張必彥，王 孟

(1.中國人民解放軍91550部隊， 遼寧 大連 116023； 2.海軍工程大學， 武漢 430033)

針對日益復雜的網(wǎng)絡安全形勢，開展行之有效的網(wǎng)絡安全評估，是信息安全工作的客觀需求與迫切需要[1]。網(wǎng)絡安全評估的方法主要有定性評估與定量評估，定性評估所涉及的眾多參數(shù)的主觀性較強[2]，為得到權威的評估結(jié)論，所需滿足的前提條件較多且要求較為苛刻，因此當前的研究重點為定量評估[3-4]。定量評估涉及對網(wǎng)絡攻防行為的量化，為網(wǎng)絡安全分析提供了較好的思路，但量化過程存在一定程度的隨意性[5]，同時攻防雙方的量化標準不一致，此外所采取的量化分析方法多為著眼其中一方，未能較好的體現(xiàn)網(wǎng)絡攻防的實質(zhì)[6]。為此，本文依托權威的CVSS評分標準，提出了一種標準統(tǒng)一、著眼攻防雙方的網(wǎng)絡攻防量化方法，為網(wǎng)絡安全評估工作提供了行之有效的量化基礎。

1 CVSS簡介

CVSS，英文全稱Common Vulerability Scoring System，即通用安全漏洞評估系統(tǒng)，是由NIAC發(fā)布、FIRST維護的開放式行業(yè)標準，CVSS的發(fā)布為信息安全產(chǎn)業(yè)從業(yè)人員交流網(wǎng)絡中所存在的系統(tǒng)漏洞的特點與影響提供了一個開放式的框架[7]。CVSS將每個漏洞量化為0～10間的具體分值，分數(shù)越高，危險級別越高。CVSS的各項評分要素均由國際信息安全領域?qū)＜夜餐贫ǎ哂休^強的專業(yè)性與說服力[8]。在確定系統(tǒng)漏洞后，依據(jù)其漏洞CVE編號可以通過官方網(wǎng)站查詢直接獲取該漏洞各要素評定情況及對其對應的分值，同時CVSS評分標準給出的計算公式中，各要素評分值不存在相關性的計算關系，各指標可以作為獨立的因素用于量化分析[9]。

2 基于CVSS的網(wǎng)絡攻防量化方法

為充分體現(xiàn)網(wǎng)絡攻防的實質(zhì)，本文從攻擊與防御兩個維度剖析網(wǎng)絡對抗行為，依托CVSS漏洞評分標準，將網(wǎng)絡攻防行為分解為攻擊成本(AC)、攻擊收益(AR)、防御成本(DC)、防御收益(DR)四個要素，其中，攻擊收益(AR)與防御收益(DR)都是指系統(tǒng)的損失，數(shù)值上相等。文中給出各要素的計算公式，公式中引用的指標均源自CVSS漏洞評分標準，可在NVD官網(wǎng)中查詢獲取。在網(wǎng)絡攻防評估中，將CVSS漏洞評分標準中的相關置標，代入4個要素的計算公式，獲取計算結(jié)果數(shù)值，實現(xiàn)統(tǒng)一標準下的攻防雙方行為量化。

1) 攻擊成本AC。攻擊成本由攻擊者所利用漏洞的特性確定，具體包括攻擊途徑、攻擊復雜度與認證3個指標。這3項指標的制定是獨立的，不存在相互影響制約，所對應的關系為“或”關系，在計算中對應的運算為相加。具體的對應關系如表2所示。

表1 CVSS評分要素及評分值分值

表2 攻擊成本評分

因此，對于一次攻擊，其成本AC為發(fā)動此次攻擊所利用的漏洞的攻擊途徑成本分值PAV、攻擊復雜度成本分值PAC、認證分值成本PAU之和。

AC=PAC+PAV+PAU

(1)

其中，PAV，PAC，PAU通過查詢獲取漏洞要素的具體可選值，依據(jù)表2取相應數(shù)值獲得。

2) 攻擊收益與防御收益。即系統(tǒng)損失SL，系統(tǒng)的損失既是攻擊者的攻擊收益AR，又是理想情況下防御者的防御收益DR。系統(tǒng)損失主要由兩方面決定：被攻擊主機的資產(chǎn)重要度(Property Importance，PI)和利用此漏洞所進行的攻擊的固有致命度(IntrinsicLethality，IL)。二者的關系為“與”關系，對應運算關系為相乘。

