本發(fā)明屬于系統(tǒng)安全技術(shù)領(lǐng)域,特別是涉及一種基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法。
背景技術(shù):
近幾年來,信息系統(tǒng)的漏洞數(shù)量呈指數(shù)級(jí)數(shù)增長,高級(jí)持續(xù)性威脅(advancedpersistentthreat,apt)攻擊不斷涌現(xiàn),并且具有極強(qiáng)的針對(duì)性和隱蔽性。以入侵檢測(cè)、防火墻等技術(shù)為代表的傳統(tǒng)防護(hù)手段已不足以應(yīng)對(duì)這些安全威脅。漏洞威脅評(píng)分方法可根據(jù)漏洞自身的相關(guān)屬性和危害程度的不同做出排序,并優(yōu)先處理破壞性較強(qiáng)的安全漏洞,將漏洞可能引起的風(fēng)險(xiǎn)降低到最小。
依據(jù)評(píng)分結(jié)果的多樣性,漏洞威脅評(píng)分分為定性評(píng)估和定量評(píng)估兩種方法。根據(jù)相關(guān)要素以高、中、低三個(gè)量級(jí)評(píng)定漏洞風(fēng)險(xiǎn)等級(jí)的方法稱為定性評(píng)估。但定性評(píng)估具有主觀性強(qiáng)和可重復(fù)性差等特點(diǎn),因此風(fēng)險(xiǎn)評(píng)估與應(yīng)急響應(yīng)過程中存在許多不確定因素。定量評(píng)估則是參照既定的評(píng)分標(biāo)準(zhǔn),以量化數(shù)值的形式反映出漏洞的威脅程度。通用漏洞評(píng)分系統(tǒng)(commonvulnerabilityscoringsystem,cvss)給出了一個(gè)簡潔統(tǒng)一的漏洞評(píng)分標(biāo)準(zhǔn),以量化評(píng)分的形式,通過添加漏洞的相關(guān)屬性,使安全機(jī)構(gòu)能夠量化計(jì)算漏洞的威脅程度,更好地降低漏洞帶來的安全風(fēng)險(xiǎn)。
唐成華等提出了一種利用遺傳模糊層次分析漏洞威脅的分析方法,利用改進(jìn)的模糊層次分析法求出各種風(fēng)險(xiǎn)因素的權(quán)重,建立模糊矩陣,利用遺傳算法求解分析。張恒巍等提出了基于博弈模型和風(fēng)險(xiǎn)矩陣的漏洞風(fēng)險(xiǎn)評(píng)分方法,針對(duì)安全漏洞,建立漏洞攻防博弈模型,結(jié)合攻擊圖和風(fēng)險(xiǎn)矩陣對(duì)漏洞連通關(guān)系進(jìn)行定量分析。付志耀等采用粗糙集理論中可辨識(shí)矩陣算法,提出了基于粗糙集的漏洞評(píng)估方法,在漏洞屬性約簡和屬性權(quán)重計(jì)算上有所提高。
但上述方法都是以單個(gè)安全漏洞威脅的量化評(píng)分為基礎(chǔ),依據(jù)cvss并結(jié)合多個(gè)漏洞間的相互關(guān)聯(lián)進(jìn)行評(píng)分,量化計(jì)算出漏洞可能引起的風(fēng)險(xiǎn)程度。但cvss自身存在不足,在制定時(shí)基礎(chǔ)評(píng)估指標(biāo)權(quán)重分配過多依賴于專家學(xué)者的主觀經(jīng)驗(yàn)決策,度量標(biāo)準(zhǔn)缺乏客觀性。并且cvss在對(duì)漏洞威脅進(jìn)行基礎(chǔ)評(píng)分的過程中對(duì)機(jī)密性影響、完整性影響及可利用性影響做均等權(quán)重分配而沒有考慮其相對(duì)重要性,不能明確區(qū)分評(píng)分相近的漏洞的內(nèi)部屬性差異性,導(dǎo)致資源的重復(fù)和浪費(fèi)。
技術(shù)實(shí)現(xiàn)要素:
為了解決上述問題,本發(fā)明的目的在于提供一種基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法。
為了達(dá)到上述目的,本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法包括按順序進(jìn)行的下列步驟:
1)對(duì)數(shù)據(jù)進(jìn)行預(yù)處理的s01階段:從nvd漏洞數(shù)據(jù)庫內(nèi)近三年收錄的漏洞中隨機(jī)選取若干漏洞數(shù)據(jù)作為數(shù)據(jù)樣本,然后根據(jù)機(jī)密性影響、完整性影響和可利用性影響這三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的屬性將上述每一漏洞的數(shù)據(jù)分成三類,并統(tǒng)計(jì)出每類數(shù)據(jù)中包含的完全影響、部分影響及無影響這三種屬性的數(shù)據(jù)各自占比及類別間相互關(guān)聯(lián)性,然后進(jìn)入s02階段;
