一種漏洞優先級評估模型算法*

曹旭博，鐘 夫

（中電科網絡安全科技股份有限公司，四川 成都 610095）

0 引言

在漏洞管理過程中，通常是根據通用漏洞評分系 統（Common Vulnerable Scoring System，CVSS）評分[1]來確定漏洞修復優先級，一般會優先修復CVSS 評分高的漏洞。CVSS 由基礎指標得分、時間指標得分和環境指標得分三部分組成，但當前國內外官方漏洞庫，包括美國國家信息安全漏洞庫（National Vulnerability Database，NVD）[2]、中 國國家信息安全漏洞庫（China National Vulnerability Databse of Information Security，CNNVD）、中國國家信息安全漏洞共享平臺（China National Vulnerability Databse，CNVD）[3-4]等都只提供基礎指標得分，而基礎指標得分僅能反映漏洞自身的嚴重程度，不一定與組織的實際風險相匹配，如同一漏洞在生產服務器和測試服務器中的實際風險是不同的，僅通過CVSS 評分無法進行區分。也就是說，雖然CVSS 評分作為漏洞嚴重性指標較為準確，但是利用CVSS 評分來確定漏洞的優先級存在一定局限性。因此，極有必要采用基于風險的漏洞優先級評估模型，對組織中存在的安全漏洞進行評估和優先級排序，幫助用戶識別出真正有威脅的、需優先修復的漏洞。

目前關于漏洞優先級評分的模型算法較少，大多數是關于漏洞安全性的評估，兩者具有相似之處，但也有不同之處。相似之處在于都是通過某種評估技術得到分數，不同之處是漏洞優先級評估側重的是排序，而安全性評估側重的是評分的準確性。目前漏洞安全性評估主要從定性、定量及定性與定量相結合的角度對系統安全漏洞評估方法進行探索研究[5-8]。例如，黎學斌等人[9]通過建立漏洞分類和資產分類兩個指標體系，運用層次分析法對系統漏洞進行危害程度評估。Liu 等人[10]在CVSS 系統的基礎上引入漏洞類別因素，對漏洞的嚴重性進行評估。由于在設計安全漏洞庫的過程中，漏洞評估占據著重要的位置，因此大部分的評分模型設計都是基于安全漏洞庫CVSS 進行指標評估設計，但基于CVSS 評分進行漏洞優先級排序存在以下問題：

（1）安全人員利用CVSS 評分時，很難把握漏洞對組織造成的實際風險；

（2）未考慮對不確定性進行量化，CVSS 對于大多數漏洞只提供基礎得分，其對時間的影響性關注較少；

（3）目前評估算法主要側重于準確性，忽略了其排序的優先性。

1 漏洞優先級評估模型設計

針對當前已有漏洞優先級評估模型存在的問題，本文從漏洞對組織造成的實際風險出發，對漏洞優先級評估模型進行設計，包括CVSS 評分、時間因子、用戶實際環境因子、資產重要性、漏洞情報五個方面，詳情如表1 所示。

表1 評估指標

1.1 CVSS 評分

CVSS 是一種用于評估計算機系統中安全漏洞嚴重程度的開放式標準。CVSS 評分系統根據漏洞的重要性、利用難度、影響范圍等因素，為漏洞提供一個0 至10 分的評分，以幫助安全人員了解漏洞的威脅程度。

CVSS 評分系統包括基本指標、時間指標、環境指標3 個指標，當前國內外主流安全漏洞庫提供的CVSS 評分為漏洞基本指標得分，因此可將CVSS評分作為漏洞優先級評估模型的一個重要評估指標。

1.2 時間因子

時間因子是為了彌補CVSS 評分的不足，綜合漏洞修復時間延后、漏洞利用方法普及等因素，滿足漏洞風險隨時間動態變化的特性。在漏洞公開的前5 天，由于曝光率的增加，漏洞被利用的概率會急劇增加，時間因子的影響將會達到短暫的峰值，隨后急劇下降。隨著時間的推移，對漏洞成熟的利用手段將越來越多，漏洞實際利用難度在下降，時間因子的權重趨于穩定，不會對漏洞優先級評估的結果產生明顯影響。

1.3 用戶實際環境因子

1.3.1 網絡暴露

如果一個漏洞同時出現在面向公網的資產和內網資產上，需要選擇一個優先修復，那么當然會選擇先修復面向公網的資產，將內網資產的修復工作稍稍延后，因此漏洞所在資產的網絡暴露面（雙網卡、互聯網、內網）是評估漏洞風險的重要指標。綜合考慮漏洞的攻擊途徑（遠程利用、相鄰網絡、本地利用、物理），可進行多種方式的組合，其中資產為雙網卡且漏洞可遠程利用時風險最高，需要優先修復，其他以此類推。

