李舟，唐聰，胡建斌，陳鐘

（北京大學(xué)信息科學(xué)技術(shù)學(xué)院，北京 100871）

面向SaaS云平臺的安全漏洞評分方法研究

李舟，唐聰，胡建斌，陳鐘

（北京大學(xué)信息科學(xué)技術(shù)學(xué)院，北京 100871）

對不同的第三方提供的云服務(wù)進(jìn)行漏洞評分是一項充滿挑戰(zhàn)的任務(wù)。針對一些基于云平臺的重要因素，例如業(yè)務(wù)環(huán)境（業(yè)務(wù)間的依賴關(guān)系等），提出了一種新的安全框架VScorer，用于對基于不同需求的云服務(wù)進(jìn)行漏洞評分。通過對VScorer輸入具體的業(yè)務(wù)場景和安全需求，云服務(wù)商可以在滿足安全需求的基礎(chǔ)上獲得一個漏洞排名。根據(jù)漏洞排名列表，云服務(wù)提供商可以修補最關(guān)鍵的漏洞。在此基礎(chǔ)上開發(fā)了VScorer的原型，并且證實它比現(xiàn)有最具有代表性的安全漏洞評分系統(tǒng)CVSS表現(xiàn)得更為出色。

SaaS；云服務(wù)；漏洞評分系統(tǒng)；CVSS

1 引言

云計算越來越受歡迎，它作為大數(shù)據(jù)的下一代基礎(chǔ)設(shè)施，應(yīng)用于許多應(yīng)用軟件中。此外，云計算提供了一種新的商業(yè)模式，軟件服務(wù)和核心計算應(yīng)要求外包給第三方平臺，如蘋果的 iCloud和谷歌的應(yīng)用平臺。最近，Ristenpart等[1]指出這項新的商業(yè)模式也引入了一系列的風(fēng)險。因為云平臺中的軟件和應(yīng)用服務(wù)來自不同的服務(wù)商，在這些服務(wù)和軟件中不可避免地存在許多漏洞。不幸的是，以往的研究[2,3]表明，現(xiàn)有的漏洞發(fā)現(xiàn)和風(fēng)險管理技術(shù)不適用于評估和處理業(yè)務(wù)環(huán)境的情況。如圖1所示，定義業(yè)務(wù)環(huán)境為某一項業(yè)務(wù)，業(yè)務(wù)間的依賴關(guān)系如箭頭所示。另外，vi用于表示不同服務(wù)的漏洞，它呈現(xiàn)不同服務(wù)間具體依賴關(guān)系圖表。綜上所述，很有必要研究如何對云服務(wù)漏洞進(jìn)行評級和打分。

事實上，漏洞發(fā)現(xiàn)一直都是安全服務(wù)行業(yè)的重要一環(huán)，每年有成千上萬的新的服務(wù)漏洞被檢測并且發(fā)布出來[4]，同時投入大量努力去解決這些問題。然而，目前已有的大部分解決方法都是通過打補丁和其他減緩策略，這會耗費大量的人力。

圖1 云服務(wù)中業(yè)務(wù)場景的服務(wù)間相關(guān)性

因此，目前一些研究者致力于提出解決方案[3]，以期能基于威脅等級來打分，讓開發(fā)者可以先處理這些比較嚴(yán)重的漏洞。換言之，組織者有充足的人力處理每個發(fā)現(xiàn)的漏洞（比如給每個漏洞打補丁），這個方法可能影響到這些公司。因此，云服務(wù)開發(fā)者應(yīng)該能夠合理分配和規(guī)劃工作，使最嚴(yán)重的一些漏洞可以優(yōu)先定位和解決?；诎踩矫娴目紤]這也是很重要的，如果業(yè)務(wù)中的一些關(guān)鍵服務(wù)的某些漏洞被攻擊者利用，重要業(yè)務(wù)就會遭受影響。如圖1所示，由客戶端來執(zhí)行的某項具體業(yè)務(wù)環(huán)境，對手可以很輕易地利用和攻擊服務(wù)器 S3的漏洞來使整個業(yè)務(wù)癱瘓，而不是攻擊其他服務(wù)器的漏洞（如S2和S5）。

現(xiàn)有一些系統(tǒng)設(shè)計是基于漏洞打分策略[3,5～7]。然而，這些系統(tǒng)存在各種各樣的問題，致使無法應(yīng)用于現(xiàn)在的云服務(wù)中：1）未成功考慮業(yè)務(wù)環(huán)境，目前打分系統(tǒng)不僅對于云服務(wù)的精確打分漏洞的要求來說過于簡單，而且并未成功考慮業(yè)務(wù)環(huán)境，比如服務(wù)器間（如軟件）的依賴關(guān)系，這樣并不能夠用來在云服務(wù)中進(jìn)行給漏洞評分，目前的漏洞打分系統(tǒng)過于局限，針對漏洞不能提供較強的預(yù)測能力[3]；2）未能區(qū)分安全需求，目前的漏洞打分系統(tǒng)（比如 CVSS）未能基于不同的安全需求來區(qū)分相同漏洞的威脅等級，例如，對于某一業(yè)務(wù)，某個漏洞可能對于它的可用性來說非常關(guān)鍵，但是對于它的健全性來說并不如此，因此，缺乏安全需求的考慮，致使在漏洞方面以前的系統(tǒng)的可預(yù)測能力是難以使人信服的。

