脆弱性严重性动态综合量化评估方法

doi:10.3969/j.issn.1000-1565.2017.04.012脆弱性严重性动态综合量化评估方法

河北大学学报(自然科学版) ›› 2017, Vol. 37 ›› Issue (4): 405-410.DOI: 10.3969/j.issn.1000-1565.2017.04.012脆弱性严重性动态综合量化评估方法

脆弱性严重性动态综合量化评估方法

高妮¹, 贺毅岳², 常言说¹, 王孟阳³

收稿日期:2016-08-22 出版日期:2017-07-25 发布日期:2017-07-25
作者简介:高妮(1982—),女,陕西咸阳人,西安财经学院讲师,博士,主要从事网络安全、机器学习方向研究. E-mail:gaoni@nwu.edu.cn
基金资助:
国家自然科学基金资助项目(61373176;61572401;61672426);陕西省自然科学基金资助项目(2015JQ7278)

A dynamic and comprehensive quantitative scoring method of vulnerability severity

GAO Ni¹, HE Yiyue², CHANG Yanshuo¹, WANG Mengyang³

1.School of Information, Xi’an University of Finance and Economics, Xi’an 710100, China; 2.School of Economics and Management, Northwest University, Xi’an 710127, China; 3.People's Bank of China Xi’an Branch, Xi’an 710075, China

Received:2016-08-22 Online:2017-07-25 Published:2017-07-25

摘要/Abstract

摘要： 针对CVSS(common vulnerability scoring system)方法很少考虑随时间改变的动态指标对脆弱性严重性评估的动态影响,提出一种脆弱性严重性动态综合量化评估方法(dynamic vulnerability severity assessment,DVSA).在CVSS评分的基础上,引入脆弱性代码可利用性和补丁修复等级2个动态指标.安全影响、静态脆弱性可利用性和动态脆弱性可利用性3个脆弱性指标被选取,并进行脆弱性指标量化.该方法可获得每个脆弱性从0到10的严重性量化值,并将脆弱性严重性等级评定为高危、中危和低危3个严重等级.实验结果表明DVSA方法可提高脆弱性严重性评估结果的多样性和准确性.

关键词: 脆弱性, 脆弱性严重性评估, 脆弱性代码可利用性

Abstract: The vulnerability severity evaluation is rarely considered the dynamic indicator with changing time in the CVSS method, so the paper proposes a method of dynamic vulnerability severity assessment(DVSA).The code exploitability and the patch remediation level of dynamical indexes are introduced based on the CVSS score.Three vulnerability indexes, such as the safety influence attribute, the static vulnerability exploitability attribute and the dynamic vulnerability exploitability attribute, are selected and quantified.The vulnerability severity is evaluated with values from 0 to 10 by using the DVSA method, which can divide vulnerability severity rank into three levels: high, moderate and low.Experimental results showed that this method can more precisely distinguish the difference between vulnerabilities, and improve the diversity and accuracy of the vulnerability severity evaluation.

Key words: vulnerability, vulnerability severity evaluation, the code exploitability of vulnerability

中图分类号:

TP393

高妮, 贺毅岳, 常言说, 王孟阳. 脆弱性严重性动态综合量化评估方法[J]. 河北大学学报(自然科学版), 2017, 37(4): 405-410.

GAO Ni, HE Yiyue, CHANG Yanshuo, WANG Mengyang. A dynamic and comprehensive quantitative scoring method of vulnerability severity[J]. Journal of Hebei University (Natural Science Edition), 2017, 37(4): 405-410.

