CN112464252A - 一种基于风险的漏洞威胁程度动态计算方法 - Google Patents
一种基于风险的漏洞威胁程度动态计算方法 Download PDFInfo
- Publication number
- CN112464252A CN112464252A CN202011584795.7A CN202011584795A CN112464252A CN 112464252 A CN112464252 A CN 112464252A CN 202011584795 A CN202011584795 A CN 202011584795A CN 112464252 A CN112464252 A CN 112464252A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- asset
- utilization
- mode
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于风险的漏洞威胁程度动态计算方法,其计算方法具体包括:S1、采用爬虫引擎对NVD和CVE漏洞数据库中的漏洞数据进行定向获取并进行定时增量更新,作为基础漏洞数据库,并根据其利用方式、CVSS得分作为分类方向进行抽离处理,本发明涉及漏洞风险级别评定技术领域。该基于风险的漏洞威胁程度动态计算方法,与通用漏洞评分系统中的漏洞评级标准相比,RTS评分方式以0‑3000分的标准判断漏洞的威胁程度,可更加细致化的对每个漏洞的威胁程度进行判定,并且不再以传统的高、中、低作为漏洞危害程度的唯一衡量标准。
Description
技术领域
本发明涉及漏洞风险级别评定技术领域,具体为一种基于风险的漏洞威胁程度动态计算方法。
背景技术
计算机系统在设计上总是会存在缺陷和不足,这些缺陷和不足称为漏洞,漏洞可被非法用户利用以获得系统权限,进而对系统执行非法操作,造成严重的后果,例如黑客攻击企业的服务器,导致企业运营系统瘫痪,或盗取核心业务,从而给企业造成经济损失等。
为了更好的对漏洞进行修复,需要对系统进行漏洞检测,在漏洞被利用之前发现漏洞并修补漏洞。通常会使用漏洞扫描器对目标进行检测,并根据漏洞库中对各个漏洞的测评结果获知各个漏洞的风险等级,从而根据各个漏洞不同的风险等级制定漏洞修复方案。例如CVSS(Common Vulnerability Scoring System)即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”,是目前主流的通用漏洞风险评估方法,通过 0-10 分对漏洞的级别进行评定,得分越高代表该漏洞的危险程度越高,但其对于漏洞风险等级衡量方式具有一定的局限性,在CVSS 评分标准中,基本维度奠定了漏洞得分的基础,基本维度包含访问类型(AccessVector),完整性影响(Integrity Impact),影响偏差(Impact Bias),访问复杂性(AccessComplexity),保密性影响(Confidentiality Impact),可用性影响(AvailabilityImpact)和身份验证要求(Authentication)。
但这些核心特性不会随时间而改变,在不同的单位内不同的业务系统中,它们也不会改变,也就造成了漏洞风险程序的静态化无法结合实际的业务场景、变化趋势得出贴近实际风险级别的结论,漏洞最终得分不可信、威胁评级不可靠,安全人员也无法根据实际的数据对漏洞进行修复。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于风险的漏洞威胁程度动态计算方法,解决了上述背景技术中所提出的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:一种基于风险的漏洞威胁程度动态计算方法,其计算方法具体包括:
S1、采用爬虫引擎对 NVD 和 CVE 漏洞数据库中的漏洞数据进行定向定时获取,作为基础漏洞数据库,并根据其利用方式、CVSS 得分作为分类方向进行抽离处理。
S2、在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的几率会急剧增加
,将会达到短暂的峰值,随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐趋近于1。
S3、根据漏洞利用方式的不同将漏洞分为本地利用和远程利用两大类,并且将其漏洞名称与自有漏洞威胁中心进行碰撞,获取漏洞可利用程度 P和 W。
S4、针对每个漏洞在的全球危害程度进行加权处理,通过漏洞威胁情报中心获取全球热点漏洞的排名情况,对于排名 top10 的漏洞进行特殊处理,排名为 1 时w 取值10,排名 10 时 w 为 1,超出top10 排名,加权处理值始终为 1。
S5、资产权重分值将根据客户的实际业务场景进行计算,从内部资产数据库中获取每个资产的权重分值以及该资产的网络位置,其中资产分值为 1-10 分,分值越高代表该资产在单位的价值越高根据实际的网络位置不同,可将资产暴露方式分为 DMZ、仅内部、互联网、将资产暴露方式与漏洞利用方式进行匹配,计算出该漏洞的攻击难度(
)。
(1)具备公网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行1.5倍的加权;如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;同时我们对某些需要云上难以复现的环境来利用的漏洞做环境因子大幅降权。
(2)只有内网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行大幅降权(设0);如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权。
S6、将资产暴露方式结合自有漏洞库中的漏洞利用方式计算得出漏洞攻击难度(
