基于目标资产的漏洞参考价格计算方法、装置和设备与流程

1.本发明一般涉及信息安全技术领域，并且更具体地，涉及一种基于目标资产的漏洞参考价格计算方法、装置和设备。


背景技术：

2.目前市场上对公开漏洞进行收录的平台以及有偿收购漏洞的平台，主要针对平台自身的漏洞进行收购，且不同的平台之间没有共性，收购价格体系和标准不一，导致目前市场上漏洞收购的价格千变万化。同时，漏洞出现在不同资产的载体上，其影响力以及价值是不同的。然而，目前在市场上进行漏洞交易时，没有一个能够兼顾漏洞所在资产属性的标准漏洞收购价格体系作为漏洞价格的基础。


技术实现要素：

3.根据本发明的实施例，提供了一种基于目标资产的漏洞参考价格计算方案。本方案能够结合漏洞所在载体的资产属性，对漏洞的参考价格进行合理、全面的预估，形成标准的漏洞收购价格体系，作为漏洞交易的价格基础。
4.在本发明的第一方面，提供了一种基于目标资产的漏洞参考价格计算方法。该方法包括：
5.获取目标漏洞的基本属性指标、资产属性指标和资产影响指标，对所述目标漏洞的基本属性指标、资产属性指标和资产影响指标进行评价，得到所述目标漏洞的基本属性指标评价、资产属性指标评价和资产影响指标评价；所述基本属性指标评价包括访问路径评价、触发要求评价、权限需求评价、交互条件评价、保密性评价、完整性评价、可用性评价、影响范围评价、被利用成本评价、修复难度评价和时效因素评价；所述资产属性指标评价包括补丁修补等级评价、设备类型评价和操作系统类型评价；所述资产影响指标评价包括影响资产数量评价和影响资产价值评价；
6.获取所述目标漏洞的系统或设备类型、产品类型以及漏洞类型，对应出所述目标漏洞的价值区间；
7.根据所述访问路径评价、触发要求评价、权限需求评价、交互条件评价，对所述目标漏洞的被利用性进行评价，得到被利用性评价；以及根据所述保密性评价、完整性评价和可用性评价，对所述目标漏洞的影响程度进行评价，得到影响程度评价；以及根据所述影响范围评价、被利用成本评价和修复难度评价，对所述目标漏洞的环境因素进行评价，得到环境因素评价；
8.根据所述被利用性评价、影响程度评价、环境因素评价、时效因素评价、资产属性指标评价和资产影响指标评价，计算所述目标漏洞的价值评价；
9.基于所述价值区间对所述价值评价进行计算，得到所述目标漏洞的参考价格。
10.进一步地，所述访问路径类型评价，用于评价漏洞利用者通过访问路径利用漏洞的难易程度；
11.所述触发要求评价，用于评价漏洞利用者利用漏洞实施攻击的触发要求；
12.所述权限需求评价，用于评价漏洞利用者成功利用漏洞需要具备的权限级别；
13.所述交互条件评价，用于评价漏洞利用者成功利用漏洞是否需要用户参与；
14.所述保密性评价，用于评价漏洞利用者成功利用漏洞，对脆弱性组件所在软件组织或系统的信息资源的保密性的影响；
15.所述完整性评价，用于评价漏洞利用者成功利用漏洞，对脆弱性组件所在软件组织或系统的信息资源的完整性的影响；
16.所述可用性评价，用于评价漏洞利用者成功利用漏洞，对脆弱性组件的可用性产生的影响；
17.所述影响范围评价，用于评价存在漏洞的脆弱性组件在软/硬件系统中的应用范围以及与其他组件的关联性；
18.所述被利用成本评价，用于评价漏洞利用者成功利用漏洞所投入的人力成本和物力成本；
19.所述修复难度评价，用于评价对存在漏洞的脆弱性组件进行修复的困难程度；
20.所述时效因素评价，用于评价漏洞从被发现到当前时刻的时间间隔。
21.进一步地，所述根据所述访问路径评价、触发要求评价、权限需求评价、交互条件评价，对所述目标漏洞的被利用性进行评价，包括：
22.若所述访问路径类型评价越容易，触发要求评价越低，权限需求评价越低，交互条件评价越不需要，则所述被利用性评价越高。
23.进一步地，所述根据所述保密性评价、完整性评价和可用性评价，对所述目标漏洞的影响程度进行评价，包括：
24.若所述保密性评价、完整性评价和可用性评价越严重，则所述影响程度评价越高。
25.进一步地，所述根据所述影响范围评价、被利用成本评价和修复难度评价，对所述目标漏洞的环境因素进行评价，包括：
26.若所述影响范围评价越高，被利用成本评价越低，修复难度评价越高，则所述环境因素评价越高。
27.进一步地，所述补丁修补等级评价，用于评价修复漏洞所需补丁的来源类型或等级；
28.所述设备类型评价，用于评价承载漏洞的载体类型；
29.所述操作系统类型评价，用于评价承载脆弱性组件的操作系统类型；
