网络物理系统漏洞严重性评估的基于人工智能的方法

0Array 15（2022）1002090vecommons.org/licenses/by/4.0/）。0ScienceDirect提供的内容列表0Array0期刊主页：www.elsevier.com/locate/array0自动发现和评估网络物理系统中的漏洞严重性0Yuning Jiang，Yacine Atif �0瑞典斯科夫德大学0文章信息0关键词：网络安全文本挖掘 网络物理系统漏洞分析 CVSS0摘要0尽管复杂的网络物理系统（CPSs）得到广泛的推广，但它们容易受到网络安全漏洞和潜在攻击的影响。对于这种复杂系统的漏洞评估具有挑战性，部分原因是由于用于评估其网络安全弱点水平的机制之间存在差异。一些来源确实报告了这些弱点，如国家漏洞数据库（NVD），以及制造商网站以及其他安全扫描建议，如网络紧急响应团队（CERT）和Shodan数据库。然而，这些多个来源在漏洞严重性评分方面存在不一致问题，特别是在漏洞严重性评分方面。我们提倡一种基于人工智能的方法来简化漏洞严重性大小的计算。这种方法减少了传统上在网络安全分析中使用的手动计算过程引起的错误率。流行的存储库，如NVD和SecurityFocus，被用来验证所提出的方法，辅以一种查询方法来检索漏洞实例。通过这样做，我们报告了报告的漏洞分数之间的发现的相关性，以推断漏洞实例的一致大小值。该方法应用于一个CPS应用的案例研究，以说明所提出的漏洞评分机制的自动化，用于减轻网络安全弱点。01. 引言0信息和通信技术的现代突破促进了数字和物理环境的整合，以提高网络物理系统（CPS）在工业过程中的自动化程度。尽管如此，CPS组件在众多固件版本中容易受到漏洞的影响[1]。预计会发现不需要的漏洞发生。与此同时，它们的严重程度将被评定，以确定优先进行修补的机制。这种分析支持网络安全运营商预测来自新威胁的网络攻击，并防止入侵机会[2]。新的测量使得能够量化网络安全问题，以支持漏洞缓解决策。这些测量来自在线可用的一系列网络安全存储库。通用漏洞和暴露（CVE）[3]存储库是一个主要的数据库，积累了进一步用通用漏洞评分系统（CVSS）[4]评分增强的漏洞报告。其他分析测量由国家漏洞数据库（NVD）[5]提供。然而，依赖CVE或NVD记录作为主要数据源的漏洞缓解决策可能会对其他数据源产生偏见和歧视[6,7]。例如，0� 通讯作者。电子邮件地址：yuning.jiang@his.se（Y.江），yacine.atif@his.se（Y. Atif）。0SecurityFocus的BugTraq[8]包含尚未在CVE中报告的漏洞。因此，基于网络安全测量的推断决策需要包括广泛的网络安全数据存储库。通过一些基于人工智能（AI）规则组合多个来源的综合知识库在这项研究中显示出提供所需决策支持水平的基础。企业越来越多地面临着由零星漏洞引起的网络安全问题，支持决策标准的报告数据。系统数据和报告的漏洞的大量增加了安全分析人员的工作量，当手动执行时，这既耗时又容易出错。这种数据驱动的演进流程简化了以前的风险分析框架，同时仍考虑到人类专家的判断。一些初步工作朝着结合新兴网络安全度量标准的方向发展，形成了标准机制CVSS。CVSS被广泛采用于评估企业和学术研究中的漏洞严重性[9,10][11]。然而，CVSS在实践中存在一些挑战[12,13]。CVSS分数基本上受到个人专家的影响，他们可能花费一些时间来排名漏洞的严重性，因为在CVE中披露。这种时间延迟0https://doi.org/10.1016/j.array.2022.100209收到日期：2022年1月25日；修订后收到日期：2022年6月11日；接受日期：2022年6月11日Array 15 (2022) 10020920Y. Jiang 和 Y. Atif0图1. 评分的潜在时间延迟和不一致的分数。0评估漏洞增加了威胁转化为实际网络攻击的可能性[ 14]。因此，自动化漏洞评分预计将缩小零日攻击的差距。为设计这样一个自主评分系统，必须检查几个不足之处，比如如何推断用于控制漏洞度量的重要测量值，以适当的比例来报告漏洞。此外，现有CVSS版本之间的差异会产生不兼容的度量值。以前的研究没有充分解决这些困难。不同的企业利用不同的CVSS版本来评估漏洞实例[ 12]，导致冲突的结果。例如，NVD仅使用CVSS版本3分数来评价2015年以后报告的漏洞实例。