• 主题
高级搜索  >
历史搜索 清空历史
首页> 中文学位 >安全漏洞危害评估研究暨标准漏洞库的设计与实现
【6h】

安全漏洞危害评估研究暨标准漏洞库的设计与实现

代理获取
页面导航
  • 目录
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

目录

声明

摘要

插图索引

表格索引

缩略语对照表

第1章 绪论

1.1 漏洞库建设及漏洞标准化的意义

1.1.1 漏洞库建设与漏洞标准化的意义

1.1.2 漏洞标准化在IT领域的广泛应用

1.1.3 自动化漏洞分类与分级的必要性

1.2 研究背景

1.2.1 安全漏洞库建设与研究现状

1.2.2 国内外漏洞相关标准研究现状

1.2.3 安全漏洞数据的自动化处理技术

1.3 课题支持

1.4 本文主要工作

1.5 论文组织结构

1.6 本章小结

第2章 安全漏洞危害评估标准分散性研究

2.1 引言

2.1.1 改进CVSS的必要性

2.1.2 本章贡献

2.1.3 本章结构

2.2 相关工作

2.2.1 安全漏洞危害评估系统相关研究介绍

2.2.2 安全漏洞危害评估系统CVSS介绍

2.3 CVSS 2.0存在的问题

2.3.1 危害评估指标的出现概率

2.3.2 CVSS危害值的分布

2.3.3 危害评估指标取值数与理想态分布

2.3.4 危害评估指标关联性定性分析

2.3.5 危害评估指标权重分析

2.4 基于主成分分析法的CVSS-PCA危害评估系统

2.4.1 CVSS-PCA的整体过程

2.4.2 主成分分析法PCA的计算结果

2.4.3 归一化计算过程

2.4.4 映射

2.5 CVSS-PCA结果分析

2.5.1 危害值分布分析

2.5.2 指标取值个数分析

2.5.3 指标取值概率分析

2.5.4 指标权重与危害值差别统计

2.6 CVSS-PCA客观性研究

2.7 本章小结

2.8 附录:指标关联性定性分析

第3章 安全漏洞危害评估标准客观性研究

3.1 引言

3.2 相关工作

3.3 Expert System与CVSS的客观性研究

3.3.1 CWE对漏洞危害评估系统的影响

3.3.2 Product对漏洞危害系统的影响

3.4 CVSS修正系统的架构设计

3.4.1 循环排序算法

3.4.2 CSF排序因子

3.4.3 讨论

3.5 结论

第4章 国内外安全漏洞库综述及漏洞库评估

4.1 引言

4.1.1 本章结构

4.2 国内外主流安全漏洞库介绍

4.2.1 国内外主流漏洞库总体介绍

4.2.2 国内外主流漏洞库版权说明

4.2.3 国内外主流漏洞库特点分析

4.3 安全漏洞库评估标准

4.3.1 漏洞数据来源的独立性

4.3.2 漏洞数据是否包含验证代码

4.3.3 漏洞数据规模与数据全面性

4.3.4 漏洞字段的全面性

4.3.5 支持SCAP标准协议情况

4.3.6 漏洞库的被引用次数

4.4 本章小结

第5章 安全漏洞库标准化建设相关技术研究

5.1 引言

5.2 安全漏洞库数据来源

5.3 漏洞包含字段

5.3.1 漏洞基本信息的宇段

5.3.2 漏洞分类信息字段

5.3.3 漏洞危害评估相关字段

5.3.4 漏洞环境信息字段

5.4 漏洞库模块设计

5.5 主要模块介绍

5.5.1 前端显示模块

5.5.2 数据爬虫模块

5.5.3 数据清洗模块

5.5.4 数据去重模块

5.5.5 漏洞自动化分类分级模块

5.5.6 漏洞统计报告自动化生成模块

