楊宏宇，謝麗霞，朱 丹

(中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 天津 東麗區(qū) 300300)

近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用規(guī)模的擴(kuò)大，網(wǎng)絡(luò)信息安全事件的發(fā)生也越來(lái)越頻繁。據(jù)統(tǒng)計(jì)，2007年5月～2008年5月，在被公安部調(diào)查的單位中，62.7%的單位發(fā)生過(guò)網(wǎng)絡(luò)安全事件，32%的單位多次發(fā)生安全事件，其中，未修補(bǔ)的網(wǎng)絡(luò)安全漏洞是導(dǎo)致安全事件發(fā)生的最主要原因[1]。漏洞也叫脆弱性，是指在硬件、軟件、協(xié)議的設(shè)計(jì)、具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷。脆弱性是計(jì)算機(jī)系統(tǒng)的一組特性，惡意的主體(攻擊者或者攻擊程序)能夠利用該組特性，通過(guò)已授權(quán)的手段和方式獲取對(duì)資源的未授權(quán)訪問(wèn)，或者對(duì)系統(tǒng)造成損害[2]。

據(jù)統(tǒng)計(jì)，在每周信息安全通報(bào)中，有超過(guò)50個(gè)新漏洞被發(fā)現(xiàn)[3]，因而處理系統(tǒng)漏洞的工作量非常大。為提高對(duì)漏洞的處理效率，確保漏洞補(bǔ)丁和系統(tǒng)安全加固措施的有效性，必須對(duì)每個(gè)已知系統(tǒng)漏洞的嚴(yán)重性和威脅程度進(jìn)行量化評(píng)估，并確定其優(yōu)先處理等級(jí)。在計(jì)算機(jī)安全領(lǐng)域，特別是網(wǎng)絡(luò)安全領(lǐng)域，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行脆弱性量化評(píng)估十分重要[4]。

1 相關(guān)工作

2007年6月20日，美國(guó)信息安全響應(yīng)與安全組(FIRST)和通用安全漏洞評(píng)分系統(tǒng)專家組(CVSS-SIG)聯(lián)合發(fā)布了通用缺陷評(píng)估系統(tǒng)(common vulnerability scoring system，CVSS)2.0版本[5]。通過(guò)對(duì)CVSS2.0的研究發(fā)現(xiàn)，CVSS無(wú)法解決對(duì)系統(tǒng)評(píng)估要素及其重要性的量化評(píng)分問(wèn)題，也不能解決漏洞評(píng)估指標(biāo)的權(quán)重分配問(wèn)題。

文獻(xiàn)[6]提出了一種針對(duì)主機(jī)安全性的量化融合模型，通過(guò)對(duì)安全信息的信任度融合及關(guān)聯(lián)分析，提出對(duì)主機(jī)漏洞存在可能性及漏洞可利用性的分析方法。但該研究沒(méi)有指出如何解決漏洞各因素之間的相互影響關(guān)系，也沒(méi)有給出如何建立漏洞可利用性影響因素和安全性量化指標(biāo)之間的轉(zhuǎn)換方法。

文獻(xiàn)[7]提出了基于公共漏洞及暴露標(biāo)準(zhǔn)(common vulnerabilities & exposures，CVE)漏洞庫(kù)的生存性量化分析方法，利用CVE漏洞庫(kù)的漏洞檢索項(xiàng)和工具包對(duì)被測(cè)系統(tǒng)進(jìn)行模擬攻擊，利用攻擊結(jié)果計(jì)算系統(tǒng)的生存性量化值。但該研究沒(méi)有給出確定各屬性的影響權(quán)重值的算法。

由于漏洞嚴(yán)重性評(píng)估過(guò)程涉及多個(gè)層面、多個(gè)因素，且部分信息明確、部分信息不明確，因此具有不確定性和復(fù)雜性。本文采用層次分析法和灰色系統(tǒng)理論的灰色評(píng)估方法建立一種漏洞嚴(yán)重性評(píng)估模型。