2)確定上述三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重并進(jìn)行最優(yōu)化的s02階段:為避免漏洞對(duì)系統(tǒng)機(jī)密性的影響遠(yuǎn)高于對(duì)系統(tǒng)完整性和可利用性的影響,確定上述三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重,并利用最優(yōu)搜索方法進(jìn)行優(yōu)化而得到基礎(chǔ)評(píng)估指標(biāo)最優(yōu)權(quán)重組合方案,然后進(jìn)入s03階段;
3)求解基礎(chǔ)評(píng)估指標(biāo)權(quán)重的s03階段:利用基于灰色關(guān)聯(lián)度指標(biāo)權(quán)重求解方法將上述最優(yōu)權(quán)重組合方案先生成基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣,然后從基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣中每一列選取權(quán)值最大的數(shù)值組成參考數(shù)據(jù)列,之后求解出三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重,進(jìn)入s04階段;
4)計(jì)算出每一漏洞威脅的基礎(chǔ)評(píng)估值的s04階段:將上一步驟獲得的三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)值帶入cvss中關(guān)于漏洞基本評(píng)價(jià)公式內(nèi),計(jì)算出每一漏洞威脅的基礎(chǔ)評(píng)估值,并利用該值對(duì)漏洞威脅進(jìn)行評(píng)估。
在步驟1)中,所述的從nvd漏洞數(shù)據(jù)庫內(nèi)近三年收錄的漏洞中隨機(jī)選取若干漏洞數(shù)據(jù)作為數(shù)據(jù)樣本,然后根據(jù)機(jī)密性影響、完整性影響和可利用性影響這三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的屬性將上述每一漏洞的數(shù)據(jù)分成三類,并統(tǒng)計(jì)出每類數(shù)據(jù)中包含的完全影響、部分影響及無影響這三種屬性的數(shù)據(jù)各自占比及類別間相互關(guān)聯(lián)性的方法是:從nvd漏洞數(shù)據(jù)庫內(nèi)近三年收錄的漏洞中隨機(jī)選取5000個(gè)漏洞數(shù)據(jù)作為數(shù)據(jù)樣本,然后根據(jù)機(jī)密性影響、完整性影響和可利用性影響這三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的屬性將上述每一漏洞的數(shù)據(jù)分成三類,并統(tǒng)計(jì)出每類數(shù)據(jù)中包含的完全影響、部分影響及無影響這三種屬性的數(shù)據(jù)各自占比,然后利用上述統(tǒng)計(jì)結(jié)果對(duì)機(jī)密性影響、完整性影響和可利用性影響進(jìn)行雙因素交叉作用下的列聯(lián)表分析,分析兩兩因素間有無顯著性影響。
在步驟2)中,所述的確定上述三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重,并利用最優(yōu)搜索方法進(jìn)行優(yōu)化而得到基礎(chǔ)評(píng)估指標(biāo)最優(yōu)權(quán)重組合方案的方法是:依據(jù)漏洞被成功利用后對(duì)系統(tǒng)的機(jī)密性影響、完整性影響和可利用性影響所造成的危害程度進(jìn)行權(quán)重分配,并且由cvss的權(quán)重分配結(jié)果可知:當(dāng)系統(tǒng)的機(jī)密性、完整性和可用性沒有受到破壞時(shí),將權(quán)重值均設(shè)定為0;將造成完全影響的權(quán)重設(shè)定為部分影響的權(quán)重的2倍;所有權(quán)重值設(shè)定范圍為0—7.0;為避免出現(xiàn)無法真實(shí)反映漏洞威脅的極端值,應(yīng)保證完整性的完全影響大于機(jī)密性的部分影響,且可用性的完全影響大于完整性的部分影響,推導(dǎo)得出基礎(chǔ)評(píng)估指標(biāo)權(quán)重分配組合最優(yōu)搜索方法,執(zhí)行該搜索方法可得到14組滿足條件的權(quán)重分配方案。
