CN110807196B - 一种车联网漏洞众测系统 - Google Patents

一种车联网漏洞众测系统 Download PDF

Info

Publication number
CN110807196B
CN110807196B CN201911046320.XA CN201911046320A CN110807196B CN 110807196 B CN110807196 B CN 110807196B CN 201911046320 A CN201911046320 A CN 201911046320A CN 110807196 B CN110807196 B CN 110807196B
Authority
CN
China
Prior art keywords
environment
vulnerability
basic
influence
evaluation unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911046320.XA
Other languages
English (en)
Other versions
CN110807196A (zh
Inventor
王建
李玉洲
彭晶
张宁
李强
秦洪懋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guoqi Beijing Intelligent Network Association Automotive Research Institute Co ltd
Original Assignee
Guoqi Beijing Intelligent Network Association Automotive Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guoqi Beijing Intelligent Network Association Automotive Research Institute Co ltd filed Critical Guoqi Beijing Intelligent Network Association Automotive Research Institute Co ltd
Priority to CN201911046320.XA priority Critical patent/CN110807196B/zh
Publication of CN110807196A publication Critical patent/CN110807196A/zh
Application granted granted Critical
Publication of CN110807196B publication Critical patent/CN110807196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种车联网漏洞众测系统,包括:交互模块,配置为使白帽子用户与所述车联网漏洞众测系统交互;审核模块,审核模块包括筛选单元、基础分评价单元以及环境分评价单元,其中基础分评价单元配置为根据基础可利用度指标和基础影响度指标计算得到基础评价分值,环境分评价单元配置为根据环境可利用度指标和环境影响度指标计算得到环境评价分值,漏洞的总评分为基础评价分值或环境评价分值;等级确认模块,配置为根据漏洞的总评分确认提交的漏洞的等级;存储模块,配置为将定级后的漏洞进行存储收录。通过设置交互和审核等模块,以实现车联网漏洞的众测,并对漏洞进行筛选并分析评价,为系统呈现威胁分布情况,以提前预防或警报。

