基于AHP和CVSS的信息系統(tǒng)漏洞評估

黎學(xué)斌, 范九倫, 劉意先

(西安郵電大學(xué) 通信與信息工程學(xué)院， 陜西 西安 710121)

基于AHP和CVSS的信息系統(tǒng)漏洞評估

黎學(xué)斌, 范九倫, 劉意先

(西安郵電大學(xué) 通信與信息工程學(xué)院， 陜西 西安 710121)

摘要:針對現(xiàn)有信息系統(tǒng)漏洞危害性評估結(jié)果缺乏通用性的缺點，提出一種信息系統(tǒng)漏洞評估算法。該算法從漏洞分類和資產(chǎn)分類兩個方面建立評價指標(biāo)體系，以通用漏洞評分系統(tǒng)的評分為基礎(chǔ)，運用層次分析法對信息系統(tǒng)進(jìn)行漏洞危害性評估，得到系統(tǒng)的漏洞危害性評分。仿真結(jié)果表明，該信息系統(tǒng)漏洞評估算法結(jié)果與通用漏洞評分系統(tǒng)的標(biāo)準(zhǔn)兼容，具有一定的通用性。

關(guān)鍵詞:漏洞評估；層次分析法；通用漏洞評分系統(tǒng)

信息系統(tǒng)軟硬件安全漏洞評估是信息系統(tǒng)脆弱性評估的重要組成部分。目前,常用的信息系統(tǒng)風(fēng)險評估方法有：定量評估法、定性評估法以及定量與定性相結(jié)合的綜合評估法[1]。在綜合評估法中，層次分析法(AnalyticHierarchyProcess，AHP)[2]是使用最為廣泛的方法之一，已成功應(yīng)用于層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估、信息系統(tǒng)漏洞風(fēng)險定量評估、漏洞嚴(yán)重性的灰色層次分析評估、基于漏洞類別的漏洞威脅評估等方面[3]。文獻(xiàn)[4-9]基于AHP及其改進(jìn)方法進(jìn)行漏洞評估，并針對實例進(jìn)行分析驗證。現(xiàn)有利用AHP的漏洞評估方法只是關(guān)注與漏洞有關(guān)的要素的權(quán)值分配問題，對進(jìn)行評價的基礎(chǔ)分值沒有統(tǒng)一標(biāo)準(zhǔn)，導(dǎo)致漏洞評估結(jié)果缺乏說服力和通用性。此外，現(xiàn)有方法只能以單個漏洞作為評價對象而忽略了對整個系統(tǒng)漏洞的綜合評價，限制了它們在實際環(huán)境中的應(yīng)用。本文擬基于AHP方法對網(wǎng)絡(luò)資產(chǎn)和漏洞進(jìn)行歸類分層，針對存在問題，以通用漏洞評分系統(tǒng)(CommonVulnerabilityScoreSystem，CVSS)的標(biāo)準(zhǔn)作為漏洞屬性的基礎(chǔ)分值，對網(wǎng)絡(luò)系統(tǒng)中的漏洞威脅進(jìn)行評估。

1通用漏洞評分系統(tǒng)與層次分析法

1.1通用漏洞評分系統(tǒng)

CVSS是一個開放并且被廣泛采用的公共資源，利用該系統(tǒng)，可以對漏洞進(jìn)行評分，進(jìn)而判斷修復(fù)不同漏洞的優(yōu)先等級[10]。CVSS對漏洞的評價主要包括：基本評價、生命周期評價和環(huán)境評價三個方面。基本評價主要是對漏洞本身固有的一些特點和這些特點可能造成的影響進(jìn)行評價；生命周期評價是對漏洞隨時間變化而改變的特征進(jìn)行評價；環(huán)境評價則是對漏洞隨著用戶環(huán)境而改變的因素進(jìn)行評價。每個方面都由若干分量組成，CVSS對漏洞的評分主要是對上述3方面及其相應(yīng)的各個分量進(jìn)行量化計算得到[11]。計算結(jié)果介于0.0和10.0之間，該數(shù)值反映漏洞的評價結(jié)果，數(shù)值越大說明漏洞的危害性越高。CVSS統(tǒng)一了漏洞評價標(biāo)準(zhǔn)，使不同的漏洞評估方法相互兼容，目前已成為網(wǎng)絡(luò)安全行業(yè)的標(biāo)準(zhǔn)[12]。