2 漏洞嚴(yán)重性因素權(quán)重的獲取方法

層次分析法(analytical hierarchy process，AHP)是一種將定性與定量分析相結(jié)合的多因素決策分析法，適用于存在不確定性和主觀信息的情況[8]。層次分析法求解問(wèn)題時(shí)，把問(wèn)題分解成不同的組成元素，再按照各元素間的隸屬關(guān)系，通過(guò)它們之間的相互影響、相互關(guān)聯(lián)建立一個(gè)多層次的分析結(jié)構(gòu)模型，并通過(guò)兩兩比較的方式確定層次中各元素的相對(duì)重要性。AHP提高了決策者進(jìn)行決策的有效性、可靠性和可行性，是一種十分有效的系統(tǒng)分析和科學(xué)決策方法。

本文采用AHP建立漏洞嚴(yán)重性遞階層次分析模型，確定影響漏洞嚴(yán)重性各因素的權(quán)重值。該方法包括以下4個(gè)步驟：

(1) 建立遞階層次結(jié)構(gòu)模型

遞階層次結(jié)構(gòu)模型主要分為3個(gè)層次：最高層只有一個(gè)元素，一般是分析問(wèn)題的預(yù)定目標(biāo)或理想結(jié)果；中間層一般為準(zhǔn)則、子準(zhǔn)則，即能否達(dá)到目標(biāo)的判斷準(zhǔn)則，可由若干個(gè)層次組成；最低層包括為實(shí)現(xiàn)目標(biāo)可供選擇的各種措施、決策、方案等。模型如圖1所示。

圖1 遞階層次模型

(2) 構(gòu)造判斷矩陣

層次分析法評(píng)判標(biāo)度及其含義如表1所示，參照表1的比較標(biāo)度，運(yùn)用成對(duì)比較法比較同一層次中各因素關(guān)于上一層次的同一個(gè)因素的相對(duì)重要性，從而構(gòu)成判斷矩陣(也稱成對(duì)比較矩陣)。假設(shè)判斷矩陣A=(aij)n×n，可以表示為：

表1 層次分析法評(píng)判標(biāo)度及其含義

(3) 計(jì)算權(quán)向量

采用方根法計(jì)算每一個(gè)判斷矩陣的最大特征根λmax及對(duì)應(yīng)特征向量W=(w1,w2, …,wn)T。

(4) 一致性檢驗(yàn)

表2 隨機(jī)一致性指標(biāo)RI值

3 漏洞嚴(yán)重性影響因素的量化算法

灰色系統(tǒng)理論以“部分信息已知，部分信息未知”的“小樣本”“貧信息”不確定性系統(tǒng)為研究對(duì)象，主要通過(guò)對(duì)“部分”已知信息的生成、開(kāi)發(fā)，提取有價(jià)值的信息[9-11]。由于中心點(diǎn)三角白化權(quán)函數(shù)[11]在交叉現(xiàn)象、聚類系數(shù)、端點(diǎn)選取等方面優(yōu)于傳統(tǒng)的三角白化權(quán)函數(shù)，因此本文采用灰色系統(tǒng)理論中的基于中心點(diǎn)三角白化權(quán)函數(shù)的灰色評(píng)估方法，解決漏洞嚴(yán)重性影響因素的量化問(wèn)題。建立中心點(diǎn)三角白化權(quán)函數(shù)的方法包括以下兩個(gè)步驟：

(1) 劃分灰類

按照評(píng)估要求所需劃分的灰類數(shù)s，選取λ1,λ2, …,λs為最屬于灰類1, 2, …,s的中心點(diǎn)，將各個(gè)指標(biāo)的取值范圍也相應(yīng)地劃分為s個(gè)灰類，如將j指標(biāo)的取值范圍[λ1,λs+1]劃分為s個(gè)小區(qū)間[λ1,λ2], …,[λk?1,λk], …, [λs?1,λs], [λs,λs+1]。

(2) 觀測(cè)值的灰類隸屬度計(jì)算

4 灰色層次評(píng)估模型

4.1 模型設(shè)計(jì)

