一种基于漏洞事件论元的漏洞严重度评估方法及系统

摘要

本发明公开了一种基于漏洞事件论元的漏洞严重度评估方法，从漏洞描述文本中抽取事件论元协助进行漏洞严重度评估，充分考虑漏洞产生原因、攻击者、触发操作、触发结果、触发情景对于预训练模型学习的作用，构造不同的漏洞事件论元与不同的漏洞严重度指标之间的对应关系，针对不同的严重度评估指标使用对应的漏洞事件论元进行分类学习，最终输出漏洞事件论元、漏洞严重度分数、漏洞严重度等级，明确漏洞的严重度，帮助开发人员优先选择更紧急的漏洞进行修复，本发明对应提供一种基于漏洞事件论元的漏洞严重度评估系统。

说明书

技术领域

本发明涉及软件安全领域，尤其是一种基于漏洞事件论元的漏洞严重度评估方法及系统。

背景技术

软件漏洞会对软件系统的保密性、完整性、可用性产生负面影响，从漏洞的结果来看，软件漏洞的影响主要有攻击者执行主机上任意代码、系统拒绝服务、获取用户敏感信息等。随着漏洞数量的持续增加，在数量庞大的软件漏洞中寻找需要优先考虑的关键漏洞进行补救也变得愈加重要，因此软件漏洞严重度评估非常必要。之前的漏洞严重度评估工作大多通过对漏洞描述文本进行分类直接得到严重度等级，如《Learning to PredictSeverity of Software Vulnerability Using Only Vulnerability Description》利用CNN分类模型对截止2016年CVE上完整的漏洞描述文本进行严重度等级进行分类任务训练，《Automated Software Vulnerability Assessment with Concept Drift》中作者提出使用超过100,000条漏洞描述文本数据，对于漏洞严重度的不同指标分别进行训练，同时结合了基于时间的k折交叉验证来缓解漏洞描述文本的概念漂移的问题，对漏洞描述文本的字符级、单词级表征进行特征学习，学习每个漏洞严重度指标的特征，最后计算严重度等级。但这类任务需要大量数据集进行训练，同时漏洞描述文本中存在大量涉及漏洞版本、漏洞位置的信息，此类信息仅仅作为漏洞的标识，对于漏洞严重度评估任务几乎没有任何作用，此外还存在数据集不平衡问题，例如同一指标的不同类别的数量相差非常大，导致模型学习到的特征不完全、漏洞严重度评估结果准确率不高的问题。

发明内容

发明目的：本发明的目的在于提供一种基于漏洞事件论元的漏洞严重度评估方法及系统，明确漏洞的严重度，为漏洞严重度进行分类，辅助漏洞修复人员进行漏洞修复。

技术方案：本发明提供的一种基于漏洞事件论元的漏洞严重度评估方法，包含以下步骤：

1)根据CVE-ID从漏洞数据库爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，将漏洞的产生原因、攻击者、触发操作、触发结果、触发情景作为事件论元构建事件论元标注集；

2)采集漏洞数据库上所有的漏洞描述文本及漏洞严重度等级构建BERT预训练模型，在漏洞描述文本中加入特殊符号[CLS]和[SEP]，训练BERT预训练模型生成漏洞描述文本的预训练词嵌；

3)使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT序列标注任务训练后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取；

4)通过获得的目标漏洞事件论元对漏洞严重度指标进行分类，并计算漏洞严重度分数及漏洞严重度等级，该漏洞严重度指标的分类包含六个指标：访问复杂度AccessComplexity、攻击向量AccessVector、认证Authentication、机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact。

进一步的，步骤1)中，包含多个不同漏洞数据库，根据CVE-ID从多个不同漏洞数据库中的其中两个漏洞数据库即漏洞数据库NVD、漏洞数据库IBMX-Force中爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，使用BIO标注法人工标注漏洞的产生原因、攻击者、触发操作、触发结果、触发情景，B(Begin)表示该单词是词汇开始的单词，I(Inside)表示该单词是词汇的中间字符，O(Outside)表示该单词不表示任何实体，构建事件论元标注集。

