主页期刊介绍编委会编辑部服务介绍道德声明在线审稿编委办公编辑办公English
2018-2019年专刊出版计划 微信服务介绍 最新一期:2018年第12期
     
在线出版
各期目录
纸质出版
分辑系列
论文检索
论文排行
综述文章
专刊文章
美文分享
各期封面
E-mail Alerts
RSS
旧版入口
中国科学院软件研究所
  
投稿指南 问题解答 下载区 收费标准 在线投稿
胡浩,叶润国,张红旗,常德显,刘玉岭,杨英杰.面向漏洞生命周期的安全风险度量方法.软件学报,2018,29(5):1213-1229
面向漏洞生命周期的安全风险度量方法
Vulnerability Life Cycle Oriented Security Risk Metric Method
投稿时间:2017-07-05  修订日期:2017-08-29
DOI:10.13328/j.cnki.jos.005507
中文关键词:  风险度量  漏洞生命周期  随机模型  吸收Markov链  动态评估
英文关键词:security metric  vulnerability life cycle  stochastic model  absorbing Markov chain  dynamic evaluation
基金项目:国家重点研发计划项目(2016YFF0204002,2016YFF0204003);“十三五”装备预研领域基金(6140002020115);CCF-启明星辰“鸿雁”科研计划基金(2017003);郑州市科技领军人才项目(131PLJRC644);蚂蚁金服科研基金
作者单位E-mail
胡浩 信息工程大学 三院, 河南 郑州 450001
河南省信息安全重点实验室(信息工程大学), 河南 郑州 450001 
wjjhh_908@163.com 
叶润国 中国电子技术标准化研究院, 北京 100007  
张红旗 信息工程大学 三院, 河南 郑州 450001
河南省信息安全重点实验室(信息工程大学), 河南 郑州 450001 
 
常德显 信息工程大学 三院, 河南 郑州 450001
河南省信息安全重点实验室(信息工程大学), 河南 郑州 450001 
 
刘玉岭 中国科学院 软件研究所 可信计算与信息保障实验室, 北京 100190  
杨英杰 信息工程大学 三院, 河南 郑州 450001
河南省信息安全重点实验室(信息工程大学), 河南 郑州 450001 
 
摘要点击次数: 694
全文下载次数: 853
中文摘要:
      为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建了基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上,利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出了安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行了总结和分析.最后,以典型APT攻击场景中“WannaCry”勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.
英文摘要:
      In order to reflect the dynamic change of vulnerability security risk over time in an information system,this paper developed a life cycle stochastic model based on the absorbing Markov.The prior historical vulnerability information is used as the input.Then the state transition probability matrix of vulnerability life cycle is constructed.Specifically,the state evolution process is simulated in the dimension of time using matrix deduction.Meanwhile,the common vulnerability scoring system (CVSS) is utilized to measure the threat impact of vulnerabilities in the network system.Furthermore,a quantitative risk method to measure security vulnerability in terms of time dimension is provided to analyze some probability evolution rules with respect to the states of vulnerability life cycle.Finally,the exploits by the ransomware "WannaCry" in a typical APT attack scenario are taken as an example to verify the rationality and validity of the presented model and method.
HTML  下载PDF全文  查看/发表评论  下载PDF阅读器
 

京公网安备 11040202500064号

主办单位:中国科学院软件研究所 中国计算机学会
编辑部电话:+86-10-62562563 E-mail: jos@iscas.ac.cn
Copyright 中国科学院软件研究所《软件学报》版权所有 All Rights Reserved
本刊全文数据库版权所有,未经许可,不得转载,本刊保留追究法律责任的权利