一种自动优化CVSSv2.0漏洞指标的评估方法 被引量：4

1

作者 廖丹 周明 +1 位作者 刘丹 田忠 《计算机工程与应用》 CSCD 北大核心 2015年第2期103-107,124,共6页

针对CVSS v2.0主观性强、操作性差,建立自动化评估模型困难的问题,提出在CVSS v2.0评估体系的基础上,改进其评价指标体系,把评价指标分为主客观两类;使用BP神经网络自学习原理再次优化评价因子;并建立基于BP神经网络的自动化评估模型,... 针对CVSS v2.0主观性强、操作性差,建立自动化评估模型困难的问题,提出在CVSS v2.0评估体系的基础上,改进其评价指标体系,把评价指标分为主客观两类;使用BP神经网络自学习原理再次优化评价因子;并建立基于BP神经网络的自动化评估模型,快速地对输入指标的特征做逼近实效的量化。通过MATLAB仿真验证了该方法的有效性、准确性与可行性。 展开更多

关键词 通用漏洞评估系统(cvss) 指标量化 反向传播(BP)神经网络 评估模型 MATLAB

在线阅读 下载PDF 职称材料

CVSS环境评分值的分布特点研究 被引量：5

2

作者 席荣荣 云晓春 张永铮 《高技术通讯》 CAS CSCD 北大核心 2014年第1期10-15,共6页

利用统计分析方法对通用漏洞评分系统(CVSS)的环境评分值的分布特点进行了研究,得出了环境评分值中存在众数的结论,并得到了环境评分值的最大偏离值与基本评分值之间的函数关系。最后从美国国家漏洞数据库NVD中提取了三个严重程度分别... 利用统计分析方法对通用漏洞评分系统(CVSS)的环境评分值的分布特点进行了研究,得出了环境评分值中存在众数的结论,并得到了环境评分值的最大偏离值与基本评分值之间的函数关系。最后从美国国家漏洞数据库NVD中提取了三个严重程度分别为高、中、低的漏洞信息对所得结论进行了验证。结果表明,漏洞的环境评分值中存在众数,而且环境评分值的最大偏离值与基本评分值之间满足上述函数关系。 展开更多

关键词 通用漏洞评分系统(cvss) 环境评分值 众数 最大偏离值

在线阅读 下载PDF 职称材料

通用安全漏洞评估系统(CVSS)简介及应用建议 被引量：4

3

作者 李锐 《计算机安全》 2011年第5期58-60,共3页

对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨。

关键词 cvss 安全 安全漏洞

在线阅读 下载PDF 职称材料

CVSS环境指标变量对系统安全的影响研究 被引量：4

4

作者 周诗洋 傅鹂 《计算机工程与科学》 CSCD 北大核心 2016年第12期2463-2470,共8页

通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和... 通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。 展开更多

关键词 漏洞 通用漏洞评分体系(cvss) 环境指标 评分 安全

在线阅读 下载PDF 职称材料

Security Vulnerability Analyses of Large Language Models (LLMs) through Extension of the Common Vulnerability Scoring System (CVSS) Framework

5

作者 Alicia Biju Vishnupriya Ramesh Vijay K. Madisetti 《Journal of Software Engineering and Applications》 2024年第5期340-358,共19页

Large Language Models (LLMs) have revolutionized Generative Artificial Intelligence (GenAI) tasks, becoming an integral part of various applications in society, including text generation, translation, summarization, a... Large Language Models (LLMs) have revolutionized Generative Artificial Intelligence (GenAI) tasks, becoming an integral part of various applications in society, including text generation, translation, summarization, and more. However, their widespread usage emphasizes the critical need to enhance their security posture to ensure the integrity and reliability of their outputs and minimize harmful effects. Prompt injections and training data poisoning attacks are two of the most prominent vulnerabilities in LLMs, which could potentially lead to unpredictable and undesirable behaviors, such as biased outputs, misinformation propagation, and even malicious content generation. The Common Vulnerability Scoring System (CVSS) framework provides a standardized approach to capturing the principal characteristics of vulnerabilities, facilitating a deeper understanding of their severity within the security and AI communities. By extending the current CVSS framework, we generate scores for these vulnerabilities such that organizations can prioritize mitigation efforts, allocate resources effectively, and implement targeted security measures to defend against potential risks. 展开更多

关键词 Common Vulnerability Scoring System (cvss) Large Language Models (LLMs) DALL-E Prompt Injections Training Data Poisoning cvss Metrics

