声明
摘要
插图索引
表格索引
缩略语对照表
第1章 绪论
1.1 漏洞库建设及漏洞标准化的意义
1.1.1 漏洞库建设与漏洞标准化的意义
1.1.2 漏洞标准化在IT领域的广泛应用
1.1.3 自动化漏洞分类与分级的必要性
1.2 研究背景
1.2.1 安全漏洞库建设与研究现状
1.2.2 国内外漏洞相关标准研究现状
1.2.3 安全漏洞数据的自动化处理技术
1.3 课题支持
1.4 本文主要工作
1.5 论文组织结构
1.6 本章小结
第2章 安全漏洞危害评估标准分散性研究
2.1 引言
2.1.1 改进CVSS的必要性
2.1.2 本章贡献
2.1.3 本章结构
2.2 相关工作
2.2.1 安全漏洞危害评估系统相关研究介绍
2.2.2 安全漏洞危害评估系统CVSS介绍
2.3 CVSS 2.0存在的问题
2.3.1 危害评估指标的出现概率
2.3.2 CVSS危害值的分布
2.3.3 危害评估指标取值数与理想态分布
2.3.4 危害评估指标关联性定性分析
2.3.5 危害评估指标权重分析
2.4 基于主成分分析法的CVSS-PCA危害评估系统
2.4.1 CVSS-PCA的整体过程
2.4.2 主成分分析法PCA的计算结果
2.4.3 归一化计算过程
2.4.4 映射
2.5 CVSS-PCA结果分析
2.5.1 危害值分布分析
2.5.2 指标取值个数分析
2.5.3 指标取值概率分析
2.5.4 指标权重与危害值差别统计
2.6 CVSS-PCA客观性研究
2.7 本章小结
2.8 附录:指标关联性定性分析
第3章 安全漏洞危害评估标准客观性研究
3.1 引言
3.2 相关工作
3.3 Expert System与CVSS的客观性研究
3.3.1 CWE对漏洞危害评估系统的影响
3.3.2 Product对漏洞危害系统的影响
3.4 CVSS修正系统的架构设计
3.4.1 循环排序算法
3.4.2 CSF排序因子
3.4.3 讨论
3.5 结论
第4章 国内外安全漏洞库综述及漏洞库评估
4.1 引言
4.1.1 本章结构
4.2 国内外主流安全漏洞库介绍
4.2.1 国内外主流漏洞库总体介绍
4.2.2 国内外主流漏洞库版权说明
4.2.3 国内外主流漏洞库特点分析
4.3 安全漏洞库评估标准
4.3.1 漏洞数据来源的独立性
4.3.2 漏洞数据是否包含验证代码
4.3.3 漏洞数据规模与数据全面性
4.3.4 漏洞字段的全面性
4.3.5 支持SCAP标准协议情况
4.3.6 漏洞库的被引用次数
4.4 本章小结
第5章 安全漏洞库标准化建设相关技术研究
5.1 引言
5.2 安全漏洞库数据来源
5.3 漏洞包含字段
5.3.1 漏洞基本信息的宇段
5.3.2 漏洞分类信息字段
5.3.3 漏洞危害评估相关字段
5.3.4 漏洞环境信息字段
5.4 漏洞库模块设计
5.5 主要模块介绍
5.5.1 前端显示模块
5.5.2 数据爬虫模块
5.5.3 数据清洗模块
5.5.4 数据去重模块
5.5.5 漏洞自动化分类分级模块
5.5.6 漏洞统计报告自动化生成模块
5.5.7 半自动化翻译模块
5.6 本章小结
第6章 安全漏洞关联性与自动化去重技术研究
6.1 引言
6.1.1 标准漏洞库构建的难点
6.1.2 本章贡献
6.1.3 本章结构
6.2 相关工作与异构数据的分析
6.2.1 主流漏洞库和标准
6.2.2 漏洞数据融合的相关研究
6.2.3 文本类型字段的异构情况分析
6.2.4 漏洞参考链接的分析
6.3 相关知识介绍
6.3.1 权重计算算法
6.3.2 相似度算法
6.4 UVDA框架的设计与实现
6.4.1 设计思想和目的
6.4.2 整体流程和实现
6.4.3 漏洞数据收集模块
6.4.4 UVDA构建模块
6.5 通用漏洞字段处理模块
6.5.1 漏洞信息分析
6.5.2 漏洞字段特征提取
6.5.3 漏洞数据处理
6.6 环境设置与试验结果分析
6.6.1 系统环境设置
6.6.2 UVDA数据融合过程及结果
6.6.3 与其他融合框架的对比
6.6.4 与其他漏洞数据库的对比
6.7 本章小结
第7章 安全漏洞自动化危害评估与分类技术研究
7.1 引言
7.1.1 漏洞字段自动化的必要性及难点
7.1.2 本章贡献
7.1.3 本章组织结构
7.2 相关工作
7.2.1 安全漏洞评估标准
7.2.2 通用漏洞评估系统CVSS
7.2.3 自动化安全漏洞评估框架
7.2.4 漏洞分类标准
7.2.5 自动化安全漏洞分类框架
7.3 ASVA总体思路与框架设计
7.3.1 ASVA的整体流程
7.3.2 ASVA的三种特征获取模式
7.3.3 ASVA特征提取中的混合模式
7.4 ASVA算法实现
7.4.1 漏洞数据的获取
7.4.2 漏洞数据的清洗
7.4.3 指标获取模式的确定
7.4.4 指标特征降维和获取
7.4.5 关键指标的训练和分类
7.4.6 危害值与危害等级的计算
7.5 ASVC框架设计与算法实现
7.5.1 安全漏洞数据的获取
7.5.2 安全漏洞数据清洗
7.5.3 分类特征降维
7.5.4 漏洞特征获取算法
7.5.5 漏洞数据的训练和分类
7.6 实验结果分析
7.6.1 实验数据获取及准备
7.6.2 ASVA实验结果分析
7.6.3 ASVC实验结果分析
7.7 本章小结
第8章 结论和展望
8.1 取得成果
8.2 后续工作和展望
参考文献
致谢
作者简介