基于漏洞类型的漏洞可利用性量化评估系统

作     者：雷柯楠 张玉清 吴晨思 马华 Lei Kenan;Zhang Yuqing;Wu Chensi;Ma Hua

作者机构：综合业务网理论及关键技术国家重点实验室(西安电子科技大学)西安710071 国家计算机网络入侵防范中心(中国科学院大学)北京101408 西安电子科技大学数学与统计学院西安710071 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2017年第54卷第10期

页      面：2296-2309页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金项目(61572460 61272481) 国家重点研发计划项目(2016YFB0800700) 信息安全国家重点实验室的开放课题(2017-ZD-01) 国家发改委信息安全专项项目[(2012)1424] 国家111项目(B16037)~~ 

主　　题：漏洞 可利用性 漏洞类型 层次分析法 量化 

摘      要：准确量化单个漏洞可利用性是解决基于攻击路径分析网络安全态势的基础和关键,目前运用最广泛的漏洞可利用性评估系统是通用漏洞评分系统(common vulnerability scoring system,CVSS).首先利用CVSS对54 331个漏洞的可利用性进行评分,将结果进行统计分析发现CVSS评分系统存在着评分结果多样性不足,分数过于集中等问题.鉴于CVSS的不足,进一步对漏洞可利用性影响要素进行研究,研究发现漏洞类型能影响可利用性大小.因此将漏洞类型作为评估漏洞可利用性的要素之一,采用层次分析法将其进行量化,基于CVSS上提出一种更为全面的漏洞可利用性量化评估系统(exploitability of vulnerability scoring systems,EOVSS).实验证明:EOVSS具有良好的多样性,并能更准确有效地量化评估单个漏洞的可利用性.