在线阅读 下载PDF 职称材料

一种融合CVSS的信息安全终端安全评估模型 被引量：3

6

作者 王强 孟浩华 《计算机与数字工程》 2016年第4期675-682,共8页

针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安... 针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安全评估模型,对安全评估体系和评分标准进行了研究和探讨。该模型能够满足电力行业桌面终端安全评估的需求和目标,包括详细的评估项目以及可量化的评价体系;最后在该评估模型的基础上实现了对电力行业信息安全终端进行自动化安全评估的工具。 展开更多

关键词 桌面终端 操作终端 cvss 脆弱性量化 威胁量化

在线阅读 下载PDF 职称材料

基于CVSS漏洞评分标准的网络攻防量化方法研究 被引量：9

7

作者 张必彦 王孟 《兵器装备工程学报》 CAS 北大核心 2018年第4期147-150,共4页

针对当前网络安全评估中对攻防行为量化时所存在的随意性与标准不一致等问题,提出一种基于CVSS评分标准的网络攻防量化方法;为体现网络攻防的实质,将网络中主机所存在的系统漏洞作为量化分析的出发点,从攻击与防御两个维度剖析网络对抗... 针对当前网络安全评估中对攻防行为量化时所存在的随意性与标准不一致等问题,提出一种基于CVSS评分标准的网络攻防量化方法;为体现网络攻防的实质,将网络中主机所存在的系统漏洞作为量化分析的出发点,从攻击与防御两个维度剖析网络对抗行为,将网络攻防行为分解为攻击成本、攻击收益、防御成本、防御收益4个要素,以CVSS评分标准中的指标与分值作为网络攻防行为四要素的量化依据,确保了量纲的一致性与科学性,并分别给出了具体的量化算法;最后以某一安全漏洞为例,通过实例分析,证明了该网络攻防量化方法的有效性与可行性,具有一定的理论意义与实践价值。 展开更多

关键词 网络安全评估 攻防行为 cvss评分标准 量化分析

在线阅读 下载PDF 职称材料

基于攻击树和CVSS的网络攻击效果评估方法 被引量：9

8

作者 潘刚 米士超 +3 位作者 郭荣华 黄丽刚 王金锁 李凯 《电子技术应用》 2022年第4期76-80,共5页

为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概... 为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概率进行求解;然后,基于CVSS漏洞信息建立网络攻击效果量化评估模型;最后,采用实例进行验证分析说明。该方法能够充分利用己有的攻击行为研究成果,评估结果较为客观,且思路清晰,算法简单,具有较强的通用性和工程应用价值。 展开更多

关键词 攻击树 模糊层次分析法 cvss漏洞 网络攻击 效果评估

在线阅读 下载PDF 职称材料

基于Renyi交叉熵与CVSS的网络安全态势评估模型 被引量：4

9

作者 李小雨 王怀彬 《天津理工大学学报》 2019年第5期12-17,共6页

网络安全态势评估对于保证网络的可靠运行具有非常重要意义,是一种重要的网络监管手段.本文提出一种基于网络流量评估、威胁评估、和漏洞评估三个模块的网络安全态势评估模型,弥补单一考虑网络某一方面因素的方式从而导致网络安全态势... 网络安全态势评估对于保证网络的可靠运行具有非常重要意义,是一种重要的网络监管手段.本文提出一种基于网络流量评估、威胁评估、和漏洞评估三个模块的网络安全态势评估模型,弥补单一考虑网络某一方面因素的方式从而导致网络安全态势的评估不够全面的问题.本文介绍了如何部署该网络框架,并如何应用此网络框架实时地反应网络安全态势.通过与其他算法进行对比,结果表明该方法可以准确、合理地反应网络安全态势. 展开更多

关键词 网络安全 cvss Renyi交叉熵 态势评估

在线阅读 下载PDF 职称材料

基于攻击树与CVSS的工业控制系统风险量化评估 被引量：17

10

作者 王作广 魏强 刘雯雯 《计算机应用研究》 CSCD 北大核心 2016年第12期3785-3790,共6页

针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型;然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复... 针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型;然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值;最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明,该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施以实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。 展开更多