1.2層次分析法

AHP是一種定量和定性相結(jié)合多準(zhǔn)則決策分析方法。AHP一般將決策問題分為由上到下的3個層次：目標(biāo)層、準(zhǔn)則層和措施層。目標(biāo)層表示評估的對象，AHP對于繁雜難題制定目標(biāo)最高層，根據(jù)影響因素將目標(biāo)層分解為底層的小目標(biāo)，用決策者的經(jīng)驗判斷各衡量目標(biāo)能否實現(xiàn)的標(biāo)準(zhǔn)之間的相對重要程度，并合理地給出每個決策方案的每個標(biāo)準(zhǔn)的權(quán)重，利用權(quán)重求出各方案的優(yōu)劣次序，能夠有效地處理復(fù)雜的決策問題[13]。準(zhǔn)則層包含實現(xiàn)目標(biāo)所需要的標(biāo)準(zhǔn)，措施層包含了實現(xiàn)目標(biāo)的各種方案或手段。先相互比較確定準(zhǔn)則層對目標(biāo)的權(quán)重，再計算措施層對每一個準(zhǔn)則的權(quán)重，最后將這兩組權(quán)重進(jìn)行綜合后得到措施層對目標(biāo)的權(quán)重[2]。

2漏洞評估算法

基于AHP和CVSS的信息系統(tǒng)漏洞評估，需要在確定系統(tǒng)中漏洞和系統(tǒng)中資產(chǎn)的評價層次體系的基礎(chǔ)上，利用AHP獲得系統(tǒng)中各個節(jié)點上的漏洞權(quán)重，再結(jié)合漏洞的CVSS分值得出每個節(jié)點的漏洞評分。最后，利用AHP計算出系統(tǒng)中各個節(jié)點的權(quán)重值與各節(jié)點的漏洞評分求出系統(tǒng)的漏洞總評分。具體步驟如下。

2.1確定漏洞和資產(chǎn)評價的層次體系

漏洞和資產(chǎn)評價層次體系的確定是進(jìn)行漏洞評估的核心問題，其質(zhì)量直接關(guān)系到評估結(jié)果的好壞。建立漏洞和資產(chǎn)評價層次體系的關(guān)鍵是對它們進(jìn)行適當(dāng)?shù)姆诸悺?/p>

(1) 漏洞的分類

將美國國家漏洞庫(NationalVulnerabilitiesdatabase)、中國國家漏洞庫(ChinaNationalVulnerabilitiesDatabase)、公共漏洞與暴露(CommonVulnerabilitiesandExposure)、Microsoft等組織較常采用的漏洞屬性作為漏洞分類依據(jù)，選取的漏洞屬性如表1所示。

表1　漏洞屬性

在此基礎(chǔ)上，得到單節(jié)點上漏洞評估的層次分布圖，如圖1所示。

圖1　系統(tǒng)單個節(jié)點上的漏洞層次分布圖

(2) 資產(chǎn)分類

選擇可以反映某件資產(chǎn)在系統(tǒng)中的重要性的資產(chǎn)屬性作為資產(chǎn)分類的依據(jù)。目前，資產(chǎn)屬性的選擇并沒有一個共通的標(biāo)準(zhǔn)，借鑒文獻(xiàn)[14]，使用表2所示的4個屬性作為評判資產(chǎn)重要性的屬性。

表2　系統(tǒng)資產(chǎn)屬性列表

進(jìn)而得到系統(tǒng)中資產(chǎn)評估的層次分布圖，如圖2所示。

圖2　系統(tǒng)資產(chǎn)的層次分布

2.2計算每個節(jié)點的漏洞評分

(1) 確定漏洞屬性評分標(biāo)準(zhǔn)