Description

一种车联网漏洞众测系统
技术领域
本发明涉及车联网数据安全技术领域,特别涉及一种车联网漏洞众测系统。
背景技术
伴随着车联网的快速发展,以导航、娱乐以及车身数据传输等服务为基础所延伸出来的多项服务,为车联网注入活力的同时也带来了另一类危机。信息篡改、信息泄露以及其他针对于汽车信息安全的漏洞攻击等越来越多,而对车联网漏洞风险的发现和修复等技术不成熟且比较分散,因此可能对车联网的信息安全造成比较大的影响。
目前市场上的漏洞检测系统都是在单个平台提交漏洞然后处理,只完成了预警、检测和修复三大漏洞处理步骤,而没有对漏洞出现的情况进行统计分析,则无法对漏洞攻击引起的威胁分布提前呈现并预警。并且,目前车联网领域的安全众测需求迫切,市面上鲜少有可支持众测业务的系统平台。安全众测作为一种新的业务模式,能够汇聚精英白帽子和安全企业等社会安全力量,提升车联网行业发展的安全性。
因此有必要提供一种车联网漏洞众测系统,以实现众测用户能提交漏洞,且能对提交的漏洞进行分析,并为系统呈现威胁分布情况。
发明内容
本发明的目的在于提供一种车联网漏洞众测系统,以实现众测用户能提交漏洞,且能对提交的漏洞进行分析,并为系统呈现威胁分布情况。
为了解决现有技术中存在的问题,本发明提供了一种车联网漏洞众测系统,包括:
交互模块,配置为使白帽子用户与所述车联网漏洞众测系统交互,并提交漏洞至所述车联网漏洞众测系统;
审核模块,所述审核模块包括筛选单元、基础分评价单元以及环境分评价单元,其中所述基础分评价单元配置为根据基础可利用度指标和基础影响度指标计算得到基础评价分值,所述环境分评价单元配置为根据环境可利用度指标和环境影响度指标计算得到环境评价分值,当环境没有发生改变时,所述基础评价分值为漏洞的总评分,当环境发生改变时,所述环境评价分值为漏洞的总评分;
等级确认模块,配置为根据漏洞的总评分确认提交的漏洞的等级;
存储模块,配置为将定级后的漏洞进行存储收录。
可选的,在所述车联网漏洞众测系统中,所述交互模块配置为采用API接口使所述白帽子用户接入所述车联网漏洞众测系统,并通过所述API接口输入或输出所述漏洞。
可选的,在所述车联网漏洞众测系统中,所述交互模块还配置有漏洞提交模板,所述漏洞提交模板中的待填项包括厂商信息、汽车信息、零部件厂商名称、安全隐患标题以及安全隐患描述信息。
可选的,在所述车联网漏洞众测系统中,所述筛选单元配置为根据所述车联网漏洞众测系统的标准或类型筛选掉不符合标准或类型的漏洞。
可选的,在所述车联网漏洞众测系统中,在所述基础分评价单元中,还包括基础影响范围的判定,若漏洞基础影响范围仅限于被测试范围,则判定基础分评价单元作用域固定不变;若漏洞基础影响范围超出被测试范围,则判定基础分评价单元作用域发生变化。
可选的,在所述车联网漏洞众测系统中,所述基础分评价单元中,所述基础可利用度指标根据基础攻击向量、基础攻击复杂度、基础权限要求以及基础用户交互得到,所述基础影响度指标根据基础机密性影响、基础完整性影响以及基础可用性影响得到。
可选的,在所述车联网漏洞众测系统中,在所述环境分评价单元中,还包括环境影响范围的判定,若漏洞环境影响范围仅限于被测试范围,则判定环境分评价单元作用域固定不变;若漏洞环境影响范围超出被测试范围,则判定环境分评价单元作用域发生变化。
可选的,在所述车联网漏洞众测系统中,所述环境分评价单元中,所述环境可利用度指标根据环境攻击向量、环境攻击复杂度、环境权限需求以及环境用户交互得到,所述环境影响度指标根据环境机密性影响、环境机密性需求、环境完整性影响、环境完整性需求、环境可用性影响以及环境可用性需求得到。
可选的,在所述车联网漏洞众测系统中,所述等级确认模块配置为根据等级进行奖励。
可选的,在所述车联网漏洞众测系统中,所述存储模块配置为采用API接口将所述车联网漏洞众测系统中的审核结果传递给漏洞库。
在本发明所提供的车联网漏洞众测系统中,通过设置交互模块,使白帽子用户与所述车联网漏洞众测系统交互,并可以提交漏洞至所述车联网漏洞众测系统,从而能汇聚精英白帽子等社会安全力量,实现车联网漏洞的众测;通过设置审核模块、等级确认模块以及存储模块,对外界提交的关于车联网的所有漏洞进行筛选并分析评价,将分析评价后的所有漏洞存储收录,并为系统呈现威胁分布情况,以提前预防或警报。
附图说明
图1为本发明实施例提供的车联网漏洞众测系统的模块图。
具体实施方式
下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