1.3.2 防護措施

考慮到資產防護措施對漏洞利用的影響，需要將資產防護措施納入漏洞優先級評估指標，包括主機安全防護和Web 應用安全防護兩部分，其中：主機安全防護是指是否部署能檢測或防止漏洞利用的安全產品，如主機防病毒、端點檢測和響應（Endpoint Detection Response，EDR）等，不包括主機審計等；Web 應用安全防護是指提供Web 服務的資產是否在Web 應用防火墻（Web Application Firewall，WAF）防護范圍內。

1.4 資產重要性

資產的重要性體現了資產的業務價值，漏洞出現在資產業務價值越高的資產上，對應的風險程度也越高。例如，一個漏洞在OA、郵件等核心服務器和在一臺普通的服務器上被成功利用后造成的影響是截然不同的，因此有必要將資產重要性納入評估指標。

1.5 漏洞情報

漏洞情報從漏洞利用代碼成熟度、漏洞置信度、漏洞修復成本、漏洞曝光程度、漏洞技術細節等多維度對漏洞信息進行補充和完善。

（1）是否存在EXP：如果漏洞有漏洞利用程序（Exploit，EXP），則利用難度會非常低，非專業人員也可利用，修復優先級應提高。

（2）是否存在POC：如果漏洞有漏洞驗證程序（Proof of Concept，POC），則利用復雜度會降低，攻擊成功率更高，修復優先級應提高。

（3）是否人工確認：經過人工確認的漏洞，置信度高，修復優先級應提高。

（4）修復方式：對于無補丁和臨時規避措施（修改配置文件等）的漏洞，由于漏洞不能立即修復，漏洞風險相對較高，漏洞修復優先級應提高。

（5）修復影響：修復漏洞是否會導致業務中斷或信息丟失，如果是，則修復優先級應降低。

（6）是否在野利用：部分在野利用的漏洞無公開的EXP，也就是說，在野利用的漏洞數量大于有公開EXP 的漏洞數量，因此，在野利用的漏洞修復優先級應提高。

（7）技術細節狀態：部分漏洞剛公開時可能評分較高，但技術細節未公開，其修復優先級可降低。

（8）漏洞熱度：熱度較高的漏洞，修復優先級應提高。

（9）漏洞流行度：熱度較高的漏洞，修復優先級應提高。

2 漏洞優先級評估模型權重設計

2.1 指標權重設計方法

本文的權重設計主要是指對評估模型中的指標進行量化，指標量化分為靜態指標量化和動態指標量化。目前指標量化主要有模型訓練得到相關權重、基于專家經驗的量化方法及通過資料確定對應的權重3 種方法，其中基于模型訓練的方法需要相關標準的評分標簽數據，實際很難獲取相應的數據，因此，本文設計的屬性量化方法如表2 所示。

表2 指標量化方法

2.2 靜態指標量化

靜態指標量化主要是指CVSS 評分、用戶實際環境因子、資產重要性、漏洞情報這4 個指標項，其中CVSS 評分通過關聯安全漏洞庫獲取，用戶實際環境因子、資產重要性、漏洞情報則通過層次分析法（Analytic Hierarchy Process，AHP）確定權重。AHP 層次分析法[5]的主要步驟為：確定評分標準，建立判斷矩陣，一致性檢驗，確定屬性權重。通過AHP 層次分析法，同時考慮多層上級指標項權重對評分的影響，得到相關的權重如表3 所示。

表3 AHP 層次分析法相關權重

2.3 動態指標量化

漏洞是動態變化的，如果一個漏洞已經存在了很長時間，那么它的修復優先級可能會降低，因為攻擊者已經有足夠的時間來利用這個漏洞。相反，如果一個漏洞是最近發現的，那么它可能會被認為是更緊急的問題，因為攻擊者還沒有利用它的機會。研究發現，在漏洞公開的前5 天，由于曝光率的增加，該漏洞被利用的概率會急劇增加，時間因子將會達到短暫的峰值，隨后急劇下降，因此時間對漏洞的影響是一個服從gamma 分布的函數。為了控制其gamma 分布的峰度和寬度，設計如下時間函數：

式中：λ為輸入參數，該參數為f'(i)函數取最大值時X軸的取值，T(i)為漏洞的動態時間影響因子。當λ=5時，T(i)分布函數如圖1 所示。式（1）中i表示時間的輸入，min(f'(i))=0,max(f'(i))=0.175 467 369 767 850 7。

