基于CVSS漏洞評分標準的網絡攻防量化方法研究

張必彥，王 孟

(1.中國人民解放軍91550部隊， 遼寧 大連 116023； 2.海軍工程大學， 武漢 430033)

針對日益復雜的網絡安全形勢，開展行之有效的網絡安全評估，是信息安全工作的客觀需求與迫切需要[1]。網絡安全評估的方法主要有定性評估與定量評估，定性評估所涉及的眾多參數的主觀性較強[2]，為得到權威的評估結論，所需滿足的前提條件較多且要求較為苛刻，因此當前的研究重點為定量評估[3-4]。定量評估涉及對網絡攻防行為的量化，為網絡安全分析提供了較好的思路，但量化過程存在一定程度的隨意性[5]，同時攻防雙方的量化標準不一致，此外所采取的量化分析方法多為著眼其中一方，未能較好的體現網絡攻防的實質[6]。為此，本文依托權威的CVSS評分標準，提出了一種標準統一、著眼攻防雙方的網絡攻防量化方法，為網絡安全評估工作提供了行之有效的量化基礎。

1 CVSS簡介

CVSS，英文全稱Common Vulerability Scoring System，即通用安全漏洞評估系統，是由NIAC發布、FIRST維護的開放式行業標準，CVSS的發布為信息安全產業從業人員交流網絡中所存在的系統漏洞的特點與影響提供了一個開放式的框架[7]。CVSS將每個漏洞量化為0～10間的具體分值，分數越高，危險級別越高。CVSS的各項評分要素均由國際信息安全領域專家共同制定，具有較強的專業性與說服力[8]。在確定系統漏洞后，依據其漏洞CVE編號可以通過官方網站查詢直接獲取該漏洞各要素評定情況及對其對應的分值，同時CVSS評分標準給出的計算公式中，各要素評分值不存在相關性的計算關系，各指標可以作為獨立的因素用于量化分析[9]。

2 基于CVSS的網絡攻防量化方法

為充分體現網絡攻防的實質，本文從攻擊與防御兩個維度剖析網絡對抗行為，依托CVSS漏洞評分標準，將網絡攻防行為分解為攻擊成本(AC)、攻擊收益(AR)、防御成本(DC)、防御收益(DR)四個要素，其中，攻擊收益(AR)與防御收益(DR)都是指系統的損失，數值上相等。文中給出各要素的計算公式，公式中引用的指標均源自CVSS漏洞評分標準，可在NVD官網中查詢獲取。在網絡攻防評估中，將CVSS漏洞評分標準中的相關置標，代入4個要素的計算公式，獲取計算結果數值，實現統一標準下的攻防雙方行為量化。

1) 攻擊成本AC。攻擊成本由攻擊者所利用漏洞的特性確定，具體包括攻擊途徑、攻擊復雜度與認證3個指標。這3項指標的制定是獨立的，不存在相互影響制約，所對應的關系為“或”關系，在計算中對應的運算為相加。具體的對應關系如表2所示。

表1 CVSS評分要素及評分值分值

表2 攻擊成本評分

因此，對于一次攻擊，其成本AC為發動此次攻擊所利用的漏洞的攻擊途徑成本分值PAV、攻擊復雜度成本分值PAC、認證分值成本PAU之和。

AC=PAC+PAV+PAU

(1)

其中，PAV，PAC，PAU通過查詢獲取漏洞要素的具體可選值，依據表2取相應數值獲得。

2) 攻擊收益與防御收益。即系統損失SL，系統的損失既是攻擊者的攻擊收益AR，又是理想情況下防御者的防御收益DR。系統損失主要由兩方面決定：被攻擊主機的資產重要度(Property Importance，PI)和利用此漏洞所進行的攻擊的固有致命度(IntrinsicLethality，IL)。二者的關系為“與”關系，對應運算關系為相乘。

主機資產重要度由兩部分評價指標組成：主機類型與主機操作系統類型。主機類型不同所對應的資產重要度不同，較為直觀，容易理解。不同操作系統用戶數目不同，使用頻率不同。被使用頻率越高，此所對應的重要度越高。主機類型與評分值對應關系如表3所示。

表3 主機資產重要度評分

對應公式為

PI=ST*OT

(2)

固有致命度(IntrinsicLethality，IL)可采用CVSS標準中給出的漏洞攻擊影響分值(impact)。在確定漏洞后，可依據漏洞編號在CVSS官方網站中直接獲取已計算好的impact值。

因此，

AR=DR=DL=PI·IL

(3)

3) 防御成本DC。對漏洞攻擊所做的防護稱為漏洞修復，基于CVSS評分體系關于漏洞屬性信息描述，從以下層面描述主機上單個漏洞的修復代價組成。

① 漏洞補丁修復等級。系統服務和應用程序中漏洞被發現曝光后，相關廠家會給出相應補丁進行補救。

② 漏洞滲透代碼可利用性。漏洞曝光后，會產生利用該漏洞進行攻擊的方法，具體形式一般為利用代碼進行滲透。

③ 漏洞報告可信度。在漏洞出現之后，會出現關于漏洞的報告信息，報告信息可分為3個階段：傳言期、未完全確認期、官方確認期。

④ 漏洞攻擊復雜度。針對攻擊復雜度不同的漏洞進行漏洞修復，其所對應的修復工作量不同，利用攻擊復雜度高的漏洞完成攻擊所需步驟較多，在修復過程中使攻擊步驟某一步失效即可，相對應的修復代價較低；反之，修復代價較高。

