改进漏洞基础评分指标权重分配方法

摘要 针对通用漏洞评分系统（CVSS）的基础评分指标权重分配过多依赖专家经验导致客观性不足的问题，提出一种漏洞威胁基础评分指标权重分配方法。首先，对评分要素的相对重要性进行排序；然后，采用指标权重组合最优搜索方法搜索权重组合方案；最后，结合灰色关联度分析方法，将基于专家经验决策的多个权重分配方案作为输入，获得权重组合方案。实验结果表明，与CVSS相比，从定量角度对比分析，所提方法评分结果分值分布比CVSS更为平缓连续，有效地避免了过多极端值的出现，并且评分分值分布的离散化更能客观有效地区分不同漏洞威胁的严重性；从定性角度对比分析，与CVSS中绝大多数漏洞（92.9%）被定为中高严重级别相比，所提方法在漏洞严重等级分配上实现了更为均衡的特征分布