本發(fā)明屬于信息安全技術(shù)領(lǐng)域，具體涉及一種基于多維統(tǒng)計的漏洞危害等級快速評估方法和裝置。

背景技術(shù)：

計算機系統(tǒng)是當(dāng)前信息時代、信息化產(chǎn)品中最為重要的組成部分，而計算機系統(tǒng)中的安全漏洞也就成了直接影響信息系統(tǒng)安全性的決定性因素。實踐證明，絕大多數(shù)的信息安全事件都是攻擊者借助信息系統(tǒng)安全漏洞發(fā)起的，并且近些年此類事件有愈演愈烈的態(tài)勢，產(chǎn)生的影響也越來越大。因此，通過深入研究安全漏洞的內(nèi)涵與外延、特點與性質(zhì)、種類與影響，以及多維度針對其危害等級實施快速分析與評估，對有效定位和控制信息化系統(tǒng)所面臨的安全威脅至關(guān)重要。

對安全漏洞進行分級有助于人們對數(shù)目眾多的安全漏洞給予不同程度的關(guān)注并采取不同級別的措施。而各漏洞發(fā)布組織和技術(shù)公司都有自己的評級標(biāo)準(zhǔn)。即使同一條漏洞，不同的安全組織或技術(shù)公司對其級別評價也有區(qū)別。其中流行的通用漏洞評分系統(tǒng)(CVSS，Common Vulnerability Scoring System)目前普及度最高。

CVSS主要由基本度量、時間度量、環(huán)境度量三個部分組成，其評估過程就是將基本度量、時間度量、環(huán)境度量所得到的結(jié)果綜合起來，得到一個綜合的分?jǐn)?shù)。根據(jù)CVSS的數(shù)學(xué)公式，首先對基本度量進行計算，得到一個基本分?jǐn)?shù)；然后，在此基礎(chǔ)上對時間度量進行計算，得到一個暫時分?jǐn)?shù)；最后，在此基礎(chǔ)上對環(huán)境度量進行計算，得到最終的分?jǐn)?shù)。每個度量都有各自的計算公式。最終分?jǐn)?shù)越高，漏洞的威脅性越大。

CVSS作為國際標(biāo)準(zhǔn)，提供了一個開放的框架，它使得通用漏洞等級定義在信息產(chǎn)業(yè)得到廣泛使用，但是其自身也存在一些明顯不足。其自身度量標(biāo)準(zhǔn)具有很大的主觀性，對于同一個安全漏洞，不同的人可能會得出不同的分值，即可重復(fù)性較差；并且，攻擊技術(shù)的發(fā)展以及惡意攻擊者對于不同安全漏洞關(guān)注度的影響也沒有考慮進去；還有，同一系統(tǒng)可能存在多個不同的安全漏洞，攻擊者同時利用多個漏洞進行深入攻擊所達到的危害程度會遠(yuǎn)遠(yuǎn)高于單個漏洞。這些情況如何在評分中表現(xiàn)出來，都是CVSS所欠缺的。

此外CVSS的最終評級結(jié)論更多發(fā)生于“事后”階段，針對1Day性質(zhì)的安全漏洞在第一時間決策處置時機，CVSS的評級滯后、評級再修正問題，使得其結(jié)論對信息安全管理者缺乏了支撐價值。

技術(shù)實現(xiàn)要素：

本發(fā)明針對上述問題，提供一種基于多維統(tǒng)計的漏洞危害等級快速評估方法和裝置，是一種結(jié)合網(wǎng)際空間維度、歷史統(tǒng)計維度、實時熱點維度的多維統(tǒng)計技術(shù)，旨在協(xié)助信息安全技術(shù)管理者以便捷的方式認(rèn)知漏洞及其危害程度，更加快速、有效地評判一個漏洞的危害等級。

本發(fā)明采用的技術(shù)方案如下：

一種基于多維統(tǒng)計的漏洞危害等級快速評估方法，包括以下步驟：

1)輸入漏洞關(guān)鍵詞；

2)將輸入的漏洞關(guān)鍵詞作為檢索條件提交給網(wǎng)際空間搜索引擎，并獲得對應(yīng)的收錄數(shù)量結(jié)果；

3)根據(jù)輸入的漏洞關(guān)鍵詞，調(diào)度存儲有漏洞歷史信息的數(shù)據(jù)庫，在其中輸入檢索條件并獲得返回結(jié)果列表；

4)將輸入的漏洞關(guān)鍵詞作為檢索條件提交給社交網(wǎng)絡(luò)，通過社交網(wǎng)絡(luò)獲得對應(yīng)的漏洞相關(guān)統(tǒng)計趨勢；

