CN101950338A - 一种基于层次化漏洞威胁评估的漏洞修复方法 - Google Patents
一种基于层次化漏洞威胁评估的漏洞修复方法 Download PDFInfo
- Publication number
- CN101950338A CN101950338A CN 201010281035 CN201010281035A CN101950338A CN 101950338 A CN101950338 A CN 101950338A CN 201010281035 CN201010281035 CN 201010281035 CN 201010281035 A CN201010281035 A CN 201010281035A CN 101950338 A CN101950338 A CN 101950338A
- Authority
- CN
- China
- Prior art keywords
- leak
- value
- attack
- bug
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于层次化漏洞威胁评估的漏洞修复方法。本方法为:1)提取目标系统的若干信息安全属性、一待测漏洞和漏洞在利用过程所需要的攻击条件;2)对该漏洞进行攻击,记录其被利用过程中所需攻击条件的取值,以及被利用成功后造成的损失程度;3)根据损失程度得到该漏洞的定性等级分值;4)根据所需攻击条件的取值,得到该漏洞的攻击利用分值;5)根据攻击利用分值和定性等级分值,得到该漏洞的定量评分分值;6)根据待测漏洞的定量评分分值确定漏洞的处理顺序,对漏洞进行修复。该方法结合定性和定量漏洞评估方法的优点,在直观给出漏洞威胁程度的基础上,尽可能的将漏洞划分得更加细致,进而为用户在修复大量漏洞时提供帮助。
Description
技术领域
本发明主要属于漏洞威胁评估领域,涉及一种漏洞修复方法,特别涉及到一种基于层次化漏洞威胁评估的漏洞修复方法。
背景技术
漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统造成损害,从而影响构建于计算机信息系统之上正常服务的运行。近年来,对我国政治、经济和社会造成危害的计算机病毒、蠕虫、木马和黑客攻击等安全威胁,绝大多数都是恶意主体通过漏洞达到传播、破坏、窃密等目的的。
随着漏洞数量的日趋增加,攻击行为的日趋复杂,防火墙、入侵监测系统等网络安全设备并不能完全抵御各种各样的攻击形式,这使得及时了解并修复已知漏洞变得尤为重要。如果用户对漏洞的危害程度不能很好的区分,那么最先修复的漏洞很可能是无关紧要,而最后安装补丁的却是高危漏洞,就可能导致整个网络暴露于危险之中。漏洞威胁评估方法能够根据漏洞的有关属性,将大量的漏洞根据其危害程度区分开来,进而保证危害最为严重的漏洞优先得到修复。
目前,国内外存在两种类型的漏洞评级方法:定性评级和定量评分。定性评级即根据漏洞威胁评级要素,给漏洞确定一个威胁级别,例如:高、中、低三个级别;定量评分则根据既定的评分因素,给漏洞确定一个威胁分值,例如范围在0-10之间的任意整数。以微软为代表的大多数厂商都是从各自不同的角度对产品漏洞进行定性的评估,最终确定漏洞的威胁级别。微软根据危害程度将漏洞划分为紧急、重要、中、低四个级别。美国基础设施顾问委员会NIAC(National Iranian American Council)于2004年提出的CVSS(Common Vulnerability Scoring System),是一种定量的漏洞威胁评估方法,旨在建立一种通用的漏洞威胁评估系统,然后根据分值高低,对漏洞进行顺序修复。CVSS根据漏洞的基本特征,将漏洞的危害程度定量的评定为一个介于0-10之间的分值,然后根据分值高低,对漏洞进行顺序修复。
定性评级能够直观的给出漏洞的威胁程度,定量评分能够把漏洞根据其危害程度细分。然而正是定性和定量这两种不同的漏洞威胁评估方法,导致了目前漏洞评估“各自为政”的局面;同时现有的技术均是将所有评级要素结合在一起并直接得出最终的评级或评分结果,而这种非层次化的漏洞评估方法在一定程度上无法将漏洞更加细致的划分。因此,结合定性评级和定性评分的优点,制定先定性评级后定量评分的层次化的漏洞威胁评估方法得到一分值,然后根据漏洞分值高低,对漏洞进行顺序修复,是十分必要的。
发明内容
本发明的目的在于提出一种基于层次化漏洞威胁评估的漏洞修复方法。该方法能够结合定性和定量两种漏洞评估方法的优点,尽可能的将漏洞更加细致的划分,进而为用户在修复大量漏洞时提供帮助。
针对上述问题,本发明的解决方案是:首先,根据漏洞对目标系统信息安全属性的影响程度对漏洞进行定性的评级;然后,基于漏洞定性评级结果和漏洞在利用过程中的各种条件,对漏洞危害程度作进一步的定量评分,最后根据漏洞分值高低,对漏洞进行顺序修复。其中定性评级和定性评分过程分别选用不同的评估要素对漏洞进行威胁评估。
本发明包括定性评级和定量评分两个层次,其体系结构如图1所示。本发明中的定性评级通过分析漏洞对目标系统信息安全属性的影响程度,进而得到漏洞定性评级级别。定性评级的具体方法如下:
1)分析漏洞在被利用成功之后,目标系统“机密性”、“完整性”、“可用性”等信息安全属性的损失程度。漏洞利用成功之后对目标信息安全属性的影响是评估漏洞威胁的最重要的因素。
