用于量化系統(tǒng)的漏洞的裝置及其方法
【技術領域】
[0001]本發(fā)明一般涉及用于量化系統(tǒng)的漏洞的設備和方法,并更具體地涉及為了直觀和客觀表示系統(tǒng)的狀態(tài)而量化系統(tǒng)的漏洞的設備和方法。
【背景技術】
[0002]用于分析和評估信息和通信系統(tǒng)的漏洞的技術意欲先前標識在對應系統(tǒng)中存在的漏洞,并基于標識的結果來消除漏洞。因此,用于分析和評估信息和通信系統(tǒng)的漏洞的技術使得漏洞能在被利用用于非法入侵之前被消除,由此防止發(fā)生各類入侵。此外,使用分析或評估系統(tǒng)的漏洞的結果,用于向對應組織的管理直觀傳遞系統(tǒng)的安全狀態(tài)的方法。
[0003]韓國專利第0851521號公開了與用于提供能夠檢測和分析網絡或系統(tǒng)的漏洞的、主動的和自動的集成網路攻擊模型的網路攻擊系統(tǒng)和方法相關的技術,作為用于網絡系統(tǒng)的安全技術。
[0004]然而,用于分析或評估漏洞的該傳統(tǒng)技術僅提供能夠檢測和分析網絡或系統(tǒng)的漏洞的、主動的和自動的集成網路攻擊模型,但是沒有公開用于獲取直觀或客觀評估漏洞的結果的技術。
[0005]其間,如果沒有對分析或評估系統(tǒng)的漏洞的結果進行量化,則難以使用代表值來表不系統(tǒng)的狀態(tài)。
[0006]此外,漏洞的分析或評估不是執(zhí)行一次,而是一般周期性執(zhí)行。當表示周期性執(zhí)行的任務的結果時,必須指示當前結果和過去結果之間的比較、以及當前結果。例如,結果闡述“特定系統(tǒng)處于危險狀態(tài),因為由于缺少密碼管理以及存在不必要服務而使得存取控制不充分”可使得用戶糊涂。在該情況下,可提供基于量化的結果闡述。即,能通過在比較當前狀態(tài)和過去狀態(tài)的同時描述當前狀態(tài),來直觀和客觀地提供當前狀態(tài),而不管沒有提供詳細描述,如同結果闡述“漏洞已增加,因為過去狀態(tài)是兩年前的85分(較好級別)而當前狀態(tài)是77分(不充分級別)”中那樣。
[0007]盡管絕對必須分析或評估漏洞,但是還沒有充分進行相關研究和開發(fā)。其第一原因涉及請求修改分析或評估漏洞的結果。系統(tǒng)管理員經常進行請求,以修改在已標識漏洞之后計算的結果,并然后經由模擬的入侵來確定漏洞的惡意利用的可能性。即,系統(tǒng)管理員進行請求以修改結果,因為他們可能不期望向管理報告低得分,或者可能期望向管理報告較低得分,使得他們能使用較低得分來從基于報告的較低得分的管理請求資源的增加,諸如較高預算或額外人員。第二原因在于,他們還沒有嘗試實現(xiàn)用于量化漏洞和模擬入侵結果的方法以及保證前一方法具有客觀性的方法。
[0008]盡管已使用特定方法量化了分析或評估漏洞的結果,但是不能實現(xiàn)其客觀性。其第一原因在于用來計算得分的漏洞的類型有限。即,由于僅使用當被惡意使用時施加大影響、并從標識的漏洞中選擇的幾類特有漏洞時,從得分的計算中排除其它類型漏洞。其第二原因在于過分牽涉分析者的主觀性。即使當提供同一系統(tǒng)的同一漏洞標識結果并且請求這些結果的打分時,分析者也計算出不同得分,因為他們將各類漏洞的權重確定為不同的。
[0009]由于上述問題,所以分析或評估漏洞的結果具有低客觀性,并且分析者不能幫助修改結果,因為缺少分析者能反駁修改結果的請求的邏輯基礎。
[0010]因此,對于能使用數(shù)值來量化系統(tǒng)的級別并傳遞信息的技術存在迫切需求。
【發(fā)明內容】
[0011]技術問題
[0012]因此,已在緊記現(xiàn)有技術中出現(xiàn)的以上問題的情況下作出了本發(fā)明,并且本發(fā)明的目的是提供為了直觀和客觀表示系統(tǒng)的狀態(tài)而量化系統(tǒng)的漏洞的設備和方法。
