面向SaaS云平台的安全漏洞评分方法研究

对不同的第三方提供的云服务进行漏洞评分是一项充满挑战的任务。针对一些基于云平台的重要因素,例如业务环境（业务间的依赖关系等）,提出了一种新的安全框架VScorer,用于对基于不同需求的云服务进行漏洞评分。通过对VScorer输入具体的业务场景和安全需求,云服务商可以在满足安全需求的基础上获得一个漏洞排名。根据漏洞排名列表,云服务提供商可以修补最关键的漏洞。在此基础上开发了VScorer的原型,并且证实它比现有最具有代表性的安全漏洞评分系统CVSS表现得更为出色。     

基于属性攻击图的网络动态威胁分析技术研究

该文首先利用属性攻击图理论构建了网络动态威胁分析属性攻击图(DT-AAG)模型,该模型在全面刻画系统漏洞和网络服务导致的威胁转移关系的基础上,结合通用漏洞评分标准(CVSS)和贝叶斯概率转移计算方法设计了威胁转移概率度量算法;其次基于构建的DT-AAG模型,利用威胁与漏洞、服务间的关联关系,设计了动态威胁属性攻击图生成算法(DT-AAG-A),并针对生成的属性攻击图存在的威胁传递环路问题,设计了环路消解机制;最后通过实验验证了该模型和算法的有效性。     

一种基于CVSS的网络脆弱性评估系统

针对传统的网络脆弱性评估系统无法对目标网络的脆弱性评估结果进行量化描述的不足,在CVSS的基础上设计了一种量化的网络脆弱性评价体系。该评价体系全面综合了脆弱性的固有属性、脆弱性的威胁随时间的变化而变化的情况、脆弱性随目标网络环境的变化而变化的情况,并在此基础上实现了一种量化的目标网络脆弱性评估系统,便于系统管理人员了解和交流目标网络的脆弱性综合评价结果。     

信息安全漏洞等级定义标准及应用

在风险评估过程中,究竟使用何种漏洞等级标准是安全等级划分的重要依据。论文介绍了目前信息安全界关于漏洞等级定义的诸多标准,并分析了多厂商多标准模式存在的问题,提出了通用漏洞评估系统,并深入分析了该系统的各个组成要素及评分规则,并结合实例说明了其合理性。