定量和定性相結(jié)合的物聯(lián)網(wǎng)漏洞分類(lèi)方法研究*

蘭 昆，朱治丞，張宇光

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

2018年以來(lái)，以VPNFilter為代表的物聯(lián)網(wǎng)大規(guī)模攻擊事件層出不窮，各種物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)變種屢出，物聯(lián)網(wǎng)漏洞和安全問(wèn)題日趨嚴(yán)重。物聯(lián)網(wǎng)系統(tǒng)軟件和硬件異構(gòu)同源、跨平臺(tái)等特點(diǎn)，導(dǎo)致其漏洞分類(lèi)方法發(fā)生新變化，在當(dāng)前漏洞分類(lèi)研究中關(guān)注較少，是亟需深入研究的新課題。文獻(xiàn)[1]深入分析比較有代表性的Microsoft公司、CVE安全組織和Fortify Software公司的漏洞分類(lèi)方法；文獻(xiàn)[2]對(duì)漏洞分類(lèi)的研究現(xiàn)狀、漏洞分類(lèi)模型等進(jìn)行分析；文獻(xiàn)[3]指出對(duì)信息系統(tǒng)漏洞進(jìn)行分類(lèi)的基本原則，并對(duì)25種漏洞分類(lèi)方法進(jìn)行了對(duì)比分析；文獻(xiàn)[4]提出了一種基于星型網(wǎng)模型的安全漏洞分類(lèi)方法，利用星型網(wǎng)的特點(diǎn)，將所有漏洞構(gòu)造成一個(gè)7維數(shù)據(jù)空間。但是，目前的漏洞分類(lèi)方法主要集中于計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)，沒(méi)有專(zhuān)門(mén)針對(duì)物聯(lián)網(wǎng)漏洞的分類(lèi)方法，將已有分類(lèi)方法直接應(yīng)用于物聯(lián)網(wǎng)存在準(zhǔn)確性、覆蓋全面性等問(wèn)題[5]，需要開(kāi)展深入的物聯(lián)網(wǎng)漏洞分類(lèi)方法研究。本文在深入討論物聯(lián)網(wǎng)漏洞特點(diǎn)的基礎(chǔ)上，提出了一種新的物聯(lián)網(wǎng)漏洞分類(lèi)方法——VCECI。該方法從物聯(lián)網(wǎng)設(shè)備、同源跨平臺(tái)漏洞、漏洞的影響效果和漏洞利用復(fù)雜度3個(gè)維度對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行科學(xué)分類(lèi)，采用定量和定性相結(jié)合的途徑劃分物聯(lián)網(wǎng)漏洞，對(duì)物聯(lián)網(wǎng)漏洞分類(lèi)方法的研究和應(yīng)用具有一定的參考意義。

1 物聯(lián)網(wǎng)漏洞分析

1.1 物聯(lián)網(wǎng)漏洞簡(jiǎn)述

物聯(lián)網(wǎng)漏洞是產(chǎn)品自帶或其設(shè)計(jì)方面存在的弱點(diǎn)，入侵者可以利用該弱點(diǎn)執(zhí)行惡意指令、訪問(wèn)未授權(quán)數(shù)據(jù)或?qū)嵤┚芙^服務(wù)攻擊等。漏洞可能存在于物聯(lián)網(wǎng)系統(tǒng)的不同位置，最明顯的是物聯(lián)網(wǎng)系統(tǒng)的軟件和硬件、系統(tǒng)策略和供應(yīng)鏈以及用戶(hù)本身[6]。

1.2 物聯(lián)網(wǎng)漏洞特點(diǎn)

消費(fèi)性和生產(chǎn)性物聯(lián)網(wǎng)以及智慧城市的高速發(fā)展，推動(dòng)數(shù)百億物聯(lián)網(wǎng)設(shè)備上線聯(lián)網(wǎng)運(yùn)行。數(shù)據(jù)和場(chǎng)景的高維多態(tài)，設(shè)備的隨機(jī)和隨需分布，導(dǎo)致物聯(lián)網(wǎng)漏洞的復(fù)雜性、存在方式和利用方法等將超過(guò)傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域。

