一种基于多维统计的漏洞危害等级快速评估方法和装置与流程

本发明属于信息安全技术领域，具体涉及一种基于多维统计的漏洞危害等级快速评估方法和装置。

背景技术：

计算机系统是当前信息时代、信息化产品中最为重要的组成部分，而计算机系统中的安全漏洞也就成了直接影响信息系统安全性的决定性因素。实践证明，绝大多数的信息安全事件都是攻击者借助信息系统安全漏洞发起的，并且近些年此类事件有愈演愈烈的态势，产生的影响也越来越大。因此，通过深入研究安全漏洞的内涵与外延、特点与性质、种类与影响，以及多维度针对其危害等级实施快速分析与评估，对有效定位和控制信息化系统所面临的安全威胁至关重要。

对安全漏洞进行分级有助于人们对数目众多的安全漏洞给予不同程度的关注并采取不同级别的措施。而各漏洞发布组织和技术公司都有自己的评级标准。即使同一条漏洞，不同的安全组织或技术公司对其级别评价也有区别。其中流行的通用漏洞评分系统(CVSS，Common Vulnerability Scoring System)目前普及度最高。

CVSS主要由基本度量、时间度量、环境度量三个部分组成，其评估过程就是将基本度量、时间度量、环境度量所得到的结果综合起来，得到一个综合的分数。根据CVSS的数学公式，首先对基本度量进行计算，得到一个基本分数；然后，在此基础上对时间度量进行计算，得到一个暂时分数；最后，在此基础上对环境度量进行计算，得到最终的分数。每个度量都有各自的计算公式。最终分数越高，漏洞的威胁性越大。

CVSS作为国际标准，提供了一个开放的框架，它使得通用漏洞等级定义在信息产业得到广泛使用，但是其自身也存在一些明显不足。其自身度量标准具有很大的主观性，对于同一个安全漏洞，不同的人可能会得出不同的分值，即可重复性较差；并且，攻击技术的发展以及恶意攻击者对于不同安全漏洞关注度的影响也没有考虑进去；还有，同一系统可能存在多个不同的安全漏洞，攻击者同时利用多个漏洞进行深入攻击所达到的危害程度会远远高于单个漏洞。这些情况如何在评分中表现出来，都是CVSS所欠缺的。

此外CVSS的最终评级结论更多发生于“事后”阶段，针对1Day性质的安全漏洞在第一时间决策处置时机，CVSS的评级滞后、评级再修正问题，使得其结论对信息安全管理者缺乏了支撑价值。

技术实现要素：

本发明针对上述问题，提供一种基于多维统计的漏洞危害等级快速评估方法和装置，是一种结合网际空间维度、历史统计维度、实时热点维度的多维统计技术，旨在协助信息安全技术管理者以便捷的方式认知漏洞及其危害程度，更加快速、有效地评判一个漏洞的危害等级。

