一种基于层次分析法的信息系统漏洞量化评估方法_李鑫.pdf

第 卷第期 年月计算机科学 到稿日期：返修日期：本文受国家 计划项目（），国家发改委信息安全专项项目（发改办高技 号）资助。李鑫（），男，博士生，主要研究方向为信息安全；郑雪峰（），男，教授，博士生导师，主要研究方向为计算机网络与信息安全；张友春（），男，博士生，主要研究方向为通信和信息安全；王少杰（），男，博士，主要研究方向为信息安全，：。一种基于层次分析法的信息系统漏洞量化评估方法李鑫李京春郑雪峰张友春王少杰（北京科技大学计算机与通信工程学院北京 ）（国家信息技术安全研究中心北京 ）摘要根据层次分析法提出了一种具有可操作性的信息系统漏洞量化评估方法。按照分层思想，将系统漏洞严重程度的模型分解为因素层、评价层、特性层和目标层，分别从风险概率、风险影响和不可控制性等几方面对漏洞带来的风险因素进行专家评定，并依此来确定权重，通过计算其各层评估值，最后得到信息系统的整体漏洞严重性评估值。实验结果表明，基于层次分析法的信息系统漏洞评估方法能对系统漏洞的严重性程度进行有效量化和评估。关键词层次分析法，信息系统，漏洞，评估方法中图法分类号 文献标识码 （）（，）（，）（），（），绪言随着信息技术发展而产生的信息安全问题，已成为各国政府有关部门和企事业单位领导人关注的热点问题。传统解决方法往往只是针对出现的问题予以暂时解决，多属于事后被动的防护方法，缺少系统的考虑。只有依靠科学有效的安全管理，实施综合全面的保障手段，才能取得良好的效果。在这一过程中，信息安全风险评估逐渐成为关键环节，。在大中型信息系统网络环境中，由于其组织结构复杂、分布点多、数据相对分散等，采用的网络拓扑结构大多为树形拓扑或者混合型拓扑。面对各种类别的漏洞，如何评估某个系统的漏洞整体情况，以更好地为安全管理提供参考性建议，是有待解决的问题。目前国内外的风险评估方法很多，但还没有统一的信息安全风险分析的方法，实际操作过程中还普遍存在定量分析、系统分析不足的问题。文献 提出了一种信息系统漏洞风险评估的定量方法与实现步骤，但其主要侧重于基于漏洞关联网络的漏洞风险评估模型；文献 对国内外漏洞分析领域的主要研究内容、方式、方法、技术、工具以及漏洞分析工作的现状做了回顾和综述，但没有分析对漏洞风险进行定性和定量分析的相关技术；文献 从空间和时间两个方面对漏洞的分布情况展开研究，综合利用漏洞在空间和时间中的分布信息定量评估网络漏洞带来的风险，设计并实现了网络漏洞评估原型系统，但没有划分漏洞风险等级和层次对漏洞进行定量风险评估；文献 通过引入不确定及未知信息因素，提出一种基于不完整攻击图分析的风险评估模型，但没有给出具体的定量风险评估方法。本文在以往研究的基础上，利用层次分析法建立信息安全风险评估模型，实现对信息安全风险的系统和定量分析，并以某企业信息安全现状为依据，分析各技术手段对总体风险的影响，提出一种针对信息系统漏洞的量化评估方法。按照分层思想将系统漏洞严重程度的模型分解为因素层、评价层、特性层和目标层，从风险概率、风险影响和不可控制性等几方面对漏洞带来的风险因素进行专家评定，并依此来根据权重计算其各层评估值，最后得到信息系统的整体漏洞严重性评估值。实验结果表明，基于层次分析法的信息系统漏洞评估方法能对系统漏洞的严重性程度进行有效量化和评估。信息安全风险评估方法目前国内外虽然存在很多信息安全风险评估的方法，但还没有统一的安全风险分析方法。