基于粗糙集的漏洞屬性約簡(jiǎn)及嚴(yán)重性評(píng)估

付志耀　高　嶺　孫　騫　李　洋　高　妮

(西北大學(xué)信息科學(xué)與技術(shù)學(xué)院　西安　710127)(fuzhiyao@stumail.nwu.edu.cn)

基于粗糙集的漏洞屬性約簡(jiǎn)及嚴(yán)重性評(píng)估

付志耀高嶺孫騫李洋高妮

(西北大學(xué)信息科學(xué)與技術(shù)學(xué)院西安710127)(fuzhiyao@stumail.nwu.edu.cn)

摘要計(jì)算機(jī)漏洞是危害網(wǎng)絡(luò)安全的重大隱患，可以利用系統(tǒng)配置不當(dāng)、系統(tǒng)設(shè)計(jì)缺陷或是軟件的bug等對(duì)系統(tǒng)攻擊.由于產(chǎn)生漏洞有多種因素，使得與漏洞相關(guān)的屬性有很多，難以客觀篩選強(qiáng)關(guān)聯(lián)屬性.而且在不依賴專家經(jīng)驗(yàn)或是先驗(yàn)知識(shí)的基礎(chǔ)上，確定屬性權(quán)重的客觀標(biāo)準(zhǔn)也是一個(gè)困難的問(wèn)題.提出一種新的漏洞評(píng)估方法RAR，首先采用粗糙集理論中改進(jìn)的可辨識(shí)矩陣算法，得到約簡(jiǎn)的漏洞強(qiáng)關(guān)聯(lián)屬性集；進(jìn)而利用屬性綜合評(píng)價(jià)系統(tǒng)理論評(píng)估漏洞的嚴(yán)重性；最終獲得二元組表示漏洞的定性評(píng)估值和定量評(píng)估值.實(shí)驗(yàn)結(jié)果體現(xiàn)該方法避免了主觀選擇漏洞強(qiáng)關(guān)聯(lián)屬性集和依賴專家先驗(yàn)知識(shí)，在漏洞屬性約簡(jiǎn)和屬性權(quán)重的計(jì)算上獲得了滿意的效果，對(duì)漏洞的定性分析和定量分析是準(zhǔn)確有效的.

關(guān)鍵詞漏洞；網(wǎng)絡(luò)安全；粗糙集；屬性約簡(jiǎn)；漏洞評(píng)估

中國(guó)互聯(lián)網(wǎng)發(fā)展速度日益迅猛，根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的《第34次中國(guó)互聯(lián)網(wǎng)發(fā)展?fàn)顩r報(bào)告》顯示，截至2014年6月，中國(guó)網(wǎng)民規(guī)模達(dá)到6.32億，互聯(lián)網(wǎng)普及率達(dá)到46.9%[1].隨之而來(lái)的安全問(wèn)題也層出不窮，其中漏洞的大量出現(xiàn)是危及網(wǎng)絡(luò)安全的重要原因之一[2].漏洞是指計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中有意或無(wú)意產(chǎn)生的缺陷，這些缺陷以不同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體利用，就會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全造成損害，影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行[3].漏洞的存在為信息系統(tǒng)的正常工作埋下了巨大的風(fēng)險(xiǎn)隱患，例如，2013年3月，韓國(guó)主流電視臺(tái)及部分金融公司的計(jì)算機(jī)網(wǎng)絡(luò)全面癱瘓，此次攻擊行為是使用的惡意軟件通過(guò)直接訪問(wèn)\.PhysicalDrive來(lái)破壞硬盤(pán)的引導(dǎo)記錄，并且可以直接刪除硬盤(pán)的文件；2013年7月，Struts2再曝高危漏洞，該漏洞可直接導(dǎo)致服務(wù)器被遠(yuǎn)程控制，引起數(shù)據(jù)泄漏，包括淘寶、京東、騰訊在內(nèi)的多家大型互聯(lián)網(wǎng)廠商及政府、金融機(jī)構(gòu)均受其影響；2013年10月，Adobe遭受攻擊，3 800萬(wàn)用戶及大量源代碼泄漏，這使黑客挖掘漏洞并主動(dòng)攻擊更加容易.

如圖1所示，2004年至2013年間CNNVD漏洞庫(kù)中收錄的漏洞超過(guò)了55 960個(gè)[4]，隨著漏洞數(shù)量的日益增加，如何進(jìn)行漏洞的評(píng)估并在此基礎(chǔ)上管理漏洞就顯得尤為重要.