5)對步驟2)至4)獲得的結(jié)果進行處理，形成漏洞危害等級的多維統(tǒng)計報告。

進一步地，步驟1)所述漏洞關(guān)鍵詞包括：CVE-ID、組件名稱、設(shè)備名稱、廠商名稱、漏洞別名等。

進一步地，步驟2)所述網(wǎng)際空間搜索引擎包括：Shodan網(wǎng)際空間搜索引擎、ZoomEye網(wǎng)際空間搜索引擎等。

進一步地，步驟3)所述存儲有漏洞歷史信息的數(shù)據(jù)庫包括：EDB數(shù)據(jù)庫、MSF數(shù)據(jù)庫等。

進一步地，步驟4)所述社交網(wǎng)絡(luò)包括Twitter網(wǎng)站、Google搜索引擎、VulDB(VulnerabilityDatabae)搜索引擎等。

進一步地，步驟5)所述多維統(tǒng)計報告包含多維雷達圖，多維雷達圖的覆蓋面積越大的漏洞其威脅等級越高。

進一步地，步驟5)采用多維雷達圖進行多次分時段的數(shù)據(jù)統(tǒng)計，多維雷達圖的覆蓋面積呈現(xiàn)擴張態(tài)的說明威脅性在提高(越值得關(guān)注)，覆蓋面積呈現(xiàn)收縮態(tài)的說明威脅性在下降。

一種基于多維統(tǒng)計的漏洞危害等級快速評估裝置，其包括：

漏洞信息輸入提交模塊，用于輸入和提交漏洞關(guān)鍵詞；

統(tǒng)一檢索模塊，用于對用戶輸入的漏洞關(guān)鍵詞進行解析，將其處理為各子模塊需要的輸入條件格式，同時并發(fā)調(diào)用各子模塊；

網(wǎng)際空間子模塊，用于將檢索條件提交給網(wǎng)際空間搜索引擎，并獲得對應(yīng)的收錄數(shù)量結(jié)果；

歷史信息子模塊，用于調(diào)度存儲有漏洞歷史信息的數(shù)據(jù)庫，在其中輸入檢索條件并獲得返回結(jié)果列表；

實時熱點子模塊，用于將檢索條件提交給社交網(wǎng)絡(luò)，通過社交網(wǎng)絡(luò)獲得對應(yīng)的漏洞相關(guān)統(tǒng)計趨勢；

多維統(tǒng)計報告模塊，用于對各子模塊的返回結(jié)果進行統(tǒng)一處理，形成多維統(tǒng)計報告。

本發(fā)明的有益效果如下：

(1)本發(fā)明通過多個維度的數(shù)據(jù)關(guān)聯(lián)，使信息安全管理者可以更加充分、全面地了解漏洞及其組件的詳細(xì)信息；

(2)在單一評分基礎(chǔ)上，增加了多次分時段評估的數(shù)據(jù)統(tǒng)計，將漏洞在爆發(fā)或披露初期的變化情況，以動態(tài)的形式呈現(xiàn)給關(guān)注者；

(3)本發(fā)明還通過更加直觀的圖表展示效果，將感知度較差的評分?jǐn)?shù)字以可視化的形式加以展現(xiàn)。便于信息安全管理者將報告結(jié)論，按照實際業(yè)務(wù)的安全需求進一步集成至其他系統(tǒng)。

附圖說明

圖1是本發(fā)明的系統(tǒng)架構(gòu)和工作流程圖。

圖2是實施例中得到的多維漏洞統(tǒng)計圖。

圖3和圖4是實施例中兩組漏洞的實驗數(shù)據(jù)，其中圖3為Cisco asa系列防火墻的統(tǒng)計數(shù)據(jù)，圖4為Jboss服務(wù)器的統(tǒng)計數(shù)據(jù)。

具體實施方式

為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面通過具體實施例和附圖，對本發(fā)明做進一步說明。

