基于网络利用的网络安全漏洞分类与修复

摘要

用于修复网络系统中计算资源资产中的网络攻击风险的技术方案。该技术方案包括监视针对所述网络系统中的所述计算资源资产的数据流量以及所述网络系统中的一个或多个其他计算资源资产的数据流量；基于所述计算资源资产的监视的数据流量和所述网络系统中所述一个或多个其他计算资源资产的监视的数据流量，生成网络利用数据；接收所述计算资源资产中的漏洞的通用漏洞评分(CVSS)；基于所述网络利用数据确定所述通用漏洞评分(CVSS)的网络流量调整(NTA)值；通过所述网络流量调整(NTA)值调整所述通用漏洞评分(CVSS)，以为所述计算资源资产生成优先级确定的通用漏洞评分(PCVSS)；和修复所述计算资源资产，以基于优先级确定的通用漏洞(PCVSS)评分解决所述漏洞。

说明书

在先申请的交叉引用

本申请要求2018年11月20日提交的序列号为16/196,544、标题为“基于网络利用的网络安全漏洞分类与修复”的美国专利申请的优先权和权益，其全部内容通过引用合并于此。

技术领域

本公开涉及用于检测、识别、评估和修复网络系统中的安全漏洞，更具体地用于检测、识别、评估和修复网络系统中计算资源资产或计算资源资产组中的漏洞的系统、方法和计算机程序。

背景技术

网络安全瑕疵在业界通常被称为漏洞，并且在ISO/IEC 27002信息安全标准中定义为“可被一个或多个威胁利用的资产或资产组的弱点”。ISO/IEC 27002标准是由国际标准化组织(ISO)和国际电工委员会(IEC)发布的。计算资源资产可以包括具有互联网协议(IP)地址的任何设备，例如包括路由器、交换机、服务器、打印机、扫描仪、计算设备、通信设备等。通常用于识别和评估计算资源资产中漏洞的主要特征的系统是通用漏洞评分系统(CVSS)，这是国家基础设施咨询委员会(NIAC)进行研究的结果。

CVSS是一种免费和开放的行业标准，用于评估计算机系统安全漏洞的严重性。CVSS为计算资源资产中的漏洞生成并分配数字评分。评分通常在0到10之间，其中10代表最严重的漏洞。它的定量模型确保可重复的精确测量，同时能够查看用于生成评分的潜在漏洞特征。这些评分可用于计算与漏洞相关的风险，以及确定修复措施的优先级。但是，当检测到的漏洞数量很多时，CVSS评分可能模棱两可，并且可能无法反映与该漏洞相关的真实风险。因此，对用于基于漏洞的重新分类和优先级重新确定来检测、识别、准确评估漏洞并修复计算资源资产或计算资源资产组中的漏洞的技术方案存在未满足的需求。本公开解决了这个和其他需求。

发明内容

本公开提供了一种新颖的技术方案，其包括用于检测、识别和准确评估计算资源资产中的漏洞的方法、系统和计算机程序。根据本公开的一方面，提供了一种用于修复网络系统中的计算资源资产中的漏洞的网络攻击风险修复系统。该系统可以生成对计算资源资产或计算资源资产组中的漏洞的真实评估。系统可以基于对漏洞的真实评估中的真实评分来修复漏洞。根据本公开的非限制性实例，该系统包括网络流量调整单元，该网络流量调整单元接收针对该漏洞的通用漏洞评分，基于所述计算资源资产与网络中的一个或多个其他计算资源资产相比的数据流量，为所述计算资源资产生成网络利用数据，基于所述网络利用数据确定所述通用漏洞评分(CVSS)的网络流量调整(NTA)值，并通过所述网络流量调整(NTA)值调整所述通用漏洞评分(CVSS)，以为所述计算资源资产生成优先级确定的通用漏洞评分(PCVSS)。该系统可以包括修复漏洞的客户端设备。修复漏洞可以包括客户端设备对漏洞的审查或解决。

根据本公开的另一方面，提供了一种用于修复网络系统中的计算资源资产中的网络攻击风险的方法，该方法包括：监视针对所述网络系统中的所述计算资源资产的数据流量以及所述网络系统中的一个或多个其他计算资源资产的数据流量；基于所述计算资源资产的监视的数据流量和所述网络系统中所述一个或多个其他计算资源资产的监视的数据流量，生成网络利用数据；接收所述计算资源资产中的漏洞的通用漏洞评分(CVSS)；基于所述网络利用数据确定所述通用漏洞评分(CVSS)的网络流量调整(NTA)值；通过所述网络流量调整(NTA)值调整所述通用漏洞评分(CVSS)，以为所述计算资源资产生成优先级确定的通用漏洞评分(PCVSS)；和修复所述计算资源资产，以基于优先级确定的通用漏洞(PCVSS)评分解决所述漏洞。修复计算资源资产以解决漏洞可以包括审查计算资源资产或漏洞，或解决漏洞。