进一步的，步骤2)中，收集漏洞数据库NVD和漏洞数据库IBMX-Force上所有的描述文本和漏洞严重度等级，在描述文本中加入特殊符号[CLS]和[SEP]，在描述文本与漏洞严重度等级之间加入[SEP]，[SEP]表示分句符号，用于断开输入文本的两个句子，[CLS]放在文本开头，表示下游文本用于进行分类任务，针对加入特殊符号的海量描述文本使用BERT预训练模型进行漏洞严重度等级分类，训练BERT预训练模型直接预测漏洞严重度等级，生成漏洞描述文本的预训练词嵌，预训练词嵌包含TokenEmbeddings、SegmentEmbeddings、PositionEmbeddings三部分，TokenEmbeddings将输入的词转换为语料库中对应的固定维度的向量；SegmentEmbeddings将输入中不同的句子进行拆分，辅助BERT预训练模块区别输入中不同句子的向量表示；PositionEmbeddings将词的位置信息加入词向量中，使得BERT预训练模型对不同位置的相同词提供不同的向量表示，让BERT预训练模型学习到输入的顺序属性。

进一步的，步骤3)中，使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取，该目标漏洞事件论元包括漏洞产生原因、触发操作、发生情景、攻击者、触发结果，当使用新的BiLSTM网络参数

其中，

进一步的，步骤4)中，利用漏洞触发操作对访问复杂度AccessComplexity进行分类，分类结果包括低low、中medium、高high，赋予低low的权重为0.350，赋予中medium的权重为0.610，赋予高high的权重为0.710，利用漏洞触发结果及漏洞触发情景对机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact进行分类，机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact的分类结果均包括无none、部分partial、完全complete，赋予无none的权重为0.000，赋予部分partial的权重为0.275，赋予完全complete的权重为0.660，利用漏洞攻击者对攻击向量AccessVector和认证Authentication进行分类，攻击向量AccessVector的分类结果包括本地local、网络network、邻接网络adjacentnetwork，赋予本地local的权重为0.395，赋予网络network的权重为0.646，赋予邻接网络adjacentnetwork的权重为1.000，认证Authentication的分类结果包括无none、单一single、多重multiple，赋予无none的权重为0.704，赋予单一single的权重为0.560，赋予多重multiple的权重为0.450，根据分类结果的权重计算漏洞严重度分数BaseScore以及漏洞严重度等级BaseLevel，漏洞严重度分数BaseScore计算公式如下：

BaseScore＝(0.6*Impact+0.4*Expoitability-1.5)*f(Impact)(2)Impact＝10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))(3)Expoitability＝20*AccessComplexity*Authentication*AccessVector(4)

上述公式中，首先根据机密性影响ConfImpact、完整性影响IntegImpact和可用性影响AvailImpact按照漏洞公式(3)计算影响Impact并按照公式(5)判断f(Impact)，其次根据访问复杂度AccessComplexity、攻击向量AccessVector和认证Authentication按照公式(4)计算可用性Expoitability，根据公式(2)计算漏洞严重度分数BaseScore，带入公式(6)得到漏洞严重度等级BaseLevel。

本发明同时提供一种基于漏洞事件论元的漏洞严重度评估系统，包含论元标注集模块、预训练词嵌模块、抽取漏洞事件论元模块、分类计算模块；

论元标注集模块用以根据CVE-ID从漏洞数据库爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，将漏洞的产生原因、攻击者、触发操作、触发结果、触发情景作为事件论元构建事件论元标注集；

预训练词嵌模块用以采集漏洞数据库上所有的漏洞描述文本及漏洞严重度等级构建BERT预训练模型，在漏洞描述文本中加入特殊符号[CLS]和[SEP]，训练BERT预训练模型生成漏洞描述文本的预训练词嵌；

抽取漏洞事件论元模块用以使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT序列标注任务训练后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取；

分类计算模块用以通过获得的目标漏洞事件论元对漏洞严重度指标进行分类，并计算漏洞严重度分数及漏洞严重度等级，该漏洞严重度指标的分类包含六个指标：访问复杂度AccessComplexity、攻击向量AccessVector、认证Authentication、机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact。

进一步的，论元标注集模块中，包含多个不同漏洞数据库，根据CVE-ID从多个不同漏洞数据库中的其中两个漏洞数据库即漏洞数据库NVD、漏洞数据库IBMX-Force中爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，使用BIO标注法人工标注漏洞的产生原因、攻击者、触发操作、触发结果、触发情景，B(Begin)表示该单词是词汇开始的单词，I(Inside)表示该单词是词汇的中间字符，O(Outside)表示该单词不表示任何实体，构建事件论元标注集。

