風險值評分為0～4(不包括4)時，漏洞等級為低；當漏洞風險值評分為4～7(不包括7)時，漏洞等級為中；當漏洞風險值評分為7～10時，漏洞等級為高[8].因此，在以上3個原則和CVE對漏洞等級的評價方法基礎上，確定軟件產品的漏洞風險等級為：當產品中存在高風險漏洞時，產品的漏洞風險等級為高；當產品中不存在高風險漏洞，僅存在中低風險漏洞時，產品的風險等級為中；當產品中僅存在低風險漏洞時，產品的風險等級為低.在不同的風險區間中，隨著漏洞數量不斷增大，產品的風險值也在各自的區間內不斷遞增，直到逼近其所屬的風險等級上限.

2.2 漏洞風險評價公式

Sigmoid函數是在x從0趨近于無窮大的過程中，函數S(x)的取值從0.5無限趨近于1，其x值的范圍不符合實際漏洞風險情況，在實際漏洞風險分析中，當x=0時，既系統不存在漏洞時，風險值應當為0，因此需要將函數曲線進行移動，將x=0時的S(x)值變為0，因此公式改變為

此時S1(x)的取值范圍為0無限趨近于0.5，將公式值乘以2以取整，便于漏洞的計算，此時公式改變為

此時S2(x)的取值范圍為0無限趨近于1，根據漏洞風險值取值不低于存在的風險最高漏洞的風險值，不超過當前區間范圍的原則，需要將S2(x)的取值范圍進行擴充，引入m值，m代表當前系統中存在的漏洞中最高的風險值，因此，對于存在高風險漏洞的系統，其漏洞風險值f(x)的取值范圍應為從m無限趨近于10，對于不存在高風險漏洞但存在中風險漏洞的系統，其漏洞風險值f(x)的取值范圍應為從m無限趨近于7，對于僅存在低風險漏洞的系統，其漏洞風險值f(x)的取值范圍應為從m無限趨近于4.

因此，將漏洞風險評價公式按照風險等級高、中、低3個區域分別制定各自區域的公式，其中高風險級別風險值計算公式為

其中,x為高風險漏洞數量，m為高風險漏洞中最高的風險值，7≤m≤10.高風險級別的產品漏洞風險折線圖如圖2所示(以m=8為例)：

圖2 m=8的軟件漏洞風險折線圖

中風險級別風險值計算公式為

其中,x為中風險漏洞數量，m為中風險漏洞中最高的風險值，4≤m<7.中風險級別的產品漏洞風險折線圖如圖3所示(以m=4為例)：

圖3 m=4的軟件漏洞風險折線圖

低風險級別風險值計算公式為

其中,x為低風險漏洞數量，m為低風險漏洞中最高的風險值，0≤m<4.低風險級別的產品漏洞風險折線圖如圖4所示(以m=2為例)：

圖4 m=2的軟件漏洞風險折線圖

根據3個風險等級的計算公式，可以將掃描出的CVE漏洞的數量及漏洞中的最高風險值帶入公式進行計算，就可以得出相應模塊的漏洞風險值，便于對軟件產品各模塊代碼的安全性進行比較，從而評判出各模塊代碼的安全狀況.便于開發人員整體把控軟件產品的安全性，快速定位安全性最差的代碼模塊，提高軟件產品的整體安全狀況.

3 結果比較

本文以之前進行過安全測試的某系統為例，在使用市面上某款漏洞掃描軟件進行掃描時，得到的掃描結論如圖5所示.從中可以看出，風險分數為1 024時，安全狀態為極度危險，但無法判斷該系統在極度危險中的危險程度.

圖5 漏洞掃描結果圖

查看系統中漏洞風險值最高的漏洞情況，如圖6所示:

圖6 最高風險值漏洞情況

從圖6可以看出風險值最高的漏洞，其風險值為9，屬于高風險區間，因此使用7≤m≤10時的公式進行風險計算.此時根據漏洞掃描的結果，x取值為21，計算風險值如下：

最終計算得到結果：f(x)=9.999 9，約等于最高風險值10.從實際狀況也可以看出，該系統由于存在21個高風險漏洞，且漏洞的風險值很高，因此也處于極度危險的情況，風險計算出的得分與實際情況相符，且該風險值能夠便于管理員更好地了解風險嚴重程度.

4 總 結

隨著信息化發展的不斷加深，信息安全的重要性也越來越得到社會各界的重視，軟件作為信息化產業的重要環節，軟件產品的信息安全也具有十分重要的意義.根據上述章節中的軟件漏洞風險計算公式，得到在軟件開發過程中各模塊代碼的風險情況，便于提高軟件的代碼質量，增強軟件安全性.在下一步研究工作中，將對漏洞風險分析公式進行進一步細化，增加同威脅級別的漏洞相關性考量，使公式能夠更加準確地體現和反映代碼的漏洞風險，更好地為國家信息化安全穩定發展服務.