漏洞严重性的灰色层次分析评估模型

杨宏宇，谢丽霞，朱 丹

(中国民航大学计算机科学与技术学院 天津 东丽区 300300)

近年来，随着互联网技术的发展和网络应用规模的扩大，网络信息安全事件的发生也越来越频繁。据统计，2007年5月～2008年5月，在被公安部调查的单位中，62.7%的单位发生过网络安全事件，32%的单位多次发生安全事件，其中，未修补的网络安全漏洞是导致安全事件发生的最主要原因[1]。漏洞也叫脆弱性，是指在硬件、软件、协议的设计、具体实现或系统安全策略上存在的缺陷。脆弱性是计算机系统的一组特性，恶意的主体(攻击者或者攻击程序)能够利用该组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害[2]。

据统计，在每周信息安全通报中，有超过50个新漏洞被发现[3]，因而处理系统漏洞的工作量非常大。为提高对漏洞的处理效率，确保漏洞补丁和系统安全加固措施的有效性，必须对每个已知系统漏洞的严重性和威胁程度进行量化评估，并确定其优先处理等级。在计算机安全领域，特别是网络安全领域，对计算机系统进行脆弱性量化评估十分重要[4]。

1 相关工作

2007年6月20日，美国信息安全响应与安全组(FIRST)和通用安全漏洞评分系统专家组(CVSS-SIG)联合发布了通用缺陷评估系统(common vulnerability scoring system，CVSS)2.0版本[5]。通过对CVSS2.0的研究发现，CVSS无法解决对系统评估要素及其重要性的量化评分问题，也不能解决漏洞评估指标的权重分配问题。

文献[6]提出了一种针对主机安全性的量化融合模型，通过对安全信息的信任度融合及关联分析，提出对主机漏洞存在可能性及漏洞可利用性的分析方法。但该研究没有指出如何解决漏洞各因素之间的相互影响关系，也没有给出如何建立漏洞可利用性影响因素和安全性量化指标之间的转换方法。

文献[7]提出了基于公共漏洞及暴露标准(common vulnerabilities & exposures，CVE)漏洞库的生存性量化分析方法，利用CVE漏洞库的漏洞检索项和工具包对被测系统进行模拟攻击，利用攻击结果计算系统的生存性量化值。但该研究没有给出确定各属性的影响权重值的算法。

由于漏洞严重性评估过程涉及多个层面、多个因素，且部分信息明确、部分信息不明确，因此具有不确定性和复杂性。本文采用层次分析法和灰色系统理论的灰色评估方法建立一种漏洞严重性评估模型。

2 漏洞严重性因素权重的获取方法

层次分析法(analytical hierarchy process，AHP)是一种将定性与定量分析相结合的多因素决策分析法，适用于存在不确定性和主观信息的情况[8]。层次分析法求解问题时，把问题分解成不同的组成元素，再按照各元素间的隶属关系，通过它们之间的相互影响、相互关联建立一个多层次的分析结构模型，并通过两两比较的方式确定层次中各元素的相对重要性。AHP提高了决策者进行决策的有效性、可靠性和可行性，是一种十分有效的系统分析和科学决策方法。

本文采用AHP建立漏洞严重性递阶层次分析模型，确定影响漏洞严重性各因素的权重值。该方法包括以下4个步骤：

(1) 建立递阶层次结构模型

递阶层次结构模型主要分为3个层次：最高层只有一个元素，一般是分析问题的预定目标或理想结果；中间层一般为准则、子准则，即能否达到目标的判断准则，可由若干个层次组成；最低层包括为实现目标可供选择的各种措施、决策、方案等。模型如图1所示。

图1 递阶层次模型

(2) 构造判断矩阵

层次分析法评判标度及其含义如表1所示，参照表1的比较标度，运用成对比较法比较同一层次中各因素关于上一层次的同一个因素的相对重要性，从而构成判断矩阵(也称成对比较矩阵)。假设判断矩阵A=(aij)n×n，可以表示为：

