CVSS环境指标变量对系统安全的影响研究

通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。     

改进漏洞基础评分指标权重分配方法

针对通用漏洞评分系统（CVSS）的基础评分指标权重分配过多依赖专家经验导致客观性不足的问题,提出一种漏洞威胁基础评分指标权重分配方法。首先,对评分要素的相对重要性进行排序;然后,采用指标权重组合最优搜索方法搜索权重组合方案;最后,结合灰色关联度分析方法,将基于专家经验决策的多个权重分配方案作为输入,获得权重组合方案。实验结果表明,与CVSS相比,从定量角度对比分析,所提方法评分结果分值分布比CVSS更为平缓连续,有效地避免了过多极端值的出现,并且评分分值分布的离散化更能客观有效地区分不同漏洞威胁的严重性;从定性角度对比分析,与CVSS中绝大多数漏洞（92.9%）被定为中高严重级别相比,所提方法在漏洞严重等级分配上实现了更为均衡的特征分布。     

基于依赖关系图和通用漏洞评分系统的网络安全度量

管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图；然后根据依赖关系修改CVSS中漏洞的基础度量算法；最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。     

基于漏洞类型的漏洞可利用性量化评估系统

准确量化单个漏洞可利用性是解决基于攻击路径分析网络安全态势的基础和关键,目前运用最广泛的漏洞可利用性评估系统是通用漏洞评分系统(common vulnerability scoring system, CVSS).首先利用CVSS对54331个漏洞的可利用性进行评分,将结果进行统计分析发现CVSS评分系统存在着评分结果多样性不足,分数过于集中等问题.鉴于CVSS的不足,进一步对漏洞可利用性影响要素进行研究,研究发现漏洞类型能影响可利用性大小.因此将漏洞类型作为评估漏洞可利用性的要素之一,采用层次分析法将其进行量化,基于CVSS上提出一种更为全面的漏洞可利用性量化评估系统(exploitability of vulnerability scoring systems, EOVSS).实验证明：EOVSS具有良好的多样性,并能更准确有效地量化评估单个漏洞的可利用性.     

基于关联性的漏洞评估方法

为了更加有效地评估漏洞威胁, 在原有的基于关联性漏洞评估方法的基础上, 从漏洞的可利用性出发, 分析了通用漏洞评估系统（CVSS）作为漏洞可利用性评价指标的缺点。在改进CVSS评价指标的基础上, 提出了更为合理的漏洞可利用性评估体系, 并改进了原有的漏洞评估方法。该方法能够有效地挖掘漏洞自身特点, 科学地进行漏洞评估, 并通过实验验证了该方法的合理性和有效性。     

收益与代价相结合的漏洞修复模型

漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给出漏洞修复的总收益.漏洞修复代价评分系统基于CVSS对漏洞属性信息的描述,给出单个漏洞修复代价的评分规则,然后结合漏洞所属主机类型及漏洞分布情况给出网络漏洞修复代价.实例网络分析表明,该模型能够为网络管理人员提供一个切实可行的网络漏洞修复策略.     

基于攻击树和CVSS的网络攻击效果评估方法

为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概率进行求解;然后,基于CVSS漏洞信息建立网络攻击效果量化评估模型;最后,采用实例进行验证分析说明。该方法能够充分利用己有的攻击行为研究成果,评估结果较为客观,且思路清晰,算法简单,具有较强的通用性和工程应用价值。     

动静态特征结合的漏洞风险评估及缓解方法

针对如何提高漏洞风险评估的准确性进行了研究,提出一种动静态特征结合的漏洞风险评估及缓解方法。通过将传统风险评估方法中常用的来源于通用漏洞评分系统（CVSS）的攻击复杂度、影响程度、攻击向量等固定属性作为静态特征,将防御能力、漏洞修复情况、攻击者的攻击能力等随时间推移可能发生变化的属性作为动态特征,两者结合对漏洞的风险程度进行更加全面的评估。给出了在实际应用中各特征的量化计算方法,以及漏洞修复策略的推荐方法。以单个漏洞的风险评估过程和多个漏洞的风险评估结果为例,将评估结果与CVSS评分进行对比实验。结果表明该方法能结合具体的网络环境给出更加准确的漏洞风险评估结果及合理的漏洞修复策略,验证了该方法的可行性和有效性。     

基于生命周期理论的安全漏洞时间风险研究

为合理、科学地识别信息安全风险评估中安全漏洞的真实危害程度,引入安全漏洞生命周期概念,提出安全漏洞的时间风险模型。该模型利用早期报道的攻击事件统计量对安全漏洞进行攻击预测估计,根据结果计算出安全漏洞的攻击热度,结合漏洞攻击技术发展水平对安全漏洞时间维度上的风险进行评估。以Phf漏洞为例进行分析,结果表明,该风险评估模型可以真实、动态地反映出安全漏洞时间 风险。     

一种适用于配置漏洞的安全配置评估系统

为了对大量存在的配置漏洞进行风险评估从而做出相应的补救措施,以使可能的损失降到最低,本文首先研究通用漏洞评估系统(CVSS)的评估体系,然后结合配置设置自身的特点,对CVSS标准进行修改,提出适用于配置漏洞评估的安全配置评估系统(SCVSS),并通过CCE的配置实例验证了SCVSS的正确性。SCVSS是一种有效的配置评估系统。     

面向漏洞生命周期的安全风险度量方法

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行总结和分析.最后以典型APT攻击场景中“WannaCry”勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.     

Assessing vulnerability exploitability risk using software properties

Attacks on computer systems are now attracting increased attention. While the current trends in software vulnerability discovery indicate that the number of newly discovered vulnerabilities continues to be significant, the time between the public disclosure of vulnerabilities and the release of an automated exploit is shrinking. Thus, assessing the vulnerability exploitability risk is critical because this allows decision-makers to prioritize among vulnerabilities, allocate resources to patch and protect systems from these vulnerabilities, and choose between alternatives. Common vulnerability scoring system (CVSS) metrics have become the de facto standard for assessing the severity of vulnerabilities. However, the CVSS exploitability measures assign subjective values based on the views of experts. Two of the factors in CVSS, Access Vector and Authentication, are the same for almost all vulnerabilities. CVSS does not specify how the third factor, Access Complexity, is measured, and hence it is unknown whether it considers software properties as a factor. In this work, we introduce a novel measure, Structural Severity, which is based on software properties, namely attack entry points, vulnerability location, the presence of the dangerous system calls, and reachability analysis. These properties represent metrics that can be objectively derived from attack surface analysis, vulnerability analysis, and exploitation analysis. To illustrate the proposed approach, 25 reported vulnerabilities of Apache HTTP server and 86 reported vulnerabilities of Linux Kernel have been examined at the source code level. The results show that the proposed approach, which uses more detailed information, can objectively measure the risk of vulnerability exploitability and results can be different from the CVSS base scores.     

一种基于攻击图的漏洞风险评估方法

传统的安全漏洞评估方法只是孤立地对单个漏洞进行评估,评估结果不能反映出漏洞对整个网络的影响程度。针对这个问题,提出了一种新的漏洞风险评估方法。该方法根据攻击图中漏洞间的依赖关系与漏洞的CVSS评分,首先计算出漏洞被利用的可能性与被利用后对整个网络的危害程度,并在此基础上计算出漏洞具有的风险值。由该方法计算出的漏洞风险能够准确地反映出漏洞对整个网络的影响程度,并通过实验证明了该方法的准确性与有效性。