為便于計算，需先將漏洞庫網(wǎng)站上每個漏洞屬性的評級賦予一定的分值，分值采用1、3、5三級評分制，它與漏洞屬性評級的對應(yīng)關(guān)系如表3所示。

表3　系統(tǒng)漏洞屬性評分標(biāo)準(zhǔn)

(2) 建立漏洞之間的判斷矩陣

建立準(zhǔn)則層中的漏洞屬性，措施層的各漏洞相互比較形成的判斷矩陣。設(shè)總共有n個漏洞，則在屬性Q下漏洞的判斷矩陣可表示為

其中rij(i,j=1,…，n)表示在屬性Q下第i個漏洞相對于第j個漏洞的重要程度，設(shè)第i個漏洞屬性Q的分值為α，第j個漏洞屬性Q的分值為β，則有

rij=α/β

(3) 計算節(jié)點中漏洞權(quán)重值

漏洞的權(quán)重向量由準(zhǔn)則層元素的權(quán)重向量和措施層元素的權(quán)重向量相乘得到。準(zhǔn)則層元素的權(quán)重向量事先直接確定。準(zhǔn)則層元素可分為3大類指標(biāo)：可利用性指標(biāo)(包括攻擊向量、攻擊復(fù)雜度和認(rèn)證)、影響性指標(biāo)(包括機(jī)密性影響、完整性影響和可用性影響)、時間指標(biāo)(包括利用和修補(bǔ)情況)。參考CVSS的計算公式[10]，同時為了便于計算，可利用性指標(biāo)和影響性指標(biāo)的權(quán)重定為0.45，時間指標(biāo)的權(quán)重定為0.1，將每個指標(biāo)權(quán)重的平均值作為該指標(biāo)下準(zhǔn)則層元素的權(quán)值，即可利用性指標(biāo)下的3個元素與影響性指標(biāo)下的3個元素的權(quán)值為0.45/3=0.15，時間指標(biāo)下的兩個元素的權(quán)值為0.1/2=0.05。

求措施層元素的權(quán)重向量即為求元素判斷矩陣的歸一化特征向量。采用方根法[2]求出R的特征向量

w=[w1，w2,…，wn]，

其中wi為第i個元素的權(quán)重值。設(shè)wp為準(zhǔn)則層上元素判斷矩陣的特征向量，wqi(i=1，…，n)為措施層中針對第i個準(zhǔn)則的元素(漏洞)判斷矩陣的特征向量,則漏洞的權(quán)重向量

(4) 求出節(jié)點的漏洞危害性評分

設(shè)漏洞的CVSS評分向量為

F=[f1,f2, …,fn]，

其中fi(i=1，…，n)為第i個漏洞的CVSS評分,則節(jié)點上總的的漏洞危害性評分為

S=F·WT

2.3計算整個系統(tǒng)的漏洞評分

(1) 計算系統(tǒng)中資產(chǎn)的權(quán)重

建立資產(chǎn)判斷矩陣和資產(chǎn)權(quán)重的計算過程與文中節(jié)點上漏洞權(quán)重的計算方法基本一致，區(qū)別在于使用的層次分布圖和評分標(biāo)準(zhǔn)不同。資產(chǎn)的評分標(biāo)準(zhǔn)如表4所示。

表4　系統(tǒng)資產(chǎn)屬性評分標(biāo)準(zhǔn)

