用于量化系统的漏洞的装置及其方法
【技术领域】
[0001]本发明一般涉及用于量化系统的漏洞的设备和方法,并更具体地涉及为了直观和客观表示系统的状态而量化系统的漏洞的设备和方法。
【背景技术】
[0002]用于分析和评估信息和通信系统的漏洞的技术意欲先前标识在对应系统中存在的漏洞,并基于标识的结果来消除漏洞。因此,用于分析和评估信息和通信系统的漏洞的技术使得漏洞能在被利用用于非法入侵之前被消除,由此防止发生各类入侵。此外,使用分析或评估系统的漏洞的结果,用于向对应组织的管理直观传递系统的安全状态的方法。
[0003]韩国专利第0851521号公开了与用于提供能够检测和分析网络或系统的漏洞的、主动的和自动的集成网路攻击模型的网路攻击系统和方法相关的技术,作为用于网络系统的安全技术。
[0004]然而,用于分析或评估漏洞的该传统技术仅提供能够检测和分析网络或系统的漏洞的、主动的和自动的集成网路攻击模型,但是没有公开用于获取直观或客观评估漏洞的结果的技术。
[0005]其间,如果没有对分析或评估系统的漏洞的结果进行量化,则难以使用代表值来表不系统的状态。
[0006]此外,漏洞的分析或评估不是执行一次,而是一般周期性执行。当表示周期性执行的任务的结果时,必须指示当前结果和过去结果之间的比较、以及当前结果。例如,结果阐述“特定系统处于危险状态,因为由于缺少密码管理以及存在不必要服务而使得存取控制不充分”可使得用户糊涂。在该情况下,可提供基于量化的结果阐述。即,能通过在比较当前状态和过去状态的同时描述当前状态,来直观和客观地提供当前状态,而不管没有提供详细描述,如同结果阐述“漏洞已增加,因为过去状态是两年前的85分(较好级别)而当前状态是77分(不充分级别)”中那样。
[0007]尽管绝对必须分析或评估漏洞,但是还没有充分进行相关研究和开发。其第一原因涉及请求修改分析或评估漏洞的结果。系统管理员经常进行请求,以修改在已标识漏洞之后计算的结果,并然后经由模拟的入侵来确定漏洞的恶意利用的可能性。即,系统管理员进行请求以修改结果,因为他们可能不期望向管理报告低得分,或者可能期望向管理报告较低得分,使得他们能使用较低得分来从基于报告的较低得分的管理请求资源的增加,诸如较高预算或额外人员。第二原因在于,他们还没有尝试实现用于量化漏洞和模拟入侵结果的方法以及保证前一方法具有客观性的方法。
[0008]尽管已使用特定方法量化了分析或评估漏洞的结果,但是不能实现其客观性。其第一原因在于用来计算得分的漏洞的类型有限。即,由于仅使用当被恶意使用时施加大影响、并从标识的漏洞中选择的几类特有漏洞时,从得分的计算中排除其它类型漏洞。其第二原因在于过分牵涉分析者的主观性。即使当提供同一系统的同一漏洞标识结果并且请求这些结果的打分时,分析者也计算出不同得分,因为他们将各类漏洞的权重确定为不同的。
[0009]由于上述问题,所以分析或评估漏洞的结果具有低客观性,并且分析者不能帮助修改结果,因为缺少分析者能反驳修改结果的请求的逻辑基础。
[0010]因此,对于能使用数值来量化系统的级别并传递信息的技术存在迫切需求。
【发明内容】
[0011]技术问题
[0012]因此,已在紧记现有技术中出现的以上问题的情况下作出了本发明,并且本发明的目的是提供为了直观和客观表示系统的状态而量化系统的漏洞的设备和方法。
[0013]技术方案
[0014]根据本发明的一个方面,提供了一种用于量化系统的漏洞的方法,包括:将系统的漏洞标识结果中的每一个变换为漏洞得分,使得能向得分的计算应用系统的对应漏洞标识结果;基于漏洞得分之中的技术领域安全级别得分和管理领域安全级别得分,来计算与系统对应的目标组织安全级别得分;将系统的本地网络与外部网络分离的状态变换为网络分离得分;基于目标组织安全级别得分和网络分离得分来计算中间得分;和通过使用该中间得分和模拟入侵成功级别最终计算系统的综合得分,来量化系统的漏洞。
[0015]所述计算目标组织安全级别得分的步骤可包括通过分别基于设置的比率将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。
[0016]所述计算目标组织安全级别得分的步骤可包括:将从系统的漏洞标识结果之中选择的与技术相关的漏洞结果变换为技术领域安全级别得分;和将从系统的漏洞标识结果之中选择的与管理相关的漏洞结果变换为管理领域安全级别得分。
[0017]可使用对应于与技术相关的漏洞结果的得分之和以及漏洞得分之和,来执行变换为技术领域安全级别。
[0018]可使用对应于与管理相关的漏洞结果的得分之和以及漏洞得分之和,来执行变换为管理领域安全级别得分。
[0019]该方法可进一步包括,在计算系统的综合得分之前,组合与系统的相应漏洞标识结果对应的漏洞结果,并基于组合的漏洞结果沿着多个路径尝试模拟入侵;和根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别。
