检索结果-南通市图书馆

基于博弈论的工业互联网漏洞生命周期管理策略研究

在线全文

学校读者我要写书评

暂无评论

基于博弈论的工业互联网漏洞生命周期管理策略研究

作者：肖广涛江苏大学

学位级别：硕士

近年来我国大力推进“以信息化带动工业化、以工业化促进信息化”的两化融合政策,工业互联网已逐渐成为工业信息化发展的核心,工业互联网安全也成为我国工业健康发展的基础。当前工业互联网安全漏洞研究主要集中在漏洞的探测技术和漏洞... 详细信息

近年来我国大力推进“以信息化带动工业化、以工业化促进信息化”的两化融合政策,工业互联网已逐渐成为工业信息化发展的核心,工业互联网安全也成为我国工业健康发展的基础。当前工业互联网安全漏洞研究主要集中在漏洞的探测技术和漏洞分析评估,忽略了漏洞从发掘、披露到修复的连续性,缺乏基于漏洞生命周期的相关研究。因此本文首先分析我国工业互联网安全的现状,指出工业互联网漏洞发掘、披露和修复中存在的安全问题,明确漏洞生命周期管理对保障我国工业互联网安全和两化融合的重要性;其次,对工业网络安全漏洞的相关概念进行详细介绍,并在此基础上对安全漏洞从发现到修复生命周期的相关文献进行梳理,揭示现有研究的不足;然后,分别运用博弈论方法分别对工业互联网安全平台“白帽子”的知识共享博弈过程、不同情境下平台和多厂商之间关于漏洞披露周期的博弈过程和漏洞认领后各厂商之间合作开发漏洞补丁的博弈过程进行建模,并分析求解;最后,对本文的研究成果进行总结,给出相关意见和建议,指出研究的不足之处,展望未来工业互联网安全的研究方向。本文研究发现:（1）工业互联网安全平台中,知识共享量、固有知识量、知识增值率、安全知识漏洞转化率、团队平均漏洞奖励率和获得团队奖励的概率等因素对临时团队中“白帽子”的安全知识共享策略产生正向影响;高安全知识共享成本则会降低“白帽子”的知识共享意愿。（2）作为网络安全漏洞处理主体的厂商,其对漏洞的容忍力度是不一样的,主要受制于市场占有率、漏洞补丁开发时间成本收益率、黑客的攻击能力以及漏洞初始发现时刻等因素;工业互联网安全平台的披露周期则与黑客的攻击能力,漏洞补丁开发时间成本收益率以及漏洞发现时刻等因素有关。（3）完全披露前黑客发起进攻的概率越大、合作开发漏洞补丁成本越高,工业厂商选择合作开发漏洞补丁策略的概率就越低;共享补丁的吸收率、安全补丁数量和漏洞补丁溢出率、入侵成功的概率、完全披露后黑客攻击能力提升倍数、黑客入侵成功造成的损失、厂商“搭便车”造成的潜在损失等因素则会对工业厂商选择合作开发漏洞补丁策略产生积极影响。

关键词：漏洞生命周期工业互联网管理策略博弈论知识共享

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

安全漏洞库构建及应用研究综述

计算机学报 2024年第5期47卷 1082-1119页

作者：曹旭栋黄在起陈禹劼王文杰史慧洋李书豪张玉清中国科学院大学国家计算机网络入侵防范中心北京101408 中关村实验室北京100094 西安电子科技大学杭州研究院杭州311231 海南大学网络空间安全学院海口570228

在以计算机和网络为基础的信息社会中,计算机和网络系统中存在的漏洞给网络信息安全带来了巨大挑战,大部分网络攻击往往都是基于漏洞发起的,并且随着近些年来漏洞数量的急剧增加以及发现速度的加快,收集、整理和利用已有漏洞就变得越来... 详细信息

在以计算机和网络为基础的信息社会中,计算机和网络系统中存在的漏洞给网络信息安全带来了巨大挑战,大部分网络攻击往往都是基于漏洞发起的,并且随着近些年来漏洞数量的急剧增加以及发现速度的加快,收集、整理和利用已有漏洞就变得越来越重要.而漏洞库作为信息安全基础设施中重要的一环,不仅能够保存各类漏洞的基本信息、特征、解决方案等属性,还能快速响应漏洞信息并及时进行传播,提高公众应对信息安全威胁的能力.同时,随着机器学习、自然语言处理等技术的发展,越来越多的工作开始关注人工智能技术在智能化漏洞信息处理中的应用,漏洞库能作为其中的一个重要数据基础,在计算机领域中发挥着越来越重要的作用.漏洞库研究已成为计算机领域的一个研究热点和重点.本文首次从基础知识、背景、理论方法和创新等方面对近些年来围绕漏洞库的研究进行了全面调查,具体包括以下内容:(1)回顾了漏洞及漏洞库的背景知识,包括定义及分类;还阐述了漏洞发布与漏洞库之间的关系;(2)对漏洞库的发展现状进行介绍,同时介绍了漏洞库建设的相关标准;(3)归纳并总结了已有研究围绕漏洞库建设在漏洞信息收集、管理、字段补全以及质量评价等方面的进展;(4)归纳并总结了已有研究基于漏洞库数据分别在漏洞预测与扫描、漏洞修补、软件安全性及成分分析、网络攻击建模、安全态势分析以及漏洞特征的规律及关联性挖掘等方向的应用;(5)讨论了漏洞库研究存在的挑战和未来的研究方向.

