基于Sigmoid函數(shù)的軟件漏洞風(fēng)險(xiǎn)評(píng)價(jià)算法

王 帆 洪 流 顧 欣

(工業(yè)和信息化部電子第五研究所 廣州 510610)

2018年4月20日，在北京召開(kāi)了全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議，在會(huì)議上，習(xí)總書(shū)記指出：“信息化為中華民族帶來(lái)了千載難逢的機(jī)遇”，“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障”[1].軟件，作為信息系統(tǒng)的重要組成部分，作為信息化發(fā)展的重要基石，軟件是否安全，直接決定了各類(lèi)信息系統(tǒng)是否安全．信息系統(tǒng)安全了，信息產(chǎn)業(yè)才能健康穩(wěn)定發(fā)展．因此，軟件安全，對(duì)我國(guó)信息化產(chǎn)業(yè)的安全健康發(fā)展有十分重要的意義[2].

在考察軟件產(chǎn)品安全性時(shí)，需要根據(jù)軟件漏洞掃描、挖掘和滲透測(cè)試的結(jié)果，計(jì)算得到軟件產(chǎn)品的總體風(fēng)險(xiǎn)值，以對(duì)軟件產(chǎn)品的整體漏洞風(fēng)險(xiǎn)情況進(jìn)行把控[3].但在現(xiàn)有安全測(cè)試及滲透測(cè)試中，通常僅考慮風(fēng)險(xiǎn)值最高的漏洞，以該漏洞的風(fēng)險(xiǎn)等級(jí)作為整個(gè)軟件產(chǎn)品的風(fēng)險(xiǎn)等級(jí)，而不考慮漏洞數(shù)量對(duì)軟件產(chǎn)品漏洞風(fēng)險(xiǎn)的影響；另一方面，現(xiàn)有的風(fēng)險(xiǎn)評(píng)估方法中，計(jì)算模型過(guò)于復(fù)雜，評(píng)價(jià)參考因素過(guò)多，評(píng)價(jià)周期過(guò)長(zhǎng)，不利于在有限時(shí)間內(nèi)了解軟件產(chǎn)品的安全風(fēng)險(xiǎn)[4]情況.因此，本文綜合考慮效率和風(fēng)險(xiǎn)分析等方面因素，提出基于Sigmoid函數(shù)[5]的軟件安全風(fēng)險(xiǎn)評(píng)價(jià)算法，將軟件產(chǎn)品中的單個(gè)漏洞風(fēng)險(xiǎn)與漏洞數(shù)量有機(jī)結(jié)合，以此來(lái)反映其整體漏洞風(fēng)險(xiǎn)情況.

圖1 Sigmoid函數(shù)曲線圖

1 Sigmoid函數(shù)簡(jiǎn)介

Sigmoid函數(shù)是一個(gè)在生物學(xué)中常見(jiàn)的S型的函數(shù)，也稱(chēng)為S型生長(zhǎng)曲線.在信息科學(xué)中，由于其單增以及反函數(shù)單增等性質(zhì)，Sigmoid函數(shù)常被用作神經(jīng)網(wǎng)絡(luò)的閾值函數(shù)，將變量映射到0,1之間.

Sigmoid函數(shù)由下列公式定義：

Sigmoid函數(shù)曲線由圖1所示：

由Sigmoid函數(shù)曲線可以看出，在x從0趨近于無(wú)窮大的過(guò)程中，函數(shù)S(x)的取值從0.5無(wú)限趨近于1，因此，當(dāng)漏洞數(shù)量不斷增大時(shí)，可以使用該函數(shù)的修改函數(shù)來(lái)表現(xiàn)軟件產(chǎn)品風(fēng)險(xiǎn)值無(wú)限接近于當(dāng)前風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值上限的情況.

2 漏洞風(fēng)險(xiǎn)評(píng)價(jià)算法

2.1 漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式編制原則與思路

在對(duì)Sigmoid函數(shù)曲線進(jìn)行修改并編制漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式時(shí)，需要按照以下3個(gè)原則進(jìn)行考量：

1) 漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式應(yīng)遵循信息安全中的木桶原理，風(fēng)險(xiǎn)值應(yīng)不低于軟件產(chǎn)品中漏洞風(fēng)險(xiǎn)值最高的數(shù)值[6]，當(dāng)產(chǎn)品中存在漏洞等級(jí)為高的漏洞時(shí)，產(chǎn)品漏洞風(fēng)險(xiǎn)等級(jí)為高，當(dāng)產(chǎn)品不存在高風(fēng)險(xiǎn)漏洞，僅存在中低風(fēng)險(xiǎn)漏洞時(shí)，則產(chǎn)品的漏洞風(fēng)險(xiǎn)等級(jí)為中；

2) 漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式應(yīng)考慮到同等級(jí)漏洞數(shù)量對(duì)整個(gè)產(chǎn)品漏洞風(fēng)險(xiǎn)的影響，滿足同等級(jí)漏洞越多，產(chǎn)品漏洞風(fēng)險(xiǎn)越高的判定原則[7]；

3) 曲線的圖形、曲率應(yīng)盡可能貼近真實(shí)風(fēng)險(xiǎn)情況，鑒于漏洞的數(shù)量只能為整數(shù)，所以風(fēng)險(xiǎn)值變化趨勢(shì)圖應(yīng)由曲線變?yōu)橛蓴?shù)個(gè)點(diǎn)構(gòu)成的折線.

