基于模糊逻辑的通用脆弱性评分系统

埃及信息学杂志22（2021）145基于模糊逻辑回归最小二乘法的模糊通用脆弱性评分系统KeremGencera，，hBa，sçiftçibaKaramanoglu Mehmetbey大学技术科学职业学院计算机程序设计系，土耳其b土耳其科尼亚塞尔丘克大学技术学院计算机工程系阿提奇莱因福奥文章历史记录：收到2020年2020年6月29日修订2020年7月8日接受2020年7月28日网上发售保留字：模糊逻辑回归概率模糊最小二乘通用漏洞评分系统A B S T R A C T本研究提出了一种新的计算方法，在通用漏洞评分系统，评分的安全状态的软件中的漏洞的影响。这些计算是软件漏洞评分中最常用的方法。本模型演示了如何使用语言术语计算软件安全漏洞。因此，所提出的方法具有比该系统更灵活的结构。目前的通用漏洞评分系统的公式和分数被用来评估和实施所提出的模型。其目的是形成一个模糊模型，称为模糊通用漏洞评分系统的基础上，成功的概率是使用语言术语，如低，非常低或高定义。在此基础上，采用模糊逻辑回归（FLR）方法确定了精确输入与模糊多输出之间的关系，并采用最小二乘法对模型参数进行了估计。通过使用均方误差（MSE）、平均绝对误差（MAE）以及Kim和Bishu标准进行比较来评估模型的性能。用不同的适应度函数证明了模糊回归模型的有效性。人们期望通过使用语言术语来评估共同的脆弱性，可以实现具有更好容错性©2021 THE COUNTORS.由Elsevier BV代表计算机和人工智能学院发布开罗大学法律系这是一篇CC BY-NC-ND许可证下的开放获取文章（http：//creative-commons.org/licenses/by-nc-nd/4.0/）上提供。1. 介绍漏洞是指可能直接或间接扭曲系统、设备或服务的完整性、实用性或隐私的错误或事件。每年都有许多漏洞被发现和公布。有资源终止系统漏洞的组织的管理员首先关注最关键的漏洞。评估这些风险的公司和系统数量相当有限。通用漏洞评分系统（CVSS）是基于FIRST开放平台的一种将简单公式转化为漏洞严重性数值的定量计算方法[1]。标准度量的可用性允许执行客观评估以比较脆弱性。因此，使用CVSS是非常有益的。CVSS*通讯作者。电子邮件地址：keremgen@kmu.edu.tr（K.Gencer），basciftci@selcuk.edu.tr（F. Ba，sçiftçi）.开罗大学计算机和信息系负责同行审查。有三个指标组：基本、临时和环境。然而，漏洞数据库通常与基点相关联。基本分数代表不受地点、系统和时间概念影响的特征，以及所有脆弱性的性质中存在的特征。基本指标由5个基本组成部分组成。攻击向量反映了可能利用漏洞的环境。攻击复杂性描述了攻击者无法控制的情况，这些情况必须存在才能利用漏洞。Privileges Required描述了攻击者在成功利用漏洞之前必须拥有的权限级别。用户交互捕获用户（而非攻击者）参与对易受攻击组件的恶意破坏的要求。影响度量指的是受影响组件的属性。如果没有发生范围变更，则影响指标应反映对脆弱组件的机密性、完整性和可用性（CIA）影响[2]。图1显示了基本的CVSS公式。尽管CVSS是一个标准的度量系统，但它也有一些局限性。CVSS计算包括主观计算，如图1所示。此外，用户需要在脆弱性特征和CVSShttps://doi.org/10.1016/j.eij.2020.07.0011110-8665/©2021 THE COMEORS.由Elsevier BV代表开罗大学计算机和人工智能学院出版。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表埃及信息学杂志杂志主页：www.sciencedirect.com146K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145评分系统通过语言变量解释脆弱性缺陷比查找和计算基本CVSS评分参数更容易[3]。本研究旨在使用模糊逻辑回归（FLR）的脆弱性描述的基础上建模和估计CVSS的基本分数。回归分析是用于对因变量（输出）与一个或多个自变量（输入/输入）之间的关系进行建模的流行方法之一如果某些术语的含义可能会在现实生活中引起复杂性或不确定性，则应使用语言陈述或模糊数字来定义这些术语语言变量变成了需要使用模糊集来数字化地表达口头陈述的手段参考文献[4]提出了用模糊数表示某些项的模糊回归模型。在出版的文献中，它通常以两种形式使用第一种是基于Tanaka提出的概率概念，它减少了输出估计值的总不确定性[5相反，第二种方法使用最小化同时观测输出之间的误差的方法，这是由Diamond和Celmin提出的模糊最小二乘法，[8-11]。这项研究提出了使用FLR模型以及精确的用Diamond第2包括相关文献中的一些研究。关于模糊集的某些定义和逻辑回归的经典概念的简要解释作为第3节中建议方法的序言。