物聯(lián)網(wǎng)系統(tǒng)的硬件和軟件通常都可能存在漏洞。硬件漏洞非常難識(shí)別，并且由于硬件兼容性、互操作性以及修復(fù)漏洞代價(jià)大，已識(shí)別出的硬件漏洞很難修復(fù)。軟件漏洞可以出現(xiàn)在操作系統(tǒng)、應(yīng)用軟件、控制軟件、通信協(xié)議和設(shè)備驅(qū)動(dòng)程序中。開(kāi)發(fā)人員和軟件復(fù)雜性等很多因素會(huì)導(dǎo)致軟件設(shè)計(jì)缺陷，不完全理解目標(biāo)需求，任務(wù)開(kāi)始執(zhí)行前沒(méi)有制定周密的研發(fā)計(jì)劃，開(kāi)發(fā)者和用戶(hù)間缺乏深入溝通，資源、技術(shù)和知識(shí)缺乏，以及管理和控制系統(tǒng)開(kāi)發(fā)失敗等人為因素，通常會(huì)造成技術(shù)漏洞。

物聯(lián)網(wǎng)系統(tǒng)的漏洞存在遺傳性。由同種因素產(chǎn)生的物聯(lián)網(wǎng)軟件或硬件漏洞，往往會(huì)通過(guò)跨不同操作系統(tǒng)平臺(tái)或CPU的編譯操作，以及“寄生”在功能模塊或組件中被第三方開(kāi)發(fā)用戶(hù)調(diào)用等，導(dǎo)致新開(kāi)發(fā)的產(chǎn)品與生俱來(lái)帶有該類(lèi)型漏洞或者變種。例如，2017年曝光的某國(guó)際知名產(chǎn)商調(diào)制解調(diào)器漏洞，在其系列產(chǎn)品和相關(guān)設(shè)備均存在同樣屬性的硬編碼后門(mén)賬號(hào)漏洞，攻擊者可以利用這類(lèi)性漏洞架設(shè)僵尸網(wǎng)絡(luò)等，造成了嚴(yán)重破壞。

1.3 物聯(lián)網(wǎng)漏洞分類(lèi)面臨的挑戰(zhàn)

從物聯(lián)網(wǎng)漏洞挖掘與利用角度分析，對(duì)其進(jìn)行分類(lèi)主要存在3方面挑戰(zhàn)。

（1）物聯(lián)網(wǎng)終端漏洞在受影響實(shí)體、類(lèi)型劃分、存在位置、產(chǎn)生原因、利用方式以及造成危害等方面，具有不確定、不清晰的特征。物聯(lián)網(wǎng)產(chǎn)品存在定制化的生產(chǎn)模式，造成同源跨平臺(tái)的微差異化漏洞呈幾何倍數(shù)增加，導(dǎo)致物聯(lián)網(wǎng)漏洞的數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)漏洞；

（2）對(duì)物聯(lián)網(wǎng)設(shè)備的硬件驅(qū)動(dòng)程序進(jìn)行漏洞分析，面臨種類(lèi)繁多、逆向分析十分耗時(shí)費(fèi)力等問(wèn)題。特別是一些小型化、低成本物聯(lián)網(wǎng)設(shè)備的固件提取難以入手，且現(xiàn)有工具對(duì)物聯(lián)網(wǎng)終端設(shè)備固件的支持并不完備，是傳統(tǒng)互聯(lián)網(wǎng)漏洞分析方法在物聯(lián)網(wǎng)漏洞挖掘方面遇到的挑戰(zhàn)；

