CN107220549-CN201710383173-基于CVSS的漏洞风险基础评估方法.pdfVIP

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 107220549 A (43)申请公布日 2017.09.29 (21)申请号 201710383173.X (22)申请日 2017.05.26 (71)申请人 中国民航大学 地址 300300 天津市东丽区津北公路2898 号 (72)发明人 谢丽霞　胡立杰　杨宏宇　徐伟华　 (74)专利代理机构 天津才智专利商标代理有限 公司 12108 代理人 庞学欣 (51)Int.Cl. G06F 21/57(2013.01) 权利要求书2页 说明书8页 附图2页 (54)发明名称 基于CVSS的漏洞风险基础评估方法 (57)摘要 一种基于CVSS的漏洞风险基础评估方法。其 包括对数据进行预处理的S01阶段；确定上述三 项基础评估指标的权重并进行最优化的S02阶 段；求解基础评估指标权重的S03阶段；4)计算出 每一漏洞威胁的基础评估值的S04阶段。与现有 技术相比，本发明提供的基于CVSS的漏洞风险基 础评估方法是在CVSS评估基础上，重新设计基础 评估指标权重分配方法，根据基础评估指标的相 对重要性对其权重进行优化分配，并与灰色关联 度指标权重求解方法结合，使评估结果更具客观 性，提高了评估结果的多样性，便于直观地对漏 洞威胁性加以区分。 A 9 4 5 0 2 2 7 0 1 N C CN 107220549 A 权　利　要　求　书 1/2 页 1.一种基于CVSS的漏洞风险基础评估方法，其特征在于：所述的基于CVSS的漏洞风险 基础评估方法包括按顺序进行的下列步骤： 1)对数据进行预处理的S01阶段：从NVD漏洞数据库内近三年收录的漏洞中随机选取若 干漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性影响这三项基础 评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包含的完全影响、 部分影响及无影响这三种属性的数据各自占比及类别间相互关联性，然后进入S02阶段； 2)确定上述三项基础评估指标的权重并进行最优化的S02阶段：为避免漏洞对系统机 密性的影响远高于对系统完整性和可利用性的影响，确定上述三项基础评估指标的权重， 并利用最优搜索方法进行优化而得到基础评估指标最优权重组合方案，然后进入S03阶段； 3)求解基础评估指标权重的S03阶段：利用基于灰色关联度指标权重求解方法将上述 最优权重组合方案先生成基础评估指标权值矩阵，然后从基础评估指标权值矩阵中每一列 选取权值最大的数值组成参考数据列，之后求解出三项基础评估指标的权重，进入S04阶 段； 4)计算出每一漏洞威胁的基础评估值的S04阶段：将上一步骤获得的三项基础评估指 标的权值带入CVSS中关于漏洞基本评价公式内，计算出每一漏洞威胁的基础评估值，并利 用该值对漏洞威胁进行评估。 2.根据权利要求1所述的基于CVSS的漏洞风险基础评估方法，其特征在于：在步骤1) 中，所述的从NVD漏洞数据库内近三年收录的漏洞中随机选取若干漏洞数据作为数据样本， 然后根据机密性影响、完整性影响和可利用性影响这三项基础评估指标的属性将上述每一 漏洞的数据分成三类，并统计出每类数据中包含的完全影响、部分影响及无影响这三种属 性的数据各自占比及类别间相互关联性的方法是：从NVD漏洞数据库内近三年收录的漏洞 中随机选取5000个漏洞数据作为数据样本，然后根据机密性影响、完整性影响和可利用性 影响这三项基础评估指标的属性将上述每一漏洞的数据分成三类，并统计出每类数据中包 含的完全影响、部分影响及无影响这三种属性