[0013]技術方案
[0014]根據(jù)本發(fā)明的一個方面,提供了一種用于量化系統(tǒng)的漏洞的方法,包括:將系統(tǒng)的漏洞標識結果中的每一個變換為漏洞得分,使得能向得分的計算應用系統(tǒng)的對應漏洞標識結果;基于漏洞得分之中的技術領域安全級別得分和管理領域安全級別得分,來計算與系統(tǒng)對應的目標組織安全級別得分;將系統(tǒng)的本地網絡與外部網絡分離的狀態(tài)變換為網絡分離得分;基于目標組織安全級別得分和網絡分離得分來計算中間得分;和通過使用該中間得分和模擬入侵成功級別最終計算系統(tǒng)的綜合得分,來量化系統(tǒng)的漏洞。
[0015]所述計算目標組織安全級別得分的步驟可包括通過分別基于設置的比率將技術領域安全級別得分和管理領域安全級別得分相加,來計算目標組織安全級別得分。
[0016]所述計算目標組織安全級別得分的步驟可包括:將從系統(tǒng)的漏洞標識結果之中選擇的與技術相關的漏洞結果變換為技術領域安全級別得分;和將從系統(tǒng)的漏洞標識結果之中選擇的與管理相關的漏洞結果變換為管理領域安全級別得分。
[0017]可使用對應于與技術相關的漏洞結果的得分之和以及漏洞得分之和,來執(zhí)行變換為技術領域安全級別。
[0018]可使用對應于與管理相關的漏洞結果的得分之和以及漏洞得分之和,來執(zhí)行變換為管理領域安全級別得分。
[0019]該方法可進一步包括,在計算系統(tǒng)的綜合得分之前,組合與系統(tǒng)的相應漏洞標識結果對應的漏洞結果,并基于組合的漏洞結果沿著多個路徑嘗試模擬入侵;和根據(jù)入侵嘗試地點和成功模擬入侵的入侵結果,來計算模擬入侵成功級別。
[0020]量化系統(tǒng)的漏洞可包括通過根據(jù)模擬入侵成功級別向中間得分應用權重來計算綜合得分。
[0021]根據(jù)本發(fā)明的一個方面,提供了一種用于量化系統(tǒng)的漏洞的設備,包括:漏洞計算單元,被配置為將系統(tǒng)的漏洞標識結果的每一個變換為漏洞得分,使得能向得分的計算應用系統(tǒng)的對應漏洞標識結果;目標組織安全級別計算單元,被配置為基于漏洞得分之中的技術領域安全級別得分和管理領域安全級別得分,來計算與系統(tǒng)對應的目標組織安全級別得分;網絡分離狀態(tài)計算單元,被配置為將系統(tǒng)的本地網絡與外部網絡分離的狀態(tài)變換為網絡分離得分;中間值計算單元,被配置為基于目標組織安全級別得分和網絡分離得分來計算中間得分;和最終得分計算單元,被配置為通過使用該中間得分和模擬入侵成功級別最終計算系統(tǒng)的綜合得分,來量化系統(tǒng)的漏洞。
[0022]該目標組織安全級別計算單元可通過分別基于設置的比率將技術領域安全級別得分和管理領域安全級別得分相加,來計算目標組織安全級別得分。
[0023]該設備可進一步包括:技術領域安全級別計算單元,被配置為將從系統(tǒng)的漏洞標識結果之中選擇的與技術相關的漏洞結果變換為技術領域安全級別得分;和管理領域安全級別計算單元,被配置為將從系統(tǒng)的漏洞標識結果之中選擇的與管理相關的漏洞結果變換為管理領域安全級別得分。
[0024]該設備可進一步包括:級別管理單元,被配置為組合與系統(tǒng)的相應漏洞標識結果對應的漏洞結果,基于組合的漏洞結果沿著多個路徑嘗試模擬入侵,并根據(jù)入侵嘗試地點和成功模擬入侵的入侵結果,來計算模擬入侵成功級別。
[0025]該最終得分計算單元可通過根據(jù)模擬入侵成功級別向中間得分應用權重來計算綜合得分。
[0026]有利效果