表1 层次分析法评判标度及其含义

(3) 计算权向量

采用方根法计算每一个判断矩阵的最大特征根λmax及对应特征向量W=(w1,w2, …,wn)T。

(4) 一致性检验

表2 随机一致性指标RI值

3 漏洞严重性影响因素的量化算法

灰色系统理论以“部分信息已知，部分信息未知”的“小样本”“贫信息”不确定性系统为研究对象，主要通过对“部分”已知信息的生成、开发，提取有价值的信息[9-11]。由于中心点三角白化权函数[11]在交叉现象、聚类系数、端点选取等方面优于传统的三角白化权函数，因此本文采用灰色系统理论中的基于中心点三角白化权函数的灰色评估方法，解决漏洞严重性影响因素的量化问题。建立中心点三角白化权函数的方法包括以下两个步骤：

(1) 划分灰类

按照评估要求所需划分的灰类数s，选取λ1,λ2, …,λs为最属于灰类1, 2, …,s的中心点，将各个指标的取值范围也相应地划分为s个灰类，如将j指标的取值范围[λ1,λs+1]划分为s个小区间[λ1,λ2], …,[λk−1,λk], …, [λs−1,λs], [λs,λs+1]。

(2) 观测值的灰类隶属度计算

4 灰色层次评估模型

4.1 模型设计

根据层次化网络安全威胁态势定量评估的思想[12]，基于AHP递阶层次结构模型建立漏洞量化评估模型的指标体系，如图2所示。

图2 灰色层次评估模型结构图

采用基于中心点三角白化权函数的灰色评估方法计算指标体系中最底层各评估指标属于各灰类的灰色评价权向量。由于灰色评估方法没有指出如何确定各评估指标的权重计算更高层指标的灰色评价权向量，故本文采用AHP确定各评估指标权重，再结合灰色评估方法，综合评估中间层和目标层指标属于各灰类的灰色评价权向量，最终确定目标层指标的量化值及所属的灰类。

4.2 漏洞评估方法

1) 建立漏洞评估指标体系

借鉴CVSS、漏洞生命周期理论和AHP递阶层次结构模型，根据漏洞严重性的影响因素，从漏洞可信度、可利用性、对目标系统的安全性影响、修复水平4个方面建立漏洞严重性评估指标体系，如表3所示。

表3 漏洞严重性评估指标体系

设0级指标为A，一级评价指标集合为Bi(i=1,2,3,4)；二级评价指标集合为Cij(i=1,j=1,2；i=2,j=1,2,3；i=3,j=1, 2, 3；i=4,j=1, 2, 3)。

2) 计算各层指标权重

用AHP求解各层指标的权重集。其中0级指标A关于一级指标Bi的权重集设为W=(w1,w2,w3,w4)T；一级指标Bi关于其下属的二级指标Cij的权重集设为W1=(w11,w12)T，W2=(w21,w22,w23)T，W3=(w31,w32,w33)T，W4=(w41,w42,w43)T。

3) 划分灰类并确定指标取值

(1) 确定灰类

将各指标的取值分为4个灰类，分别为“低”“偏低”“中”“高”。选取最属于灰类1、2、3、4的中心点λ1、λ2、λ3、λ4，它们的值分别取为2.0、4.0、6.0、8.0，再将指标的灰类取值向左、右各延拓至λ0=0.0、λ5=10.0，从而将各指标的取值划分5个灰类区间[λ0,λ1]、[λ1,λ2]、[λ2,λ3]、[λ3,λ4]、[λ4,λ5]。

(2) 确定指标取值

由专家对指标评分确定指标取值，假设请m位评价专家考评各指标，设专家序号为h(h=1,2,…,m)。通过给出各指标评价等级的标准，请每一位专家分别独立地考察漏洞，对每一评价指标进行评价，按照等级标准打分，记为dijh，据此得出漏洞的评价样本矩阵D。

4) 计算各指标的灰色评价权并综合分析

(1) 建立各灰类的中心点白化权函数

指标j的一个观测值x属于灰类k(k=0,1,2,3,4,5)中心点白化函数fjk(x)。

(2) 计算各指标对应各灰类的灰色评价权[10-11]

