[发明专利]一种基于层次化漏洞威胁评估的漏洞修复方法

权利要求书

1.一种基于层次化漏洞威胁评估的漏洞修复方法，其步骤为：

1)提取目标系统的若干信息安全属性、一待测漏洞和漏洞在利用过程所需要的攻击条件；

2)对待测漏洞进行攻击，记录该待测漏洞被利用过程中所需攻击条件的取值，以及该待测漏洞被利用成功后对所选信息安全属性造成的损失程度；

3)根据记录的所选信息安全属性造成的损失程度，得到该待测漏洞的定性等级分值；

4)根据记录的所需攻击条件的取值，得到该待测漏洞的攻击利用分值；

5)根据所述攻击利用分值和所述定性等级分值，得到该待测漏洞的定量评分分值；

6)根据待测漏洞的定量评分分值确定漏洞的处理顺序，对漏洞进行修复。

2.如权利要求1所述的方法，其特征在于所述信息安全属性包括：机密性、完整性、可用性；其中：机密性损失程度的取值分别为；完全、部分、无，完整性损失程度的取值分别为：完全、部分、无，可用性损失程度的取值分别为：完全、部分、无。

3.如权利要求1或2所述的方法，其特征在于将所述定性等级分值划分为若干区间，每一取值区间对应一定性级别；然后根据所述定性等级分值返回该待测漏洞对应的定性级别。

4.如权利要求3所述的方法，其特征在于所述定性级别包括高级、中级、低级。

5.如权利要求1或2所述的方法，其特征在于所述所需的攻击条件包括：攻击范围、攻击复杂度、攻击认证次数、用户交互；其中，攻击范围的属性包括：本地、邻接、远程，且每一属性对应一取值；攻击复杂度的属性包括：高、中、低，且每一属性对应一取值；攻击认证次数的属性包括：无、单次、多次，且每一属性对应一取值；用户交互的属性包括：需要、不需要，且每一属性对应一取值。

6.如权利要求5所述的方法，其特征在于属性值的取值范围为0.000～1.000；所述定性等级分值取值范围为0～9。

7.如权利要求6所述的方法，其特征在于所述攻击范围的属性取值分别为：0.395、0.646、1.000；所述攻击复杂度的属性取值分别为：0.350、0.610、0.710；所述攻击认证次数的属性取值分别为：0.704、0.560、0.450；所述用户交互的属性取值分别为：0.800/1.000。

8.如权利要求7所述的方法，其特征在于得到该待测漏洞的攻击利用分值的公式为：攻击利用分值＝2×攻击范围×攻击复杂度×认证次数×用户交互。

9.如权利要求8所述的方法，其特征在于得到该待测漏洞的定量评分分值的公式为：定量评分分值＝定性等级分值+攻击利用分值。

10.如权利要求5所述的方法，其特征在于所述邻接包括：蓝牙、本地以太网。