原文

Vulnerability Modelling for Hybrid Industrial Control System Networks

出版

• Springer Nature B.V. 2020
• June 2020
• https://doi.org/10.1007/s10723-020-09528-w

文章目錄

• 一、摘要
• 二、相關技術介紹
• • （一）CVSS3.1計算
  • （二）CVSS~LoT~計算

---

一、摘要

本文提出了CVSS_LoT模型，該模型在CVSS3.1模型的基礎上，設計了更多評估指標計算。

二、相關技術介紹

（一）CVSS3.1計算

??

在給出CVSS3.1得分計算公式前，我們首先要明確作用域（Scope）的意義。作用域也是從CVSS3.0版本開始，區別于CVSS2.0版本的一個重要屬性，它表示組件中的漏洞是否會影響其意外的資源或獲得其意外的權限。它有兩個取值：固定（unchanged）和變化（changed）。unchanged表示被利用的漏洞只能影響由同一當局管理的資源，在這種情況下，脆弱組件和受影響組件是同一個。changed表示被利用的漏洞可能會影響超出脆弱組件預期授權權限的資源，這時脆弱組件和受影響組件并非同一個。

當作用域（Scope）取unchanged時，計算公式如下：
漏洞得分=可利用度得分+影響度得分
可利用度得分=8.22 x 攻擊途徑 x 攻擊復雜度 x 權限要求 x 用戶交互
利用度得分=6.42 x ISCbase
ISCbase = 1-(1-機密性影響) x (1-完整性影響) x (1-可用性影響)

當作用域（Scope）取changed時，計算公式如下：
漏洞得分=1.08 x (可利用度得分 + 利用度得分)
可利用度得分=8.22 x 攻擊途徑 x 攻擊復雜度 x 權限要求 x 用戶交互（和上面的公式一致）
利用度得分=7.52 x (ISCbase-0.029) - 3.25 x (ISCbase-0.02)^15
ISCbase = 1-(1-機密性影響) x (1-完整性影響) x (1-可用性影響)

（二）CVSS_LoT計算

CVSS_LoT是結合物聯網相關組件，在CVSS3.1的基礎上完善補充的新模型。這個模型將新的評估指標PV,PM,PC,PCS,PSS,PI,BCI添加到環境指標（Environmental metrics）的計算中，這樣做的理由是環境指標設計的意義就是結合特定工控場景添加特殊需求計算。

紅色部分表示CVSS_LoT模型中新添加的指標。新模型本質上是對CVSS3.1模型的完善補充，所以計算公式大體上是類似的。
首先需要根據Scope的取值分為兩類， 當Scope的值為unchanged時，計算公式如下：
漏洞得分=（可利用度得分+影響度得分） x ExploitCodeMaturity x RemediationLevel x ReportConfidence(綠色部分應該是人工給好的值)
可利用度得分 = 8.22 x AV x AC x PR x UI x HS x SYS
其中HS表示Base metric下的人類安全因子。SYS表示Environmental Metric下的Process System Safety。
影響度得分 = 6.42 x MISS

當Scope的值為changed時，計算公式如下：
漏洞得分=1.08 x（可利用度得分+影響度得分） x ExploitCodeMaturity x RemediationLevel x ReportConfidence(綠色部分應該是人工給好的值)
可利用度得分 = 8.22 x AV x AC x PR x UI x HS x SYS
其中HS表示Base metric下的人類安全因子。SYS表示Environmental Metric下的Process System Safety。
影響度得分 = 7.52 x (MISS-0.029) - 3.25 x (MISS x 0.9731 -0.02)^13 ????MISS的計算和前面一致。

總結

以上是生活随笔為你收集整理的基于CVSS3.1的一种评估框架的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。