彭 華，莫禮平，唐贊玉

（吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南吉首 416000）

CVE漏洞分類框架下的SVM學(xué)習(xí)模型構(gòu)建＊

彭 華，莫禮平，唐贊玉

（吉首大學(xué)信息科學(xué)與工程學(xué)院，湖南吉首 416000）

在CVE漏洞分類框架中，構(gòu)建了基于支持向量機(jī)的學(xué)習(xí)模型，實(shí)現(xiàn)了根據(jù)不同的分類特征對CVE進(jìn)行分類.

支持向量機(jī)（SVM）；公共漏洞和暴露（CVE）；分類特征；分類準(zhǔn)確性

CVE漏洞分類框架下的SVM對多種漏洞數(shù)據(jù)庫（如BID，X－Force，Secunia等）中的分類特征進(jìn)行自動集成，使得該框架能夠以分類特征為基礎(chǔ)實(shí)現(xiàn)CVE漏洞分類，從而成為一個擁有分類和歸納能力的CVE漏洞分類器.關(guān)于基于SVM的CVE漏洞分類框架的詳細(xì)內(nèi)容見文獻(xiàn)［1］.筆者分析了該框架下使用SVM為分類特征構(gòu)造學(xué)習(xí)模型的方法，設(shè)計了數(shù)據(jù)融合和清理過程，從而消除訓(xùn)練數(shù)據(jù)的不一致性，使用所建立的學(xué)習(xí)模型對無標(biāo)記的CVE漏洞進(jìn)行分類，最后采用n倍交叉驗(yàn)證方法對學(xué)習(xí)模型的效果進(jìn)行了評估.

1 分類特征訓(xùn)練數(shù)據(jù)的產(chǎn)生

為分類特征產(chǎn)生訓(xùn)練數(shù)據(jù)的學(xué)習(xí)模型使用T＝｛ˉxi，yi｝的形式來表達(dá)，其中i＝1，...，m.第i個數(shù)據(jù)點(diǎn)的特征向量和其真標(biāo)記表示為ˉxi∈Rd，yi∈Y＝｛l1，...，lk｝.顯然，如果手動地對T進(jìn)行搜集和標(biāo)記，將會費(fèi)時費(fèi)力.因此，該框架通過使用每個CVE條目中的引用池來自動產(chǎn)生訓(xùn)練數(shù)據(jù).一方面，CVE中大量的引用為CVE分類器提供了搜集分類信息的豐富資源；另一方面，不同資源中私有的數(shù)據(jù)格式、沖突的分類模式以及不一致的特征含義使整個信息抽取過程復(fù)雜化.考慮到特征數(shù)據(jù)的引用次數(shù)和質(zhì)量，該框架主要使用漏洞數(shù)據(jù)庫BID，X－Force和Secunia作為來源產(chǎn)生訓(xùn)練數(shù)據(jù)，見表1.

表1 Secunia漏洞數(shù)據(jù)庫中SA－11066和SA－24893條目

續(xù)表

創(chuàng)建Secunia的條目所使用的模板由3個部分組成，即General，Vulnerable和Description.其中，General部分包含了描述性標(biāo)題及其基本特征，Vulnerable部分說明了有此漏洞的系統(tǒng)或產(chǎn)品，Description部分則是對該漏洞進(jìn)行的詳細(xì)說明.與BID比較而言，Secunia漏洞數(shù)據(jù)庫也通過一定的特征對安全漏洞進(jìn)行分類，如表1中SA－11066和SA－24893條目所示，分別對應(yīng)著CVE－2004－0445和CVE－2007－2151.Secunia中的Impact部分提供了在Vulnerability Impact特征上的分類信息，而Critical則指明了漏洞的嚴(yán)重性，與Vulnerability Severity特征對應(yīng).在該框架下，相同的分類特征可以融合，而不同的分類特征可以互補(bǔ)，共同對漏洞進(jìn)行統(tǒng)一分類.

來自不同來源的互補(bǔ)的分類特征也許會限制構(gòu)建訓(xùn)練數(shù)據(jù)的來源，與分類特征Vulnerability Cause相關(guān)的信息只能從BID獲得，而分類特征Vulnerability Severity的訓(xùn)練數(shù)據(jù)只能從Secunia獲得.因此，與某些分類特征相關(guān)的訓(xùn)練數(shù)據(jù)數(shù)量也許對于建立一個可信賴的學(xué)習(xí)模型來說是不充足的，究其原因有如下幾點(diǎn)：（1）并不是每個CVE條目都有對漏洞數(shù)據(jù)庫BID，X－Force和Secunia的引用；（2）漏洞數(shù)據(jù)庫BID，X－Force和Secunia中的條目也許不能提供指定分類特征上的信息；（3）來自漏洞數(shù)據(jù)庫BID，XForce和Secunia中的數(shù)據(jù)也許是雷同的、重疊的或沖突的，減少了它們的可用性.