為了使云服務(wù)更加讓人信賴，在云服務(wù)中根據(jù)具體的安全需求來評估和評級漏洞，本文提出了一種新型架構(gòu) VScorer，可以應(yīng)用于目前云服務(wù)基礎(chǔ)架構(gòu)，并且在云服務(wù)中根據(jù)特定的安全需求進(jìn)行漏洞打分。具體而言，對于某個業(yè)務(wù)環(huán)境，通過向VScorer系統(tǒng)中輸入業(yè)務(wù)環(huán)境（比如服務(wù)器間的依賴關(guān)系）以及安全需求，云服務(wù)開發(fā)者（比如云服務(wù)公司的安全開發(fā)者）能夠獲得業(yè)務(wù)中存在的漏洞評級列表。這份漏洞評級列表不僅能讓云服務(wù)開發(fā)者明確哪些漏洞應(yīng)該優(yōu)先處理，而且能讓云服務(wù)客戶端理解云服務(wù)是否處于危險中。

實際上，VScorer針對具體的業(yè)務(wù)環(huán)境對某特定的漏洞v進(jìn)行打分，依賴于以下3個因素：1)對于特定安全需求（或者成為安全特性）中v的威脅等級；2)包含漏洞 v的服務(wù)的重要性；3)漏洞 v的可利用性。定義服務(wù)器Si中漏洞v的可利用性為可以從Si中利用的可能性。對于某些漏洞，不同的服務(wù)中可利用性是不同的。在實際的應(yīng)用中，安全開發(fā)者按照以下3個步驟來執(zhí)行VScorer。

1)針對特定的業(yè)務(wù)構(gòu)建或者獲取服務(wù)器間的依賴關(guān)系圖表，并且將相關(guān)性和具體的安全需求輸入VScorer。一些軟件和應(yīng)用[8,9]可以自動生成產(chǎn)生服務(wù)器間的相關(guān)圖。

2)VScorer基于之前提過的3個因素來計算每個漏洞的得分，并且給所有漏洞來評級，產(chǎn)生基于特定安全需求的漏洞評級列表。

3)根據(jù)評級列表，云服務(wù)的開發(fā)者通過某些有效方法（比如給漏洞打包）來處理這些漏洞。

2 場景和系統(tǒng)框架

VScorer設(shè)計為可以在云服務(wù)中用于評分漏洞的安全框架，適用于：1)不同環(huán)境的很多業(yè)務(wù)，每個業(yè)務(wù)由可能包含漏洞的服務(wù)組成；2)場景中有 3類身份，即普通用戶、云開發(fā)者和攻擊者。相對來說，普通用戶目標(biāo)是執(zhí)行他們想要的業(yè)務(wù)，他們可稱為云服務(wù)的客戶端；云服務(wù)開發(fā)者的目標(biāo)是確保整個云服務(wù)的安全；攻擊者利用漏洞來攻擊不同的服務(wù)。

如圖2所示，服務(wù)器的相關(guān)圖（如業(yè)務(wù)環(huán)境）和安全需求輸入VScorer。一般而言，VScorer的主要任務(wù)是在業(yè)務(wù)環(huán)境中進(jìn)行漏洞打分，并且根據(jù)輸入的安全需求輸出漏洞的評級列表，云服務(wù)開發(fā)者以此來對最重要的漏洞優(yōu)先進(jìn)行處理。服務(wù)器S1～Sn輸入到生成器來獲取服務(wù)間的相關(guān)圖。相關(guān)圖表和具體安全需求輸入到基礎(chǔ)架構(gòu)中，VScorer能夠生成根據(jù)漏洞得到的評級列表。對于某個漏洞 v，VScorer關(guān)于v的評分算法主要基于3個因素：包含v的服務(wù)器的重要性、安全需求以及不同服務(wù)v的可利用性。

圖2 VScorer系統(tǒng)框架

3 Vscorer的設(shè)計

3.1 目標(biāo)

VScorer的設(shè)計主要回答以下2個問題。

1)假定某個安全需求，具體業(yè)務(wù)環(huán)境中哪個漏洞是最重要的（比如最危險的）。

2)怎樣合理并且精確地為這些漏洞打分。

下面來討論用于設(shè)計VScorer系統(tǒng)漏洞打分算法的因子。

3.2 討論

后續(xù)描述都會設(shè)計到給定的漏洞集V '。為了合理地計算V '中所有漏洞的分?jǐn)?shù)，有2個影響到V '中每個元素（vi）打分的事情：1)計算中所考慮到因素（或者部分）；2)獲取這些因素的方法。下面將分開討論這2個影響因素。