30.所述影响资产数量评价，用于评价在全球互联网资产的范畴内，漏洞所影响的资产数量；
31.所述影响资产价值评价，用于评价漏洞所影响的资产价值。
32.进一步地，还包括：
33.对所述时效因素评价、被利用性评价、影响程度评价、环境因素评价、补丁修补等级评价、设备类型评价、操作系统类型评价、影响资产数量评价和影响资产价值评价进行评分，得到评价对应的评分结果。
34.进一步地，所述计算所述目标漏洞的价值评价，包括：
[0035][0036]
其中，e为目标漏洞的价值评价结果；a为被利用性评分；f为影响程度评分；g为环境因素评分；k1为第一权重常量，k2为第二权重常量，且k1 k2＝1；t为时效因素系数；m为补丁修复等级评分；n为设备类型评分；z为操作系统类型；k3为第三权重常量，k4为第四权重常量，且k3 k4＝1；h为影响资产数量评分；p为影响资产价值评分；α为常量。
[0037]
在本发明的第二方面，提供了一种基于目标资产的漏洞参考价格计算装置。该装置包括：
[0038]
第一获取模块，用于获取目标漏洞的基本属性指标、资产属性指标和资产影响指标，对所述目标漏洞的基本属性指标、资产属性指标和资产影响指标进行评价，得到所述目标漏洞的基本属性指标评价、资产属性指标评价和资产影响指标评价；所述基本属性指标评价包括访问路径评价、触发要求评价、权限需求评价、交互条件评价、保密性评价、完整性评价、可用性评价、影响范围评价、被利用成本评价、修复难度评价和时效因素评价；所述资产属性指标评价包括补丁修补等级评价、设备类型评价和操作系统类型评价；所述资产影响指标评价包括影响资产数量评价和影响资产价值评价；
[0039]
第二获取模块，用于获取所述目标漏洞的系统或设备类型、产品类型以及漏洞类型，对应出所述目标漏洞的价值区间；
[0040]
评价模块，包括：
[0041]
被利用性评价模块，用于根据所述访问路径评价、触发要求评价、权限需求评价、交互条件评价，对所述目标漏洞的被利用性进行评价，得到被利用性评价；
[0042]
影响程度评价模块，用于根据所述保密性评价、完整性评价和可用性评价，对所述目标漏洞的影响程度进行评价，得到影响程度评价；
[0043]
环境因素评价模块，用于根据所述影响范围评价、被利用成本评价和修复难度评价，对所述目标漏洞的环境因素进行评价，得到环境因素评价；
[0044]
第一计算模块，用于根据所述被利用性评价、影响程度评价、环境因素评价、时效因素评价、资产属性指标评价和资产影响指标评价，计算所述目标漏洞的价值评价；
[0045]
第二计算模块，用于基于所述价值区间对所述价值评价进行计算，得到所述目标漏洞的参考价格。
[0046]
在本发明的第三方面，提供了一种电子设备。该电子设备至少一个处理器；以及与所述至少一个处理器通信连接的存储器；所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面的方法。
[0047]
应当理解，发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征，亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。
附图说明
[0048]
结合附图并参考以下详细说明，本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：
[0049]
图1示出了根据本发明的实施例的基于目标资产的漏洞参考价格计算方法的流程图；
[0050]
图2示出了根据本发明的实施例的漏洞时间轴示意图；
[0051]
图3示出了根据本发明的实施例的基于目标资产的漏洞参考价格计算装置的方框图；
[0052]
图4示出了能够实施本发明的实施例的示例性电子设备的方框图；
[0053]
其中，400为电子设备、401为cpu、402为rom、403为ram、404为总线、405为i/o接口、406为输入单元、407为输出单元、408为存储单元、409为通信单元。
具体实施方式
[0054]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。
[0055]
本发明中，能够结合漏洞所在载体的资产属性，对漏洞的参考价格进行合理、全面的预估，形成标准的漏洞收购价格体系，作为漏洞交易的价格基础。
[0056]