将CVSS分数应用于支持漏洞分析和管理的挑战在图1中说明。考虑一个随机的漏洞实例 �，NVD、相应的制造商和第三方分析器提供它们的严重性评分为  � �� � ，  � ������������0和  � �������� 可能是不一致的。尽管CVSS很受欢迎[ 12 , 13]，但对于同一漏洞实例报告的分数之间的不一致性确实会发生。特别是在考虑其他CVSS的时间和环境度量时，漏洞属性随时间和部署环境的变化。因此，预计会进一步整合其他相关数据源，包括制造商提供的数据、来自相关安全来源和论坛的在线评论，以进一步整合现有的CVSS分数[ 10]。数据不一致还增加了漏洞检索的难度。例如，在NVD搜索引擎中使用 MTU作为单个关键字返回与两种不同设备类别相关的漏洞，即 最大传输单元（例如，漏洞实例CVE-2005-0065）和 主终端单元（例如，漏洞实例CVE-2015-0990）。因此，要仅检索主终端单元漏洞，我们需要进一步使用关键字如 SCADA-server或特定供应商模块来细化查询。与此同时，Common PlatformEnumeration（CPE）[ 15]元数据中的供应商名称可能以不同形式出现。例如，供应商 Schneider ElectricSE 在CPE数据库中有变体形式，如‘schneider-electric’，‘chneider-electric’ 和‘schneider-electic’。我们提出了一个漏洞评分系统，以量化报告的漏洞事件的严重性。计算得分通过定量指标促进情境意识，这些指标转化为可操作的情报。该方法自动化漏洞调查，同时解决了多个CVSS版本之间的兼容性问题。标准CVSS标准用作评估漏洞的可利用性和恶意利用后果的评分基础。为了实现这些目标，我们将几个在线网络安全数据源发布的漏洞评分进行了相关，包括NVD、供应商网站和第三方审阅者的技术报告（例如，网络紧急响应团队（CERT）[ 16 ]和0Microsoft Security Response Center (MSRC) [ 17]，用于整合漏洞实例的严重性评分。因此，我们为基于机器学习（ML）的漏洞严重性计算算法生成了基本事实。然后，这些实例用于训练我们的ML模型，我们使用NVD和SecurityFocus等漏洞存储库中报告的漏洞进行评估。除了NVD和SecurityFocus，我们建议的方法还可以整合其他数据源，如CERT。我们还提出了一种新的查询逻辑，以识别相关的漏洞实例，同时排除基于其他关键字的可能的误报。对CPS漏洞和相关因素的评估研究显示了在网络安全评估中自动化水平的提高[ 14]。本文的主要贡献概述如下：0•一种基于机器学习的漏洞评估结构，推断报告的漏洞实例的CVSS严重性评分。该提议的技术通过多数投票系统解决了CVSS分数的兼容性问题，作为所提出的机器学习模型的一部分。该方法可以定制以适应首选的CVSS版本，以允许改进漏洞评估的一致性的共同计算语义。•一种查询生成方法，将系统配置信息作为输入，并以类似CPE元数据的格式导出最佳匹配的查询标签。•一个验证所提出的基于机器学习的漏洞评估方法的CPS漏洞分析案例研究。0本文的其余部分组织如下：第2节提供了一些背景，并正式阐述了本文所讨论的问题，接下来是第3节，讨论漏洞数据源、CVSS机制中使用的标准漏洞严重性度量和相关漏洞评估过程。第4节揭示了我们的漏洞评估原型，它将现有的CVSS分数与其他安全警报指标进行了关联，并使用一些文本挖掘技术对一系列漏洞报告进行了不同CVSS版本的调和。第5节，我们通过一些分析，评估了我们在CPS环境中使用主要是NVD和Shodan的漏洞发现和评估方法。第6节，我们提供了一些结论性的意见，并讨论了一些未来的研究方向。02. 相关工作0多个网络安全数据源之间的相关性研究可以结合来自不同利益相关者的各种观点，将多方面分析连接到更广泛的统计关联中。CVE、NVD、CERT和SecurityFocus是广泛使用的漏洞分析数据库，用于唯一标识的漏洞记录。这些数据库进一步与ExploitDB等数据源进行关联。Allodi和Massacci进行的研究是一个例子，他们将NVD与ExploitDB、SymantecAttackSignature和ThreatExplorer进行关联。通过这样做，他们通过基于公开概念验证（PoC）漏洞的存在来计算时间属性，增强了CVSS评分实践。Geer和Roytman还将NVD数据库与ExploitDB和Metasploit进行关联，以支持渗透测试人员。