計算每個漏洞得分時，需考慮以下3個要素。

1)包含vi的服務(wù)器的重要性。因為所面對場景是云服務(wù)，這些服務(wù)器存在很多依賴關(guān)系（比如業(yè)務(wù)環(huán)境），服務(wù)的重要程度有必要考慮到。以前的策略（比如 CVSS[5]和USCERT[10]）并未考慮到業(yè)務(wù)環(huán)境。例如，作為具有代表性的漏洞打分系統(tǒng)，CVSS的“漏洞基礎(chǔ)得分”按照影響因子I和可利用度E要素來表示的

影響因子(I)是由CVSS的開發(fā)者或者專家提供的。很明顯，CVSS的算法不能應(yīng)用于云服務(wù)基礎(chǔ)架構(gòu)中，因為等式的2個要素與云服務(wù)的業(yè)務(wù)場景并無關(guān)聯(lián)。

2)按照給定安全需求的vi的威脅等級。幾乎所有目前的工作都未考慮不同安全需求中漏洞的威脅等級這個因素。為了更加合理可信地對vi進(jìn)行打分，需注意到不同安全特性下對vi的威脅等級評估的必要性。比如，對于某個特定服務(wù)，某個漏洞對這個服務(wù)的可用性非常關(guān)鍵，但是對于健全性遠(yuǎn)遠(yuǎn)沒那么重要。因此，對于某個漏洞，有必要考慮不同安全特性下的威脅等級。將這個因素設(shè)計為一個函數(shù)，它的輸入是具體的威脅vi、安全需求pj，返回的值是關(guān)于安全需求pj的vi的威脅等級。

3)不同服務(wù)中 vi的可利用性。如上面所提到的，漏洞的可利用性應(yīng)該考慮到。實際上，以往的系統(tǒng)，如CVSS和USCERT也考慮到這個因素?？紤]到CVSS已經(jīng)發(fā)布很多可靠的數(shù)據(jù)和可利用性的信息，因此，本文的框架直接從CVSS系統(tǒng)中提取可利用性的信息。事實上，以往的工作[3]也直接從CVSS中使用了這部分?jǐn)?shù)據(jù)。

總而言之，以往的系統(tǒng)（如CVSS和USCERT）并未考慮到業(yè)務(wù)環(huán)境，它們并未成功合理地對云服務(wù)進(jìn)行漏洞評分。更進(jìn)一步說，以往所有致力于漏洞評分的研究只考慮了2個因素：影響力（比如可利用性的結(jié)果的重要程度）以及可利用性（比如漏洞利用的難易程度），這些考慮并不充分。

實際上，VScorer能夠從一些已有系統(tǒng)（如CVSS）的信息獲取這3個因子。這是VScorer主要貢獻(xiàn)之一，因為，以往的工作需要一些專家學(xué)者的參與。自動獲取這3個因素的方法如下所示。

包含漏洞的服務(wù)重要性評估計算參考了如PageRank和AssetRank[11]的重要程度計算算法。由于云服務(wù)中存在特殊的特征（比如云服務(wù)間存在直接的依賴關(guān)系），重要性算法可以認(rèn)為是一項給云平臺場景中的不同服務(wù)進(jìn)行評級的有效方法。

為了獲取漏洞的可利用性，VScorer直接利用了 CVSS或者其他漏洞評分系統(tǒng)的可利用性評分。以往的研究[3]指出，CVSS的可利用性可直接借用，但是CVSS其他的要素（如漏洞的影響程度）應(yīng)該由某些安全專家提供。因此，可利用性度量來自 CVSS，實際上并未違反設(shè)計自動化的原則。另一方面，CVSS的可利用性支持本文的理念，以往研究中的可借鑒之處是應(yīng)該直接借用的。

為了獲取給定安全需求下的某些漏洞的威脅等級，VScorer使用了兩大在線漏洞數(shù)據(jù)庫提供的信息：OSVDB[12]和 CVE[13]。例如，OSVDB 包含超過57 000個漏洞的報告，并且能夠提供這些漏洞在不同安全特性下的威脅等級信息?？傊?，可以基于自動化方法和現(xiàn)有系統(tǒng)獲取3個因子。這不僅節(jié)約了人力成本，也充分利用了以往研究成果。

