网络物理系统中漏洞严重性的自动评估与人工智能方法

0Array 15（2022）1002090章（http://creativecommons.org/licenses/by/4.0/）。0ScienceDirect提供的内容列表0数组0期刊主页：www.elsevier.com/locate/array0自动发现和评估网络物理系统中漏洞严重性的方法0Yuning Jiang，Yacine Atif �0瑞典斯科夫德大学0文章信息0关键词：网络安全文本挖掘 网络物理系统漏洞分析 CVSS0摘要0尽管复杂的网络物理系统（CPSs）广泛传播，但仍存在网络安全漏洞和潜在攻击。对于这种复杂系统的漏洞评估具有挑战性，部分原因是评估其网络安全弱点水平所使用的机制之间存在差异。一些来源确实报告了这些弱点，如国家漏洞数据库（NVD），以及制造商网站，除了其他安全扫描建议，如网络紧急响应团队（CERT）和Shodan数据库。然而，这些多个来源在漏洞严重性评分方面存在一致性问题，尤其是在漏洞严重性评分方面。我们提倡一种基于人工智能的方法来简化漏洞严重性大小的计算。这种方法减少了传统网络安全分析中使用的手动计算过程引起的错误率。流行的存储库，如NVD和SecurityFocus，被用来验证所提出的方法，辅以一种查询方法来检索漏洞实例。通过这样做，我们报告了报告的漏洞分数之间的发现的相关性，以推断漏洞实例的一致大小值。该方法应用于一个CPS应用的案例研究，以说明所提出的漏洞评分机制的自动化，用于减轻网络安全漏洞。01.介绍0信息和通信技术的现代突破促进了数字和物理环境的整合，以提高网络物理系统（CPS）在工业过程中的自动化程度。然而，CPS组件容易受到各种固件版本的漏洞影响[1]。预计将发现不希望的漏洞发生。同时，将对其严重性进行评分，以确定优先进行补丁修复的机制。这种分析支持网络安全运营商预测来自新威胁的网络攻击，并防止入侵机会[2]。新的测量方法使得能够量化网络安全问题，以支持漏洞缓解决策。这些测量值来自在线可用的一系列网络安全存储库。通用漏洞和曝光（CVE）[3]存储库是一个主要的数据库，积累了进一步增强的通用漏洞评分系统（CVSS）[4]分数的漏洞报告。其他分析测量值由国家漏洞数据库（NVD）[5]提供。然而，依赖CVE或NVD记录作为主要数据源的漏洞缓解决策可能存在偏见，并且歧视其他数据源[6,7]。例如，0� 通讯作者。邮箱地址：yuning.jiang@his.se（Y.江），yacine.atif@his.se（Y.阿蒂夫）。0SecurityFocus的BugTraq[8]包含尚未在CVE中报告的漏洞。因此，基于网络安全测量的推断决策需要包括广泛的网络安全数据存储库。通过一些基于人工智能（AI）规则的综合知识库在这项研究中显示出提供所需决策支持水平的基础。企业越来越多地面临着由零星漏洞引起的网络安全问题，支持决策标准的报告数据。系统数据和报告的漏洞的巨大数量增加了安全分析人员的工作量，当手动执行时，这既是耗时的，也容易出错。这种数据驱动的演进使以前的风险分析框架得到了简化，同时仍考虑到人类专家的判断。一些早期的工作朝着结合新兴的网络安全度量标准迈出了第一步，形成了标准机制CVSS。CVSS被广泛用于评估企业和学术研究中的漏洞严重性[9,10][11]。然而，CVSS在实践中使用时存在一些挑战[12,13]。CVSS分数基本上受到个人专家的影响，他们可能花费一些时间来排名漏洞的严重性，因为这些漏洞是在CVE中披露的。这种延迟0https://doi.org/10.1016/j.array.2022.100209收到日期：2022年1月25日；修订后收到日期：2022年6月11日；接受日期：2022年6月11日20Array 15 (2022) 1002090Y. Jiang 和 Y. Atif0图1. 评分的潜在时间延迟和不一致的分数。0评估漏洞增加了威胁变成实际网络攻击的可能性[14]。因此，自动化漏洞评分有望缩小零日攻击的差距。为设计这样一个自主评分系统，必须检查几个不足之处，比如如何推断用于控制漏洞度量的重要测量值，使其适合报告的漏洞规模。此外，现有CVSS版本之间的差异会产生不兼容的度量值。以前的研究没有充分解决这些困难。