[发明专利]一种基于多层次影响因子的安全漏洞威胁量化方法

权利要求书

1.一种基于多层次影响因子的安全漏洞威胁量化方法，其特征在于，包括：

步骤1：确定需要爬取的网站，爬取网站数据，并进行处理，获取与热度评估相关的内容；

步骤2：处理爬取到的网站数据，进行热度评估，通过公式1，修正CVSS基本因子得分；

Score_Base＝min[(Score_Base+Score_Concerned)，8]， 公式1；

其中，Score_Concerned＝5*Publish*Click*Transmit 公式2；

其中，Score_Concerned为热度得分，Score_Base为基本得分，Publish为发表次数，Click为点击次数，Transmit为转发次数；

步骤3：进行资产评估；

步骤4：将步骤3获取的资产评估结果，参照CVSS的算法，CVSS基本得分进行融合得到最终的漏洞评分，带入到CVSS评估算法中得到最终的漏洞评分；

CVSS算法中计算特定环境下的数据完整性、机密性和可用性影响因子的计算包括：

ISC＝min[[1-(1-I_Conf*CR)*(1-I_Integ*IR)*(1-I_Avail*AR)]，0.915] 公式3；

其中，ISC为环境影响因子；I_Conf为机密性因子，CR为机密性需求；I_Integ为完整性因子，IR为完整性需求；I_Avail为可用性因子，AR为可用性需求；

利用资产评估修正原公式中的环境影响因子为资产影响因子，得到：

ISC＝min[[1-(1-I_Price*PR)*(1-I_Freq*FR)*(1-I_Role*RR)*(1-I_Protec*PrR)]，0.915] 公式4；

其中，I_Price为价格因子，PR为价格需求；I_Freq为使用频率因子，FR为使用频率需求；I_Role为网络角色因子，RR为网络角色需求；I_Protec为物理保护因子，PrR为物理保护需求；

资产得分Score_Asset＝6.42*ISC 公式5；

特定环境下某一漏洞的威胁量化结果为：

Score＝Min[(Score_Exploit+Score_Asset)，10] 公式6；

其中，Score_Exploit为基本因子中的漏洞利用得分：

Score_Exploit＝8.22*攻击向量*攻击复杂度*权限需求*用户交互 公式7。

2.如权利要求1所述的基于多层次影响因子的安全漏洞威胁量化方法，其特征在于，步骤1具体包括：

将需要爬取原始地址存储，根据原始地址进行网页爬取，对爬取的网页进行解析，将解析出的外链地址保存，获取与热度评估相关的内容。

3.如权利要求1所述的基于多层次影响因子的安全漏洞威胁量化方法，其特征在于，步骤2还包括：

获得某个漏洞在信息安全论坛或网站的发帖次数、点击次数、在微博的发帖次数以及转发次数，将热度因子指标分级处理。

4.如权利要求1所述的基于多层次影响因子的安全漏洞威胁量化方法，其特征在于，步骤3中资产评估所用到的资产指标包括：目标节点的价格、平均每天使用的小时数、节点在网络中起的作用以及节点受到的物理保护程度。

5.如权利要求1所述的基于多层次影响因子的安全漏洞威胁量化方法，其特征在于，

步骤4：将步骤3获取的资产评估结果，参照CVSS的算法，将CVSS的算法中关于数据完整性、机密性和可用性的主观指标替换为资产相关的客观指标，带入到CVSS评估算法中得到在特定环境下某一漏洞的威胁量化结果。