3.3 漏洞評分

基于以上討論和描述，圖 3給出了 VScorer結(jié)構(gòu)的詳細(xì)設(shè)計。接收到業(yè)務(wù)環(huán)境和安全需求的數(shù)據(jù)后，VScorer結(jié)合從3個組成部分（重要程度算法、VE_DB和 FS_DB）中提取的 3個因素來計算所有漏洞的得分。VE_DB和FS_DB是分別存儲不同安全需求下漏洞可利用性和威脅等級的數(shù)據(jù)庫。最后一步，此架構(gòu)生成基于漏洞威脅等級的評級列表。

由于VScorer是基于可擴(kuò)展的架構(gòu)，圖3中并未標(biāo)示出系統(tǒng)要素的詳細(xì)算法。接下來，將給出計算具體安全需求下給定漏洞v的得分的具體算法。

其中，Sv是包含漏洞v的服務(wù)器集，si是Sv集的元素，如漏洞v的服務(wù)。E(v,si)是函數(shù)返回的可利用性，如漏洞 v能被服務(wù) si利用的可能性。Rank(si)是服務(wù)si的重要性，是由重要性算法（如PageRank和 AssetRank）計算出的服務(wù)器得分。P是用于澄清語義的安全需求。F(v,P)是此函數(shù)用于計算某特定安全特性P的漏洞v的威脅等級，如返回0～5的某個數(shù)值，以對關(guān)于P的v的威脅等級來進(jìn)行評級。α和β是基于[0,1]的可調(diào)參數(shù)。

眾所周知，對漏洞進(jìn)行評級和打分是非常具有挑戰(zhàn)性的[2]。接下來討論式(2)對于漏洞評分的合理性。

1)因為漏洞的嚴(yán)重性直接相關(guān)于包含它們的服務(wù)的重要性，不同服務(wù)的重要性明顯是漏洞評級的一個關(guān)鍵因素。對于某給定漏洞 vi，包含vi的服務(wù)的重要程度應(yīng)該用于衡量 vi的威脅等級和可利用性，以控制威脅等級和可利用性的波動范圍。

2)α和β是控制式(2)中2部分特性的2個關(guān)鍵可調(diào)參數(shù)。實際上，它們具體的數(shù)值應(yīng)該基于實際需求。例如，實際中如果漏洞的可利用性比它的威脅等級更重要時，α的值應(yīng)該設(shè)置更大一些。并且，當(dāng)分別設(shè)置 α=1、β=0.5和 α=0.5、β=0.5時，本文通過公式得到類似的評級列表。

在一些實際場景中，服務(wù)重要程度的計算可能需要考慮到服務(wù)間相關(guān)性的度量，如有區(qū)別地看待相關(guān)性，這將包含業(yè)務(wù)場景進(jìn)程而不是目前的一個。對于這種情況，VScorer允許管理者根據(jù)具體需求來調(diào)整Rank(si)的計算，因此，Rank(si)實際上是能夠適用于不同場景的通用的重要程度計算算法。另外，如第2部分所提到的，盡管目前VScorer根據(jù) PageRank算法來計算重要程度；然而，更多特殊的關(guān)系，如服務(wù)器間需要考慮“或”和“與”，AssetRank[11]應(yīng)該替代PageRank來作為重要程度算法；同理，如果目標(biāo)業(yè)務(wù)場景的某些服務(wù)已經(jīng)癱瘓，應(yīng)該借助 TrustRank[14]來為每個服務(wù)進(jìn)行打分和區(qū)分。因為目前CVSS和USCERT漏洞打分系統(tǒng)不能做到這些，VScorer的通用性和適應(yīng)性要比已存在的研究成果更加優(yōu)秀。

圖4所示的例子可以更清晰地理解式(2)。示例中有9個服務(wù)器（S1～S9），其中有些有漏洞（v1～v3）。云管理者Alice試圖評估這3個漏洞，它將服務(wù)器的依賴關(guān)系輸入VScorer系統(tǒng)；同時，它評估的安全需求設(shè)計為“integrity”。為了簡化計算，假設(shè)不同服務(wù)器中漏洞的可利用性是1.0，即E(v1,s1)=E(v1,s4)=E(v2,s4)=E(v2,s7)=E(v3,s6)=E(v3,s9)。對于不同的漏洞威脅級別，安全的需求是鑒權(quán)，即P=“integrity”)，假設(shè)F(v1,P)=1，F(xiàn)(v2,P)=2，F(xiàn)(v3,P)=3。VScorer首先通過pageRank算法得到所有服務(wù)的Rank(si)，從而獲得Rank(s1)=0.15,Rank(s2)=0.21,Rank(s3)=0.21,Rank(s4)=0.24,Rank(s5)=0.24,Rank(s6)=0.33,Rank(s7)=0.35,Rank(s8)=0.5,Rank(s9)=1.01。然后VScorer可以通過式(2)計算出v1、v2和v3的Alice分?jǐn)?shù)。