根據(jù)層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)定量評(píng)估的思想[12]，基于AHP遞階層次結(jié)構(gòu)模型建立漏洞量化評(píng)估模型的指標(biāo)體系，如圖2所示。

圖2 灰色層次評(píng)估模型結(jié)構(gòu)圖

采用基于中心點(diǎn)三角白化權(quán)函數(shù)的灰色評(píng)估方法計(jì)算指標(biāo)體系中最底層各評(píng)估指標(biāo)屬于各灰類的灰色評(píng)價(jià)權(quán)向量。由于灰色評(píng)估方法沒(méi)有指出如何確定各評(píng)估指標(biāo)的權(quán)重計(jì)算更高層指標(biāo)的灰色評(píng)價(jià)權(quán)向量，故本文采用AHP確定各評(píng)估指標(biāo)權(quán)重，再結(jié)合灰色評(píng)估方法，綜合評(píng)估中間層和目標(biāo)層指標(biāo)屬于各灰類的灰色評(píng)價(jià)權(quán)向量，最終確定目標(biāo)層指標(biāo)的量化值及所屬的灰類。

4.2 漏洞評(píng)估方法

1) 建立漏洞評(píng)估指標(biāo)體系

借鑒CVSS、漏洞生命周期理論和AHP遞階層次結(jié)構(gòu)模型，根據(jù)漏洞嚴(yán)重性的影響因素，從漏洞可信度、可利用性、對(duì)目標(biāo)系統(tǒng)的安全性影響、修復(fù)水平4個(gè)方面建立漏洞嚴(yán)重性評(píng)估指標(biāo)體系，如表3所示。

表3 漏洞嚴(yán)重性評(píng)估指標(biāo)體系

設(shè)0級(jí)指標(biāo)為A，一級(jí)評(píng)價(jià)指標(biāo)集合為Bi(i=1,2,3,4)；二級(jí)評(píng)價(jià)指標(biāo)集合為Cij(i=1,j=1,2；i=2,j=1,2,3；i=3,j=1, 2, 3；i=4,j=1, 2, 3)。

2) 計(jì)算各層指標(biāo)權(quán)重

用AHP求解各層指標(biāo)的權(quán)重集。其中0級(jí)指標(biāo)A關(guān)于一級(jí)指標(biāo)Bi的權(quán)重集設(shè)為W=(w1,w2,w3,w4)T；一級(jí)指標(biāo)Bi關(guān)于其下屬的二級(jí)指標(biāo)Cij的權(quán)重集設(shè)為W1=(w11,w12)T，W2=(w21,w22,w23)T，W3=(w31,w32,w33)T，W4=(w41,w42,w43)T。

3) 劃分灰類并確定指標(biāo)取值

(1) 確定灰類

將各指標(biāo)的取值分為4個(gè)灰類，分別為“低”“偏低”“中”“高”。選取最屬于灰類1、2、3、4的中心點(diǎn)λ1、λ2、λ3、λ4，它們的值分別取為2.0、4.0、6.0、8.0，再將指標(biāo)的灰類取值向左、右各延拓至λ0=0.0、λ5=10.0，從而將各指標(biāo)的取值劃分5個(gè)灰類區(qū)間[λ0,λ1]、[λ1,λ2]、[λ2,λ3]、[λ3,λ4]、[λ4,λ5]。

(2) 確定指標(biāo)取值

由專家對(duì)指標(biāo)評(píng)分確定指標(biāo)取值，假設(shè)請(qǐng)m位評(píng)價(jià)專家考評(píng)各指標(biāo)，設(shè)專家序號(hào)為h(h=1,2,…,m)。通過(guò)給出各指標(biāo)評(píng)價(jià)等級(jí)的標(biāo)準(zhǔn)，請(qǐng)每一位專家分別獨(dú)立地考察漏洞，對(duì)每一評(píng)價(jià)指標(biāo)進(jìn)行評(píng)價(jià)，按照等級(jí)標(biāo)準(zhǔn)打分，記為dijh，據(jù)此得出漏洞的評(píng)價(jià)樣本矩陣D。