),其中漏洞利用数据来自自有漏洞数据中心,每 24 小时将动态更新一次。
优选的,所述其算法公式为:
。
优选的,所述基于风险的漏洞威胁程度动态计算方式称为 RTS,其主要从从资产重要性、风险可利用性、网络环境等多种因素进行综合考量,以 CVSS 评分为基础得分,基于多种环境因素重新定义漏洞风险等级。
(三)有益效果
本发明提供了一种基于风险的漏洞威胁程度动态计算方法。具备以下有益效果:
(1)、该基于风险的漏洞威胁程度动态计算方法,与通用漏洞评分系统中的漏洞评级标准相比,RTS 评分方式以 0-3000 分的标准判断漏洞的威胁程度,可更加细致化的对每个漏洞的威胁程度进行判定,并且不再以传统的高、中、低作为漏洞危害程度的唯一衡量标准。
(2)、该基于风险的漏洞威胁程度动态计算方法,RTS 评分以内部数据和外部情报数据为基准信息,在对每个漏洞的 RTS 评分进行计算时,将优先考虑每个漏洞在全球范围内的利用情况,确保每个漏洞的最终得分是具备一定时效性的,且可准备描述每个漏洞的最终威胁程度。
(3)、该基于风险的漏洞威胁程度动态计算方法,为了尽可能的将漏洞危害程度和客户业务进行深度融合,RTS 自身的漏洞威胁计算模型动态的引入了用户的实际环境作为主要参考因素,可为每个用户建立独一无二的漏洞威胁评估模型,以便将每个漏洞所带来的威胁程度和实际的业务资产的重要性进行结合。
(4)、该基于风险的漏洞威胁程度动态计算方法,以漏洞的实际威胁程度作为漏洞修复优先级的主要考虑因素,摆脱了通用漏洞评分系统以高、中、低为漏洞危险程度的主要衡量标准所产生的弊端,更加符合实际的工作需要。
(5)、该基于风险的漏洞威胁程度动态计算方法,基于风险的漏洞威胁级别计算方案可自动完成漏洞优先级排序,确定漏洞修复的优先级,明确需要优先处理的漏洞,可大幅度降低安全人员的工作压力。
具体实施方式
下面将结合本发明实施例对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种技术方案:一种基于风险的漏洞威胁程度动态计算方法,其计算方法具体包括:
S1、采用爬虫引擎对 NVD 和 CVE 漏洞数据库中的漏洞数据进行定向定时获取,作为基础漏洞数据库,并根据其利用方式、CVSS 得分作为分类方向进行抽离处理;
S2、在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的几率会急剧增加
,将会达到短暂的峰值,随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐趋近于1;
S3、根据漏洞利用方式的不同将漏洞分为本地利用和远程利用两大类,并且将其漏洞名称与自有漏洞威胁中心进行碰撞,获取漏洞可利用程度 P和 W;
S4、针对每个漏洞在的全球危害程度进行加权处理,对于排名 top10 的漏洞进行特殊处理,排名为 1 时w 取值 10,排名 10 时 w 为 1,超出top10 排名,加权处理值始终为 1;
S5、资产权重分值将根据客户的实际业务场景进行计算,从内部资产数据库中获取每个资产的权重分值以及该资产的网络位置,其中资产分值为 1-10 分,分值越高代表该资产在单位的价值越高根据实际的网络位置不同,可将资产暴露方式分为 DMZ、仅内部、互联网、将资产暴露方式与漏洞利用方式进行匹配,计算出该漏洞的攻击难度();
(1)具备公网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行1.5倍的加权;如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;同时我们对某些需要云上难以复现的环境来利用的漏洞做环境因子大幅降权;
(2)只有内网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行大幅降权(设0);如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;
S6、将资产暴露方式结合自有漏洞库中的漏洞利用方式计算得出漏洞攻击难度(
),其中漏洞利用数据来自自有漏洞数据中心,每 24 小时将动态更新一次。
本发明中,其算法公式为:
。
本发明中,基于风险的漏洞威胁程度动态计算方式称为 RTS,其主要从从资产重要性、风险可利用性、网络环境等多种因素进行综合考量,以 CVSS 评分为基础得分,基于多种环境因素重新定义漏洞风险等级。
本发明主要实现思路为在形成漏洞清单的基础上,针对存在漏洞的信息资产,逐项分析其现有安全防护措施的有效性,评判漏洞被利用的复杂程度以及当前漏洞在互联网中的威胁变化趋势,引入动态式的风险计算机制,在风险修复过程中对其严重性进行动态的更新,形成一体化的威胁评估模型,从而给出最具价值性的漏洞修复方案,并且明确每个漏洞的修复优先级。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种基于风险的漏洞威胁程度动态计算方法,其计算方法具体包括:
S1、采用爬虫引擎对 NVD 和 CVE 漏洞数据库中的漏洞数据进行定向获取并进行定时增量更新,作为基础漏洞数据库,并根据其利用方式、CVSS 得分作为分类方向进行抽离处理;
S2、在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的几率会急剧增加
,将会达到短暂的峰值,随后急剧下降。
2.随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐趋近于1;
S3、根据漏洞利用方式的不同将漏洞分为本地利用和远程利用两大类,并且将其漏洞名称与自有漏洞威胁中心进行碰撞,获取漏洞可利用程度 P和 W;
S4、针对每个漏洞在的全球危害程度进行加权处理,对于排名 top10 的漏洞进行特殊处理,排名为 1 时w 取值 10,排名 10 时 w 为 1,超出top10 排名,加权处理值始终为1;