图1示出了本发明实施例的基于目标资产的漏洞参考价格计算方法的流程图。
[0057]
该方法包括：
[0058]
s101、获取目标漏洞的基本属性指标、资产属性指标和资产影响指标，对所述目标漏洞的基本属性指标、资产属性指标和资产影响指标进行评价，得到所述目标漏洞的基本属性指标评价、资产属性指标评价和资产影响指标评价。
[0059]
作为本发明的一种实施例，所述基本属性指标包括访问路径、触发要求、权限需求、交互条件、保密性、完整性、可用性、影响范围、被利用成本、修复难度和时效因素；所述基本属性指标评价包括访问路径评价、触发要求评价、权限需求评价、交互条件评价、保密性评价、完整性评价、可用性评价、影响范围评价、被利用成本评价、修复难度评价和时效因素评价。
[0060]
在本实施例中，访问路径指标描述了成功利用漏洞所使用的访问方式。主要包含4种方式，分别为网络、邻接、本地、物理。
[0061]
访问路径/网络：脆弱性组件是网络应用，漏洞利用者可以通过互联网利用该漏洞。这类漏洞通常称为“可远程利用的”，漏洞利用者可通过一个或多个网络跳跃(跨路由器)利用该漏洞。
[0062]
访问路径/邻接：脆弱性组件是网络应用，但漏洞利用者不能通过互联网(即不能跨路由器)利用该漏洞，只能在共享的物理(如，蓝牙、ieee 802.11)或逻辑(如，本地ip子网)网络内利用该漏洞。
[0063]
访问路径/本地：脆弱性组件不是网络应用，漏洞利用者通过读/写操作或运行应用程序/工具来利用该漏洞。有时漏洞利用者需要本地登录，或者需要用户执行恶意文件才可利用该漏洞。当漏洞利用时需要用户去下载或接受恶意内容(或者需要本地传递恶意内容)时，攻击途径取值为“本地”。
[0064]
访问路径/物理：漏洞利用者必须物理接触/操作脆弱性组件才能发起攻击。物理交互可以是短暂的也可以是持续的。
[0065]
进一步地，对所述访问路径进行评价，得到访问路径评价。
[0066]
所述访问路径评价，用于评价漏洞利用者通过访问路径利用漏洞的难易程度。所述访问路径评价包括容易、一般、困难、极难。评价标准为：访问路径为网络，对应的评价为容易；访问路径为邻接，对应的评价为一般；访问路径为本地，对应的评价为困难；访问路径为物理，对应的评价为极难。可见，从漏洞被利用的困难程度来说，一般认为通过网络访问路径利用漏洞最容易，通过物理访问路径利用漏洞最困难，即所述访问路径的容易程度的评价顺序为：网络(容易)》邻接(一般)》本地(困难)》物理(极难)。
[0067]
另外，假设漏洞利用者以普通用户身份远程登录一台主机，然后在该主机上打开包含恶意内容的pdf文件，使得漏洞利用者获得管理员权限。对于这种情况，攻击途径的取值是“本地”。这里不需要考虑这个恶意文件的获取方式，即使是漏洞利用者通过网络下载到这台机器上的，攻击途径也是“本地”。
[0068]
在本实施例中，触发要求指标反映漏洞利用者利用该漏洞实施攻击的前提条件，描述漏洞利用者利用漏洞时是否必须存在一些超出漏洞利用者控制能力的软件、硬件或网络条件。
[0069]
进一步地，对所述触发要求进行评价，得到触发要求评价。
[0070]
所述触发要求评价，用于评价漏洞利用者利用漏洞实施攻击的触发要求。在本实施例中，触发要求分为高、低两个指标值，评价标准为：
[0071]
触发要求/高：漏洞利用者无法控制攻击成功的条件。为了成功执行对脆弱组件的攻击，漏洞利用者必须投入一些可以衡量的精力。
[0072]
触发要求/低：不存在特殊的进入接口或者减轻攻击难度的情形，但是漏洞利用者在多次攻击漏洞时，仍然可以期望获得成功。
[0073]
可见，漏洞的触发要求越低，漏洞价值就越大。例如，漏洞利用者在利用一个漏洞时，需要具备高权限、本地利用漏洞的条件，那么此漏洞的利用难度就特别大，触发要求就高；相反，无需权限、且通过网络就可以利用的漏洞，触发要求就低。
[0074]
在本实施例中，权限需求指标反映漏洞利用者成功利用漏洞需要具备的权限层级，即利用漏洞时，是否需要拥有对该组件操作的权限(如管理员权限、guest权限)。
[0075]
进一步地，对所述权限需求进行评价，得到权限需求评价。
[0076]
所述权限需求评价，用于评价漏洞利用者成功利用漏洞需要具备的权限级别；权限需求越低，漏洞被利用越容易。所述权限需求评价包括高、低、无。评价标准为：
[0077]