不管哪种方法都是围绕资产、威胁、脆弱性、威胁事件之间的关系来建模，这些方法遵循了基本的风险评估流程，但在具体实施手段和风险的计算方法方面各有不同，从计算方法上分为定性分析方法、定量分析方法、定性与定量相结合的分析方法。定性分析方法定性分析方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断。它主要以与调查对象的深入访谈做出的个案记录为基本资料，然后通过一个理论推导演绎的分析框架对资料进行编码整理，在此基础上做出调查结论。典型的定性分析方法有因素分 析 法、逻 辑分 析 法、历 史 比 较法、德 尔菲法、矩 阵 法等，其优点是避免了定量分析方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面深刻。但其缺点也显而易见：主观性强，对评估者要求很高。定量分析方法定量的分析方法是指运用数量指标对风险进行评估，典型的方法有因子分析法、聚类分析法、时序模型、回归模型、决策树法等。定量分析方法的优点是用直观的数据来表述评估的结果，看起来一目了然，而且比较客观，但也容易简单化、模糊化，会造成误解和曲解，而且由于数据统计缺乏长期性，计算过程又容易出错，因此定量分析的细化非常困难。目前完全只用定量分析方法已经很少见到。信息安全评估的层次分析（）方法信息安全有关理论说明，安全风险评估中涉及的目标往往是多个，例如机密性、可用性和完整性等，是比较典型的多目标决策问题，而评估过程中的目标和准则又通常没有统一的计量单位。安全风险评估的这些特征正是层次分析法的优势所在。层次分析法（法）层次分析法（，），是美国运筹学家、匹茨堡大学教授托马斯萨提于 世纪 年代初提出的一种层次权重决策分析方法。层次分析法是一种定性与定量相结合的多目标决策分析方法。它简化了问题分析，使复杂问题的定量分析成为可能，为分析相互关联、相互制约的复杂问题提供了一种简单实用的分析方法。该方法中引入了判断矩阵，用此矩阵及其特征根检验决策者的思维是否一致，有助于决策者自我检验并进一步保持判断思维的一致性。其主要思想是通过分析复杂系统的有关要素及其相互关系，把其简化为有序的递阶层次结构，使这些要素归并为不同的层次，形成一个多层次的分析结构模型，最终把系统分析归结为最低层因素（供决策的方案、措施等）相对于最高层目标（总目标）的相对重要性权值的确定问题。法一般可分为以下个具体步骤：）建立层次结构模型在深入分析所研究的问题后，将问题中所包含的因素划分为不同的层次（如目标层、准则层、方案层、措施层等），并画出层次结构图，表示层次的递阶结构和相邻两层因素的从属关系。）构造判断矩阵两个层次中，高层次为目标，低层次为因素。决策者用两两比较法对多个因素的重要程度做比较。在比较时引进级分制，用表示，含义如表所列。表层次分析法中级分制及含义标度含义表示两个因素相比，具有同样的重要性表示两个因素相比，一个因素比另一个因素稍重要表示两个因素相比，一个因素比另一个因素重要表示两个因素相比，一个因素比另一个因素重要的多表示两个因素相比，一个因素比另一个因素极为重要 上述两判断的中间值（和；和）上述两判断的中间值（和；和）倒数相应两因素交换次序比较的重要性）层次单排序及一致性检验由判断矩阵的最大特征根和其相应的特征向量可求各因素关于上层目标的权重和进行一致性检验。如果通过一致性检验，那么求得的权重可用，否则需要修改判断矩阵，重新进行排序及一致性检验。）