计算漏洞的真实评分可以包括将网络流量调整(NTA)值添加到通用漏洞评分(CVSS)。

网络流量调整(NTA)值可以包含0.0、1.0或2.0。

可以通过安全信息和事件管理(SIEM)系统监视数据流量。

可以基于服务器日志监视数据流量。

网络利用数据可以包括流量值T

网络利用数据可以包括所述计算资源资产的按比例流量值(T

网络利用数据可以包括排序阈值。

排序阈值可以基于在预定时间段内与用户环境中的总体网络流量相比，指向计算资源资产的网络流量的百分位数。

通用漏洞评分可以包括通用漏洞评分系统(CVSS)评分。

通用漏洞评分可以包括基本评分。

通用漏洞评分可以包括时间评分和环境评分中的至少一个，它们可以微调所述基本评分。

根据本公开的另一方面，一种非暂时性计算机可读介质，其上存储有用于修复网络系统中的计算资源资产中的漏洞的指令，该指令包括机器可执行代码，该机器可执行代码在由至少一个计算设备执行时导致所述至少一个计算设备执行以下步骤：监视针对所述网络系统中的所述计算资源资产的数据流量以及所述网络系统中的一个或多个其他计算资源资产的数据流量；基于所述计算资源资产的监视的数据流量和所述网络系统中所述一个或多个其他计算资源资产的监视的数据流量，生成网络利用数据；接收所述计算资源资产中的漏洞的通用漏洞评分(CVSS)；基于所述网络利用数据确定所述通用漏洞评分(CVSS)的网络流量调整(NTA)值；通过所述网络流量调整(NTA)值调整所述通用漏洞评分(CVSS)，以为所述计算资源资产生成优先级确定的通用漏洞评分(PCVSS)；和修复所述计算资源资产，以基于优先级确定的通用漏洞(PCVSS)评分解决所述漏洞。

通过网络调整(NTA)值调整通用漏洞评分(CVSS)的步骤可以包括将网络流量调整(NTA)值添加到通用漏洞评分中。

网络利用数据可以包括代表通过计算资源资产或由计算资源资产接收的数据流量的量的流量值T

排序阈值可以基于在预定时间段内与用户环境中的总体网络流量相比，指向计算资源资产的网络流量的百分位数。

本公开的另外的特征、优点和实施例可以由对详细描述和附图的考虑进行阐述或变得显而易见。此外，应当理解，本公开的上述概述和以下详细描述和附图提供了非限制性实例，其旨在在不限制所要求保护的本公开的范围的情况下提供进一步的解释。

附图说明

被包含以提供对公开的进一步理解的、并入本说明书并且构成其一部分的附图展示了本公开的实施例并且与详细描述一起用于解释本公开的原理。未尝试比本公开的基本理解可能所需的更详细地并且以可能对其进行实践的各种方式示出本公开的结构细节。

图1示出了根据本公开原理构造的网络系统的实例的框图。

图2示出了可以包括在图1所示的网络系统中的安全服务器中的漏洞处理器的实例。

图3示出了可以包括在图2中的漏洞处理器中的网络流量调整(NTA)单元的实例。

图4A示出了可由图2中的漏洞处理器针对漏洞生成的漏洞等级的实例。

图4B示出了可由图2中的漏洞处理器应用来在特定时间段内对每个漏洞进行优先级确定和排序的排序阈值的实例。

图4C示出了可由图2中的漏洞处理器基于各自的排序阈值生成的网络流量调整值的实例。

图4D示出了可以由图2中的漏洞处理器生成的漏洞的真实评分矩阵的实例。

图5示出了根据本公开原理的真实漏洞评估和修复过程的实例。

在下文的详细描述中对本公开进行了进一步描述。

具体实施方式

参考附图中描述和/或展示的和以下描述中详述的非限制性实施例和实例，更全面地解释了本公开和其各种特征和有利细节。应当注意，附图中展示的特征并不一定按比例绘制，并且如技术人员所认识到的，即使没有在本文中明确说明，一个实施例的特征也可以与其它实施例一起使用。可以忽略对众所周知的组件和处理技术的描述，以免不必要地模糊本公开的实施例。本文所使用的实例仅旨在促进对可以实践本公开的方式的理解并且进一步使本领域技术人员能够实践本公开的实施例。因此，本文中的实例和实施例不应被解释为限制本公开的范围。此外，应注意，贯穿附图的若干个视图中，相似的附图标记表示类似的部件。

图1示出了根据本公开原理构造的网络系统100的非限制性实施例。如图1所示，网络系统100包括多个计算资源资产。计算资源资产可以包括例如服务器场110、一个或多个交换和分配层120、一个或多个路由器130、一个或多个网络交换机140、通信服务器150和安全服务器160，所有这些都可以通过通信链接10互连。网络系统100可以包括防火墙，该防火墙使网络中的计算资源资产免受网络攻击。

网络系统100可以包括为一个或多个蜂窝网络标准配置的一个或多个调制解调器(未显示)，这些标准包括但不限于GSM、WiMAX、LTE-TDD/TD-LTE、LTE Advanced(E-UTRA)、LTE Advanced Pro、HiperMAN、Mobile WiMAX、Flash-OFDM、iBurst、CDMA2000、HSPA、UMTS、WiDEN、GPRS、CDPD、D-AMPS、NMT、AMPS等，或任何其他调制/解调设备，其可以促进短消息服务(SMS)消息等在公共交换电话网(PSTN)、公共陆地移动网(PLMN)等上的传输。网络系统100可以包括计算设备和通信设备。

服务器场110可以包括多个计算资源资产，包括例如邮件服务器112、Web服务器114和文件服务器118。可以位于内联网上的通信服务器150可以位于服务器场110中。内联网可以包括所有前述计算资源资产和防火墙，以保护免受针对网络系统100的威胁和破坏尝试。服务器场110可包括其他计算资源资产包括例如网络系统100中的一个或多个客户端设备142、一个或多个计算设备或一个或多个通信设备可访问的大量计算资源资产。