[0027]根據(jù)本發(fā)明,用于量化系統(tǒng)的漏洞的設備和方法能使得評估者的主觀性的牽涉最小化,由此克服評估結果取決于評估者變化的問題。
[0028]此外,用于量化系統(tǒng)的漏洞的設備和方法能向系統(tǒng)管理員提供直觀和客觀結果,諸如“如果采取特定保護性措施,則能將綜合得分增加特定分數(shù)”的結果闡述。
【附圖說明】
[0029]圖1是示意性圖示了根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的設備的配置的圖;
[0030]圖2-4是向根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的設備應用的參考圖;和
[0031]圖5是圖示了根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的方法的流程圖。
【具體實施方式】
[0032]下面將參考附圖來詳細描述本發(fā)明。下面將省略已被認為使得本發(fā)明的要義不必要的模糊的重復描述以及已知功能和配置的描述。本發(fā)明的實施例意欲向具有本領域公知常識的人員全面描述本發(fā)明。因此,可夸大圖中的元件的形狀、尺寸等以使得該描述清楚。
[0033]下面將參考附圖來詳細描述根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的設備和方法。
[0034]圖1是示意性圖示了根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的設備100的配置的圖。圖2到4是向根據(jù)本發(fā)明實施例的用于量化系統(tǒng)的漏洞的設備應用的參考圖。
[0035]用于量化系統(tǒng)的漏洞的設備100可包括分析或評估系統(tǒng)的漏洞的結果(其后稱為“系統(tǒng)的漏洞標識結果”)或從外部接收它們,但是不限于此。
[0036]參考圖1,用于量化系統(tǒng)的漏洞的設備100包括漏洞計算單元110、技術領域安全級別計算單元120、管理領域安全級別計算單元130、目標組織安全級別計算單元140、網絡分離狀態(tài)計算單元150、中間值計算單元160、級別管理單元170、和最終得分計算單元180。
[0037]漏洞計算單元110將系統(tǒng)的漏洞標識結果的每一個變換為漏洞得分,使得對應系統(tǒng)的漏洞標識結果能被應用到得分的計算。這里,可例如通過從O到10的范圍中的得分來表示漏洞得分的每一個。
[0038]例如,服務器和萬維網應用程序的漏洞標識結果可基于公共漏洞打分系統(tǒng)(CVSS) 2.0來計算,并且管理領域、網絡、和DB領域的漏洞標識結果可使用分離方法來計笪弁O
[0039]技術領域安全級別計算單元120通過綜合從系統(tǒng)的漏洞標識結果中選擇的與技術相關的漏洞結果來計算技術領域安全級別。在該情況下,與技術相關的漏洞結果是分析和評估系統(tǒng)的技術部分的漏洞的結果。
[0040]更具體地,技術領域安全級別計算單元120可使用以下等式I來計算技術領域安全級別得分:
[0041]技術領域安全級別得分
[0042]= 100 -(與技術相關的漏洞結果得分/最大漏洞得分)*100 (I)
[0043]在等式I中,通過將與技術相關的漏洞結果變換為得分來獲得與技術相關的漏洞結果得分,并且最大漏洞得分是與系統(tǒng)的漏洞標識結果對應的漏洞得分之和。例如,假設系統(tǒng)A是Unix服務器并且與分析和評估Unix服務器的漏洞的結果對應的漏洞得分之和是1000假設Unix服務器的與技術相關的漏洞結果得分之和是80,則根據(jù)等式I系統(tǒng)A的技術領域安全級別得分是92。
[0044]管理領域安全級別計算單元130通過綜合從系統(tǒng)的漏洞標