Fang等人利用SecurityFocus和NVD来预测漏洞的可利用性和利用性，同时以ExploitDB中提取的PoC作为基本事实。Rodriguez等人比较了多个数据源的原始发布日期，包括NVD、SecurityFocus、ExploitDB和三个供应商Cisco、Wireshark和Microsoft。他们观察到，与其他数据源相比，NVD中发布的漏洞实例延迟1-7天。各种方法应用文本挖掘技术在工业博客中，如Twitter和安全论文。朱和杜米特拉斯的工作就是一个例子，他们应用自然语言处理技术自动从研究论文中提取恶意软件检测特征。陈等人、Bullough等人和Sabottke等人提取了30数组15（2022）1002090姜毅和阿蒂夫0通过爬取Twitter并提取包含CVE关键字的推文来获取与漏洞相关的数据。这些工作强调，CVE和NVD数据集的统计解释需要与其他实时安全相关数据源相结合，例如Twitter、暗网和产品供应商跨部署基础设施，以提高指标的可靠性和精度。然而，这些工作为软件漏洞分析的更广泛领域做出了贡献。考虑网络安全中使用的不同术语的相关性研究，特别是针对CPS领域的研究有限。在我们的方法中，我们从CVE漏洞报告中提取易受攻击的组件和供应商信息，并将其与通用平台枚举（CPE）以及供应商网站进行映射，以生成CPS组件和供应商的字典。0从网络安全数据源检索的信息支持0进一步的模式识别和趋势分析。使用AI技术，可以分析大量此类开源漏洞数据[11]。更具体地说，自动分类披露的漏洞并指导安全漏洞的预测分析，采用文本挖掘等机器学习技术。AI技术的有效性已在Bozorgi等人的研究中得到证明[28]。他们采用SVM（指支持向量机）来预测在开放漏洞数据库（OSVDB）和CVE上报告的漏洞的利用时间指标。针对CVSS基础分数生成，Gawron等人[9]应用神经网络和朴素贝叶斯算法，而Yamamoto等人[29]则部署监督LDA（指潜在狄利克雷分配）来进行CVSS指标分类。然而，使用相关的网络安全数据源也会引发潜在的不一致性，例如相同漏洞实例的分数之间的差异[10]。以前基于AI的CVSS计算方法的一个缺点是它们直接采用NVD的漏洞报告和CVSS分数作为训练基础，这可能会在其模型中引入偏见。相反，我们将NVD中的漏洞实例与相应的供应商报告和第三方网络安全分析器（如CERT报告）相关联，以 consoli-date数据源。然后，我们将相关信息集成到统一结构中作为我们的训练基础。更具体地说，我们使用NVD中的漏洞描述作为训练输入。然后，在将它们用作训练基础之前，我们对不一致的分数进行多数投票。通过这样做，我们的方法简化了漏洞严重性的计算，以解决上游的不一致性，以优化安全投资并缩短潜在的风险窗口。根据我们以前的工作[30]，我们将CVSS基础分数计算实验扩展到包括更多的漏洞数据源。这项额外的实验研究说明了我们的机制扩展到新的数据源，如SecurityFocus的能力。通过包括Shodan数据库，我们还为我们的CPS网络安全案例研究提取了更多的漏洞实例。03. 背景0在本节中，我们介绍数据源和用于0计算漏洞严重性和严重性评分计算过程。03.1. 漏洞数据源0为每个发现的漏洞分配一个标识符。此外，它通过CVE编号机构（CNA）[31]维护一个公开访问的所有标识符的数据库。典型的CVE条目包括以下字段：唯一标识符、报告的漏洞的简要描述以及有关漏洞的任何相关引用。唯一的CVE标识符或CVEID是区分一个安全漏洞与另一个安全漏洞的关键。通过CVEID，可以可靠地在这些不同的数据库之间进行通信，以获取有关报告的安全漏洞的更多信息。0NVD构建在CVE条目中包含的信息之上，以提供每个条目的增强信息，例如根据CVSS标准计算的严重性分数和影响评级。NVD将非结构化的CVE数据转换为结构化的JSON（或JavaScript对象表示）或XML（或可扩展标记语言）格式。作为其增强信息的一部分，NVD还提供高级搜索功能，例如按操作系统、按供应商名称、按产品名称、按版本号、按漏洞类型和严重性进行搜索。在这些额外功能中，受影响的产品名称和版本在CPE条目中有匹配的字符串条目。漏洞类别功能在通用弱点枚举（CWE）[32]存储库中提供，该存储库将观察到的故障和缺陷抽象为常见的漏洞组，并提供有关预期影响、行为和进一步实施细节的附加信息。漏洞严重性分数是根据CVSS版本3和版本2标准计算的。