圖3 VScorer的具體方案

圖4 通過式(2)對漏洞v1、v2評分

α和 β如果賦值為 0.5，那么漏洞排名是：R(v3)=2.68,R(v2)=0.885和R(v1)=0.39。

3.4 另一種選擇

雖然已經(jīng)證明了式(2)可以在云端對漏洞評分，本文還是希望呈現(xiàn)更多能被選擇的算法來對漏洞進(jìn)行打分。因此，提出了另一個公式用來對給定的漏洞v打分，如式(4)所示。

式(4)中所有符號的解釋在式(2)中已經(jīng)給出。

研究表明，符合條件的風(fēng)險是一個棘手的問題[2]。因此沒人能證明該算法評估的風(fēng)險（例如漏洞）是最準(zhǔn)確的。最好有多種不同的選擇（即不同的公式）對漏洞進(jìn)行打分，通過實驗和模擬不同的情況來評估哪些是最合適的。事實上，此功能體現(xiàn)了本文框架的靈活性和可用性，因為 VScorer能夠通過部署不同的漏洞評估機(jī)制來滿足各種實際的需求。

3.5 實際問題

除了上述討論，在現(xiàn)實中的應(yīng)用，還有如下 2種需要考慮的實際問題。

1)有一些服務(wù)或者軟件在漏洞排名前已經(jīng)被泄露。

2)由于隱私方面的一些原因，某公司不希望公開服務(wù)的依賴關(guān)系。

要回答上述實際問題，需要通過引入一些新的機(jī)制來加強VScorer。

1)對于第1個實際問題，本文引入TrustRank[14]來替代PageRank計算各服務(wù)的重要性和信任關(guān)系，以此來發(fā)現(xiàn)攻擊者的服務(wù)妥協(xié)；另一方面，TrustRank和PageRank在計算服務(wù)的重要性方面具有相同的功能。因此，引入TrustRank對服務(wù)進(jìn)行打分不會影響對漏洞的打分。

2)對于第2個實際問題，可以要求公司自己對服務(wù)進(jìn)行排名。請注意，這個排名列表僅包含由該公司提供的服務(wù)順序，而不是服務(wù)的重要性。在現(xiàn)實中，要求一個公司給出他們服務(wù)的順序（基于重要性）應(yīng)該不是問題。這是因為對每個服務(wù)評級對一個公司來說很難，但是他們必須明白哪些服務(wù)是最重要的，相對重要和不重要的。

實際上，附加采納上述2種解決方案不是什么問題。VScorer的設(shè)計使添加其他組件或模塊是非常方便的。

4 評估

本節(jié)的主要目的是評估 VScorer的性能，建立VScorer原型系統(tǒng)；然后通過3個案例，基于真正的業(yè)務(wù)環(huán)境和模擬漏洞信息來驗證 VScorer的有效性。

為了評估VScorer，本文提出了3個基于真實業(yè)務(wù)流程的案例，用CVSS對比2個公式（即式(2)和式(4)），從而表明VScorer的有效性。每個案例的研究如下。

1)輸入具體的包括安全需求和業(yè)務(wù)流程的實驗數(shù)據(jù)進(jìn)入 VScorer模型，從而獲得對給定的安全需求的漏洞排名。分別通過式(2)和式(4)生成2個排名列表；因此，實際上是由VScorer獲得2個排名。

2)通過 CVSS生成另一個排行榜，比較CVSS的結(jié)果和之前通過VScorer的2個公式生成的排行榜。使用CVSS來比較VScorer的原因?qū)⒃诤竺娼o出。

3)比較并評估哪一個排行榜是最好的，通過模擬評估漏洞排行榜。之后，分析和討論得到的結(jié)果。

目前，已經(jīng)在實際使用中的幾個漏洞評分系統(tǒng)，CVSS已經(jīng)逐漸成為公共的標(biāo)準(zhǔn)，因此選擇CVSS和VScorer比較。此外，現(xiàn)有的研究[3]也指出CVSS是目前具有代表性的漏洞評分系統(tǒng)。接下來，討論如何比較和評估不同系統(tǒng)的排行榜，3個研究案例將給出。

4.1 如何比較不同的排行榜

假定每個服務(wù)運行在給定的業(yè)務(wù)流程中是不同的，因此，當(dāng)運行一個具體的任務(wù)在那個業(yè)務(wù)中時，可以通過在任務(wù)運行過程中所有服務(wù)的運行時間的總和獲取該任務(wù)的運行時間。比如，在圖5中，如果得到VCL接入服務(wù)的運行時間為0.3，VCL管理服務(wù)的時間為0.5以及應(yīng)用服務(wù)3的運行時間為0.4，所以任務(wù)的運行時間為0.3+0.5+0.4=1.2。此外，如果某個漏洞被攻破，執(zhí)行這些有漏洞的服務(wù)將花費更多的時間，即可以認(rèn)為泄露的漏洞延遲了有漏洞任務(wù)的運行時間。在模擬中，延遲時間為 0.2，例如在圖5中，如果VCL訪問服務(wù)有一個泄露漏洞，然后它由VCL接入服務(wù)任務(wù)的運行，VCL管理服務(wù)和應(yīng)用服務(wù) 3的運行時間應(yīng)該為0.3+0.5+0.4+0.2=1.4。

