通信学报 ›› 2012, Vol. 33 ›› Issue (Z1): 79-87.doi: 10.3969/j.issn.1000-436x.2012.z1.011
刘奇旭1,张翀斌2,张玉清1,张宝峰2
出版日期:
2012-09-25
发布日期:
2017-08-03
基金资助:
Qi-xu LIU1,Chong-bin ZHANG2,Yu-qing ZHANG1,Bao-feng ZHANG2
Online:
2012-09-25
Published:
2017-08-03
Supported by:
摘要:
针对安全漏洞管理过程中涉及到的威胁等级划分问题,选取了访问途径、利用复杂度和影响程度3组安全漏洞评估要素,采用层次分析法建立安全漏洞等级划分模型,将安全漏洞等级评定为超危、高危、中危和低危4个级别。最终为安全漏洞国家标准制定、安全漏洞管理、安全漏洞处理、风险评估、风险减缓等方面的工作提供参考。
刘奇旭,张翀斌,张玉清,张宝峰. 安全漏洞等级划分关键技术研究[J]. 通信学报, 2012, 33(Z1): 79-87.
Qi-xu LIU,Chong-bin ZHANG,Yu-qing ZHANG,Bao-feng ZHANG. Research on key technology of vulnerability threat classification[J]. Journal on Communications, 2012, 33(Z1): 79-87.
表3
安全漏洞评估要素对比"
ID | 漏洞属性 | NVD | Microsoft | VUPEN | US-CERT | Secunia | X-Force | 使用次数 |
1 | 访问向量(Access Vector) | √ | √ | √ | √ | √ | √ | 6 |
2 | 新的访问向量(New Access Vector) | √ | 1 | |||||
3 | 访问复杂度(Access Complexity) | √ | √ | √ | √ | √ | 5 | |
4 | 授权(Authentication) | √ | √ | √ | √ | 4 | ||
5 | 机密性影响(Confidentiality impact) | √ | √ | √ | √ | √ | 5 | |
6 | 完整性影响(Integrity impact) | √ | √ | √ | √ | √ | 5 | |
7 | 可用性影响(Availability impact) | √ | √ | √ | √ | √ | 5 | |
8 | 报告可信度(Report Confidence) | √ | √ | √ | 3 | |||
9 | 攻击代码可利用性(Exploitability) | √ | √ | √ | 3 | |||
10 | 修补情况(Remediation Level) | √ | √ | √ | 3 | |||
11 | 目标分布(Target Distribution) | √ | √ | √ | 3 | |||
12 | 间接破坏风险(Collateral Damage Potential) | √ | 1 |
表4
影响程度赋值对照"
ID | 机密性影响 | 完整性影响 | 可用性影响 | 程度 |
1 | 完全 | 完全 | 完全 | 完全 |
2 | 完全 | 完全 | 部分 | 完全 |
3 | 完全 | 部分 | 完全 | 完全 |
4 | 完全 | 部分 | 部分 | 完全 |
5 | 部分 | 完全 | 完全 | 完全 |
6 | 部分 | 完全 | 部分 | 完全 |
7 | 部分 | 部分 | 完全 | 完全 |
8 | 完全 | 完全 | 无 | 部分 |
9 | 完全 | 部分 | 无 | 部分 |
10 | 完全 | 无 | 完全 | 部分 |
11 | 完全 | 无 | 部分 | 部分 |
12 | 完全 | 无 | 无 | 部分 |
13 | 部分 | 无 | 完全 | 部分 |
14 | 部分 | 完全 | 无 | 部分 |
15 | 无 | 完全 | 完全 | 部分 |
16 | 无 | 完全 | 部分 | 部分 |
17 | 无 | 部分 | 完全 | 部分 |
18 | 部分 | 部分 | 部分 | 部分 |
19 | 部分 | 部分 | 无 | 轻微 |
20 | 部分 | 无 | 部分 | 轻微 |
21 | 部分 | 无 | 无 | 轻微 |
22 | 无 | 完全 | 无 | 轻微 |
23 | 无 | 部分 | 部分 | 轻微 |
24 | 无 | 部分 | 无 | 轻微 |
25 | 无 | 无 | 完全 | 轻微 |
26 | 无 | 无 | 部分 | 轻微 |
27 | 无 | 无 | 无 | 忽略 |
表7
成对比较矩阵"
C1 | C2 | C3 | C4 | C5 | C6 | C7 | C8 | C9 | C10 | C11 | C12 | C13 | C14 | C15 | C16 | C17 | C18 | |
C1 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C2 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C4 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C5 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C6 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 | 7 | 7 | 7 | 7 | 7 | 7 |
