劉 果，楊麗麗，戚大強，陳 晨，郭鈺璐（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯(lián)通智網創(chuàng)新中心，北京 00048）

1 概述

漏洞風險評估是網絡安全領域的一項關鍵任務，旨在識別和評估系統(tǒng)中存在的漏洞，并確定其威脅程度和修復優(yōu)先級。隨著安全技術的不斷發(fā)展，出現了多種漏洞評估方法和技術，不過這些技術在實際應用場景存在著不足和缺陷。已有漏洞評估技術雖然可以對系統(tǒng)的漏洞進行挖掘并基于CVSS 等指標對漏洞進行評分和定級，但是對漏洞的潛在威脅和影響程度的評估不夠全面和準確，存在誤報、漏報以及優(yōu)先級定級不準確的問題，有時會產生大量的虛警，需要人工二次驗證和分析。而安全團隊通常需要在有限的時間、人力和財力資源的條件下，將有限資源集中用于修復最緊急的高危漏洞，從而最大程度地降低系統(tǒng)遭受攻擊的風險。

基于以上問題，本文利用漏洞優(yōu)先級技術（VPT），結合已有安全評估技術模型，提出一種適用于實際工作場景的綜合動態(tài)風險優(yōu)先級評估方案。

2 整體思路

首先，以資產動態(tài)畫像為基礎，完善漏洞評估上下文信息。通過收集和分析資產的基本屬性、配置信息、漏洞情報、訪問日志等數據，構建包括資產的拓撲關系、業(yè)務關聯(lián)、訪問模式等信息的資產動態(tài)畫像。

其次，在資產畫像的基礎上，本文提出了一種綜合評估模型，將靜態(tài)和動態(tài)畫像與漏洞數據進行關聯(lián)分析。利用機器學習和數據挖掘技術，對漏洞進行分類和聚類，識別出具有相似特征和潛在威脅的漏洞群組。根據資產的重要性、漏洞的嚴重性、攻擊復雜性、情報及時性、上下文環(huán)境制約性等因素，計算漏洞的優(yōu)先級，并生成漏洞修復建議。

進一步地，本文考慮通過一種動態(tài)調整機制，基于實時的資產和威脅情報，對漏洞的優(yōu)先級進行動態(tài)調整。通過監(jiān)測資產的變化和收集最新的威脅情報，及時更新資產畫像和漏洞評估結果，確保評估結果的準確性和實用性。

最后，本文設計了一套完整的系統(tǒng)架構解決方案?；诼┒磧?yōu)先級技術的綜合動態(tài)風險評估方案能夠提高漏洞評估的準確性和實用性，幫助企業(yè)更好地管理漏洞風險，加強網絡安全防護能力。

3 方案設計

3.1 資產畫像

3.1.1 信息收集

資產的信息收集包括靜態(tài)資產信息收集和動態(tài)資產信息收集（見圖1）。

圖1 資產信息收集

在資產動態(tài)畫像構建過程中，靜態(tài)資產信息包括企業(yè)的網絡設備、服務器、應用程序和數據庫等。收集靜態(tài)資產信息的方法可以包括網絡掃描、資產清單管理工具和配置文件分析等。通過收集和分析這些信息，可以獲取資產的基本屬性和配置信息，如IP 地址、操作系統(tǒng)版本、開放端口和安裝的應用程序等。靜態(tài)資產信息可以通過資產掃描，離線同步等手段按日/周不同的頻率進行周期性的資產數據同步更新。

除了靜態(tài)資產信息，動態(tài)資產信息也對資產動態(tài)畫像的構建至關重要。動態(tài)資產信息包括資產的活動狀態(tài)、網絡流量和日志數據等。為了收集動態(tài)資產信息，可以使用入侵檢測系統(tǒng)（IDS）、防火墻日志和網絡流量監(jiān)測工具等。通過分析動態(tài)資產信息，可以獲取資產的實時活動情況，包括網絡連接、訪問模式和行為特征等。動態(tài)資產信息可以采用大數據實時采集技術，結合數據采集引擎和實時流分析引擎進行數據的實時采集、關聯(lián)分析和實時更新。

3.1.2 畫像構建

在收集分析靜態(tài)和動態(tài)資產信息之后，開始構建資產的畫像。資產畫像是對資產特征和行為的綜合描述，可以包括資產的基本信息、配置狀態(tài)、基線詳情和安全事件歷史等。資產畫像的構建可以使用數據聚合和數據挖掘技術，將收集到的各類資產信息進行整合和分析。同時，為了保持資產畫像的實時性，需要定期更新資產信息，包括新增資產的識別、已有資產信息的更新和不再使用資產的移除等。圖2所示為資產畫像構建的詳細流程。