4) 計(jì)算各指標(biāo)的灰色評(píng)價(jià)權(quán)并綜合分析

(1) 建立各灰類的中心點(diǎn)白化權(quán)函數(shù)

指標(biāo)j的一個(gè)觀測(cè)值x屬于灰類k(k=0,1,2,3,4,5)中心點(diǎn)白化函數(shù)fjk(x)。

(2) 計(jì)算各指標(biāo)對(duì)應(yīng)各灰類的灰色評(píng)價(jià)權(quán)[10-11]

對(duì)于二級(jí)評(píng)價(jià)指標(biāo)Cij，屬于第k個(gè)評(píng)價(jià)灰類的灰色評(píng)價(jià)系數(shù)定義為：

接著對(duì)0級(jí)指標(biāo)A下屬的一級(jí)指標(biāo)Bi做綜合評(píng)價(jià)，其綜合評(píng)價(jià)權(quán)向量記為V，則有：

將各評(píng)價(jià)灰類等級(jí)按“灰水平”賦值，即各評(píng)價(jià)灰類等級(jí)值化向量S=(更低，低，偏低，中，高，更高)=(0.0,2.0,4.0,6.0,8.0,10.0)。記為：

式中UV表示漏洞嚴(yán)重性的等級(jí)值。

5 實(shí)驗(yàn)與結(jié)果

5.1 實(shí)驗(yàn)環(huán)境

為了驗(yàn)證本文提出的灰色層次模型對(duì)漏洞嚴(yán)重性評(píng)估的有效性，采用Nmap和Nessus作為漏洞掃描工具，對(duì)實(shí)驗(yàn)室局域網(wǎng)服務(wù)器和網(wǎng)絡(luò)進(jìn)行漏洞掃描。服務(wù)器操作系統(tǒng)為Microsoft Windows Server 2003 Service Pack 2，Windows防火墻開(kāi)啟，并裝有瑞星安全防護(hù)系統(tǒng)。漏洞評(píng)估實(shí)驗(yàn)所采用的漏洞標(biāo)準(zhǔn)是CVE。

首先用Nmap對(duì)主機(jī)進(jìn)行端口掃描，然后用Nessus對(duì)主機(jī)的端口進(jìn)行漏洞掃描[13]，得到CVE-2005-1794、CVE-2002-1117、CVE-1999-0524、CVE-2004-0002和CVE-2004-0060 5個(gè)安全漏洞本文以CVE- 2005-1794漏洞為例進(jìn)行漏洞量化評(píng)估演示。從美國(guó)國(guó)家漏洞庫(kù)(national vulnerability database，NVD)獲取的漏洞CVE-2005-1794的詳細(xì)信息如表4所示。

表4 漏洞CVE-2005-1794的NVD詳細(xì)信息

5.2 實(shí)驗(yàn)與計(jì)算過(guò)程

根據(jù)漏洞掃描所獲得CVE-2005-1794漏洞的詳細(xì)信息，對(duì)漏洞的嚴(yán)重性進(jìn)行評(píng)估。

(1) 構(gòu)造評(píng)估體系中每一層的判斷矩陣，分別為：

(2) 一致性驗(yàn)證及確定指標(biāo)權(quán)重

由步驟(1)得到的判斷矩陣，計(jì)算各層指標(biāo)權(quán)重W1～W4。

對(duì)各判斷矩陣進(jìn)行一致性驗(yàn)證，得到各矩陣的最大特征值為λmax(C1)=1.944，λmax(C2)=3.036，λmax(C3)=2.608，λmax(C4)=2.257，λmax(B)=4.222。

計(jì)算得到各矩陣相對(duì)一致性指標(biāo)為CR(C1)=?0.056≤0.10，CR(C2)=0.031≤0.10，CR(C3)= ? 0.338≤0.10，CR(C4)= ? 0.409≤0.10，CR(B)=0.081≤0.10。