不同的企业使用不同的CVSS版本来评估漏洞实例[12]，导致冲突的结果。例如，NVD仅使用CVSS版本3分数来评价2015年以后报告的漏洞实例。将CVSS分数应用于支持漏洞分析和管理的挑战在图1中有所说明。考虑一个随机的漏洞实例�，NVD、对应的制造商和第三方分析器提供了它们的严重性评分为 � �� �， � ����������������0和 � �������� 可能是不一致的。尽管CVSS很受欢迎[12,13]，但对于同一漏洞实例报告的分数之间的不一致性确实会发生。特别是在考虑其他CVSS的时间和环境度量标准时，漏洞属性会随时间和部署环境的变化而变化。因此，预计会进一步整合现有的CVSS分数[10]，包括制造商提供的数据、来自相关安全来源和论坛的在线评论。数据的不一致性也增加了漏洞检索的难度。例如，在NVD搜索引擎中使用MTU作为单个关键字会返回与两种不同设备类别相关的漏洞，即最大传输单元（例如漏洞实例CVE-2005-0065）和主终端单元（例如漏洞实例CVE-2015-0990）。因此，要仅检索主终端单元漏洞，我们需要进一步使用关键字如SCADA-server或特定供应商模块来细化查询。同时，在通用平台枚举（CPE）[15]元数据中，供应商名称可能以不同的形式出现。例如，供应商Schneider ElectricSE在CPE数据库中有变体形式，如'schneider-electric'、'chneider-electric'和'schneider-electic'。我们提出了一个漏洞评分系统，用于量化报告的漏洞事件的严重性。计算的分数通过定量指标实现情境意识，这些指标转化为可操作的情报。该方法自动化了漏洞调查，同时解决了多个CVSS版本之间的兼容性问题。标准CVSS标准被用作评估漏洞的可利用性和恶意利用后果的评分基础。为了实现这些目标，我们将几个在线网络安全数据源发布的漏洞分数进行了相关联，包括NVD、供应商网站和第三方审阅者的技术报告（例如网络紧急响应团队（CERT）[16]和0Microsoft Security Response Center (MSRC) [ 17]，用于整合漏洞实例的严重性评分。因此，我们为基于机器学习（ML）的漏洞严重性计算算法生成了基本事实。然后，这些实例用于训练我们的ML模型，我们使用NVD和SecurityFocus等漏洞库中报告的漏洞来评估该模型。除了NVD和SecurityFocus，我们建议的方法还可以整合其他数据源，如CERT。我们还提出了一种新的查询逻辑，以识别相关的漏洞实例，同时根据其他关键字排除可能的误报。对CPS漏洞和相关因素的评估研究显示了网络安全评估的自动化水平的提高[14]。本文的主要贡献概述如下：0•一种新颖的基于机器学习的漏洞评估结构，推断报告的漏洞实例的CVSS严重性评分。该提议的技术通过多数投票系统解决了CVSS分数的兼容性问题，作为所提议的机器学习模型的一部分。该方法可以定制以适应首选的CVSS版本，以允许改进漏洞评估的一致性的共同计算语义。•一种以系统配置信息为输入的查询生成方法，并以类似于CPE元数据的格式导出最佳匹配的查询标签。•一个CPS漏洞分析案例研究，验证了所提出的基于机器学习的漏洞评估方法。0本文的其余部分组织如下：第2节提供了一些背景，并正式阐述了本文所讨论的问题，接下来是第3节，讨论漏洞数据源、CVSS机制中使用的标准漏洞严重性度量和相关漏洞评估过程。在第4节中，我们展示了我们的漏洞评估原型，它将现有的CVSS分数与其他安全警报指标进行了关联，并使用一些文本挖掘技术对一系列漏洞报告进行了不同CVSS版本的调和。在第5节中，我们通过一些分析，评估了我们在CPS环境中使用主要是NVD和Shodan的漏洞发现和评估方法。在第6节中，我们提供了一些结论性的意见，并讨论了一些未来的研究方向。02. 相关工作0多个网络安全数据源之间的相关性研究可以结合来自不同利益相关者的各种观点，将多方面分析连接到更广泛的统计关联中。CVE、NVD、CERT和SecurityFocus是广泛使用的漏洞分析数据库，用于唯一标识的漏洞记录。这些数据库进一步与ExploitDB等数据源进行关联。