C7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C8 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C9 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C10 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C11 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C12 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 | 3 | 3 | 3 | 3 | 3 | 3 |
C13 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
C14 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
C15 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
C16 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
C17 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
C18 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/7 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1/3 | 1 | 1 | 1 | 1 | 1 | 1 |
表8
AHP结果统计"
措施层 | 访问途径 | 利用复杂度 | 影响程度 | B1 0.25 | B2 0.25 | B3 0.50 | 总排序 | 四舍五入 | 等级划分 |
C1 | 远程 | 简单 | 完全 | 0.111 6 | 0.083 3 | 0.106 2 | 0.101 8 | 0.10 | 超危 |
C2 | 远程 | 简单 | 部分 | 0.111 6 | 0.083 3 | 0.043 0 | 0.070 2 | 0.07 | 高危 |
C3 | 远程 | 简单 | 轻微 | 0.111 6 | 0.083 3 | 0.017 5 | 0.057 5 | 0.06 | 中危 |
C4 | 远程 | 复杂 | 完全 | 0.111 6 | 0.027 8 | 0.106 2 | 0.088 0 | 0.09 | 高危 |
C5 | 远程 | 复杂 | 部分 | 0.111 6 | 0.027 8 | 0.043 0 | 0.056 3 | 0.06 | 中危 |
C6 | 远程 | 复杂 | 轻微 | 0.111 6 | 0.027 8 | 0.017 5 | 0.043 6 | 0.04 | 低危 |
C7 | 邻接 | 简单 | 完全 | 0.040 4 | 0.083 3 | 0.106 2 | 0.084 0 | 0.08 | 高危 |
C8 | 邻接 | 简单 | 部分 | 0.040 4 | 0.083 3 | 0.043 0 | 0.052 4 | 0.05 | 中危 |
C9 | 邻接 | 简单 | 轻微 | 0.040 4 | 0.083 3 | 0.017 5 | 0.039 7 | 0.04 | 低危 |
C10 | 邻接 | 复杂 | 完全 | 0.040 4 | 0.027 8 | 0.106 2 | 0.070 2 | 0.07 | 高危 |
C11 | 邻接 | 复杂 | 部分 | 0.040 4 | 0.027 8 | 0.043 0 | 0.038 6 | 0.04 | 低危 |
C12 | 邻接 | 复杂 | 轻微 | 0.040 4 | 0.027 8 | 0.017 5 | 0.025 8 | 0.03 | 低危 |
C13 | 本地 | 简单 | 完全 | 0.014 7 | 0.083 3 | 0.106 2 | 0.077 6 | 0.08 | 高危 |
C14 | 本地 | 简单 | 部分 | 0.014 7 | 0.083 3 | 0.043 0 | 0.046 0 | 0.05 | 中危 |
C15 | 本地 | 简单 | 轻微 | 0.014 7 | 0.083 3 | 0.017 5 | 0.033 3 | 0.03 | 低危 |
C16 | 本地 | 复杂 | 完全 | 0.014 7 | 0.027 8 | 0.106 2 | 0.063 7 | 0.06 | 中危 |
C17 | 本地 | 复杂 | 部分 | 0.014 7 | 0.027 8 | 0.043 0 | 0.032 1 | 0.03 | 低危 |
C18 | 本地 | 复杂 | 轻微 | 0.0147 | 0.027 8 | 0.017 5 | 0.019 4 | 0.02 | 低危 |
[1] | 刘奇旭, 张玉清, 宫亚峰 ,等. 安全漏洞标识与描述规范的研究[J]. 信息网络安全, 2011,(7): 4-6. LIU Q X , ZHANG Y Q , GONG Y F ,et al. The development of the vulnerability identification and description specification[J]. Netinfo Security, 2011,(7): 4-6. |
[2] | Stuxnet[EB/OL]. , 2012. |
[3] | The open source vulnerability database(OSVDB)[EB/OL]. , 2012. |
[4] | MELL P , SCARFONE K , ROMANOSKY S . Common vulnerability scoring system[J]. IEEE Security and Privacy, 2006,4(6): 85-89. |