按照CVE中對(duì)漏洞風(fēng)險(xiǎn)值與風(fēng)險(xiǎn)等級(jí)的對(duì)應(yīng)關(guān)系，當(dāng)漏洞風(fēng)險(xiǎn)值評(píng)分為0～4(不包括4)時(shí)，漏洞等級(jí)為低；當(dāng)漏洞風(fēng)險(xiǎn)值評(píng)分為4～7(不包括7)時(shí)，漏洞等級(jí)為中；當(dāng)漏洞風(fēng)險(xiǎn)值評(píng)分為7～10時(shí)，漏洞等級(jí)為高[8].因此，在以上3個(gè)原則和CVE對(duì)漏洞等級(jí)的評(píng)價(jià)方法基礎(chǔ)上，確定軟件產(chǎn)品的漏洞風(fēng)險(xiǎn)等級(jí)為：當(dāng)產(chǎn)品中存在高風(fēng)險(xiǎn)漏洞時(shí)，產(chǎn)品的漏洞風(fēng)險(xiǎn)等級(jí)為高；當(dāng)產(chǎn)品中不存在高風(fēng)險(xiǎn)漏洞，僅存在中低風(fēng)險(xiǎn)漏洞時(shí)，產(chǎn)品的風(fēng)險(xiǎn)等級(jí)為中；當(dāng)產(chǎn)品中僅存在低風(fēng)險(xiǎn)漏洞時(shí)，產(chǎn)品的風(fēng)險(xiǎn)等級(jí)為低.在不同的風(fēng)險(xiǎn)區(qū)間中，隨著漏洞數(shù)量不斷增大，產(chǎn)品的風(fēng)險(xiǎn)值也在各自的區(qū)間內(nèi)不斷遞增，直到逼近其所屬的風(fēng)險(xiǎn)等級(jí)上限.

2.2 漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式

Sigmoid函數(shù)是在x從0趨近于無(wú)窮大的過(guò)程中，函數(shù)S(x)的取值從0.5無(wú)限趨近于1，其x值的范圍不符合實(shí)際漏洞風(fēng)險(xiǎn)情況，在實(shí)際漏洞風(fēng)險(xiǎn)分析中，當(dāng)x=0時(shí)，既系統(tǒng)不存在漏洞時(shí)，風(fēng)險(xiǎn)值應(yīng)當(dāng)為0，因此需要將函數(shù)曲線進(jìn)行移動(dòng)，將x=0時(shí)的S(x)值變?yōu)?，因此公式改變?yōu)?/p>

此時(shí)S1(x)的取值范圍為0無(wú)限趨近于0.5，將公式值乘以2以取整，便于漏洞的計(jì)算，此時(shí)公式改變?yōu)?/p>

此時(shí)S2(x)的取值范圍為0無(wú)限趨近于1，根據(jù)漏洞風(fēng)險(xiǎn)值取值不低于存在的風(fēng)險(xiǎn)最高漏洞的風(fēng)險(xiǎn)值，不超過(guò)當(dāng)前區(qū)間范圍的原則，需要將S2(x)的取值范圍進(jìn)行擴(kuò)充，引入m值，m代表當(dāng)前系統(tǒng)中存在的漏洞中最高的風(fēng)險(xiǎn)值，因此，對(duì)于存在高風(fēng)險(xiǎn)漏洞的系統(tǒng)，其漏洞風(fēng)險(xiǎn)值f(x)的取值范圍應(yīng)為從m無(wú)限趨近于10，對(duì)于不存在高風(fēng)險(xiǎn)漏洞但存在中風(fēng)險(xiǎn)漏洞的系統(tǒng)，其漏洞風(fēng)險(xiǎn)值f(x)的取值范圍應(yīng)為從m無(wú)限趨近于7，對(duì)于僅存在低風(fēng)險(xiǎn)漏洞的系統(tǒng)，其漏洞風(fēng)險(xiǎn)值f(x)的取值范圍應(yīng)為從m無(wú)限趨近于4.

