基于漏洞类型的漏洞可利用性量化评估系统

雷柯楠; 张玉清; 吴晨思; 马华

doi:10.7544/issn1000-1239.2017.20170457

基于漏洞类型的漏洞可利用性量化评估系统

¹(综合业务网理论及关键技术国家重点实验室(西安电子科技大学) 西安 710071)
²(国家计算机网络入侵防范中心(中国科学院大学) 北京 101408)
³(西安电子科技大学数学与统计学院西安 710071) (leikn@nipc.org.cn)

基金项目: 国家自然科学基金项目(61572460,61272481)；国家重点研发计划项目(2016YFB0800700)；信息安全国家重点实验室的开放课题(2017-ZD-01)；国家发改委信息安全专项项目［(2012)1424］；国家111项目(B16037)

详细信息

中图分类号: TP393
计量
- 文章访问数: 01511
- HTML全文浏览量: 0
- PDF下载量: 0877
出版历程
- 发布日期: 2017-09-30

A System for Scoring the Exploitability of Vulnerability Based Types

¹(State Key Laboratory of Integrated Services Networks (Xidian University), Xi’an 710071)
²(National Computer Network Intrusion Protection Center (University of Chinese Academy of Sciences), Beijing 101408)
³(School of Mathematics and Statistics, Xidian University, Xi’an 710071)

摘要

摘要: 准确量化单个漏洞可利用性是解决基于攻击路径分析网络安全态势的基础和关键，目前运用最广泛的漏洞可利用性评估系统是通用漏洞评分系统(common vulnerability scoring system, CVSS).首先利用CVSS对54331个漏洞的可利用性进行评分，将结果进行统计分析发现CVSS评分系统存在着评分结果多样性不足，分数过于集中等问题.鉴于CVSS的不足，进一步对漏洞可利用性影响要素进行研究，研究发现漏洞类型能影响可利用性大小.因此将漏洞类型作为评估漏洞可利用性的要素之一，采用层次分析法将其进行量化，基于CVSS上提出一种更为全面的漏洞可利用性量化评估系统(exploitability of vulnerability scoring systems, EOVSS).实验证明：EOVSS具有良好的多样性，并能更准确有效地量化评估单个漏洞的可利用性.
- 漏洞 /
- 可利用性 /
- 漏洞类型 /
- 层次分析法 /
- 量化
Abstract: As is known to all, vulnerabilities play an extremely important role in network security now. Accurately quantizing the exploitability of a vulnerability is critical to the attack-graph based analysis of network information system security. Currently the most widely used assessment system for vulnerability exploitability is the common vulnerability scoring system (CVSS). Firstly, the exploitability scores of 54331 vulnerabilities are computed by using CVSS. Then, statistical analysis is performed on the computed exploitability scores, which indicates that CVSS lacks diversity, and more diverse results can help end-users prioritize vulnerabilities and fix those that pose the greatest risks at first. Statistical results show that the scores are too centralized as well. Finally, taking into account the disadvantages of CVSS, we study the influence factors of vulnerability exploitability, and demonstrate that the types of a vulnerability can influence its exploitability. Therefore, we consider vulnerability types as one of the influence factors of vulnerability exploitability, and use analytic hierarchy process to quantify it, and propose a more comprehensive quantitative evaluation system named exploitability of vulnerability scoring systems (EOVSS) based on CVSS. Experiments show that the diversity of scores computed by EOVSS is four times that computed by CVSS, and EOVSS can more accurately and effectively quantify the exploitability of a vulnerability in comparison with CVSS.
- vulnerability /
- exploitability /
- vulnerability type /
- analytic hierarchy process /
- quantification

HTML全文

参考文献(0)

施引文献(25)

期刊类型引用(13)

1.	涂彬彬，陈宇. 支持批量证明的SM2适配器签名及其分布式扩展. 软件学报. 2024(05): 2566-2582 . 百度学术
2.	胡小明，陈海婵. 可证明安全的SM2盲适配器签名方案. 网络与信息安全学报. 2024(02): 59-68 . 百度学术
3.	唐锴令，郑皓. 融合DES和ECC算法的物联网隐私数据加密方法. 吉林大学学报(信息科学版). 2024(03): 496-502 . 百度学术
4.	薛庆水，卢子譞，马海峰，高永福，谈成龙，孙晨曦. 基于SM2的强前向安全性两方共同签名方案. 计算机工程与设计. 2024(08): 2290-2297 . 百度学术
5.	张艳硕，刘宁，袁煜淇，杨亚涛. 基于ISRSAC数字签名算法的适配器签名方案. 通信学报. 2023(03): 178-185 . 百度学术
6.	陈海婵，郭智浩，王俊以，胡小明. 基于适配器签名和盲混技术的电子资源交易方案设计与实现. 上海第二工业大学学报. 2023(01): 53-60 . 百度学术
7.	韦薇，罗敏，白野，彭聪，何德彪. 基于SIMD指令集的SM2数字签名算法快速实现. 密码学报. 2023(04): 720-736 . 百度学术
8.	白野，何德彪，罗敏，杨智超，彭聪. 一种针对SM2数字签名算法的攻击方案. 密码学报. 2023(04): 823-835 . 百度学术
9.	夏再琦，王祥，白鹏飞，易玲，郭艳鹏，宋绍华. 智能终端的Uboot引导应用程序实现方法. 单片机与嵌入式系统应用. 2023(10): 57-60 . 百度学术
10.	刘捷. 基于鸿蒙的新一代智能POS业务软件设计. 电子元器件与信息技术. 2023(12): 32-35 . 百度学术
11.	苏簪铀，马振华，王志洋. 基于协同签名的电网移动GIS签名系统的设计与实现. 农村电气化. 2022(04): 50-53 . 百度学术
12.	王子瑞，张驰，魏凌波. 基于双线性配对的适配器签名方案. 密码学报. 2022(04): 686-697 . 百度学术
13.	李松钊，梁晓芳，李文敬. 基于零知识验证签名的食品供应链追溯算法研究. 南宁师范大学学报(自然科学版). 2022(04): 49-56 . 百度学术