基于漏洞优先级技术的综合动态风险评估方案研究.pdfVIP

基于漏洞优先级技术的综合动态

风险评估方案研究

定级不准确的问题，有时会产生大量的虚警，需要人

1概述

工二次验证和分析。而安全团队通常需要在有限的

漏洞风险评估是网络安全领域的一项关键任务，时间、人力和财力资源的条件下，将有限资源集中用

旨在识别和评估系统中存在的漏洞，并确定其威胁程于修复最紧急的高危漏洞，从而最大程度地降低系统

度和修复优先级。随着安全技术的不断发展，出现了遭受攻击的风险。

多种漏洞评估方法和技术，不过这些技术在实际应用基于以上问题，本文利用漏洞优先级技术（VPT），

场景存在着不足和缺陷。已有漏洞评估技术虽然可结合已有安全评估技术模型，提出一种适用于实际工

以对系统的漏洞进行挖掘并基于CVSS等指标对漏洞作场景的综合动态风险优先级评估方案。

进行评分和定级，但是对漏洞的潜在威胁和影响程度

2整体思路

的评估不够全面和准确，存在误报、漏报以及优先级

——————————首先，以资产动态画像为基础，完善漏洞评估上

收稿日期：2023-07-05下文信息。通过收集和分析资产的基本属性、配置信

息、漏洞情报、访问日志等数据，构建包括资产的拓扑除了静态资产信息，动态资产信息也对资产动态

关系、业务关联、访问模式等信息的资产动态画像。画像的构建至关重要。动态资产信息包括资产的活

其次，在资产画像的基础上，本文提出了一种综动状态、网络流量和日志数据等。为了收集动态资产

合评估模型，将静态和动态画像与漏洞数据进行关联信息，可以使用入侵检测系统（IDS）、防火墙日志和网

分析。利用机器学习和数据挖掘技术，对漏洞进行分络流量监测工具等。通过分析动态资产信息，可以获

类和聚类，识别出具有相似特征和潜在威胁的漏洞群取资产的实时活动情况，包括网络连接、访问模式和

组。根据资产的重要性、漏洞的严重性、攻击复杂性、行为特征等。动态资产信息可以采用大数据实时采

情报及时性、上下文环境制约性等因素，计算漏洞的集技术，结合数据采集引擎和实时流分析引擎进行数

优先级，并生成漏洞修复建议。据的实时采集、关联分析和实时更新。

进一步地，本文考虑通过一种动态调整机制，基3.1.2画像构建

于实时的资产和威胁情报，对漏洞的优先级进行动态在收集分析静态和动态资产信息之后，开始构建

调整。通过监测资产的变化和收集最新的威胁情报，资产的画像。资产画像是对资产特征和行为的综合

及时更新资产画像和漏洞评估结果，确保评估结果的描述，可以包括资产的基本信息、配置状态、基线详情

准确性和实用性。和安全事件历史等。资产画像的构建可以使用数据

最后，本文设计了一套完整的系统架构解决方聚合和数据挖掘技术，将收集到的各类资产信息进行

案。基于漏洞优先级技术的综合动态风险评估方案整合和分析。同时，为了保持资产画像的实时性，需

能够提高漏洞评估的准确性和实用性，帮助企业更好要定期更新资产信息，包括新增资产的识别、已有资

地管理漏洞风险，加强网络安全防护能力。产信息的更新和不再使用资产的移除等。图2所示为

资产画像构建的详细流程。

3方案设计

3.1资产画像