面向漏洞生命周期的安全风险度量方法

被引：10

作者：

胡浩 ^{[1
,2
]}

叶润国 ^{[3
]}

张红旗 ^{[1
,2
]}

常德显 ^{[1
,2
]}

刘玉岭 ^{[4
]}

杨英杰 ^{[1
,2
]}

机构：

[1] 信息工程大学三院

[2] 河南省信息安全重点实验室(信息工程大学)

[3] 中国电子技术标准化研究院

[4] 中国科学院软件研究所可信计算与信息保障实验室

来源：

软件学报 | 2018年 / 29卷 / 05期

基金：

国家重点研发计划;

关键词：

风险度量; 漏洞生命周期; 随机模型; 吸收Markov链; 动态评估;

D O I：

10.13328/j.cnki.jos.005507

中图分类号：

TP309 [安全保密];

学科分类号：

081201 ; 0839 ; 1402 ;

摘要：

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型APT攻击场景中"Wanna Cry"勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.

引用

页码：1213 / 1229

页数：17

共 29 条

[1]

Probability of attack based on system vulnerability lif cycle. Jumratjaroenvanit, Amontip,tenq Amnuay. Proceedings of the Interational Symposium on electronic Commerce and security . 2008

[2] 一种多周期漏洞发布预测模型 [J].

陈恺 ;

冯登国 ;

苏璞睿 ;

聂楚江 ;

张晓菲 .

软件学报, 2010, 21 (09) :2367-2375

[3] 基于粗糙集的漏洞属性约简及严重性评估 [J].

付志耀 ;

高岭 ;

孙骞 ;

李洋 ;

高妮 .

计算机研究与发展, 2016, 53 (05) :1009-1017

[4] 基于生命周期理论的安全漏洞时间风险研究 [J].

宋明秋 ;

王磊磊 ;

于博 .

计算机工程, 2011, 37 (01) :131-133+136

[5]

Windows of Vulnerability: A Case Study Analysis. William A. Arbaugh,William L. Fithen,John McHugh. Computer . 2000

[6]

Quantitative software security risk assessment model. I. Mkpong-Ruffin,D. Umphress,J. Hamilton,J. Gilbert. Proceedings of the 2007 ACM workshop on Quality of protection . 2007

[7]

Quantifying security risk level from CVSS estimates of frequency and impact[J] . Siv Hilde Houmb,Virginia N.L. Franqueira,Erlend A. Engum. &nbspThe Journal of Systems & Software . 2009 (9)

[8]

National vulnerability database. NIST. https://nvd.nist.gov/ . 2018

[9]

Common vulnerabilities and exposures. CVE. http://cve.mitre.org/ . 2018

[10]

A large scale ex-ploratory analysis of software vulnerability life cycles. Muhammad Shahzad,M. Zubair Shafiq,Alex X. Liu. Proceedings of the 34th International Conference on Software Engineering(ICSE) . 2012

← 1 2 3 →