关键词 工业控制系统 攻击树 通用漏洞评分系统 风险评估 攻击序列

在线阅读 下载PDF 职称材料

计算机排球技术统计系统—CVSS

11

作者 牛本生 苏红 《电脑学习》 1993年第1期18-20,30,共4页

关键词 排球技术 统计 计算机 cvss

在线阅读 下载PDF 职称材料

信息系统缺陷评估与CVSS体系

12

作者 邓维立 申大武 《移动信息》 2018年第7期81-83,共3页

鉴于计算机信息系统的安全性问题越来越严重,许多计算机安全解决方案提供商和一些非营利性组织研究、制定并实施了信息系统缺陷的评估标准,但是这些企业标准间没有互操作性。分析了信息系统缺陷评估要素和评估模式,重点介绍了由NIAC领... 鉴于计算机信息系统的安全性问题越来越严重,许多计算机安全解决方案提供商和一些非营利性组织研究、制定并实施了信息系统缺陷的评估标准,但是这些企业标准间没有互操作性。分析了信息系统缺陷评估要素和评估模式,重点介绍了由NIAC领导下受全球最具影响力的IT厂商支持的“通用缺陷评估体系”。通过对IOS DOS、Microsoft LSASS(Sasser Worm)、Microsoft Outlook Express Scripting三个知名漏洞的评估过程,展示了如何进行基于CVSS的系统缺陷评分定级。随着包括思科在内的一些大软件厂商开始使用CVSS,相信不远的将来CVSS将会迅速盛行。 展开更多

关键词 通用缺陷评估体系(cvss) 信息系统缺陷 远程侵入

在线阅读 下载PDF 职称材料

MITRE ATT&CK-Driven Threat Analysis for Edge-IoT Environment and a Quantitative Risk Scoring Model

13

作者 Tae-hyeon Yun Moohong Min 《Computer Modeling in Engineering & Sciences》 2025年第11期2707-2731,共25页

The dynamic,heterogeneous nature of Edge computing in the Internet of Things(Edge-IoT)and Industrial IoT(IIoT)networks brings unique and evolving cybersecurity challenges.This study maps cyber threats in Edge-IoT/IIoT... The dynamic,heterogeneous nature of Edge computing in the Internet of Things(Edge-IoT)and Industrial IoT(IIoT)networks brings unique and evolving cybersecurity challenges.This study maps cyber threats in Edge-IoT/IIoT environments to the Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK)framework by MITRE and introduces a lightweight,data-driven scoring model that enables rapid identification and prioritization of attacks.Inspired by the Factor Analysis of Information Risk model,our proposed scoring model integrates four key metrics:Common Vulnerability Scoring System(CVSS)-based severity scoring,Cyber Kill Chain–based difficulty estimation,Deep Neural Networks-driven detection scoring,and frequency analysis based on dataset prevalence.By aggregating these indicators,the model generates comprehensive risk profiles,facilitating actionable prioritization of threats.Robustness and stability of the scoring model are validated through non-parametric correlation analysis using Spearman’s and Kendall’s rank correlation coefficients,demonstrating consistent performance across diverse scenarios.The approach culminates in a prioritized attack ranking that provides actionable guidance for risk mitigation and resource allocation in Edge-IoT/IIoT security operations.By leveraging real-world data to align MITRE ATT&CK techniques with CVSS metrics,the framework offers a standardized and practically applicable solution for consistent threat assessment in operational settings.The proposed lightweight scoring model delivers rapid and reliable results under dynamic cyber conditions,facilitating timely identification of attack scenarios and prioritization of response strategies.Our systematic integration of established taxonomies with data-driven indicators strengthens practical risk management and supports strategic planning in next-generation IoT deployments.Ultimately,this work advances adaptive threat modeling for Edge/IIoT ecosystems and establishes a robust foundation for evidence-based prioritization in emerging cyber-physical infrastructures. 展开更多

关键词 MITRE ATT&CK edge environment IOT threat analysis quantitative analysis deep neural network cvss risk assessment scoring model

在线阅读 下载PDF 职称材料

收益与代价相结合的漏洞修复模型 被引量：4

14

作者 汪志亮 顾乃杰 李凯 《小型微型计算机系统》 CSCD 北大核心 2009年第11期2163-2168,共6页

漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给... 漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给出漏洞修复的总收益.漏洞修复代价评分系统基于CVSS对漏洞属性信息的描述,给出单个漏洞修复代价的评分规则,然后结合漏洞所属主机类型及漏洞分布情况给出网络漏洞修复代价.实例网络分析表明,该模型能够为网络管理人员提供一个切实可行的网络漏洞修复策略. 展开更多

