安全漏洞危害評估研究暨標準漏洞庫的設計與實現(xiàn).pdf

1、安全漏洞是信息安全技術的核心，大部分的網(wǎng)絡攻擊往往是基于漏洞發(fā)起的。隨著漏洞數(shù)量和漏洞發(fā)現(xiàn)速度的急劇增加，收集、整理和利用已有漏洞變得越來越重要:1.標準化的漏洞數(shù)據(jù)可以在全世界范圍內(nèi)整合漏洞資源，為漏洞挖掘提供借鑒作用，避免漏洞挖掘者對已經(jīng)發(fā)現(xiàn)的漏洞進行重復的工作，同時可以根據(jù)已知漏洞來推斷可能存在的未知漏洞，提高效率;2.標準化的漏洞數(shù)據(jù)可以為安全工具、安全設備、網(wǎng)絡設備提供必要的數(shù)據(jù)源;為漏洞挖掘者和IT廠商提供規(guī)范化的溝通橋梁，

2、幫助廠商開發(fā)出更加安全的產(chǎn)品;3.標準化漏洞數(shù)據(jù)可以對網(wǎng)絡安全態(tài)勢進行評估，輔助制定網(wǎng)絡安全策略;在國家戰(zhàn)略層面，一個有影響力的標準化漏洞數(shù)據(jù)庫可以吸引國際上更多的安全工作者上報最新發(fā)現(xiàn)的漏洞。
　　然而，1.漏洞的標準化協(xié)議仍然不夠成熟，難以對漏洞進行統(tǒng)一地描述和檢索;2.現(xiàn)有安全漏洞數(shù)據(jù)庫異構情況嚴重，相互不能夠兼容;3.漏洞數(shù)據(jù)處理需要人工完成，時間消耗較大且不能避免主觀性。
　　為了解決上述問題，文本圍繞“漏洞的標準

3、化與數(shù)據(jù)處理自動化”從如下三個方面進行了深入地研究:1.漏洞數(shù)據(jù)的標準化技術，其中主要針對安全漏洞危害評估的標準化進行了研究;2.標準漏洞數(shù)據(jù)庫建設的相關技術;3.漏洞數(shù)據(jù)處理的自動化技術。
　　主要成果如下:
　　(1)漏洞數(shù)據(jù)的標準化技術方面，漏洞危害性評估算法的分散性研究。研究了定量漏洞危害評估系統(tǒng)，收集和整理了NVD中的7萬余條漏洞數(shù)據(jù)，分析了目前較為權威的評估系統(tǒng)CVSS在指標取值、危害值分布、分散性和客觀性方面所

4、存在的問題。提出了指標取值需要滿足的標準，基于主成分分析法PCA對CVSS進行了修正，提出了CVSS_ PCA危害性評估系統(tǒng)，該系統(tǒng)可以在不改變CVSS指標選擇的前提下，很好地滿足指標取值標準，同時獲得較好的危害值分布、分散性和客觀性。
　　(2)漏洞數(shù)據(jù)的標準化技術方面，漏洞危害性評估算法的客觀性研究。分析了Expert System和CVSS的客觀性，并基于Expert System對CVSS進行了修正。具體過程中分別分析了上

5、述系統(tǒng)與CWE和Product之間的關系，基于CWE，針對Expert System提出了一種新的利用方式，即循環(huán)排序算法，對CWE的平均危害性進行了排序;同時基于循環(huán)排序算法提出了CWE排序因子(COF)對CVSS進行修正，最終的結果在客觀性方面更加接近于Expert System。
　　(3)標準漏洞數(shù)據(jù)庫建設的相關技術。從多個方面研究和分析了當前國際上各主流漏洞庫（共涉及26個）的優(yōu)勢和不足，提出了評估漏洞庫的標準（數(shù)據(jù)量與

6、全面性、數(shù)據(jù)來源獨立性、被引用情況、字段全面性、支持SCAP情況、包含POC情況），并根據(jù)上述標準對當前主流漏洞庫進行了評估和比較。最后提出了標準漏洞數(shù)據(jù)庫的建設模式，包括數(shù)據(jù)來源、數(shù)據(jù)字段設計、模塊整體架構和子模塊功能設計、對外服務模式等。
　　(4)漏洞數(shù)據(jù)的自動化處理技術方面，漏洞關聯(lián)性與自動化漏洞去重技術。分析了15個主流漏洞庫共計84.2萬條漏洞數(shù)據(jù)的關聯(lián)性。分析和歸納了漏洞文本類型字段的異構情況，同時分析和整理了漏洞參

7、考鏈接引用的拓撲結構，利用該拓撲結構歸納了漏洞之間可能存在的主要關系;以文本挖掘算法為核心，針對漏洞字段的特點，提出了漏洞去除重復的規(guī)則，以及漏洞數(shù)據(jù)庫融合框架UVDA，UVDA框架實現(xiàn)過程完全自動化。UVDA已應用于國家計算機網(wǎng)絡入侵防范中心漏洞庫NIPC，推進了漏洞信息發(fā)布機制標準化進程。
　　(5)漏洞數(shù)據(jù)的自動化處理技術方面，基于文本分類的漏洞自動化危害評估技術。分析了主流漏洞庫共16余萬條漏洞數(shù)據(jù)，基于文本分類算法提出了

8、一套新的自動化漏洞危害評估框架ASVA，ASVA適用范圍廣，可用于漏洞信息不足的情況，過程完全自動化，此外，由于ASVA框架的實現(xiàn)基于大數(shù)據(jù)統(tǒng)計分布，因此很好的避免了人工造成的主觀性;基于ASVA提出了三種新的特征提取模式:Direct Mode、Original Mode和Combined Mode;針對Combined Mode，提出了指標聯(lián)合的具體規(guī)則，從而優(yōu)化了選擇策略，提升了危害評估框架的準確性。
　　(6)漏洞數(shù)據(jù)的自

9、動化處理技術方面，基于文本分類與新特征的漏洞自動化分類技術。分析了16萬條漏洞數(shù)據(jù)，基于文本挖掘算法提出了一個新的自動化漏洞分類框架ASVC，可以自動化和批量化地分類漏洞，可處理信息不完整的漏洞條目，相比于人工的小數(shù)據(jù)集決策，更加客觀和可靠;針對CWE標準，優(yōu)化了分類的經(jīng)驗參數(shù)。為了進行比較，同時測試了BNVC、LVCM、OSBC和CVCF四種漏洞自動化分類框架，并且從準確度、覆蓋率兩個方面與ASVC進行了對比，實驗結果表明ASVC分類