[发明专利]基于CVSS的漏洞风险基础评估方法

权利要求书

1.一种基于CVSS的漏洞风险基础评估方法，其特征在于：所述的基于CVSS的漏洞风险基础评估方法包括按顺序进行的下列步骤：

1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段；

2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段；

3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶段；

4)计算出每一漏洞威胁的基础评估值的S04阶段：将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估；

在步骤1)中，所述的从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性的方法是：从NVD漏洞数据库内近三年收录的漏洞中随机选取5000个漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比，然后利用上述统计结果对机密性影响、完整性影响和可利用性影响进行双因素交叉作用下的列联表分析，分析两两因素间有无显著性影响；

在步骤2)中，所述的确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案的方法是：依据漏洞被成功利用后对系统的机密性影响、完整性影响和可利用性影响所造成的危害程度进行权重分配，并且由CVSS的权重分配结果可知：当系统的机密性、完整性和可用性没有受到破坏时，将权重值均设定为0；将造成完全影响的权重设定为部分影响的权重的2倍；所有权重值设定范围为0—7.0；为避免出现无法真实反映漏洞威胁的极端值，应保证完整性的完全影响大于机密性的部分影响，且可用性的完全影响大于完整性的部分影响，推导得出基础评估指标权重分配组合最优搜索方法，执行该搜索方法可得到14组满足条件的权重分配方案；

在步骤3)中，所述的利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重的方法是：将上一步骤得到的14组最优权重组合方案中不同权重分配方案的数据形式化表示为权重矩阵形式；

属于机密性影响、完整性影响和可利用性影响的漏洞数据分别包含无影响、部分影响及完全影响三种类别，其中无影响类别数据的基础评估指标权重均为0，无需计算，因此分别从部分影响及完全影响类别的权重矩阵中每一列选取一个最大值而组成该类别的参考数据列；

分别计算部分影响及完全影响类别的参考数据列与上述权重矩阵Z中基础评估指标序列的间距值；

利用上述间距值根据公式(12)求解出三项基础评估指标的权值W，i＝1,2,3；

当i＝1时，W表示机密性影响权值W_c；i＝2时，W表示完整性影响权值W_i；i＝3时，W表示可利用性影响权值W_a；

在步骤4)中，所述的将上一步骤获得的三项基础评估指标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利用该值对漏洞威胁进行评估的方法是：将上述获得的机密性影响权值、完整性影响权值、可利用性影响权值分别带入如公式(13)～(16)所示的CVSS中关于漏洞基本评价公式而计算出漏洞威胁的基础评估值，公式(15)中所包含的攻击途径、攻击复杂度及认证权值由表5列出：

基础评分值＝(0.6×影响性+0.4×可利用性影响-1.5)×f (13)

影响性＝10.41×(1-(1-机密性影响权值)×(1-完整性影响权值)×(1-可利用性影响权值))

(14)

可利用性影响＝20×攻击途径权值×攻击复杂度权值×认证权值 (15)

如果影响性＝0则f＝0,否则f＝1.176 (16)

然后在上述基础评分值的基础上添加时效性评估指标影响因子，最后再添加环境评估指标影响因子，最后得到一个最终的评估分数，取值范围为0～10，定义得分区间0～3.9为低级漏洞，4～6.9为中级漏洞，7～10为严重漏洞，最后依据最终的评估分数判断出漏洞威胁优先等级，进而确定出安全漏洞的修复顺序；

表5