[发明专利]基于CVSS的漏洞风险基础评估方法

说明书

一种基于CVSS的漏洞风险基础评估方法。其包括对数据进行预处理的S01阶段；确定上述三项基础评估指标的权重并进行最优化的S02阶段；求解基础评估指标权重的S03阶段；4)计算出每一漏洞威胁的基础评估值的S04阶段。与现有技术相比，本发明提供的基于CVSS的漏洞风险基础评估方法是在CVSS评估基础上，重新设计基础评估指标权重分配方法，根据基础评估指标的相对重要性对其权重进行优化分配，并与灰色关联度指标权重求解方法结合，使评估结果更具客观性，提高了评估结果的多样性，便于直观地对漏洞威胁性加以区分。

技术领域

本发明属于系统安全技术领域，特别是涉及一种基于CVSS的漏洞风险基础评估方法。

背景技术

近几年来，信息系统的漏洞数量呈指数级数增长，高级持续性威胁(AdvancedPersistent Threat,APT)攻击不断涌现，并且具有极强的针对性和隐蔽性。以入侵检测、防火墙等技术为代表的传统防护手段已不足以应对这些安全威胁。漏洞威胁评分方法可根据漏洞自身的相关属性和危害程度的不同做出排序，并优先处理破坏性较强的安全漏洞，将漏洞可能引起的风险降低到最小。

依据评分结果的多样性，漏洞威胁评分分为定性评估和定量评估两种方法。根据相关要素以高、中、低三个量级评定漏洞风险等级的方法称为定性评估。但定性评估具有主观性强和可重复性差等特点，因此风险评估与应急响应过程中存在许多不确定因素。定量评估则是参照既定的评分标准，以量化数值的形式反映出漏洞的威胁程度。通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)给出了一个简洁统一的漏洞评分标准，以量化评分的形式，通过添加漏洞的相关属性，使安全机构能够量化计算漏洞的威胁程度，更好地降低漏洞带来的安全风险。

唐成华等提出了一种利用遗传模糊层次分析漏洞威胁的分析方法，利用改进的模糊层次分析法求出各种风险因素的权重，建立模糊矩阵，利用遗传算法求解分析。张恒巍等提出了基于博弈模型和风险矩阵的漏洞风险评分方法，针对安全漏洞，建立漏洞攻防博弈模型，结合攻击图和风险矩阵对漏洞连通关系进行定量分析。付志耀等采用粗糙集理论中可辨识矩阵算法，提出了基于粗糙集的漏洞评估方法，在漏洞属性约简和属性权重计算上有所提高。

但上述方法都是以单个安全漏洞威胁的量化评分为基础，依据CVSS并结合多个漏洞间的相互关联进行评分，量化计算出漏洞可能引起的风险程度。但CVSS自身存在不足，在制定时基础评估指标权重分配过多依赖于专家学者的主观经验决策，度量标准缺乏客观性。并且CVSS在对漏洞威胁进行基础评分的过程中对机密性影响、完整性影响及可利用性影响做均等权重分配而没有考虑其相对重要性，不能明确区分评分相近的漏洞的内部属性差异性，导致资源的重复和浪费。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于CVSS的漏洞风险基础评估方法。

为了达到上述目的，本发明提供的基于CVSS的漏洞风险基础评估方法包括按顺序进行的下列步骤：

1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段；

2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重，并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段；

3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶段；