安全服务器160可以包括提供安全分析和漏洞检测和识别、恶意软件防护、应用程序可视性和控制、报告、安全移动性以及针对在连接到通信设备或互联网期间可能出现的威胁的防护的硬件、固件或软件。安全服务器160可以包括防火墙。安全服务器160可以包括一个或多个安全分析器(未示出)，其可以检测、识别和评估跨许多不同的硬件、固件或软件平台的漏洞。安全分析器(未显示)可以包括例如静态应用程序安全测试(SAST)工具、动态应用程序安全测试(DAST)工具、软件组成分析(SCA)工具、数据库安全扫描(DSS)工具、移动应用程序安全性测试(MAST)工具、交互式应用程序安全性测试(IAST)工具、应用程序安全性测试即服务(ASTaaS)工具、关联工具、测试覆盖率分析器工具、应用程序安全性测试编排(ASTO)工具、日志记录和监视工具、日志管理工具以及许多其他工具，这些工具可以分析计算资源资产并检测、识别和评估这些计算资源资产中的漏洞以及计算资源接收或通过计算资源的流量。

安全服务器160可以包括漏洞处理器200(在图2中示出)。安全服务器160可以包括安全信息和事件管理(SIEM)系统(未示出)，该系统可以捕获和记录由网络系统100中的计算资源资产接收或通过其的流量数据，以进行监视和威胁评估。可以从例如服务器日志中接收流量数据(或网络利用数据)，并将其存储在例如漏洞数据库280(图2所示)中，其中可以使用例如漏洞数据库280中的漏洞扫描报告数据存储和/或索引流量数据。为了防止损害计算资源资产，安全服务器160可以实施修复措施以基于其真实评分来解决漏洞，包括例如对计算资源资产应用补丁或修复。修复措施可以包括审查漏洞和/或计算资源资产，或解决漏洞。

安全性扫描分析可以由安全分析器生成，并且可以包括针对计算资源资产中检测到的每个漏洞的一个或多个安全扫描结果。安全性扫描结果可以由安全性服务器160或安全性分析人员通过与安全性服务器160通信的客户端设备142进行分析，以对计算资源资产中的漏洞进行识别、评估和/或应用修复措施。可以从安全分析器(未示出)接收安全性扫描分析，其是以基于文件的形式，或在安全服务器160或经由可与安全服务器160通信的客户端设备142的分析人员的安全性扫描分析中促进安全扫描结果的分析和审查的任何其他形式。

交换和分配层120可以包括核心层122和分配层124。核心层122可以包括将服务器场110连接到分配层124的一层或多层交换设备(未显示)。分配层124可以包括将核心层122连接到一个或多个路由器130、一个或多个网络交换机140、通信服务器150或安全服务器160的一层或多层交换设备(未示出)。交换和分配层120可以包括一个或多个路由器(未示出)。

路由器130可以通过通信链路10连接到网络135或因特网。如果安全性扫描分析是由位于网络系统100外部的安全分析器(未示出)例如在因特网上的软件供应商服务器上生成的，则可以经由路由器130或直接由安全服务器160通过通信链接10接收安全性扫描分析。网络135可以位于防火墙后面的内联网上。路由器130可以包括防火墙(未示出)。网络交换机140可以通过一个或多个相关联的通信链路10连接到一个或多个客户端设备142。网络交换机140可以包括以太网交换机。数据包可以在网络系统100中的计算资源资产之间安全地传输。

通信服务器150可以包括基于标准的计算系统，其可以用作用于广泛的通信应用的运营商级通用平台，并且有助于例如PSTN 155或PLMN(未示出)上的通信。通信服务器150可以包括因特网消息处理服务(MHS)，该因特网消息处理服务在网络系统100中的通信设备与网络系统100外部的通信设备之间传送电子邮件消息。MHS可以包括例如消息传送代理或邮件传送代理(MTA)、邮件中继等。通信服务器150可以包括消息传递代理(MDA)。网络系统100可以通过一个或多个通信链路10连接到因特网。

图2示出了根据本公开的原理构造的并且可以被包括在例如安全服务器160(图1所示)中的漏洞处理器200的非限制性实例。漏洞处理器200可以被配置为实现本公开的各个方面。漏洞处理器200包括处理器210、存储器220、硬盘驱动器(HDD)230、光盘驱动器(ODD)240、网络接口250、输入/输出(I/O)接口260、网络流量调整(NTA)单元270、漏洞数据库280和系统总线205，系统总线可以通过通信链接可通信地链接到漏洞处理器200中的每个组件。

系统总线205可以是若干种类型的总线结构中的任何一种，所述总线结构可以进一步使用各种可商购总线架构中的任何一种总线架构与存储器总线(具有或没有存储器控制器)、外围总线和本地总线互连。

处理器210可以是各种可商购处理器中的任何一种处理器。还可以采用双微处理器和其它多处理器架构作为处理器。

漏洞处理器200包含可以固持可执行或可解译计算机代码(或指令)的计算机可读介质，当由处理器210执行时，所述代码(或指令)使得本文中所描述的步骤、过程和方法被执行。计算机可读介质可以设置在存储区220、HDD 230和/或ODD 240中。计算机可读介质可以包含计算机代码段，当由处理器210和/或NTA单元270执行时，所述计算机代码段使漏洞处理器200执行图5所示的过程500以及本文所描述或所设想的所有其它处理步骤。