(2) 計算系統(tǒng)的總評分

設(shè)系統(tǒng)的資產(chǎn)權(quán)重向量為

V=[v1,v2, …,vm]，

資產(chǎn)的漏洞評分向量為

S=[s1,s2, …,sm]，

其中vi，si(i=1，…，m)分別為第i件資產(chǎn)的權(quán)重值和漏洞評分，則整個系統(tǒng)的總漏洞評分為

T=S·VT

由于將CVSS評分作為基礎(chǔ)分?jǐn)?shù)，所以T與CVSS的評分標(biāo)準(zhǔn)兼容。

3驗證

構(gòu)建虛擬網(wǎng)絡(luò)環(huán)境來對算法進(jìn)行驗證，該環(huán)境利用OPNET仿真軟件搭建，包括1個服務(wù)器、1臺交換機(jī)和4臺客戶機(jī)：計算機(jī)1、計算機(jī)2、計算機(jī)3和計算機(jī)4。網(wǎng)絡(luò)環(huán)境原理如圖3。

假定服務(wù)器價格超過7 000元，需全天24h運轉(zhuǎn)且存在物理保護(hù)措施?？蛻魴C(jī)的價格為4 000元，每天運轉(zhuǎn)時間為10h，無物理保護(hù)措施。設(shè)服務(wù)器上漏洞的CVE標(biāo)識是CVE-2015-3183、CVE-2015-0257和CVE-2015-4752，計算機(jī)1上漏洞的CVE標(biāo)識是CVE-2015-0093、CVE-2015-5115和CVE-2015-1288，計算機(jī)2上漏洞的CVE標(biāo)識為CVE-2015-2423、CVE-2015-2472和CVE-2015-2745，計算機(jī)3上漏洞的CVE標(biāo)識為CVE-2015-2463和CVE-2015-2417，計算機(jī)4上漏洞的CVE標(biāo)識為CVE-2015-2378和CVE-2015-2476。經(jīng)統(tǒng)計低危漏洞約占漏洞總數(shù)的15%，中危漏洞約占漏洞總數(shù)的62%，高危漏洞約占23%。預(yù)期該系統(tǒng)的漏洞危害應(yīng)大致處于中等水平。

圖3　實驗環(huán)境網(wǎng)絡(luò)原理圖

系統(tǒng)中各節(jié)點的漏洞危害性評分計算結(jié)果如表5所示。

表5　系統(tǒng)各節(jié)點的漏洞危害性評分

系統(tǒng)各節(jié)點的權(quán)值計算結(jié)果如表6所示。

表6　系統(tǒng)各節(jié)點的權(quán)重值

將節(jié)點權(quán)重與各個節(jié)點的漏洞評分進(jìn)行加權(quán)運算，最終得出整個系統(tǒng)的漏洞危害評估分?jǐn)?shù)為

0.424 8×3.86+0.143 8×8.85+

0.143 8+4.31+0.143 8×7.45+

0.42×5.1=5.5。

依據(jù)CVSS評級標(biāo)準(zhǔn)可以看出，該網(wǎng)絡(luò)系統(tǒng)本身的漏洞威脅屬于中等級別，符合之前作出的漏洞危害性大致處于中等水平的預(yù)期。

4結(jié)語

利用層次分析法進(jìn)行安全漏洞評估，針對種類和標(biāo)準(zhǔn)繁多導(dǎo)致評估結(jié)果的可信性和通用性較低的問題展開研究，提出一種將AHP和CVSS結(jié)合起來進(jìn)行漏洞評估的算法，并進(jìn)行驗證。評估結(jié)果表明，此法可以對一個信息系統(tǒng)的漏洞進(jìn)行評分，由于使用CVSS評分作為漏洞評價的基礎(chǔ)分值，評價所得的分值也可參照CVSS的評級標(biāo)準(zhǔn)進(jìn)行評級，故而該算法與CVSS兼容。

參考文獻(xiàn)

[1]蘇航．計算機(jī)網(wǎng)絡(luò)脆弱性評估方法分析[J]．南方農(nóng)機(jī)，2015(6)：86-87．

[2]張炳江．層次分析法及其應(yīng)用案例[M]．北京：電子工業(yè)出版社，2014：31-56．

[3]劉奇旭，張翀斌，張玉清，等．安全漏洞等級劃分關(guān)鍵技術(shù)研究[J]．通信學(xué)報，2012，33(S1)：79-87．DOI:10.3969/j.issn.1000-436x.2012.z1.011．