圖2 資產畫像構建

通過以上資產動態(tài)畫像構建方法，可以全面了解企業(yè)的網絡資產，包括其配置狀態(tài)、基線詳情和歷史安全事件等。這為后續(xù)的漏洞優(yōu)先級綜合評估提供了基礎數據和信息。下面將介紹基于漏洞優(yōu)先級技術的綜合動態(tài)風險評估方案的設計。

3.2 評估模型

3.2.1 漏洞分類

漏洞評估涉及對不同漏洞的分類和聚類分析。漏洞分類是將漏洞按照其特征和危害程度進行分類，以便更好地理解漏洞的屬性和影響。可以使用機器學習算法，如決策樹、支持向量機和神經網絡等方法進行漏洞分類。聚類分析則是將相似特征的漏洞進行分組，以便對同類漏洞進行綜合評估和處理。常用的聚類算法包括K均值聚類、層次聚類和DBSCAN等。同時，為了增強漏洞評估的準確性和精確性需要考慮外部威脅情報的收集和分析。威脅情報可以包括已公開的漏洞信息、漏洞在野利用情況、攻擊事件的情報和黑客組織的活動情況等。通過收集和分析威脅情報，可以及時了解最新的漏洞威脅和攻擊趨勢，為漏洞的分類和聚類提供動態(tài)分析依據（見圖3）。

圖3 漏洞聚合分類

3.2.2 優(yōu)先級評估

圖4 所示為漏洞優(yōu)先級評估模型的整體設計，在此設計中，首先需要進行資產數據預處理和特征選擇。數據預處理包括數據清洗、缺失值處理和異常值檢測等步驟，以確保輸入數據的質量和完整性。特征選擇則是從大量的特征中選擇出對漏洞優(yōu)先級評估有重要影響的特征?？梢允褂锰卣鬟x擇算法來選擇最具有代表性和區(qū)分度的特征。其次，利用加權評分算法（參考DREAD 模型）選定系統(tǒng)的損害程度、可重現性、利用難度、受影響的用戶數量、可發(fā)現性作為評估指標。結合資產畫像、漏洞情報、漏洞分類及上下文場景，進行指標的權重分析并為每個指標分配相應的權重。通過指標歸一和加權計算來計算漏洞的優(yōu)先級并最終確定漏洞的優(yōu)先修復順序，生成修復建議。

圖4 漏洞優(yōu)先級評估模型

修復建議的生成可以基于漏洞的特征和修復策略，為每個漏洞提供相應的修復建議，以幫助企業(yè)有效地修復漏洞并降低潛在風險。

通過對不同特征子集的反復迭代、權重調整進行交叉驗證，獲取不同特征集條件下的漏洞優(yōu)先級評估結果。通過對不同批次評估進行環(huán)評對比和人工分析來確定最終的特征集和權重分配原則。

基于上述模型對log4j典型漏洞的分析結果如圖5所示。

圖5 log4j分析結果

cvss 對于log4j 漏洞評級為高危漏洞。而基于本文綜合評估模型，在不同類型的網絡開放配置、不同級別的資產場景下得到的漏洞級別各不相同，也更符合實際的運維修復場景。

通過以上綜合評估模型的設計，可以綜合考慮漏洞的各種特征和影響因素，從而準確評估漏洞的優(yōu)先級和風險。下面本文將介紹動態(tài)調整機制的設計，以進一步完善基于漏洞優(yōu)先級技術的綜合動態(tài)風險評估方案。

3.3 動態(tài)策略

3.3.1 持續(xù)監(jiān)測

在資產動態(tài)畫像的綜合評估方案中，需要及時監(jiān)測和更新資產的動態(tài)變化。為了實現對資產的動態(tài)監(jiān)測，可以采用主動掃描、被動監(jiān)測和日志分析等方法。一旦檢測到資產的變化，及時更新資產畫像，以確保評估的準確性和實時性。為了增強漏洞評估的及時性和精確性，動態(tài)調整機制需要考慮外部威脅情報的收集、更新和分析。通過收集和分析威脅情報，及時了解最新的漏洞威脅和攻擊趨勢，從而對漏洞的優(yōu)先級進行動態(tài)調整和修訂。

