1、邮电设计技术/2023/08收稿日期:2023-07-051 概述漏洞风险评估是网络安全领域的一项关键任务,旨在识别和评估系统中存在的漏洞,并确定其威胁程度和修复优先级。随着安全技术的不断发展,出现了多种漏洞评估方法和技术,不过这些技术在实际应用场景存在着不足和缺陷。已有漏洞评估技术虽然可以对系统的漏洞进行挖掘并基于CVSS等指标对漏洞进行评分和定级,但是对漏洞的潜在威胁和影响程度的评估不够全面和准确,存在误报、漏报以及优先级定级不准确的问题,有时会产生大量的虚警,需要人工二次验证和分析。而安全团队通常需要在有限的时间、人力和财力资源的条件下,将有限资源集中用于修复最紧急的高危漏洞,从而最大程
2、度地降低系统遭受攻击的风险。基于以上问题,本文利用漏洞优先级技术(VPT),结合已有安全评估技术模型,提出一种适用于实际工作场景的综合动态风险优先级评估方案。2 整体思路首先,以资产动态画像为基础,完善漏洞评估上下文信息。通过收集和分析资产的基本属性、配置信基于漏洞优先级技术的综合动态风险评估方案研究Research on Comprehensive DynamicRisk Assessment Scheme Based onVulnerability Priority Technology关键词:资产动态画像;漏洞优先级;威胁情报;风险管理doi:10.12045/j.issn.1007-3
3、043.2023.08.013文章编号:1007-3043(2023)08-0057-05中图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:随着信息技术的不断发展和网络威胁的日益增加,对企业资产的漏洞评估变得至关重要。然而,传统的漏洞评估方法忽视了资产的动态特性和环境上下文,无法准确评估漏洞的优先级和风险。为了解决这一问题,提出了一种基于漏洞优先级技术的综合动态风险评估方案。该框架将资产的静态和动态信息进行综合分析,并结合环境因素和威胁情报,全面评估漏洞的优先级,以帮助企业有效地管理漏洞风险。Abstract:With the continuous dev
4、elopment of information technology and the increasing number of network threats,vulnerability as-sessment of enterprise assets has become crucial.However,traditional vulnerability assessment methods overlook the dy-namic characteristics and environmental context of assets,and cannot accurately asses
5、s the priority and risk of vulnerabilities.To address this issue,it proposes a comprehensive dynamic risk assessment scheme based on vulnerability priority technolo-gy.This framework comprehensively analyzes the static and dynamic information of assets,and combines environmental fac-tors and threat
6、intelligence to comprehensively evaluate the priorityies of vulnerabilities,in order to help enterprises effectivelymanage vulnerability risks.Keywords:Dynamic asset profiling;Vulnerability priority;Threat intelligence;Risk management刘果1,杨丽丽1,戚大强1,陈晨1,郭钰璐2(1.中讯邮电咨询设计院有限公司,北京 100048;2.中国联通智网创新中心,北京 1
7、00048)Liu Guo1,Yang Lili1,Qi Daqiang1,Chen Chen1,Guo Yulu2(1.China Information Technology Designing&Consulting Institute Co.,Ltd.,Beijing 100048,China;2.Intelligent Network&Innovation Center of China Unicom,Beijing 100048,China)刘果,杨丽丽,戚大强,陈晨,郭钰璐基于漏洞优先级技术的综合动态风险评估方案研究安全风险评估Security Risk Assessment引用格