现有漏洞检测系统都是在单个平台提交漏洞然后处理,只完成了预警、检测和修复三大漏洞处理步骤,而没有对漏洞出现的情况进行统计分析,则无法对漏洞攻击引起的威胁分布提前呈现并预警。并且,目前车联网领域的安全众测需求迫切,市面上鲜少有可支持众测业务的系统平台。
因此有必要提供一种车联网漏洞众测系统,如图1所示,图1为本发明实施例提供的车联网漏洞众测系统的模块图,所述车联网漏洞众测系统包括:
交互模块,配置为使白帽子用户与所述车联网漏洞众测系统交互,并提交漏洞至所述车联网漏洞众测系统;
审核模块,所述审核模块包括筛选单元、基础分评价单元以及环境分评价单元,其中所述基础分评价单元配置为根据基础可利用度指标和基础影响度指标计算得到基础评价分值,所述环境分评价单元配置为根据环境可利用度指标和环境影响度指标计算得到环境评价分值,当环境没有发生改变时,所述基础评价分值为漏洞的总评分,当环境发生改变时,所述环境评价分值为漏洞的总评分;
等级确认模块,配置为根据漏洞的总评分确认提交的漏洞的等级;
存储模块,配置为将定级后的漏洞进行存储收录。
本发明通过设置交互模块,使白帽子用户与所述车联网漏洞众测系统交互,并可以提交漏洞至所述车联网漏洞众测系统,从而能汇聚精英白帽子等社会安全力量,实现车联网漏洞的众测;通过设置审核模块、等级确认模块以及存储模块,对外界提交的关于车联网的所有漏洞进行筛选并分析评价,将分析评价后的所有漏洞存储收录,并为系统呈现威胁分布情况,以提前预防或警报。
具体的,在所述车联网漏洞众测系统中,所述交互模块配置为采用API接口使所述白帽子用户接入所述车联网漏洞众测系统,并通过所述API接口输入或输出所述漏洞。如此实现所述车联网漏洞众测系统可以与外界白帽子用户等社会安全力量连接,实现车联网漏洞的众测,提升车联网行业发展的安全性。
进一步的,所述交互模块还配置有漏洞提交模板,所述漏洞提交模板中的待填项包括厂商信息、汽车信息、零部件厂商名称、安全隐患标题以及安全隐患描述信息。这些信息中,例如厂商信息、汽车信息以及零部件厂商名称等是车联网漏洞的特殊字段,主要用于提交车联网相关的漏洞,使车联网漏洞众测系统能更专业的检测车联网漏洞。
优选的,在所述审核模块中,所述筛选单元配置为根据所述车联网漏洞众测系统的标准或类型筛选掉不符合标准或类型的漏洞。在一般情况下,所述车联网漏洞众测系统可以建立接收提交漏洞的标准以及类型等,若提交的内容经初步判断不是漏洞,则不符合标准,若提交的内容经初步判断不属于所述车联网漏洞众测系统规定的漏洞类型,导致车联网漏洞众测系统对其检测可能会出现误差,那么所述车联网漏洞众测系统则不会检测此类漏洞,因此将与车联网漏洞众测系统规定类型不同的漏洞也会筛选出去,只留下符合所述车联网漏洞众测系统的标准或类型等的所有漏洞进行检测,以提高审核质量。
进一步的,在所述基础分评价单元中,还包括基础影响范围的判定,若漏洞基础影响范围仅限于被测试范围,则判定基础分评价单元作用域固定不变;若漏洞基础影响范围超出被测试范围,则判定基础分评价单元作用域发生变化。其中,被测试范围是指受漏洞影响的安全权限相同的组件的资源等,在实际情况下,漏洞可能影响一个安全权限的组件或多个安全权限的组件。安全权限是一种机制,它根据某些主体/控制者(如人或流程等)访问某些受限对象的方式来定义和实施访问控制对象/资源(如文件、内存或cpu)的权限,单个安全机构管辖的所有主体和对象被视为一个安全范围内。在一个实施例中,若由于某一流程的疏忽导致出现漏洞,该漏洞仅影响了文件的越权访问,则属于被测试范围,但若这个漏洞影响的不仅仅是文件的越权,还影响了本流程非直接控制的其他文件或其他资源,则不属于被测试范围。
得到所述基础可利用度指标和所述基础影响度指标的依据如下:所述基础可利用度指标根据基础攻击向量、基础攻击复杂度、基础权限要求以及基础用户交互得到,所述基础影响度指标根据基础机密性影响、基础完整性影响以及基础可用性影响得到。
优选的,所述基础可利用度指标的计算公式为:8.22×基础攻击向量值×基础攻击复杂度值×基础权限要求值×基础用户交互值;接着计算所述基础影响度指标,首选根据基础机密性影响、基础完整性影响以及基础可用性影响算取一个中间值ISCbase,ISCbase=1-(1-基础机密性影响值)×(1-基础完整性影响值)×(1-基础可用性影响值),当所述基础分评价单元作用域固定不变时,所述基础影响度指标的计算公式为:6.42×ISCbase,当所述基础分评价单元作用域发生变化时,所述基础影响度指标的计算公式为:7.52×(ISCbase-0.029)-3.25×(ISCbase-0.02)^15。