存储区220包含只读存储器(ROM)220A和随机存取存储器(RAM)220B。存储器220可以存储安全性扫描分析数据、漏洞扫描报告数据、流量数据、CVSS数据、风险调整权重数据、真实评分数据等。可以将基本输入/输出系统(BIOS)存储于可以包含例如ROM、EPROM、EEPROM等的非易失性存储器220A中。BIOS可以包含有助于例如在启动期间在处理单元200内的组件之间传递信息的基本例程。RAM 220B可以包含用于缓存数据的高速RAM，如静态RAM。

HDD 230可以包含例如增强型集成驱动电子装置(EIDE)驱动器、串行高级技术附件(SATA)驱动器等；以及ODD 240可以从CD-ROM盘(未示出)读取/向其写入，或从如DVD的其它高容量光学介质读取或向其写入。HDD 230可以被配置用于在合适的底架(未示出)中供外部使用。HDD 230和ODD 240可以分别通过硬盘驱动器接口(未示出)和光学驱动器接口(未示出)连接到系统总线205。硬盘驱动器接口(未示出)可以包含通用串行总线(USB)(未示出)、IEEE 1394接口(未示出)等以供外部应用。

HDD 230和/或ODD 240和其相关联的计算机可读介质可以提供对数据、数据结构、计算机可执行指令等的非易失性存储。HDD 230和/或ODD 240可以容纳对呈合适的数字格式的任何数据的存储。存储区220、HDD 230和/或ODD 240可以包含用于执行本文所描述的架构的各方面的一个或多个app。

多个程序模块可以存储于HDD 230、ODD 240和/或RAM 220B中，包含操作系统(未示出)、一个或多个应用程序(未示出)、其它程序模块(未示出)和程序数据(未示出)。任何(所有)操作系统、应用程序、程序模块和程序数据可以缓存在RAM 220B中作为可执行的计算机代码段。

网络接口250可以连接到网络135或因特网(如图1所示)。网络接口250可以包含有线或无线通信网络接口(未示出)和/或调制解调器(未示出)。当在局域网(LAN)中使用时，漏洞处理器200可以通过有线和/或无线通信网络接口连接到LAN网络(例如图1中示出的网络135)；并且当在广域网(WAN)中使用时，漏洞处理器200可以通过调制解调器连接到WAN网络。网络135(在图1中示出)可以包括LAN、WAN等。调制解调器(未示出)可以是内部的或外部的并且有线的或无线的。调制解调器可以通过例如串行端口接口(未示出)连接到系统总线205。

(I/O)接口260可以通过I/O接口从操作者接收命令和数据，所述I/O接口可以通信耦接到一个或多个输入/输出装置，包含例如键盘(未示出)、鼠标(未示出)、指针(未示出)、麦克风(未示出)、扬声器(未示出)、显示器(未示出)等等。接收到的命令和数据可以通过总线205从I/O接口260转发到处理器210作为指令和数据信号。

如图2所示，NTA单元270可以是与处理器210分离的设备或模块，或者它可以与处理器210集成。NTA单元270可以连接到系统总线205，并且被配置为在输入(未示出)处接收来自安全分析器(未示出)的安全性扫描分析。NTA单元270可以接收例如安全性扫描分析，例如基于UNIX文件的安全性扫描分析。可替换地，NTA单元270可以接收任何安全性扫描分析，包括那些不是基于UNIX或基于UNIX文件的安全性扫描分析。本公开不限于任何特定类型的安全性扫描分析。

漏洞数据库280可以存储已针对漏洞进行分析的网络系统100中每个计算资源资产的漏洞记录，包括例如漏洞扫描报告数据、流量数据、CVSS数据、风险调整权重数据、真实评分数据等等。NTA单元270以及漏洞处理器200中的其他计算资源资产都可以访问漏洞数据库280。漏洞数据库280可以接收查询，并且作为响应，基于查询检索特定记录或记录的部分。漏洞数据库280可以包括可以与NTA单元270以及漏洞处理器200中的其他计算资源资产进行交互的数据库管理系统(DBMS)。DBMS可以与漏洞处理器200外部的计算资源资产进行交互。漏洞数据库280可以包括关系数据库。

图3示出了根据本公开原理构造的NTA单元270的实例。NTA单元270可以包括基本评分确定器310、时间评分确定器320、环境评分确定器330、共同漏洞(CV)评分确定器340、风险调整(RA)确定器350和真实评分确定器360，其每个可以是与处理器210(图2所示)分离的设备或模块，或者可以与处理器210集成在一起。RA确定器350和真实评分确定器360可以被提供为单个设备或模块，或者被提供为单独的设备或模块。

基本评分确定器310可以与漏洞数据库280(图2所示)进行交互，并且从数据库接收数据包，该数据包包括针对已被扫描和分析了漏洞的计算资源资产或计算资源资产组的漏洞信息。基本评分确定器310可以识别、评估和评分漏洞的内在和基本特征，这些特征在时间和用户环境中基本上是恒定的。