Allodi和Massacci进行的研究是一个例子，他们将NVD与ExploitDB、SymantecAttackSignature和ThreatExplorer进行关联。通过这样做，他们通过基于公开概念验证（PoC）漏洞存在来计算时间属性，增强了CVSS评分实践。Geer和Roytman还将NVD数据库与ExploitDB和Metasploit进行关联，以支持渗透测试人员。Fang等人利用SecurityFocus和NVD来预测漏洞的可利用性和利用性，同时以ExploitDB中提取的PoC作为基本事实。Rodriguez等人比较了多个数据源的原始发布日期，包括NVD、SecurityFocus、ExploitDB和三个供应商Cisco、Wireshark和Microsoft。他们观察到，NVD中发布的漏洞实例比其他数据源延迟1-7天。各种方法应用于工业博客中的文本挖掘技术，例如Twitter和安全论文。朱和杜米特拉斯的工作就是一个例子，他们应用自然语言处理技术自动从研究论文中提取恶意软件检测特征。陈等人、Bullough等人和Sabottke等人提取了30数组15（2022）1002090姜洋和阿提夫0通过爬取Twitter并提取包含CVE关键词的推文，来获取与漏洞相关的数据。这些工作强调了CVE和NVD数据集的统计解释需要与其他实时安全相关数据源相结合，例如Twitter、暗网和产品供应商跨部署基础设施，以提高指标的可靠性和精度。然而，这些工作为软件漏洞分析的更广泛领域做出了贡献。考虑网络安全中使用的不同术语的相关性研究，特别是针对CPS领域的研究有限。在我们的方法中，我们从CVE漏洞报告中提取了相关的脆弱组件和供应商信息，将其与CommonPlatformEnumeration（CPE）以及供应商网站进行映射，以生成CPS组件和供应商的字典。0进一步的模式识别和趋势分析。使用人工智能技术，可以分析大量这样的开放源漏洞数据[11]。03. 背景0在本节中，我们介绍数据源，用于0计算漏洞严重性以及严重性分数计算过程。03.1. 漏洞数据源0为每个发现的漏洞分配一个标识符。此外，它通过CVE编号机构（CNA）[31]维护一个公开可访问的所有标识符的数据库。典型的CVE条目包括以下字段：唯一标识符，报告的漏洞的简要描述以及有关漏洞的任何相关引用。唯一的CVE标识符或CVE ID是区分一个安全漏洞与另一个安全漏洞的关键。通过CVEID，可以可靠地在这些不同的数据库之间进行通信，以获取有关报告的安全漏洞的更多信息。0NVD建立在CVE条目中包含的信息基础上，以提供每个条目的增强信息，如根据CVSS标准计算的严重性分数和影响评级。NVD将非结构化的CVE数据转换为结构化的JSON（或JavaScript对象表示）或XML（或可扩展标记语言）格式[6]。作为其增强信息的一部分，NVD还提供高级搜索功能，例如按操作系统、按供应商名称、按产品名称、按版本号、按漏洞类型和严重性进行搜索。在这些额外功能中，受影响的产品名称和版本在CPE条目中有匹配的字符串条目。漏洞类别功能在通用弱点枚举（CWE）[32]存储库中提供，该存储库将观察到的故障和缺陷抽象为常见的漏洞组，并提供有关预期影响、行为和进一步实施细节的附加信息。漏洞严重性分数是根据CVSS版本3和版本2标准计算的。0SecurityFocus是一个广泛使用的漏洞数据库，也是0功能是一个安全新闻门户网站[13]。尽管该数据库在2021年1月关闭，但其历史报告仍适用于验证我们的实验分析。除了漏洞描述，SecurityFocus还指出了漏洞是否有PoC利用。请注意，SecurityFocus并不依赖于CVE数据源[23]。实际上，BugTraq漏洞报告可能涉及多个CVE漏洞实例。方等人的统计分析表明，尽管SecurityFocus中报告的漏洞数量少于NVD中发现的漏洞数量，但SecurityFocus中被利用的漏洞比例（37.008%）要高得多NVD中的比例（6.676%）[13]。他们还观察到，SecurityFocus中的漏洞报告在预测性网络安全分析中具有更高的覆盖率和更高的参考意义，导致他们的实验结果，即在实际环境中，SecurityFocus的表现优于NVD。0工业控制系统CERT（ICS-CERT）[33]是0US-CERT专注于控制系统的安全。