S5、资产权重分值将根据客户的实际业务场景进行计算,从内部资产数据库中获取每个资产的权重分值以及该资产的网络位置,其中资产分值为 1-10 分,分值越高代表该资产在单位的价值越高根据实际的网络位置不同,可将资产暴露方式分为 DMZ、仅内部、互联网、将资产暴露方式与漏洞利用方式进行匹配,计算出该漏洞的攻击难度(
);
(1)具备公网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行1.5倍的加权;如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;同时我们对某些需要云上难以复现的环境来利用的漏洞做环境因子大幅降权;
(2)只有内网访问权限
漏洞属于一个可以远程利用的漏洞,我们对环境因子进行大幅降权(设0);如果漏洞属于一个可邻网利用的漏洞,我们对环境因子进行1.2倍的加权;如果这个漏洞属于本地利用,我们不做加权;
S6、将资产暴露方式结合自有漏洞库中的漏洞利用方式计算得出漏洞攻击难度(
),其中漏洞利用数据来自自有漏洞数据中心,每 24 小时将动态更新一次。
3.根据权利要求1所述的一种基于风险的漏洞威胁程度动态计算方法,其特征在于:所述其算法公式为:
。
4.根据权利要求1所述的一种基于风险的漏洞威胁程度动态计算方法,其特征在于:所述基于风险的漏洞威胁程度动态计算方式称为 RTS, 其主要从从资产重要性、风险可利用性、网络环境等多种因素进行综合考量,以 CVSS 评分为基础得分,基于多种环境因素重新定义漏洞风险等级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011584795.7A CN112464252A (zh) | 2020-12-29 | 2020-12-29 | 一种基于风险的漏洞威胁程度动态计算方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011584795.7A CN112464252A (zh) | 2020-12-29 | 2020-12-29 | 一种基于风险的漏洞威胁程度动态计算方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112464252A true CN112464252A (zh) | 2021-03-09 |
Family
ID=74804608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011584795.7A Pending CN112464252A (zh) | 2020-12-29 | 2020-12-29 | 一种基于风险的漏洞威胁程度动态计算方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112464252A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113139191A (zh) * | 2021-03-25 | 2021-07-20 | 国网浙江省电力有限公司衢州供电公司 | 一种漏洞处置修复优先级的统计方法 |
| CN116720197A (zh) * | 2023-08-09 | 2023-09-08 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
| CN117113363A (zh) * | 2023-10-24 | 2023-11-24 | 深圳海云安网络安全技术有限公司 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
| CN108985068A (zh) * | 2018-06-26 | 2018-12-11 | 广东电网有限责任公司信息中心 | 漏洞快速感知、定位及验证的方法与系统 |
| CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
| CN111695770A (zh) * | 2020-05-07 | 2020-09-22 | 北京华云安信息技术有限公司 | 资产漏洞风险的评估方法、设备和存储介质 |
-
2020
- 2020-12-29 CN CN202011584795.7A patent/CN112464252A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
| CN107220549A (zh) * | 2017-05-26 | 2017-09-29 | 中国民航大学 | 基于cvss的漏洞风险基础评估方法 |
| CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
| CN108985068A (zh) * | 2018-06-26 | 2018-12-11 | 广东电网有限责任公司信息中心 | 漏洞快速感知、定位及验证的方法与系统 |
| CN111695770A (zh) * | 2020-05-07 | 2020-09-22 | 北京华云安信息技术有限公司 | 资产漏洞风险的评估方法、设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 龚俭等: "《计算机网络安全导论 第3版》", 30 September 2020, 东南大学出版社 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113139191A (zh) * | 2021-03-25 | 2021-07-20 | 国网浙江省电力有限公司衢州供电公司 | 一种漏洞处置修复优先级的统计方法 |