[5] | SCHIFFMAN M , ESCHELBECK G , AHMAD D ,et al. CVSS:A Common Vulnerability Scoring System[R]. National Infrastructure Advisory Council(NIAC), 2004. |
[6] | MELL P , SCARFONE K , ROMANOSKY S.A Complete Guide to the Common Vulnerability Scoring System Version 2 . 0[R]. 2007. |
[7] | NVD vulnerability severity ratings available[EB/OL]. , 2012. |
[8] | IBM IIS X-Force[EB/OL]. , 2012. |
[9] | Vupen[EB/OL]. , 2012. |
[10] | Microsoft security response center security bulletin severity rating system[EB/OL]. , 2012. |
[11] | Secunia advisories[EB/OL]. , 2012. |
[12] | Symantec security response—glossary[EB/OL]. , 2012. |
[13] | CORPORATION M . Common weakness scoring system(CWSS)[EB/OL]. , 2012. |
[14] | US-CERT.Vulnerability notes database field descriptions[EB/OL]. , 2012. |
[15] | LIU Q , ZHANG Y . VRSS:a new system for rating and scoring vulnerabilities[J]. Computer Communications, 2011,34(3): 264-273. |
[16] | JONES J . CVSS Severity Analysis[R]. http://www.first.org/cvss/jones-jeff-slides.pdf, 2008. |
[17] | FRUHWIRTH C , MANNISTO T . Improving CVSS-based vulnerability prioritization and response with context information[A]. 2009 3rd International Symposium on Empirical Software Engineering and Measurement[C]. Lake Buena Vista,FL,USA, 2009. 535-544. |
[18] | WANG L , JAJODIA S , SINGHAL A ,et al. K-zero day safety:measuring the security risk of networks against unknown attacks[A]. 15th European Symposium on Research in Computer Security[C]. Athens,Greece, 2010. 573-587. |
[19] | BHATT S , HORNE W , RAO P . On computing enterprise IT risk metrics[A]. 26th IFIP TC-11 International Information Security Conference on Future Challenges in Security and Privacy for Academia and Industry[C]. Lucerne,Switzerland, 2011. 271-280. |
[20] | 中国国家信息安全漏洞库[EB/OL]. , 2012.China national vulnerability database of information security[EB/OL]. , 2012. |
[21] | 国家信息安全漏洞共享平台[EB/OL]. , 2012.China national vulnerability database[EB/OL]. , 2012. |
[22] | 国家安全漏洞库[EB/OL]. , 2012.Security vulnerability database[EB/OL]. , 2012. |
[23] | 张玉清, 吴舒平, 刘奇旭 ,等. 国家安全漏洞库的设计与实现[J]. 通信学报, 2011,32(6): 93-100. ZHANG Y Q , WU S P , LIU Q X ,et al. Design and implementation of national security vulnerability database[J]. Journal on Communications, 2011,32(6): 93-100. |
[24] | 绿盟科技安全漏洞通报[EB/OL]. , 2012.Security advisory of NSFOCUS[EB/OL]. , 2012. |
[25] | 启明星辰每日漏洞播报[EB/OL]. , 2012.Vulnerability database of venusense[EB/OL]. , 2012. |
[26] | WooYun漏洞共享平台[EB/OL]. , 2012.Vulnerability database of wooyun[EB/OL]. , 2012. |
[27] | Sebug漏洞信息库[EB/OL]. , 2012.Vulnerability database of sebug[EB/OL]. , 2012. |