描述如何計算性能指標(biāo)后，運行模擬器的詳細(xì)步驟如下。

1)根據(jù)給定的業(yè)務(wù)流程產(chǎn)生的模擬環(huán)境（包括服務(wù)、依賴和漏洞）。

2)在給定的業(yè)務(wù)流程中分別泄露每個漏洞，并計算每個泄露的漏洞的性能值。特別地，對于每個漏洞，隨機(jī)在指定的業(yè)務(wù)中執(zhí)行不同的任務(wù)1 000次，然后計算運行1 000次的平均時間作為該漏洞的性能指標(biāo)。

在獲取不同泄露漏洞的性能指標(biāo)之后，可以評估哪一個排行榜最優(yōu)。顯而易見的是性能指標(biāo)應(yīng)該是最高的（即延遲時間最高），如果最關(guān)鍵的漏洞被攻破。也就是說，如果v3是最關(guān)鍵的漏洞，模擬器的性能指標(biāo)應(yīng)該是最高的。因此，在得到所有性能指標(biāo)的排行榜之后（從高到低），比較2個排行榜之間的匹配程度，即漏洞排名和性能指標(biāo)排名（性能指標(biāo)排序由高到低）。2個排行榜更匹配的就是更準(zhǔn)確的漏洞排行榜。下面將提出3個研究案例來評估本文方法。

4.2 案例1：基于VCL數(shù)據(jù)集的評估

在這個案例中，使用一個來自 VCL的真實業(yè)務(wù)流程來評估VScorer，業(yè)務(wù)流程的信息展示在圖5中，菱形表示漏洞，其他表示 VCL中的服務(wù)。漏洞的可利用性和威脅級別（對于給定的安全需求）展示如表1所示，假設(shè)不同的服務(wù)中相同漏洞的可利用性是一樣的。威脅等級是根據(jù)給定的安全性要求在0～5中取值。請注意，只能從VCL中提取業(yè)務(wù)流程，但不是所有的漏洞。由于隱私問題，本文通過仿真生成漏洞。類似地，案例2和案例3利用真實的業(yè)務(wù)流程和漏洞進(jìn)行了模擬。

圖5 VCL數(shù)據(jù)集的具體業(yè)務(wù)流程

表1 案例1漏洞的可利用性和威脅級別

基于VScorer的2個公式，即式(2)和式(4)，得到了2個對于給定安全需求漏洞的排行榜；同時，使用CVSS產(chǎn)生了另一個排行榜。表2展示了這3個排行榜。相對于α和β的值，設(shè)置α=1.0，β=0.5。實際上，也可以為它們設(shè)置不同的值（如α=0.5，β=0.5），并且得到一個相同的結(jié)果；因此α和β的值實際上不能顯著影響結(jié)果。

表2 案例1 VCL的漏洞排名

評估排行榜并且討論。要了解3個排行榜的準(zhǔn)確性，本文的模擬器執(zhí)行評估3種方法的有效性。當(dāng)漏洞CVE-2008-5410被攻破時性能指標(biāo)最高，根據(jù)該指標(biāo)從高到低，模擬器基于性能指標(biāo)對漏洞進(jìn)行的排序為：CVE-2008-5410、CVE-2008-0600、CVE-2007-1747、CVE-2008-3648、CVE-2006-6077和 CVE-2008-0231。實際上，這個順序與 VScorer產(chǎn)生的排行榜正確匹配；另一方面，由于未能考慮給定安全需求的業(yè)務(wù)環(huán)境和威脅級別，CCVS的排行榜是不準(zhǔn)確的。因此，在案例 1中，實驗表明VScorer可以工作得比CVSS更好。

4.3 案例2：評估基于EC2的業(yè)務(wù)流程

在此案例中，本文使用一個EC2[15]的真實業(yè)務(wù)流程。圖6所示為服務(wù)的具體依賴關(guān)系和位于業(yè)務(wù)流程中的漏洞，菱形表示漏洞，其他表示EC2的不同服務(wù)。漏洞的可利用性和威脅級別（根據(jù)安全要求）如表3所示。