对于二级评价指标Cij，属于第k个评价灰类的灰色评价系数定义为：

接着对0级指标A下属的一级指标Bi做综合评价，其综合评价权向量记为V，则有：

将各评价灰类等级按“灰水平”赋值，即各评价灰类等级值化向量S=(更低，低，偏低，中，高，更高)=(0.0,2.0,4.0,6.0,8.0,10.0)。记为：

式中UV表示漏洞严重性的等级值。

5 实验与结果

5.1 实验环境

为了验证本文提出的灰色层次模型对漏洞严重性评估的有效性，采用Nmap和Nessus作为漏洞扫描工具，对实验室局域网服务器和网络进行漏洞扫描。服务器操作系统为Microsoft Windows Server 2003 Service Pack 2，Windows防火墙开启，并装有瑞星安全防护系统。漏洞评估实验所采用的漏洞标准是CVE。

首先用Nmap对主机进行端口扫描，然后用Nessus对主机的端口进行漏洞扫描[13]，得到CVE-2005-1794、CVE-2002-1117、CVE-1999-0524、CVE-2004-0002和CVE-2004-0060 5个安全漏洞本文以CVE- 2005-1794漏洞为例进行漏洞量化评估演示。从美国国家漏洞库(national vulnerability database，NVD)获取的漏洞CVE-2005-1794的详细信息如表4所示。

表4 漏洞CVE-2005-1794的NVD详细信息

5.2 实验与计算过程

根据漏洞扫描所获得CVE-2005-1794漏洞的详细信息，对漏洞的严重性进行评估。

(1) 构造评估体系中每一层的判断矩阵，分别为：

(2) 一致性验证及确定指标权重

由步骤(1)得到的判断矩阵，计算各层指标权重W1～W4。

对各判断矩阵进行一致性验证，得到各矩阵的最大特征值为λmax(C1)=1.944，λmax(C2)=3.036，λmax(C3)=2.608，λmax(C4)=2.257，λmax(B)=4.222。

计算得到各矩阵相对一致性指标为CR(C1)=−0.056≤0.10，CR(C2)=0.031≤0.10，CR(C3)= − 0.338≤0.10，CR(C4)= − 0.409≤0.10，CR(B)=0.081≤0.10。

经验证，各矩阵的相对一致性指标均小于0.10，故各判断矩阵均具有满意的一致性，判断结果合理。

(3) 假设有一位专家Mijk=fijk(dij1)，请专家打分，获得由各二级指标得分组成的评分样本矩阵：

计算各二级指标Cij属于各个灰类的灰色评价系数，得到一级指标Bi的所有二级指标Cij对于各个评价灰类的灰色评价权矩阵M1、M2、M3、M4。

(4) 计算0级指标A下属所有一级指标Bi对于各评价灰类的灰色评价权矩阵：

(5) 计算总指标A的灰色评价权向量：

(6) 计算该漏洞严重性的综合量化值：

采用上述方法和流程对其他4个漏洞的严重性进行评估，得到所有漏洞的严重性等级和综合量化值，如表5所示。

5.3 结果分析

本文模型在评估过程中根据被评对象的实际情况确定各影响因素的权重和量化值。漏洞严重性评估结果亦如表5所示。漏洞CVE-2002-1117被攻击后会造成对系统未授权信息的披露，而系统对安全需求保密性要求最高，本文模型对该漏洞严重性的评估结果在中、高之间，并偏高，综合量化值为5.871。漏洞CVE-2004-006被攻击后会造成对系统的服务中断，而系统对安全需求可用性的要求相对保密性要低很多，本文模型对该漏洞严重性的评估结果等级为很低，综合量化值为3.570。因此本文模型能真实有效地评估系统中漏洞的严重性。