层次总排序在得到相邻两层次间低层因素相对于高层因素的权重后，为了计算某一层次各因素相对最高层的权重，需要进行层次总排序。设上一层次包含个因素，其层次总排序的权值分别为，下一层次包含个因素，它们对于因素（，）的层次单排序权值分别为，（当与无联系时，），则层次总排序权值的计算如表所列。表层次总排序计算表层次层次总排序权值 ）层次总排序的一致性检验同相邻两层次间需要一致性检验一样，在层次总排序后，也需要进行一致性检验。这一步是从高到低逐层进行的。如果层次若干因素对于上一层次某一因素的单排序一致性检验指标为，相应的随机一致性指标为，则层次总排序随机一致性比率为 （）类似地，当 时，认为层次总排序结果具有满意的一致性；否则，需要重新调整判断矩阵的元素值。法中的计算方法从法解决问题的步骤可以看到，层次分析法计算的根本问题是求判断矩阵的最大特征根和对应的特征向量。其计算方法分为精确计算和近似计算两种。常用的两种近似计算方法是和积法及方根法。和积法设判断矩阵为阶正互反矩阵（），则用和积法求最大特征向量和特征根的方法如下：（）用式（）对按列规范化：珔 （）式中，。（）将规范化后的判断矩阵用式（）按行相加：珔（）式中，。（）对向量珨（）用式（）规范化：（）则即为最大特征向量的近似值。（）利用最大特征向量求最大特征根的近似值 ：（）（）式中，（）表示向量的第个元素。方根法设判断矩阵为阶正互反矩阵（），则用方根法求最大特征向量和特征根的方法如下：（）用式（）计算判断矩阵每一行元素的乘积：（）式中，。（）计算的次方根：珔槡（）式中，。（）对向量珨（）用式（）规范化求最大特征向量的近似值。（）利用最大特征向量求最大特征根的近似值 。一致性检验判断矩阵是用两两比较法和决策者对话得到的，因素较多时，可能会发生判断不一致的情况。由于判断矩阵是根据专家经验给出的主观判断，因此不一致性在所难免，但不一致性需在一定范围内才可以被接受。一致性检验就是考察判断不一致程度的方法。为了进行一致性检验，定义了一致性检验指标：（）式中，为判断矩阵的阶数。显然，当完全一致时，。当不一致时，一般越大，一致性也越差，所以引入了平均随机一致性指标（）和随机一致性比率：（）平均随机一致性指标 是这样得到的：对于特定的，随机构造阶正互反矩阵，其中 是从，中随机抽取，这样得到的 可能是最不一致的。取充分大的子样，得到 的最大特征根的平均值 。表阶矩阵的平均随机一致性指标 平均随机一致性指标 定义如下：（）对于阶判断矩阵，给出了如表所列的阶矩阵 的值。的引入在一定程度上克服了一致性检验指标 随矩阵阶数增大而明显增大的弊端。在进行一致性判定时，如果随机一致性比率 ，则认为不一致性可以被接受；若 ，认为不一致性不能接受，需要修改判断矩阵。信息系统漏洞评估系统的漏洞评估是该系统中具有漏洞的节点整体的评估，要想得到准确的评估结果，需要把具有漏洞的节点逐层分解。本文利用分层细化的量化评估思路，将综合的、复杂的信任评估问题细化为可测量、可计算的层次分析问题。如图所示的系统漏洞严重程度模型说明了漏洞评估分解为层的基本分解方法。这种“分解”不仅可以有效解决网络中漏洞评估的笼统性、不确定性问题，而且可以有效地解决整体和部分、确定和非确定的相互转换关系，具有良好的可行性。按照层次化分析法的思想，将系统漏洞严重程度的评估分解为层，分别是因素层、评价层（措施层）、特性层（准则层）、目标层。因素层是指包括本地漏洞攻击、远程漏洞攻击、信息泄露等漏洞影响的基本因素，在评估中使用基于 节中的方法为每个因素赋予权重值。