基于节点博弈漏洞攻击图的网络风险分析方法

鉴于当前的漏洞风险分析方法未考虑攻防双方的相互制约关系,尝试将博弈论引入漏洞攻击图的节点分析过程,提出了基于节点博弈漏洞攻击图的风险分析模型RAMVAG。在此基础上,提出一种基于连通矩阵的漏洞风险分析算法VRAA。算法建立了攻击图的连通矩阵,在分析信息系统漏洞的自身风险和传播风险的基础上,对漏洞全局风险进行综合评价,评价结果能够帮助管理者确定网络系统的关键漏洞。实例分析证明了模型和算法的有效性。     

一种服务端口风险评估模型

网络漏洞评估方法用于决策漏洞的修补优先级。文章在CVSS评级系统基础上,综合攻击者获取权限,端口连接数量,漏洞历史等因素,提出一种服务端口风险评估模型,提高了漏洞评估的准确度。之后,根据风险值大小,利用访问控制对服务端口进行屏蔽,可以防范目前缺乏补丁的最新漏洞。     

动静态特征结合的漏洞风险评估及缓解方法

针对如何提高漏洞风险评估的准确性进行了研究,提出一种动静态特征结合的漏洞风险评估及缓解方法。通过将传统风险评估方法中常用的来源于通用漏洞评分系统（CVSS）的攻击复杂度、影响程度、攻击向量等固定属性作为静态特征,将防御能力、漏洞修复情况、攻击者的攻击能力等随时间推移可能发生变化的属性作为动态特征,两者结合对漏洞的风险程度进行更加全面的评估。给出了在实际应用中各特征的量化计算方法,以及漏洞修复策略的推荐方法。以单个漏洞的风险评估过程和多个漏洞的风险评估结果为例,将评估结果与CVSS评分进行对比实验。结果表明该方法能结合具体的网络环境给出更加准确的漏洞风险评估结果及合理的漏洞修复策略,验证了该方法的可行性和有效性。     

计算机安全漏洞风险评估及防护

该文在分析计算机安全漏洞风险评估基本原则基础上,采用定量与定性的分析方法,制定了漏洞风险级别的四个因素,提出了系统漏洞风险分析与评估算法,并针对实际案例进行了漏洞风险评估及其初步防护建议。     

一种基于层次分析法的信息系统漏洞量化评估方法

根据层次分析法提出了一种具有可操作性的信息系统漏洞量化评估方法。按照分层思想,将系统漏洞严重程度的模型分解为因素层、评价层、特性层和目标层,分别从风险概率、风险影响和不可控制性等几方面对漏洞带来的风险因素进行专家评定,并依此来确定权重,通过计算其各层评估值,最后得到信息系统的整体漏洞严重性评估值。实验结果表明,基于层次分析法的信息系统漏洞评估方法能对系统漏洞的严重性程度进行有效量化和评估。     

面向工控系统漏洞的多维属性评估

针对工业控制系统漏洞风险评估角度较为单一且与工控环境联系不紧密问题，提出了面向工业控制系统漏洞的多维属性评估方法。首先，建立了漏洞有效性、风险类别属性判别模板，同时定义漏洞风险程度多维评价指标。其次，提出基于ernieCat的风险程度预测模型，使用漏洞文本描述及漏洞内在评价属性作为融合特征预测漏洞的严重性、危害性以及可利用性等级。结合工业控制系统设备层级关键信息与漏洞风险等级情况，建立多维度量化指标，对工业控制系统漏洞的危害程度进行量化评估。最后，通过实验验证ernieCat模型应用在漏洞风险程度预测方面的优越性。     

基于多阶段网络攻击的网络风险评估方法研究

由于黑客的频繁入侵,对网络信息系统进行风险评估显得日益重要。为了获得对网络系统更实际的风险评估结果,文中引入了一个新的概念:漏洞关联性(VulnerabilityCorrelation),从黑客展开对网络的多阶段攻击入手,利用各种扫描器对网络扫描的大量漏洞信息,构造漏洞关联库,形成多条网络攻击链,从而计算出网络的风险评估值。与其他评估方法相比,论文的方法能更好地体现在面临黑客攻击时网络所存在的风险。     

基于企业环境的网络安全风险评估

针对网络安全风险评估问题,提出了一种依据企业环境特征评估网络安全风险的方法。在企业内部基于企业环境特征进行安全漏洞危险性评估,提出了一种基于企业经济损失的漏洞危险性评估方法。使用贝叶斯攻击图模型,并结合企业网络系统环境变化进行动态安全风险评估。最后,通过案例研究说明了提出的动态安全风险评估方法的具体计算过程,并且使用仿真实验说明了提出的方法更加切合被评估网络或信息系统遭受攻击的真实情况,评估结果更加客观准确。     