該框架被配置成使用CVE進(jìn)一步擴(kuò)大某分類特征的訓(xùn)練數(shù)據(jù)集，能夠匹配問題中分類特征的任一唯一性關(guān)鍵詞，與一個分類特征相關(guān)的關(guān)鍵詞由領(lǐng)域?qū)＜沂褂胣－gram產(chǎn)生器（該框架使用自然語言處理工具）進(jìn)行創(chuàng)建.框架中支持使用正則表達(dá)式的模式，關(guān)鍵詞匹配過程僅被應(yīng)用于CVE條目，該CVE條目并不在BID，X－Force或Secunia搜集來的訓(xùn)練數(shù)據(jù)中，若一個CVE條目匹配任一指定的關(guān)鍵詞模式串，該條目被放入訓(xùn)練數(shù)據(jù)中.

2 數(shù)據(jù)的合并與清理

X－Force漏洞數(shù)據(jù)庫中XF－16132和XF－33730條目見表2.

表2 X－Force漏洞數(shù)據(jù)庫中XF－16132和XF－33730條目

續(xù)表

為獲得足夠的對應(yīng)某分類特征的已標(biāo)記樣例，該框架從多個漏洞數(shù)據(jù)庫中取得信息.不幸的是，不同來源的數(shù)據(jù)可能在分類特征的內(nèi)涵、外延或粒度上存在不一致，因此要求在構(gòu)建訓(xùn)練數(shù)據(jù)時進(jìn)行數(shù)據(jù)合并和清理.例如，在為CVE－2004－0445搜集與分類特征Vulnerability Impact的相關(guān)信息時，從表1中SA－11066的Impact字段可以獲得DoS和system access，然而，在表2中XF－16132的Consequences字段僅能獲得DoS.顯而易見，在數(shù)據(jù)合并之前，需要解決不同來源的命名上的不一致.Secunia和X－Force對相同的分類使用不同的名字.例如前者中使用DoS和system access，后者中使用gain access.對于相同的分類特征，一些漏洞數(shù)據(jù)庫將其作為一元分類特征，另外一些將其作為多元分類特征.結(jié)果在CVE－2004－0445中描述的安全漏洞，對于Vulnerability Impact特征被X－Force賦予單一的分類DoS，在Secunia中同時被描述為DoS和system access.所以建立分類映射模式來解決不同來源的分類特征維度上的不一致，例如，X－Force和Secunia分別為分類特征Vulnerability Impact定義了10個和11個分類.來自多個來源的分類信息的不兼容也對數(shù)據(jù)合并提出了更大的挑戰(zhàn).例如分類特征Vulnerability Severity上，在Secunia上有5級度量標(biāo)準(zhǔn)，而在X－Force上只有3級度量標(biāo)準(zhǔn).另外，CVE－2004－0445安全漏洞被Secunia認(rèn)為是極端嚴(yán)重的，但在X－Force中被認(rèn)為只是較嚴(yán)重的.

來自不同來源的漏洞的不同定義和擴(kuò)展，使得在一個CVE條目中描述的一個安全漏洞被當(dāng)做不同漏洞數(shù)據(jù)庫中的多個漏洞，導(dǎo)致同一個漏洞數(shù)據(jù)庫中存在與一個CVE條目相關(guān)的多個引用.例如，CVE－2004－0452可能由于其一元特征Vulnerability Severity被放入沖突的分類，因?yàn)樵撀┒赐瑫r被Secunia中的SA－12991和SA－18517引用，它們分別具有l(wèi)ess critical和highly critical的嚴(yán)重性.顯而易見，分類信息的不一致產(chǎn)生有噪聲的訓(xùn)練數(shù)據(jù)，并且影響了所構(gòu)造學(xué)習(xí)模型的分類準(zhǔn)確性.在訓(xùn)練數(shù)據(jù)產(chǎn)生期間進(jìn)行數(shù)據(jù)合并和清理時，該框架遵守下列原則：（1）對于多元分類特征，若取自多重來源的數(shù)據(jù)能兼容并且能夠建立一個分類映射模式，這些數(shù)據(jù)可以合并在一起；（2）對于一元分類特征，如果特征的分類能夠排序的話，擁有最大值的信息來源將被使用；（3）對于不同來源間以不兼容方式定義的分類特征，CVE分類器更傾向于使用擁有最好粒度的來源或擁有最大標(biāo)記數(shù)量的來源.為搜集某特征對應(yīng)的訓(xùn)練數(shù)據(jù)的算法如下所示.