权限需求/高：漏洞利用者需要取得对脆弱性组件的完全控制权限。通常，该类权限对于脆弱性组件具有绝对的控制能力，例如，操作系统的管理员权限，web等应用的后台管理权限。
[0078]
权限需求/低：漏洞利用者需要取得普通用户权限，该类权限对脆弱性组件有一定的控制能力，具有部分(非全部)功能的使用或管理权限，通常需要口令等方式进行身份认证；例如，操作系统的普通用户权限、web等应用的注册用户权限。
[0079]
权限需求/无：在攻击之前不需要授权，因此不需要访问脆弱系统的任何设置或者文件就可以进行攻击。
[0080]
在本实施例中，交互条件指标反映了成功利用漏洞是否需要用户(而不是漏洞利用者)的参与。
[0081]
进一步地，对所述交互条件进行评价，得到交互条件评价。
[0082]
所述交互条件评价，用于评价漏洞利用者成功利用漏洞是否需要用户参与。所述交互条件评价包括需要和不需要。评价标准为：
[0083]
交互条件/不需要：无需任何用户交互即可利用漏洞。
[0084]
交互条件/需要：漏洞的成功利用需要其他用户在漏洞被利用之前执行一些操作，例如打开某个文件、点击某个链接、访问特定的网页等。
[0085]
当某个漏洞只能在系统管理员安装应用程序期间才可能被利用时，对于这种情况，交互条件是“需要”。例如，当漏洞利用者通过钓鱼邮件的方式来利用用户电脑中某一个漏洞时，需要用户点击钓鱼邮件中的链接后，用户电脑中的漏洞才会被漏洞利用者成功利用。针对此种漏洞的交互条件就是“需要”。反之，当不需要用户任何参与的情况下，漏洞就可以成功被漏洞利用者利用时，此漏洞的交互条件就是“不需要”。当不需要除漏洞利用者外其他人员参与攻击活动时，漏洞容易被利用。
[0086]
在本实施例中，保密性指标描述了漏洞利用者成功利用漏洞而对脆弱性组件所在软件组织或系统的信息资源的保密性产生的影响。当出现未经授权的用户访问和信息披露时，则认为保密性受到影响。
[0087]
进一步地，对所述保密性进行评价，得到保密性评价。
[0088]
所述保密性评价用于评价漏洞利用者成功利用漏洞，对脆弱性组件所在软件组织或系统的信息资源的保密性的影响；所述保密性评价包括严重、一般、无。评价标准为：
[0089]
保密性/严重：保密性完全丢失，导致受影响组件的所有资源暴露给漏洞利用者。或者，漏洞利用者只能得到一些受限信息，但是，暴露的信息可以导致一个直接的、严重的信息丢失。例如，漏洞利用者获得了管理员密码、web服务器的私有加密密钥等。
[0090]
保密性/一般：保密性部分丢失。漏洞利用者可以获取一些受限信息，但是漏洞利用者不能控制获得信息的数量和种类。披露的信息不会引起受影响组件直接的、严重的信息丢失。
[0091]
保密性/无：受影响组件的保密性没有丢失，漏洞利用者不能获得任何机密信息。
[0092]
在本实施例中，完整性指标描述了漏洞利用者成功利用漏洞而对脆弱性组件所在软件组织或系统的信息资源的完整性产生的影响。当漏洞利用者利用漏洞能够修改脆弱性组件保护的任何文件导致信息的可信赖性和准确性发生变化时，则认为完整性受到影响。
[0093]
进一步地，对所述完整性进行评价，得到完整性评价。
[0094]
所述完整性评价，用于评价漏洞利用者成功利用漏洞，对脆弱性组件所在软件组织或系统的信息资源的完整性的影响；所述完整性评价包括严重、一般、无。评价标准为：
[0095]
完整性/严重：完全失去了完整性，或者完全失去了保护(例如，漏洞利用者能够修改受影响组件保护的任何/所有文件)。或者，只能修改一些文件，但是恶意的修改会给受影响的组件带来直接的、严重的后果。
[0096]
完整性/一般：可以修改数据，但是漏洞利用者无法控制修改的结果，或者修改的数量有限。数据修改对受影响的组件没有直接的、严重的影响。
[0097]
完整性/无：受影响组件中的完整性没有损失。
[0098]
在本实施例中，可用性指标描述了漏洞利用者成功利用漏洞而对脆弱性组件的可用性产生的影响。需要强调说明的是保密性和完整性指标所衡量的客体是与脆弱性组件相
关的数据(例如：文件)，而可用性指标衡量的客体是脆弱性组件自身。当脆弱性组件自身运行出现异常导致服务能力下降(例如cpu性能过度使用、磁盘空间被写满或网络带宽被占用等)时，则认为可用性受到影响。
[0099]
进一步地，对所述可用性进行评价，得到可用性评价。
[0100]
所述可用性评价，用于评价漏洞利用者成功利用漏洞，对脆弱性组件的可用性产生的影响。所述可用性评价包括严重、一般、无。评价标准为：