Fig. 1　　The number of vulnerabilities by year (from 2004 to 2013).圖1　漏洞數(shù)量趨勢(shì)圖(2004年至2013年)

目前，對(duì)漏洞的嚴(yán)重性評(píng)估大都基于已知漏洞的相關(guān)屬性，利用定性或定量的評(píng)估方法對(duì)漏洞嚴(yán)重性進(jìn)行表征[5].定性評(píng)估方法主要是對(duì)漏洞進(jìn)行評(píng)級(jí)劃分，美國(guó)國(guó)家漏洞庫(kù)(NVD)對(duì)漏洞的評(píng)級(jí)與CVSS得分相映射，分為高、中和低3個(gè)定性評(píng)級(jí)[6]；微軟根據(jù)漏洞的危害和利用難度，將漏洞等級(jí)分為“嚴(yán)重”、“重要”、“中等”和“低”4個(gè)等級(jí)[7].定量評(píng)估方法是對(duì)漏洞進(jìn)行打分，CVSS將分值定義為0.0～10.0，分值越高，漏洞的危害性越大[8]，但并未解決對(duì)系統(tǒng)評(píng)估要素及其重要性的量化評(píng)分問(wèn)題，對(duì)權(quán)重的分配也沒(méi)有合理的處理方式.

當(dāng)前的一些方法對(duì)漏洞的嚴(yán)重性評(píng)估大都依賴專家評(píng)判的方法，或者是主觀賦予權(quán)值的方法，又或者是沒(méi)有具體的分析過(guò)程和方法.這些評(píng)估方法雖然一定程度上對(duì)漏洞的嚴(yán)重性進(jìn)行了評(píng)估，但其主觀性較強(qiáng)，可解釋性差.例如文獻(xiàn)[9]，其通過(guò)利用引入不確定及不可知的因素，提出一種基于不完整攻擊圖分析的風(fēng)險(xiǎn)評(píng)估模型，但沒(méi)有給出具體的定量風(fēng)險(xiǎn)評(píng)估方法；文獻(xiàn)[10] 提出的一種漏洞嚴(yán)重型的灰色層次分析評(píng)估模型，在漏洞影響因素的選取和影響因素的量化方法上多依賴于專家經(jīng)驗(yàn)等先驗(yàn)知識(shí)；文獻(xiàn)[11] 選取了訪問(wèn)途徑、利用復(fù)雜度和影響程度3組安全漏洞評(píng)估要素，采用層次分析法建立安全漏洞等級(jí)劃分模型，將安全漏洞等級(jí)評(píng)定為超危、高危、中危和低危4個(gè)級(jí)別，但其依賴了專家先驗(yàn)知識(shí)選取了評(píng)估要素；文獻(xiàn)[12]在CVSS系統(tǒng)的基礎(chǔ)上引入漏洞類(lèi)別因素，以此來(lái)增加漏洞定量評(píng)分結(jié)果的多樣性，但其不僅依賴了先驗(yàn)知識(shí)，而且還忽略了對(duì)漏洞影響因素的權(quán)重.

由于與漏洞相關(guān)的屬性很多，這些屬性對(duì)漏洞的影響程度各不相同，這是評(píng)估方法的難點(diǎn)所在.對(duì)于漏洞的多屬性問(wèn)題，粗糙集的數(shù)據(jù)約簡(jiǎn)方法很好地解決了這個(gè)問(wèn)題，在基于漏洞數(shù)據(jù)信息基礎(chǔ)上，刪除冗余屬性，尋求出最小約簡(jiǎn)集合，這樣就克服了通過(guò)專家知識(shí)去挑選與漏洞關(guān)聯(lián)性較強(qiáng)的屬性問(wèn)題；對(duì)于漏洞屬性權(quán)重分配的問(wèn)題，通過(guò)屬性綜合評(píng)價(jià)系統(tǒng)這種定性和定量的評(píng)估方法，從數(shù)據(jù)自身出發(fā)，建立漏洞量化體系，構(gòu)造分類(lèi)標(biāo)準(zhǔn)矩陣，計(jì)算屬性指標(biāo)權(quán)重，最終給出漏洞評(píng)估結(jié)果.

1漏洞屬性的約簡(jiǎn)

漏洞涉及的屬性有很多，而目前大多數(shù)評(píng)估算法都是以漏洞關(guān)聯(lián)屬性作為基礎(chǔ)，如果將漏洞所有相關(guān)屬性都考慮則工作量巨大，并且沒(méi)有必要.但如果依靠先驗(yàn)知識(shí)或是主觀挑選則評(píng)估結(jié)果無(wú)法令人信服，而粗糙集的核心技術(shù)之一的數(shù)據(jù)約簡(jiǎn)可以解決這個(gè)難題，使結(jié)果更加客觀和具有說(shuō)服力.粗糙集是在最近幾年發(fā)展較快的一門(mén)理論，是由波蘭數(shù)學(xué)家Pawlak[13]在1982年提出，它是一種用于分析和處理不確定、不精確問(wèn)題的數(shù)學(xué)理論.基本思想是通過(guò)論域上的等價(jià)關(guān)系將論域劃分成若干個(gè)等價(jià)類(lèi)，然后利用這些知識(shí)對(duì)所需處理的不精確或不確定的事物進(jìn)行一個(gè)近似的刻畫(huà).