0SecurityFocus是一个广泛使用的漏洞数据库，同时也0提供安全新闻门户网站[ 13]。尽管该数据库在2021年1月关闭，但其历史报告仍适用于验证我们的实验分析。除了漏洞描述，SecurityFocus还指出了漏洞是否有PoC利用。请注意，SecurityFocus并不依赖CVE数据源[ 23]。事实上，BugTraq漏洞报告可能涉及多个CVE漏洞实例。方等人的统计分析表明，尽管SecurityFocus报告的漏洞数量少于NVD中发现的漏洞数量，但SecurityFocus中被利用的漏洞比例（37.008%）远高于NVD中的比例（6.676%）[ 13]。他们还观察到，SecurityFocus的漏洞报告在预测性网络安全分析中具有更高的覆盖率和更多的参考意义，导致他们的实验结果表明，在实际环境中，SecurityFocus的表现优于NVD。0工业控制系统CERT（ICS-CERT）[ 33 ]是美国国家0US-CERT专注于控制系统的安全。ICS-CERT的公告进一步分析了CVE中报告的漏洞，特别是风险评估、受影响产品和缓解措施，如变通方法或官方补丁。0在下面的示例中，我们介绍了0上述漏洞数据源之间的差异，特别是NVD、SecurityFocus和ICS-CERT之间的差异。SecurityFocus的历史报告是在关闭之前的2020年12月下载的。BugTraq ID108727下的漏洞报告涉及三个CVE报告，分别是CVE-2019-6580、CVE-2019-6581和CVE-2019-6582。NVD为这三个披露的漏洞分配了CVSSV3基础分数9.8、8.8和7.7。然而，ICS-CERT和供应商西门子[ 34]为CVE-2019-6581和CVE-2019-6582分配了相同的CVSSV3基础分数，但为CVE-2019-6580分配了不同的分数8.8。CVE-2019-6580分数的不一致是由于对于利用此漏洞是否需要特权的度量标准有不同看法。在这里，我们比较了SecurityFocus的讨论部分和NVD或CVE中一个漏洞实例CVE-2019-6580的描述部分。我们观察到，SecurityFocus给出的摘要突出了漏洞类型和针对漏洞的潜在威胁，而NVD强调了受影响的产品和漏洞的影响。0•  SecurityFocus讨论：“ Siemens Siveillance VMS易受0多个授权绕过漏洞。攻击者可以利用这些问题绕过某些安全限制并执行某些未经授权的操作。这可能有助于进一步的攻击。这些问题已在SiveillanceVMS 2017 R2 v11.2a、2018 R1 v12.1a、2018 R2 v12.2a、2018 R3v12.3a和2019 R1 v13.1a中得到解决。0•  NVD描述（与CVE描述相同）：“ 一个漏洞0在Siveillance VMS 2017 R2（所有版本  < V11.2a）、Siveillance VMS2018 R1（所有版本  <  V12.1a）、Siveillance VMS 2018 R2（所有版本<  V12.2a）、Siveillance VMS 2018 R3（所有版本   2）同意的分数被作为真实分数或基准分数。在只找到两个分数源的情况下，或者 [ �1 , � 2 ]，并且这两个分数是不一致的，我们取这些分数的平均值。我们举一个例子，使用漏洞实例CVE-2018-7791，NVD和供应商Schneider Electric分别分配了CVSSV3基础分数为9.8，向量为AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。然而，ICSCERT将此漏洞分配了一个分数为7.7，向量为AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L。同样，不一致是由于对攻击复杂性的不同测量。使用我们的多数投票方法，我们选择最终分数为9.8作为真实分数。另一个分数不一致的例子是漏洞实例CVE-2014-0754，NVD、VulDB以及ICS CERT分配了CVSSV2基础分数10.0，向量为AV:N/AC:L/Au:N/C:C/I:C/A:C。请注意，前三个CVSSV2指标与CVSS V3指标不同。AV表示访问向量，相当于CVSSV3中的攻击向量。AC指的是访问复杂性，相当于CVSSV3中的攻击复杂性。