FLR方法在第4节中进行了审查，FLR模型是使用第5中的CVSS数据集形成的。在第6节中，对标准进行了比较，以测试建议的FLR模型的适用性，结果见第7。2. 文献综述通过语言变量（fuzzy）解释脆弱性的研究数量相当有限。参考文献[12]提出了模糊系统方法来评估相对潜在风险计算机网络暴露于由脆弱性引起的攻击。他用这种方法来整理漏洞。因此，其目的是让分析师根据资产和网络的潜在风险暴露来确定其研究的优先级。为了评估电信网络的脆弱性[13]提出了一种基于CVSSV3、专家决策和模糊逻辑的方法参考文献[14]提出了一个全纯风险水平估计模型，作为关于CVSS的频率和影响估计的条件概率。使用逻辑回归FLR用于定义精确或模糊输入与模糊双/多输出之间的关系使用FLR的研究数量非常有限。本 文 用 DiamondFLR 是 由 Pourahmad et al. 双 输 出 和 精 确 输 入[15]。参考文献[4]使用概率方法的概念来估计模型的参数，并提出了概率方法和某些适用性标准。提出了模糊双输出的FLR建模方法。此外，使用放大原理对概率率的对数转换进行建模，并使用Diamond提出了一种基于FLR方法的新技术信用评分模型，使用模糊输入和模糊双输出[16]。精确输入和模糊输出被许多作者从出版的文献中用于模糊回归模型[5，17[8，10，20]回顾了一些使用模糊输出、模糊输入和精确参数的研究。[11，21]研究了模糊输出、模糊输入和模糊参数。最近，[22]提出了一种新的模糊回归方法，以便在给定客观特征的情况下预测情感质量并估计人的评估中的模糊度。参考文献[23]提出了一种系统的方法，使用FLR模型附加优化的h值来识别QFD中的函数关系，其中系数被假设为对称三角模糊数。参考文献[24]提出了一种新的基于混沌的模糊回归（FR）方法，Fig. 1. CVSS基本评分公式[2]。K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145147一3¼ð Þ1-p型c-b¼ð Þ¼ ð޼𷷷Þ.Σl~100x100l~100x;a;b;c1002 ≤≤A¼supminfmx;m x;···;mxg;f无菌衣可以开发具有二阶和/或更高阶项以及交互项的模糊客户满意度模型。 参考文献[25]将广泛使用的方法（丢弃一些隐含波动率并使用三次样条插值剩余节点）与不需要先验选择隐含波动率的模糊回归方法进行比较。参考文献[26]提出了一种模糊回归方法，该方法考虑了通过人类判断引入的模糊性和广泛使用的心理测量质量量表的局限性。3. 所提出的模型本节简要介绍了模糊集上的算术运算的某些定义，并介绍了经典的逻辑回归方法。3.1. 模糊集合论中的一些基本规则定义3.1.1.把U元素看作一个用"X“表示的全称集合X是U的一个经典子集，其隶属度通过lA函数和A~模糊集和一个正则对偶集表示如下：A~1/4n.x;l~x=x2Xo1定义3.1.2. 定义在X空间A~中的模糊集的水平集表示如下：l~A<$x<$≥a;a2½0;1]<$2<$定义3.1.3. 用A~1/4模糊集表示的三角模糊图在数学上表示如下：定义3.1.6. 处理敏感问题的决策者使用近似数字是不可取的做法。因此，应该从作为用模糊数执行的操作的结果而获得的新模糊集合中进行减法。换句话说，将模糊输出集转换成一个精确的值后，已执行的操作与模糊数字被称为净化。通过模糊集的隶属函数进行净化。在这项研究中，使用质心法使用它们的y_（im）y_（im）y_（im）方程进行纯化，其中y_（im）是中心，y_（il）是左半导体。[27]《易经》中的“道”是“道”。3.2. 普通Logistic回归使用逻辑回归分析的目的是形成可接受的模型，该模型可以以使用最少数量的变量的方式定义双因变量与一个或多个自变量之间的关联并且确保最佳适配。逻辑回归主要用于医学，但也用于信用评分和遗传学。本集团并无就所用变量的分布作出假设。响应变量可以是双重的或多重的。自变量可以是连续的、间歇的、双重的或这些的组合。因变量（输出）和自变量之间没有线性关系。成功概率用p表示，而失败概率为0 1-p。双类因变量 p的logit转换为定义如下：第181eb0b1x1bnxn方程中模型的对数（8）如下：ln.pb0b1x1···bn xn 9123方程p<$eb0 <$b1x1<$··<$bnxn 这里称为概率8x-aAAC-X如果a × b 9率，以及b，x我1-p2m j= 0，1，2，，n反映了参数>b-a≤联系我们ij;1/4; ;···;;...>：0ifx>corx;定义3.1.4. A~a1;a2;a3和B~b1;b2;b3是两个三角形模糊图，关于模糊图的一些算术运算如下：加法=减法：A~B~1/4a 1b1=a1-b3;a2b2=a2-b2;a3b3=a3-b1bð4Þ乘法：A~×B~ 四分之一a1：b1;a2：b2;a3：b3部门：A~ ×B~四分之一a1=b1;a2=b2;a3=b3定义3.1.5. 