[0020]量化系统的漏洞可包括通过根据模拟入侵成功级别向中间得分应用权重来计算综合得分。
[0021]根据本发明的一个方面,提供了一种用于量化系统的漏洞的设备,包括:漏洞计算单元,被配置为将系统的漏洞标识结果的每一个变换为漏洞得分,使得能向得分的计算应用系统的对应漏洞标识结果;目标组织安全级别计算单元,被配置为基于漏洞得分之中的技术领域安全级别得分和管理领域安全级别得分,来计算与系统对应的目标组织安全级别得分;网络分离状态计算单元,被配置为将系统的本地网络与外部网络分离的状态变换为网络分离得分;中间值计算单元,被配置为基于目标组织安全级别得分和网络分离得分来计算中间得分;和最终得分计算单元,被配置为通过使用该中间得分和模拟入侵成功级别最终计算系统的综合得分,来量化系统的漏洞。
[0022]该目标组织安全级别计算单元可通过分别基于设置的比率将技术领域安全级别得分和管理领域安全级别得分相加,来计算目标组织安全级别得分。
[0023]该设备可进一步包括:技术领域安全级别计算单元,被配置为将从系统的漏洞标识结果之中选择的与技术相关的漏洞结果变换为技术领域安全级别得分;和管理领域安全级别计算单元,被配置为将从系统的漏洞标识结果之中选择的与管理相关的漏洞结果变换为管理领域安全级别得分。
[0024]该设备可进一步包括:级别管理单元,被配置为组合与系统的相应漏洞标识结果对应的漏洞结果,基于组合的漏洞结果沿着多个路径尝试模拟入侵,并根据入侵尝试地点和成功模拟入侵的入侵结果,来计算模拟入侵成功级别。
[0025]该最终得分计算单元可通过根据模拟入侵成功级别向中间得分应用权重来计算综合得分。
[0026]有利效果
[0027]根据本发明,用于量化系统的漏洞的设备和方法能使得评估者的主观性的牵涉最小化,由此克服评估结果取决于评估者变化的问题。
[0028]此外,用于量化系统的漏洞的设备和方法能向系统管理员提供直观和客观结果,诸如“如果采取特定保护性措施,则能将综合得分增加特定分数”的结果阐述。
【附图说明】
[0029]图1是示意性图示了根据本发明实施例的用于量化系统的漏洞的设备的配置的图;
[0030]图2-4是向根据本发明实施例的用于量化系统的漏洞的设备应用的参考图;和
[0031]图5是图示了根据本发明实施例的用于量化系统的漏洞的方法的流程图。
【具体实施方式】
[0032]下面将参考附图来详细描述本发明。下面将省略已被认为使得本发明的要义不必要的模糊的重复描述以及已知功能和配置的描述。本发明的实施例意欲向具有本领域公知常识的人员全面描述本发明。因此,可夸大图中的元件的形状、尺寸等以使得该描述清楚。
[0033]下面将参考附图来详细描述根据本发明实施例的用于量化系统的漏洞的设备和方法。
[0034]图1是示意性图示了根据本发明实施例的用于量化系统的漏洞的设备100的配置的图。图2到4是向根据本发明实施例的用于量化系统的漏洞的设备应用的参考图。
[0035]用于量化系统的漏洞的设备100可包括分析或评估系统的漏洞的结果(其后称为“系统的漏洞标识结果”)或从外部接收它们,但是不限于此。
[0036]参考图1,用于量化系统的漏洞的设备100包括漏洞计算单元110、技术领域安全级别计算单元120、管理领域安全级别计算单元130、目标组织安全级别计算单元140、网络分离状态计算单元150、中间值计算单元160、级别管理单元170、和最终得分计算单元180。
[0037]漏洞计算单元110将系统的漏洞标识结果的每一个变换为漏洞得分,使得对应系统的漏洞标识结果能被应用到得分的计算。这里,可例如通过从O到10的范围中的得分来表示漏洞得分的每一个。
[0038]例如,服务器和万维网应用程序的漏洞标识结果可基于公共漏洞打分系统(CVSS) 2.0来计算,并且管理领域、网络、和DB领域的漏洞标识结果可使用分离方法来计笪弁O
[0039]技术领域安全级别计算单元120通过综合从系统的漏洞标识结果中选择的与技术相关的漏洞结果来计算技术领域安全级别。在该情况下,与技术相关的漏洞结果是分析和评估系统的技术部分的漏洞的结果。
[0040]更具体地,技术领域安全级别计算单元120可使用以下等式I来计算技术领域安全级别得分:
[0041]技术领域安全级别得分
[0042]= 100 -(与技术相关的漏洞结果得分/最大漏洞得分)*100 (I)
[0043]在等式I中,通过将与技术相关的漏洞结果变换为得分来获得与技术相关的漏洞结果得分,并且最大漏洞得分是与系统的漏洞标识结果对应的漏洞得分之和。例如,假设系统A是Unix服务器并且与分析和评估Unix服务器的漏洞的结果对应的漏洞得分之和是1000假设Unix服务器的与技术相关的漏洞结果得分之和是80,则根据等式I系统A的技术领域安全级别得分是92。
[0044]管理领域安全级别计算单元130通过综合从系统的漏洞标