根据非限制性实例，基本评分确定器310可以包括攻击(或访问)复杂性确定器、攻击(或访问)矢量确定器、认证(或所需特权)确定器、可用性影响确定器、机密性影响确定器、完整性影响确定器、用户交互确定器和/或范围确定器，它们每个都可以根据例如CVSSv3.0标准运行。基本评分确定器310可以包括少于前述的元素，或者附加的元素以标识和评估不随时间或用户环境而改变的漏洞的其他质量。可以在《https://www.first.org/cvss/specification-document》中找到CVSSv3.0标准的说明。当为基本评分确定器310中的前述元素中的基本度量分配值时，如可以使用例如CVSSv3.0标准中的基本度量所做的那样，基本评分确定器310可以计算例如从0.0到10.0的基本评分，并生成一个矢量，该矢量可以包括文本字符串，该文本字符串包含分配给每个度量的值，以促进查看基本评分确定器310中每个元素执行的计算。分配的值、基本评分和基本矢量可以存储在漏洞数据库280中与漏洞相关的记录中，或存储在数据库中的单独位置中，并通过例如索引关联到相关漏洞。

时间评分确定器320可以识别和评估随时间变化但相对于用户环境基本上恒定的漏洞的特征。时间评分确定器320可以与漏洞数据库280(图2所示)交互，并且从数据库接收数据包，该数据库包括用于数据库中的计算资源资产或计算资源资产组的漏洞信息。接收到的数据包可以包括基本评分数据和由基本评分确定器310生成并存储在漏洞数据库280中的基本矢量数据。替代地(或附加地)，时间评分确定器320可以与基本评分确定器310交互以接收针对漏洞的基本评分数据和基本矢量数据。

根据非限制性实例，时间评分确定器320可以包括可利用性确定器、修复水平确定器和/或报告置信度确定器，它们中的每一个都可以根据例如CVSSv3.0标准来起作用。基本评分确定器320可以包括少于前述的元素，或者附加的元素以标识和评估随时间改变但不随用户环境改变的漏洞的其他质量。时间评分确定器320可以处理接收到的基本评分和基本矢量数据，并根据CVSSv3.0标准，使用例如在可利用性确定器、修复级别确定器和报告置信度确定器中的时间度量，生成时间评分数据并时间矢量数据，其中时间评分数据包括针对漏洞的时间评分。

环境评分确定器330可以识别和评估与特定用户环境有关的漏洞的特征。在本公开中，用户环境可以包括网络系统100(图1所示)，或者网络系统100的子系统，例如网络135(图1所示)。环境得分确定器330可以与漏洞数据库280(图2所示)交互，并且从数据库接收数据包，该数据库包括用于数据库中的计算资源资产或计算资源资产组的漏洞信息。所接收的数据包可以包括时间评分数据和时间矢量数据。所接收的数据包可以包括基本评分数据和基本矢量数据。替代地(或附加地)，环境评分确定器330可以与基本评分确定器310或时间评分确定器320交互以接收针对漏洞的评分数据和矢量数据。

根据非限制性实例，环境评分确定器330可以包括附带损害确定器、安全要求确定器和/或目标分布确定器，它们中的每一个都可以根据例如CVSSv3.0标准来起作用。环境评分确定器330可以包括少于前述元素的元素，或附加的元素以标识和评估特定用户环境(例如，网络系统100或网络系统100中的子系统)所独有的漏洞的其他质量。环境评分确定器330可以处理接收到的时间评分数据和/或基本评分数据，以及时间矢量数据和/或基本矢量数据，并且根据CVSSv3.0标准使用例如附带损害确定器、安全性要求确定器和目标分布确定器中的环境度量，生成环境评分数据和环境矢量数据，其中环境评分数据包括漏洞的环境评分。

通用漏洞评分确定器350可以从基本度量确定器310或漏洞数据库280接收基本评分数据和基本矢量数据，并且例如在CVSSv3.0标准中阐述的那样，生成总体通用漏洞评分。另外，通用值分数确定器350可以从时间评分确定器320或漏洞数据库280接收时间评分数据和时间矢量数据。通用值分数确定器350可以从环境评分确定器330或漏洞数据库280接收环境评分数据和环境矢量数据。通用漏洞评分确定器350可以基于时间和/或环境评分数据(例如，CVSSv3.0标准中所述的)改进基本评分数据，以生成总体通用漏洞评分。由于基本评分和矢量在某些应用中可能已足够，因此通用漏洞评分确定器350可以仅基于基本评分和基本矢量数据来生成总体通用漏洞评分。通用漏洞评分的范围可以是例如0.0到10.0。替代地，通用漏洞评分可以在任何预定的最小值(例如0.00)至任何预定的最大值(例如100.00)之间变化。通用漏洞评分确定器350可以基于通用漏洞评分生成严重性等级(例如，“无”、“低”、“中”、“高”、“严重”)。

图4A示出了通用漏洞分数确定器350可以分配给通用漏洞评分的离散带的严重性等级的实例。如所见，对于0.0的CVSS评分，通用漏洞评分确定器350可能不生成等级，但是对于例如0.1-3.9、4.0-6.9、7.0-8.9和9.0-10.0的CVSS评分带，通用漏洞确定器350可以分别产生例如“低”、“中”、“高”和“严重”的严重性等级。本文考虑了其他的严重性等级，包括上述五个等级中的每一个的离散子集，例如，CVSS评分为9.0到9.3的“严重-低”，CVSS评分为9.4-9.7的“严重-中”，以及CVSS评分为9.8-10.0的“严重-高”。