為了更加快速、有效地評判一個漏洞的危害等級，本發(fā)明提供一種結(jié)合網(wǎng)際空間維度、歷史統(tǒng)計維度、實時熱點維度的多維統(tǒng)計技術(shù)，旨在協(xié)助信息安全技術(shù)管理者以便捷的方式認(rèn)知漏洞及其危害程度。

網(wǎng)際空間維度方面，如結(jié)合網(wǎng)際空間搜索引擎的組件收錄、結(jié)合一個組件的流行程度；歷史統(tǒng)計維度，如結(jié)合歷史上該組件漏洞爆發(fā)的頻率、披露情況、以及相關(guān)攻擊方法的收錄量；實時熱點維度，如關(guān)聯(lián)社交網(wǎng)絡(luò)的熱點新聞、Google等搜索引擎的熱詞趨勢；通過靈活的多維度的外部源關(guān)聯(lián)，運用檢索、統(tǒng)計、分值加權(quán)等技術(shù)，實現(xiàn)評判該漏洞的危害等級價值，并提供該方法的技術(shù)原型工具。

本發(fā)明的系統(tǒng)架構(gòu)如圖1所示，包括：

漏洞信息輸入提交模塊101，用于輸入和提交漏洞信息，如漏洞關(guān)鍵詞；

統(tǒng)一檢索模塊201，用于對用戶的輸入條件進行解析，將其處理為各子模塊需要的輸入條件格式，同時并發(fā)調(diào)用各子模塊；

網(wǎng)際空間子模塊202，用于將檢索條件提交給網(wǎng)際空間搜索引擎，并獲得對應(yīng)的收錄數(shù)量結(jié)果；

歷史信息子模塊203，用于調(diào)度存儲有漏洞歷史信息的數(shù)據(jù)庫，在其中輸入檢索條件并獲得返回結(jié)果列表；

實時熱點子模塊204，用于將檢索條件提交給社交網(wǎng)絡(luò)，通過關(guān)聯(lián)社交網(wǎng)絡(luò)的熱點新聞、搜索引擎的熱詞趨勢，來獲得對應(yīng)的漏洞相關(guān)統(tǒng)計趨勢；

多維統(tǒng)計報告模塊301，用于對上述子模塊的返回結(jié)果進行統(tǒng)一處理加工，形成最終的多維統(tǒng)計報告。

本實施例的流程包括以下步驟：

步驟1，用戶通過漏洞信息輸入提交模塊輸入漏洞關(guān)鍵詞(例如：CVE-ID、組件名稱、設(shè)備名稱、廠商名稱、漏洞別名)，發(fā)起對統(tǒng)一檢索模塊的調(diào)用；其中CVE為公共漏洞和暴露(Common Vulnerabilities&Exposures)；

步驟2，統(tǒng)一檢索模塊針對用戶的輸入條件進行解析，將其處理為各子模塊需要的輸入條件格式，同時并發(fā)調(diào)用各子模塊；

步驟3，網(wǎng)際空間子模塊將檢索條件提交給Shodan(Search engine for Internet-connected devices，撒旦網(wǎng)際空間搜索引擎)的API，并獲得對應(yīng)的收錄數(shù)量結(jié)果；將組件信息提交給ZoomEye(ZoomEye Cyberspace Search Engine，鐘馗之眼網(wǎng)際空間搜索引擎)的API，并獲得對應(yīng)的收錄數(shù)量結(jié)果；

步驟4，歷史信息子模塊分別調(diào)度EDB(Exploit Database，漏洞利用庫)、MSF(Metasploit Framework，Metasploit滲透測試框架)模塊的數(shù)據(jù)庫更新，之后輸入CVE或設(shè)備組件關(guān)鍵詞，并獲得返回結(jié)果列表；

步驟5，實時熱點子模塊將條件提交給推特(Twitter)，分別獲取分析24小時、48小時、72小時的熱門話題情況，將結(jié)果繪制為趨勢圖。同時，將條件提交給Google趨勢的查詢結(jié)果，以獲得對應(yīng)的漏洞相關(guān)統(tǒng)計趨勢。

步驟6，多維統(tǒng)計報告模塊，會將上述子模塊的返回結(jié)果統(tǒng)一處理加工。形成最終的多維雷達圖，并生成多維統(tǒng)計報告。該步驟運用統(tǒng)計、分值加權(quán)、ECharts圖形繪制技術(shù)，實現(xiàn)評判該漏洞的危害等級價值。

