计算机应用软件开发技术研究
            Research on Computer Application Software Development Technology

                     第三节  基于漏洞类型的层次化漏洞修复研究


                一、漏斗修复介绍


                基于主机发现漏洞的最终目的是采用补丁修复方式对各类漏洞进行修复，以
            消除网络系统中的潜在威胁。只有修复真正威胁到系统的漏洞，合理地安装补丁
            才可以消除潜在威胁。如果发现系统漏洞而不及时给漏洞打补丁或者只是简单地
            选择修复高危漏洞，将导致漏洞的安全问题长期存在，因此选择合适的漏洞修复

            策略非常关键。
                传统的漏洞优先修复方案主要是使用基于通用漏洞评分系统（common
            vulnerability scoring system，CVSS）评分推荐的优先修复策略。根据漏洞的

            CVSS 评分值，将漏洞 CVSS 评分范围所对应的漏洞优先级别划分为 1~3 级，如
            表 6-1，每种漏洞优先级别对应不同的修复策略。一般认为 CVSS 评分值为 7 分
            以上的漏洞都应优先立即修复。从表 6-1 可以看出，基于 CVSS 评分推荐的修复
            策略过于简单。美国国家信息安全漏洞（national vulnerability database，NVD）
            公布的 2002 年到 2015 年 73526 个安全漏洞信息中，高危漏洞数量占 41.26%，

            而低危漏洞数量占 8.46%。如果上百个高危漏洞需要打补丁，哪些高危漏洞优先
            修复呢，因此需要更为精确、细粒度的漏洞修复策略。

                                 表 6-1 基于 CVSS 评分的修复策略









                对漏洞风险进行评估是漏洞修复策略选择的前提，故许多学者通过改进
            CVSS 评分方法来影响修复策略。Frei 等人提出了漏洞概率分布模型用于评估漏

            洞利用性和补丁利用性的概率大小，为进一步漏洞修复奠定基础。Fruhwirth 等
            人利用漏洞潜在的上下文信息来影响漏洞修复优先次序。何林等人提出了一种基
            于 SVM（support vector machine）的漏洞修复模型，改进了传统漏洞修复方案。
            Subramanian 等人设计漏洞检测和修复模型。汪志亮等人提出收益与代价相结合

            的漏洞修复模型。Huang 等人利用马尔科夫随机模型进行软件漏洞补丁管理。



            ·184·