Au表示认证，用于衡量攻击者需要对目标组件进行身份验证的次数，以利用漏洞。然而，供应商SchneiderElectric分配了一个不同的分数9.3，向量为AV:N/AC:M/Au:N/C:C/I:C/A:C。不一致是由于对此实例的访问复杂性的不同测量，SchneiderElectric分配了中等复杂性，而其他三方分配了低复杂性。使用我们的多数投票方法，我们选择最终分数为10.0作为真实分数。04.4. 漏洞严重性计算0通过ML算法管道对网络安全数据进行分类，以填补CVSS分数空白。使用文本挖掘方法[ 11]，从现有网络安全存储库中检索的漏洞报告与漏洞描述进行对比。随后，使用ML算法将新的漏洞报告分类到CVSS度量属性组中，该算法是从一组历史报告数据 �训练出来的。考虑到 � 漏洞实例来自这个6onWe employ Accuracy, Balanced Accuracy metrics [40] as well as F1-score [41] to assess this contrast. The performance implication ac-counts for unbalanced classes, such as AccessVector(AV) classes forexample, where Network category has much larger sample size thanPhysical category, as depicted in Fig. 4. This observation is emphasizedin Table 2 and Table 3. AccessVector(AV) classification may involvemulti-class associations, whereby micro-average is used to computethe mean of value across class associations. Micro-average differs frommacro-average in the sense that micro-average aggregates the weightedcontributions of all classes, while macro-average take the average con-tributions of all classes. And therefore, micro-average is preferable formulti-class categorization problems with class imbalance. The same ap-proach is employed for other multi-class occurrences. Binary classifierslike the one employed for UserInteraction (UI) uses a confusion matrixto infer the balanced-accuracy and F1-score values of the classification.0数组15（2022）1002090Y. Jiang和Y. Atif01:  procedure  SeverityComputing ( �� , �, �, � , � ′ ) �  ��  是一个机器学习模型  � () 。� � ���� () 是CVSS计算器，如方程式 (1) 所示。�  [ � 1 , … , � � , … , � � ] (0 < � ≤ �, � > 2)是一个数据源列表，每个数据源都有  � 漏洞实例。每个漏洞实例  � � ( 0 < � ≤ � ) 被分配了一个严重性分数列表，如 [ � �, 1 , … , � �,� , … , � �,� ] 和一个CVSS向量列表，如 [ � �, 1 , …, � �,� , … , � �,� ] 。� � ′ 是一组漏洞实例  � �  ( 0 < � ≤ � ′ )，它们没有严重性分数或CVSS测量。0� � 是一组CVSS指标 � � ( 0 < � ≤ � )，其中每个指标 � � 都有一组 � � 类作为映射到值 � ( � � ) � ∈ { � 1 ( �