[4]陳鴻星．基于AHP權(quán)值計算的網(wǎng)絡(luò)安全評估研究與仿真[J]．計算機(jī)仿真，2013，30(8)：266-269．

[5]LIUR，YAND，LinF，etal．OptimizationofHierarchicalVulnerabilityAssessmentMethod[C]//IEEEProceedingsofIC-BNMT，Beijing：BroadbandNetwork&MultimediaTechnology．2009：458-462．

[6]YEJ，ZHANGK．VulnerabilityThreatAssessmentBasedonAHPAndFuzzyComprehensiveEvaluation[C]//IEEESeventhInternationalSymposiumonComputationalIntalligenceandDesignComputerSociety，Hangzhou：ComputationalIntelligenceandDesign．2014：513-516．DOI:10.1109/ISCID.2014.231.

[7]呂鎮(zhèn)邦，周波．基于WOWA-FAHP的網(wǎng)絡(luò)安全態(tài)勢評估[J]．計算機(jī)科學(xué)，2009，36(7)：63-67．

[8]孫兵，張亞平，戴銀華．基于改進(jìn)三角模糊數(shù)的網(wǎng)絡(luò)安全風(fēng)險評估方法[J]．計算機(jī)應(yīng)用研究，2009，26(6)：2131-2135．DOI:10.3969/j.issn.1001-3695.2009.06.040.

[9]李建平，王慧強(qiáng)，盧愛平，等．基于條件隨機(jī)場的網(wǎng)絡(luò)安全態(tài)勢量化感知方法[J]．傳感器與微系統(tǒng)，2010，29(10)：83-86．DOI:10.13873/j.1000-97872010.10.022．

[10] 王秋艷．通用安全漏洞評級研究[D]．西安：西安電子科技大學(xué)，2008：26.

[11] 王秋艷，張玉清．一種通用漏洞評級方法[J]．計算機(jī)工程，2008，34(19)：133-136．

[12] 王如義．基于關(guān)聯(lián)分析的漏洞檢測和安全評估技術(shù)研究[D]．西安：西北大學(xué)，2012：31-32．

[13] 劉貫飛．基于層次分析法的四川省體育產(chǎn)業(yè)競爭力的研究[D]．成都：西南財經(jīng)大學(xué)，2013：35．

[14] 趙首花．信息系統(tǒng)資產(chǎn)識別及風(fēng)險分析方法研究[D]．西安：陜西師范大學(xué)，2010：14-17．

[責(zé)任編輯：汪湘]

Oninformationsystemvulnerabilitiesassessbasedonanalytichierarchyprocessandcommonvulnerabilityscoresystem

LIXuebin,FANJiulun,LIUYixian

(SchoolofCommunicationandInformationEngineering,Xi’anUniversityofPostsandTelecommunications,Xi’an710121China)

Abstract:For the shortcoming that information system vulnerabilities hazard assessment results lacks versatility, an information system vulnerability assessment algorithm is proposed. This algorithm is to establish the evaluation index system from vulnerability classification and asset classification. It uses Analytic Hierarchy Process to build the network system vulnerability assessment on the base of scores of Common Vulnerability Score System. The result shows that this algorithm’s calculation result is compatible with standards of CVSS and has versatility.

Keywords:vulnerability assessment， analytic hierarchy process， common vulnerability score system

doi:10.13682/j.issn.2095-6533.2016.01.008

收稿日期：2015-09-06

基金項目：國家自然科學(xué)基金資助項目(61340040，61202183)

作者簡介：黎學(xué)斌(1990-)，男，碩士研究生，研究方向為網(wǎng)絡(luò)與信息安全。E-mail:1253826010@qq.com 范九倫(1964-)，男，博士，教授，從事網(wǎng)絡(luò)安全與圖像處理研究。E-mail:jiulunf@xupt.edu.cn

中圖分類號：TN911.23

文獻(xiàn)標(biāo)識碼：A

文章編號：2095-6533(2016)01-0042-05