經(jīng)驗(yàn)證，各矩陣的相對(duì)一致性指標(biāo)均小于0.10，故各判斷矩陣均具有滿意的一致性，判斷結(jié)果合理。

(3) 假設(shè)有一位專家Mijk=fijk(dij1)，請(qǐng)專家打分，獲得由各二級(jí)指標(biāo)得分組成的評(píng)分樣本矩陣：

計(jì)算各二級(jí)指標(biāo)Cij屬于各個(gè)灰類的灰色評(píng)價(jià)系數(shù)，得到一級(jí)指標(biāo)Bi的所有二級(jí)指標(biāo)Cij對(duì)于各個(gè)評(píng)價(jià)灰類的灰色評(píng)價(jià)權(quán)矩陣M1、M2、M3、M4。

(4) 計(jì)算0級(jí)指標(biāo)A下屬所有一級(jí)指標(biāo)Bi對(duì)于各評(píng)價(jià)灰類的灰色評(píng)價(jià)權(quán)矩陣：

(5) 計(jì)算總指標(biāo)A的灰色評(píng)價(jià)權(quán)向量：

(6) 計(jì)算該漏洞嚴(yán)重性的綜合量化值：

采用上述方法和流程對(duì)其他4個(gè)漏洞的嚴(yán)重性進(jìn)行評(píng)估，得到所有漏洞的嚴(yán)重性等級(jí)和綜合量化值，如表5所示。

5.3 結(jié)果分析

本文模型在評(píng)估過(guò)程中根據(jù)被評(píng)對(duì)象的實(shí)際情況確定各影響因素的權(quán)重和量化值。漏洞嚴(yán)重性評(píng)估結(jié)果亦如表5所示。漏洞CVE-2002-1117被攻擊后會(huì)造成對(duì)系統(tǒng)未授權(quán)信息的披露，而系統(tǒng)對(duì)安全需求保密性要求最高，本文模型對(duì)該漏洞嚴(yán)重性的評(píng)估結(jié)果在中、高之間，并偏高，綜合量化值為5.871。漏洞CVE-2004-006被攻擊后會(huì)造成對(duì)系統(tǒng)的服務(wù)中斷，而系統(tǒng)對(duì)安全需求可用性的要求相對(duì)保密性要低很多，本文模型對(duì)該漏洞嚴(yán)重性的評(píng)估結(jié)果等級(jí)為很低，綜合量化值為3.570。因此本文模型能真實(shí)有效地評(píng)估系統(tǒng)中漏洞的嚴(yán)重性。

表5 漏洞嚴(yán)重性評(píng)估結(jié)果

6 結(jié) 論

為了提高對(duì)漏洞的處理效率，方便確定漏洞的優(yōu)先處理等級(jí)，需要對(duì)漏洞的嚴(yán)重性進(jìn)行評(píng)估。在網(wǎng)絡(luò)與信息安全領(lǐng)域，系統(tǒng)和網(wǎng)絡(luò)的脆弱性評(píng)估正在成為一個(gè)研究熱點(diǎn)。本文提出了一種基于灰色評(píng)估方法和層次分析法的漏洞量化評(píng)估模型，根據(jù)漏洞嚴(yán)重性的影響因素，從可信度、可能性、影響程度、修復(fù)水平4個(gè)方面建立漏洞嚴(yán)重性評(píng)估指標(biāo)體系；采用層次分析法建立漏洞嚴(yán)重性遞階層次分析模型，確定影響漏洞嚴(yán)重性各因素的權(quán)重值；通過(guò)灰色層次評(píng)估模型對(duì)漏洞的嚴(yán)重性進(jìn)行綜合量化計(jì)算和評(píng)估。實(shí)驗(yàn)結(jié)果表明，本文提出的模型對(duì)系統(tǒng)漏洞的嚴(yán)重性能有效、準(zhǔn)確地進(jìn)行量化評(píng)估。

[1] 公安部. 62.7%的被調(diào)查單位發(fā)生過(guò)網(wǎng)絡(luò)安全事件[EB/OL]. [2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.The Ministry of Public Security of China. 62.7%investigated enterprises occurred network security events[EB/OL].[2008-11-12]. http://news.xinhuanet.com/legal/2008-11/12/content_10344228.htm.