[0101]
可用性/严重：可用性完全丧失，漏洞利用者能够完全拒绝对受影响组件中资源的访问。或者，漏洞利用者可以拒绝部分可用性，但是能够给受影响组件带来直接的、严重的后果。例如，尽管漏洞利用者不能中断已存在的连接，但是能够阻止新的链接；漏洞利用者能够重复利用一个漏洞，虽然每个利用只能泄露少量的内存，但是重复利用可以使一个服务变得不可用。
[0102]
可用性/一般：漏洞利用者能够降低资源的性能或者中断其可用性。即使能够重复利用这个漏洞，但是漏洞利用者也不能完全拒绝合法用户的访问。受影响组件的资源是部分可用的，或在一些时候是完全可用的，但总体上不会给受影响组件带来直接的，严重的后果。
[0103]
可用性/无：受影响组件的可用性不受影响，漏洞利用者不能降低受影响组件的性能。
[0104]
在本实施例中，影响范围指标描述了拥有漏洞的脆弱性组件在各类软硬件系统中应用范围以及与其他组件的关联性。
[0105]
进一步地，对所述影响范围进行评价，得到影响范围评价。
[0106]
所述影响范围评价，用于评价存在漏洞的脆弱性组件在软/硬件系统中的应用范围以及与其他组件的关联性。所述影响范围评价包括：高、中、低、无。评价标准为：
[0107]
影响范围/高：涉及大量人使用的系统或者设备，或者涉及公共设备和系统与民众生活相关性较高。可以通过网络远距离发动攻击。
[0108]
影响范围/中：只能在同一ip子网发起攻击，而且不会影响其他的组件正常运行。
[0109]
影响范围/低：不会影响其他的相关组件，而且不能通过网络远距离发起攻击。
[0110]
影响范围/无：不会影响其他的组件，而且不能通过网络发的攻击，而且不会干扰组件正常运行。
[0111]
在本实施例中，被利用成本指标描述了漏洞被成功利用漏洞利用者所投入的人力和物力成本的多少。
[0112]
进一步地，对所述被利用成本进行评价，得到被利用成本评价。
[0113]
所述被利用成本评价，用于评价漏洞利用者成功利用漏洞所投入的人力成本和物力成本。所述被利用成本评价包括高、中、低。评价标准为：
[0114]
被利用成本/高：漏洞被利用成功攻陷目标时，需要动用大量的调查，设备或者人员时。需要付出大量精力。
[0115]
被利用成本/中：需要付出长时间和很多精力进行尝试和分析才有可能成功实施。
[0116]
被利用成本/低：不需要调查、高端设备和人员，按照漏洞攻陷教程就可以多次攻陷成功。
[0117]
在本实施例中，修复难度指标描述了脆弱性组件的运维人员修复漏洞所要求的技
术门槛、修复周期、精力投入、操作复杂度等方面的情况。
[0118]
进一步地，对所述修复难度进行评价，得到修复难度评价。
[0119]
所述修复难度评价，用于评价对存在漏洞的脆弱性组件进行修复的困难程度。所述修复难度评价包括高、中、低。评价标准为：
[0120]
修复难度/高：在技术层面难以实施修复；修复会导致核心功能失效；修复后严重影响组件的功能或者效率。或者漏洞涉及非专业人员，且修复方法复杂，修复容易操作失败。
[0121]
修复难度/中：可以修复，但是需要付出较长时间或者大量人员参与。
[0122]
修复难度/低：可以直接修复，时间短，修复方案简单，修复后不会影响组件和其他相关组件的正常运行。
[0123]
在本实施例中，时效因素指标主要指漏洞自被发现到当前时间的时间间隔。
[0124]
进一步地，对所述时效因素进行评价，得到时效因素评价。
[0125]
所述时效因素评价，用于评价漏洞从被发现到当前时刻的时间间隔。所述时效因素评价包括0day和nday。有时还包括1day。如图2所示，漏洞从发现到被补丁有三个时间点。t0：漏洞被发现；t1：漏洞信息公布；t2：漏洞被补丁。通过漏洞利用工具exp的使用时间t
exp
对应时间轴中的漏洞状态时刻进行时间间隔判断。
[0126]
如果漏洞利用工具exp的使用时间t
exp
所对应的漏洞还未达到t1，即t
exp
《t1，在t
exp
进行漏洞攻击，这时攻击窗口进行攻击最有效，这一阶段即为0day。
[0127]
如果漏洞利用工具exp的使用时间t
exp
所对应的漏洞已经达到t1，但未达到t2，即t1《t
exp
《t2，在t
exp
进行漏洞攻击，这时可能会遇到系统管理员已经关注相关服务或使用了临时的修补手段，但大部分人因为未打补丁导致其脆弱性依然存在，这个攻击窗口进行攻击有效性较高，但是没有上一阶段高，这一阶段即为1day。