主機資產(chǎn)重要度由兩部分評價指標組成：主機類型與主機操作系統(tǒng)類型。主機類型不同所對應的資產(chǎn)重要度不同，較為直觀，容易理解。不同操作系統(tǒng)用戶數(shù)目不同，使用頻率不同。被使用頻率越高，此所對應的重要度越高。主機類型與評分值對應關系如表3所示。

表3 主機資產(chǎn)重要度評分

對應公式為

PI=ST*OT

(2)

固有致命度(IntrinsicLethality，IL)可采用CVSS標準中給出的漏洞攻擊影響分值(impact)。在確定漏洞后，可依據(jù)漏洞編號在CVSS官方網(wǎng)站中直接獲取已計算好的impact值。

因此，

AR=DR=DL=PI·IL

(3)

3) 防御成本DC。對漏洞攻擊所做的防護稱為漏洞修復，基于CVSS評分體系關于漏洞屬性信息描述，從以下層面描述主機上單個漏洞的修復代價組成。

① 漏洞補丁修復等級。系統(tǒng)服務和應用程序中漏洞被發(fā)現(xiàn)曝光后，相關廠家會給出相應補丁進行補救。

② 漏洞滲透代碼可利用性。漏洞曝光后，會產(chǎn)生利用該漏洞進行攻擊的方法，具體形式一般為利用代碼進行滲透。

③ 漏洞報告可信度。在漏洞出現(xiàn)之后，會出現(xiàn)關于漏洞的報告信息，報告信息可分為3個階段：傳言期、未完全確認期、官方確認期。

④ 漏洞攻擊復雜度。針對攻擊復雜度不同的漏洞進行漏洞修復，其所對應的修復工作量不同，利用攻擊復雜度高的漏洞完成攻擊所需步驟較多，在修復過程中使攻擊步驟某一步失效即可，相對應的修復代價較低；反之，修復代價較高。

⑤ 漏洞破壞性。漏洞對系統(tǒng)的破壞主要體現(xiàn)在對信息資產(chǎn)的安全屬性的破壞，主要由機密性、完整性、可用性三方面衡量。

⑥ 主機類型。修復不同主機上同一漏洞付出的代價不同，假設修復普通主機時對系統(tǒng)未產(chǎn)生明顯影響，但在修復服務器中存在漏洞時需確保修復過程中仍能保證系統(tǒng)的正常運轉(zhuǎn)，因此修復代價較高。

給出基于CVSS評分標準的漏洞修復指標與對應評分值，如表4所示。

漏洞修復代價計算公式：

op=ep+rp+ac

(4)

式中，op為漏洞修復的操作代價,ep為針對漏洞可利用滲透代碼的修復評分，rp為針對漏洞報告可信度的修復評分，ac為針對攻擊復雜度的修復評分。

de=av+in+co

(5)

式中，de為漏洞修復的破壞修復代價,av為針對漏洞對可用性破壞的修復評分，in為針對漏洞對完整性破壞的修復評分，co為針對漏洞對機密性破壞的修復評分。

漏洞修復代價計算公式：

DC=(1+ε)*re*(op+de)

(6)

式中：re為漏洞補丁情況,re*(op+de)為在普通主機上修復該漏洞的修復代價,ε為系統(tǒng)資產(chǎn)重要度所產(chǎn)生的加權，以表3所給主機類型的評分值的比例關系可得。

表4 漏洞修復評分值

3 實例分析

以漏洞CVE-2014-0315為例，給出攻防量化的具體過程。

首先，在NVD(National Vulnerability Database，國家漏洞數(shù)據(jù)庫)官網(wǎng)中查詢獲取漏洞CVE-2014-0315的相關CVSS指標，如圖1所示。