[2] 邢栩嘉, 林 闖, 蔣屹新. 計(jì)算機(jī)系統(tǒng)脆弱性評(píng)估研究[J].計(jì)算機(jī)學(xué)報(bào), 2004, 27(1): 1-11.XING Xu-jia, LIN Chuang, JIANG Yi-xin. A survey of computer vulnerability assessment[J]. Chinese Journal of Computers, 2004, 27(1): 1-11.

[3] OPPLEMAN V, FRIEDRICHS O, WATSON B. Extreme exploits: advanced defenses against hardcore hacks[M].Columbus, OH: McGraw-Hill Education Company Inc,2005.

[4] 王秋艷, 張玉清. 一種通用漏洞評(píng)級(jí)方法[J]. 計(jì)算機(jī)工程,2008, 34(19): 133-136.WANG Yan-qiu, ZHANG Yu-qing. Common vulnerability rating method[J]. Computer Engineering, 2008, 34(19):133-136.

[5] MELL P, SCARFONE K, ROMANOSKY S. A complete guide to the common vulnerability scoring system version 2.0[EB/OL]. [2009-03-04]. http://www.first.org/cvss/ cvssguide.html.

[6] 陸余良, 夏 陽(yáng). 主機(jī)安全量化融合模型研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2005, 28(5): 914-920.LU Yu-liang, XIA Yang. Research on target-computer secure quantitative fusion model[J]. Chinese Journal of Computers,2005, 28(5): 914-920.

[7] 王王王, 許榕生. 基于CVE漏洞庫(kù)的生存性量化分析數(shù)據(jù)庫(kù)和量化算法的設(shè)計(jì)[J]. 計(jì)算機(jī)應(yīng)用, 2008, 28(2):415-421.WANG Xin-zhe, XU Rong-sheng. Design of survivability quantum analysis database and quantum algorithm based on CVE database[J]. Journal of Computer Applications, 2008,28(2): 415-421.

[8] 趙煥臣, 許樹(shù)伯, 金 生. 層次分析法[M]. 北京: 科學(xué)出版社, 1986.ZHAO Huan-chen, XU Shu-bo, JIN Sheng. Analytic hierarchy process[M]. Beijing: Science Press, 1986.

[9] 劉思峰, 黨耀國(guó), 方志耕. 灰色系統(tǒng)理論及其應(yīng)用[M].北京: 科學(xué)出版社, 2005.LIU Si-feng, DANG Yao-guo, FANG Zhi-geng. Grey system theory and its application[M]. Beijing: Science Press,2005.

[10] 鄧聚龍, 王仲東, 李 峰. 灰預(yù)測(cè)與灰評(píng)估理論及其應(yīng)用[D]. 武漢: 華中科技大學(xué), 2002.DENG Ju-long, WANG Zhong-dong, LI Feng. Grey prediction and grey evaluation theory and application[D].Wuhan: Huazhong University of Science and Technology,2002.

[11] 劉思峰, 謝乃明. 基于改進(jìn)三角白化權(quán)函數(shù)的灰評(píng)估方法[J/OL]. [2009-03-04]. 中國(guó)科技論文在線http://www.paper. edu.cn.LIU Si-feng, XIE Nai-ming. A new grey evaluation method based on reformative triangular whitenization weight function[J/OL]. [2009-03-04]. Chinese Science paper Online, http://www.paper.edu.cn.

[12] 陳秀真, 鄭慶華, 管曉宏, 等. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J]. 軟件學(xué)報(bào), 2006, 4(17): 885-897.CHEN Xiu-zhen, ZHENG Qing-hua, GUAN Xiao-hong, et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006, 4(17):885-897.

[13] LAI Y, HSIA P. Using the vulnerability information of computer systems to improve the network security[J].Computer Communications, 2007, 30(9): 2032-2047.