算法1

1：T和Y分別是某分類特征的訓(xùn)練數(shù)據(jù)集和標(biāo)記集，L是該特征的二類分類器的集合；

2：for（標(biāo)記集Y中每個分類c）do

3：初始化正例集Tp和負(fù)例集Tn為空集；

4：for（訓(xùn)練數(shù)據(jù)集T中的每個條目e）do

5：若e有標(biāo)記c，則將e放入Tp，否則放入Tn；

6：end for

7：基于正例和負(fù)例訓(xùn)練集——Tp和Tn，為分類c構(gòu)建一個SVM二類分類器；

8：將產(chǎn)生的二類分類器放入L；

9：end for

10：if（分類特征是univariate且其維度＞2）then

11：將該學(xué)習(xí)任務(wù)作為一個約束優(yōu)化問題，并建立一個多類模型.

12：返回依賴于分類準(zhǔn)確性的該多類模型或二類分類器集合L

13：else

14：返回二類分類器集合L作為學(xué)習(xí)模型；

15：end if

算法1中描繪的過程用來為一個分類特征產(chǎn)生訓(xùn)練數(shù)據(jù).為了一個CVE搜集分類信息，算法1首先標(biāo)識了其對BID，Secunia和X－Force的引用，然后從每個引用來源處抽取數(shù)據(jù)并根據(jù)上述數(shù)據(jù)合并和清理的原則檢測所取得數(shù)據(jù)的兼容性.例如，針對分類特征Vulnerability Impact，來自X－Force和Secunia的數(shù)據(jù)是兼容的，因?yàn)檫@2個來源的分類是可轉(zhuǎn)換的.相反，針對分類特征Vulnerability Severity，X－Force和Secunia的分類模式卻是不兼容的，這是因?yàn)樗鼈兪褂貌煌亩攘繕?biāo)準(zhǔn).算法1也試圖確定分類特征是單元的還是多元的，由于一個CVE能被賦予多個分類，因此分類特征Vulnerability Impact被標(biāo)識為多元的.

3 SVM學(xué)習(xí)模型的構(gòu)造

當(dāng)分類特征的維度（標(biāo)記集Y的大小）等于2時，學(xué)習(xí)模型就是一個SVM二類分類器.對于｜Y｜＞2的分類特征，學(xué)習(xí)問題使用多類到二類削減方法被分解成｜Y｜個二類分類任務(wù).［2］使用一對多的訓(xùn)練方法建立｜Y｜個二類分類器：通過將訓(xùn)練數(shù)據(jù)中具有l(wèi)i標(biāo)記的數(shù)據(jù)點(diǎn)作為正例，剩余的數(shù)據(jù)點(diǎn)作為負(fù)例，將Y的li標(biāo)記的學(xué)習(xí)任務(wù)轉(zhuǎn)換為2個分類.如System Access是分類特征Vulnerability Impact中11個分類中的1個.在其訓(xùn)練數(shù)據(jù)之中，CVE－2004－0445記為正例，而CVE－2007－2151雖然擁有DoS的真標(biāo)記，仍然被記為負(fù)例.當(dāng)分類特征是一元的情況下，該框架也為其創(chuàng)建1個多類分類器而不是將其削減為2類分類任務(wù)［1］.為某個指定的分類特征構(gòu)造學(xué)習(xí)模型的過程如下所示.

算法2

1：初始化某分類特征的訓(xùn)練數(shù)據(jù)集T；

2：初始化特征的分類集Y，特征類型type賦為univariate（一元特征）

3：for（CVE字典中的每個條目e）do

4：取得e的引用池，把對BID，Secunia和X－Force的引用放入集合P.

5：初始化e的分類集A

6：for（引用池P中的每一項(xiàng)p）do

7：抽取來自p的特征信息，檢查它與A中數(shù)據(jù)的兼容性，若兼容的話，則加入集合A中.

8：end for

9：for（每一個（關(guān)鍵詞，分類）對（k，c））do

10：找到與關(guān)鍵詞k匹配的CVE條目，然后把c放入集合A

11：end for

12：把（e，A）對放入訓(xùn)練數(shù)據(jù)集T中，把分類信息A放入Y，若｜A｜＞1，type賦為multivariate（多元特征）

13：end for

14：輸出訓(xùn)練數(shù)據(jù)集T、標(biāo)記集Y和特征類型type.

某分類特征的訓(xùn)練數(shù)據(jù)可能不會覆蓋到CVE字典中所有條目，這就使得一些CVE條目無標(biāo)記.漏洞數(shù)量的快速增長要求最新發(fā)現(xiàn)的漏洞需要被分類［3］.該框架除了使用算法2為所有分類特征建立學(xué)習(xí)模型外，還使用它們對無標(biāo)記CVE條目或新發(fā)現(xiàn)的漏洞進(jìn)行分類.標(biāo)記不可見數(shù)據(jù)點(diǎn)的過程如下所示.