尽管通用漏洞评分和相关的严重性等级可以基于与漏洞相关的风险促进对漏洞的优先级划分和分类，但是这种方法在现实世界条件下无法提供令人满意的结果，并且可能产生模棱两可的结果，其无法反映计算资源资产中与漏洞相关的真实风险。此缺点可能导致对非严重或不太严重的漏洞进行错误的优先级划分和修复，但要牺牲对可能限制资源(例如时间或计算能力)的计算资源资产中的真正严重漏洞的先前修复。例如，在为真正的严重漏洞分配了“中”严重性等级并且没有修复的情况下会发生这种情况，因为许多其他漏洞都被分配为“严重”严重性等级，并且没有足够的资源来解决具有“中”严重性等级的漏洞。错误的优先级划分和修复措施可能将严重漏洞留在原地，从而使用户环境面临更大的成功网络攻击风险，这可能严重影响用户环境。

真实评分确定器360可以基于网络流量信息对漏洞进行重新分类和重新优先级排序，以根据与那些漏洞相关的真实风险来对漏洞进行识别、评估和确定优先级，从而可以高效、准确和有效地进行修复。真实评分确定器360可以从通用漏洞评分确定器350接收通用漏洞评分数据和关联的矢量数据，以及识别计算资源资产和漏洞所必需的任何其他数据，并将网络流量调整值应用于每个通用漏洞评分，以为每个漏洞生成真实评分。代替或者除了从通用漏洞分数确定器350接收评分和矢量数据之外，真实评分确定器360可以从漏洞数据库280(图2所示)接收评分数据和矢量数据。真实评分确定器360可以从风险调整确定器350或漏洞数据库280接收网络流量调整值数据。

根据本公开的非限制性实例，网络流量调整值可以是例如“0”、“1.0”或“2.0”。在此实例中，可以基于网络流量调整值来修改通用漏洞评分，以根据相关计算资源资产的流量数据向每个评分添加0、1.0或2.0。流量数据可以包括关于相对于用户环境中的其他计算资源资产的往返于所述计算资源资产的流量的信息。对于任何给定的计算资源资产，流量数据(或网络利用数据)可以包括例如有关以下信息的信息：具有访问或尝试访问该计算资源资产的唯一IP地址的计算设备或通信设备的数量，计算资源资产接收或传输给计算资源资产的数据量(例如，以字节、千字节、兆字节等为单位)，计算资源资产与在其期间传输数据包的计算设备或通信设备之间的每个会话的长度，通信期间使用的端口编号以及可以提供计算资源资产的利用或尝试利用的全面总结的任何其他信息。网络利用数据可以包括排序阈值(如下所述)。

风险调整确定器350可以从例如SIEM系统(未示出)接收每个计算资源资产的流量数据，该SIEM系统可以位于安全服务器160(图1所示)或漏洞数据库280(图2中所示)中。流量数据可以包括关于由用户环境中的每个计算资源资产接收或经过其的流量量(T

以下等式说明了这种关系，

其中T

一旦确定了所有计算资源资产的按比例流量值T

图4B示出了三个排序阈值的实例，其可用于在特定时间段内对每个计算资源资产进行优先级确定和进行排序。如图4B所示，可以将三个排序阈值设置为例如“低”排序阈值，用于按比例流量值T

图4C示出了可以基于三个相应的排序阈值(低、中、高)生成的三个网络流量调整值(0.0、+1.0、+2.0)的实例。风险调整确定器350可以将包括网络流量调整值的网络流量调整值数据发送到真实评分确定器360。网络流量调整值数据可以包括识别关联的计算资源资产所必需的附加数据。真实评分确定器360可以从漏洞数据库280(图2所示)接收网络流量调整值数据。

图4D示出了根据本公开的非限制性实例的可以由真实评分确定器360(图3所示)生成的三个漏洞(例如，A、B、C)的真实评分矩阵的实例。

参看图3和图4A-4D，真实评分确定器360可以将网络流量调整值应用于漏洞例如A、B、C(如图4D所示)的通用漏洞评分，并生成每个漏洞的真实评分(“新评分”)。在该非限制性实例中，真实评分确定器360针对三个相应的漏洞A、B、C接收三个通用漏洞评分(“CVSS评分”)2.1、6.0和7.5。真实评分确定器360还接收每个漏洞A、B、C的相应的严重性等级(“旧等级”)。同时(或在不同的时间)，针对漏洞A、B、C，真实评分确定器360可以分别地接收排序阈值中、高和低以及网络流量调整值1.0、2.0、0.0。在分别针对漏洞A、B、C接收到通用漏洞评分(例如2.1、6.0、7.5)和排序阈值(例如中、高、低)(和/或网络流量调整值)之后，真实评分确定器360可以将网络流量调整值(例如，+1.0、+2.0、0.0)应用于通用漏洞评分，以生成真实评分(例如，2.1+1.0＝3.1、6.0+2.0＝8.0、7.5+0＝7.5)。真实评分和新的严重性等级可用于对漏洞A、B、C的修复进行重新分类和重新优先级确定，包括为漏洞B分配最高优先级，然后对漏洞C和A分配最高优先级，以进行修复，这可以由安全性服务器160(图1所示)或客户端设备142(图1所示)进行，如上所述。

如在该实例中看到的，可以基于例如来自中等级的漏洞到应该以更高优先级进行分析和/或修复的高等级的漏洞的流量数据来对漏洞B进行重新分类和重新优先级确定。从该实例显而易见，本文公开的技术方案提高了及时的修复、修复有效性和效率，允许利用有限的可用资源(例如，计算资源、人力资源等)对大量计算资源资产进行漏洞评估和修复。