本发明采用的技术方案如下：

一种基于多维统计的漏洞危害等级快速评估方法，包括以下步骤：

1)输入漏洞关键词；

2)将输入的漏洞关键词作为检索条件提交给网际空间搜索引擎，并获得对应的收录数量结果；

3)根据输入的漏洞关键词，调度存储有漏洞历史信息的数据库，在其中输入检索条件并获得返回结果列表；

4)将输入的漏洞关键词作为检索条件提交给社交网络，通过社交网络获得对应的漏洞相关统计趋势；

5)对步骤2)至4)获得的结果进行处理，形成漏洞危害等级的多维统计报告。

进一步地，步骤1)所述漏洞关键词包括：CVE-ID、组件名称、设备名称、厂商名称、漏洞别名等。

进一步地，步骤2)所述网际空间搜索引擎包括：Shodan网际空间搜索引擎、ZoomEye网际空间搜索引擎等。

进一步地，步骤3)所述存储有漏洞历史信息的数据库包括：EDB数据库、MSF数据库等。

进一步地，步骤4)所述社交网络包括Twitter网站、Google搜索引擎、VulDB(VulnerabilityDatabae)搜索引擎等。

进一步地，步骤5)所述多维统计报告包含多维雷达图，多维雷达图的覆盖面积越大的漏洞其威胁等级越高。

进一步地，步骤5)采用多维雷达图进行多次分时段的数据统计，多维雷达图的覆盖面积呈现扩张态的说明威胁性在提高(越值得关注)，覆盖面积呈现收缩态的说明威胁性在下降。

一种基于多维统计的漏洞危害等级快速评估装置，其包括：

漏洞信息输入提交模块，用于输入和提交漏洞关键词；

统一检索模块，用于对用户输入的漏洞关键词进行解析，将其处理为各子模块需要的输入条件格式，同时并发调用各子模块；

网际空间子模块，用于将检索条件提交给网际空间搜索引擎，并获得对应的收录数量结果；

历史信息子模块，用于调度存储有漏洞历史信息的数据库，在其中输入检索条件并获得返回结果列表；

实时热点子模块，用于将检索条件提交给社交网络，通过社交网络获得对应的漏洞相关统计趋势；

多维统计报告模块，用于对各子模块的返回结果进行统一处理，形成多维统计报告。

本发明的有益效果如下：

(1)本发明通过多个维度的数据关联，使信息安全管理者可以更加充分、全面地了解漏洞及其组件的详细信息；

(2)在单一评分基础上，增加了多次分时段评估的数据统计，将漏洞在爆发或披露初期的变化情况，以动态的形式呈现给关注者；

(3)本发明还通过更加直观的图表展示效果，将感知度较差的评分数字以可视化的形式加以展现。便于信息安全管理者将报告结论，按照实际业务的安全需求进一步集成至其他系统。

附图说明

图1是本发明的系统架构和工作流程图。

图2是实施例中得到的多维漏洞统计图。

图3和图4是实施例中两组漏洞的实验数据，其中图3为Cisco asa系列防火墙的统计数据，图4为Jboss服务器的统计数据。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明。

为了更加快速、有效地评判一个漏洞的危害等级，本发明提供一种结合网际空间维度、历史统计维度、实时热点维度的多维统计技术，旨在协助信息安全技术管理者以便捷的方式认知漏洞及其危害程度。

网际空间维度方面，如结合网际空间搜索引擎的组件收录、结合一个组件的流行程度；历史统计维度，如结合历史上该组件漏洞爆发的频率、披露情况、以及相关攻击方法的收录量；实时热点维度，如关联社交网络的热点新闻、Google等搜索引擎的热词趋势；通过灵活的多维度的外部源关联，运用检索、统计、分值加权等技术，实现评判该漏洞的危害等级价值，并提供该方法的技术原型工具。

本发明的系统架构如图1所示，包括：

漏洞信息输入提交模块101，用于输入和提交漏洞信息，如漏洞关键词；

统一检索模块201，用于对用户的输入条件进行解析，将其处理为各子模块需要的输入条件格式，同时并发调用各子模块；

网际空间子模块202，用于将检索条件提交给网际空间搜索引擎，并获得对应的收录数量结果；

历史信息子模块203，用于调度存储有漏洞历史信息的数据库，在其中输入检索条件并获得返回结果列表；

实时热点子模块204，用于将检索条件提交给社交网络，通过关联社交网络的热点新闻、搜索引擎的热词趋势，来获得对应的漏洞相关统计趋势；

多维统计报告模块301，用于对上述子模块的返回结果进行统一处理加工，形成最终的多维统计报告。

本实施例的流程包括以下步骤：

步骤1，用户通过漏洞信息输入提交模块输入漏洞关键词(例如：CVE-ID、组件名称、设备名称、厂商名称、漏洞别名)，发起对统一检索模块的调用；其中CVE为公共漏洞和暴露(Common Vulnerabilities&Exposures)；