2)根据目标系统“机密性”、“完整性”、“可用性”等属性受影响的程度,得出该漏洞的“定性等级分值”。
3)根据“定性等级分值”进而得到“定性评级级别结果”,例如“高”、“中”和“低”三个级别。
具体的,“机密性”、“完整性”和“可用性”与漏洞威胁的映射关系可以描述为类似于表1-表4的形式,表1中涉及到的关键内容介绍如下:
1)机密性指只有授权的实体才可以访问信息。机密性影响有三种可能的取值:完全、部分和无,取值方法如表2所示。
2)完整性意为确保文件等信息内容不会被未授权实体所更改,并且确保被授权用户所更改信息是可靠的。完整性影响有三种可能的取值:完全、部分和无,取值方法如表3所示。
3)可用性则说明资源能够根据需要随时获取,可用性影响同样包含三种可能的取值:完全、部分和无,取值方法如表4所示。
4)定性等级分值是一个范围在0-9的自然数,由机密性影响、完整性影响和可用性影响三者组合项的取值共同决定,是定性评级过程的中间结果。机密性影响、完整性影响和可用性影响三者均有“完全、部分、无”三种可能的取值,因此的三种影响的组合项则共有27种可能的取值,即表1中的27中情况。
5)定性评级级别是漏洞定性评级过程的最终结果。表1中包含“高”、“中”和“低”三种定性评级级别。表1将定性等级分值为6、7、8、9的10种组合项取值情况评级为“高”;将定性等级分值为2、3、4、5的13种组合项取值情况评级为“中”;将定性等级分值为0、1的4种组合项取值情况评级为“低”。
表1漏洞定性评级级别映射表
表2机密性影响取值方法
| 影响程度 | 影响程度描述 |
| 无 | 对系统的机密性没有造成影响。 |
| 部分 | 攻击者有可能访问某些系统文件。 |
| 完全 | 攻击者能够阅读系统的全部数据(内存、文件等)。 |
表3完整性影响取值方法
| 影响程度 | 影响程度描述 |
| 无 | 对系统的完整性没有造成影响。 |
| 部分 | 攻击者可能修改或泄漏某些系统文件。 |
| 完全 | 攻击者能够在目标系统上修改任意文件。 |
表4可用性影响取值方法
| 影响程度 | 影响程度描述 |
| 无 | 对系统的可用性没有影响。 |
| 部分 | 攻击者能够使得资源有性能的降低或者中断。 |
| 完全 | 攻击者能够使资源完全不可用。 |
本发明中定量的评分即通过分析攻击者在利用漏洞进行攻击过程,并将定性评级过程中的中间结果“定性等级分值”与“攻击利用分值”相结合,对漏洞威胁程度作进一步的定量评分。定量评分的具体方法如下:
1)分析漏洞在被利用过程之中,所需要的各种攻击条件,例如攻击范围、攻击复杂度、攻击认证次数、用户交互属性等等。漏洞在利用过程中的攻击条件是制约漏洞成功利用的关键因素。
2)根据漏洞被攻击时所需要的攻击条件攻击,通过某种计算方法,例如公式(1),得出漏洞的“攻击利用分值”。
3)基于定性评级过程中的“定性等级分值”,通过某种计算方法,例如公式(2),将“攻击利用分值”与“定性等级分值”相结合,最终得到“定量评分分值”。
攻击利用分值=2×攻击范围×攻击复杂度×认证次数×用户交互 公式(1)
定量评分分值=定性等级分值+攻击利用分值 公式(2)
具体的,在定量评分过程中,公式(1)中“攻击范围”、“攻击复杂度”、“认证次数”和“用户交互”的取值方式可以描述为类似于表5-表9的形式。表5中涉及到的关键内容介绍如下:
1)攻击范围说明攻击可以利用漏洞进行攻击的目标主机的位置,可以攻击主机的位置越远,那么该漏洞的威胁就越大。攻击范围有三种可能的取值:本地、邻接和远程,取值方法如表6所示。
2)攻击复杂度用来度量攻击者想要利用该漏洞所需要条件的难易程度。攻击所需要条件的难度越低,漏洞威胁越大。攻击复杂度有三种可能的取值:高、中和低,取值方法如表7所示。
3)攻击认证次数说明了攻击者想要利用漏洞必须对目标进行认证的次数,攻击者被要求认证的次数越少,漏洞威胁越大。攻击认证次数有三种可能的取值:无、单次和多次,取值方法如表8所示。
4)用户交互属性说明了攻击者在攻击过程中,是否需要受害用户的参与才能最终完成漏洞的利用过程,例如用户点击某个网页或者文件才能触发漏洞。用户交互属性有两种可能的取值:需要和不需要,不需要用户交互的漏洞威胁更大,取值方法如表9所示。
表5漏洞攻击利用属性取值表
| 漏洞利用属性 | 属性选项 | 取值 |
| 攻击范围 | 本地/邻接/远程 | 0.395/0.646/1.000 |
| 攻击复杂度 | 高/中/低 | 0.350/0.610/0.710 |
| 攻击认证次数 | 无/单次/多次 | 0.704/0.560/0.450 |
| 用户交互 | 需要/不需要 | 0.800/1.000 |
表6攻击范围取值方法
| 范围 | 范围描述 |
| 本地 | 攻击者仅仅可以在本地进行攻击。 |
| 邻接 | 攻击者可从邻近网络利用漏洞进行攻击。邻接网络的例子包括蓝牙、IEEE802.11和本地以太网。 |
| 远程 | 攻击者可从远程网络利用漏洞进行攻击。 |
表7攻击复杂度取值方法
| 复杂度 | 复杂度描述 |
| 高 | 攻击时存在专门的访问条件。例如:依赖于社会工程方法的攻击。 |
| 中 | 攻击条件存在专业化问题,例如:在攻击之前,必须得收集一些额外的信息。 |
| 低 | 攻击时不存在任何专门访问条件和专业化问题。 |
表8攻击认证次数取值方法
| 认证次数 | 认证次数描述 |
| 多次 | 攻击者在攻击过程中需要认证两次或多次,即使每次要求使用相同的认证。 |
| 单次 | 攻击者在攻击过程中仅需要一次认证过程。 |
| 无 | 攻击者利用漏洞时不需要进行认证。 |
表9用户交互取值方法
| 用户交互 | 用户交互描述 |
| 需要 | 攻击者在攻击过程中需要用户的参与,才能完成整个攻击过程。 |
| 不需要 | 攻击者在攻击过程中不需要用户的参与,即可完成整个攻击过程。 |
最后,根据漏洞分值高低,对漏洞进行顺序修复。
针对某一个具体的漏洞或安全问题发布的专门解决该漏洞或安全问题的小程序,通常称为补丁(或修补程序)。通过下载并安装针对该漏洞的补丁即可完成漏洞的修复。对于尚未发布补丁的漏洞,可以通过升级杀毒软件、入侵检测系统等安全工具,来增强系统的安全性。
本发明的积极效果为:
本发明的方法可以在直观的给出漏洞威胁程度的基础之上尽可能的将漏洞更加细致的划分,从而使高危的漏洞得到及时修复。表10中通过两个具体的漏洞实例CVE-2008-4250和CVE-2010-0108说明本发明的效果,其中CVE-2008-4250漏洞正是导致“扫荡波”蠕虫爆发的罪魁祸首,是最具危害性的漏洞。
中国国家安全漏洞库(http://www.nipc.org.cn)中采用的漏洞评估方法是一种典型的定性评级的方法,赋予这两个漏洞以“紧急”的威胁级别;美国国家漏洞库(http://nvd.nist.gov)中采用的漏洞评估方法是一种典型的定量评分的方法——CVSS,并赋予这两个漏洞以“10.0”的分值。由此得出,中国国家安全漏洞库和美国国家漏洞库中采用的漏洞评估方法都无法区分出这两个漏洞的威胁程度差异。本发明的方法分别赋予这两个漏洞“高/10.00”和“高/9.80”,其中“高”为定性的评级结果,“10.00”和“9.80”为定量的评分结果,即在普通用户直观的认知到该漏洞具有“高”的威胁级别的同时,又能够更加细致的区分出这两个漏洞中CVE-2008-4250比CVE-2010-0108更具有威胁性,从而帮助网络管理员做出准确的修复顺序判断,对漏洞进行修复。
随着漏洞数量的不断增加及各种基于漏洞攻击的出现,定性评级和定量评分相结合的层次化漏洞威胁评估方法确定漏洞修复,能够为目前国内外定性和定量两种漏洞威胁评估方法“各自为政”的形势打开一种新的局面,使得高危漏洞得到及时修复。因此本发明对保障我国的网络安全具有重大意义。
表10本发明方法与现有方法比较
| CVE编号 | 中国国家安全漏洞库 | 美国国家漏洞库 | 本发明方法 |
| CVE-2008-4250 | 紧急 | 10.0 | 高/10.00 |
| CVE-2010-0108 | 紧急 | 10.0 | 高/9.80 |
附图说明
图1是本发明的体系结构图;
图2是本发明中定性评级部分具体实施流程图;
图3是本发明中定量评分部分具体实施流程图。
具体实施方式
本发明包含定性评级和定量评分两个部分,下面参照附图并结合表1-表9及CVE编号为CVE-2008-4250的漏洞,对本发明的两个部分分别作进一步详细描述。编号为CVE-2008-4250的漏洞,描述了Windows系统中服务器服务在收到特制的RPC请求时存在的缓冲区溢出漏洞,远程攻击者可能利用此漏洞在目标上执行任意程序。
如图2所示,本发明的漏洞定性评级方法对CVE-2008-4250漏洞具体的实施流程包含以下步骤:
步骤201:分析漏洞对机密性的影响。由于该漏洞能够导致攻击者在目标上执行任意程序,因此,攻击者通过利用该漏洞能够阅读系统的全面数据。根据表2,该漏洞的“机密性影响”取值为“完全”。
步骤202:分析漏洞对完整性的影响。同样由于该漏洞能够导致攻击者在目标上执行任意程序,因此,攻击者通过利用该漏洞能够在目标系统上修改任意文件。根据表3,该漏洞的“完整性影响”取值为“完全”。
步骤203:分析漏洞对可用性的影响。类似的由于该漏洞能够导致攻击者在目标上执行任意程序,因此,攻击者通过利用该漏洞能够使得目标服务彻底的停止,进而使得资源完全不能使用。根据表4,该漏洞的“可用性影响”取值为“完全”。
步骤204:确定定性等级分值。通过步骤201、202和203的结果,得出机密性影响、完整性影响和可用性影响三者组合项的取值为:“完全-完全-完全”。根据表1,该情况符合表1的第1种取值情况,因此CVE-2008-4250的“定性等级分值”为“9”。
步骤205:确定定性评级级别。根据步骤204的结果,得到CVE-2008-4250的“定性等级分值”为“9”。再次查询表1,得到CVE-2008-4250的“定性评级级别”为“高”。针对CVE-2008-4250的定性评级过程结束。
如图3所示,本发明的漏洞定量评分方法对CVE-2008-4250漏洞的具体实施流程包括以下步骤:
步骤301:确定攻击范围。CVE-2008-4250描述中提到“远程”攻击者可能利用此漏洞在目标上执行任意程序。因此,根据表6,该漏洞的“攻击范围”取值为“远程”。通过查询表5可以得到“远程”的取值为1.0
步骤302:确定攻击复杂度。CVE-2008-4250描述中提到该漏洞是一个缓冲区溢出,而对于缓冲区溢出漏洞,目标系统一旦确定,攻击者就可能随意发起一个攻击,攻击时不存在任何专门访问条件和专业化问题。因此,根据表7,该漏洞的“攻击复杂度”取值为“低”。通过查询表5得到“低”的取值为0.71
步骤303:确定攻击认证次数。CVE-2008-4250是Windows系统服务器服务中存在的一个漏洞,而服务器在使用时不要求用户认证,因此攻击者在攻击过程中不需要进行认证。根据表8,该漏洞的“认证次数”取值为“无”。通过查询表5得到“无”的取值为0.704
步骤304:确定用户交互。CVE-2008-4250是Windows服务器服务中存在的一个缓冲区溢出漏洞,因此攻击者在攻击过程中不需要用户的交互即可完成攻击过程。根据表9,该漏洞的“用户交互”取值为“不需要”。通过查询表5得到“不需要”的取值为1.0
步骤305:计算攻击利用分值。通过步骤301、302、303、304的结果,根据公式(1)得出“攻击利用分值”的值为2*1.0*0.71*0.704*1.0=1.00(小数点后精确到2位)。
步骤306:计算定量评分分值。基于步骤204和305的结果:CVE-2008-4250的“定性等级分值”为“9”,“攻击利用分值”的值为1.00,根据公式(2)得到最终的“定量评分分值”为10.00,针对CVE-2008-4250的定量评分的过程结束。
最后,由于该漏洞分值为10,将其确定为最危险漏洞,优先对该漏洞进行修复。微软为该漏洞提供了编号为MS08-067的补丁,系统管理员下载并自动安装该补丁即可修复漏洞。补丁下载地址为:http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx。
Claims (10)
1.一种基于层次化漏洞威胁评估的漏洞修复方法,其步骤为:
1)提取目标系统的若干信息安全属性、一待测漏洞和漏洞在利用过程所需要的攻击条件;
2)对待测漏洞进行攻击,记录该待测漏洞被利用过程中所需攻击条件的取值,以及该待测漏洞被利用成功后对所选信息安全属性造成的损失程度;
3)根据记录的所选信息安全属性造成的损失程度,得到该待测漏洞的定性等级分值;
4)根据记录的所需攻击条件的取值,得到该待测漏洞的攻击利用分值;
5)根据所述攻击利用分值和所述定性等级分值,得到该待测漏洞的定量评分分值;
6)根据待测漏洞的定量评分分值确定漏洞的处理顺序,对漏洞进行修复。
2.如权利要求1所述的方法,其特征在于所述信息安全属性包括:机密性、完整性、可用性;其中:机密性损失程度的取值分别为;完全、部分、无,完整性损失程度的取值分别为:完全、部分、无,可用性损失程度的取值分别为:完全、部分、无。
3.如权利要求1或2所述的方法,其特征在于将所述定性等级分值划分为若干区间,每一取值区间对应一定性级别;然后根据所述定性等级分值返回该待测漏洞对应的定性级别。
4.如权利要求3所述的方法,其特征在于所述定性级别包括高级、中级、低级。
5.如权利要求1或2所述的方法,其特征在于所述所需的攻击条件包括:攻击范围、攻击复杂度、攻击认证次数、用户交互;其中,攻击范围的属性包括:本地、邻接、远程,且每一属性对应一取值;攻击复杂度的属性包括:高、中、低,且每一属性对应一取值;攻击认证次数的属性包括:无、单次、多次,且每一属性对应一取值;用户交互的属性包括:需要、不需要,且每一属性对应一取值。
6.如权利要求5所述的方法,其特征在于属性值的取值范围为0.000~1.000;所述定性等级分值取值范围为0~9。
7.如权利要求6所述的方法,其特征在于所述攻击范围的属性取值分别为:0.395、0.646、1.000;所述攻击复杂度的属性取值分别为:0.350、0.610、0.710;所述攻击认证次数的属性取值分别为:0.704、0.560、0.450;所述用户交互的属性取值分别为:0.800/1.000。
8.如权利要求7所述的方法,其特征在于得到该待测漏洞的攻击利用分值的公式为:攻击利用分值=2×攻击范围×攻击复杂度×认证次数×用户交互。
9.如权利要求8所述的方法,其特征在于得到该待测漏洞的定量评分分值的公式为:定量评分分值=定性等级分值+攻击利用分值。
10.如权利要求5所述的方法,其特征在于所述邻接包括:蓝牙、本地以太网。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010281035 CN101950338A (zh) | 2010-09-14 | 2010-09-14 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
| PCT/CN2010/078492 WO2012034304A1 (zh) | 2010-09-14 | 2010-11-08 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010281035 CN101950338A (zh) | 2010-09-14 | 2010-09-14 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101950338A true CN101950338A (zh) | 2011-01-19 |
Family
ID=43453837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010281035 Pending CN101950338A (zh) | 2010-09-14 | 2010-09-14 | 一种基于层次化漏洞威胁评估的漏洞修复方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101950338A (zh) |
| WO (1) | WO2012034304A1 (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN103177213A (zh) * | 2011-12-20 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
| CN103198013A (zh) * | 2013-02-27 | 2013-07-10 | 中国信息安全测评中心 | 基于损失量的软件强安全性度量方法 |
| CN105763575A (zh) * | 2016-05-17 | 2016-07-13 | 北京智言金信信息技术有限公司 | 一种基于漏洞状态的漏洞控制方法 |
| CN106649429A (zh) * | 2016-08-25 | 2017-05-10 | 北京知道未来信息技术有限公司 | 一种基于多维统计的漏洞危害等级快速评估方法和装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107194259A (zh) * | 2017-04-14 | 2017-09-22 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
| CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
| CN107967427A (zh) * | 2017-12-11 | 2018-04-27 | 北京奇虎科技有限公司 | 监测漏洞攻击的方法、装置及终端设备 |
| CN109376537A (zh) * | 2018-11-06 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于多因子融合的资产评分方法及系统 |
| CN109547401A (zh) * | 2017-09-21 | 2019-03-29 | 通用汽车环球科技运作有限责任公司 | 网络安全漏洞优先化和修复 |
| CN110472839A (zh) * | 2019-07-25 | 2019-11-19 | 上海电力大学 | 基于sa-pso-ahp的火电厂控制系统信息安全评估系统 |
| CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
| CN110807196A (zh) * | 2019-10-30 | 2020-02-18 | 国汽(北京)智能网联汽车研究院有限公司 | 一种车联网漏洞众测系统 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
| CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN111290963A (zh) * | 2020-03-03 | 2020-06-16 | 思客云(北京)软件技术有限公司 | 对源代码缺陷划分级别方法、设备和计算机可读存储介质 |
| CN111666573A (zh) * | 2020-06-04 | 2020-09-15 | 杭州安恒信息技术股份有限公司 | 网站系统漏洞等级评估的方法、装置和计算机设备 |
| CN111800427A (zh) * | 2020-07-08 | 2020-10-20 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN111818007A (zh) * | 2020-05-13 | 2020-10-23 | 中国科学院软件研究所 | 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置 |
| CN112131574A (zh) * | 2020-09-16 | 2020-12-25 | 上海中通吉网络技术有限公司 | 信息安全漏洞等级确定方法、系统及设备 |
| CN112862236A (zh) * | 2020-12-28 | 2021-05-28 | 中国信息安全测评中心 | 一种安全漏洞处理方法及装置 |
| CN113268738A (zh) * | 2021-05-08 | 2021-08-17 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN113626825A (zh) * | 2021-07-21 | 2021-11-09 | 南京星云数字技术有限公司 | 一种安全漏洞管控方法、装置、设备及计算机可读介质 |
| CN113709097A (zh) * | 2021-07-05 | 2021-11-26 | 北京邮电大学 | 网络风险感知方法及防御方法 |
| CN113806736A (zh) * | 2021-08-23 | 2021-12-17 | 北京天融信网络安全技术有限公司 | 一种基于拟态入侵的漏洞检测方法、系统及其存储介质 |
| CN113821802A (zh) * | 2021-09-30 | 2021-12-21 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
| WO2024131206A1 (zh) * | 2022-12-21 | 2024-06-27 | 中电信数智科技有限公司 | 一种优化漏洞修复优先级的方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000070463A1 (en) * | 1999-05-14 | 2000-11-23 | L-3 Communications Corporation | Apparatus and methods for analyzing multiple network security vulnerabilities |
| CN101674302A (zh) * | 2009-09-25 | 2010-03-17 | 联想网御科技(北京)有限公司 | 对信息系统进行安全性识别的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1282081C (zh) * | 2003-08-04 | 2006-10-25 | 联想(北京)有限公司 | 一种入侵检测方法 |
| CN100403691C (zh) * | 2005-11-17 | 2008-07-16 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN101420442B (zh) * | 2008-12-11 | 2012-05-16 | 北京航空航天大学 | 基于博弈理论的网络安全风险评估系统 |
| CN101526984B (zh) * | 2009-03-16 | 2012-05-30 | 腾讯科技(北京)有限公司 | 一种修复漏洞的方法及装置 |
-
2010
- 2010-09-14 CN CN 201010281035 patent/CN101950338A/zh active Pending
- 2010-11-08 WO PCT/CN2010/078492 patent/WO2012034304A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000070463A1 (en) * | 1999-05-14 | 2000-11-23 | L-3 Communications Corporation | Apparatus and methods for analyzing multiple network security vulnerabilities |
| CN101674302A (zh) * | 2009-09-25 | 2010-03-17 | 联想网御科技(北京)有限公司 | 对信息系统进行安全性识别的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 《中国优秀硕士学位论文全文数据库》 20090215 王秋艳 通用安全漏洞评级研究 1-9 , 2 * |
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413011A (zh) * | 2011-11-18 | 2012-04-11 | 奇智软件(北京)有限公司 | 一种局域网安全评估的方法和系统 |
| CN103177213A (zh) * | 2011-12-20 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
| CN103177213B (zh) * | 2011-12-20 | 2016-01-20 | 腾讯科技(深圳)有限公司 | 一种软件漏洞修复方法及系统 |
| CN103198013A (zh) * | 2013-02-27 | 2013-07-10 | 中国信息安全测评中心 | 基于损失量的软件强安全性度量方法 |
| CN103198013B (zh) * | 2013-02-27 | 2015-11-04 | 中国信息安全测评中心 | 基于损失量的软件安全性预测方法 |
| CN105763575A (zh) * | 2016-05-17 | 2016-07-13 | 北京智言金信信息技术有限公司 | 一种基于漏洞状态的漏洞控制方法 |
| CN105763575B (zh) * | 2016-05-17 | 2019-05-10 | 北京智言金信信息技术有限公司 | 一种基于漏洞状态的漏洞控制方法 |
| CN106649429A (zh) * | 2016-08-25 | 2017-05-10 | 北京知道未来信息技术有限公司 | 一种基于多维统计的漏洞危害等级快速评估方法和装置 |
| CN106649429B (zh) * | 2016-08-25 | 2019-09-17 | 北京知道未来信息技术有限公司 | 一种基于多维统计的漏洞危害等级快速评估方法和装置 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN106790190B (zh) * | 2016-12-30 | 2019-11-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107194259A (zh) * | 2017-04-14 | 2017-09-22 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
| CN107194259B (zh) * | 2017-04-14 | 2019-06-28 | 华中科技大学 | 一种基于攻击过程的漏洞严重度综合评估方法和系统 |
| CN107292178A (zh) * | 2017-05-12 | 2017-10-24 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
| CN107292178B (zh) * | 2017-05-12 | 2020-12-01 | 北京计算机技术及应用研究所 | 一种基于多层次影响因子的安全漏洞威胁量化方法 |
| CN109547401A (zh) * | 2017-09-21 | 2019-03-29 | 通用汽车环球科技运作有限责任公司 | 网络安全漏洞优先化和修复 |
| CN109547401B (zh) * | 2017-09-21 | 2021-07-06 | 通用汽车环球科技运作有限责任公司 | 网络安全漏洞优先化和修复 |
| CN107967427A (zh) * | 2017-12-11 | 2018-04-27 | 北京奇虎科技有限公司 | 监测漏洞攻击的方法、装置及终端设备 |
| CN110489970A (zh) * | 2018-05-14 | 2019-11-22 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
| CN110489970B (zh) * | 2018-05-14 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
| CN109376537A (zh) * | 2018-11-06 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种基于多因子融合的资产评分方法及系统 |
| CN110472839A (zh) * | 2019-07-25 | 2019-11-19 | 上海电力大学 | 基于sa-pso-ahp的火电厂控制系统信息安全评估系统 |
| CN110807196A (zh) * | 2019-10-30 | 2020-02-18 | 国汽(北京)智能网联汽车研究院有限公司 | 一种车联网漏洞众测系统 |
| CN111147491A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 一种漏洞修复方法、装置、设备及存储介质 |
| CN110830518A (zh) * | 2020-01-08 | 2020-02-21 | 浙江乾冠信息安全研究院有限公司 | 溯源分析方法、装置、电子设备及存储介质 |
| CN111290963A (zh) * | 2020-03-03 | 2020-06-16 | 思客云(北京)软件技术有限公司 | 对源代码缺陷划分级别方法、设备和计算机可读存储介质 |
| CN111818007B (zh) * | 2020-05-13 | 2021-08-31 | 中国科学院软件研究所 | 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置 |
| CN111818007A (zh) * | 2020-05-13 | 2020-10-23 | 中国科学院软件研究所 | 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置 |
| CN111666573A (zh) * | 2020-06-04 | 2020-09-15 | 杭州安恒信息技术股份有限公司 | 网站系统漏洞等级评估的方法、装置和计算机设备 |
| CN111800427B (zh) * | 2020-07-08 | 2022-04-29 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN111800427A (zh) * | 2020-07-08 | 2020-10-20 | 华北电力科学研究院有限责任公司 | 一种物联网设备评估方法、装置及系统 |
| CN112131574A (zh) * | 2020-09-16 | 2020-12-25 | 上海中通吉网络技术有限公司 | 信息安全漏洞等级确定方法、系统及设备 |
| CN112862236A (zh) * | 2020-12-28 | 2021-05-28 | 中国信息安全测评中心 | 一种安全漏洞处理方法及装置 |
| CN113268738B (zh) * | 2021-05-08 | 2022-10-04 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN113268738A (zh) * | 2021-05-08 | 2021-08-17 | 上海智能网联汽车技术中心有限公司 | 一种智能汽车信息安全漏洞的评估方法及系统 |
| CN113709097A (zh) * | 2021-07-05 | 2021-11-26 | 北京邮电大学 | 网络风险感知方法及防御方法 |
| CN113626825A (zh) * | 2021-07-21 | 2021-11-09 | 南京星云数字技术有限公司 | 一种安全漏洞管控方法、装置、设备及计算机可读介质 |
| CN113806736A (zh) * | 2021-08-23 | 2021-12-17 | 北京天融信网络安全技术有限公司 | 一种基于拟态入侵的漏洞检测方法、系统及其存储介质 |
| CN113806736B (zh) * | 2021-08-23 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 一种基于拟态入侵的漏洞检测方法、系统及其存储介质 |
| CN113821802A (zh) * | 2021-09-30 | 2021-12-21 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
| CN113821802B (zh) * | 2021-09-30 | 2024-05-07 | 中国电子信息产业集团有限公司第六研究所 | 一种安全风险评估方法、装置、电子设备及存储介质 |
| WO2024131206A1 (zh) * | 2022-12-21 | 2024-06-27 | 中电信数智科技有限公司 | 一种优化漏洞修复优先级的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012034304A1 (zh) | 2012-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101950338A (zh) | 一种基于层次化漏洞威胁评估的漏洞修复方法 | |
| Nayak et al. | Some vulnerabilities are different than others: Studying vulnerabilities and attack surfaces in the wild | |
| CN104301302B (zh) | 越权攻击检测方法及装置 | |
| Younis et al. | Using attack surface entry points and reachability analysis to assess the risk of software vulnerability exploitability | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN106060043A (zh) | 一种异常流量的检测方法及装置 | |
| US20170213037A1 (en) | Security risk scoring of an application | |
| CN111581643B (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| KR101640479B1 (ko) | 소스코드기반 소프트웨어 취약점 공격행위 분석시스템 | |
| US10917422B2 (en) | Digital auditing system and method for detecting unauthorized activities on websites | |
| CN106997437B (zh) | 一种系统漏洞防护方法和装置 | |
| Zalewski et al. | Threat modeling for security assessment in cyberphysical systems | |
| CN111818055B (zh) | 基于动态反馈的网络攻击路径分析方法 | |
| CN110289995A (zh) | 基于利用属性攻击图的社交网络行为监控方法及装置 | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN104766016A (zh) | 一种基于系统调用短序列的软件漏洞检测方法 | |
| CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
| CN111460459A (zh) | 风险信息的处理方法和装置 | |
| CN101901183A (zh) | 一种过滤测试用例的方法及装置 | |
| CN114928500B (zh) | 数据注入使能的电网网络参数的攻击检测方法及装置 | |
| CN115913756A (zh) | 一种基于已知漏洞条目的网络设备漏洞验证方法 | |
| Chandra et al. | Object Oriented Software Security Estimation Life Cycle: Design phase perspective | |
| WO2023042192A1 (en) | A top-down cyber security system and method | |
| CN109992964A (zh) | 一种基于工业互联网的数据防护方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110119 |