粗糙集理論最大的特點(diǎn)是對(duì)論域的劃分只依賴于所需處理的數(shù)據(jù)集合本身，不需要任何先驗(yàn)信息，所以對(duì)問(wèn)題不確定性的描述或處理是比較客觀的[14].這一點(diǎn)也是它與其他計(jì)算理論之間的顯著區(qū)別，尤其在多屬性決策問(wèn)題，粗糙集被廣泛應(yīng)用[15].

數(shù)據(jù)約簡(jiǎn)是粗糙集理論的核心技術(shù)之一,也可理解為一種特征選擇方法，其就是在保持?jǐn)?shù)據(jù)分類(lèi)能力不變的條件下，刪除冗余的、不相關(guān)的或不重要的數(shù)據(jù)，以使數(shù)據(jù)分類(lèi)變得簡(jiǎn)單和明了[16].RAR方法利用數(shù)據(jù)約簡(jiǎn)處理決策表的屬性約簡(jiǎn)，使經(jīng)過(guò)約簡(jiǎn)處理的決策表針對(duì)漏洞屬性約簡(jiǎn)普遍適用，令決策規(guī)則有較高的適應(yīng)性.粗糙集理論的屬性約簡(jiǎn)是以最小概念描述為標(biāo)準(zhǔn)去選擇特征[17].具體是利用一種基于改進(jìn)可辨識(shí)矩陣和邏輯運(yùn)算的屬性約簡(jiǎn)算法，實(shí)現(xiàn)漏洞屬性約簡(jiǎn).本文中涉及的一些關(guān)于粗糙集的定義如下：

定義1. 令P為一族等價(jià)關(guān)系，且R∈P，如果

(1)

則稱R為P中不必要的；否則稱R為P中必要的.如果P中每個(gè)R都是必要的，則稱P為獨(dú)立的；否則稱P為依賴的.若對(duì)2個(gè)對(duì)象具有相同的信息，即它們是不可區(qū)分的，則認(rèn)為它們是一種等價(jià)關(guān)系.ind(P)稱為P的所有等價(jià)關(guān)系的交.

定義2.U為一個(gè)論域，P為定義在U上的一個(gè)等價(jià)關(guān)系族，P中所有絕對(duì)必要關(guān)系組成的集合稱為關(guān)系P的絕對(duì)核，記作Core(P).

定義3. 如果ind(Q)=ind(P)且Q是獨(dú)立的，稱Q是P的一個(gè)絕對(duì)約簡(jiǎn).絕對(duì)核不等于約簡(jiǎn)，它隸屬于約簡(jiǎn)，核等于所有約簡(jiǎn)的交.

定義4. 設(shè)S為一個(gè)決策系統(tǒng)，它對(duì)應(yīng)漏洞評(píng)估決策系統(tǒng)；設(shè)A為屬性集合且A=P∪D，子集P={Mi|i=1，2，…，k}和D=j5i0abt0b分別稱為條件屬性集和決策屬性集，在漏洞評(píng)估中分別對(duì)應(yīng)漏洞信息屬性集和漏洞級(jí)別屬性集；U={x1，x2，…，xn}是論域，對(duì)應(yīng)漏洞評(píng)估中的被評(píng)估漏洞的對(duì)象集；因而可設(shè)決策系統(tǒng)為S=U，A.

定義5. 設(shè)Mi(xj)是被評(píng)估漏洞xj在漏洞信息屬性Mi上的取值.CD(i,j)表示可辨識(shí)矩陣中行i與列j交點(diǎn)處的元素，則可辨識(shí)矩陣定義為

(2)

其中，{Mk|Mk∈P∧Mk(xi)≠M(fèi)k(xj)}可辨識(shí)矩陣是一個(gè)對(duì)稱矩陣，在考慮可辨識(shí)矩陣時(shí)僅需要考慮上三角或下三角部分即可.從可辨識(shí)矩陣的定義可知CD(i,j)是對(duì)象xi與xj有區(qū)別的所有屬性的集合，利用可辨識(shí)矩陣可以便捷地求解漏洞信息屬性集合P的核與約簡(jiǎn).這里，核可以定義為可辨識(shí)矩陣中所有只有一個(gè)元素的矩陣項(xiàng)的集合，即：

(3)

對(duì)于集合包含關(guān)系運(yùn)算而言，若屬性集合B?P滿足：

(4)

的一個(gè)最小屬性子集，則稱屬性集合B?P是P的一個(gè)約簡(jiǎn).可以理解為約簡(jiǎn)是能區(qū)分用整個(gè)屬性集合P可區(qū)分的所有對(duì)象的最小屬性子集.尋找滿足條件的屬性集合B?P的算法具體步驟如算法1所示.