[0128]
如果漏洞利用工具exp的使用时间t
exp
所对应的漏洞已经达到t2，即t2《t
exp
，在t
exp
进行漏洞攻击，攻击的有效性随时间大幅降低，这一阶段即为nday。
[0129]
具体地，还可以将nday进一步细分成短期nday、中期nday和长期nday；其中短期nday为漏洞被补丁后的第一阶段，例如3天内。中期nday为第一阶段后的第二阶段，例如3个月内。长期nday为第二阶段后的第三阶段，例如6个月内。
[0130]
上述漏洞的基本属性指标评价，如表1所示：
[0131][0132]
表1
[0133]
作为本发明的一种实施例，所述资产属性指标评价包括补丁修补等级评价、设备类型评价和操作系统类型评价。
[0134]
在本实施例中，所述补丁修补等级评价，用于评价修复漏洞所需补丁的来源类型或等级。所述补丁修补等级评价包括官方正式补丁、官方临时补丁、非官方补丁和无补丁；评价标准为：
[0135]
官方正式补丁：由该组件的发布方正式公布的补丁，且被验证为有效。
[0136]
官方临时补丁：在漏洞被公布后，官方公布的临时解决方案。验证有效，但对其他组件影响未知。
[0137]
非官方补丁：非官方组织或者人员公布的补丁，宣称有效，未经过验证。
[0138]
无补丁：没有任何的补丁。
[0139]
部分漏洞在被官方正式发布后，由于危害级别高、修复难度大，在原厂商发布官方正式补丁前，可能会有临时补丁或第三方补丁出现，作为缓解此漏洞的紧急措施。如果补丁是官方正式补丁，则补丁修复等级最高，此项指标评分最低。
[0140]
在本实施例中，所述设备类型评价，用于评价承载漏洞的载体类型。载体按照角色分为客户机、服务器和其他设备。所述设备类型评价包括客户机、服务器、其他相关设备以及不相关设备。评价标准为：
[0141]
客户机：漏洞只存在客户机上。客户机是用户操作终端。
[0142]
服务器：漏洞只存在服务器上。服务器是提供应用的服务器，服务器设备作为系统应用的载体，其重要性或价值均高于其他类设备，服务器上的漏洞的价值相对较高。
[0143]
其他相关设备：漏洞存在网关，路由器或者嵌入式设备等组件上。其他相关设备是指除客户机和服务器外的所有的相关设备。
[0144]
不相关设备：漏洞的存在的范围较广，和主机类型无关，存在通用组件之上。比如网络，磁盘等设备。
[0145]
在本实施例中，所述操作系统类型评价，用于评价承载脆弱性组件的操作系统类型。所述操作系统类型包括linux操作系统、windows操作系统、mac os、android等系统。所述操作系统类型评价基于系统的开源和闭源情况而定，开源将代码公布，更容易让人找出代码缺陷。闭源相当于黑盒，增加了漏洞挖掘难度。基于上述，所述操作系统类型评价包括：linux操作系统、windows操作系统、mac os、android和不相关。其中，不相关代表漏洞是硬件的缺陷，与操作系统无关，是影响范围更广的一种漏洞，挖掘难度更大。故，当操作系统为闭源系统时，此项指标的评分最高。
[0146]
所述资产影响指标评价包括影响资产数量评价和影响资产价值评价。
[0147]
在本实施例中，所述影响资产数量评价，用于评价在全球互联网资产的范畴内，漏洞所影响的资产数量。所述影响资产数量评价分为四个档次，0-1000、1001-10000、10001-100000和100000以上。资产数量可以以全球资产探测平台的数据作为评判的依据，影响资产数量越多，漏洞的威胁越大，此指标的评分越高。
[0148]
在本实施例中，影响资产价值评价，用于评价漏洞所影响的资产价值。所述影响资产价值评价包括非常重要、重要和一般。评价标准为：
[0149]
非常重要：一般是单位中的核心系统中的核心业务的核心资产，一般为数据库服务器、核心网络设备等级别资产。
[0150]
重要：在单位中的重要程度仅次于非常重要的资产，一般为应用服务器级别资产。
[0151]
一般：在单位中的重要程度最低，一般为普通终端级别资产。
[0152]
根据漏洞所影响的资产承载的不同业务或角色，其资产价值也各不相同，目标资产价值越高，对漏洞利用者来讲此资产的漏洞价值也越高。资产价值越重要，此项指标评分越高。
[0153]
作为本发明的一种实施例，可以对所述时效因素评价、被利用性评价、影响程度评价、环境因素评价、补丁修补等级评价、设备类型评价、操作系统类型评价、影响资产数量评价和影响资产价值评价进行评分，得到评价对应的评分结果。评分区间可以规定在1～10之间或1～100之间。
