CN106971109-CN201710181996-一种基于指标权重的漏洞挖掘方法的评估策略.pdfVIP

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 106971109 A (43)申请公布日 2017.07.21 (21)申请号 201710181996.4 (22)申请日 2017.03.24 (71)申请人 南开大学 地址 300071 天津市南开区卫津路94号 (72)发明人 过辰楷　孙晓卉　朱静雯　徐亦凡　 康介恢　许静　 (74)专利代理机构 天津佳盟知识产权代理有限 公司 12002 代理人 侯力 (51)Int.Cl. G06F 21/57(2013.01) 权利要求书2页 说明书7页 附图2页 (54)发明名称 一种基于指标权重的漏洞挖掘方法的评估 策略 (57)摘要 本发明公开了一种基于指标权重的漏洞挖 掘方法的评估策略，该策略首先定义了漏洞挖掘 方法的评估体系，然后将AHP层次分析法应用于 由漏洞挖掘方法评估体系映射而来的层次结构 中，根据不同评估指标对漏洞挖掘方法效果的影 响构造判断矩阵，进行层次单排序，通过一致性 判断方法检验所得到的各级指标权重与实际权 重是否相符合，进而计算漏洞挖掘方法的整体评 分，根据定量计算的评分结果得到漏洞挖掘方法 的定性结果。本发明综合各种评估指标对漏洞挖 掘方法进行评估，为漏洞挖掘人员选择适合的方 A 法提供了较为全面的参考，具有系统性和完备 9 性，可以用于漏洞挖掘方法评估的技术领域。 0 1 1 7 9 6 0 1 N C CN 106971109 A 权　利　要　求　书 1/2 页 1.一种基于指标权重的漏洞挖掘方法的评估策略，其特征在于含有以下步骤： 步骤1、定义漏洞挖掘方法评估体系； 步骤2、将AHP方法应用于对漏洞挖掘方法的评估场景中，利用AHP对漏洞挖掘方法评估 体系中的评估指标进行定量计算，定量计算的步骤包括：建立漏洞挖掘方法评估指标层次 结构模型，构造判断矩阵、层次单排序和一致性判断； 步骤3、采用综合评分和指标评分的方式对漏洞挖掘方法进行综合评价。 2.根据权利要求1所述的基于指标权重的漏洞挖掘方法的评估策略，其特征在于步骤1 所述的漏洞挖掘方法评估体系中包括了漏洞挖掘方法的三级评估指标； 一级评估指标包括功能性、效率、可靠性、易用性和可扩展性； 功能性的二级指标包括漏洞数、漏报率、误报率、正确率和覆盖率； 效率的二级指标包括响应时间开销、CPU开销和内存开销； 可靠性二级指标包括挖掘漏洞类型和漏洞危险级别； 易用性二级指标包括部署难易程度、易操作性、漏洞报告的易理解性和自动化程度； 可扩展性二级指标包括可移植性、易维护性和检测语言种类； 覆盖率三级指标包括语句覆盖率和分支覆盖率； 漏洞危险级别三级指标包括攻击复杂性、漏洞利用权限、漏洞访问途径、保密性影响、 完整性影响和可利用性影响。 3.根据权利要求1所述的基于指标权重的漏洞挖掘方法的评估策略，其特征在于步骤2 所述的建立漏洞挖掘方法评估指标层次结构模型由步骤1映射得来，即根据步骤1定义的漏 洞挖掘方法评估体系，将对漏洞挖掘方法的评估按照总目标、次级目标的关系分为不同的 评估指标层级，高级指标层级受多个低级指标层级影响，如此迭代下去，形成一级指标、二 级指标和三级指标，建立出漏洞挖掘方法评估指标层次结构模型；层次结构模型中，使用w 表示子指标所占权重比值，其中子指标是下级指标相对于上级指标而言； 所述构造判断矩阵表示的是根据步骤1所述的漏洞挖掘方法评估体系包括三级评估指 标中某一级评估指标针对上一级某一个评估