表5 漏洞严重性评估结果

6 结 论

为了提高对漏洞的处理效率，方便确定漏洞的优先处理等级，需要对漏洞的严重性进行评估。在网络与信息安全领域，系统和网络的脆弱性评估正在成为一个研究热点。本文提出了一种基于灰色评估方法和层次分析法的漏洞量化评估模型，根据漏洞严重性的影响因素，从可信度、可能性、影响程度、修复水平4个方面建立漏洞严重性评估指标体系；采用层次分析法建立漏洞严重性递阶层次分析模型，确定影响漏洞严重性各因素的权重值；通过灰色层次评估模型对漏洞的严重性进行综合量化计算和评估。实验结果表明，本文提出的模型对系统漏洞的严重性能有效、准确地进行量化评估。

[1] 公安部. 62.7%的被调查单位发生过网络安全事件[EB/OL]. [2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.The Ministry of Public Security of China. 62.7%investigated enterprises occurred network security events[EB/OL].[2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.

[2] 邢栩嘉, 林 闯, 蒋屹新. 计算机系统脆弱性评估研究[J].计算机学报, 2004, 27(1): 1-11.XING Xu-jia, LIN Chuang, JIANG Yi-xin. A survey of computer vulnerability assessment[J]. Chinese Journal of Computers, 2004, 27(1): 1-11.

[3] OPPLEMAN V, FRIEDRICHS O, WATSON B. Extreme exploits: advanced defenses against hardcore hacks[M].Columbus, OH: McGraw-Hill Education Company Inc,2005.

[4] 王秋艳, 张玉清. 一种通用漏洞评级方法[J]. 计算机工程,2008, 34(19): 133-136.WANG Yan-qiu, ZHANG Yu-qing. Common vulnerability rating method[J]. Computer Engineering, 2008, 34(19):133-136.

[5] MELL P, SCARFONE K, ROMANOSKY S. A complete guide to the common vulnerability scoring system version 2.0[EB/OL]. [2009-03-04]. http://www.first.org/cvss/ cvssguide.html.

[6] 陆余良, 夏 阳. 主机安全量化融合模型研究[J]. 计算机学报, 2005, 28(5): 914-920.LU Yu-liang, XIA Yang. Research on target-computer secure quantitative fusion model[J]. Chinese Journal of Computers,2005, 28(5): 914-920.

[7] 王王王, 许榕生. 基于CVE漏洞库的生存性量化分析数据库和量化算法的设计[J]. 计算机应用, 2008, 28(2):415-421.WANG Xin-zhe, XU Rong-sheng. Design of survivability quantum analysis database and quantum algorithm based on CVE database[J]. Journal of Computer Applications, 2008,28(2): 415-421.

[8] 赵焕臣, 许树伯, 金 生. 层次分析法[M]. 北京: 科学出版社, 1986.ZHAO Huan-chen, XU Shu-bo, JIN Sheng. Analytic hierarchy process[M]. Beijing: Science Press, 1986.

[9] 刘思峰, 党耀国, 方志耕. 灰色系统理论及其应用[M].北京: 科学出版社, 2005.LIU Si-feng, DANG Yao-guo, FANG Zhi-geng. Grey system theory and its application[M]. Beijing: Science Press,2005.

[10] 邓聚龙, 王仲东, 李 峰. 灰预测与灰评估理论及其应用[D]. 武汉: 华中科技大学, 2002.DENG Ju-long, WANG Zhong-dong, LI Feng. Grey prediction and grey evaluation theory and application[D].Wuhan: Huazhong University of Science and Technology,2002.

[11] 刘思峰, 谢乃明. 基于改进三角白化权函数的灰评估方法[J/OL]. [2009-03-04]. 中国科技论文在线http://www.paper. edu.cn.LIU Si-feng, XIE Nai-ming. A new grey evaluation method based on reformative triangular whitenization weight function[J/OL]. [2009-03-04]. Chinese Science paper Online, http://www.paper.edu.cn.

[12] 陈秀真, 郑庆华, 管晓宏, 等. 层次化网络安全威胁态势量化评估方法[J]. 软件学报, 2006, 4(17): 885-897.CHEN Xiu-zhen, ZHENG Qing-hua, GUAN Xiao-hong, et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006, 4(17):885-897.

[13] LAI Y, HSIA P. Using the vulnerability information of computer systems to improve the network security[J].Computer Communications, 2007, 30(9): 2032-2047.