[0154]
在所述时效因素评价中，时效性越强，对应的系数评分越高。评分取值范围为(0,1]，如表2所示：
[0155][0156][0157]
表2
[0158]
在所述被利用性评价中，访问路径的评价越容易、触发要求越低、权限需求越低、交互条件越不需要，被利用性评价对应的评分越高。
[0159]
在所述影响程度评价中，保密性、完整性和可用性受影响的程度越严重，影响程度评价对应的评分越高。
[0160]
在环境因素评价中，如果影响范围评价越高，被利用成本越小，漏洞的修复难度越高，则环境因素评价对应的评分越高。
[0161]
在补丁修补等级评价中，补丁修复等级越高此项指标评分最低。如表3所示：
[0162]
补丁修复等级补丁修复等级评分官方正式补丁0.2官方临时补丁0.4非官方补丁0.7无补丁1
[0163]
表3
[0164]
在所述设备类型评价中，设备类型评价的评分表示，如表4所示：
[0165]
设备类型设备类型评分客户机0.8服务器1设备0.9不相关1
[0166]
表4
[0167]
在操作系统类型评价中，当操作系统为闭源系统时，此项指标的评分最高，如表5所示：
[0168]
操作系统类型操作系统类型评分linux操作系统0.9windows操作系统1mac os1android0.9不相关1
[0169]
表5
[0170]
在影响资产数量评价中，影响资产数量越多，漏洞的威胁越大，此指标的评分越高，如表6所示：
[0171]
影响资产数量影响资产数量评分100000以上110000-1000000.81000-99990.50-9990.2
[0172]
表6
[0173]
在影响资产价值评价中，资产价值越重要，此项指标评分越高。如表7所示：
[0174]
影响目标资产价值影响目标资产价值评分非常重要1重要0.8一般0.3
[0175]
表7
[0176]
s102、获取所述目标漏洞的系统或设备类型、产品类型以及漏洞类型，对应出所述目标漏洞的价值区间。
[0177]
每个漏洞都对应有系统或设备类型、产品类型以及漏洞类型。例如，漏洞1对应的系统或设备类别为“linux”，产品类型为“操作系统”，漏洞类型为“lpe”。
[0178]
可以通过预先在市场上收录的方式收录到不同系统或设备类型、产品类型以及漏洞类型对应漏洞的价格分布区间，例如，下表8为漏洞的价值区间与系统或设备类型、产品类型以及漏洞类型的对应表：
[0179][0180]
表8
[0181]
s103、根据所述访问路径评价、触发要求评价、权限需求评价、交互条件评价，对所述目标漏洞的被利用性进行评价，得到被利用性评价；以及根据所述保密性评价、完整性评价和可用性评价，对所述目标漏洞的影响程度进行评价，得到影响程度评价；以及根据所述影响范围评价、被利用成本评价和修复难度评价，对所述目标漏洞的环境因素进行评价，得到环境因素评价。
[0182]
作为本发明的一种实施例，可以通过被利用性评价表对目标漏洞的被利用性评价与访问路径评价、触发要求评价、权限需求评价、交互条件评价的关系进行描述，如表10所示：
[0183]
[0184][0185]
表10
[0186]
作为本发明的一种实施例，可以通过影响程度评价表对目标漏洞的影响程度评价与保密性评价、完整性评价、可用性评价的关系进行描述，如表11所示：
[0187][0188]
表11
[0189]
作为本发明的一种实施例，可以通过环境因素评价表对目标漏洞的环境因素评价与影响范围评价、被利用成本评价、修复难度评价的关系进行描述，如表12所示：
[0190][0191][0192]
表12
[0193]
s104、根据所述被利用性评价、影响程度评价、环境因素评价、时效因素评价、资产属性指标评价和资产影响指标评价，计算所述目标漏洞的价值评价。
[0194]
所述计算所述目标漏洞的价值评价，包括：
[0195][0196]
其中，e为目标漏洞的价值评价结果；a为被利用性评分；f为影响程度评分；g为环境因素评分；k1～k5为权重常量，其中k1 k2 k3＝1、k4 k5＝1；t为时效因素系数；m为补丁修复等级评分；n为设备类型评分；z为操作系统类型；h为影响资产数量评分；p为影响资产价值评分；α为常量，取值为10。
[0197]
s105、基于所述价值区间对所述价值评价进行计算，得到所述目标漏洞的参考价格。
[0198]