（3）傳感器、微型控制器等物聯(lián)網(wǎng)裝置的安全防護(hù)能力較弱，且極易成為網(wǎng)絡(luò)攻擊跳板。但是，此類(lèi)設(shè)備存在的漏洞主要是邏輯型漏洞，軟件實(shí)現(xiàn)多以第三方代碼庫(kù)跨平臺(tái)編譯部署的“拼裝”方式為主，因此對(duì)此類(lèi)漏洞的表述和分類(lèi)方法需要新的思路。

2 已有漏洞分類(lèi)方法

2.1 代表性的漏洞分類(lèi)方法分析

目前，對(duì)漏洞的分類(lèi)在國(guó)際上還沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和通用的方法，主流漏洞分類(lèi)方法主要有以下幾類(lèi)[7]。

（1）微軟公司的漏洞分類(lèi)法。依據(jù)不同的軟件類(lèi)型對(duì)軟件漏洞做出分類(lèi)，或者根據(jù)軟件自身的漏洞所導(dǎo)致的影響以及漏洞利用方法對(duì)軟件漏洞進(jìn)行分類(lèi)，通用性差，且存在同一漏洞屬于不同分類(lèi)方法的重疊情況，并沒(méi)有很好地指出軟件漏洞本身的特征和漏洞的運(yùn)行機(jī)制[8]。

（2）CVE（Common Vulnerabilities &Exposures）安全組織的分類(lèi)方法。CVE建立了一套統(tǒng)一的表述語(yǔ)言和命名流程，為認(rèn)同度高的信息安全漏洞或者較為明確的弱點(diǎn)給出一個(gè)公共名稱(chēng)，使用一個(gè)共同的名字。CVE分類(lèi)方法目前還沒(méi)有形成系統(tǒng)的漏洞分類(lèi)方法體系，沒(méi)有體現(xiàn)漏洞自身的屬性特征。

（3）Fortify Software公司漏洞分類(lèi)方法。它是以軟件代碼自身的程序輸入、API調(diào)用錯(cuò)誤、安全策略、時(shí)間和狀態(tài)、錯(cuò)誤處理、代碼質(zhì)量、區(qū)分以及環(huán)境方面存在的缺陷為標(biāo)準(zhǔn)對(duì)漏洞進(jìn)行分類(lèi)，對(duì)專(zhuān)用漏洞分析工具有一定的依賴(lài)性。

（4）OWASP（Open Web Application Security Project）開(kāi)源計(jì)劃也提出了針對(duì)物聯(lián)網(wǎng)漏洞的分類(lèi)方法。該方法按照用戶(hù)名枚舉、弱口令、賬戶(hù)鎖定、未加密服務(wù)、雙因素身份認(rèn)證、加密不完善、更新過(guò)程未加密、代碼更新位置可寫(xiě)、拒絕服務(wù)、存儲(chǔ)介質(zhì)可移除、沒(méi)有手動(dòng)更新機(jī)制、更新升級(jí)機(jī)制缺失、固件更新的最新時(shí)間不可查、固件和存儲(chǔ)內(nèi)容可提取、設(shè)備的代碼執(zhí)行流可控、設(shè)備管理員權(quán)限暴露以及不安全的第三方組件，將物聯(lián)網(wǎng)漏洞分為17類(lèi)[9]，但交叉重疊現(xiàn)象明顯。

此外，國(guó)內(nèi)有些研究機(jī)構(gòu)針對(duì)計(jì)算機(jī)軟件漏洞分類(lèi)，提出了復(fù)雜巨系統(tǒng)理論結(jié)合系統(tǒng)工程中定性定量的方法對(duì)軟件漏洞進(jìn)行分類(lèi)的方法[10]。

2.2 已有漏洞分類(lèi)方法應(yīng)用于物聯(lián)網(wǎng)漏洞分類(lèi)的不足

在物聯(lián)網(wǎng)漏洞的發(fā)現(xiàn)和防護(hù)過(guò)程中，目前的互聯(lián)網(wǎng)漏洞分類(lèi)方法存在明顯不足。