5.5.7 半自动化翻译模块

5.6 本章小结

第6章 安全漏洞关联性与自动化去重技术研究

6.1 引言

6.1.1 标准漏洞库构建的难点

6.1.2 本章贡献

6.1.3 本章结构

6.2 相关工作与异构数据的分析

6.2.1 主流漏洞库和标准

6.2.2 漏洞数据融合的相关研究

6.2.3 文本类型字段的异构情况分析

6.2.4 漏洞参考链接的分析

6.3 相关知识介绍

6.3.1 权重计算算法

6.3.2 相似度算法

6.4 UVDA框架的设计与实现

6.4.1 设计思想和目的

6.4.2 整体流程和实现

6.4.3 漏洞数据收集模块

6.4.4 UVDA构建模块

6.5 通用漏洞字段处理模块

6.5.1 漏洞信息分析

6.5.2 漏洞字段特征提取

6.5.3 漏洞数据处理

6.6 环境设置与试验结果分析

6.6.1 系统环境设置

6.6.2 UVDA数据融合过程及结果

6.6.3 与其他融合框架的对比

6.6.4 与其他漏洞数据库的对比

6.7 本章小结

第7章 安全漏洞自动化危害评估与分类技术研究

7.1 引言

7.1.1 漏洞字段自动化的必要性及难点

7.1.2 本章贡献

7.1.3 本章组织结构

7.2 相关工作

7.2.1 安全漏洞评估标准

7.2.2 通用漏洞评估系统CVSS

7.2.3 自动化安全漏洞评估框架

7.2.4 漏洞分类标准

7.2.5 自动化安全漏洞分类框架

7.3 ASVA总体思路与框架设计

7.3.1 ASVA的整体流程

7.3.2 ASVA的三种特征获取模式

7.3.3 ASVA特征提取中的混合模式

7.4 ASVA算法实现

7.4.1 漏洞数据的获取

7.4.2 漏洞数据的清洗

7.4.3 指标获取模式的确定

7.4.4 指标特征降维和获取

7.4.5 关键指标的训练和分类

7.4.6 危害值与危害等级的计算

7.5 ASVC框架设计与算法实现

7.5.1 安全漏洞数据的获取

7.5.2 安全漏洞数据清洗

7.5.3 分类特征降维

7.5.4 漏洞特征获取算法

7.5.5 漏洞数据的训练和分类

7.6 实验结果分析

7.6.1 实验数据获取及准备

7.6.2 ASVA实验结果分析

7.6.3 ASVC实验结果分析

7.7 本章小结

第8章 结论和展望

8.1 取得成果

8.2 后续工作和展望

参考文献

致谢

作者简介

展开▼

摘要

安全漏洞是信息安全技术的核心,大部分的网络攻击往往是基于漏洞发起的。随着漏洞数量和漏洞发现速度的急剧增加,收集、整理和利用已有漏洞变得越来越重要:1.标准化的漏洞数据可以在全世界范围内整合漏洞资源,为漏洞挖掘提供借鉴作用,避免漏洞挖掘者对已经发现的漏洞进行重复的工作,同时可以根据已知漏洞来推断可能存在的未知漏洞,提高效率;2.标准化的漏洞数据可以为安全工具、安全设备、网络设备提供必要的数据源;为漏洞挖掘者和IT厂商提供规范化的沟通桥梁,帮助厂商开发出更加安全的产品;3.标准化漏洞数据可以对网络安全态势进行评估,辅助制定网络安全策略;在国家战略层面,一个有影响力的标准化漏洞数据库可以吸引国际上更多的安全工作者上报最新发现的漏洞。
  然而,1.漏洞的标准化协议仍然不够成熟,难以对漏洞进行统一地描述和检索;2.现有安全漏洞数据库异构情况严重,相互不能够兼容;3.漏洞数据处理需要人工完成,时间消耗较大且不能避免主观性。
  为了解决上述问题,文本围绕“漏洞的标准化与数据处理自动化”从如下三个方面进行了深入地研究:1.漏洞数据的标准化技术,其中主要针对安全漏洞危害评估的标准化进行了研究;2.标准漏洞数据库建设的相关技术;3.漏洞数据处理的自动化技术。