表3 案例2 漏洞的可利用性和威脅級別

圖6 EC2數(shù)據(jù)集的一個具體業(yè)務(wù)流程

表4 案例2 EC2特定業(yè)務(wù)流程的漏洞排名

運行模擬器之后，模擬器的結(jié)果表明漏洞的正確順序應(yīng)該為：V-2009- 3508、V-2007-6410、V-2009-4447、V-2006-6077和 V-2008-3631。另一方面，如表4所示，可得出2個結(jié)論：1)式(2)得出的排行榜是最準(zhǔn)確的，因為它和模擬器得出的結(jié)論最匹配；2)雖然式(4)得出的結(jié)果在案例1中是正確的，它不能在本案例中給出一個正確的結(jié)果；同時，CVSS的結(jié)果也不準(zhǔn)確。實際上，這是因為 2種方法（VScorer的式(4)和 CVSS）背后的算法。特別地，CVSS沒有考慮服務(wù)間的依賴，而式(4)具有算法方面的薄弱點。因此，我們證明了VScorer的式(2)比其他2種方法工作得更好。

4.4 案例3：評價IBM的災(zāi)難援助理賠服務(wù)

案例3使用的數(shù)據(jù)和信息來自于IBM的災(zāi)難援助理賠服務(wù)。如圖7所示，菱形表示漏洞，其他表示業(yè)務(wù)中的不同服務(wù)，可以看出具體的依賴關(guān)系和位于各種服務(wù)上的漏洞。漏洞的可利用性和威脅級別（根據(jù)安全要求）如表5所示。

表5 案例3 漏洞的可利用性和威脅級別

表6 案例3 IBM的災(zāi)難援助理賠服務(wù)的漏洞排名

評估排行榜并且討論。運行模擬器之后，可得出 3個結(jié)論：1)從式(2)得到的排行榜在本案例中對漏洞的排序是正確率最高的，因為它和模擬器得出的結(jié)論最匹配；2)式(4)的結(jié)果也是準(zhǔn)確的，但是不如式(2)精準(zhǔn)。事實上，式(4)在本案例中至少比CVSS表現(xiàn)得更好；3)CVSS的算法在本案例中沒有得到一個好的結(jié)果，因為CVSS的機(jī)制不能在考慮業(yè)務(wù)流程的情況下，取得良好的效果。因此，可以得出VScorer的式(2)應(yīng)該是最準(zhǔn)確的，并且在云服務(wù)中可以工作得比CVSS更好。

圖7 IBM的災(zāi)難援助理賠服務(wù)的一個具體業(yè)務(wù)流程

3個案例得到的漏洞評級列表如圖8所示。

圖8 在3個案例中基于仿真器性能得到的漏洞評級列表

為了幫助安全管理員，許多漏洞評分系統(tǒng)已經(jīng)被提出。幾乎所有的人都關(guān)注于如何基于2個因素對漏洞打分：影響和可開發(fā)性。很明顯，它們不能被采用到云基礎(chǔ)設(shè)施中，因為它們沒有考慮具體的業(yè)務(wù)流程上下文這個云服務(wù)中的關(guān)鍵因素。特別地，USCERT產(chǎn)生了一個0～180內(nèi)的量化程度評分，從一系列的定性問題的答案中直接計算[10]。另外，微軟的安全公告記錄漏洞的嚴(yán)重性（用定性的方法），用來作為Secunia的報告。近來，一個新的嚴(yán)重性指標(biāo)，常見漏洞評估系統(tǒng)（CVSS）[5]，被一些安全專家和研究人員所提出。CVSS定義了一些獨立的指標(biāo)；然而，根據(jù)這項研究[3]，CVSS只是“基礎(chǔ)指標(biāo)”，被典型的使用于第三方漏洞數(shù)據(jù)庫。事實上，以前進(jìn)行了一些努力來分析和改進(jìn)CVSS[16,17]。與本文的方法相比，CVSS未能提供其明確考慮到業(yè)務(wù)流程上下文的機(jī)制。相反，為了克服這些困難，VScorer采用PageRank算法，來計算云服務(wù)的服務(wù)重要程度。實際上，本文進(jìn)一步補充用于計算云服務(wù)重要程度的 PageRank的算法，加入具體安全需求的考慮。

目前，很多關(guān)于漏洞發(fā)現(xiàn)的報告已經(jīng)通過多資源如 CVE[16]和 OSVDB[12]發(fā)布出來。特別是 CVE明確地將某些安全需求下的不同漏洞威脅等級列入考慮之列；然而 CVE并未為漏洞評分提供合理的機(jī)制。而且，大量研究檢測到可被修復(fù)漏洞的可能性[18]。

5 結(jié)束語

本文設(shè)計了一種新型架構(gòu) VScorer，來為云服務(wù)中的漏洞進(jìn)行評分和評級。與以往研究成果不同，VScorer不僅考慮到它的內(nèi)在特性，如可利用性，而且將可利用性的這些服務(wù)場景考慮在內(nèi)，比如在組成的服務(wù)器中所扮演的角色，以及服務(wù)安全目標(biāo)的重要性。漏洞的評分和評級結(jié)果對于組成的服務(wù)而言具有高相關(guān)性和價值。通過基于實際中服務(wù)場景進(jìn)程的實驗，對VScorer的有效性進(jìn)行了評估，并且將VScorer和CVSS進(jìn)行了比較，結(jié)果表明在云服務(wù)的漏洞評分場景中，VScorer比現(xiàn)有的研究成果表現(xiàn)更為出色。

[1]RISTENPART T,TROMER E,SHACHAM H,et al. Hey,you,get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security.c2009:199-212.