进一步的，预训练词嵌模块中，收集漏洞数据库NVD和漏洞数据库IBMX-Force上所有的描述文本和漏洞严重度等级，在描述文本中加入特殊符号[CLS]和[SEP]，在描述文本与漏洞严重度等级之间加入[SEP]，[SEP]表示分句符号，用于断开输入文本的两个句子，[CLS]放在文本开头，表示下游文本用于进行分类任务，针对加入特殊符号的海量描述文本使用BERT预训练模型进行漏洞严重度等级分类，训练BERT预训练模型直接预测漏洞严重度等级，生成漏洞描述文本的预训练词嵌，预训练词嵌包含TokenEmbeddings、SegmentEmbeddings、PositionEmbeddings三部分，TokenEmbeddings将输入的词转换为语料库中对应的固定维度的向量；SegmentEmbeddings将输入中不同的句子进行拆分，辅助BERT预训练模块区别输入中不同句子的向量表示；PositionEmbeddings将词的位置信息加入词向量中，使得BERT预训练模型对不同位置的相同词提供不同的向量表示，让BERT预训练模型学习到输入的顺序属性。

进一步的，抽取漏洞事件论元模块中，使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取，该目标漏洞事件论元包括漏洞产生原因、触发操作、发生情景、攻击者、触发结果，当使用新的BiLSTM网络参数

其中，

进一步的，分类计算模块中，利用漏洞触发操作对访问复杂度AccessComplexity进行分类，分类结果包括低low、中medium、高high，赋予低low的权重为0.350，赋予中medium的权重为0.610，赋予高high的权重为0.710，利用漏洞触发结果及漏洞触发情景对机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact进行分类，机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact的分类结果均包括无none、部分partial、完全complete，赋予无none的权重为0.000，赋予部分partial的权重为0.275，赋予完全complete的权重为0.660，利用漏洞攻击者对攻击向量AccessVector和认证Authentication进行分类，攻击向量AccessVector的分类结果包括本地local、网络network、邻接网络adjacentnetwork，赋予本地local的权重为0.395，赋予网络network的权重为0.646，赋予邻接网络adjacentnetwork的权重为1.000，认证Authentication的分类结果包括无none、单一single、多重multiple，赋予无none的权重为0.704，赋予单一single的权重为0.560，赋予多重multiple的权重为0.450，根据分类结果的权重计算漏洞严重度分数BaseScore以及漏洞严重度等级BaseLevel，漏洞严重度分数BaseScore计算公式如下：

BaseScore＝(0.6*Impact+0.4*Expoitability-1.5)*f(Impact)(2)Impact＝10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))(3)Expoitability＝20*AccessComplexity*Authentication*AccessVector(4)

上述公式中，首先根据机密性影响ConfImpact、完整性影响IntegImpact和可用性影响AvailImpact按照漏洞公式(3)计算影响Impact并按照公式(5)判断f(Impact)，其次根据访问复杂度AccessComplexity、攻击向量AccessVector和认证Authentication按照公式(4)计算可用性Expoitability，根据公式(2)计算漏洞严重度等级BaseLevel，带入公式(6)得到漏洞严重度等级BaseLevel。

有益效果：本发明与现有技术相比，其显著特点是从漏洞描述文本中抽取事件论元协助进行漏洞严重度评估，充分考虑漏洞产生原因、攻击者、触发操作、触发结果、触发情景对于预训练模型学习的作用，构造不同的漏洞事件论元与不同的漏洞严重度指标之间的对应关系，针对不同的严重度评估指标使用对应的漏洞事件论元进行分类学习，最终输出漏洞事件论元、漏洞严重度分数、漏洞严重度等级，明确漏洞的严重度，帮助开发人员优先选择更紧急的漏洞进行修复。