进而根据所述基础可利用度指标和所述基础影响度指标计算得到基础评价分值,当基础影响度指标<=0时:基础评价分值=0;当0<基础影响度指标+基础可利用度指标<10,且基础分评价单元作用域固定不变时:基础评价分值=Roundup(基础影响度指标+基础可利用度指标);当0<基础影响度指标+基础可利用度指标<10,且基础分评价单元作用域发生变化时:基础评价分值=Roundup[1.08×(基础影响度指标+基础可利用度指标)];当基础影响度指标+基础可利用度指标>10:基础评价分值=10,其中,Roundup定义为保留小数点后一位,小数点后第二位大于零则进一。例如,Roundup(4.02)=4.1;或者Roundup(4.00)=4.0。
进一步的,上述基础攻击向量、基础攻击复杂度、基础权限要求、基础用户交互、基础机密性影响、基础完整性影响、基础可用性影响以及影响范围的定义及类型如下:
基础攻击向量(AttackVector,简称为AV),基础攻击向量描述了基于相关上下文场景中,该漏洞被利用的最大路径值。标明攻击者在哪个维度上(Network、Adjacent、Local以及Physical)可以进行漏洞利用。
Figure BDA0002254224990000061
基础攻击复杂度(Attack Complexity,简称为AC),描述了攻击者利用漏洞时的复杂程度,攻击者需要在某些特定条件中才能触发漏洞,这种情况通常需要攻击者收集更多的目标信息,如:需要知道系统(云、管、边或端等)的配置信息或计算异常等。需要的条件越少就越容易得到高基础分。
Figure BDA0002254224990000062
Figure BDA0002254224990000071
基础权限要求(Privileges Required,简称为PR),描述了攻击者需要具备特殊权限后才能进行漏洞利用,即越少的特权可以得到越高的基础分。
Figure BDA0002254224990000072
用户交互(User Interaction,简称为UI),描述了除攻击者本身外,触发漏洞是否还需要其他用户的配合。这个指标确定了漏洞的利用是仅需要依赖攻击者的意愿或是需要其他用户必须以某种方式去配合。当不需要用户交互时,基础分是最高的。
Figure BDA0002254224990000073
基础机密性影响(Confidentiality Impact,简称为CI),描述了漏洞被成功利用后会对测试组件中信息和系统的保密措施的影响。机密性指的是限定给特定权限的用户/资产拥有者才能访问的信息,以及防止未授权的信息泄露。选项越高,基础分越高。
Figure BDA0002254224990000074
基础完整性影响(Integrity Impact,简称为II),描述了漏洞被成功利用后对测试组件中信息和系统的完整性的影响。完整性指的是信息的可信度和真实性。
Figure BDA0002254224990000081
基础可用性影响(Availablity Impact,简称为AI),描述了漏洞被成功利用后对测试组件可用性的影响。可用性指的是被测组件本身可用性的损失,如汽车信息服务(导航或影音等)。因此,可用性指的是对信息资源的访问能力,如对资源组件消耗网络带宽、处理器周期或磁盘空间等。
Figure BDA0002254224990000082
基础影响范围(Scope),描述了在漏洞被成功利用后对测试组件范围的影响,汽车是一个复杂的复合型系统集合,当漏洞影响范围超出被测试范围,显然导致危险性上升,并且影响相应的CIA属性。
选项 说明
Unchanged 漏洞影响范围仅限于被测试范围。
Changed 漏洞影响范围超出被测试范围。
进一步的,在所述车联网漏洞众测系统中,所述环境分评价单元中,还包括环境影响范围的判定,若漏洞环境影响范围仅限于被测试范围,则判定环境分评价单元作用域固定不变;若漏洞环境影响范围超出被测试范围,则判定环境分评价单元作用域发生变化,其中的被测试范围也是指受漏洞影响的安全权限相同的组件的资源等。
得到所述环境可利用度指标和所述环境影响度指标的依据如下:所述环境可利用度指标根据环境攻击向量、环境攻击复杂度、环境权限需求以及环境用户交互得到,所述环境影响度指标根据环境机密性影响、环境机密性需求、环境完整性影响、环境完整性需求、环境可用性影响以及环境可用性需求得到。