评价层是根据因素层对漏洞形成的主因、利用的方式、存在位置、导致的威胁及造成的损害等（依次用表示）漏洞各具体方面分别进行评价。特性层是综合评价层的分析结果，进一步分析漏洞的风险概率、漏洞影响、漏洞不可控性等（依次用表示）漏洞抽象层面的特性因素。最后，目标层针对下面层的分析结果，给出信息系统中漏洞严重程度的综合评估。基于 的权重确定在用多个漏洞属性评估系统的漏洞严重程度时，要考虑到各漏洞的重要程度的不同。我们用不同的权重来表示不同评价因素的相对重要性，用方法来求各个证据的权重。在如图所示的信任分解模型中，假设与特性层中漏洞风险概率相关的漏洞评价因素有个，分别为，则对于这个证据，根据其对于系统安全性的相对重要性两两比较，得到阶判断矩阵：烄烆烌烎（）对矩阵进行列规范化，得：珚 烄烆烌烎 烄烆烌烎（）图系统漏洞严重程度的分解模型图对珚按行相加，得珟（）（）再对珟规范化即得权重：，（）（，）（）通过一致性检验后即得所求权重，表示的是漏洞形成的主要原因、漏洞被攻击者利用的方式（本地攻击漏洞、远程攻击漏洞）、漏洞所指目标漏洞存在的位置（操作系统、网络协议栈、非服务器程序、服务器程序、硬件、通信协议、口令恢复、其他）、漏洞导致的直接威胁（普通用户访问权限、本地管理员权限、权限提升、本地拒绝服务、远程拒绝服务、读取受限文件、远程非授权文件存取、口令恢复、欺骗、信息泄漏、其他）、漏洞对系统安全性造成的损害（有效性、隐秘性、完整性、安全保护）等。类似地，可以计算的（，）（）及 的（，）（）等相关的评价因素的权重值，也可计算特性层中各特性的相对权重（，）。信息系统漏洞评估信息系统的安全漏洞特性是某一类相关的所有漏洞评价的有机组合，漏洞的评价是多项漏洞因素的组合。在评价某个信息系统漏洞严重程度时，需要对漏洞形成的原因、本地攻击漏洞、远程攻击漏洞、操作系统漏洞、网络协议栈漏洞、通信协议漏洞、本地管理员权限漏洞、拒绝服务漏洞、信息泄漏、系统的有效性、隐秘性、完整性等因素层的每个因素进行评价，评价值用 表示。在因素层中，取因素评价值 ，表示对第个漏洞特性的第个漏洞因素的评价值。设表示该信息系统所包含漏洞因素的个数，即因素层所包含的因素的个数，表示所有因素中包含漏洞因素的最大数值，没有达到最大值的可以让对应的值为，是 的权重值（，；，）。用矩阵的形式表示各漏洞因素及其权重，即漏洞因素的评价值矩阵为 烄烆烌烎（）权重矩阵为 烄烆烌烎（）则评价层中各评价的评估值可以用式（）计算。烄烆烌烎 烄烆烌烎 烄烆烌烎 烄烆烌烎 烄烆烌烎（）结果矩阵的主对角线值即为评价层中各个评价的评估值，取得式（）中得到的各个评价的评估值向量（）（），此时可以使用评价的评估值和评价的权重来评估特性值。因为评价层中各评价的相对权重表示为（）（），则特性层各个特性评估值的计算公式为：（）（）（）特性层中各个特性的评估值向量（）（），此时可以使用特性的评估值和特性的权重来评估整体信息系统的漏洞严重程度。因为评价层中各评价的相对权重表示为（）（），所以信息系统的整体漏洞严重性评估值的计算公式为：（）（）（）式中，（），其中（，）表示按照级国家等级保护要求划分的参数因子，取值和图像分别如表所列。表等级保护中漏洞严重度参数因子的取值等保一级要求 等保二级要求 等保三级要求 等保四级要求 等保五级要求 图等级保护中漏洞严重度参数因子的取值图 漏洞评估等级为了更合理地评估系统漏洞的严重性，这里对漏洞的风险概率、漏洞的风险影响和漏洞的可控性等级进行定义，以便为漏洞的严重性评价提供量化参考。