附图说明

图1是本发明流程示意图；

图2是本发明中CVE-2011-0716的漏洞描述文本标注示意图；

图3是本发明中BERT预训练模型的词嵌生成示意图；

图4是本发明中CVE-2020-4061的漏洞事件抽取模型示意图。

具体实施方式

下面结合附图及具体实施例对本发明做进一步的详细说明。

实施例1

请参阅图1所示，本发明提供的一种基于漏洞事件论元的漏洞严重度评估方法，包含以下步骤：

1)有多个不同漏洞数据库，根据CVE-ID从多个不同漏洞数据库中的其中两个漏洞数据库即漏洞数据库NVD、漏洞数据库IBMX-Force中爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，将漏洞的产生原因、攻击者、触发操作、触发结果、触发情景作为事件论元构建事件论元标注集；

使用BIO标注法人工标注漏洞的产生原因、攻击者、触发操作、触发结果、触发情景，B(Begin)表示该单词是词汇开始的单词，I(Inside)表示该单词是词汇的中间字符，O(Outside)表示该单词不表示任何实体，构建事件论元标注集，如“when a certainEthernet bridge configuration is used”被标注为“B-sit I-sit I-sit I-sit I-sitI-sit I-sit I-sit”，得到事件论元标注集，标注结果如图2所示。

2)采集漏洞数据库上所有的漏洞描述文本及漏洞严重度等级构建BERT预训练模型，在漏洞描述文本中加入特殊符号[CLS]和[SEP]，训练BERT预训练模型生成漏洞描述文本的预训练词嵌；

收集漏洞数据库NVD和漏洞数据库IBMX-Force上所有的描述文本和漏洞严重度等级，在描述文本中加入特殊符号[CLS]和[SEP]，在描述文本与漏洞严重度等级之间加入[SEP]，[SEP]表示分句符号，用于断开输入文本的两个句子，[CLS]放在文本开头，表示下游文本用于进行分类任务；

请参阅图3所示，针对加入特殊符号的海量描述文本使用BERT预训练模型进行漏洞严重度等级分类，训练BERT预训练模型直接预测漏洞严重度等级，生成漏洞描述文本的预训练词嵌，预训练词嵌包含TokenEmbeddings、SegmentEmbeddings、PositionEmbeddings三部分，TokenEmbeddings将输入的词转换为语料库中对应的固定维度的向量；SegmentEmbeddings将输入中不同的句子进行拆分，辅助BERT预训练模块区别输入中不同句子的向量表示；PositionEmbeddings将词的位置信息加入词向量中，使得BERT预训练模型对不同位置的相同词提供不同的向量表示，让BERT预训练模型学习到输入的顺序属性。

3)使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT序列标注任务训练后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取；

使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取，该目标漏洞事件论元包括漏洞产生原因、触发操作、发生情景、攻击者、触发结果，如下表1所示：

表1漏洞事件论元说明表

当使用新的BiLSTM网络参数

其中，

一个具体的实例CVE-2020-4061经过BERT+BiLSTM+CRF模型的过程如图4所示，插入特殊符号[CLS]和[SEP]的输入文本input进入BERT模型转为向量(E[CLS]，E[1]，E[2]，…，E[n]，E[n+1]，E[n+2]，…)，经过BERT序列标注任务后转化为向量(C，T1，T2，T3，…，Tn，Tn+1，Tn+2，…)，经过BiLSTM层以及CRF层后得到每个单词的预测结果output。

4)通过获得的目标漏洞事件论元对漏洞严重度指标进行分类，并计算漏洞严重度分数及漏洞严重度等级，该漏洞严重度的分类包含六个指标：访问复杂度AccessComplexity、攻击向量AccessVector、认证Authentication、机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact，如下表2所示；

表2漏洞严重度指标表

访问复杂度AccessComplexity表示漏洞攻击者触发某一漏洞需要执行操作的复杂程度；攻击向量AccessVector表示漏洞攻击者通过何种途径进行攻击；认证Authentication表示漏洞攻击者达成攻击需要多少次权限认证；机密性影响ConfImpact表示漏洞攻击者触发该漏洞后对用户造成多大程度的文件泄露；完整性影响IntegImpact表示漏洞攻击者触发该漏洞后造成多大程度的文件修改；可用性影响AvailImpact表示漏洞攻击者触发该漏洞后造成多大程度的资源中断；