因此，將漏洞風(fēng)險(xiǎn)評(píng)價(jià)公式按照風(fēng)險(xiǎn)等級(jí)高、中、低3個(gè)區(qū)域分別制定各自區(qū)域的公式，其中高風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)值計(jì)算公式為

其中,x為高風(fēng)險(xiǎn)漏洞數(shù)量，m為高風(fēng)險(xiǎn)漏洞中最高的風(fēng)險(xiǎn)值，7≤m≤10.高風(fēng)險(xiǎn)級(jí)別的產(chǎn)品漏洞風(fēng)險(xiǎn)折線圖如圖2所示(以m=8為例)：

圖2 m=8的軟件漏洞風(fēng)險(xiǎn)折線圖

中風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)值計(jì)算公式為

其中,x為中風(fēng)險(xiǎn)漏洞數(shù)量，m為中風(fēng)險(xiǎn)漏洞中最高的風(fēng)險(xiǎn)值，4≤m<7.中風(fēng)險(xiǎn)級(jí)別的產(chǎn)品漏洞風(fēng)險(xiǎn)折線圖如圖3所示(以m=4為例)：

圖3 m=4的軟件漏洞風(fēng)險(xiǎn)折線圖

低風(fēng)險(xiǎn)級(jí)別風(fēng)險(xiǎn)值計(jì)算公式為

其中,x為低風(fēng)險(xiǎn)漏洞數(shù)量，m為低風(fēng)險(xiǎn)漏洞中最高的風(fēng)險(xiǎn)值，0≤m<4.低風(fēng)險(xiǎn)級(jí)別的產(chǎn)品漏洞風(fēng)險(xiǎn)折線圖如圖4所示(以m=2為例)：

圖4 m=2的軟件漏洞風(fēng)險(xiǎn)折線圖

根據(jù)3個(gè)風(fēng)險(xiǎn)等級(jí)的計(jì)算公式，可以將掃描出的CVE漏洞的數(shù)量及漏洞中的最高風(fēng)險(xiǎn)值帶入公式進(jìn)行計(jì)算，就可以得出相應(yīng)模塊的漏洞風(fēng)險(xiǎn)值，便于對(duì)軟件產(chǎn)品各模塊代碼的安全性進(jìn)行比較，從而評(píng)判出各模塊代碼的安全狀況.便于開(kāi)發(fā)人員整體把控軟件產(chǎn)品的安全性，快速定位安全性最差的代碼模塊，提高軟件產(chǎn)品的整體安全狀況.

3 結(jié)果比較

本文以之前進(jìn)行過(guò)安全測(cè)試的某系統(tǒng)為例，在使用市面上某款漏洞掃描軟件進(jìn)行掃描時(shí)，得到的掃描結(jié)論如圖5所示.從中可以看出，風(fēng)險(xiǎn)分?jǐn)?shù)為1 024時(shí)，安全狀態(tài)為極度危險(xiǎn)，但無(wú)法判斷該系統(tǒng)在極度危險(xiǎn)中的危險(xiǎn)程度.

圖5 漏洞掃描結(jié)果圖

查看系統(tǒng)中漏洞風(fēng)險(xiǎn)值最高的漏洞情況，如圖6所示:

圖6 最高風(fēng)險(xiǎn)值漏洞情況

從圖6可以看出風(fēng)險(xiǎn)值最高的漏洞，其風(fēng)險(xiǎn)值為9，屬于高風(fēng)險(xiǎn)區(qū)間，因此使用7≤m≤10時(shí)的公式進(jìn)行風(fēng)險(xiǎn)計(jì)算.此時(shí)根據(jù)漏洞掃描的結(jié)果，x取值為21，計(jì)算風(fēng)險(xiǎn)值如下：

最終計(jì)算得到結(jié)果：f(x)=9.999 9，約等于最高風(fēng)險(xiǎn)值10.從實(shí)際狀況也可以看出，該系統(tǒng)由于存在21個(gè)高風(fēng)險(xiǎn)漏洞，且漏洞的風(fēng)險(xiǎn)值很高，因此也處于極度危險(xiǎn)的情況，風(fēng)險(xiǎn)計(jì)算出的得分與實(shí)際情況相符，且該風(fēng)險(xiǎn)值能夠便于管理員更好地了解風(fēng)險(xiǎn)嚴(yán)重程度.

4 總 結(jié)

隨著信息化發(fā)展的不斷加深，信息安全的重要性也越來(lái)越得到社會(huì)各界的重視，軟件作為信息化產(chǎn)業(yè)的重要環(huán)節(jié)，軟件產(chǎn)品的信息安全也具有十分重要的意義.根據(jù)上述章節(jié)中的軟件漏洞風(fēng)險(xiǎn)計(jì)算公式，得到在軟件開(kāi)發(fā)過(guò)程中各模塊代碼的風(fēng)險(xiǎn)情況，便于提高軟件的代碼質(zhì)量，增強(qiáng)軟件安全性.在下一步研究工作中，將對(duì)漏洞風(fēng)險(xiǎn)分析公式進(jìn)行進(jìn)一步細(xì)化，增加同威脅級(jí)別的漏洞相關(guān)性考量，使公式能夠更加準(zhǔn)確地體現(xiàn)和反映代碼的漏洞風(fēng)險(xiǎn)，更好地為國(guó)家信息化安全穩(wěn)定發(fā)展服務(wù).