算法1. 尋求最小屬性集合算法.

① 計(jì)算可辨識(shí)矩陣CD;

② 化簡(jiǎn)可辨識(shí)矩陣CD，找到CD中包含單個(gè)屬性的元素，并將這些元素的值修改為0,而這些單個(gè)屬性稱為核屬性;

③ 如果當(dāng)前的CD(i,j)≠0且CD(i，j)≠?，則CD(i,j)表示為析取邏輯表達(dá)式Ti j，即:

(5)

④ 將所有析取邏輯表達(dá)式Ti j進(jìn)行合取運(yùn)算，得到一個(gè)合取范式為

(6)

⑤ 對(duì)T進(jìn)行轉(zhuǎn)換，最終得到析取范式T′為

(7)

⑥ 在步驟②中找到的所有核屬性，將所有的核屬性加到步驟⑤中轉(zhuǎn)換得到的析取范式的合取項(xiàng)中，則步驟⑤中析取范式中的每個(gè)合取項(xiàng)就對(duì)應(yīng)一個(gè)屬性約簡(jiǎn)的結(jié)果.

2屬性綜合評(píng)價(jià)系統(tǒng)

2.1屬性集和屬性測(cè)度的基本概念

定義6. 屬性集[18].設(shè)U為一個(gè)研究對(duì)象的全體，稱為對(duì)象空間.P為U中所有元素的某種屬性，稱為屬性空間或最大屬性集.例如，U={所有的水樣本}，U中的元素x表示某地區(qū)某個(gè)時(shí)間點(diǎn)的水樣本.可令P={水的污染程度}，屬性空間P中的任何一種情況都稱為一個(gè)屬性集，例如，A={清潔}，B={重污染}.A，B都是P中的一種情況，即一個(gè)屬性集.

定義7. 屬性測(cè)度.x是U中的一個(gè)元素，A為一個(gè)屬性集，用“x∈A”表示“x具有屬性A”.但是這是一種定性表示，還需要一種定量的表示定義“x具有屬性A”的程度”，記作Mea(x∈A)或Meax(A)，稱它為x∈A的屬性測(cè)度.為方便起見(jiàn)，要求屬性測(cè)度在[0，1]之內(nèi)取值.

定義8. 屬性空間的分割.P為U上的一個(gè)最大屬性集，C1，C2，…，CK為屬性空間P中的K個(gè)屬性集.如果 (C1，C2，…，CK)滿足:

(8)

則稱(C1，C2，…，CK)為屬性空間P的分割.例如，P為水污染程度，把P分為5個(gè)類(lèi)別C1，C2，C3，C4，C5.

2.2量化模型的構(gòu)造

設(shè)U為研究對(duì)象空間，x1，x2，…，xn為U中n個(gè)樣品.對(duì)每個(gè)樣品xi定量描述需要測(cè)量t個(gè)指標(biāo)M1，M2，…，Mt，則M可表示為M={M1，M2，…，Mt}.設(shè)xi j表示第i個(gè)評(píng)價(jià)對(duì)象xi關(guān)于第j個(gè)項(xiàng)指標(biāo)Mj的測(cè)量值，則xi可表示為一個(gè)t維向量.

(9)

對(duì)xi中的每一個(gè)元素有K個(gè)評(píng)價(jià)類(lèi)C1，C2，…，CK，或有K個(gè)決策C1，C2，…，CK，用C表示評(píng)價(jià)類(lèi)空間，則C={C1，C2，…，CK}.

每個(gè)指標(biāo)的分類(lèi)標(biāo)準(zhǔn)已知，構(gòu)成的分類(lèi)標(biāo)準(zhǔn)矩陣為

(10)

ajK滿足 aj1≤aj2≤…≤ ajK或者aj1≥aj2≥…≥ajK.

這時(shí)要判斷xi屬于哪一類(lèi)或?qū)i選擇哪一個(gè)決策，這個(gè)問(wèn)題可以看成是一個(gè)綜合評(píng)價(jià)系統(tǒng)問(wèn)題或綜合決策系統(tǒng)問(wèn)題.整個(gè)系統(tǒng)又可分為3個(gè)子系統(tǒng):單指標(biāo)性能函數(shù)分析子系統(tǒng)、多指標(biāo)綜合性能函數(shù)分析系統(tǒng)、識(shí)別子系統(tǒng).