算法3

1：S是無標(biāo)記樣例的測試集；L和Y分別是學(xué)習(xí)模型和分類特征的標(biāo)記集；type是特征類型（univariate或multivariate）；

2：for（S的每個樣例s）do

3：if（L是一個多類學(xué)習(xí)模型）then

4：將L的計算結(jié)果作為s的標(biāo)記；

5：else

6：初始化由L賦給s的標(biāo)記集B；

7：for（學(xué)習(xí)模型L中每個二類分類器l）do

8：使用l對s進(jìn)行分類并將輸出放入B中；

9：end for

10：if（特征類型是univariate）then

11：找到B的最大值，并將其對應(yīng)的分類作為s的標(biāo)記.

12：end if

13：end if

14：end for

對于一個多元分類特征，只要無標(biāo)記CVE的二類分類器對該CVE輸出正值，該無標(biāo)記CVE就可能被賦予多個分類.而對于一個一元分類特征，算法3僅僅將無標(biāo)記CVE放入有最高輸出的分類中.例如，假定一元分類特征Vulnerability Severity包含5個分類，并且其學(xué)習(xí)模型由5個二類分類器組成，如果第2個二類分類器輸出正值而其余4個分類器輸出的是負(fù)值，那么CVE－2005－1993將歸屬第2個分類.

分類準(zhǔn)確性定義為分類準(zhǔn)確性＝正確分類的樣例數(shù)／驗(yàn)證集的樣例數(shù)，該框架還使用了Fβ來計算精度P和回歸R的加權(quán)調(diào)合平均值，其公式為Fβ＝（1＋β2）PR／（β2P＋R）.一個類的精度P定義為P＝正確標(biāo)記的樣例數(shù)／歸屬該分類中的樣例總數(shù)，回歸R的定義為R＝正確標(biāo)記的樣例數(shù)／實(shí)際屬于該分類中的樣例總數(shù).通過設(shè)置β＝1，精度P和回歸R被認(rèn)為是同等重要，可以獲得F1，且F1＝2PR／（P＋R）.通過學(xué)習(xí)模型得到的形如分類準(zhǔn)確度和精度的度量效果是交叉驗(yàn)證過程的n次迭代獲得的度量結(jié)果的平均值.經(jīng)驗(yàn)證，該學(xué)習(xí)模型具有較好的性能.

4 結(jié)語

在CVE漏洞分類框架下設(shè)計并構(gòu)造了基于SVM的學(xué)習(xí)模型，加強(qiáng)和完善了該框架對CVE漏洞分類的能力.為進(jìn)一步完善該框架的功能和靈活性，下一步，筆者擬使用帶決定性屬性和特殊性屬性的分類特征集合進(jìn)行研究，并集成包含隱Markov模型和條件隨機(jī)場在內(nèi)的建模方法來提高分類性能.

［1］ 彭 華，李宗壽.基于SVM的CVE漏洞分類框架構(gòu)造［J］.吉首大學(xué)學(xué)報：自然科學(xué)版，2013，34（1）：66－71.

［2］ 劉奇旭，張翀斌，張玉清，等.安全漏洞等級劃分關(guān)鍵技術(shù)研究［J］.通信學(xué)報.2012，33（S1）：79－87.

［3］ 廖曉鋒，王永吉，范修斌，等.基于LDA主題模型的安全漏洞分類［J］.清華大學(xué)學(xué)報：自然科學(xué)版，2012，52（10）：1 351－1 355.

（責(zé)任編輯 陳炳權(quán)）

Construction of a SVM Learning Model in the Categorization Framework for CVE

PENG Hua，MO Li－ping，TANG Zan－yu
（College of Information Science and Engineering，Jishou University，Jishou，416000，Hunan China）

In the categorization framework for CVE，this paper designs and constructs a learning model based on SVM，so that it can categorize the CVE according to the different taxonomic features.In the process of constructing a learning model based on SVM，first of all，the training data is generated according to the different taxonomic features in the several vulnerability databases，then a data fusion and cleansing process are designed to eliminate the inconsistencies of data，and finally the n－fold cross－validation method is used to evaluate the effect of the model.The learning model has been verified to have better performance of CVE classification.

support vector machine（SVM）；common vulnerabilities and exposures（CVE）；taxonomic feature，classification accuracy

TP39

A

10.3969／j.issn.1007－2985.2013.03.014

1007－2985（2013）03－0062－05

2013－03－12

湖南省科技廳科技計劃資助項(xiàng)目（2011FJ3209）；湖南省教育廳一般科學(xué)研究資助項(xiàng)目（11C1025）

彭 華（1980－），男，湖南吉首人，吉首大學(xué)信息科學(xué)與工程學(xué)院講師，碩士，主要從事網(wǎng)絡(luò)安全、嵌入式系統(tǒng)研究.