3.3.2 動態(tài)優(yōu)化

評估結果的動態(tài)調整是基于資產變化和威脅情報的更新，對之前的評估結果進行修正和調整。當資產發(fā)生變化或出現新的威脅情報時，可能會影響漏洞的優(yōu)先級和修復建議。因此，動態(tài)調整機制需要及時將新的信息融入評估模型，重新計算漏洞的優(yōu)先級，并生成更新后的修復建議。這樣可以保持評估結果的及時性和準確性，以應對不斷變化的網絡安全環(huán)境（見圖6）。

圖6 動態(tài)優(yōu)化模型

通過監(jiān)聽資產畫像的實時變化和漏洞情報的動態(tài)更新，對相應資產觸發(fā)新一輪的漏洞優(yōu)先級加權評估計算，并對歷史評估結果進行覆蓋更新。

通過以上動態(tài)調整機制，基于漏洞優(yōu)先級技術的綜合動態(tài)風險評估方案可以根據資產變化和威脅情報的動態(tài)更新，及時調整和修正評估結果，提高評估的準確性和可靠性。下面將介紹該方案的整體架構和完整流程。

3.4 系統(tǒng)架構

3.4.1 方案架構

在本方案中，需要設計一套系統(tǒng)架構來支持漏洞評估的整個流程。系統(tǒng)架構設計是保證系統(tǒng)功能完整性和可擴展性的關鍵。該功能應包括數據收集模塊、特征提取與選擇模塊、評估模型模塊、結果輸出模塊等關鍵模塊。這些模塊需要相互協(xié)作，以實現資產動態(tài)畫像的構建和漏洞優(yōu)先級的綜合評估。同時，該架構應支持漏洞跟蹤、風險態(tài)勢、漏洞修復可拓展功能來提升整個方案的功能性和可用性（見圖7）。

圖7 優(yōu)先級評估整體架構圖

3.4.2 整體流程

前面對方案的整體架構進行了匯總。在此基礎上，結合以上各子功能模塊方案設計，下面將對方案的完整評估流程進行進一步的解釋說明。圖8所示為整體方案的構建、評估、修復流程。首先將資產畫像和漏洞分類模型作為評估基礎，進行持續(xù)的動態(tài)更新。其次通過對資產特征、上下文環(huán)境、漏洞分類、威脅情報等信息進行加權評估或者規(guī)則推理完成漏洞優(yōu)先級的評估以及生成修復建議。最后通過漏洞跟蹤、情報對比進行漏洞修復，并完成整體風險態(tài)勢分析。

圖8 完整評估流程

4 優(yōu)勢與改進

4.1 方案優(yōu)勢

本方案具有多項優(yōu)勢。首先，通過綜合考慮資產的靜態(tài)和動態(tài)信息，能夠全面了解漏洞的屬性和影響，提高漏洞評估的準確性和全面性。其次，動態(tài)調整機制能夠及時更新資產畫像和評估結果，以應對不斷變化的網絡環(huán)境和威脅情報。此外，該方案提供了修復建議和優(yōu)先級排序，幫助企業(yè)有效地管理漏洞修復工作，提高網絡安全的整體水平。

4.2 改進方向

盡管本方案具有許多優(yōu)勢，但也存在一些待改進方向。首先，進一步完善數據收集和處理技術，提高數據的準確性和完整性。其次，研究和探索更精確、可靠的特征提取和選擇方法，以捕捉漏洞評估的關鍵因素。此外，進一步優(yōu)化評估模型和算法，以提高漏洞優(yōu)先級的計算效率和準確性。最后，可以整合其他安全領域的信息，如威脅情報和漏洞修復的實施情況，以進一步完善評估方案的綜合性能。

5 結束語

本方案在未來還有許多潛在的發(fā)展方向。首先，可以結合人工智能和機器學習技術，構建更智能化的漏洞評估模型，提高漏洞識別和優(yōu)先級計算的自動化能力。其次，可以將方案與自動化漏洞掃描工具和修復工具進行集成，實現全自動化的漏洞管理和修復流程。此外，可以探索多維度的評估模型，考慮漏洞的影響范圍、攻擊復雜度和潛在威脅等因素，進一步提高漏洞評估的精確性和全面性。

總之，基于漏洞優(yōu)先級技術的綜合動態(tài)風險評估方案具有廣闊的應用前景和研究空間。