2.3單指標(biāo)屬性測(cè)度分析子系統(tǒng)

令uijk=u(xi j∈Ck)表示xi j屬于第k個(gè)評(píng)價(jià)類(lèi)Ck的程度，要求u滿足：

(11)

現(xiàn)在考慮單個(gè)指標(biāo)Mj.樣品xi的第j個(gè)指標(biāo)Mj的測(cè)量值為xi j，“xi j∈Ck”表示“xi j屬于第k類(lèi)Ck”，它的屬性測(cè)度為Meaijk=Mea(xi j∈Ck).按照屬性測(cè)度的性質(zhì)，Meaijk要滿足:

(12)

假設(shè)有關(guān)系：aj1≤aj2≤…≤ajK，樣本的屬性測(cè)度可計(jì)算為

當(dāng)xi j≤aj1時(shí)，Meai j1=1，Meai j2=Meai j3=…=Meai jK=0,

當(dāng)xi j≥ajK時(shí),Meai jK=1,Meai j1=Meai j2=…=Meai jK-1=0,

由屬性測(cè)度函數(shù)和分類(lèi)標(biāo)準(zhǔn)矩陣可得樣本xi的屬性測(cè)度分布矩陣Si:

(13)

2.4多指標(biāo)綜合屬性測(cè)度分析子系統(tǒng)

對(duì)樣品xi，已知它對(duì)各個(gè)單指標(biāo)Mj，1≤j≤t，的屬性測(cè)度Meaijk=Mea(xi j∈Ck)，由Meaijk綜合成xi的屬性測(cè)度Meai k=Mea(xi∈Ck)，采取加權(quán)和的方法，即由單指標(biāo)屬性測(cè)度經(jīng)加權(quán)求和得到綜合屬性測(cè)度

(14)

當(dāng)不能判斷哪一個(gè)指標(biāo)更重要時(shí)，可以采取平均權(quán)，即取Wi=1t，綜合屬性測(cè)度為平均屬性測(cè)度:

(15)

當(dāng)已經(jīng)計(jì)算出樣品xi的單指標(biāo)屬性測(cè)度Meaijk和綜合屬性測(cè)度Meai k時(shí)，指標(biāo)Mj的重要性體現(xiàn)在K維向量 (Meaij1，Meaij2，…，MeaijK)和(Meai1，Meai2，…，Meai K)的近似程度，越近似表明指標(biāo)Mj越能反映總體情況，權(quán)應(yīng)越大.可以算出指標(biāo)Mj的權(quán)值：

(Meai1，Meai2，…，Meai K)T=

(16)

(17)

根據(jù)式(11)算出權(quán)值更具客觀性，然后再利用式(16)計(jì)算xi的綜合屬性測(cè)度.

2.5決策子系統(tǒng)

識(shí)別子系統(tǒng)采用最小代價(jià)準(zhǔn)則作為識(shí)別準(zhǔn)則.設(shè)U中元素屬于Ci而被判別為Ck的代價(jià)為bi k，則樣本xi判別為k的全部代價(jià)bi k可表示為

(18)

(19)

如果式(19)成立，則認(rèn)為xi屬于Ck0類(lèi).

Si=k0(bik0+ε).

(20)

根據(jù)式(20)可以算出樣本xi的定量值，其中ε為一個(gè)很小的正數(shù)，以避免分母為0的情況.

3仿真實(shí)驗(yàn)和結(jié)果分析

3.1漏洞屬性的約簡(jiǎn)

為了快捷地進(jìn)行漏洞屬性的約簡(jiǎn)，分別建立漏洞屬性類(lèi)型及其對(duì)應(yīng)值(如表1所示)和漏洞級(jí)別及對(duì)應(yīng)的CVSS評(píng)分(如表2所示).

Table 1　Type of Vulnerability and Corresponding Values

Table 2　Level of Vulnerability and CVSS Score

利用表1和表2，以漏洞CVE-2011-0707，CVE-2011-0563，CVE-2013-0914，CVE-2010-0819，CVE-2011-0823，CVE-2011-0817，CVE-2013-5592，CVE-2012-3450為例，即U中有8個(gè)樣本元素編號(hào)從x1～x8，不同的漏洞在相同特征屬性上的取值可能不同，因而可以建立一個(gè)漏洞樣本決策表,如表3所示:

Table 3　Decision Table for Vulnerability Sample

根據(jù)表3和可辨識(shí)矩陣的定義可以建立相應(yīng)的可辨識(shí)矩陣CD為

其中：

CD(1,2)={M1,M2,M3};

CD(1,3)={M1,M4,M5};

CD(1,4)={M1,M2,M3,M4,M5};

CD(1,6)={M1,M2,M3,M4};

CD(1,7)={M1,M2,M3,M4};

CD(1,8)={M2,M3,M4};

CD(2,3)={M1,M2,M3,M4,M5};

CD(2,5)={M1,M2,M3,M4};

CD(2,8)={M1,M2,M3,M4};

CD(3,4)={M1,M2,M3};

CD(3,5)={M1,M5};

CD(3,6)={M1,M2,M3,M5};

CD(3,7)={M1,M2,M3,M5};

CD(4,5)={M1,M2,M3,M5};

CD(4,8)={M1,M2,M3,M4,M5};

CD(5,6)={M1,M2,M3};

CD(5,7)={M1,M2,M3};

CD(5,8)={M2,M3,M4};

CD(6,8)={M1,M2,M3,M4};

CD(7,8)={M1,M2,M3,M4}.