1) 攻擊成本：

AC=PAV+PAC+PAU

由圖1可知，AV為“本地”，AC為“中”，AU為“不需認證”，查詢表2，分別取值1，0.61，0.45。

AC=PAV+PAC+PAU=1+0.61+0.45=2.06

2) 攻擊收益(防御收益)：

主機資產(chǎn)重要度：PI=ST*OT

假設漏洞CVE-2014-0315所在主機為數(shù)據(jù)庫服務器，操作系統(tǒng)為 Windows server 2008，查詢表3可知，ST取值為1,OT取值為1。

PI=ST*OT=1×1=1

攻擊固有致命度：

IL=impact=λ*(1-(1-IC)(1-II)(1-IA))=10

impact值由圖1可直接獲取，為10。

則：

AD=DR=DL=PI·IL=1×10=10

3) 防御成本(漏洞修復代價)：

操作代價：op=ep+rp+ac

由于漏洞為2014年4月8日公布的，據(jù)現(xiàn)在時間較長，利用滲透代碼的修復評分指標為“完整實現(xiàn)”，漏洞報告可信度的修復評分指標為“官方確認”，ac(攻擊復雜度)由圖1可知為“medium(中)”，查詢表4可知，均取值為0.8。

op=ep+rp+ac=1+1+0.8=2.8

破壞修復代價：de=av+in+co

由圖1可知av、in、co均為“complete(完全)”，查詢表4可知，均取值為1。

de=av+in+co=1+1+1=3

由于漏洞CVE-2014-0315所在主機為數(shù)據(jù)庫服務器，對應的防御成本加權ε為100%，由于漏洞存在官方補丁，查詢表4，re取值為0.2。

DC=(1+ε)*re*(op+de)=

2×0.2×(2.8+3)=2.32

綜上，漏洞CVE-2014-0315所對應的攻擊成本為2.06，攻擊收益為10，防御成本為2.32，防御收益為10?？梢?，攻擊成本較防御成本低10%左右，攻“易”防“難”，同時攻防成本相差并不大，并沒有引發(fā)大規(guī)模攻擊，符合該漏洞的實際情況，可以作為一種攻防行為的量化基礎，支持網(wǎng)絡安全評估工作的進一步開展。

4 結(jié)論

本文將CVSS漏洞評分指標引入網(wǎng)絡安全評估中的量化過程，從攻擊與防御兩個維度剖析網(wǎng)絡對抗行為，并同時考慮網(wǎng)絡攻防行為的成本與收益。所提出的量化方法面向安全評估，各設定滿足安全評估需求，通過引入CVSS評分指標與相關分值，在一定程度上降低了量化的主觀性與隨意性，所做量化均為相對量化，采用標準均為CVSS評分指標，使量化指標具有科學的參考依據(jù)，具有較好的理論價值與實踐意義，為網(wǎng)絡攻防對抗，提供了一種可行的量化方法。

參考文獻：

[1] 中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告[R].北京：CNNIC，2013．

[2] 王元卓，林闖，程學旗，等．基于隨機博弈模型的網(wǎng)絡攻防量化分析方法[J]．計算機學報，2010，33(9)：1748-1762．

[3] 張煥國，王麗娜，杜瑞穎，等．信息安全學科體系結(jié)構(gòu)研究[J]．武漢大學學報(理學版)，2010，56(5)：614-620．

[4] 高翔，祝躍飛，劉勝利．應用三角模糊矩陣博弈的網(wǎng)絡安全評估研究[J]．西安交通大學學報，2013，47(8)：49-53．

[5] 朱建明，宋彪，黃啟發(fā)．基于系統(tǒng)動力學的網(wǎng)絡安全攻防演化博弈模型[J]．通信學報，2014，35(1)：54-61．

[6] 王如義．基于關聯(lián)分析的漏洞檢測與安全評估技術研究[D]．西安：西北大學，2012.

[7] 黎學斌．基于APH和CVSS的信息系統(tǒng)漏洞評估[J]．西安郵電大學學報，2016，49(18)： 75-82．

[8] 王強．一種融合CVSS的信息安全終端安全評估模型[J]．計算機與數(shù)字工程，2016，31(18)：39-42．

[9] 周詩洋．CVSS環(huán)境指標變量對系統(tǒng)安全的影響[J]．計算機工程與科學，2016(9)：4-6．