构造漏洞的风险概率的模糊集合，其中，分别为漏洞形成的原因、漏洞被攻击者利用的方式、漏洞所指目标漏洞存在的位置、漏洞导致的直接威胁、漏洞对系统安全性造成的损害。漏洞风险因素集的评判集，其含义见表。表漏洞的风险概率等级定义概率等级描述可以忽略的基本不可能发生很低每年可能发生二到三次低每一年或不到一年可能发生一次中等每个月或不到个月可能发生一次高每个月或不到一个月可能发生一次很高每个月可能发生多次极高每天可能发生多次构造漏洞影响集的判断集，其含义见表。表漏洞影响的等级定义影响等级描述可以忽略的漏洞对系统几乎没有影响微小对系统有很小的影响，只须很小的努力就可恢复系统一般能引起系统声望的损害，或是对系统资源或服务的信任程度的降低，需要支付重要资源维修费严重可引起重要系统中断，或连接客户损失或商业信任损失非常严重可引起系统持续中断或永久关闭，可引起代理信息或服务的重大损失构造漏洞不可控性的集合，及漏洞不可控性集的评判集，其含义见表。表漏洞不可控性的等级定义不可控等级描述很低国内科研机构和国内企业掌握所用硬件设备的构成、原理、关键核心技术（不包括套用未经深度剖析的国外引进产品）；系统配套软件模块大部分实现国产化，具有国内自主知识产权和源代码；对全部设备有应对突发事件的预案；对全部设备在投入使用前进行系统全面的产品安全性检测；系统使用中可实现对包括核心关键设备在内 以上设备的事前监控、事中审计和事后追查。低国内科研机构和国内企业掌握关键硬件设备的构成、原理、关键核心技术（不包括套用未经深度剖析的国外引进产品）；系统配套软件模块部分实现国产化或可有效地对相关软件开展解密研究，具有国内自主知识产权并可获得模块源代码；对国外引进设备、产品通过硬件解剖分析及软件逆向分析等技术手段较全面掌握设备的安全薄弱环节，有应对突发事件的预案；对国外引进设备在投入使用前进行系统全面的产品安全性检测；系统使用中可实现对包括核心关键设备在内 以上设备的事前监控、事中审计和事后追查。中等国内科研机构和国内企业掌握部分硬件设备的构成、原理、关键核心技术（不包括套用未经深度剖析的国外引进产品）；系统配套软件模块部分实现国产化或可有效地对相关软件开展解密研究，部分软件模块具有国内自主知识产权或可获得模块源代码；对国外引进设备有应对突发事件的预案；对国外引进的关键设备在投入使用前进行系统全面的产品安全性检测；系统使用中可实现对核心关键设备在内 以上设备的事前监控、事中审计和事后追查。高国内科研机构和国内企业掌握部分硬件设备的构成、原理、关键核心技术（不包括套用未经深度剖析的国外引进产品）；系统配套软件模块部分实现国产化或可有效地对相关软件开展解密研究。对国外引进设备有应对突发事件的预案；对国外引进的部分设备在投入使用前进行系统全面的产品安全性检测；系统使用中可实现对核心关键设备在内 以上设备的事前监控和事中审计。极高可通过硬件解剖分析掌握极少部分硬件设备的构成、原理；只可极少部分有效地对系统配套软件模块开展解密研究。对国外引进设备有应对突发事件的预案；对国外引进的部分设备在投入使用前进行产品安全性抽检；系统使用中可实现对核心关键设备在内 以下设备的事前监控。实例分析在对某重要信息系统进行风险评估中，针对该系统中所存在的漏洞进行了挖掘和评估分析，该信息系统存在本地攻击漏洞、远程攻击漏洞、操作系统漏洞、远程拒绝服务、应用服务漏洞等。