（1）目前的漏洞分類(lèi)方法對(duì)于物聯(lián)網(wǎng)特有的同源跨平臺(tái)漏洞涵蓋較弱[11]；

（2）目前公開(kāi)報(bào)道的專(zhuān)門(mén)針對(duì)物聯(lián)網(wǎng)漏洞分類(lèi)方法的研究很少；

（3）已有典型軟件漏洞分類(lèi)方法的本質(zhì)是以商業(yè)服務(wù)的視角對(duì)軟件漏洞做出分類(lèi)[12]，直接應(yīng)用于物聯(lián)網(wǎng)漏洞分類(lèi)，較為零散；

（4）常見(jiàn)的分類(lèi)方法并不能夠表現(xiàn)出物聯(lián)網(wǎng)漏洞利用過(guò)程中的復(fù)雜程度，在漏洞的防治機(jī)理和方法上也不能夠給出相應(yīng)的參考價(jià)值；

（5）已有分類(lèi)方法沒(méi)有涵蓋物聯(lián)網(wǎng)感知層系統(tǒng)或裝置的新型漏洞，如各類(lèi)小微傳感器的資源耗盡漏洞[13]、“黑洞”攻擊類(lèi)漏洞等；

（6）目前的分類(lèi)方法沒(méi)有體現(xiàn)物聯(lián)網(wǎng)產(chǎn)品研發(fā)過(guò)程中的異構(gòu)多源結(jié)合、第三方開(kāi)源資源復(fù)用以及多平臺(tái)編譯融合的特點(diǎn)，對(duì)物聯(lián)網(wǎng)中間件、平臺(tái)環(huán)境類(lèi)軟件漏洞屬性表現(xiàn)較弱[14]。

3 物聯(lián)網(wǎng)漏洞分類(lèi)方法——VCECI

3.1 基礎(chǔ)或依據(jù)

物聯(lián)網(wǎng)設(shè)備類(lèi)型復(fù)雜，形態(tài)各異，隨處可見(jiàn)。利用同一個(gè)平臺(tái)或套件進(jìn)行軟件、硬件的模塊化迭代開(kāi)發(fā)，從而適配不同行業(yè)應(yīng)用的需求，即所謂同源性。這是目前物聯(lián)網(wǎng)設(shè)備/系統(tǒng)研發(fā)較為普遍的模式[15]，因此將導(dǎo)致不同設(shè)備的軟/硬件及其存在漏洞的差異化，以及漏洞利用方式的多樣性。此外，物聯(lián)網(wǎng)漏洞的影響效果和漏洞利用復(fù)雜度具有很強(qiáng)的相關(guān)性[16]。

3.2 基于物聯(lián)網(wǎng)漏洞的同源性、影響效果和利用復(fù)雜度的分類(lèi)方法——VCECI

根據(jù)上述分析，提出物聯(lián)網(wǎng)漏洞三維分類(lèi)方法 ——VCECI（Vulnerability Classification Based on IoT Equipment Name、Consanguine Cross-platform Vulnerability、Influence），從物聯(lián)網(wǎng)設(shè)備、同源跨平臺(tái)漏洞、漏洞的影響效果和漏洞利用復(fù)雜度3個(gè)維度對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行科學(xué)分類(lèi)和標(biāo)識(shí)。VCECI是一種定量和定性相結(jié)合的漏洞分類(lèi)方法，物聯(lián)網(wǎng)設(shè)備和同源跨平臺(tái)漏洞屬于定性方面，而漏洞的影響效果和漏洞利用復(fù)雜度從定量角度對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行劃分。

3.2.1 VCECI分類(lèi)方法

VCECI科學(xué)分類(lèi)方法從3個(gè)維度對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行分類(lèi)：①根據(jù)物聯(lián)網(wǎng)產(chǎn)品類(lèi)型；②根據(jù)漏洞的同源跨平臺(tái)漏洞屬性；③漏洞的影響效果和漏洞利用復(fù)雜度。VCECI科學(xué)分類(lèi)方法如表1所示。