圖1 T(i)分布函數

3 漏洞優先級評估模型算法設計

漏洞優先級評估分為兩個步驟：第一步在綜合考慮指標權重的基礎上利用評估算法得到的數值確定漏洞的實際風險，第二步根據具體數值進行排序。

3.1 漏洞優先級權重

在實際過程中，直接利用相關評估算法得到的數值結果差異性不是特別明顯，數據的分布呈現比較接近，難以區分，不利于安全人員確定其優先級，且本文更加關注漏洞評分的優先級，因此對指標權重進行重新分布處理，相關算法設計目標如下：

（1）新的指標權重分布與原始分布保持一致；

（2）新的指標權重分布的方差較大，目的是使原始權重中難決策的區分點在新空間中具有可區分性。

新的指標權重用X'表示，原始指標權重用X表示，D(X')表示新的指標權重的方差，為了滿足上述要求，構造如下函數：

從而得到：

3.2 漏洞優先級評估算法

漏洞優先級評估算法主要結合靜態因子和動態因子對漏洞影響的大小進行綜合評估，靜態因子主要結合漏洞自身的危害程度和漏洞所處環境因素等對業務造成影響程度進行評估；動態因子主要是隨著時間推移漏洞風險呈現一個波動。漏洞優先級評估方法如下：

設靜態屬性的權重為V=(v1,v2,…,vm)，靜態屬性的評分向量為S=(s1,s2,…,sm)，則漏洞的靜態屬性評分為ST=S×VT，結合動態因子權重T(i)，則漏洞優先級評分為：

根據上述分析，本文漏洞優先級評估算法如下：

（1）對靜態指標和動態指標進行量化；

（2）根據式（5）得到新的指標權重X'；

（3）利用式（6）進行漏洞優先級評分；

（4）根據步驟（3），進行漏洞優先級排序。

4 實踐效果

本文通過搭建簡單的網絡環境，對網絡中4 臺主機進行掃描，獲取相關漏洞信息，并利用本文所提出的漏洞優先級評估模型算法進行評估，從而驗證該方法的有效性，掃描的漏洞結果如表4 所示。

表4 實驗網絡主機漏洞

從表4 中可以看出，網絡中一共掃描得到11個漏洞，根據漏洞CVE 編號從漏洞庫中提取漏洞基本信息，根據第3 節的評估方法，得到新的指標權重，選取B 主機上的CVE-2021-44228 漏洞進行舉例，B 主機上設置的時間為“2021-12-17”，其漏洞CVE-2021-44228發布的時間為“2021-12-10”，對此篩選出B 主機漏洞CVE-2021-44228 新指標權重與原始指標權重對比，如表5 所示。

表5 新指標權重與原始指標權重對比

把計算得出的最終漏洞優先級評分和CVSS 評分進行對比，如表6 所示。

表6 漏洞優先級評分與CVSS 評分對比

對漏洞優先級評分和CVSS 評分進行分析得出：

（1）不同漏洞在不同機器上的評估分數排序與CVSS 的評分具有一致性，如CVE-2022-31692和CVE-2021-44228 漏洞在B 機器上利用本文算法的分數為[11.36,13.98]，CVSS 評估分數為[9.8,10]。

（2）漏洞CVE-2021-44228 在主機B 上的評分結果與CVSS 評分相差4 左右，這是因為加入了時間因子和資產重要性、漏洞情報影響的，與實際情況相符合。

（3）漏洞CVE-2021-44228 在主機B 和C 上的評分結果13.98 和12.87 具有差異性，而CVSS 評分是相同的，說明利用新權重產生的評分結果具有差異性，但整體的排序又與CVSS 排序一致，說明本文的評分結果在保證一致性的同時加大了其差異性。

通過以上結果的橫向和縱向對比分析，可以得出，本文漏洞優先級評估模型算法具有有效性和可行性，并且使得漏洞的優先級排序具有差異性，能夠為組織提供可靠的漏洞優先級排序，幫助組織在處置資源有限的情況下，優先處置構成真實、直接和嚴重威脅的漏洞。

5 結語

本文在CVSS 評價指標體系基礎上，從漏洞對組織造成的實際風險出發，研究了漏洞優先級評估模型和算法。本文所提評估模型包括CVSS 評分、時間因子、用戶實際環境因子、資產重要性、漏洞情報等多個維度。通過建立評估模型，可以對組織中存在的安全漏洞進行綜合風險評估和優先級排序，幫助組織識別出真正有威脅的、需優先修復的漏洞，能夠推動漏洞管理工作有效閉環，有較高的實用價值。