8、式:刘果,杨丽丽,戚大强,等.基于漏洞优先级技术的综合动态风险评估方案研究 J.邮电设计技术,2023(8):57-61.572023/08/DTPT息、漏洞情报、访问日志等数据,构建包括资产的拓扑关系、业务关联、访问模式等信息的资产动态画像。其次,在资产画像的基础上,本文提出了一种综合评估模型,将静态和动态画像与漏洞数据进行关联分析。利用机器学习和数据挖掘技术,对漏洞进行分类和聚类,识别出具有相似特征和潜在威胁的漏洞群组。根据资产的重要性、漏洞的严重性、攻击复杂性、情报及时性、上下文环境制约性等因素,计算漏洞的优先级,并生成漏洞修复建议。进一步地,本文考虑通过一种动态调整机制,基于实时的资产
9、和威胁情报,对漏洞的优先级进行动态调整。通过监测资产的变化和收集最新的威胁情报,及时更新资产画像和漏洞评估结果,确保评估结果的准确性和实用性。最后,本文设计了一套完整的系统架构解决方案。基于漏洞优先级技术的综合动态风险评估方案能够提高漏洞评估的准确性和实用性,帮助企业更好地管理漏洞风险,加强网络安全防护能力。3 方案设计3.1 资产画像3.1.1 信息收集资产的信息收集包括静态资产信息收集和动态资产信息收集(见图1)。在资产动态画像构建过程中,静态资产信息包括企业的网络设备、服务器、应用程序和数据库等。收集静态资产信息的方法可以包括网络扫描、资产清单管理工具和配置文件分析等。通过收集和分析这些
10、信息,可以获取资产的基本属性和配置信息,如IP地址、操作系统版本、开放端口和安装的应用程序等。静态资产信息可以通过资产扫描,离线同步等手段按日/周不同的频率进行周期性的资产数据同步更新。除了静态资产信息,动态资产信息也对资产动态画像的构建至关重要。动态资产信息包括资产的活动状态、网络流量和日志数据等。为了收集动态资产信息,可以使用入侵检测系统(IDS)、防火墙日志和网络流量监测工具等。通过分析动态资产信息,可以获取资产的实时活动情况,包括网络连接、访问模式和行为特征等。动态资产信息可以采用大数据实时采集技术,结合数据采集引擎和实时流分析引擎进行数据的实时采集、关联分析和实时更新。3.1.2 画
11、像构建在收集分析静态和动态资产信息之后,开始构建资产的画像。资产画像是对资产特征和行为的综合描述,可以包括资产的基本信息、配置状态、基线详情和安全事件历史等。资产画像的构建可以使用数据聚合和数据挖掘技术,将收集到的各类资产信息进行整合和分析。同时,为了保持资产画像的实时性,需要定期更新资产信息,包括新增资产的识别、已有资产信息的更新和不再使用资产的移除等。图2所示为资产画像构建的详细流程。通过以上资产动态画像构建方法,可以全面了解企业的网络资产,包括其配置状态、基线详情和历史安全事件等。这为后续的漏洞优先级综合评估提供了基础数据和信息。下面将介绍基于漏洞优先级技术的综合动态风险评估方案的设计。
12、3.2 评估模型3.2.1 漏洞分类漏洞评估涉及对不同漏洞的分类和聚类分析。漏洞分类是将漏洞按照其特征和危害程度进行分类,以便更好地理解漏洞的属性和影响。可以使用机器学习算法,如决策树、支持向量机和神经网络等方法进行漏洞分类。聚类分析则是将相似特征的漏洞进行分组,以便对同类漏洞进行综合评估和处理。常用的聚类算法包括K均值聚类、层次聚类和DBSCAN等。图1资产信息收集图2资产画像构建配置核查资产清单资产管理资产发现资产动态画像IP系统端口应用网络连接访问模式行为特征异常日志流量分析防火墙入侵防御资产识别信息收集动态更新静态信息收集动态信息收集聚合分析及资产归类资产画像构建刘果,杨丽丽,戚大强,
13、陈晨,郭钰璐基于漏洞优先级技术的综合动态风险评估方案研究安全风险评估Security Risk Assessment58邮电设计技术/2023/08同时,为了增强漏洞评估的准确性和精确性需要考虑外部威胁情报的收集和分析。威胁情报可以包括已公开的漏洞信息、漏洞在野利用情况、攻击事件的情报和黑客组织的活动情况等。通过收集和分析威胁情报,可以及时了解最新的漏洞威胁和攻击趋势,为漏洞的分类和聚类提供动态分析依据(见图3)。3.2.2 优先级评估图4所示为漏洞优先级评估模型的整体设计,在此设计中,首先需要进行资产数据预处理和特征选择。数据预处理包括数据清洗、缺失值处理和异常值检测等步骤,以确保输入数据的
14、质量和完整性。特征选择则是从大量的特征中选择出对漏洞优先级评估有重要影响的特征。可以使用特征选择算法来选择最具有代表性和区分度的特征。其次,利用加权评分算法(参考DREAD模型)选定系统的损害程度、可重现性、利用难度、受影响的用户数量、可发现性作为评估指标。结合资产画像、漏洞情报、漏洞分类及上下文场景,进行指标的权重分析并为每个指标分配相应的权重。通过指标归一和加权计算来计算漏洞的优先级并最终确定漏洞的优先修复顺序,生成修复建议。修复建议的生成可以基于漏洞的特征和修复策略,为每个漏洞提供相应的修复建议,以帮助企业有效地修复漏洞并降低潜在风险。通过对不同特征子集的反复迭代、权重调整进行交叉验证,