表1 VCECI分類(lèi)方法

其中，物聯(lián)網(wǎng)產(chǎn)品類(lèi)型漏洞可以包含幾乎已知的物聯(lián)網(wǎng)產(chǎn)品；同源跨平臺(tái)漏洞分成已知漏洞和未知漏洞兩類(lèi)，對(duì)于已知漏洞強(qiáng)調(diào)對(duì)同源漏洞在不同平臺(tái)上的標(biāo)識(shí)，對(duì)于未知漏洞則著重體現(xiàn)同一種未知漏洞源特征在不同平臺(tái)上的標(biāo)識(shí)；漏洞的影響效果和利用復(fù)雜度則從漏洞利用的方法和可能造成的危害后果進(jìn)行劃分。

3.2.2 VCECI方法的標(biāo)識(shí)機(jī)制

（1）物聯(lián)網(wǎng)產(chǎn)品類(lèi)型漏洞的標(biāo)識(shí)：XXX產(chǎn)品漏洞的方式，如網(wǎng)絡(luò)攝像頭漏洞、智能門(mén)鎖、智能電視、智能穿戴腕表以及路由器漏洞等；

（2）同源跨平臺(tái)漏洞的標(biāo)識(shí)分為兩種：已知漏洞標(biāo)識(shí)形式為漏洞源名稱(chēng)_平臺(tái)名稱(chēng)，如“OpenSSL_ARM”等；未知漏洞標(biāo)識(shí)形式為未知漏洞特征_平臺(tái)名稱(chēng)，如“OMG CORBA中間件崩潰_MIPS”等，其中平臺(tái)名稱(chēng)特別關(guān)注同一漏洞源的跨平臺(tái)特性；

（3）漏洞的影響效果和漏洞利用復(fù)雜度劃分的漏洞標(biāo)識(shí)：漏洞影響效果|漏洞利用復(fù)雜度系數(shù)（系數(shù)的產(chǎn)生將由數(shù)學(xué)計(jì)算公式計(jì)算得出），如DDoS|1。

3.2.3 定性和定量相結(jié)合的綜合標(biāo)識(shí)機(jī)制

在VCECI方法中，通過(guò)漏洞的影響效果和漏洞利用復(fù)雜度劃分漏洞的過(guò)程，使用了漏洞影響效果結(jié)合漏洞利用復(fù)雜度系數(shù)的定性和定量結(jié)合的綜合標(biāo)識(shí)方法，如圖1所示。

圖1 定性和定量相結(jié)合的綜合標(biāo)識(shí)機(jī)制

這種方法將每一個(gè)物聯(lián)網(wǎng)漏洞從危害程度和利用難度進(jìn)行深入分解，極大地降低了以往漏洞分類(lèi)方法中存在的交叉重復(fù)性。其中，定性方法是對(duì)物聯(lián)網(wǎng)漏洞影響效果的特征性、概括性描述，描述清楚漏洞導(dǎo)致什么后果或危害。漏洞利用復(fù)雜度系數(shù)屬于定量方法，需要依據(jù)數(shù)學(xué)計(jì)算公式計(jì)算漏洞利用復(fù)雜度系數(shù)，是VCECI方法區(qū)別于常規(guī)分類(lèi)方法的重點(diǎn)內(nèi)容。

3.3 物聯(lián)網(wǎng)漏洞利用復(fù)雜度系數(shù)的計(jì)算

漏洞利用一直是網(wǎng)絡(luò)安全研究人員關(guān)注的熱門(mén)話(huà)題之一。一種新型漏洞利用方式的出現(xiàn)，意味著一種新的安全漏洞的產(chǎn)生。不同的物聯(lián)網(wǎng)漏洞對(duì)應(yīng)著不同的漏洞利用方法，其復(fù)雜性呈現(xiàn)出很大的差異性，但對(duì)于漏洞利用復(fù)雜度目前并沒(méi)有標(biāo)準(zhǔn)的描述[17]。在本文的研究過(guò)程中，著重考察研究方法的可行性，因此對(duì)漏洞利用復(fù)雜度進(jìn)行了基本定義。