设F表示模糊集空间（因此，E<$F。因此，对于任意的m2F;m：R！1/20;1]，反映了X的笛卡尔近似。4. 模糊逻辑回归模糊逻辑回归通过精确或模糊自变量定义两个或多个因变量之间的关系。采用概率和最小二乘法估计模糊逻辑回归模型中的参数。已发表的文献包含了许多关于模糊线性回归的研究，但对FLR的研究相当有限[28]。在逻辑回归中建立模型，并终止不确定或模糊的观测。然而，如果有太多的模糊观测，模型无法建立。因此，概率率的概念用于这些观测。4.1. 该模型如果Y~i;i≠1;2;·· ·;m个模糊多个相依变量，xij;i<$1; 2;··· ;m;j< $1; 2;···;n被认为是一组精确指数，管道 宇宙 X1;X2;···;Xni. e. X1×···×X n m1;m2;···;mn）分别是X1;X2;···;Xn中的n个模糊集. 另外，假设f是从X到论域Y的映射， f x1;x2;;x n.然后扩张原理让我们在Y中定义一个模糊集。对于待定变量，概率率的定义如下：Li 1; 2;···;m是的成功概率，而li¼possY~i¼1和上述方程是精确的数字。它们被表示为l R，0l1;或通过语言阈值（非常低，低，中等，高，非常高）。~（1122nn-1）基于L~;i^l; 2;···;m方程，i被定义为0;否则1-l~i观察的概率如果b≤x≤c模型的ð3Þ我ð7Þ148K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145-我M¼ ¼···73M.X¼···MMM用公式Y i/1l~计算。的模糊多fa6“#7da21因变量模型定义如下：Inr~lia一1aFS@sjrl~iamli1-arli-mli2.XM我我我我我在该方法中，作为对l~，Y~的响应 三角模糊数我2“l拉瓜M1我#32我我ln~lifa-a-1fs~l~61-l~la-i7~0l~i11-r~lα-我...Þið ÞWi<$ln@~A<$A0A1xi1···An xin i<$1; 2;···;m10aj和sj误差的总和对于j^l; 2;···;n最小化，并且是1 -li我们假设A i¼。a i;s i三角形i/1; 2;···;m在等式中（十）、然后估计输出是对称三角模糊数使用以下公式计算：@SSE@ SSE2019-04- 25~~我不知道你在说什么。Wi是估计的对数转换，概率率，称为模糊因变量。这导致了下面的等式。其中fiaa0a1xi1···an xin和11@SSEX0Z12l~lar~la31fiss0s1xi1···sn xin12W~i 是三角模糊数，记为fia;fisT@aj¼@SSEi¼1@02axij42fia-ln我1-l~l-α-淀粉酶-嗯我1-r~lα-淀粉酶5daA[15]表示如下：~@sjXm0Z12l~lar~la31Wi¼fia;fisT;i¼ 1; 2;···;m13¼@2a1-axij42 1-afisln1ia-ln1ia5daAW~i的a水平集计算如下：110-l~l-r~lð23Þ.W~i[1/2fia-1-afis;fia1-afis]14l~i的成功概率基于Eqs。 （20）和（21）是W~i 模糊逻辑模型估计。在这个模型中，专家由专家为每一个观察点指定以下等式通过这些评估和相关积分实现：嗯嗯嗯在该方法中，人将项L~i评估为成功概率。a0Xxi0xija1Xxi1xij···anXxin xij¼Xzi xij;j¼1; 2;···;n概率率的对数转换被视为观测的因变量。w~i的表达式一样1/1M1/1M1/1M1/1M如下所示：s0Xxi0xij=s1Xxi1xij=nXxin xij=Xki xij;j~。 我~！1/11/11/11/1wi¼ln我1-l~i;i¼1; 2; ···;m151; 2;·· ·;n= 24基于展开原理计算了观测因变量或观测输出的隶属函数。基于l~的w~i的a水平集如下所示x i01;i 1; 2; ;m;项z i和k i是对每个观测的积分计算的结果。当量（23）a以矩阵形式反映如下：基于aA¼Z和sA¼K，其中.w~i¼“lnll~ia1-ll~ia;lnrl~ia1-rl~iαα-淀粉酶ð16ÞAX0XX1x11·· ·：x1n1x21·· ·：x2n6 7通过使用以下计算：¼;¼·· ·：·· ·：·· ·：·· ·：64· ··：· ··：· ··：· ··：75ð25Þ. l~ihll~1xm1·· ·：xmnm×n1阿伊伊a1;a0;a1;···;anll~iamli-1-a。mli-lli18岁.ΣZ¼zi xi0;Xzi xi1;X1/11/1zi xi2;·· ·;X不zixinð26Þss0;s;···;sn4.2. 参数估计（表3）为了达到EQ。（10）最优地，W~i和W~i之间的平方误差和（SSE），W~i;i1;2;使用Diamond最小二乘法最小化。