漏洞威胁评估及协议软件漏洞挖掘.pdfVIP

分类号 密级 UDC 编号 中国科学院研究生院 博士学位论文 漏洞威胁评估及协议软件漏洞挖掘 刘奇旭 指导教师 张玉清教授 博士 中国科学院研究生院 信息科学与工程学院 申请学位级别 博士 学科专业名称 信息安全 论文提交日期 2011 年4 月 论文答辩日期 2011 年5 月 培养单位 信息科学与工程学院 学位授予单位 中国科学院研究生院 答辩委员会主席 中国科学院研究生院直属院系 研究生学位论文原创性声明 本人郑重声明：所呈交的学位论文是本人在导师的指导下独立进行研究工 作所取得的成果。尽我所知，除文中已经注明引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写过的研究成果。对论文所涉及的研究工作做 出贡献的其他个人和集体，均已在文中以明确方式标明或致谢。 作者签名： 日 期： 中国科学院研究生院直属院系 学位论文授权使用声明 本人完全了解并同意遵守中国科学院有关保存和使用学位论文的规定，即 中国科学院有权保留送交学位论文的副本，允许该论文被查阅，可以公布该论 文的全部或部分内容，可以采用影印、缩印或其他复制手段保存、汇编本学位 论文。 涉密的学位论文在解密后适用本声明。 作者签名： 导师签名： 日 期： 日 期： 摘 要 漏洞的大量出现和加速增长是目前网络安全问题趋于严峻的重要原因之一。 漏洞不仅仅是网络攻防的焦点，更是网络战的武器装备。漏洞作为一种战略资 源被各方积极关注。论文主要工作围绕“漏洞”展开，主要研究内容包括漏洞 描述、漏洞威胁评估和漏洞挖掘，取得如下成果： （1）论文完成两个国家标准的制定—— 《漏洞标识与描述规范(报批稿)》 和《安全漏洞等级划分指南(草案)》。《漏洞标识与描述规范》提出CVD(Common Vulnerabilities Description)作为漏洞唯一标识 （例如CVD-2011-001234 表示2011 年产生的第1234 个漏洞），用于满足我国互联网对信息系统漏洞进行统一引用 的需求。 《安全漏洞等级划分指南》根据攻击范围、攻击复杂度和攻击影响三 个方面的要素，将漏洞划分为紧急、高、中和低等四个级别，从而实现我国对 漏洞严重程度评估的标准化。 （2 ）论文提出定性与定量相结合的漏洞威胁评估系统——Vulnerability Rating and Scoring System(VRSS) 。基于对现有漏洞评估要素的评判及大量漏洞数 据的分析，论文将定性评级与定量评分两种方法有机结合：首先针对漏洞的主 要属性（机密性、完整性和可用性）的影响进行定性评级，分析出漏洞威胁级 别（高、中、低），其次再根据漏洞在利用过程中的因素进行定量评分，进而 得出漏洞对系统的威胁分值（0.00-10.00 ）。论文使用1999-2010 年44,824 个 CVE 漏洞作为实验数据，结果表明VRSS 定性评级漏洞分布情况与历史传统分级 结果一致并符合历史分布规律，定量评分结果能够进一步的细分漏洞，在解决 了定性与定量方