在本发明的一种实施例中，将所述价值评价结果与所述目标漏洞的价值区间的乘积作为所述目标漏洞的参考价格。例如，所述目标漏洞的价值区间为50万元～140万元，其价值评价结果为0.625，则所述目标漏洞的参考价格为31.25万元～87.5万元。
[0199]
根据本发明的实施例，能够结合漏洞所在载体的资产属性，对漏洞的参考价格进行合理、全面的预估，形成标准的漏洞收购价格体系，作为漏洞交易的价格基础。
[0200]
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本发明所必须的。
[0201]
以上是关于方法实施例的介绍，以下通过装置实施例，对本发明所述方案进行进一步说明。
[0202]
如图3所示，装置300包括：
[0203]
第一获取模块310，用于获取目标漏洞的基本属性指标、资产属性指标和资产影响指标，对所述目标漏洞的基本属性指标、资产属性指标和资产影响指标进行评价，得到所述目标漏洞的基本属性指标评价、资产属性指标评价和资产影响指标评价；所述基本属性指标评价包括访问路径评价、触发要求评价、权限需求评价、交互条件评价、保密性评价、完整性评价、可用性评价、影响范围评价、被利用成本评价、修复难度评价和时效因素评价；所述资产属性指标评价包括补丁修补等级评价、设备类型评价和操作系统类型评价；所述资产影响指标评价包括影响资产数量评价和影响资产价值评价；
[0204]
第二获取模块320，用于获取所述目标漏洞的系统或设备类型、产品类型以及漏洞类型，对应出所述目标漏洞的价值区间；
[0205]
评价模块330，包括：
[0206]
被利用性评价模块331，用于根据所述访问路径评价、触发要求评价、权限需求评价、交互条件评价，对所述目标漏洞的被利用性进行评价，得到被利用性评价；
[0207]
影响程度评价模块332，用于根据所述保密性评价、完整性评价和可用性评价，对所述目标漏洞的影响程度进行评价，得到影响程度评价；
[0208]
环境因素评价模块333，用于根据所述影响范围评价、被利用成本评价和修复难度评价，对所述目标漏洞的环境因素进行评价，得到环境因素评价；
[0209]
第一计算模块340，用于根据所述被利用性评价、影响程度评价、环境因素评价、时效因素评价、资产属性指标评价和资产影响指标评价，计算所述目标漏洞的价值评价；
[0210]
第二计算模块350，用于基于所述价值区间对所述价值评价进行计算，得到所述目标漏洞的参考价格。
[0211]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0212]
本发明的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。
[0213]
根据本发明的实施例，本发明还提供了一种电子设备。
[0214]
图4示出了可以用来实施本发明的实施例的电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。
[0215]
设备400包括计算单元401，其可以根据存储在只读存储器(rom)402中的计算机程序或者从存储单元408加载到随机访问存储器(ram)403中的计算机程序，来执行各种适当的动作和处理。在ram 403中，还可存储设备400操作所需的各种程序和数据。计算单元401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
[0216]
设备400中的多个部件连接至i/o接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0217]
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，例如方法s101～s105。例如，在一些实施例中，方法s101～s105可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由rom 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到ram 403并由计算单元401执行时，可以执行上文描述的方法s101～s105的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法s101～s105。