利用漏洞触发操作对访问复杂度AccessComplexity进行分类，分类结果包括低low、中medium、高high，赋予低low的权重为0.350，赋予中medium的权重为0.610，赋予高high的权重为0.710，利用漏洞触发结果及漏洞触发情景对机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact进行分类，机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact的分类结果均包括无none、部分partial、完全complete，赋予无none的权重为0.000，赋予部分partial的权重为0.275，赋予完全complete的权重为0.660，利用漏洞攻击者对攻击向量AccessVector和认证Authentication进行分类，攻击向量AccessVector的分类结果包括本地local、网络network、邻接网络adjacentnetwork，赋予本地local的权重为0.395，赋予网络network的权重为0.646，赋予邻接网络adjacentnetwork的权重为1.000，认证Authentication的分类结果包括无none、单一single、多重multiple，赋予无none的权重为0.704，赋予单一single的权重为0.560，赋予多重multiple的权重为0.450，根据分类结果的权重计算漏洞严重度分数BaseScore以及漏洞严重度等级BaseLevel，漏洞严重度分数BaseScore计算公式如下：

BaseScore＝(0.6*Impact+0.4*Expoitability-1.5)*f(Impact)(2)Impact＝10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))(3)Expoitability＝20*AccessComplexity*Authentication*AccessVector(4)

上述公式中，首先根据机密性影响ConfImpact、完整性影响IntegImpact和可用性影响AvailImpact按照漏洞公式(3)计算影响Impact并按照公式(5)判断f(Impact)，其次根据访问复杂度AccessComplexity、攻击向量AccessVector和认证Authentication按照公式(4)计算可用性Expoitability，根据公式(2)计算漏洞严重度分数BaseScore，带入公式(6)得到漏洞严重度等级BaseLevel，当漏洞严重度分数BaseScore的值大于等于0但小于等于3.9时，判定漏洞严重度等级BaseLevel为低，当漏洞严重度分数BaseScore的值大于等于4.0但小于等于6.9时，判定漏洞严重度等级BaseLevel为中，当漏洞严重度分数BaseScore的值大于等于7.0但小于等于10.0时，判定漏洞严重度等级BaseLevel为高。

实施例2

对应实施例1的基于漏洞事件论元的漏洞严重度评估方法，本实施例2提供一种基于漏洞事件论元的漏洞严重评估系统，请参阅图1所示，包含论元标注集模块、预训练词嵌模块、抽取漏洞事件论元模块、分类计算模块；

论元标注集模块用以根据CVE-ID从多个不同漏洞数据库中的其中两个漏洞数据库即漏洞数据库NVD、漏洞数据库IBMX-Force中爬取漏洞报告，获取漏洞报告中的描述文本、漏洞严重度等级、漏洞严重度指标，将漏洞的产生原因、攻击者、触发操作、触发结果、触发情景作为事件论元构建事件论元标注集；

使用BIO标注法人工标注漏洞的产生原因、攻击者、触发操作、触发结果、触发情景，B(Begin)表示该单词是词汇开始的单词，I(Inside)表示该单词是词汇的中间字符，O(Outside)表示该单词不表示任何实体，构建事件论元标注集，如“when a certainEthernet bridge configuration is used”被标注为“B-sit I-sit I-sit I-sit I-sitI-sit I-sit I-sit”，得到事件论元标注集，标注结果如图2所示。

预训练词嵌模块用以采集漏洞数据库上所有的漏洞描述文本及漏洞严重度等级构建BERT预训练模型，在漏洞描述文本中加入特殊符号[CLS]和[SEP]，训练BERT预训练模型生成漏洞描述文本的预训练词嵌；

收集漏洞数据库NVD和漏洞数据库IBMX-Force上所有的描述文本和漏洞严重度等级，在描述文本中加入特殊符号[CLS]和[SEP]，在描述文本与漏洞严重度等级之间加入[SEP]，[SEP]表示分句符号，用于断开输入文本的两个句子，[CLS]放在文本开头，表示下游文本用于进行分类任务；

请参阅图3所示，针对加入特殊符号的海量描述文本使用BERT预训练模型进行漏洞严重度等级分类，训练BERT预训练模型直接预测漏洞严重度等级，生成漏洞描述文本的预训练词嵌，预训练词嵌包含TokenEmbeddings、SegmentEmbeddings、PositionEmbeddings三部分，TokenEmbeddings将输入的词转换为语料库中对应的固定维度的向量；SegmentEmbeddings将输入中不同的句子进行拆分，辅助BERT预训练模块区别输入中不同句子的向量表示；PositionEmbeddings将词的位置信息加入词向量中，使得BERT预训练模型对不同位置的相同词提供不同的向量表示，让BERT预训练模型学习到输入的顺序属性。

