本文關(guān)鍵詞：安全漏洞危害評(píng)估研究暨標(biāo)準(zhǔn)漏洞庫(kù)的設(shè)計(jì)與實(shí)現(xiàn)　出處：《西安電子科技大學(xué)》2016年博士論文　論文類型：學(xué)位論文

  更多相關(guān)文章： 漏洞數(shù)據(jù)庫(kù) 漏洞標(biāo)準(zhǔn)化 漏洞關(guān)聯(lián)性 漏洞自動(dòng)化分類 漏洞自動(dòng)化評(píng)估

【摘要】：安全漏洞是信息安全技術(shù)的核心,大部分的網(wǎng)絡(luò)攻擊往往是基于漏洞發(fā)起的。隨著漏洞數(shù)量和漏洞發(fā)現(xiàn)速度的急劇增加,收集、整理和利用已有漏洞變得越來(lái)越重要：1.標(biāo)準(zhǔn)化的漏洞數(shù)據(jù)可以在全世界范圍內(nèi)整合漏洞資源,為漏洞挖掘提供借鑒作用,避免漏洞挖掘者對(duì)已經(jīng)發(fā)現(xiàn)的漏洞進(jìn)行重復(fù)的工作,同時(shí)可以根據(jù)已知漏洞來(lái)推斷可能存在的未知漏洞,提高效率；2.標(biāo)準(zhǔn)化的漏洞數(shù)據(jù)可以為安全工具、安全設(shè)備、網(wǎng)絡(luò)設(shè)備提供必要的數(shù)據(jù)源；為漏洞挖掘者和IT廠商提供規(guī)范化的溝通橋梁,幫助廠商開(kāi)發(fā)出更加安全的產(chǎn)品；3.標(biāo)準(zhǔn)化漏洞數(shù)據(jù)可以對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估,輔助制定網(wǎng)絡(luò)安全策略；在國(guó)家戰(zhàn)略層面,一個(gè)有影響力的標(biāo)準(zhǔn)化漏洞數(shù)據(jù)庫(kù)可以吸引國(guó)際上更多的安全工作者上報(bào)最新發(fā)現(xiàn)的漏洞。然而,1.漏洞的標(biāo)準(zhǔn)化協(xié)議仍然不夠成熟,難以對(duì)漏洞進(jìn)行統(tǒng)一地描述和檢索；2.現(xiàn)有安全漏洞數(shù)據(jù)庫(kù)異構(gòu)情況嚴(yán)重,相互不能夠兼容；3.漏洞數(shù)據(jù)處理需要人工完成,時(shí)間消耗較大且不能避免主觀性。為了解決上述問(wèn)題,文本圍繞“漏洞的標(biāo)準(zhǔn)化與數(shù)據(jù)處理自動(dòng)化”從如下三個(gè)方面進(jìn)行了深入地研究：1.漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化技術(shù),其中主要針對(duì)安全漏洞危害評(píng)估的標(biāo)準(zhǔn)化進(jìn)行了研究；2.標(biāo)準(zhǔn)漏洞數(shù)據(jù)庫(kù)建設(shè)的相關(guān)技術(shù)；3.漏洞數(shù)據(jù)處理的自動(dòng)化技術(shù)。主要成果如下：(1)漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化技術(shù)方面,漏洞危害性評(píng)估算法的分散性研究。研究了定量漏洞危害評(píng)估系統(tǒng),收集和整理了NVD中的7萬(wàn)余條漏洞數(shù)據(jù),分析了目前較為權(quán)威的評(píng)估系統(tǒng)CVSS在指標(biāo)取值、危害值分布、分散性和客觀性方面所存在的問(wèn)題。提出了指標(biāo)取值需要滿足的標(biāo)準(zhǔn),基于主成分分析法PCA對(duì)CVSS進(jìn)行了修正,提出了CVSS_PCA危害性評(píng)估系統(tǒng),該系統(tǒng)可以在不改變CVSS指標(biāo)選擇的前提下,很好地滿足指標(biāo)取值標(biāo)準(zhǔn),同時(shí)獲得較好的危害值分布、分散性和客觀性。(2)漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化技術(shù)方面,漏洞危害性評(píng)估算法的客觀性研究。分析了Expert System和CVSS的客觀性,并基于Expert System對(duì)CVSS進(jìn)行了修正。具體過(guò)程中分別分析了上述系統(tǒng)與CWE和Product之間的關(guān)系,基于CWE,針對(duì)Expert System提出了一種新的利用方式,即循環(huán)排序算法,對(duì)CWE的平均危害性進(jìn)行了排序；同時(shí)基于循環(huán)排序算法提出了CWE排序因子(COF)對(duì)CVSS進(jìn)行修正,最終的結(jié)果在客觀性方面更加接近于Expert System。