15、获取不同特征集条件下的漏洞优先级评估结果。通过对不同批次评估进行环评对比和人工分析来确定最终的特征集和权重分配原则。基于上述模型对log4j典型漏洞的分析结果如图5所示。cvss对于 log4j漏洞评级为高危漏洞。而基于本文综合评估模型,在不同类型的网络开放配置、不同级别的资产场景下得到的漏洞级别各不相同,也更符合实际的运维修复场景。通过以上综合评估模型的设计,可以综合考虑漏洞的各种特征和影响因素,从而准确评估漏洞的优先级和风险。下面本文将介绍动态调整机制的设计,以进一步完善基于漏洞优先级技术的综合动态风险评估方案。3.3 动态策略3.3.1 持续监测在资产动态画像的综合评估方案中,需要及时监
16、测和更新资产的动态变化。为了实现对资产的动态监测,可以采用主动扫描、被动监测和日志分析等方法。一旦检测到资产的变化,及时更新资产画像,以确保评估的准确性和实时性。为了增强漏洞评估的图3漏洞聚合分类图4漏洞优先级评估模型图5log4j分析结果机器学习、决策树防御情报特征影响范围攻击事件漏洞分类黑客活动在野利用模型1:内网环境,VPN可达,未开放对外端口、核心应用模型2:内网环境,开放对外瑞口、边缘应用模型3:公网环境,未开放对外端口、边缘应用模型4:公网环境,开放对外端口、边缘应用漏洞级别评估模型cvss模型1 模型2 模型3 模型4高危中危低危反复迭代交叉验证指标评估关联资产画像关联漏洞信息漏
17、洞分类漏洞特征漏洞情报评估指标特征排序和剔除特征选择算法资产数据清洗补全漏洞修复建议生成漏洞修复及数据反馈系统的损害程度可重现性利用难度受影响的用户数量可发现性动态资产画像权重分析指标归一加权计算刘果,杨丽丽,戚大强,陈晨,郭钰璐基于漏洞优先级技术的综合动态风险评估方案研究安全风险评估Security Risk Assessment592023/08/DTPT及时性和精确性,动态调整机制需要考虑外部威胁情报的收集、更新和分析。通过收集和分析威胁情报,及时了解最新的漏洞威胁和攻击趋势,从而对漏洞的优先级进行动态调整和修订。3.3.2 动态优化评估结果的动态调整是基于资产变化和威胁情报的更新,对之
18、前的评估结果进行修正和调整。当资产发生变化或出现新的威胁情报时,可能会影响漏洞的优先级和修复建议。因此,动态调整机制需要及时将新的信息融入评估模型,重新计算漏洞的优先级,并生成更新后的修复建议。这样可以保持评估结果的及时性和准确性,以应对不断变化的网络安全环境(见图6)。通过监听资产画像的实时变化和漏洞情报的动态更新,对相应资产触发新一轮的漏洞优先级加权评估计算,并对历史评估结果进行覆盖更新。通过以上动态调整机制,基于漏洞优先级技术的综合动态风险评估方案可以根据资产变化和威胁情报的动态更新,及时调整和修正评估结果,提高评估的准确性和可靠性。下面将介绍该方案的整体架构和完整流程。3.4 系统架构
19、3.4.1 方案架构在本方案中,需要设计一套系统架构来支持漏洞评估的整个流程。系统架构设计是保证系统功能完整性和可扩展性的关键。该功能应包括数据收集模块、特征提取与选择模块、评估模型模块、结果输出模块等关键模块。这些模块需要相互协作,以实现资产动态画像的构建和漏洞优先级的综合评估。同时,该架构应支持漏洞跟踪、风险态势、漏洞修复可拓展功能来提升整个方案的功能性和可用性(见图7)。3.4.2 整体流程前面对方案的整体架构进行了汇总。在此基础上,结合以上各子功能模块方案设计,下面将对方案的完整评估流程进行进一步的解释说明。图8所示为整体方案的构建、评估、修复流程。首先将资产画像和漏洞分类模型作为评估
20、基础,进行持续的动态更新。其次通过对资产特征、上下文环境、漏洞分类、威胁情报等信息进行加权评估或者规则推理完成漏洞优先级的评估以及生成修复建议。最后通过漏洞跟踪、情报对比进行漏洞修复,并完成整体风险态势分析。4 优势与改进4.1 方案优势本方案具有多项优势。首先,通过综合考虑资产的静态和动态信息,能够全面了解漏洞的属性和影响,提高漏洞评估的准确性和全面性。其次,动态调整机制能够及时更新资产画像和评估结果,以应对不断变化的网络环境和威胁情报。此外,该方案提供了修复建议和优先级排序,帮助企业有效地管理漏洞修复工作,提高网络安全的整体水平。4.2 改进方向尽管本方案具有许多优势,但也存在一些待改进方