关键词：安全漏洞漏洞报告漏洞数据库漏洞自动化评估漏洞生命周期

基于吸收马尔可夫链攻击图的网络攻击分析方法研究

在线全文

学校读者我要写书评

暂无评论

通信学报 2023年第2期44卷 122-135页

作者：康海燕龙墨澜北京信息科技大学信息管理学院北京100192

现有基于攻击图的入侵路径研究在计算状态转移概率时,缺乏对除基本网络环境信息以外因素的考虑,为了全面且合理地分析目标网络的安全性,提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先,在攻击图的基础上,提出了一种基于... 详细信息

现有基于攻击图的入侵路径研究在计算状态转移概率时,缺乏对除基本网络环境信息以外因素的考虑,为了全面且合理地分析目标网络的安全性,提出了一种基于吸收马尔可夫链攻击图的网络攻击分析方法。首先,在攻击图的基础上,提出了一种基于漏洞生命周期的状态转移概率归一化算法;其次,使用该算法将攻击图映射为吸收马尔可夫链,并给出其状态转移概率矩阵;最后,对状态转移概率矩阵进行计算,全面分析目标网络的节点威胁程度、攻击路径长度、预期影响。在实验网络环境中应用所提方法,结果表明,所提方法能够有效分析目标网络中的节点威胁程度、攻击路径长度以及漏洞生命周期对网络整体的预期影响,有助于安全研究人员更好地了解网络的安全状态。

关键词：攻击图吸收马尔可夫链漏洞生命周期网络攻击网络安全分析

基于图谱化数据的网络威胁路径生成与分析技术

在线全文

学校读者我要写书评

暂无评论

基于图谱化数据的网络威胁路径生成与分析技术

作者：袁彬涛国防科技大学

学位级别：硕士

网络威胁路径是对引起网络安全状态变化的行为序列的一种描述,在网络安全事件发生之前生成并分析威胁路径是一种主动防御方法,对于构筑安全的网络环境有着重要意义。当前威胁路径生成技术主要面临人力成本大、时间复杂度高、可拓展性低... 详细信息

网络威胁路径是对引起网络安全状态变化的行为序列的一种描述,在网络安全事件发生之前生成并分析威胁路径是一种主动防御方法,对于构筑安全的网络环境有着重要意义。当前威胁路径生成技术主要面临人力成本大、时间复杂度高、可拓展性低、可视化性差等问题。同时,在分析威胁路径时,当前的方法无法对威胁路径风险值在时间维度上的变化情况进行计算。针对生成威胁路径面临的可拓展性低、可视化性差问题,本文设计了一种图谱化的网络节点数据存储方法。将探测到的网络节点数据抽象成图结构中顶点和关系边,利用图数据库实现高效查询的可视化图谱存储。针对传统的威胁路径生成方法面临的人力成本大、时间复杂度高等问题,本文在图谱化的网络节点数据的基础上设计了网络威胁路径生成算法。算法借助图谱化的网络节点数据来优化消除传统方法在生成路径过程中出现的大量表连接关系和资源消耗问题。最后,为了解决对威胁路径风险值在时间维度上变化情况的计算问题,本文设计了一种基于漏洞生命周期的威胁路径评估方法。计算漏洞威胁性评分与可利用性评分在时间维度上的变化情况,实现对威胁路径风险值变化情况的计算。

关键词：威胁路径图谱化存储漏洞生命周期风险值评估

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

基于漏洞分析的软件安全性评估系统研究

基于漏洞分析的软件安全性评估系统研究

作者：睢辰萌北京交通大学

学位级别：硕士

随着互联网的广泛应用,互联网上的软件安全已经成为近年来倍受关注的问题之一,因此,有必要研究如何保证和评估一个软件的安全。本文首先从分析导致软件不安全的根源问题入手,对软件安全漏洞的根本属性进行了分析,给出了其分类;其次,从... 详细信息