在步驟3)中,所述的利用基于灰色關(guān)聯(lián)度指標(biāo)權(quán)重求解方法將上述最優(yōu)權(quán)重組合方案先生成基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣,然后從基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣中每一列選取權(quán)值最大的數(shù)值組成參考數(shù)據(jù)列,之后求解出三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重的方法是:對(duì)機(jī)密性影響、完整性影響和可利用性影響所包含的“無”、“部分”以及“完全”影響三個(gè)屬性類別分別作基于灰色關(guān)聯(lián)度分析的指標(biāo)權(quán)重求解,得到基于灰色關(guān)聯(lián)度分析的三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重。
在步驟4)中,所述的將上一步驟獲得的三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)值帶入cvss中關(guān)于漏洞基本評(píng)價(jià)公式內(nèi),計(jì)算出每一漏洞威脅的基礎(chǔ)評(píng)估值,并利用該值對(duì)漏洞威脅進(jìn)行評(píng)估的方法是:將上述獲得的機(jī)密性影響權(quán)值、完整性影響權(quán)值、可利用性影響權(quán)值分別帶入如公式(13)~(16)所示的cvss中關(guān)于漏洞基本評(píng)價(jià)公式而計(jì)算出漏洞威脅的基礎(chǔ)評(píng)估值,公式(15)中所包含的攻擊途徑、攻擊復(fù)雜度及認(rèn)證權(quán)值由表5列出:
基礎(chǔ)評(píng)分值=(0.6×影響性+0.4×可利用性影響-1.5)×f(13)
影響性=10.41×(1-(1-機(jī)密性影響權(quán)值)×(1-完整性影響權(quán)值)×(1-可利用性影響權(quán)值))(14)
可利用性影響=20×攻擊途徑權(quán)值×攻擊復(fù)雜度權(quán)值×認(rèn)證權(quán)值(15)
如果影響性=0則f=0,否則f=1.176(16)
然后在上述基礎(chǔ)評(píng)分值的基礎(chǔ)上添加時(shí)效性評(píng)估指標(biāo)影響因子,最后再添加環(huán)境評(píng)估指標(biāo)影響因子,最后得到一個(gè)最終的評(píng)估分?jǐn)?shù),取值范圍為0~10,定義得分區(qū)間0~3.9為低級(jí)漏洞,4~6.9為中級(jí)漏洞,7~10為嚴(yán)重漏洞,最后依據(jù)最終的評(píng)估分?jǐn)?shù)判斷出漏洞威脅優(yōu)先等級(jí),進(jìn)而確定出安全漏洞的修復(fù)順序;
表5
本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法從漏洞威脅成功利用后可能造成的經(jīng)濟(jì)損失及威脅破壞后果是否可逆的角度切入,將機(jī)密性影響、完整性影響及可利用性影響三項(xiàng)基礎(chǔ)評(píng)分指標(biāo)依據(jù)其相對(duì)重要性排序,并與cvss相結(jié)合提出了一種指標(biāo)權(quán)重分配最優(yōu)搜索方法模型。該模型執(zhí)行所得權(quán)重分配結(jié)果為下文提出的基于灰色關(guān)聯(lián)度的指標(biāo)權(quán)重求解方法提供了計(jì)算模型輸入值。
然后,提出了基于灰色關(guān)聯(lián)度的指標(biāo)權(quán)重求解方法。該方法將灰色關(guān)聯(lián)度分析融合進(jìn)漏洞基礎(chǔ)評(píng)分指標(biāo)權(quán)重分配求解過程中,使得權(quán)重分配結(jié)果更具客觀性。借鑒灰色關(guān)聯(lián)度思想方法及相關(guān)數(shù)學(xué)模型,將執(zhí)行指標(biāo)權(quán)重分配最優(yōu)搜索方法后得到的權(quán)重分配結(jié)果作為模型輸入值進(jìn)行相關(guān)計(jì)算,并將所得運(yùn)算結(jié)果歸一化。