[2]BELLOVIN S. On the brittleness of software and the infeasibility of security metrics[J]. IEEE Security and Privacy,2006,4(4): 96.

[3]BOZORGI M,SAUL L,SAVAGE,et al. Beyond heuristics: learning to classify vulnerabilities and predict exploits[C]//ACM Sigkdd International Conference on Knowledge Discovery amp; Data Mining. ACM,c2010:105-114.

[4]IBM. IBM Internet Security Systems X-Force 2008 Trend and Risk Report[R]. White paper,2009.

[5]A complete guide to the common vulnerability scoring system[S].

[6]OWASP Top Ten[EB/OL].http://www.owasp.org/,2013.

[7]SANS Top-20 Security Risks[EB/OL]. http:// www. sans. org/ top20,2009.

[8]CHEN X,ZHANG M,MAO Z,et al. Automating network application dependency discovery: Experiences,limitations,and new solutions[C]// Usenix Symposium on Operating Systems Design amp; Implementation. c2008:117-130.

[9]ENSEL C. A scalable approach to automated service dependency modeling in heterogeneous environments[C]// IEEE International Enterprise Distributed Object Computing Conference,c2001:128-139.

[10]DOUGHERTY C. Vulnerability metric[EB/OL]. https :// www. securecoding.cert.org/con fl uence/display/seccode/Vulnerability+Metric,c2008.07.24.

[11]SAWILLA R and OU X. Identifying critical attack assets in dependency attack graphs[C]// European Symposium on Computer Security-esorics. c2008:18-34.

[12]OSVDB. The open source vulnerability database[S].

[13]CVE Editorial Board. Common vulnerabilities and exposures: the standard for information security vulnerability names[S].

[14]GYONGYI Z,GARCIA H,PEDERSEN J. Combating web spam with trustrank[C]//Thirtieth International Conference on Very Large Data Bases. c2010: 576–587.

[15]CHRISTOS T. Software for Cloud[S].

[16]SCARFONE K,MELL P. An analysis of cvss version 2 vulnerability scoring[C]//International Symposium on Empirical Software Engineering amp; Measurement. c2009: 516 -525.

[17]FRUHWIRTH C,MANNISTO T. Improving cvss-based vulnerability prioritization and response with context information[C]//ESEM,c2009:535-544.

[18]MOORE D,SHANNON C,CLAFFY K. A case study on the spread and victims of an Internet worm[C]//Internet Measurement Workshop.c2002: 273-284.

Vulnerabilities scoring approach for cloud SaaS

LI Zhou,TANG Cong,HU Jian-bin,CHEN Zhong

(School of EECS,Peking University,Beijing 100871,China)

There are full of challenges to score vulnerabilities of cloud services developed by different third-party providers. Although there have been a few systems for scoring vulnerabilities (e. g.,CVSS)of many existing software,most of them are unable to be leveraged to score vulnerabilities in cloud services,because they fail to consider some important factors located in the clouds such as business context (i. e .,dependency relationships between services). VScorer,a novel security frame work to score vulnerabilities in various cloud services were presented based on different given requirements. By inputting concrete business context and security requirement into VScorer,cloud provider can get a ranking list of vulnerabilities in the business based on the given security requirement. Following the ranking list,cloud provider was able to patch the most critical vulnerabilities first. A prototype was developed and VScorer can be demonstrazed to work better than current representative vulnerability scoring system CVSS.

SaaS,cloud service,vulnerability scoring system,CVSS

The National Natural Science Foundation of China（No.61272519,No.61170297,No.61572080,No.61472258）

TP393

A

2016-06-17；

2016-08-01

國家自然科學(xué)基金資助項目（No.61272519,No.61170297,No.61572080,No.61472258）

10.11959/j.issn.1000-436x.2016166

李舟（1987-），男，湖北荊州人，北京大學(xué)博士生，主要研究方向為信息安全、基于身份的公鑰加密。

唐聰（1984-），男，湖南永州人，北京大學(xué)博士生，主要研究方向為信息安全、云計算、社交網(wǎng)絡(luò)。

胡建斌（1971-），男，湖北洪湖人，北京大學(xué)副教授，主要研究方向為云計算、物聯(lián)網(wǎng)、計算機(jī)網(wǎng)絡(luò)安全。

陳鐘（1963-），男，江蘇徐州人，北京大學(xué)教授、博士生導(dǎo)師，主要研究為密碼學(xué)、計算機(jī)網(wǎng)絡(luò)與信息安全。