[28] | LIU Q X , ZHANG Y Q , KONG Y ,et al. Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J]. Journal of Systems and Software, 2012,85(8):pages 1699-1708. |
[29] | CORPORATION M . Common Platform Enumeration(CPE)[R]. http://cpe.mitre.org/files/cpe-specification_2.2.pdf, 2012. |
[30] | 陈秀真, 郑庆华, 管晓宏 ,等. 层次化网络安全威胁态势量化评估方法[J]. 软件学报, 2006,17(4): 885-897. CHEN X Z , ZHENG Q H , GUAN X H ,et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006,17(4): 885-897. |
[31] | 周亮, 李俊娥, 陆天波 ,等. 信息系统漏洞风险定量评估模型研究[J]. 通信学报, 2009,30(2): 71-76. ZHOU L , LI J E , LU T B ,et al. Research on quantitative assessment model on vulnerability risk for information system[J]. Journal on Communications, 2009,30(2): 71-76. |
[32] | 杨宏宇, 谢丽霞, 朱丹 . 漏洞严重性的灰色层次分析评估模型[J]. 电子科技大学学报, 2010,39(5): 778-782. YANG H Y , XIE L X , ZHU D . A vulnerability severity grey hierarchy analytic evaluation model[J]. Journal of University of Electronic Science and Technology of China, 2010,39(5): 778-782. |
[33] | SAATY T L . Analytic Hierarchy Process[M]. New York: McGrawHillPress, 1980. |
[34] | SAATY T L GONZáLEZ L . Prediction,Proyection and Forecasting:Applications of the Analytic Hierarchy Process in Economics,Finance,Politics,Games and Sports[M]. Boston: Klawer Academic PublishersPress, 1991. |
[35] | ALONSO J A , LAMATA M T . Consistency in the analytic hierarchy process:a new approach[J]. International Journal of Uncertainty,Fuzziness and Knowlege-Based Systems, 2006,14(4): 445-459. |
[1] | 陈炜宇, 骆俊杉, 王方刚, 丁海洋, 王世练, 夏国江. 无线隐蔽通信容量限与实现技术综述[J]. 通信学报, 2022, 43(8): 203-218. |
[2] | 张晗,胡永进,郭渊博,陈吉成. 信息安全领域内实体共指消解技术研究[J]. 通信学报, 2020, 41(2): 165-175. |
[3] | 印曦,黄伟庆. 基于混沌理论的彩色QR编码水印技术研究[J]. 通信学报, 2018, 39(7): 50-58. |
[4] | 王秦,朱建明. 基于Gordon-Loeb模型的信息安全投资博弈研究[J]. 通信学报, 2018, 39(2): 174-182. |
[5] | 冯涛,鲁晔,方君丽. 工业以太网协议脆弱性与安全防护技术综述[J]. 通信学报, 2017, 38(Z2): 185-196. |
[6] | 汤光明,孙艺,徐潇雨,王宇. 动态更新失真代价的自适应JPEG隐写算法[J]. 通信学报, 2017, 38(9): 1-8. |
[7] | 叶子维,郭渊博,王宸东,琚安康. 攻击图技术应用研究综述[J]. 通信学报, 2017, 38(11): 121-132. |
[8] | 刘牧洲,仇剑书,张云勇,严斌峰,张思遥,汤雅妃. 基于标识密钥技术的证书集成管理平台[J]. 通信学报, 2016, 37(Z1): 197-203. |
[9] | 温涛,张玉清,刘奇旭,杨刚. UVDA:自动化融合异构安全漏洞库框架的设计与实现[J]. 通信学报, 2015, 36(10): 235-244. |
[10] | 庞 滨,李 华,王友义,闫 帅,杨智和. 校园网服务器安全扫描告警系统的设计与实现[J]. 通信学报, 2014, 35(Z1): 3-13. |
[11] | 庞滨,李华,王友义,闫帅,杨智和. 校园网服务器安全扫描告警系统的设计与实现[J]. 通信学报, 2014, 35(Z1): 10-13. |
[12] | 张玉清,武倩如,刘奇旭,董颖. 第三方追踪的安全研究[J]. 通信学报, 2014, 35(9): 1-11. |
[13] | 汪洁,何小贤. 基于种子——扩充的多态蠕虫特征自动提取方法[J]. 通信学报, 2014, 35(9): 12-19. |
[14] | 丁宇新,肖 骁,吴美晶,张逸彬,董 丽. 基于半监督学习的社交网络用户属性预测[J]. 通信学报, 2014, 35(8): 3-22. |
[15] | 李 晖,李凤华,曹 进,牛 犇,孙文海,耿 魁. 移动互联服务与隐私保护的研究进展[J]. 通信学报, 2014, 35(11): 1-8. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|