仿真建立的可辨識(shí)矩陣在算法1的步驟②之后，形成新的矩陣如下：

經(jīng)過(guò)數(shù)據(jù)約簡(jiǎn)算法可以得到特征核屬性和一個(gè)析取項(xiàng):

特征核屬性為M4和M5;

析取項(xiàng)為T(mén)′=M1∨M2∨M3.

加入核屬性，得到約簡(jiǎn)結(jié)果：

M1∧M4∧M5;

M2∧M4∧M5;

M3∧M4∧M5.

選取約簡(jiǎn)M1∧M4∧M5作為評(píng)估決策表，這樣表3可簡(jiǎn)化為表4:

Table 4　Reduction Decision Table for Vulnerability Sample

3.2建立屬性綜合評(píng)價(jià)系統(tǒng)

取10個(gè)樣本CVE-2011-0707，CVE-2011-0563，CVE-2013-0914，CVE-2012-2313，CVE-2015-0417，CVE-2015-0239，CVE-2015-0424，CVE-2012-1174， CVE-2015-0884，CVE-2010-2793分別表示為x1，x2，x3，x11，x12，x13，x14，x15，x16，x17即樣本個(gè)數(shù)n=10，選取的第1個(gè)約簡(jiǎn)有3個(gè)屬性，如表4所示，所以指標(biāo)個(gè)數(shù)t=3，取評(píng)價(jià)類(lèi)K=3，以下將使用x1，x2，x3這3個(gè)樣本主要來(lái)闡述計(jì)算過(guò)程，其后的7個(gè)樣本同理可以獲得相應(yīng)的計(jì)算結(jié)果，獲得的定性和定量評(píng)估結(jié)果顯示在3.3節(jié)的結(jié)果分析當(dāng)中.

步驟1. 建立分類(lèi)標(biāo)準(zhǔn)矩陣:

(21)

根據(jù)式(21)可以建立式(22):

(22)

步驟2. 待評(píng)價(jià)樣本數(shù)據(jù)矩陣為

(23)

步驟3. 計(jì)算單指標(biāo)屬性測(cè)度.

對(duì)于樣本x1=(0,0.60,1.00)，它的屬性測(cè)度分布矩陣S1為

同理可以計(jì)算其他樣本的屬性測(cè)度分布矩陣為

步驟4. 計(jì)算屬性權(quán)系數(shù).

以表3中提及的8個(gè)樣本，可以算出每個(gè)屬性的相關(guān)性系數(shù)：

r1=0.333 3;

r2=0.375 0;

r3=0.416 7;

根據(jù)相關(guān)性系數(shù)可以算出每個(gè)屬性權(quán)系數(shù)：

w1=0.296 3;

w2=0.333 3;

w3=0.370 4.

步驟5. 計(jì)算多指標(biāo)綜合屬性測(cè)度.

這里權(quán)向量由步驟4算出W=(w1,w2,w3)，即W=(0.296 3，0.333 3，0.370 4)，根據(jù)式(15)可以算出x1的綜合屬性測(cè)度為

(Mea11，Mea12，Mea13)=(13，13，13),

3個(gè)樣本的綜合屬性測(cè)度矩陣為

步驟6. 計(jì)算最小代價(jià)，給出定性和定量評(píng)價(jià)結(jié)果.

因?yàn)榘岩粋€(gè)漏洞從嚴(yán)重級(jí)別高的錯(cuò)誤地判斷為嚴(yán)重級(jí)別低要比相反地錯(cuò)誤評(píng)判的代價(jià)高，所以定義了誤判別代價(jià)矩陣：

各個(gè)樣本的全部代價(jià)矩陣為

所以對(duì)于樣本x1,x2,x3的嚴(yán)重性評(píng)估的結(jié)果分別為(C2,1.928 3),(C3,8.998 2),(C1,1.687 2),將嚴(yán)重級(jí)別C1定義為低級(jí)，C2定義為中級(jí)，C3定義為高級(jí)，其中的數(shù)值為定量分析的結(jié)果.