(3)標(biāo)準(zhǔn)漏洞數(shù)據(jù)庫(kù)建設(shè)的相關(guān)技術(shù)。從多個(gè)方面研究和分析了當(dāng)前國(guó)際上各主流漏洞庫(kù)(共涉及26個(gè))的優(yōu)勢(shì)和不足,提出了評(píng)估漏洞庫(kù)的標(biāo)準(zhǔn)(數(shù)據(jù)量與全面性、數(shù)據(jù)來(lái)源獨(dú)立性、被引用情況、字段全面性、支持SCAP情況、包含POC情況),并根據(jù)上述標(biāo)準(zhǔn)對(duì)當(dāng)前主流漏洞庫(kù)進(jìn)行了評(píng)估和比較。最后提出了標(biāo)準(zhǔn)漏洞數(shù)據(jù)庫(kù)的建設(shè)模式,包括數(shù)據(jù)來(lái)源、數(shù)據(jù)字段設(shè)計(jì)、模塊整體架構(gòu)和子模塊功能設(shè)計(jì)、對(duì)外服務(wù)模式等。(4)漏洞數(shù)據(jù)的自動(dòng)化處理技術(shù)方面,漏洞關(guān)聯(lián)性與自動(dòng)化漏洞去重技術(shù)。分析了15個(gè)主流漏洞庫(kù)共計(jì)84.2萬(wàn)條漏洞數(shù)據(jù)的關(guān)聯(lián)性。分析和歸納了漏洞文本類型字段的異構(gòu)情況,同時(shí)分析和整理了漏洞參考鏈接引用的拓?fù)浣Y(jié)構(gòu),利用該拓?fù)浣Y(jié)構(gòu)歸納了漏洞之間可能存在的主要關(guān)系；以文本挖掘算法為核心,針對(duì)漏洞字段的特點(diǎn),提出了漏洞去除重復(fù)的規(guī)則,以及漏洞數(shù)據(jù)庫(kù)融合框架UVDA,UVDA框架實(shí)現(xiàn)過(guò)程完全自動(dòng)化。UVDA已應(yīng)用于國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心漏洞庫(kù)NIPC,推進(jìn)了漏洞信息發(fā)布機(jī)制標(biāo)準(zhǔn)化進(jìn)程。(5)漏洞數(shù)據(jù)的自動(dòng)化處理技術(shù)方面,基于文本分類的漏洞自動(dòng)化危害評(píng)估技術(shù)。分析了主流漏洞庫(kù)共16余萬(wàn)條漏洞數(shù)據(jù),基于文本分類算法提出了一套新的自動(dòng)化漏洞危害評(píng)估框架ASVA,ASVA適用范圍廣,可用于漏洞信息不足的情況,過(guò)程完全自動(dòng)化,此外,由于ASVA框架的實(shí)現(xiàn)基于大數(shù)據(jù)統(tǒng)計(jì)分布,因此很好的避免了人工造成的主觀性；基于ASVA提出了三種新的特征提取模式：Direct Mode、 Original Mode和Combined Mode;針對(duì)Combined Mode,提出了指標(biāo)聯(lián)合的具體規(guī)則,從而優(yōu)化了選擇策略,提升了危害評(píng)估框架的準(zhǔn)確性。(6)漏洞數(shù)據(jù)的自動(dòng)化處理技術(shù)方面,基于文本分類與新特征的漏洞自動(dòng)化分類技術(shù)。分析了16萬(wàn)條漏洞數(shù)據(jù),基于文本挖掘算法提出了一個(gè)新的自動(dòng)化漏洞分類框架ASVC,可以自動(dòng)化和批量化地分類漏洞,可處理信息不完整的漏洞條目,相比于人工的小數(shù)據(jù)集決策,更加客觀和可靠；針對(duì)CWE標(biāo)準(zhǔn),優(yōu)化了分類的經(jīng)驗(yàn)參數(shù)。為了進(jìn)行比較,同時(shí)測(cè)試了BNVC、LVCM、OSBC和CVCF四種漏洞自動(dòng)化分類框架,并且從準(zhǔn)確度、覆蓋率兩個(gè)方面與ASVC進(jìn)行了對(duì)比,實(shí)驗(yàn)結(jié)果表明ASVC分類準(zhǔn)確率更高,適用范圍更加廣泛。
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP309

【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 劉玉琴;朱東華;呂琳;;基于文本挖掘技術(shù)的產(chǎn)品技術(shù)成熟度預(yù)測(cè)[J];計(jì)算機(jī)集成制造系統(tǒng);2008年03期

，

本文編號(hào)：1323720