优选的,所述环境可利用度指标的计算公式为:8.22×M.环境攻击向量值×M.环境攻击复杂度值×M.环境权限需求值×M.环境用户交互值;接着计算所述环境影响度指标,首选根据环境机密性影响、环境机密性需求、环境完整性影响、环境完整性需求、环境可用性影响以及环境可用性需求算取一个中间值ISCModified,ISCModified=Min[1-(1-M.环境机密性影响值×M.环境机密性需求值)×(1-M.环境完整性影响值×M.环境完整性需求值)×(1-M.环境可用性影响值×M.环境可用性需求值),0.915];当所述环境分评价单元作用域固定不变时,所述环境影响度指标的计算公式为:6.42×ISCModified;当所述环境分评价单元作用域发生变化时,所述环境影响度指标的计算公式为:7.52×(ISCModified-0.029)-3.25×(ISCModified-0.02)^15,其中,Min比较前后两值,取小者;M.代表被修正后的分数,若对应项无修改,则为原值。
进而根据所述环境可利用度指标和所述环境影响度指标计算得到环境评价分值,当环境影响度指标<=0时:基础评价分值=0;当环境影响度指标>0,且无修正时:环境评价分值=Roundup{Min[(M.环境影响度指标+M.环境可利用度指标),10]};当环境影响度指标>0,且有修正时:环境评价分值=Roundup{Min[1.08×(M.环境影响度指标+M.环境可利用度指标),10]};其中,有无修正是判断环境攻击向量、环境攻击复杂度、环境权限需求、环境用户交互、环境机密性影响、环境完整性影响、环境可用性影响以及环境影响范围这八项参数中是否有修正,若有至少一个修正了,则为有修正,若全部都没有修正才为无修正。Roundup定义为保留小数点后一位,小数点后第二位大于零则进一,例如,Roundup(4.02)=4.1;或者Roundup(4.00)=4.0。Min比较前后两值,取小者。M.代表被修正后的分数,若对应项无修正,则为原值。
进一步的,环境攻击向量、环境攻击复杂度、环境权限需求、环境用户交互、环境机密性影响、环境完整性影响、环境可用性影响以及环境影响范围的定义及类型与基础分评价单元中的基础定义相同,只是应用的场景不同,当环境没有发生改变时,则是只有基础评价分值;当环境发生改变时,基础评价分值不变,还需计算环境评价分值。进一步的,在计算环境评价分值时,还需要其他需求参数,包括环境机密性需求、环境完整性需求、环境可用性需求,此类需求参数的定义及类型如下:
用户安全需求(Security Requirement)描述了被测资产对于用户/资产拥有者的重要程度。
环境机密性需求(Confidentiality Requirement,简称为CR),描述了分析人员根据被测资产对于用户组织的机密性重要程度进行定制化的CVSS打分过程。这个指标的标改在环境分打分过程中会重新定义资产机密性与其它指标的权重。
Figure BDA0002254224990000101
环境完整性需求(Integrity Requirement,简称为IR)描述了分析人员根据被测资产对于用户组织的完整性重要程度进行定制化的CVSS打分过程。这个指标的标改在环境分打分过程中会重新定义资产完整性与其它指标的权重。
Figure BDA0002254224990000102
环境可用性需求(Availability Requirement,简称为AR),描述了分析人员根据被测资产对于用户组织的可用性重要程度进行定制化的CVSS打分过程。这个指标的标改在环境分打分过程中会重新定义资产可用性与其它指标的权重。
Figure BDA0002254224990000111
进一步的,在一个实施例中,所述漏洞的总评分大于等于9.0,小于等于10,则为严重漏洞;大于等于7.0,小于等于8.9,则为高级漏洞;大于等于4.0,小于等于6.9,则为中级漏洞;大于等于0,小于等于3.9,则为低级漏洞;所述等级确认模块还配置为根据等级进行奖励。
优选的,所述存储模块配置为采用API接口将所述车联网漏洞众测系统中的审核结果传递给漏洞库,从而实现为系统呈现威胁分布情况,以提前预防或警报。
综上,在本发明所提供的车联网漏洞众测系统中,通过设置交互模块,使白帽子用户与所述车联网漏洞众测系统交互,并可以提交漏洞至所述车联网漏洞众测系统,从而能汇聚精英白帽子等社会安全力量,实现车联网漏洞的众测;通过设置审核模块、等级确认模块以及存储模块,对外界提交的关于车联网的所有漏洞进行筛选并分析评价,将分析评价后的所有漏洞存储收录,并为系统呈现威胁分布情况,以提前预防或警报。
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。