3.3結(jié)果分析

對(duì)于10個(gè)樣本將RAR方法評(píng)估的結(jié)果和CNNVD(中國(guó)國(guó)家信息安全漏洞庫(kù))及CVSS評(píng)估結(jié)果做比較如表5和表6所示:

Table 5　Comparison of Vulnerability Severity Level on RAR with CNNVD and CVSS

Table 6Comparison of Vulnerability Severity Score on RAR

with CVSS

表6　RAR和CVSS的漏洞嚴(yán)重性評(píng)分比較

以編號(hào)為CVE-2011-0707的GNU Mailman Cgiconfirm.py多個(gè)跨站腳本攻擊漏洞為例.遠(yuǎn)程攻擊者可以借助該漏洞，獲得確認(rèn)消息中的2類(lèi)信息——full name或者username字段，注入任意web腳本或者HTML.CVSS對(duì)其評(píng)級(jí)為Medium，CNNVD對(duì)其評(píng)級(jí)為中危，并且CVSS對(duì)其的評(píng)分為4.3.應(yīng)用RAR方法對(duì)該漏洞的評(píng)級(jí)為中，評(píng)分為1.9283，評(píng)估的結(jié)果與實(shí)際情況基本相符.同時(shí)，利用RAR方法還評(píng)估了其他多個(gè)漏洞，如表6所示.其中可以清晰地看出，在定性分析方面，樣本漏洞的評(píng)估等級(jí)和CVSS及CNNVD的評(píng)估結(jié)果基本吻合，在定量分析方面，為了方便比較，用Scorexi來(lái)表示以RAR方法獲得的xi嚴(yán)重性評(píng)分，從而有Scorex2>Scorex14=Scorex17>Scorex16>Scorex13>Scorex1>Scorex12>Scorex3>Scorex15>Scorex11，這與CVSS評(píng)分趨勢(shì)基本一致.

由表5和表6結(jié)果可知，通過(guò)與當(dāng)前較為權(quán)威的漏洞評(píng)估方法進(jìn)行對(duì)比，利用RAR方法能夠在定量分析和定性分析方面對(duì)漏洞進(jìn)行較為有效地評(píng)估，可以得到準(zhǔn)確的量化評(píng)級(jí).

參考文獻(xiàn)

[1]CNNIC. The 34th China Internet network development statistic survey report[EBOL]. [2014-11-05].http:www.cnnic.net.cnhlwfzyjhlwxzbghlwtjbg201407t20140721_47437.htm (in Chinese)(中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心. 第34次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EBOL].[2014-11-05].http:www.cnnic.net.cnhlwfzyjhlwxzbghlwtjbg201407t20140721_47437.htm)

[2]Chen Feng, Liu Dehui, Zhang Yi, et al. A hierarchical evaluation approach for network security based on threat spread model[J]. Journal of Computer Research and Development, 2011, 48(6): 945-954 (in Chinese)(陳峰, 劉德輝, 張怡, 等. 基于威脅傳播模型的層次化網(wǎng)絡(luò)安全評(píng)估方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(6): 945-954)

[3] Zheng C, Zhang Y, Sun Y, et al. IVDA: International vulnerability databas alliance[C]Proc of the 2nd World Cybersecurity Summit. Piscataway, NJ: IEEE, 2011: 1-6

[4]CNNVD. Query and statistic[EBOL]. [2014-11-05]. http:www.cnnvd.org.cnvulnerabilitystatistics (in Chinese)(中國(guó)國(guó)家信息安全漏洞庫(kù). 查詢統(tǒng)計(jì)[EBOL]. [2014-11-05]. http:www.cnnvd.org.cnvulnerabilitystatistics)

[5] Liu Q, Zhang Y, Kong Y, et al. Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J]. Journal of Systems and Software, 2012, 85(8): 1699-1708

[6]NIST Computer Security Division. NVD common vulnerability scoring system support v2[EBOL]. [2014-11-05]. http:nvd.nist.govcvss.cfm

[7]Microsoft Security TechCenter. Using the MSRC exploitability index [EBOL]. [2014-11-05]. https:technet.microsoft.comen-ussecurityff943560

[8]Forum of Incident Response and Security Teams. A complete guide to the common vulnerability scoring system version 2.0[EBOL]. [2014-11-05]. http:www.first.orgcvsscvss-guide.html

[9]Wu Huan, Pan Lin, Wang Xiaozhen, et al. A risk assessment model using incomplete attack graphs analysis[J]. Journal of Beijing University of Posts and Telecommunications, 2010, 33(3): 57-61 (in Chinese)(吳煥, 潘林, 王曉箴, 等. 應(yīng)用不完整攻擊圖分析的風(fēng)險(xiǎn)評(píng)估模[J]. 北京郵電大學(xué)學(xué)報(bào), 2010, 33(3): 57-61)

[10] Yang Hongyu, Xie Lixia, Zhu Dan. A vulnerability severity grey hierarchy analytic evaluation model[J]. Journal of University of Electronic Science and Technology of China, 2010, 39(5): 778-799 (in Chinese)(楊宏宇, 謝麗霞, 朱丹. 漏洞嚴(yán)重性的灰色層次分析評(píng)估模[J]. 電子科技大學(xué)學(xué)報(bào), 2010, 39(5): 778-799)