这些漏洞形成的原因包括不一致的参数校验、特权或保密数据的隐含共享、易违背的禁止与限制、可利用的逻辑错误；漏洞导致的直接威胁包括权限提升、本地拒绝服务、远程拒绝服务、信息泄漏等；漏洞对系统安全性造成的损害包括有效性、隐秘性、完整性、安全保护等。对于上述漏洞评估，首先构造第二层次（特征层）相对于第一层次（目标层）的判断矩阵。第二层准则以第一层为依据的判断矩阵为：熿燀燄燅（）然后计算第二层次的相对权重。首先求出特征向量（，）。对进行归一化，得到排序权向量（，）。通过专家参照漏洞风险概率进行评价，每个专家对各个风险因素确定其风险概率为，中的一种。结合各个专家的评定意见，计算各第三层（评价层）各指标的概率则可得到隶属度矩阵。熿燀燄燅（）由隶属度矩阵计算排序权向量。对 隶属度矩阵，确定标准，的权重依次为、，按照公式 求得各漏洞因素在漏洞概率下的相对权重（，），归一化 后 得 到 排 序 权 向 量（，）。通过专家参照漏洞影响进行评价，每个专家对各个风险因素确定其风险概率为，中的一种。结合各个专家的评定意见，计算各第三层各指标的概率则可得到隶属度矩阵。熿燀燄燅（）对隶属度矩阵，确定标准，的权重依次为、，按照公式 求得各因素在准则的相对权重为（，），归一 化 后得到（，）。参照漏洞不可控性评价，每个专家确定其不可控性为，中的一种。结合各个专家的评定意见，计算各第三层各指标的概率得到隶属度矩阵。熿燀燄燅（）对隶属度矩阵，确定标准，的权重依次为、，按照公式 求得各因素在准则下的相对权重（，），归一化后得到（，）。通过 计 算，得 到，的 综 合 重 要 度 分 别 为 、，如图所示。图表明了相同的漏洞严重程度在对应五级系统中的不同情况。图展示了不同级别的漏洞和等保对风险评估值的影响。图层次分析法的风险值图相同的漏洞严重程度在对应级系统中的不同图不同级别的漏洞和等保对风险评估值的影响结束语本文采用 方法思想，建立了包括因素层、评价层、特性层和目标层层的系统漏洞严重程度分解模型。对漏洞的风险概率、漏洞的风险影响和漏洞的可控性等级进行了定义，为漏洞的严重性评价提供了量化参考。并通过详细分析，逐层推导了计算量化评估值的计算方法。最后通过案例分析可知，本文方法比较客观地反映了实际情况，是一种具有可操作性的信息系统漏洞评估方法。参 考 文 献 冯登国，张阳，张玉清信息安全风险评估综述通信学报，（）：白思俊系统工程北京：电子工业出版社，：，：刘勇，林奇，孟坤一种基于信息熵的企业信息系统的安全风险定量评估方法计算机科学，（）：肖魏娜，张为群，王玲玲一种基于 神经网络的软件需求分析风险评估模型的研究计算机科学，（）：周亮，李俊娥，陆天波，等信息系统漏洞风险定量评估模型研究通信学报，（）：吴世忠信息安全漏洞分析回顾与展望清华大学学报：自然科学版，（）：朱明网络漏洞评估技术研究北京：国防科学技术大学，吴焕，潘林，王晓箴，等应用不完整攻击图分析的风险评估模型北京邮电大学学报，（）：王伟，李春平，李建彬信息系统风险评估方法的研究计算机工程与设计，（）：汪楚娇，陆鑫炎，王拓基于网络安全层次化的风险评估系统计算机工程，（）：陈秀真，郑庆华，管晓宏，等 层次化网络安全威胁态势量化评估方法 软件学报，（）：姚淑萍 攻防对抗环境下的网络安全态势评估技术研究 科技导报，（）：朱振国，郡羽，张闽，等一种量化的网络安全态势评估方法微计算机信息，（）：陆余良，夏阳 层次分析法在目标主机安全量化融合中的作用计算机工程，（）：