0
/ / 推荐

导出引用管理器 EndNote|Ris|BibTeX

链接本文: //xbzrb.hbu.edu.cn/CN/10.3969/j.issn.1000-1565.2017.04.012脆弱性严重性动态综合量化评估方法

//xbzrb.hbu.edu.cn/CN/Y2017/V37/I4/405

参考文献

[1] 中国信息安全测评中心.China national vulnerability database of information security(CNNVD)[EB/OL]. [2017-5-2].http://www.cnnvd.org.cn/.
[2] 高妮.网络安全多维动态风险评估关键技术研究[D].西安:西北大学, 2016. GAO N.The research on key technologies of multi-dimensional and dynamic risk assement of network security[D].Xi’an:Northwest University, 2016.
[3] THE MITRE CORPORATION.Common vulnerabilities and exposures(CVE)[EB/OL].[2017-4-24].http://www.cve.mitre.org/.
[4] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.National vulnerability database(NVD)[EB/OL]. [2017-1-23].https://nvd.nist.gov/download.cfm.
[5] AHMED M S, AI-SHAER E, KHAN L.A novel quantitative approach for measuring network security[Z].International Conference on Computer Communications, Phoenix, 2008.
[6] DINH T N, YING X, THAI M T, et al.On new approaches of assessing network vulnerability: hardness and approximation[J].IEEE/ACM Transactions on Networking, 2012, 20(2):609-619.
[7] YANG H, ZHANG Y, HU Y, et al.IKE vulnerability discovery based on fuzzing[J].Security & Communication Networks, 2013, 6(7):889-901.
[8] LIU Q, ZHANG Y, KONG Y, et al.Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J].Journal of Systems and Software, 2012, 85(8):1699-1708.
[9] 付志耀, 高岭, 孙骞, 等.基于粗糙集的脆弱性属性约简及严重性评估[J].计算机研究与发展, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065. FU Z Y, GAO L, SUN Q, et al.Evaluation of vulnerability severity based on rough sets and attributes reduction[J].Journal of Computer Research and Development, 2016, 53(5):1009-1017.DOI: 10.7544/issn1000-1239.2016.20150065.
[10] FREI S, MAY M, FIEDLER U, et al.Large-scale vulnerability analysis[Z].Proceedings of the Workshop on Large-scale Attack Defense, Pisa, 2006:131-138.

[1]	韦子辉,李小阳,王勒,蔡大鑫,叶兴跃,丁振君. 基于自适应Levy飞行改进的TDOA三维定位算法[J]. 河北大学学报(自然科学版), 2023, 43(2): 207-215.
[2]	杨晓晖,王卫宾. 基于层次注意力机制的垃圾用户检测模型[J]. 河北大学学报(自然科学版), 2023, 43(1): 95-102.
[3]	魏明军,张鑫楠,刘亚志,周太宇. 一种基于SSA-BRF的网络入侵检测方法[J]. 河北大学学报(自然科学版), 2022, 42(5): 552-560.
[4]	常铁原,刘伟娜,张炎,李会雅. 基于簇头距离和能量的优化LEACH协议[J]. 河北大学学报(自然科学版), 2019, 39(2): 194-200.
[5]	田俊峰,蔡红云. 托攻击与推荐系统安全[J]. 河北大学学报(自然科学版), 2018, 38(6): 640-647.
[6]	何志强,林永君. 一种基于分类改进的LARS调度算法及其动态参数性能分析[J]. 河北大学学报(自然科学版), 2017, 37(5): 537-544.
[7]	马国富,王子贤,马胜利. 机器学习模型在预测服刑人员再犯罪危险性中的效用分析[J]. 河北大学学报(自然科学版), 2017, 37(4): 426-433.
[8]	张锡忠,徐建民. 基于术语同义关系的文档相似度研究[J]. 河北大学学报(自然科学版), 2017, 37(1): 108-112.
[9]	马国富,王子贤,马胜利. 基于大数据的服刑人员危险性预测[J]. 河北大学学报(自然科学版), 2016, 36(6): 657-666.
[10]	马国富,马胜利,王子贤,李双印,程雨丝. 数据恢复在电子数据取证与司法鉴定中的应用[J]. 河北大学学报(自然科学版), 2015, 35(5): 538-545.
[11]	刘海芹. 混合P2P网络资源搜索机制研究[J]. 河北大学学报(自然科学版), 2015, 35(3): 311-315.
[12]	肖仙谦,朱俊平,景旭,马巧娥. 基于贝叶斯方法的单分类入侵检测技术[J]. 河北大学学报(自然科学版), 2014, 34(1): 7-13.
[13]	马国富,王子贤,王揆鹏. 基于证据链的电子司法鉴定模型[J]. 河北大学学报(自然科学版), 2013, 33(3): 317-323.
[14]	王建岭,李仁玲,王恒草,王铁柱. Web服务的多层入侵容忍机制[J]. 河北大学学报(自然科学版), 2012, 32(5): 545-549.
[15]	田俊峰,蔡红云. 信任模型现状及进展[J]. 河北大学学报(自然科学版), 2011, 31(5): 555-560.

脆弱性严重性动态综合量化评估方法

A dynamic and comprehensive quantitative scoring method of vulnerability severity

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价