⑤ 漏洞破壞性。漏洞對系統的破壞主要體現在對信息資產的安全屬性的破壞，主要由機密性、完整性、可用性三方面衡量。

⑥ 主機類型。修復不同主機上同一漏洞付出的代價不同，假設修復普通主機時對系統未產生明顯影響，但在修復服務器中存在漏洞時需確保修復過程中仍能保證系統的正常運轉，因此修復代價較高。

給出基于CVSS評分標準的漏洞修復指標與對應評分值，如表4所示。

漏洞修復代價計算公式：

op=ep+rp+ac

(4)

式中，op為漏洞修復的操作代價,ep為針對漏洞可利用滲透代碼的修復評分，rp為針對漏洞報告可信度的修復評分，ac為針對攻擊復雜度的修復評分。

de=av+in+co

(5)

式中，de為漏洞修復的破壞修復代價,av為針對漏洞對可用性破壞的修復評分，in為針對漏洞對完整性破壞的修復評分，co為針對漏洞對機密性破壞的修復評分。

漏洞修復代價計算公式：

DC=(1+ε)*re*(op+de)

(6)

式中：re為漏洞補丁情況,re*(op+de)為在普通主機上修復該漏洞的修復代價,ε為系統資產重要度所產生的加權，以表3所給主機類型的評分值的比例關系可得。

表4 漏洞修復評分值

3 實例分析

以漏洞CVE-2014-0315為例，給出攻防量化的具體過程。

首先，在NVD(National Vulnerability Database，國家漏洞數據庫)官網中查詢獲取漏洞CVE-2014-0315的相關CVSS指標，如圖1所示。

1) 攻擊成本：

AC=PAV+PAC+PAU

由圖1可知，AV為“本地”，AC為“中”，AU為“不需認證”，查詢表2，分別取值1，0.61，0.45。

AC=PAV+PAC+PAU=1+0.61+0.45=2.06

2) 攻擊收益(防御收益)：

主機資產重要度：PI=ST*OT

假設漏洞CVE-2014-0315所在主機為數據庫服務器，操作系統為 Windows server 2008，查詢表3可知，ST取值為1,OT取值為1。

PI=ST*OT=1×1=1

攻擊固有致命度：

IL=impact=λ*(1-(1-IC)(1-II)(1-IA))=10

impact值由圖1可直接獲取，為10。

則：

AD=DR=DL=PI·IL=1×10=10

3) 防御成本(漏洞修復代價)：

操作代價：op=ep+rp+ac

由于漏洞為2014年4月8日公布的，據現在時間較長，利用滲透代碼的修復評分指標為“完整實現”，漏洞報告可信度的修復評分指標為“官方確認”，ac(攻擊復雜度)由圖1可知為“medium(中)”，查詢表4可知，均取值為0.8。

op=ep+rp+ac=1+1+0.8=2.8

破壞修復代價：de=av+in+co

由圖1可知av、in、co均為“complete(完全)”，查詢表4可知，均取值為1。

de=av+in+co=1+1+1=3

由于漏洞CVE-2014-0315所在主機為數據庫服務器，對應的防御成本加權ε為100%，由于漏洞存在官方補丁，查詢表4，re取值為0.2。

DC=(1+ε)*re*(op+de)=

2×0.2×(2.8+3)=2.32

綜上，漏洞CVE-2014-0315所對應的攻擊成本為2.06，攻擊收益為10，防御成本為2.32，防御收益為10。可見，攻擊成本較防御成本低10%左右，攻“易”防“難”，同時攻防成本相差并不大，并沒有引發大規模攻擊，符合該漏洞的實際情況，可以作為一種攻防行為的量化基礎，支持網絡安全評估工作的進一步開展。

4 結論

本文將CVSS漏洞評分指標引入網絡安全評估中的量化過程，從攻擊與防御兩個維度剖析網絡對抗行為，并同時考慮網絡攻防行為的成本與收益。所提出的量化方法面向安全評估，各設定滿足安全評估需求，通過引入CVSS評分指標與相關分值，在一定程度上降低了量化的主觀性與隨意性，所做量化均為相對量化，采用標準均為CVSS評分指標，使量化指標具有科學的參考依據，具有較好的理論價值與實踐意義，為網絡攻防對抗，提供了一種可行的量化方法。

參考文獻：

[1] 中國互聯網絡發展狀況統計報告[R].北京：CNNIC，2013．

[2] 王元卓，林闖，程學旗，等．基于隨機博弈模型的網絡攻防量化分析方法[J]．計算機學報，2010，33(9)：1748-1762．

[3] 張煥國，王麗娜，杜瑞穎，等．信息安全學科體系結構研究[J]．武漢大學學報(理學版)，2010，56(5)：614-620．

[4] 高翔，祝躍飛，劉勝利．應用三角模糊矩陣博弈的網絡安全評估研究[J]．西安交通大學學報，2013，47(8)：49-53．

[5] 朱建明，宋彪，黃啟發．基于系統動力學的網絡安全攻防演化博弈模型[J]．通信學報，2014，35(1)：54-61．

[6] 王如義．基于關聯分析的漏洞檢測與安全評估技術研究[D]．西安：西北大學，2012.

[7] 黎學斌．基于APH和CVSS的信息系統漏洞評估[J]．西安郵電大學學報，2016，49(18)： 75-82．

[8] 王強．一種融合CVSS的信息安全終端安全評估模型[J]．計算機與數字工程，2016，31(18)：39-42．

[9] 周詩洋．CVSS環境指標變量對系統安全的影響[J]．計算機工程與科學，2016(9)：4-6．