MK¼1/1a¼A-1Zki xi0;Xi¼1ki xi1;Xi¼1ki xi2;·· ·; Xi¼1不kix inð27Þ上海证券交易所Xi¼1D.W~ W~2我一一MM上海证券1/1064F75@ajð19Þ1/11/1ZX#！！K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145149Mi;iM1/10一Wia0;s 0a1;s1 xi1···an;snxins¼A-1K28mm作为结果，最优模糊逻辑模型表示如下：XZ1h2。.-好吧 1=2SSE使用等式计算（14）和（16）如下：i¼1; 2;·· ·;m29¼法加鲁德wi;Wi一Dað20Þ150K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145L14-L1L1介质1111~ZFa5. 应用首先确定语言阈值（非常低、低、七个精确的输入和五个模糊输出用于形成FLR模型。对模糊输出进行概率测量和概率率的对数转换（见下文）。中等、高和非常高）。作为对l~i的响应，Y~i 三角对于i=高（l~近似地计算模糊数，得到W~i的a水平集找到了如下所示在此基础上计算了w~i的隶属度函数Wln0L~11AA xA xfa F S~~高¼在~A¼0þ111þ···þ717夸脱1磅;1美元Sion原则。wi和Wi之间的SSE最小化，Diamond最小二乘法提出了基于概率的模糊逻辑回归模型。基本上有七个输入变量和一个输出变量表示，在表1中给出了漏洞评分系统的本质。1 -l1关于W~High的水平集是：ð30Þ输出变量有五个类别，如表2所示。决策者不能暗示关于分数.W~高1/2f1a-1-af1s;f1a1-af1s]31即使采用某种计算方法，也是精确计算的。由于CVSS严重程度的模糊性，无法实施经典逻辑回归。在这种情况下，FLR是合适的。输入是：攻击向量（AV），攻击复杂度（AC），所需权限（PR）、用户交互（UI）、机密性（C）、完整性（I）、可用性（A）和5类输出使用以下等式：f高f最高值1x11秒···秒7x17秒0秒0： 85秒1秒·· ·秒 0秒7秒32秒W~高的a水平集计算如下：有：严重、高、中、低、非常低。执行了FLR.W~100“lnll~1a;lnrl~1αα#333333使用表6中的CVSS 3.0计算值。Y：分类变量。 0至0.09反映了非常低的严重程度高一1-ll~1α-葡聚糖1 -rl~1a而0.1至3.9表示低严重性，4至6.9表示中度严重性，7至8.9表示高严重性，9至10表示严重性。根据l~2的临界度、高、中、低和极低，将模糊多范畴l~视为一个模糊依赖，并将其应用于实际工程中。dent观察变量（l~2临界、高、中、低、非常使用以下等式：. l~Highl~ a 阿吉亚1/20：795-201-a200：095;0：795201-a200：095]2034页关于W~High和W~High的SSE由下式示出：低）。 概率率计算为模糊相关变量。下表3中给出了近似“精确”分数和语言术语的三角模糊图。SSE高¼10ð Þ时间：2019- 01-0200：05：00时间0： 205时间1-a时间0： 095-f1时间-a时间-a-1时间f1时间时间：2019-01-0900：05：00表1有关CVSS的指标值输入独立变量攻击向量（AV）网络邻网本地系数0.850.620.550.20时间0： 205-01-a时间0：095-f1a-a-1f1sdað35Þ对于i=Medium（1~Medium 近似“中”），W ~ 1估计如下：~0l~11攻击复杂性（AC）物理低高0.770.44W中号¼ln@1-l~1A¼A0毫安1x11毫安···毫安7x17毫安特权没有一0.852019 - 01-26 00：00：00a水平设置为W~中m：.W~（1/2）fa-1-afs;fa1-afs]37表2关于CVSS的严重度评级量表通过使用下面的等式得到：f中号f中号© 2018 - 2019 www.cnjs.com版权所有并保留所有权利a水平集为w~介质计算如下：.~2L~ 拉瓜R~l1aw的中1升a~l1;lna~l1a高一一要求（PR）低0.62（0.68如果范围/修改范围高已更改）0.27（0.50如果范围/修改范围已更改）用户交互没有一0.85（UI）需0.62C，I，A Impact高0.56低0.22没有一0语言值最低最高非常低00.09低0.13.9介质46.9高78.9关键910K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145151XXX.XXXX5-我的中¼ð Þ419 2256 419225645马林：- -- a.-f a-a-1fs！