抽取漏洞事件论元模块用以使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT序列标注任务训练后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取；

使用事件论元标注集和预训练词嵌进行BERT序列标注任务训练，在BERT后连接BiLSTM编码层和CRF输出层进行目标漏洞事件论元抽取，该目标漏洞事件论元包括漏洞产生原因、触发操作、发生情景、攻击者、触发结果，如下表1所示：

表1漏洞事件论元说明表

当使用新的BiLSTM网络参数

其中，

一个具体的实例CVE-2020-4061经过BERT+BiLSTM+CRF模型的过程如图4所示，插入特殊符号[CLS]和[SEP]的输入文本input进入BERT模型转为向量(E[CLS]，E[1]，E[2]，…，E[n]，E[n+1]，E[n+2]，…)，经过BERT序列标注任务后转化为向量(C，T1，T2，T3，…，Tn，Tn+1，Tn+2，…)，经过BiLSTM层以及CRF层后得到每个单词的预测结果output。

分类计算模块用以通过获得的目标漏洞事件论元对漏洞严重度指标进行分类，并计算漏洞严重度分数及漏洞严重度等级，该漏洞严重度指标的分类包含六个指标：访问复杂度AccessComplexity、攻击向量AccessVector、认证Authentication、机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact，如下表2所示；

表2漏洞严重度指标表

访问复杂度AccessComplexity表示漏洞攻击者触发某一漏洞需要执行操作的复杂程度；攻击向量AccessVector表示漏洞攻击者通过何种途径进行攻击；认证Authentication表示漏洞攻击者达成攻击需要多少次权限认证；机密性影响ConfImpact表示漏洞攻击者触发该漏洞后对用户造成多大程度的文件泄露；完整性影响IntegImpact表示漏洞攻击者触发该漏洞后造成多大程度的文件修改；可用性影响AvailImpact表示漏洞攻击者触发该漏洞后造成多大程度的资源中断；

利用漏洞触发操作对访问复杂度AccessComplexity进行分类，分类结果包括低low、中medium、高high，赋予低low的权重为0.350，赋予中medium的权重为0.610，赋予高high的权重为0.710，利用漏洞触发结果及漏洞触发情景对机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact进行分类，机密性影响ConfImpact、完整性影响IntegImpact、可用性影响AvailImpact的分类结果均包括无none、部分partial、完全complete，赋予无none的权重为0.000，赋予部分partial的权重为0.275，赋予完全complete的权重为0.660，利用漏洞攻击者对攻击向量AccessVector和认证Authentication进行分类，攻击向量AccessVector的分类结果包括本地local、网络network、邻接网络adjacentnetwork，赋予本地local的权重为0.395，赋予网络network的权重为0.646，赋予邻接网络adjacentnetwork的权重为1.000，认证Authentication的分类结果包括无none、单一single、多重multiple，赋予无none的权重为0.704，赋予单一single的权重为0.560，赋予多重multiple的权重为0.450，根据分类结果的权重计算漏洞严重度分数BaseScore以及漏洞严重度等级BaseLevel，漏洞严重度分数BaseScore计算公式如下：

BaseScore＝(0.6*Impact+0.4*Expoitability-1.5)*f(Impact)(2)Impact＝10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))(3)Expoitability＝20*AccessComplexity*Authentication*AccessVector(4)

上述公式中，首先根据机密性影响ConfImpact、完整性影响

IntegImpact和可用性影响AvailImpact按照漏洞公式(3)计算影响Impact并按照公式(5)判断f(Impact)，其次根据访问复杂度AccessComplexity、攻击向量AccessVector和认证Authentication按照公式(4)计算可用性Expoitability，根据公式(2)计算漏洞严重度分数BaseScore，带入公式(6)得到漏洞严重度等级BaseLevel，当漏洞严重度分数BaseScore的值大于等于0但小于等于3.9时，判定漏洞严重度等级BaseLevel为低，当漏洞严重度分数BaseScore的值大于等于4.0但小于等于6.9时，判定漏洞严重度等级BaseLevel为中，当漏洞严重度分数BaseScore的值大于等于7.0但小于等于10.0时，判定漏洞严重度等级BaseLevel为高。