該步驟6)中，各子模塊將獲得的數(shù)值傳遞給多維統(tǒng)計報告模塊。多維統(tǒng)計報告模塊基于ECharts組件繪制雷達圖。雷達圖中每個維度的頂點坐標(biāo)值可根據(jù)實際情況獨立設(shè)計，方便數(shù)據(jù)統(tǒng)計及分值加權(quán)統(tǒng)計。例如可以采用下面的方法統(tǒng)計各項分值：

1.CVSS評分：直接采集分?jǐn)?shù)(頂點坐標(biāo)最大值為10)。

2.Shodan評分：直接采集收集數(shù)量/雷達圖系數(shù)(經(jīng)驗值默認(rèn)為1000、頂點坐標(biāo)最大值為20000)。

3.ZoomEye評分：直接采集收集數(shù)量/雷達圖系數(shù)(經(jīng)驗值默認(rèn)為1000、頂點坐標(biāo)最大值為20000)。

4.EDB評分：(PoC收錄量+Exp收錄量)×雷達圖系數(shù)(經(jīng)驗值默認(rèn)為950、頂點坐標(biāo)最大值為30000)。其中PoC表示Proof of Concept漏洞的概念驗證[程序或代碼]，Exp表示Exploit漏洞的攻擊利用[程序或代碼]。

5.MSF評分：相關(guān)Exp收錄量×雷達圖系數(shù)(經(jīng)驗值默認(rèn)為2300、頂點坐標(biāo)最大值為52000)。

6.互聯(lián)網(wǎng)熱度評分：Twitter熱度評分+Google熱度評分+VulDB評分(頂點坐標(biāo)最大值為38000)。

6.1Twitter熱度評分：24小時出現(xiàn)熱度次數(shù)×統(tǒng)計系數(shù)(經(jīng)驗值默認(rèn)為500)。

6.2Google趨勢評分：24小時關(guān)鍵字查詢次數(shù)總和×統(tǒng)計系數(shù)(經(jīng)驗值默認(rèn)為500)+相關(guān)主題飆升率排名個數(shù)×統(tǒng)計系數(shù)(經(jīng)驗值默認(rèn)為1000)。

6.3VulDB評分：24小時出現(xiàn)相關(guān)漏洞數(shù)據(jù)則直接賦值5000。

進一步地，步驟6)在單一評分基礎(chǔ)上，還增加了多次分時段評估的數(shù)據(jù)統(tǒng)計，將漏洞在爆發(fā)或披露初期的變化情況，以動態(tài)的形式呈現(xiàn)給關(guān)注者。比如多維統(tǒng)計報告模塊分別完成三個時間段的數(shù)據(jù)收集處理，24小時第一次、48小時第二次、72小時第三次。三次數(shù)據(jù)的收集方法一致，分別繪制實線圖(表示24小時的統(tǒng)計數(shù)據(jù))、虛線圖(表示72小時的統(tǒng)計數(shù)據(jù))、點狀圖(表示48小時的統(tǒng)計數(shù)據(jù))，以區(qū)分展現(xiàn)，如圖2所示。

通過雷達圖的覆蓋面積、及覆蓋面積變化情況，可實現(xiàn)直觀的效果評估。覆蓋面積越大的漏洞其威脅等級越高，覆蓋面積越小的說明各維度影響力越小、則威脅越??；覆蓋面積呈現(xiàn)擴張態(tài)的則越值得關(guān)注，覆蓋面積呈現(xiàn)收縮態(tài)的則說明威脅在下降。

例如圖3和圖4所示的兩組漏洞的實驗數(shù)據(jù)，圖中的實線圖、虛線圖、點狀圖的含義與圖2相同。圖3為Cisco asa系列防火墻的統(tǒng)計數(shù)據(jù)；圖4為Jboss服務(wù)器的統(tǒng)計數(shù)據(jù)。從圖中可以看出，單一CVSS評分很接近，加入多維度后，明顯Cisco的漏洞威脅性是遠(yuǎn)高于Jboss的。

以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其進行限制，本領(lǐng)域的普通技術(shù)人員可以對本發(fā)明的技術(shù)方案進行修改或者等同替換，而不脫離本發(fā)明的精神和范圍，本發(fā)明的保護范圍應(yīng)以權(quán)利要求書所述為準(zhǔn)。