| CN113139191B (zh) * | 2021-03-25 | 2022-07-26 | 国网浙江省电力有限公司衢州供电公司 | 一种漏洞处置修复优先级的统计方法 |
| CN116720197A (zh) * | 2023-08-09 | 2023-09-08 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
| CN116720197B (zh) * | 2023-08-09 | 2023-11-03 | 北京比瓴科技有限公司 | 一种对漏洞优先级排列的方法及装置 |
| CN117113363A (zh) * | 2023-10-24 | 2023-11-24 | 深圳海云安网络安全技术有限公司 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
| CN117113363B (zh) * | 2023-10-24 | 2024-02-06 | 深圳海云安网络安全技术有限公司 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ganin et al. | Multicriteria decision framework for cybersecurity risk assessment and management | |
| US11651082B2 (en) | Blockchain applicability framework | |
| CN112464252A (zh) | 一种基于风险的漏洞威胁程度动态计算方法 | |
| US11630918B2 (en) | Systems and methods of determining compromised identity information | |
| Farahmand et al. | A management perspective on risk of security threats to information systems | |
| US9239908B1 (en) | Managing organization based security risks | |
| Wazid et al. | BSFR-SH: Blockchain-enabled security framework against ransomware attacks for smart healthcare | |
| CN111581643B (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| US11611590B1 (en) | System and methods for reducing the cybersecurity risk of an organization by verifying compliance status of vendors, products and services | |
| CN101950338A (zh) | 一种基于层次化漏洞威胁评估的漏洞修复方法 | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| US20170142147A1 (en) | Rating threat submitter | |
| Kim et al. | Differential effects of prior experience on the malware resolution process | |
| CN110493181A (zh) | 用户行为检测方法、装置、计算机设备及存储介质 | |
| CN112291260A (zh) | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 | |
| WO2021138591A1 (en) | Blockchain cybersecurity solutions | |
| CN113094715B (zh) | 一种基于知识图谱的网络安全动态预警系统 | |
| Ahmed et al. | CCF Based System Framework In Federated Learning Against Data Poisoning Attacks | |
| CN113378159A (zh) | 一种基于集中管控的威胁情报的评估方法 | |
| Fung et al. | Electronic information security documentation | |
| Lamichhane et al. | Discovering breach patterns on the internet of health things: A graph and machine learning anomaly analysis | |
| CN113139878A (zh) | 一种配电自动化主站网络安全风险辨识方法及系统 | |
| Ikuomola et al. | A framework for collaborative, adaptive and cost sensitive intrusion response system | |
| US20240143785A1 (en) | System and method for evaluating an organization's risk for exposure to cyber security events | |
| Petrescu et al. | The international experience in security risk analysis methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210309 |