21、向。首先,进一步完善数据收集和处理技术,提高数据的准确性和完整性。其次,研究和探索更精确、可靠的特征提取和选择方法,以捕捉漏洞评估的关键图6动态优化模型图7优先级评估整体架构图漏洞情报、特征、分类更新资产画像更新资产数据清洗补全情报动态收集资产动态监测动态评估动态评估漏洞分类漏洞特征漏洞情报动态资产画像特征选择算法加权评估算法漏洞修复及数据反馈漏洞修复建议生成资产分析归类模型构建静态资产信息采集动态资产信息采集漏洞情报收集基础漏洞库数据清洗资产画像机器学习情报聚合分类算法决策树特征选择关联分析漏洞分类漏洞跟踪动态监测风险态势规则推理动态更新漏洞管理修复建议生成持续优化情报管理加权评估算法评估反
22、馈业务管理评估算法基础信息刘果,杨丽丽,戚大强,陈晨,郭钰璐基于漏洞优先级技术的综合动态风险评估方案研究安全风险评估Security Risk Assessment60邮电设计技术/2023/08因素。此外,进一步优化评估模型和算法,以提高漏洞优先级的计算效率和准确性。最后,可以整合其他安全领域的信息,如威胁情报和漏洞修复的实施情况,以进一步完善评估方案的综合性能。5 结束语本方案在未来还有许多潜在的发展方向。首先,可以结合人工智能和机器学习技术,构建更智能化的漏洞评估模型,提高漏洞识别和优先级计算的自动化能力。其次,可以将方案与自动化漏洞扫描工具和修复工具进行集成,实现全自动化的漏洞管理和修
23、复流程。此外,可以探索多维度的评估模型,考虑漏洞的影响范围、攻击复杂度和潜在威胁等因素,进一步提高漏洞评估的精确性和全面性。总之,基于漏洞优先级技术的综合动态风险评估方案具有广阔的应用前景和研究空间。参考文献:1 李如平.数据挖掘中决策树分类算法的研究 J.东华理工大学学报(自然科学版),2010,33(2):192-196.2 李琪.解析工业互联网网络安全渗透测试技术 J.中国新通信,2021,23(15):113-114.3 劳莹,曾嵘,谢丽莎,等.企业数据库一体化漏洞评估系统 J.信息与电脑,2022,34(20):120-122.4 杨宏宇,谢丽霞,朱丹.漏洞严重性的灰色层次分析评估模
24、型 J.电子科技大学学报,2010,39(5):778-782,799.5 肖云,彭进业,王选宏.基于属性综合评价系统的漏洞静态严重性评估 J.计算机应用,2010,30(8):2139-2141,2150.6 高志民.漏洞关联图在风险评估中的应用 J.电讯技术,2009,49(10):26-30.7 张凤荔,冯波.基于关联性的漏洞评估方法 J.计算机应用研究,2014,31(3):811-814.8 谢丽霞,江典盛,张利,等.漏洞威胁的关联评估方法 J.计算机应用,2012,32(3):679-682.9 绿盟科技研究通讯.基于知识图谱的 APT 组织追踪治理 EB/OL.2023-05-0
25、4.https:/ J.电脑知识与技术,2020,16(29):55-56.11张志一.网络安全技术研究 J.中小企业管理与科技(下旬刊),2009(11):268.12 陈冰岛.计算机网络安全常见漏洞的防治措施 J.电力设备,2017(32).13李江灵.计算机网络安全中漏洞扫描技术的研究 J.电脑编程技巧与维护,2021(6):168-169.14 莫媛淇,陈智慧.信息通信网络安全威胁与漏洞分析 J.电子元器件与信息技术,2021,5(7):247-248,250.15 PEROZZI B,AL-RFOU R,SKIENA S.DeepWalk:online learning ofsoci
26、al representations C/Proceedings of the 20th ACM SIGKDD international conference on Knowledge discovery and data mining.NewYork,New York,USA:Association for Computing Machinery,2014:701-710.16赵尚儒,李学俊,方越,等.安全漏洞自动利用综述 J.计算机研究与发展,2019,56(10):2097-2111.作者简介:刘果,毕业于武汉理工大学,学士,主要从事网络安全技术的研究工作;杨丽丽,毕业于合肥工业大学,
27、学士,主要从事网络安全技术方向的研究工作;戚大强,毕业于中国药科大学,学士,主要从事网络安全技术的研究工作;陈晨,高级工程师,主要从事网络安全项目的设计、实施与交付工作;郭钰璐,工程师,主要从事网络安全产品需求调研、项目规划、设计编排、平台建设工作。图8完整评估流程漏洞修复及数据反馈利用资产画像及漏洞情报网络连接访问模式行为特征异常日志IP系统端口应用资产动态画像构建特征防御情报在野利用影响范围攻击事件黑客活动漏洞分类漏洞修复建议生成特征选择算法关联性分析、主成分分析漏洞修复数据清洗补全动态优化评估加权评估算法及规则推理风险态势漏洞跟踪漏洞情报刘果,杨丽丽,戚大强,陈晨,郭钰璐基于漏洞优先级技术的综合动态风险评估方案研究安全风险评估Security Risk Assessment61
浙ICP备2021020529号-1 | 浙B2-20240490 