[11]Liu Qixu, Zhang Chongbin, Zhang Yuqing, et al. Research on key technology of vulnerability threat classification[J]. Journal on Communications, 2012, 33(Z1): 79-87 (in Chinese)(劉奇旭, 張翀斌, 張玉清, 等. 安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J]. 通信學(xué)報(bào), 2012, 33(Z1): 79-87)

[12] Liu Q, Zhang Y. VRSS: A new system for rating and scoring vulnerabilities[J]. Computer Communications, 2011, 34(3): 264-273

[13]Zdzislaw P. Rough sets[J]. International Journal of Computer & Information Sciences, 1982, 11(5): 341-356

[14]Greco S, Matarazzo B, Slowinski R. Rough sets theory for multicriteria decision analysis[J]. European Journal of Operational Research, 2001, 129(1): 1-47

[15]Liang D, Liu D, Pedrycz W, et al. Triangular fuzzy decision-theoretic rough sets[J]. International Journal of Approximate Reasoning, 2013, 54(8): 1087-1106

[16]Qian Y, Liang J, Pedrycz W, et al. Positive approximation: An accelerator for attribute reduction in rough set theory[J]. Artificial Intelligence, 2010, 174(9): 597-618

[17]Liang J, Wang F, Dang C, et al. An efficient rough feature selection algorithm with a multi-granulation view[J]. International Journal of Approximate Reasoning, 2012, 53(6): 912-926

[18]Cheng Qiansheng. Attribute recognition theoretical model with application[J]. Acta Scientiarum Naturalium Universitatis Pekinensis, 1997, 33(1): 12-20 (in Chinese)(程乾生. 屬性識(shí)別理論模型及其應(yīng)用[J]. 北京大學(xué)學(xué)報(bào): 自然科學(xué)版, 1997, 33(1): 12-20)

Fu Zhiyao, born in 1990. Master candidate. His main research interests include on network security.

Gao Ling, born in 1964. Professor and PhD supervisor. Senior member of China Computer Federation. His main research include computer network and network security.

Sun Qian, born in 1980. PhD candidate. His main research interests include network security and management (570232571@qq.com).

Li Yang, born in 1990. Master candidate.His main research interests include network security (498292045@qq.com).

Gao Ni, born in 1982. PhD candidate. Her main research interests include network security and machine learning (271322942@qq.com).

Evaluation of Vulnerability Severity Based on Rough Sets and Attributes Reduction

Fu Zhiyao, Gao Ling, Sun Qian, Li Yang, and Gao Ni

(SchoolofInformationScienceandTechnology,NorthwestUniversity,Xi’an710127)

AbstractComputer vulnerability is a major hidden danger which endangers the safety of the network, and will attack the system by system configuration mistakes, system design flaws or software bugs. Due to a variety of factors which can produce vulnerability, there are many attributes associated with vulnerability, and it is difficult to shift attributes which are more relevant. It is also a hard problem to calculate attribute weights objectively which doesn’t depend on expert experience or prior knowledge. A new method named RAR of vulnerability assessment is proposed to shift vulnerability attributes and evaluate severity objectively. The attributes reduction for decision-making of vulnerability assessment is found depended on the discriminate matrix in rough sets theory. Then evaluate the vulnerability severity based on attributes comprehensive evaluation system theory. Finally we can get a binary group to represent qualitative evaluation and quantitative evaluation value of vulnerability. The result shows this method avoids the subjective choice for vulnerability attributes and the dependence of experts prior knowledge, and it satisfies for attributes reduction and attribute weights. And it is also accurate and effective for qualitative analysis and quantitative analysis of the vulnerability.

Key wordsvulnerability; network security; rough sets; attributes reduction; assessment of vulnerability

收稿日期：2015-01-22；修回日期：2015-04-08

基金項(xiàng)目：國(guó)家自然科學(xué)基金項(xiàng)目(61373176);國(guó)家科技支撐計(jì)劃基金項(xiàng)目(2013BAK01B02);陜西省重大科技創(chuàng)新項(xiàng)目(2012ZKC05-2);西安市技術(shù)轉(zhuǎn)移促進(jìn)工程(高校類(lèi))基金項(xiàng)目(CXY1440-8);西北大學(xué)科學(xué)研究基金項(xiàng)目(12NW07)

通信作者：高嶺(gl@nwu.edu.cn)

中圖法分類(lèi)號(hào)TP393

This work was supported by the National Natural Science Foundation of China (61373176), the National Key Technology Research and Development Program of China (2013BAK01B02), the Major Science and Technology Innovation Program of Shanxi (2012ZKC05-2), the Technology Transfer Promotion Project (University Class) Foundation of Xi’an (CXY1440-8), and the Science Research Foundation of Northwest University (12NW07).