  主要成果如下:
  (1)漏洞数据的标准化技术方面,漏洞危害性评估算法的分散性研究。研究了定量漏洞危害评估系统,收集和整理了NVD中的7万余条漏洞数据,分析了目前较为权威的评估系统CVSS在指标取值、危害值分布、分散性和客观性方面所存在的问题。提出了指标取值需要满足的标准,基于主成分分析法PCA对CVSS进行了修正,提出了CVSS_ PCA危害性评估系统,该系统可以在不改变CVSS指标选择的前提下,很好地满足指标取值标准,同时获得较好的危害值分布、分散性和客观性。
  (2)漏洞数据的标准化技术方面,漏洞危害性评估算法的客观性研究。分析了Expert System和CVSS的客观性,并基于Expert System对CVSS进行了修正。具体过程中分别分析了上述系统与CWE和Product之间的关系,基于CWE,针对Expert System提出了一种新的利用方式,即循环排序算法,对CWE的平均危害性进行了排序;同时基于循环排序算法提出了CWE排序因子(COF)对CVSS进行修正,最终的结果在客观性方面更加接近于Expert System。
  (3)标准漏洞数据库建设的相关技术。从多个方面研究和分析了当前国际上各主流漏洞库(共涉及26个)的优势和不足,提出了评估漏洞库的标准(数据量与全面性、数据来源独立性、被引用情况、字段全面性、支持SCAP情况、包含POC情况),并根据上述标准对当前主流漏洞库进行了评估和比较。最后提出了标准漏洞数据库的建设模式,包括数据来源、数据字段设计、模块整体架构和子模块功能设计、对外服务模式等。
  (4)漏洞数据的自动化处理技术方面,漏洞关联性与自动化漏洞去重技术。分析了15个主流漏洞库共计84.2万条漏洞数据的关联性。分析和归纳了漏洞文本类型字段的异构情况,同时分析和整理了漏洞参考链接引用的拓扑结构,利用该拓扑结构归纳了漏洞之间可能存在的主要关系;以文本挖掘算法为核心,针对漏洞字段的特点,提出了漏洞去除重复的规则,以及漏洞数据库融合框架UVDA,UVDA框架实现过程完全自动化。UVDA已应用于国家计算机网络入侵防范中心漏洞库NIPC,推进了漏洞信息发布机制标准化进程。
  (5)漏洞数据的自动化处理技术方面,基于文本分类的漏洞自动化危害评估技术。分析了主流漏洞库共16余万条漏洞数据,基于文本分类算法提出了一套新的自动化漏洞危害评估框架ASVA,ASVA适用范围广,可用于漏洞信息不足的情况,过程完全自动化,此外,由于ASVA框架的实现基于大数据统计分布,因此很好的避免了人工造成的主观性;基于ASVA提出了三种新的特征提取模式:Direct Mode、Original Mode和Combined Mode;针对Combined Mode,提出了指标联合的具体规则,从而优化了选择策略,提升了危害评估框架的准确性。
  (6)漏洞数据的自动化处理技术方面,基于文本分类与新特征的漏洞自动化分类技术。分析了16万条漏洞数据,基于文本挖掘算法提出了一个新的自动化漏洞分类框架ASVC,可以自动化和批量化地分类漏洞,可处理信息不完整的漏洞条目,相比于人工的小数据集决策,更加客观和可靠;针对CWE标准,优化了分类的经验参数。为了进行比较,同时测试了BNVC、LVCM、OSBC和CVCF四种漏洞自动化分类框架,并且从准确度、覆盖率两个方面与ASVC进行了对比,实验结果表明ASVC分类准确率更高,适用范围更加广泛。

著录项

相似文献

  • 中文文献
  • 外文文献
  • 专利
代理获取

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号