步骤2，统一检索模块针对用户的输入条件进行解析，将其处理为各子模块需要的输入条件格式，同时并发调用各子模块；

步骤3，网际空间子模块将检索条件提交给Shodan(Search engine for Internet-connected devices，撒旦网际空间搜索引擎)的API，并获得对应的收录数量结果；将组件信息提交给ZoomEye(ZoomEye Cyberspace Search Engine，钟馗之眼网际空间搜索引擎)的API，并获得对应的收录数量结果；

步骤4，历史信息子模块分别调度EDB(Exploit Database，漏洞利用库)、MSF(Metasploit Framework，Metasploit渗透测试框架)模块的数据库更新，之后输入CVE或设备组件关键词，并获得返回结果列表；

步骤5，实时热点子模块将条件提交给推特(Twitter)，分别获取分析24小时、48小时、72小时的热门话题情况，将结果绘制为趋势图。同时，将条件提交给Google趋势的查询结果，以获得对应的漏洞相关统计趋势。

步骤6，多维统计报告模块，会将上述子模块的返回结果统一处理加工。形成最终的多维雷达图，并生成多维统计报告。该步骤运用统计、分值加权、ECharts图形绘制技术，实现评判该漏洞的危害等级价值。

该步骤6)中，各子模块将获得的数值传递给多维统计报告模块。多维统计报告模块基于ECharts组件绘制雷达图。雷达图中每个维度的顶点坐标值可根据实际情况独立设计，方便数据统计及分值加权统计。例如可以采用下面的方法统计各项分值：

1.CVSS评分：直接采集分数(顶点坐标最大值为10)。

2.Shodan评分：直接采集收集数量/雷达图系数(经验值默认为1000、顶点坐标最大值为20000)。

3.ZoomEye评分：直接采集收集数量/雷达图系数(经验值默认为1000、顶点坐标最大值为20000)。

4.EDB评分：(PoC收录量+Exp收录量)×雷达图系数(经验值默认为950、顶点坐标最大值为30000)。其中PoC表示Proof of Concept漏洞的概念验证[程序或代码]，Exp表示Exploit漏洞的攻击利用[程序或代码]。

5.MSF评分：相关Exp收录量×雷达图系数(经验值默认为2300、顶点坐标最大值为52000)。

6.互联网热度评分：Twitter热度评分+Google热度评分+VulDB评分(顶点坐标最大值为38000)。

6.1Twitter热度评分：24小时出现热度次数×统计系数(经验值默认为500)。

6.2Google趋势评分：24小时关键字查询次数总和×统计系数(经验值默认为500)+相关主题飙升率排名个数×统计系数(经验值默认为1000)。

6.3VulDB评分：24小时出现相关漏洞数据则直接赋值5000。

进一步地，步骤6)在单一评分基础上，还增加了多次分时段评估的数据统计，将漏洞在爆发或披露初期的变化情况，以动态的形式呈现给关注者。比如多维统计报告模块分别完成三个时间段的数据收集处理，24小时第一次、48小时第二次、72小时第三次。三次数据的收集方法一致，分别绘制实线图(表示24小时的统计数据)、虚线图(表示72小时的统计数据)、点状图(表示48小时的统计数据)，以区分展现，如图2所示。

通过雷达图的覆盖面积、及覆盖面积变化情况，可实现直观的效果评估。覆盖面积越大的漏洞其威胁等级越高，覆盖面积越小的说明各维度影响力越小、则威胁越小；覆盖面积呈现扩张态的则越值得关注，覆盖面积呈现收缩态的则说明威胁在下降。

例如图3和图4所示的两组漏洞的实验数据，图中的实线图、虚线图、点状图的含义与图2相同。图3为Cisco asa系列防火墙的统计数据；图4为Jboss服务器的统计数据。从图中可以看出，单一CVSS评分很接近，加入多维度后，明显Cisco的漏洞威胁性是远高于Jboss的。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。