一种基于攻击图的5G网络安全风险评估方法

为解决5G网络的安全风险评估问题，提出基于攻击图的评估框架，包括攻击图构造和风险评估两部分。给出5G网络拓扑模型和攻击模版的通用定义，可以适应网络的不同部署方式，具有灵活性。将其作为攻击图生成算法的输入条件，设定攻击者初始位置后，采用广度优先算法构造属性攻击图。该攻击图生成算法可以减少图中节点数量，来限制图的规模，防止空间爆炸。在风险评估过程中，提出漏洞关联性评估思路，以单一评估CVSS 3.0版本为基础，引入漏洞间的关联概率，量化攻击行为间的相互影响。实验结果表明，该方法能有效地评估5G网络面临的安全威胁和风险等级，有助于部署合理的安全防护措施。     

一种适用于配置漏洞的安全配置评估系统

为了对大量存在的配置漏洞进行风险评估从而做出相应的补救措施,以使可能的损失降到最低,本文首先研究通用漏洞评估系统(CVSS)的评估体系,然后结合配置设置自身的特点,对CVSS标准进行修改,提出适用于配置漏洞评估的安全配置评估系统(SCVSS),并通过CCE的配置实例验证了SCVSS的正确性。SCVSS是一种有效的配置评估系统。     

Predicting Cyber Risks through National Vulnerability Database

ABSTRACT

Software vulnerabilities are the major cause of cyber security problems. The National Vulnerability Database (NVD) is a public data source that maintains standardized information about reported software vulnerabilities. Since its inception in 1997, NVD has published information about more than 43,000 software vulnerabilities affecting more than 17,000 software applications. This information is potentially valuable in understanding trends and patterns in software vulnerabilities so that one can better manage the security of computer systems that are pestered by the ubiquitous software security flaws. In particular, one would like to be able to predict the likelihood that a piece of software contains a yet-to-be-discovered vulnerability, which must be taken into account in security management due to the increasing trend in zero-day attacks. We conducted an empirical study on applying data-mining techniques on NVD data with the objective of predicting the time to next vulnerability for a given software application. We experimented with various features constructed using the information available in NVD and applied various machine learning algorithms to examine the predictive power of the data. Our results show that the data in NVD generally have poor prediction capability, with the exception of a few vendors and software applications. We suggest possible reasons for why the NVD data have not produced a reasonable prediction model for time to next vulnerability with our current approach, and suggest alternative ways in which the data in NVD can be used for the purpose of risk estimation.     

网络与信息系统的安全评估与实施

根据目前网络与信息系统的安全状态,分析了网络与信息系统的风险评估技术,提出了风险评估的方法,构造了网络与信息系统的安全体系。     

信息安全风险评估的数值分析法初探

介绍了一种对信息安全风险的数值分析方法,包括对资产价值的评估、对威胁和薄弱点评估以及最终的风险计算和函数拟合方法。通过这种方法,可以在传统方法的基础上,定量地计算出不同信息资产的风险程度,以供安全方案的设计和投资指导之用。     

云计算风险分析

随着云计算应用的深入,其安全问题也随之显现。文章首先对云计算的概念、特征等进行了概述,然后简要分析了云计算的安全需求,最后重点识别了云资产,分析了云特定的脆弱性和云计算环境面临的风险。     

一种实时的信息安全风险评估方法

信息安全风险评估是信息系统风险管理的重要组成部分,是建立信息系统安全体系的前提和基础。论文简要介绍了信息安全风险评估,进而提出了一种定性、定量评估相结合的实时的信息安全风险评估方法。该方法通过分析系统的资产、弱点和威胁,根据安全设备产生的安全事件,实时地评估信息系统的风险。     

一种定量的网络安全风险评估系统模型

提出一个定量的网络安全风险评估系统模型和与之对应的定量风险评估体系,并为体系中资产、威胁、脆弱性和风险等各项指标提出了相应的计算方法;论述了模型系统中各个模块的设计和机理,其中采用基于免疫的入侵检测技术使得威胁评估模块具备发现新颖威胁的能力,插件设计保证了脆弱性模块较好的扫描效率和扩展性。最后,用实验验证了该定量评估模型对评价网络安全状态的有效性。     

一种信息资产风险值的计算方法

按照信息安全风险评估流程,说明了资产识别、威胁识别和脆弱性识别的方法和量化标准,选择适当的、符合国家评估标准的风险计算分析模型,提出一种信息资产安全风险值计算方法,采用二维矩阵法计算安全事件的风险值,对风险值对应的风险程度进行风险等级划分,并通过计算一个信息系统的风险值进行验证.     

组合对象信息安全风险评估研究

风险评估已经成为信息安全管理的重要组成部分,其方法的选择直接影响着风险结果的准确性和客观性,进而会影响到组织的整体信息安全水平。目前很多评估方法仅能对单个资产的威胁和脆弱性进行分析,并直接采用调查问卷或矩阵的方式得到风险,而没有从面向对象的角度给出威胁相对于系统的客观的整体风险值。论文提出了一种针对组合对象的定性与定量相结合的风险评估方法,有效解决了上述问题,并给出了合理的风险计算公式。