在替代实例中，真实评分确定器360可以包括查找表或其他映射手段，以将每个接收到的排序阈值映射到相关联的网络流量调整值，因此真实评分确定器将仅需要从风险调整确定器350或漏洞数据库280接收排序阈值。可替代地，真实评分确定器360可以被配置为仅从风险调整确定器350或漏洞数据库280接收网络流量调整值，在这种情况下，可以参考查找表或其他映射手段来检索与接收到的网络流量调整值关联的排序阈值。

图5示出了根据本公开原理的真实漏洞评估和修复过程500的实例。过程500可以由安全服务器160(图1所示)执行。安全服务器160可以包括或可以访问包含计算机程序的计算机可读介质，当在一个或多个计算设备上执行该计算机程序时，其使过程500得以执行。该计算机程序可以有形地体现在计算机可读介质中，该计算机可读介质包括用于当由一个或多个计算设备执行时执行图5所示的过程500中的每个步骤的一个或多个程序指令、代码段或代码部分。

参考图5，计算资源资产的安全扫描结果可以由漏洞处理器200(图2所示)从安全分析器(未示出)或漏洞数据库280(图2所示)以安全扫描结果数据包的形式接收(步骤510)。安全分析器(未示出)可以位于安全服务器160(如图1所示)中，或者位于用户环境中的其他位置，或者可以位于用户环境外部的第三方站点上，例如，诸如在供应商站点。安全扫描结果可以包括用户环境中计算资源资产的漏洞数据。

漏洞数据可以由例如漏洞处理器200(图2所示)从安全扫描结果数据包中解析(步骤520)。可以使用例如CVSS标准(例如CVSSv1.0、CVSSv2.0、CVSSv3.0等)中定义的基本度量、时间度量和环境度量中的至少一个分析漏洞数据，以确定通用漏洞评分(步骤530)。作为CVSS标准评分方案的替代或补充，可以使用提供可重复的准确评分的任何其他漏洞评分方案，这些评分可以被实施以基于它们的特征对漏洞进行分类和优先级确定。

漏洞处理器200(图2中示出)可以接收与在步骤510-530中针对其接收并分析了漏洞数据的每个计算资源资产有关的流量数据(步骤540)。如前所述，可以从例如SIEM系统(未示出)或漏洞数据库280(在图2中示出)接收流量数据。流量数据可以包括关于由用户环境中特定的计算资源资产或计算资源资产接收或经过其的流量量T

然后，漏洞处理器200(图2所示)可以基于网络流量调整值来调整每个漏洞的通用漏洞评分，以向每个评分添加0、1.0或2.0，以计算每个漏洞的真实评分(步骤560)。漏洞处理器200可以基于真实评分确定优先级确定的通用漏洞分数(PCVSS)(步骤570)。PCVSS评分可以包括网络流量调整值和每个漏洞的真实评分。可以基于每个漏洞的真实评分和/或网络流量调整值对PCVSS评分进行优先级确定(或分类)，以便修复。例如，如图4D所示，基于PCVSS评分，可以优先考虑漏洞A-C，以便首先修复漏洞B，然后是漏洞C，最后是漏洞A(步骤570)。安全服务器160(图1所示)或客户端设备140(图1所示)可以基于与计算资源资产相关联的每个漏洞的PCVSS评分，对计算资源资产进行修复(步骤580)。

如本公开所使用的，除非另有明确说明，否则术语“一个/一种(a/an)”和“所述(the)”意指“一个或多个”。

在本公开中使用的术语“客户端设备”是指被配置为在网络系统100中操作的计算机或通信设备，所述操作包括通过一个或多个通信链路传输数据和指令信号。

在本公开中使用的术语“通信设备”是指可以通过通信链路发送或接收数据包、指令信号或数据信号的任何硬件、固件或软件。硬件、固件或软件可以包括例如电话、智能电话、个人数据助理(PDA)、智能手表、平板电脑、计算机、软件无线电(SDR)等，没有限制。通信设备可以是便携式的或固定的。

如本公开所使用的术语“通信链路”意指在至少两个点之间传送数据或信息的有线和/或无线介质。有线或无线介质可以包含例如但不限于金属导体链路、射频(RF)通信链路、红外(IR)通信链路、光学通信链路等。RF通信链路可以包含例如WiFi、WiMAX、IEEE802.11、DECT、0G、1G、2G、3G或4G蜂窝标准、蓝牙等，没有限制。

如本公开所使用的术语“计算机”或“计算设备”意指能够根据一个或多个指令操纵数据的任何机器、装置、电路、组件、模块或机器、装置、电路、组件、模块的任何系统等，例如但不限于处理器、微处理器、中央处理单元、通用计算机、超级计算机、个人计算机、膝上型计算机、掌上计算机、笔记本计算机、台式计算机、工作站计算机、服务器、服务器群、计算机云等，或处理器、微处理器、中央处理单元、通用计算机、超级计算机、个人计算机、膝上型计算机、掌上计算机、笔记本计算机、台式计算机、工作站计算机、服务器等的阵列，没有限制。

在本公开中使用的术语“计算资源资产”是指客户端设备、计算设备、通信设备、通信链接、软件、软件应用程序、Web应用程序、网页、计算机应用程序、计算机程序、计算机代码、机器可执行指令、固件等。计算资源资产可以包括具有互联网协议(IP)地址的任何设备，包括例如路由器、交换机、服务器、打印机、扫描仪、计算设备、通信设备等。

