面向漏洞生命周期的安全风险度量方法
作者:
作者单位:

作者简介:

胡浩(1989-),男,安徽池州人,博士生,主要研究领域为网络安全态势感知,网络威胁行为分析,图像秘密共享;常德显(1977-),男,博士,副教授,主要研究领域为信息安全,可信计算;叶润国(1976-),男,博士,高级工程师,主要研究领域为大数据安全分析;刘玉岭(1982-),男,博士,高级工程师,CCF专业会员,主要研究领域为网络安全态势感知,大数据安全分析;张红旗(1962-),男,博士,教授,博士生导师,主要研究领域为网络安全,风险评估,等级保护,信息安全管理;杨英杰(1971-),男,博士,教授,主要研究领域为数据挖掘,态势感知,信息安全管理.

通讯作者:

胡浩,E-mail:wjjhh_908@163.com

中图分类号:

基金项目:

国家重点研发计划项目(2016YFF0204002,2016YFF0204003);“十三五”装备预研领域基金(6140002020115);CCF-启明星辰“鸿雁”科研计划基金(2017003);郑州市科技领军人才项目(131PLJRC644);蚂蚁金服科研基金


Vulnerability Life Cycle Oriented Security Risk Metric Method
Author:
Affiliation:

Fund Project:

National Key Research and Development Program of China (2016YFF0204002, 2016YFF0204003); Equipment Pre-Research Foundation During the 13th Five-Year Plan Period (6140002020115); CCF-Venus "Hongyan" Scientific Research Plan Foundation (2017003); Science and Technology Leading Talent Project of Zhengzhou (131PLJRC644); Ant Financial Scientific Research Foundation

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型APT攻击场景中“WannaCry”勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.

    Abstract:

    In order to reflect the dynamic change of vulnerability security risk over time in an information system,this paper developed a life cycle stochastic model based on the absorbing Markov.The prior historical vulnerability information is used as the input.Then the state transition probability matrix of vulnerability life cycle is constructed.Specifically,the state evolution process is simulated in the dimension of time using matrix deduction.Meanwhile,the common vulnerability scoring system (CVSS) is utilized to measure the threat impact of vulnerabilities in the network system.Furthermore,a quantitative risk method to measure security vulnerability in terms of time dimension is provided to analyze some probability evolution rules with respect to the states of vulnerability life cycle.Finally,the exploits by the ransomware "WannaCry" in a typical APT attack scenario are taken as an example to verify the rationality and validity of the presented model and method.

    参考文献
    相似文献
    引证文献
引用本文

胡浩,叶润国,张红旗,常德显,刘玉岭,杨英杰.面向漏洞生命周期的安全风险度量方法.软件学报,2018,29(5):1213-1229

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:2017-07-05
  • 最后修改日期:2017-08-29
  • 录用日期:2017-11-21
  • 在线发布日期: 2018-01-09
  • 出版日期:
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京市海淀区中关村南四街4号,邮政编码:100190
电话:010-62562563 传真:010-62562533 Email:jos@iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号