收稿日期:20181005;修回日期:20181121 基金项目:国家自然科学基金资助项目
作者简介:叶子维(1990),男,博士,主要研究方向为网络安全、态势感知(yezw2014@163.com);郭渊博(1975),男,教授,博导,主要研究方
向为大数据安全、态势感知;琚安康(1995),男,博士研究生,主要研究方向为网络攻击检测、威胁情报.
动静态特征结合的漏洞风险评估及缓解方法
叶子维,郭渊博,琚安康
(信息工程大学,郑州 450000)
摘 要:针对如何提高漏洞风险评估的准确性进行了研究,提出一种动静态特征结合的漏洞风险评估及缓解方
法。通过将传统风险评估方法中常用的来源于通用漏洞评分系统(CVSS)的攻击复杂度、影响程度、攻击向量等
固定属性作为静态特征,将防御能力、漏洞修复情况、攻击者的攻击能力等随时间推移可能发生变化的属性作为
动态特征,两者结合对漏洞的风险程度进行更加全面的评估。给出了在实际应用中各特征的量化计算方法以及
漏洞修复策略的推荐方法,以单个漏洞的风险评估过程和多个漏洞的风险评估结果为例,将评估结果与 CVSS
评分进行对比实验。结果表明该方法能结合具体的网络环境给出更加准确的漏洞风险评估结果及合理的漏洞
修复策略,验证了该方法的可行性和有效性。
关键词:漏洞;风险评估;静态特征;动态特征
中图分类号:TP309.2 文献标志码:A 文章编号:10013695(2020)04044116105
doi:10.19734/j.issn.10013695.2018.10.0759
Vulnerabilityriskassessmentandmitigationmethod
combiningdynamicandstaticfeatures
YeZiwei,GuoYuanbo,JuAnkang
(InformationEngineeringUniversity,Zhengzhou450000,China)
Abstract:Aimingatimprovingtheaccuracyofvulnerabilityriskassessment,thispaperproposedavulnerabilityriskasses
smentandmitigationmethodcombiningdynamicandstaticfeatures.Themethodtookfixedfeaturessuchasattackcomplexity
,
impactdegreeandattackvector,whichwerecommonlyusedintraditionalriskassessmentmethods,asstaticfeatures,and
tookthefeaturessuchasdefensecapability,vulnerabilityrepairandattacker’sattackcapabilitythatmaybechangedovertime
asdynamicfeatures.Themethodcombinedthetwokindsoffeaturestomakeamorecomprehensiveassessmentoftheriskof
vulnerabilities.Thenthispapergavequantitativecalculationmethodofeachfeatureinpracticeandtherecommendationmeth
odofvulnerabilityrepairstrategy.Toverifythemethod
,ittooktheriskassessmentprocessofsinglevulnerabilityandtherisk
assessmentresultsofmultiplevulnerabilitiesasexamples,andcomparedtheresultswithCVSSscores.Theexperimentalre
sultsshowthattheproposedmethodcanprovidemoreaccuratevulnerabilityriskassessmentresultsandreasonablevulnerabili
tyrepairstrategyincombinationwithspecificnetworkenvironment,thusdemonstratesthefeasibilityandeffectivenessofthe
method.
Keywords:vulnerability;riskassessment;staticfeature;dynamicfeature
0 引言
随着传统互联网和工业控制网、物联网、移动互联网等特
种网络技术的发展,网络安全问题的严重性正日益加剧。基于
漏洞利用的网络攻击行为对各类网络系统的安全性造成了极
大的威胁,因此研究漏洞的成因、归纳漏洞的类型、评估漏洞的
风险程度,对于提高网络的抗攻击能力和自我修复能力具有重
要意义。
目前在漏洞风险评估的理论研究方面,付志耀等人
[1]
提
出一种基于粗糙集理论的漏洞风险程度评估方法,降低了在选
择可能对漏洞风险程度造成影响的属性时对专家经验的依赖
程度;唐成华等人
[2]
提出一种遗传模糊层次分析法,通过建立
模糊判断矩阵和计算非线性优化问题的最优解求得软件漏洞
的风险值;Huang等人
[3]
基于 FAHP算法,整合多种常用漏洞
属性构建了安全漏洞评估框架,可满足多种场景下的漏洞风险
评估需求。此外,部分研究人员还将现有方法应用到了移动互
联网
[4]
、电信通信设备
[5]
、电力控制工业系统
[6,7]
等网络中。
通过总结现有研究成果可以看出,目前针对漏洞风险评估
的研究主要依据的仍是对漏洞自身属性的先验知识。而在具
体的网络环境中,漏洞可修复性、现有防护措施、攻击者的攻击
能力等随时可能发生动态变化的属性会对漏洞的实际风险程
度产生影响,例如对于官方已提供修复方案的漏洞可通过安装
官方补丁消除漏洞风险;通过部署针对具体攻击方式的防护措
施可降低特定类型漏洞的风险程度;潜在攻击者的攻击能力越
强,漏洞的风险越大。现有研究由于不能结合这些动态特征对
漏洞的风险程度进行更精确的评估,会导致网络管理者对网络
安全性及漏洞修复优先级产生误判。针对以上问题,本文提出
一种动静态特征结合的漏洞风险评估及缓解方法,将漏洞攻击
复杂度、利用后果、利用向量 (本地
/邻近 /远程)作为静态特
征,将补丁状态、现有防护措施、攻击能力等作为动态特征,两
者结合共同用于评估目标网络中各漏洞的风险程度,并根据风
险程度评估结果对漏洞修复的优先级进行排序。本文主要贡
献如下:
a)对漏洞的动静态特征进行分析和选取;b)提出一种
动静态特征结合的漏洞风险评估方法,为目标网络采取更进一
步的安全防护措施提供依据;c)提出基于漏洞风险评估结果
第 37卷第 4期
2020年 4月
计 算 机 应 用 研 究
ApplicationResearchofComputers
Vol.37No.4
Apr.2020