如本公开所使用的术语“计算机可读介质”意指参与提供可以由计算机读取的数据(例如，指令)的任何非暂时性存储介质。此类介质可以采用多种形式，包含非易失性介质和易失性介质。非易失性介质可以包含例如光盘或磁盘以及其它永久存储器。易失性介质可以包含动态随机存取存储器(DRAM)。计算机可读介质的常见形式包含例如软盘、软磁盘、硬盘、磁带、任何其它磁性介质、CD-ROM、DVD、任何其它光学介质、穿孔卡片、纸带、具有孔洞图案的任何其它物理介质、RAM、PROM和EPROM、闪存EEPROM、任何其它存储器芯片或盒，如下文所述的，或计算机可以读取的任何其它介质。计算机可读介质可以包含“云”，所述“云”包含文件跨多个(例如，数千)计算机上的多个(例如，数千)存储器缓存的分布。

各种形式的计算机可读介质可以涉及将指令序列承载到计算机。例如，指令序列(i)可以从RAM递送到处理器，(ii)可以通过无线传输介质承载，和/或(iii)可以根据各种格式、标准或协议，包含例如WiFi、WiMAX、IEEE 802.11、DECT、0G、1G、2G、3G、4G或5G蜂窝标准、蓝牙等进行格式化。

在本公开中使用的术语“数据库”是指软件和/或硬件的任何组合，包括至少一个应用程序和/或至少一台计算机。数据库可以包括根据数据库模型组织的记录或数据的结构化集合，数据库模型例如但不限于关系模型、层次模型、网络模型等中的至少一个。如本领域中已知的，数据库可以包括数据库管理系统应用程序(DBMS)。至少一个应用程序可以包括但不限于例如可以通过将响应发送回给客户端来接受来自客户端的服务请求的连接的应用程序。可以将数据库配置为在无人值守的情况下，经常在繁重的工作负载下长时间并且以最少的人工指导运行该至少一个应用程序。

如本公开所使用的，除非另有明确说明，否则术语“包含”、“包括”和其变体意指“包含但不限于”。

如本公开所使用的术语“网络”意指但不限于例如局域网(LAN)、广域网(WAN)、城域网(MAN)、个域网(PAN)、校园区域网络、企业区域网络、全域网络(GAN)、宽带局域网(BAN)、蜂窝网络、因特网等中的至少一个或上述的任何组合，所有这些中的任何一个可以被配置成通过无线和/或有线通信介质传送数据。这些网络可以运行各种协议，所述各种协议不限于TCP/IP、IRC或HTTP。

如本公开中所使用的术语“服务器”是指软件和/或硬件的任何组合，包括至少一个应用程序和/或至少一台计算机，以为作为客户端-服务器架构的一部分的所连接的客户端执行服务。至少一个服务器应用程序可以包括但不限于例如可以通过将响应发送回给客户端来接受来自客户端的服务请求的连接的应用程序。可以将服务器配置为在无人值守的情况下，经常在繁重的工作负载下长时间并且以最少的人工指导运行该至少一个应用程序。服务器可以包括配置的多台计算机，其中至少一个应用程序根据工作量在计算机之间划分。例如，在轻负载下，至少一个应用程序可以在一台计算机上运行。但是，在繁重的负载下，可能需要多台计算机来运行至少一个应用程序。服务器或任何计算机(如果有的话)也可以用作工作站。

如本公开中所使用的术语“传输”是指经由电、声波、光波和其他电磁发射的信号的传输，诸如通过射频(RF)或红外(IR)光谱中的通信而产生的那些。用于这种传输的传输介质可以包含同轴电缆、铜线和光纤，包含包括联接到处理器的系统总线的导线。

如本公开中所使用的术语“用户环境”是指网络、企业网络、公共网络、专用网络或包括两个或更多个计算设备的任何配置。用户环境可以包括网络系统100(图1所示)，或者网络系统100的子系统，例如网络135(图1所示)。

除非另有明确说明，否则彼此通信的装置不需要连续与彼此通信。另外，彼此通信的装置可以通过一个或多个中介直接或间接通信。

尽管可以按先后顺序或并行顺序描述过程步骤、方法步骤、算法等，但是此类步骤、方法和算法可以被配置成按交替顺序工作。换句话说，可以按先后顺序描述的步骤的任何顺序或次序并不一定指示要求按所述次序执行步骤；一些步骤可以同时进行。类似地，如果以并行(或同时)顺序描述步骤的顺序或次序，则可以以先后顺序执行这样的步骤。本文所描述的过程、方法或算法的步骤可以按任何实际次序执行。

当本文中描述了单个装置或物品时，将很容易显而易见的是，可以使用多于一个装置或物品来代替单个装置或物品。类似地，当本文中描述了多于一个装置或物品时，将很容易显而易见的是，可以使用单个装置或物品来代替多于一个装置或物品。装置的功能或特征可以替代性地由没有明确描述为具有此类功能或特征的一个或多个其它装置体现。

虽然已经依据示例性实施例描述了本公开，但是本领域的技术人员应认识到，本公开可以在不修改所附权利要求的精神或范围的情况下实践。这些实例仅是说明性的并且不旨在是本公开的所有可能的设计、实施例、应用或修改的详尽列表。