3.3.1 基本定義

經(jīng)過(guò)對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行系統(tǒng)性研究，認(rèn)為決定物聯(lián)網(wǎng)漏洞利用復(fù)雜度的影響因子主要有3個(gè)方面：漏洞利用步驟、漏洞利用所需資源、編寫(xiě)漏洞利用代碼。

（1）漏洞利用步驟為S，S為變量，即漏洞利用過(guò)程共需要有n步；

（2）漏洞利用所需工具資源為R，R為變量，即漏洞利用過(guò)程中需要借助使用的工具（如固件分析工具Binwalk、代碼動(dòng)態(tài)調(diào)試工具Ollydbg等）數(shù)量；

（3）編寫(xiě)漏洞利用代碼為D，D為變量。在項(xiàng)目研究的初期階段，為集中開(kāi)展原理性研究；簡(jiǎn)化計(jì)算過(guò)程暫時(shí)定義D為二進(jìn)制變量，只有兩種狀態(tài)：需要編寫(xiě)漏洞利用代碼則D=1，不需要編寫(xiě)漏洞利用代碼則D=0，如弱口令漏洞，僅需直接輸入猜中的口令即可完成權(quán)限獲取。隨著研究工作的深入，可以把D設(shè)置為非二進(jìn)制變量。

（4）漏洞利用復(fù)雜度為函數(shù)Y，Y=F(S,R,D)。通過(guò)函數(shù)F計(jì)算Y值，進(jìn)而標(biāo)定出漏洞利用復(fù)雜度，亦可以將Y計(jì)算值進(jìn)行歸一化處理，從而得出歸一化處理值的范圍（1、2、3、4、5……）。

3.3.2 函數(shù)Y的形式分析

物聯(lián)網(wǎng)漏洞利用復(fù)雜度=（漏洞利用步驟、漏洞利用所需資源、編寫(xiě)漏洞利用代碼），即Y=F(S,R,D)，可以有多種數(shù)學(xué)方法體現(xiàn)3因素決定的物聯(lián)網(wǎng)漏洞利用復(fù)雜程度，如加權(quán)求和平均法、判斷矩陣等?？梢砸曆芯抗ぷ鞯纳疃?，選擇不同的數(shù)學(xué)模型，進(jìn)而通過(guò)Y值大小比較出物聯(lián)網(wǎng)漏洞利用的難易程度。

4 VCECI分類(lèi)方法應(yīng)用與相關(guān)實(shí)驗(yàn)

4.1 物聯(lián)網(wǎng)漏洞利用復(fù)雜度數(shù)學(xué)計(jì)算公式設(shè)定

考慮到項(xiàng)目研究的階段性特征和物聯(lián)網(wǎng)漏洞挖掘技術(shù)的不斷進(jìn)步，物聯(lián)網(wǎng)漏洞利用復(fù)雜度=（漏洞利用步驟、漏洞利用所需資源、編寫(xiě)漏洞利用代碼），即Y=F(S,R,D)，初步設(shè)計(jì)為采用加權(quán)求和平均函數(shù)。Y=r1S+r2R+r3D，其中r1、r2、r3為加權(quán)系數(shù)。根據(jù)物聯(lián)網(wǎng)漏洞的特點(diǎn)，結(jié)合前期工作經(jīng)驗(yàn)，設(shè)定權(quán)重分別為r1=4.4、r2=3.6、r3=2，于是Y=4.4S+3.6R+2D。通過(guò)公式計(jì)算出每種物聯(lián)網(wǎng)漏洞的Y值Y1、Y2、Y3、…、Yn，在此基礎(chǔ)上依據(jù)多次實(shí)驗(yàn)的結(jié)果分析可進(jìn)一步分析出歸一化方法。對(duì)Y值進(jìn)行歸一化處理，Y值越小，表明漏洞利用越簡(jiǎn)單。