ICS-CERT的公告进一步分析了CVE中报告的漏洞，特别是风险评估、受影响的产品和缓解措施，如变通方法或官方补丁。0在下面的示例中，我们介绍了0前述漏洞数据源之间的差异，特别是NVD、SecurityFocus和ICS-CERT之间的差异。SecurityFocus的历史报告是在关闭之前的2020年12月下载的。 BugTraq ID108727下的漏洞报告涉及三个CVE报告，分别是CVE-2019-6580、CVE-2019-6581和CVE-2019-6582。NVD为这三个披露的漏洞分配了CVSSV3基础分数9.8、8.8和7.7。然而，ICS-CERT和供应商西门子[34]为CVE-2019-6581和CVE-2019-6582分配了相同的CVSSV3基础分数，但为CVE-2019-6580分配了不同的分数8.8。CVE-2019-6580分数的不一致是由于对于利用此漏洞是否需要特权的度量标准的不同观点。在这里，我们比较了SecurityFocus的讨论部分和NVD或CVE中一个漏洞实例CVE-2019-6580的描述部分。我们观察到，SecurityFocus给出的摘要突出了漏洞类型和针对漏洞的潜在威胁，而NVD强调了受影响的产品和漏洞的影响。0• SecurityFocus讨论：“西门子Siveillance VMS易受0多个授权绕过漏洞。攻击者可以利用这些问题绕过某些安全限制并执行某些未经授权的操作。这可能有助于进一步的攻击。这些问题已在SiveillanceVMS 2017 R2 v11.2a、2018 R1 v12.1a、2018 R2 v12.2a、2018 R3v12.3a和2019 R1 v13.1a中得到解决。0• NVD描述（与CVE描述相同）：“一个漏洞0在Siveillance VMS 2017 R2（所有版本 < V11.2a）、Siveillance VMS2018 R1（所有版本 < V12.1a）、Siveillance VMS 2018 R2（所有版本 2）是一个数据源列表，每个数据源都有 � 个漏洞实例。每个漏洞实例 � �（0 < � ≤ �）被分配了一组严重性分数，如 [� �, 1，…，� �,�，…，� �,�] 和一组 CVSS 向量，如 [� �, 1，…，��,�，…，� �,�]。� � ′ 是一组漏洞实例 � �（0 < � ≤ � ′），它们没有严重性分数或 CVSS 测量。0� � 是一组 CVSS 指标 � � （0 < � ≤ �），其中每个指标 � � 都有一组 � � 类作为映射到值 �（� �）�∈{�1（��），…，��（��），…，��（��）}（0 < �（��）≤ �（��））。02：�=|[�1，…，��，…，��]|，�=|��|，�′=|�′|，�=|�|，�(��)=|{�1(��),…，��(��),…，��(��)}|03：对于漏洞实例��（�=1，…，�）执行05：设置�(��)�=argmax�(��)[����({�1(��),…，��(��),…，��(��)}‖�(��)�,�)](0<�≤�)作为CVSS测量的地面真相06：结束循环07：��=[�(�1)�，…，�(��)�，…，�(��)�]（�=1，…，�）08：设置��=�����(��)作为严重性分数的地面真相09：结束循环011：Train(��)���模型训练和历史数据集的测试012：�(��)(��)=argmax�(��)�(��)0�(��)(��)013：结束循环014：对于漏洞实例��（�=1，…，�′）执行016：�(��)�=�(��)(��)�获取结果的预测CVSS测量017：结束循环018：��=[�(�1)�，…，�(��)�，…，�(�)�]（�=1，…，�）019：结束循环020：得到的预测分数��=�����(��)021：结束过程0数据集，（��,��）（0<�≤�）表示漏洞报告��和ML算法使用的地面真实描述之间的0CVSS指标�=[�1，…，��，…，��]（0<�≤�），确定0�类�=[�(�1)�，…，�(��)�，…，�(��)�]，其中每个指标类0（0<�(��)≤�(��)）。例如，使用CVSSV3和指标集�=