Claims (8)

1.一种车联网漏洞众测系统,其特征在于,包括:
交互模块,配置为使白帽子用户与所述车联网漏洞众测系统交互,并提交漏洞至所述车联网漏洞众测系统;
审核模块,所述审核模块包括筛选单元、基础分评价单元以及环境分评价单元,其中所述基础分评价单元配置为根据基础可利用度指标和基础影响度指标计算得到基础评价分值,所述基础分评价单元还包括基础影响范围的判定,若漏洞基础影响范围仅限于被测试范围,则判定基础分评价单元作用域固定不变;若漏洞基础影响范围超出被测试范围,则判定基础分评价单元作用域发生变化,所述环境分评价单元配置为根据环境可利用度指标和环境影响度指标计算得到环境评价分值,所述环境分评价单元还包括环境影响范围的判定,若漏洞环境影响范围仅限于被测试范围,则判定环境分评价单元作用域固定不变;若漏洞环境影响范围超出被测试范围,则判定环境分评价单元作用域发生变化,当环境没有发生改变时,所述基础评价分值为漏洞的总评分,当环境发生改变时,所述环境评价分值为漏洞的总评分;
等级确认模块,配置为根据漏洞的总评分确认提交的漏洞的等级;
存储模块,配置为将定级后的漏洞进行存储收录。
2.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述交互模块配置为采用API接口使所述白帽子用户接入所述车联网漏洞众测系统,并通过所述API接口输入或输出所述漏洞。
3.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述交互模块还配置有漏洞提交模板,所述漏洞提交模板中的待填项包括厂商信息、汽车信息、零部件厂商名称、安全隐患标题以及安全隐患描述信息。
4.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述筛选单元配置为根据所述车联网漏洞众测系统的标准或类型筛选掉不符合标准或类型的漏洞。
5.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述基础分评价单元中,所述基础可利用度指标根据基础攻击向量、基础攻击复杂度、基础权限要求以及基础用户交互得到,所述基础影响度指标根据基础机密性影响、基础完整性影响以及基础可用性影响得到。
6.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述环境分评价单元中,所述环境可利用度指标根据环境攻击向量、环境攻击复杂度、环境权限需求以及环境用户交互得到,所述环境影响度指标根据环境机密性影响、环境机密性需求、环境完整性影响、环境完整性需求、环境可用性影响以及环境可用性需求得到。
7.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述等级确认模块配置为根据等级进行奖励。
8.如权利要求1所述的车联网漏洞众测系统,其特征在于,所述存储模块配置为采用API接口将所述车联网漏洞众测系统中的审核结果传递给漏洞库。
CN201911046320.XA 2019-10-30 2019-10-30 一种车联网漏洞众测系统 Active CN110807196B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911046320.XA CN110807196B (zh) 2019-10-30 2019-10-30 一种车联网漏洞众测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911046320.XA CN110807196B (zh) 2019-10-30 2019-10-30 一种车联网漏洞众测系统