對(duì)物聯(lián)網(wǎng)漏洞利用復(fù)雜度進(jìn)行數(shù)學(xué)計(jì)算，是VCECI方法能夠明顯減少漏洞重復(fù)的核心之一，但其具體計(jì)算途徑將不僅限于此處討論的方法。隨著研究工作的深入，可以使用其他數(shù)學(xué)方式進(jìn)行計(jì)算。

4.2 評(píng)價(jià)指標(biāo)

考慮到漏洞分類(lèi)方法的實(shí)用性問(wèn)題，結(jié)合已有漏洞分類(lèi)方法的評(píng)估方式，實(shí)驗(yàn)評(píng)價(jià)主要考慮3個(gè)方面。

（1）VCECI方法確定的漏洞類(lèi)型所劃分出漏洞的重復(fù)率；

（2）VCECI漏洞分類(lèi)方法對(duì)已有漏洞庫(kù)的兼容情況；

（3）VCECI漏洞分類(lèi)方法對(duì)新發(fā)現(xiàn)漏洞的兼容情況。

4.3 實(shí)驗(yàn)步驟與結(jié)果分析

4.3.1 實(shí)驗(yàn)步驟

（1）選取2019年9月30日前Microsoft公司、CVE安全組織和Fortify Software公司等發(fā)布漏洞庫(kù)中的物聯(lián)網(wǎng)漏洞，作為已有漏洞庫(kù)的實(shí)驗(yàn)樣本；

（2）采用python語(yǔ)言實(shí)現(xiàn)本項(xiàng)目提出的VCECI方法及物聯(lián)網(wǎng)漏洞利用復(fù)雜度數(shù)學(xué)計(jì)算公式；

（3）使用VCECI方法對(duì)2019年9月30日前Microsoft公司、CVE安全組織和Fortify Software公司發(fā)布的軟件漏洞庫(kù)進(jìn)行初次劃分操作；

（4）對(duì)所選取的實(shí)驗(yàn)基準(zhǔn)漏洞庫(kù)進(jìn)行去重復(fù)化操作，評(píng)估實(shí)驗(yàn)結(jié)果；

（5）持續(xù)跟蹤國(guó)內(nèi)外從2019年10月1日開(kāi)始新公開(kāi)發(fā)布的物聯(lián)網(wǎng)漏洞，并作為實(shí)驗(yàn)輸入，視為未知漏洞。

4.3.2 實(shí)驗(yàn)結(jié)果

研究發(fā)現(xiàn)，截至目前，Microsoft、Fortify Software、CVE、CNNVD以及CNVD等國(guó)內(nèi)外知名漏洞庫(kù)并沒(méi)有專(zhuān)門(mén)標(biāo)識(shí)物聯(lián)網(wǎng)漏洞，需要根據(jù)公開(kāi)報(bào)道的每一個(gè)漏洞描述進(jìn)行判斷識(shí)別，工作量很大。實(shí)驗(yàn)初期階段，選擇508個(gè)已經(jīng)公開(kāi)的物聯(lián)網(wǎng)漏洞作為實(shí)驗(yàn)樣本，對(duì)這些漏洞按照VCECI方法進(jìn)行重新分類(lèi)，結(jié)果如下。

（1）不同分類(lèi)方法對(duì)同一漏洞的分類(lèi)結(jié)果比較

選擇CVE-2018-11976、CVE-2019-10540、CVE-2019-10539、CVE-2019-10921以 及 CVE-2015-2051漏洞，分別用VCECI方法分類(lèi)，對(duì)比情況如表2所示。

表2 不同方法對(duì)漏洞的分類(lèi)結(jié)果對(duì)比

使用VCECI分類(lèi)法對(duì)CVE-2018-11976、CVE-2019-10540和CVE-2019-10539進(jìn)行劃分，明確區(qū)分漏洞的產(chǎn)品、漏洞源和漏洞利用復(fù)雜度，并且可以對(duì)同一類(lèi)型的同源漏洞進(jìn)行概括，降低了重復(fù)率。

（2）漏洞重復(fù)率統(tǒng)計(jì)

選擇的508個(gè)漏洞均為CVE漏洞，因此應(yīng)用VCECI方法的程序逐一對(duì)這508個(gè)漏洞進(jìn)行研究分析。分類(lèi)處理后輸出的漏洞個(gè)數(shù)為481個(gè)，發(fā)現(xiàn)其中重復(fù)的同源漏洞為27個(gè)，重復(fù)率約為5.3%?？梢?jiàn)，使用VCECI方法能夠有效辨析物聯(lián)網(wǎng)漏洞中同源跨平臺(tái)現(xiàn)象，從而降低物聯(lián)網(wǎng)漏洞庫(kù)的重復(fù)率。兩種方法實(shí)驗(yàn)結(jié)果對(duì)比情況如圖2所示。

為評(píng)估實(shí)驗(yàn)結(jié)果，人工對(duì)508個(gè)CVE漏洞進(jìn)行對(duì)比分析，發(fā)現(xiàn)其中確實(shí)存在同源跨平臺(tái)物聯(lián)網(wǎng)漏洞交叉重復(fù)現(xiàn)象，而VCECI方法可以發(fā)現(xiàn)這種問(wèn)題。

（3）實(shí)驗(yàn)結(jié)論

經(jīng)過(guò)實(shí)驗(yàn)，VCECI方法確定的漏洞類(lèi)型所劃分的漏洞重復(fù)率較低，且可以對(duì)所選取的已知508個(gè)CVE漏洞實(shí)現(xiàn)全覆蓋。經(jīng)過(guò)跟蹤研究，它對(duì)2019年10月1日后新出現(xiàn)的漏洞兼容性也較好。

圖2 漏洞分類(lèi)實(shí)驗(yàn)重復(fù)率比較

（4）存在的不足及下一步的工作

物聯(lián)網(wǎng)漏洞利用復(fù)雜度的計(jì)算方法存在人工依賴(lài)性高的問(wèn)題，對(duì)于物聯(lián)網(wǎng)漏洞數(shù)量很多的情況，實(shí)際可操作性需要提升。后期可以利用人工智能算法訓(xùn)練出較為合理的物聯(lián)網(wǎng)漏洞復(fù)雜度算法，提高效率，同時(shí)需要進(jìn)一步加大樣本數(shù)量開(kāi)展更多實(shí)驗(yàn)，以驗(yàn)證VCECI方法的魯棒性。

5 結(jié) 語(yǔ)

漏洞分類(lèi)方法是研究物聯(lián)網(wǎng)漏洞及安全防護(hù)的重要內(nèi)容。本文分析已有漏洞分類(lèi)方法在表征物聯(lián)網(wǎng)漏洞時(shí)出現(xiàn)的問(wèn)題，結(jié)合物聯(lián)網(wǎng)終端設(shè)備的軟件和硬件開(kāi)發(fā)特點(diǎn)，提出從物聯(lián)網(wǎng)設(shè)備、同源跨平臺(tái)漏洞、漏洞的影響效果和漏洞利用復(fù)雜度3個(gè)維度對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行科學(xué)分類(lèi)的方法——VCECI，深入闡述VCECI方法的分類(lèi)過(guò)程，并選擇一定數(shù)量的物聯(lián)網(wǎng)漏洞，實(shí)驗(yàn)驗(yàn)證了VCECI方法的可行性。該方法有助于對(duì)物聯(lián)網(wǎng)漏洞進(jìn)行有效劃分，提高分類(lèi)的準(zhǔn)確性。后續(xù)的研究工作將結(jié)合最新的物聯(lián)網(wǎng)漏洞庫(kù)持續(xù)開(kāi)展實(shí)驗(yàn)，訓(xùn)練出更合理的物聯(lián)網(wǎng)漏洞利用復(fù)雜度系數(shù)，提高VCECI方法的適用性。