[发明专利]一种基于指标权重的漏洞挖掘方法的评估策略

权利要求书

1.一种基于指标权重的漏洞挖掘方法的评估策略，其特征在于含有以下步骤：

步骤1、定义漏洞挖掘方法评估体系；

步骤2、将AHP方法应用于对漏洞挖掘方法的评估场景中，利用AHP对漏洞挖掘方法评估体系中的评估指标进行定量计算，定量计算的步骤包括：建立漏洞挖掘方法评估指标层次结构模型，构造判断矩阵、层次单排序和一致性判断；

步骤3、采用综合评分和指标评分的方式对漏洞挖掘方法进行综合评价。

2.根据权利要求1所述的基于指标权重的漏洞挖掘方法的评估策略，其特征在于步骤1所述的漏洞挖掘方法评估体系中包括了漏洞挖掘方法的三级评估指标；

一级评估指标包括功能性、效率、可靠性、易用性和可扩展性；

功能性的二级指标包括漏洞数、漏报率、误报率、正确率和覆盖率；

效率的二级指标包括响应时间开销、CPU开销和内存开销；

可靠性二级指标包括挖掘漏洞类型和漏洞危险级别；

易用性二级指标包括部署难易程度、易操作性、漏洞报告的易理解性和自动化程度；

可扩展性二级指标包括可移植性、易维护性和检测语言种类；

覆盖率三级指标包括语句覆盖率和分支覆盖率；

漏洞危险级别三级指标包括攻击复杂性、漏洞利用权限、漏洞访问途径、保密性影响、完整性影响和可利用性影响。

3.根据权利要求1所述的基于指标权重的漏洞挖掘方法的评估策略，其特征在于步骤2所述的建立漏洞挖掘方法评估指标层次结构模型由步骤1映射得来，即根据步骤1定义的漏洞挖掘方法评估体系，将对漏洞挖掘方法的评估按照总目标、次级目标的关系分为不同的评估指标层级，高级指标层级受多个低级指标层级影响，如此迭代下去，形成一级指标、二级指标和三级指标，建立出漏洞挖掘方法评估指标层次结构模型；层次结构模型中，使用w表示子指标所占权重比值，其中子指标是下级指标相对于上级指标而言；

所述构造判断矩阵表示的是根据步骤1所述的漏洞挖掘方法评估体系包括三级评估指标中某一级评估指标针对上一级某一个评估指标相对重要性的比较；在确定漏洞挖掘方法评估体系中的各级的每个评估指标之间的权重时采用“一致矩阵法”，是指不将对漏洞挖掘方法的所有评估指标放在一起比较，而是两两相互比较，对比时采用相对尺度，尽可能减少性质不同的各评估指标相互比较时的困难，提高准确度；

层次单排序通过对判断矩阵的每一列元素进行归一化处理，然后将处理后的矩阵按行相加，再对相加之后的矩阵进行归一化处理获得判断矩阵的特征向量的近似解，特征向量近似解为同一级的评估指标对于它上一级的评估指标相对重要性的排序权值；

一致性判断用于检验层次单排序结果是否合理，即所得到的特征向量是否与实际权重相符合，通过计算判断矩阵的最大特征根，进而计算一致性指标、一致性比率以判断所求的特征向量是否合理。

4.根据权利要求1所述的基于指标权重的漏洞挖掘方法的评估策略，其特征在于步骤3所述的对漏洞挖掘方法进行综合评价，采用综合评分和指标评分的方式，定义“指标路径”为步骤1所述的漏洞挖掘方法评估体系中的某一个层级评估指标到第三级评估指标所经历的所有指标的有序集合；综合评分和指标评分均是在评估指标的定量分析基础上进行，在已计算的评估指标权重基础上，采用权重和的计算方法判断一个漏洞挖掘方法的整体评分以及对于各层评估指标的评分。