Publications (2)

Publication Number Publication Date
CN110807196A CN110807196A (zh) 2020-02-18
CN110807196B true CN110807196B (zh) 2022-02-11

Family

ID=69489607

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911046320.XA Active CN110807196B (zh) 2019-10-30 2019-10-30 一种车联网漏洞众测系统

Country Status (1)

Country Link
CN (1) CN110807196B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385291B (zh) * 2020-03-02 2022-07-15 阿波罗智联(北京)科技有限公司 车辆信息安全漏洞的评价方法、装置、设备及存储介质
CN111756842A (zh) * 2020-06-23 2020-10-09 国汽(北京)智能网联汽车研究院有限公司 一种车联网漏洞检测方法、装置及计算机设备
CN111818042B (zh) * 2020-07-07 2021-03-09 国家计算机网络与信息安全管理中心 一种车联网漏洞众测平台的检测方法
CN112751831B (zh) * 2020-12-17 2022-04-15 中国汽车技术研究中心有限公司 汽车漏洞分级及处理方法、装置、设备和可读存储介质
CN113268738B (zh) * 2021-05-08 2022-10-04 上海智能网联汽车技术中心有限公司 一种智能汽车信息安全漏洞的评估方法及系统
CN114065215A (zh) * 2021-11-23 2022-02-18 北京永信至诚科技股份有限公司 一种网络测试平台、测试方法及测试服务

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018029668A1 (en) * 2016-08-09 2018-02-15 Sealights Technologies Ltd. System and method for continuous testing and delivery of software

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101950338A (zh) * 2010-09-14 2011-01-19 中国科学院研究生院 一种基于层次化漏洞威胁评估的漏洞修复方法
CN103258165B (zh) * 2013-05-10 2016-10-05 华为技术有限公司 漏洞测评的处理方法和装置
US10291643B2 (en) * 2016-07-29 2019-05-14 Praetorian Group, Inc. Method and system for validating a vulnerability submitted by a tester in a crowdsourcing environment
CN109145579A (zh) * 2018-08-18 2019-01-04 北京航空航天大学 智能网联汽车信息安全认证测试方法和系统
CN109325351B (zh) * 2018-08-23 2021-04-09 中通服咨询设计研究院有限公司 一种基于众测平台的安全漏洞自动化验证系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018029668A1 (en) * 2016-08-09 2018-02-15 Sealights Technologies Ltd. System and method for continuous testing and delivery of software

Also Published As

Publication number Publication date
CN110807196A (zh) 2020-02-18

Similar Documents

Publication Publication Date Title
CN110807196B (zh) 一种车联网漏洞众测系统
Manadhata et al. Measuring the attack surfaces of two FTP daemons
CN111786974B (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
CN111669365B (zh) 网络安全测试方法及装置
CN116747528B (zh) 一种游戏后台用户监管方法及系统
CN114003920A (zh) 系统数据的安全评估方法及装置、存储介质和电子设备
CN113987509A (zh) 一种信息系统安全漏洞的风险评级方法、装置、设备及存储介质
CN116074843B (zh) 一种5g双域专网的零信任安全可信审计方法
CN116628705A (zh) 一种数据安全处理方法、系统、电子设备及存储介质
CN114091042A (zh) 风险预警方法
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN113472800A (zh) 汽车网络安全风险评估方法、装置、存储介质和电子设备
CN110287703B (zh) 车辆安全风险检测的方法及装置
CN114499919B (zh) 一种工程机械通信安全网络威胁建模的方法及系统
CN111756842A (zh) 一种车联网漏洞检测方法、装置及计算机设备
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN116362543A (zh) 一种融合信息安全和功能安全的综合风险评估方法及装置
Axelrod Accounting for value and uncertainty in security metrics
CN111522717B (zh) 资源巡检方法、系统及计算机可读存储介质
CN111800427B (zh) 一种物联网设备评估方法、装置及系统
Abercrombie et al. Managing complex IT security processes with value based measures
US11861015B1 (en) Risk scoring system for vulnerability mitigation
CN117290823B (zh) 一种app智能检测与安全防护方法、计算机设备及介质
CN112751828B (zh) 对网络攻击事件的损失评估方法、装置和电子设备
Kaur et al. Insecurity Status and Vulnerability Density of Web Applications: A Quantitative Approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant