[发明专利]一种基于攻击过程的漏洞严重度综合评估方法和系统

摘要

本发明公开了一种基于攻击过程的漏洞严重度综合评估方法和系统，其中方法的实现包括：离线训练和在线评估部分，离线训练部分包括：定义插桩特征集合与插桩属性之间的映射关系，以及插桩属性的评估规则；采集插桩属性，利用插桩属性的评估规则得到插桩属性的等级，进而根据插桩特征集合与插桩属性之间的映射关系，得到插桩特征集合的等级；训练得到属性处理模型；在线评估部分包括：对于插桩属性，利用属性处理模型得到插桩特征集合的等级，对于监控属性直接得到监控特征集合的等级，进行综合评估得到攻击过程的漏洞严重度。本发明对攻击过程的漏洞严重度进行综合评估，排除人为因素的影响，得到的漏洞严重度准确性很高。

主权项

1.一种基于攻击过程的漏洞严重度综合评估方法，其特征在于，包括离线训练和在线评估部分，所述离线训练部分包括：(S1)定义插桩属性与插桩特征集合之间的映射关系，以及插桩属性的评估规则；(S2)采集插桩属性，利用插桩属性的评估规则得到插桩属性的等级，进而根据插桩属性与插桩特征集合之间的映射关系，得到插桩特征集合的等级；(S3)对所有的插桩属性重复步骤(S2)，训练得到属性处理模型；所述在线评估部分包括：(T1)采集攻击过程的属性，攻击过程的属性包括插桩属性和监控属性；(T2)对于插桩属性，利用属性处理模型得到攻击过程中的插桩特征集合等级；对于监控属性，由系统直接得到攻击过程中的监控特征集合等级；(T3)对插桩特征集合的等级和监控特征集合的等级进行综合评估得到攻击过程的漏洞严重度；所述插桩特征集合包括：攻击向量(AV)、攻击复杂度(AC)、认证(AU)、私密性(C)和完整性(I)，所述监控特征集合为可用性(A)；所述综合评估的具体实现方式为：P＝(m×a₁×a₂×a₃+n×(1‑(1‑a₄)×(1‑a₅)×(1‑a₆))‑k)×f其中，P为攻击过程的漏洞严重度，a₁表示攻击向量的等级，a₂表示攻击复杂度的等级，a₃表示认证的等级，a₄表示私密性的等级，a₅表示完整性的等级，a₆表示可用性的等级，m为第一预设值，n为第二预设值，k为第三预设值，f为评估参数；所述步骤(S1)的具体实现方式为：(S11)定义AU属性与AU特征集合之间的映射关系，AU＝{Op,Sp}，其中Op代表系统的密码文件路径参数，Sp代表漏洞软件的密码文件路径参数，提取与AU相关的属性的路径参数；(S12)AU的属性评估规则：AU定义为三个等级：高、中和低；(S13)定义AV特征集合与AV属性的映射关系：AV＝{N,A,L,P}，其中N代表了远程攻击类型，A代表了局域网攻击类型，L代表了本地攻击类型，P代表了物理攻击类型；(S14)AV的属性评估规则：AV定义为四个等级：远程攻击等级，局域网攻击等级，本地攻击等级，物理攻击等级；(S15)定义AC特征集合与AC属性的映射关系：AC＝{Sc,DSC}，其中Sc代表了漏洞软件的配置，DSC代表了不同的危险系统调用；(S16)AC的属性评估规则：AC定义为三个等级：高、中、低；(S17)定义C特征集合与C属性的映射关系：C＝{t|t∈({r}∩(F p1‑F p2))or t∈({r}∩(Up1‑Up2))}，其中，Fp1、Fp2、Up1和Up2分别代表不同用户的文件权限，r代表了是属性中含有读权限,t代表了是属性中具有的权限；(S18)C的属性评估规则：C定义为三个等级：高、低、无；(S19)定义I特征集合与I属性的映射关系：C＝{t|t∈({w}∩(F p1‑F p2))or t∈({w}∩(Up1‑Up2))}，其中，Fp1、Fp2、Up1和Up2分别代表不同用户的文件权限，w代表了是属性中含有写权限,t代表了是属性中具有的权限；(S20)I的属性评估规则：I定义为三个等级：高、低、无。