與現(xiàn)有技術(shù)相比,本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法是在cvss評(píng)估基礎(chǔ)上,重新設(shè)計(jì)基礎(chǔ)評(píng)估指標(biāo)權(quán)重分配方法,根據(jù)基礎(chǔ)評(píng)估指標(biāo)的相對(duì)重要性對(duì)其權(quán)重進(jìn)行優(yōu)化分配,并與灰色關(guān)聯(lián)度指標(biāo)權(quán)重求解方法結(jié)合,使評(píng)估結(jié)果更具客觀性,提高了評(píng)估結(jié)果的多樣性,便于直觀地對(duì)漏洞威脅性加以區(qū)分。
附圖說明
圖1為本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法流程圖。
圖2為本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法中基礎(chǔ)評(píng)估指標(biāo)權(quán)重組合最優(yōu)搜索方法流程圖。
具體實(shí)施方式
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明做進(jìn)一步的說明,但下述實(shí)施例絕非對(duì)本發(fā)明有任何限制。
如圖1所示,本發(fā)明提供的基于cvss的漏洞風(fēng)險(xiǎn)基礎(chǔ)評(píng)估方法包括按順序進(jìn)行的下列步驟:
1)收集系統(tǒng)中的漏洞數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行預(yù)處理的s01階段:從nvd漏洞數(shù)據(jù)庫內(nèi)近三年收錄的漏洞中隨機(jī)選取若干漏洞數(shù)據(jù)作為數(shù)據(jù)樣本,然后根據(jù)機(jī)密性影響、完整性影響和可利用性影響這三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的屬性將上述每一漏洞的數(shù)據(jù)分成三類,并統(tǒng)計(jì)出每類數(shù)據(jù)中包含的完全影響、部分影響及無影響這三種屬性的數(shù)據(jù)各自占比及類別間相互關(guān)聯(lián)性,然后進(jìn)入s02階段;
首先,從nvd漏洞數(shù)據(jù)庫內(nèi)近三年收錄的漏洞中隨機(jī)選取5000個(gè)漏洞數(shù)據(jù)作為數(shù)據(jù)樣本,然后根據(jù)機(jī)密性影響、完整性影響和可利用性影響這三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的屬性將上述每一漏洞的數(shù)據(jù)分成三類,并統(tǒng)計(jì)出每類數(shù)據(jù)中包含的完全影響、部分影響及無影響這三種屬性的數(shù)據(jù)各自占比,以每項(xiàng)基礎(chǔ)評(píng)估指標(biāo)作為一個(gè)因素,根據(jù)上述統(tǒng)計(jì)結(jié)果對(duì)三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)進(jìn)行雙因素交叉作用下的列聯(lián)表分析,如表1—表3所示,分別設(shè)定三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)為列聯(lián)表的行列變量,作頻數(shù)列聯(lián)分析,以分析兩兩因素間有無顯著性影響。
由上述分析結(jié)果可知,漏洞產(chǎn)生的影響較為復(fù)雜,并且具有相互關(guān)聯(lián)性,而cvss賦予三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)相同的權(quán)值,因此無法突顯漏洞成功利用后所造成的威脅后果的差異性,從而限制了漏洞威脅基礎(chǔ)評(píng)估結(jié)果的多樣性,導(dǎo)致無法區(qū)分具有不同威脅屬性的漏洞。因此本發(fā)明依據(jù)如下分析從漏洞被成功利用后對(duì)系統(tǒng)的機(jī)密性影響、完整性影響和可利用性影響所造成的危害嚴(yán)重性及危害可逆性方面對(duì)三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的重要性進(jìn)行排序,分析過程如下:
(1)漏洞被成功利用后對(duì)系統(tǒng)的機(jī)密性造成的危害很難被發(fā)現(xiàn),且機(jī)密性一旦遭到破壞是不可逆的,無法對(duì)其進(jìn)行恢復(fù)。更為嚴(yán)重的是,攻擊者會(huì)利用漏洞將受保護(hù)的信息泄露給非授權(quán)的個(gè)人和實(shí)體,使授權(quán)機(jī)構(gòu)及合法用戶處于“失控”狀態(tài),極大地危害系統(tǒng)的信息安全并造成不可估量的經(jīng)濟(jì)損失。故本發(fā)明將機(jī)密性影響設(shè)定為最主要的影響因素。
(2)完整性影響對(duì)系統(tǒng)造成的影響也較難被發(fā)現(xiàn),且通常會(huì)對(duì)可利用性影響產(chǎn)生一定的影響,故本發(fā)明將完整性影響設(shè)定為次要的影響因素。
(3)與機(jī)密性影響和完整性影響相比,漏洞被成功利用后,對(duì)信息系統(tǒng)可利用性的影響具有易被發(fā)現(xiàn)的特點(diǎn),且造成的破壞也較容易恢復(fù),故本發(fā)明將可利用性影響設(shè)定為一般的影響因素。
由上述分析結(jié)構(gòu)可知,當(dāng)系統(tǒng)中的漏洞被成功利用并造成破壞后,對(duì)系統(tǒng)機(jī)密性的影響遠(yuǎn)高于對(duì)系統(tǒng)完整性和可利用性的影響。
2)確定上述三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重并進(jìn)行最優(yōu)化的s02階段:為避免漏洞對(duì)系統(tǒng)機(jī)密性的影響遠(yuǎn)高于對(duì)系統(tǒng)完整性和可利用性的影響,確定上述三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重,并利用最優(yōu)搜索方法進(jìn)行優(yōu)化而得到基礎(chǔ)評(píng)估指標(biāo)最優(yōu)權(quán)重組合方案,然后進(jìn)入s03階段;
依據(jù)上述分析結(jié)果,為提高漏洞評(píng)估的多樣性和精確性,達(dá)到真實(shí)反映漏洞威脅程度的目的,本發(fā)明提出了一種漏洞基礎(chǔ)評(píng)估指標(biāo)權(quán)重組合最優(yōu)搜索方法。為避免出現(xiàn)無法真實(shí)反映漏洞威脅的極端值,應(yīng)保證完整性影響的完全影響大于機(jī)密性影響的部分影響,且可利用性影響的完全影響大于完整性影響的部分影響。由于最終漏洞評(píng)分結(jié)果需要保留一位小數(shù),且部分影響權(quán)重為完全影響權(quán)重的一半,故將最小增減量的步長t設(shè)定為0.2。
根據(jù)cvss基礎(chǔ)評(píng)估指標(biāo)權(quán)重設(shè)定范圍,確定本發(fā)明中基礎(chǔ)評(píng)估指標(biāo)權(quán)重范圍為0—7.0,即:
wc+wi+wa=7(1)
其中,wc表示機(jī)密性影響權(quán)重,wi表示完整性影響權(quán)重,wa表示可利用性影響權(quán)重;
根據(jù)下面的公式(2)—公式(9)并結(jié)合公式(1)可計(jì)算出可利用性影響權(quán)重wa的取值范圍為1.2—2.0。具體計(jì)算方法如下:
由于部分影響為完全影響的一半,完整性影響的完全影響大于機(jī)密性影響的部分影響,可利用性影響的完全影響要大于完整性影響的部分影響,故:
2*wa>wi(2)
且:
2*wi>wc(3)
由式(2)和(3)可得,4*wa>wc,2*wa>wi,代入式(1),可得:
7*wa>7(4)
即:
wa>1(5)
由于最小增量的步長t為0.2,則:
wa≥1.2(6)
所以,可利用性影響權(quán)重wa的最小取值為1.2。
由于wa≤wi,最小增量的步長t為0.2,則:
wa≤wi-0.2(7)
且:
wi≤wc-0.2(8)
采用與可利用性影響權(quán)重wa最小取值推導(dǎo)相同的方法,可得:
3*wa≤7-0.6
即:
wa≤(7-0.6)/3(9)
同理,由于最小增量的步長t為0.2,可得可利用性影響權(quán)重wa的最大取值為2.0。
同理可得到相對(duì)應(yīng)的機(jī)密性影響權(quán)重wc和完整性權(quán)重影響wi的取值范圍。
最后,利用圖2所示的基礎(chǔ)評(píng)估指標(biāo)權(quán)重組合最優(yōu)搜索方法進(jìn)行搜索,可得到可利用性影響權(quán)重wa、完整性影響權(quán)重wi及機(jī)密性影響權(quán)重wc的14組最優(yōu)權(quán)重組合方案,如表4所示。
3)求解基礎(chǔ)評(píng)估指標(biāo)權(quán)重的s03階段:利用基于灰色關(guān)聯(lián)度指標(biāo)權(quán)重求解方法將上述最優(yōu)權(quán)重組合方案先生成基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣,然后從基礎(chǔ)評(píng)估指標(biāo)權(quán)值矩陣中每一列選取權(quán)值最大的數(shù)值組成參考數(shù)據(jù)列,之后求解出三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)重,進(jìn)入s04階段;
首先將上一步驟得到的14組最優(yōu)權(quán)重組合方案中不同權(quán)重分配方案的數(shù)據(jù)形式化表示為權(quán)重矩陣形式z=(z1,z2,…z3)t,z1=(z1(1),z1(2),…,z1(14)),公式如下:
z1、z2、z3分別對(duì)應(yīng)機(jī)密性影響、完整性影響及可用性影響權(quán)重分配方案序列。
由表4內(nèi)容可知,屬于機(jī)密性影響、完整性影響和可利用性影響的漏洞數(shù)據(jù)分別包含無影響、部分影響及完全影響三種類別,其中無影響類別數(shù)據(jù)的基礎(chǔ)評(píng)估指標(biāo)權(quán)重均為0,無需計(jì)算,因此分別從部分影響及完全影響類別的權(quán)重矩陣中每一列選取一個(gè)最大值而組成該類別的參考數(shù)據(jù)列z0,即z0=(z0(1),z0(2),…,z0(14));
接著,分別計(jì)算部分影響及完全影響類別的參考數(shù)據(jù)列z0與上述權(quán)重矩陣z中基礎(chǔ)評(píng)估指標(biāo)序列z1,z2,z3的間距值,計(jì)算公式如下;
最后,利用上述間距值根據(jù)公式(12)求解出三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)值w,i=1,2,3。
當(dāng)i=1時(shí),w表示機(jī)密性影響權(quán)值wc;i=2時(shí),w表示完整性影響權(quán)值wi;i=3時(shí),w表示可利用性影響權(quán)值wa;
4)計(jì)算出每一漏洞威脅的基礎(chǔ)評(píng)估值的s04階段:將上一步驟獲得的三項(xiàng)基礎(chǔ)評(píng)估指標(biāo)的權(quán)值帶入cvss中關(guān)于漏洞基本評(píng)價(jià)公式內(nèi),計(jì)算出每一漏洞威脅的基礎(chǔ)評(píng)估值,并利用該值對(duì)漏洞威脅進(jìn)行評(píng)估。
將上述獲得的機(jī)密性影響權(quán)值wc、完整性影響權(quán)值wi、可利用性影響權(quán)值wa分別帶入如公式(13)~(16)所示的cvss中關(guān)于漏洞基本評(píng)價(jià)公式而計(jì)算出漏洞威脅的基礎(chǔ)評(píng)估值,公式(15)中所包含的攻擊途徑、攻擊復(fù)雜度及認(rèn)證權(quán)值由表5列出:
基礎(chǔ)評(píng)分值=(0.6×影響性+0.4×可利用性影響-1.5)×f(13)
影響性=10.41×(1-(1-機(jī)密性影響權(quán)值)×(1-完整性影響權(quán)值)×(1-可利用性影響權(quán)值))(14)
可利用性影響=20×攻擊途徑權(quán)值×攻擊復(fù)雜度權(quán)值×認(rèn)證權(quán)值(15)
如果影響性=0則f=0,否則f=1.176(16)
上式計(jì)算結(jié)果為cvss安全漏洞的基礎(chǔ)評(píng)分值,然后參照上述nvd漏洞庫中漏洞數(shù)據(jù)的屬性,在基礎(chǔ)評(píng)分值上添加時(shí)效性評(píng)估指標(biāo)影響因子,最后再添加環(huán)境評(píng)估指標(biāo)影響因子,nvd漏洞庫中每個(gè)漏洞的各項(xiàng)指標(biāo)都有記錄,時(shí)效性評(píng)估指標(biāo)影響因子和添加環(huán)境評(píng)估指標(biāo)影響因子可直接從該漏洞庫中查出,最后得到一個(gè)最終的評(píng)估分?jǐn)?shù),取值范圍為0~10,定義得分區(qū)間0~3.9為低級(jí)漏洞,4~6.9為中級(jí)漏洞,7~10為嚴(yán)重漏洞,依據(jù)相應(yīng)評(píng)估分?jǐn)?shù)判斷出漏洞威脅優(yōu)先等級(jí),進(jìn)而確定出安全漏洞的修復(fù)順序。安全漏洞的級(jí)別評(píng)定可以定性地確定一個(gè)漏洞所造成的安全威脅和影響程度,可以幫助用戶確定安全隱患在系統(tǒng)中的優(yōu)先級(jí),從而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到“有的放矢”,及時(shí)修補(bǔ)重大漏洞。
表1機(jī)密性-完整性列聯(lián)表
表2機(jī)密性-可利用性列聯(lián)表
表3完整性-可利用性列聯(lián)表
表4
表5