随着互联网的广泛应用,互联网上的软件安全已经成为近年来倍受关注的问题之一,因此,有必要研究如何保证和评估一个软件的安全。本文首先从分析导致软件不安全的根源问题入手,对软件安全漏洞的根本属性进行了分析,给出了其分类;其次,从安全漏洞的本质和安全属性出发选取了三个角度,基于漏洞分析分别对软件的安全性进行了评估;最后,提出了基于漏洞分析的软件安全性评估系统并进行了系统平台开发与实例验证。本论文的研究内容和主要工作体现在以下几方面： 1.对国内外软件安全性评估问题进行了概述,分析了安全领域中软件安全性评估研究方法的特点和不足,对现有的安全漏洞分析评估体系加以总结和分析,归纳出软件安全漏洞与软件安全性之间的联系。 2.提出基于STRIDE模型的三层映射建模方法,对软件的整体安全风险进行评估。分别建立STRIDE模型与AINCAA安全目标的映射,安全漏洞与STRIDE模型的映射,AINCAA安全目标与安全漏洞的映射,在三层映射的基础上提出最终的半定量安全评估算法。 3.基于CVSS基本标准群的各个度量指标,本文对软件的安全属性：保密性、完整性和可用性进行了更加具体的量化度量,将VRSS系统中的可利用率公式加以改进,提出基于漏洞分析的软件安全性评估系统SSAS。 4.基于CVSS时间标准群的度量指标,本文引入安全漏洞生命周期的概念,提出安全漏洞攻击密度和难度两大时效指标,最终通过基于信息融合的模糊推理规则计算出安全漏洞在时间维度上的风险。 5.综合基于三个视角的软件安全评估方法设计了基于漏洞分析的软件安全评估系统并进行了功能设计和平台开发,并以智慧地铁系统为实例,进行了测试分析与验证。

关键词：软件安全安全漏洞安全性评估 CVSS STRJDE 漏洞生命周期

关键信息基础设施保护体系建设与漏洞管理标准化研究

同方学位论文库评论

在线全文

同方学位论文库

学校读者我要写书评

暂无评论

信息安全研究 2022年第1期8卷 62-70页

作者：杨一未孙成昊中国信息安全测评中心北京100085

为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、... 详细信息

为解决关键信息基础设施运营者在漏洞管理工作中的困惑,深化推进《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的落实工作,构建我国关键信息基础设施保护体系.通过系统分析国内外关键信息基础设施保护的发展历程、漏洞管理相关标准、关键信息基础设施漏洞管理前沿理论,论述了关键信息基础设施运营者漏洞管理工作标准化的必要性.将关键信息基础设施漏洞消控管理工作归纳为漏洞管理、资产管理、补丁管理、人员管理、组织管理5要素和准备、规划、执行、监控、变更5阶段的管理模型,漏洞消控管理5要素与5阶段交叉细分为32个工作过程,建议根据该模型编写具有我国特色的关键信息基础设施漏洞运营者漏洞管理指南类标准.

关键词：漏洞关键信息基础设施消控漏洞生命周期漏洞管理

维普期刊数据库博看期刊

在线全文

学校读者我要写书评

暂无评论

网络安全漏洞产业及其规制初探

信息安全与通信保密 2017年第3期15卷 22-38页

作者：黄道丽石建兵信息网络安全公安部重点实验室上海200031 上海社会科学院应用经济研究所上海200020

网络安全漏洞的信息披露政策和共享是漏洞治理的核心事务,如何更有效的治理也是众多研究人员所关心的问题,本文主要研究网络安全漏洞产业的企业分布来讨论规制因素及规制方法。首先归纳漏洞的基本特征以及漏洞产生的原因,通过划定漏洞... 详细信息

网络安全漏洞的信息披露政策和共享是漏洞治理的核心事务,如何更有效的治理也是众多研究人员所关心的问题,本文主要研究网络安全漏洞产业的企业分布来讨论规制因素及规制方法。首先归纳漏洞的基本特征以及漏洞产生的原因,通过划定漏洞的生命周期,对应于漏洞信息的发现、披露和利用等三个环节,借鉴漏洞产业的研究框架,描述漏洞产业化的发展过程,辅以归纳和预测漏洞产业可能的发展趋势,侧重将漏洞产业分为厂商、漏洞发现、漏洞平台及漏洞利用等四个部分逐步讨论可行的规制因素,最后提出漏洞产业的规制因素及规制方法建议。

关键词：漏洞漏洞生命周期漏洞产业产业规制

在线全文

学校读者我要写书评

暂无评论

自我安全评估在保障信息安全中的应用

计算机安全 2010年第11期 28-31页

作者：何秋萍谭彬邱岚梁业裕宁建创中国移动通信集团广西有限公司广西桂林530028

针对信息系统存在的安全问题,国内、国际均相继出台了安全防护的法规及制度。为消除企业财务欺诈行为,2002年美国出台的萨班斯(SOX)法案,明确提出了规避风险、完善企业内部控制(包括IT风险控制)的要求。国内自1994年也相继出台了信息系... 详细信息

针对信息系统存在的安全问题,国内、国际均相继出台了安全防护的法规及制度。为消除企业财务欺诈行为,2002年美国出台的萨班斯(SOX)法案,明确提出了规避风险、完善企业内部控制(包括IT风险控制)的要求。国内自1994年也相继出台了信息系统安全保护的相关法规及制度,包括2007年6月公安部、保密局、国密局、国信办联合出台43号文《信息安全等级保护管理办法》,对信息安全等级保护均提出了明确的要求。如何有效管理安全风险,及时有效发现网络中存在的安全隐患,已成为广西移动网管网络是否安全的关键所在。为此,通过技术手段对网管网络进行自我评估,能及时发现网络安全隐患并及时加固。

关键词：自我安全评估漏洞管理网络入侵检测系统日志分析漏洞生命周期