面向漏洞生命周期的安全风险度量方法-胡浩 , 叶润国 , 张红旗 , 常德显 , 刘玉岭 , 杨英杰.pdf

上善若水

203

17页

0次

2022-05-19

免费下载

软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn

Journal of Software,2018,29(5):1213−1229 [doi: 10.13328/j.cnki.jos.005507] http://www.jos.org.cn

面向漏洞生命周期的安全风险度量方法

∗

胡

浩

1,3

叶润国

张红旗

1,3

常德显

1,3

刘玉岭

杨英杰

1,3

(信息工程大学三院,河南郑州 450001)

(中国科学院软件研究所可信计算与信息保障实验室,北京 100190)

(河南省信息安全重点实验室(信息工程大学),河南郑州 450001)

(中国电子技术标准化研究院,北京 100007)

通讯作者: 胡浩, E-mail: wjjhh_908@163.com

摘要: 为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收 Markov 链的漏洞生命周期

模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状

态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏

洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型 APT 攻击场景中“WannaCry”勒索病毒的漏

洞利用过程为例,验证了模型及方法的合理性和有效性.

关键词: 风险度量;漏洞生命周期;随机模型;吸收 Markov 链;动态评估

中图法分类号: TP311

中文引用格式: 胡浩,叶润国,张红旗,常德显,刘玉岭,杨英杰.面向漏洞生命周期的安全风险度量方法.软件学报,2018,29 (5):

1213−1229. http ://www.jos.org.cn/1000-9825/5507.htm

英文引用格式: Hu H, Ye RG, Zhang HQ, Chang DX, Liu YL, Yang YJ. Vulnerability life cycle oriented security risk metric

method. Ruan Jian Xue Bao/Jou rnal of Software, 201 8,29(5):1213 −1229 (in Chinese). h ttp://www.jos.org.cn/1000-9825/550 7.htm

Vulnerability Life Cycle Oriented Security Ri sk Metric Method

HU Hao

1,3

, YE Run-Guo

, ZHANG Hong-Qi

1,3

, CHANG De-Xian

1,3

, LIU Yu-Ling

, YANG Ying-Jie

1,3

(The 3rd School, Information Engineering University, Zhengzhou 450001, China)

(Trusted Computing and Information Assurance Laboratory, Institute of Software, The Chinese Academy of Sciences, Beijing 100190,

China)

(He’nan Key Laboratory of Information S ecurity (Infor mation Engineering University), Zhengzhou 450001, China)

(China Electronics Standardization In stitute, Beijing 100 007, Chin a)

Abstra ct : In order to r eflect the dynamic change of v ulnerability security risk over time in an information system, this paper developed

a life cycle stochastic model based on the absorbing Markov. Th e prior historical vulnerability information is us ed as the input. Then the

state transition probability matrix of vulnerability life cycle is constructed. Specifically, the state evolution process is simulated in the

dimension of ti me using matrix d eduction. Meanwhile, the common vulnerability scoring s ystem (CVSS) is u tilized to measure th e threat

∗ 基金项目: 国家重点研发计划项目(2016YFF0204002, 2016YFF0204003); “十三五”装备预研领域基金(6140002020115); CCF-

启明星辰“鸿雁”科研计划基金(2017003); 郑州市科技领军人才项目(131PLJRC644); 蚂蚁金服科研基金

Foundation item: National Key Research and Development Program of China (2016YFF0204002, 2016YFF0204003); Equipment

Pre-Research Foundation During the 13th Five-Year Plan Period (6140002020115); CCF-Venus “Hongyan” Scientific Research Plan

Foundation (2017003); Science and Technology Leading Talent Project of Zhengzhou (131PLJRC644); Ant Fin ancial Scientific Research

Foundation

本文由软件安全漏洞检测专题特约编辑王林章教授、陈恺研究员、王戟教授推荐.

收稿时间: 2017-07-05; 修改时间: 2017-08-29; 采用时间: 2017-11-21; jos 在线出版时间: 2018-01-09

CNKI 网络优先出版: 2018-01-11 17 :24:58, http://kns .cnki.net/kcms/d etail/11.2560.TP.20180111.1724.015.html

1214

Journal of Software 软件学报 Vol.29, No.5, May 2018

impact of vulnerabiliti es in the netwo rk system. Further more, a quantitativ e risk method to measure security vulnerabilit y in terms of time

dimension is provided to an alyze some probabilit y evolution rules with respect to the states of vulnerability life cycle. Fin ally, the exploits

by the ransomware “WannaCry” in a typical APT attack scenario are taken as an example to verify the rationality and validity of the

presented model and method.