模糊逻辑回归模型如下：：;：我06742311表3三角模糊数<$l~<$l与对应的Y~语言标度三角模糊数Y~1 n.1升非常低0.01 0.05 0.09-4.5951-2.9444-2.3136最低0.10 0.245 0.39-2.1972-1.1255-0.4473中等0.40 0.545 0.69-0.4055 0.1805 0.8001高0.70 0.795 0.89 0.8473 1.3553 2.0907严重0.90 0.945 0.99 2.1972 2.8439 4.5951使用以下等式：.2X592259225922592！不.l~中m1/4hll~ a 黑腹蛛Z¼1/1i=0;1/1zi xi1;1/1zi xi2;···1/1 zixi72019 -09- 18 00：00：00 00：0000：545-01-a00：145;00：545-01-a00：145]40分354： 40; 381： 94; 382： 35; 382：35年44月~~关于w Medium和W Medium的平方误差 计算为如下所示：2592K¼1/1ki xi0;25921/1kxi1;25921/1ki xi2;···;25921/1不kixi7SSEz1fa2019-05-29 00：Σ0 545 1 0 145Σ2ÞðÞ0：4551-a0： 14510： 5451200W~1/4英寸 Li2592时间0： 455-01-a时间0：145-f1a-a-1f1sdað41Þ获得所有观测值s、aj和sj的SSEs后，1 -li电话：+86-051- 88888888传真：+86-051-888888888邮箱：info@yahoo.com.cn使用Eq.（二十三）. 项a和s被发现为如下所示：左中右0152K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145a¼A-1Z电话：+86-0519-8888888 传真：+86-0519-88888888s¼A-1K2019 - 05- 2200：00：00-0： 1372 42使用以下等式：十点八十五分·· ·：0： 22十点六十二分···：0电话：+86-0510 - 8888888传真：+86-0510-888888882019-01-1500：00： 00观察结果133与“高”的可能性比值比使用上述公式计算得分，如下所示：W~133¼-3：9623;0：76041：0909;-0：01650：85电 话 ： +86-051-88888888 传 真 ： +86-051-8888888888邮箱：info@hzcn.com.cn粤ICP备16044764号-16. 讨论MSE和MAE建议的评估标准[29]K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145153A¼X X;X¼···：···：···：·· ·：67154K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145ð43ÞK. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145155~~156K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145十点五十五分·· ·：0： 22十点二十分·· ·：0：56K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145157方法被用来评估所提出的方法[30]。Y和Y是产出的实际和估计数字，以及Kim和Bishu评审准则如下：158K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145表4K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145159估计误差的比较160K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145I. 观测模糊输出估计误差K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145161Kim-Bishu MSE MAE162K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145I. 最低-1.194-0.497 0.199 1.5722 0.7181 0.8474K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145163I.非常低-1.653-0.925-0.198 1.8682 1.3590 1.1658164K. Gencer，F. Ba，sçiftçi/EgyptianInformaticsJournal22（2021）145I. 高-0.3390.3511.0421.31290.13580.3685