Key words: securit y metric; vulnerability life cycle; st ochastic model; absorbing Markov chain; dyn amic evaluation

网络系统在提供各种便利的同时,也带来了诸多安全问题.目前,基于漏洞利用的攻击渗透日益猖獗,对网

络系统安全造成了极大的威胁,因此,研究安全漏洞模型

[1−7]

、分析漏洞利用规律

[8−10]

、度量漏洞安全风险

[11−19]

、

为主动防御提供理论基础和技术支撑,受到学术界和工业界的广泛关注和高度重视

[20]

在安全漏洞模型研究方面,陈恺等人

[1]

提出了一种多周期的漏洞发布模型,从宏观上预测漏洞数量与软件

发布时间的关系.在此基础上,聂楚江等人

[2]

提出了一种微观漏洞数量预测模型,通过分析与软件代码相关的微

观参数,并结合历史版本软件漏洞数量预测新版本中的漏洞数量.此外,高志伟等人

[3]

提出了基于漏洞严重度分

类的预测模型,不仅能够预测软件发布过程中存在的漏洞总数和时间间隔,而且能够预测漏洞的种类及每一类

漏洞的数量.Arbaugh 等人

[4]

最早提出了漏洞生命周期的概念,分析了漏洞从产生到消亡可能经历的几种状态,

并结合美国 Computer Emergency Respon se Team/Coordination Cente r(CERT/CC) 报告,展示了历年来漏洞数量在

不同状态上的分布情况.类似地,Frei

[5]

利用系统动力学对漏洞生命周期进行建模与分析,但实验数据集较小,且

未分析软件厂商的影响.Kaaniche 等人

[6]

结合开源的 OSVDB 漏洞数据库分析了 Windows,Unix 和 Mobile OS

操作系统漏洞处于生命周期不同阶段的时间长度分布,结果表明,该时间分布与具体操作系统类型相关.宋明秋

等人

[7]

通过量化漏洞生命周期时间维的攻击热度与攻击技术,基于 Mamdani 模型,利用模糊推理法计算漏洞安

全风险值.上述研究各有侧重地分析了漏洞数量在软件发布时间、漏洞类型和漏洞生命周期时间维上的分布情

况,设计能够全面融合漏洞数量、生命周期、可利用性、威胁影响与风险度量的漏洞模型还有待进一步研究.

在漏洞利用规律分析方面,文献[8]提出了与 0-d ay 漏洞相关的漏洞生命周期的几种模式,梳理了 Linux 和

Microsoft 系统的 439 个漏洞信息,结果表明,攻击脚本和漏洞补丁的扩散对漏洞利用概率变化有重要影响.Joh

等人

[9]

将漏洞生命周期划分为漏洞产生、漏洞发现、漏洞公开、漏洞利用和漏洞修复这 5 个阶段,指出安全漏

洞在其生命过程中都存在被攻击者利用的风险,且不同阶段的安全风险大小不等.通过对早期报道的有 46 310

个漏洞的开源数据集 OSVDB 的统计分析,Sha hzad 等人

[10]

展示了 1988 年~2011 年不同软件厂商的漏洞在各自

生命周期不同阶段的数量分布情况,同时呈现了补丁发布周期及漏洞利用平时耗时的变化趋势,结果表明,漏洞

利用耗时往往小于补丁的研发耗时.上述研究主要从统计学角度出发,基于大量数据的统计结果,试图展示漏洞

利用概率和耗时在其生命周期内随软件供应商类型、补丁发布时间等影响因素的变化规律.如何从概率论角度

出发,依据先验历史数据分析漏洞利用规律,并对未来的趋势进行预测,对进一步提高研究的实用性意义重大.

在漏洞安全风险评估方面,对于具体漏洞攻击事件,文献[11]将攻击威胁的严重程度和攻击发生的可能性

划分多个等级,通过建立风险矩阵,借鉴综合评判法分析系统的安全风险等级.Mkpong 等人

[12]

利用专家经验量

化漏洞相关属性对系统的影响程度,提出了一种基于漏洞属性的风险量化模型.上述两种方法虽然计算简单,但

主要依赖领域知识,具有很强的主观性,仅适用于分析已知漏洞的风险值.付志耀等人

[13]

设计了一种基于粗糙集

理论的属性约简及漏洞影响评估方法,避免了漏洞关联属性集选择时过分依赖先验的专家经验.Houmb 等人

[14]

利用通用漏洞系统(common vulnerability scoring system, 简称 CVSS)的标准数据集训练贝叶斯信念网络,并结合

先验漏洞信息,推算漏洞被利用的可能性及威胁影响,能够在一定程度上度量未公开漏洞的潜在风险.在实际应

用方面,周亮等人

[15]

提出了基于关联网络的漏洞风险评估模型,利用层次分析法,对电力调度管理系统的安全漏

洞风险进行了综合评估,类似应用还涉及安卓移动应用终端

[16]

、Web 应用程序

[17]

、电信通信设备

[18]

和电力工

业控制系统

[19]

.不难看出,现有漏洞风险评估侧重静态分析,具有计算量小、操作简单的优点.但随着信息系统的

复杂化和大规模化,宏观的漏洞风险随生命周期动态演化.例如在漏洞公布阶段,随着公众开始了解漏洞信息,

潜在的攻击者数量不断增加,网络系统风险呈现动态上升趋势.

综上所述,目前的研究在 3 个方面有待改进:(1) 现有安全漏洞模型侧重于漏洞发现和数量预测,缺乏对漏

of 17

免费下载

软件学报计算机技术

关注

评论