关键词 漏洞修复 攻击图 cvss 收益 代价

在线阅读 下载PDF 职称材料

一种基于攻防图的网络安全防御策略生成方法 被引量：2

15

作者 戚湧 莫璇 李千目 《计算机科学》 CSCD 北大核心 2016年第10期130-134,149,共6页

复杂的网络多步攻击是当前典型的强目的性网络攻击方式,状态攻防图技术是对其进行建模分析的一种有效方案。但是,当前主流的状态攻防图技术在实施过程中存在众多局限性,如原子攻击成功概率的计算、攻击危害指数定义,使得在实际应用中如... 复杂的网络多步攻击是当前典型的强目的性网络攻击方式,状态攻防图技术是对其进行建模分析的一种有效方案。但是,当前主流的状态攻防图技术在实施过程中存在众多局限性,如原子攻击成功概率的计算、攻击危害指数定义,使得在实际应用中如果实施人员的经验不足,则很难反映出真实网络安全态势。分析现有基于状态攻防图的网络安全防御策略生成方法的不足,改进脆弱点危害评分标准,引入攻击累计成功概率及主机信息资产值的概念,重新定义原子攻击危害指数与攻击路径危害指数的计算方式,对安全策略生成所需考虑的因素进行扩充,对安全策略的生成方法进行优化,实现攻击场景建模和攻击意图挖掘。最后通过算例分析验证了改进的方法更加易于实施和客观分析,为管理人员做出合理的防御决策提供了有效的辅助。 展开更多

关键词 攻防图 cvss 网络安全 防御策略

在线阅读 下载PDF 职称材料

基于HEAVENS模型的汽车行业漏洞等级划分研究 被引量：1

16

作者 邵学彬 靳一洲 《江苏科技信息》 2018年第14期75-77,共3页

智能网联化给汽车行业带来了新的发展方向,同时也带来了威胁。传统互联网有着成熟的漏洞等级标准,但汽车行业暂无信息安全标准的制定,制约了汽车行业的发展。文章参考CVSS通用评分系统,基于HEAVENS模型对汽车漏洞类型和评估指标进行了研... 智能网联化给汽车行业带来了新的发展方向,同时也带来了威胁。传统互联网有着成熟的漏洞等级标准,但汽车行业暂无信息安全标准的制定,制约了汽车行业的发展。文章参考CVSS通用评分系统,基于HEAVENS模型对汽车漏洞类型和评估指标进行了研究,为汽车行业漏洞划分标准的制定提供参考。 展开更多

关键词 汽车信息安全 cvss系统 HEAVENS模型 漏洞等级

在线阅读 下载PDF 职称材料

一种基于代价的攻击图生成方法

17

作者 王绍强 邵丹 《电子世界》 2015年第18期117-119,共3页

随着因特网在社会发展中的地位越来越重要,网络安全已上升到国家安全战略的高度。攻击图是网络安全领域中一种非常重要的技术,广泛应用于网络渗透测试、入侵检测、网络安全评估等方面,是网络安全领域的研究热点。本文介绍了攻击图的基... 随着因特网在社会发展中的地位越来越重要,网络安全已上升到国家安全战略的高度。攻击图是网络安全领域中一种非常重要的技术,广泛应用于网络渗透测试、入侵检测、网络安全评估等方面,是网络安全领域的研究热点。本文介绍了攻击图的基本概念以及典型网络攻击图的生成方法,分析了通用弱点评价体系(CVSS)的评估指标,提出了一种基于代价的攻击图生成方法,最后通过实验验证了该方法的合理性。 展开更多

关键词 网络安全 攻击图 cvss 渗透测试

在线阅读 下载PDF 职称材料

面向SaaS云平台的安全漏洞评分方法研究 被引量：6

18

作者 李舟 唐聪 +1 位作者 胡建斌 陈钟 《通信学报》 EI CSCD 北大核心 2016年第8期157-166,共10页

对不同的第三方提供的云服务进行漏洞评分是一项充满挑战的任务。针对一些基于云平台的重要因素,例如业务环境(业务间的依赖关系等),提出了一种新的安全框架VScorer,用于对基于不同需求的云服务进行漏洞评分。通过对VScorer输入具体的... 对不同的第三方提供的云服务进行漏洞评分是一项充满挑战的任务。针对一些基于云平台的重要因素,例如业务环境(业务间的依赖关系等),提出了一种新的安全框架VScorer,用于对基于不同需求的云服务进行漏洞评分。通过对VScorer输入具体的业务场景和安全需求,云服务商可以在满足安全需求的基础上获得一个漏洞排名。根据漏洞排名列表,云服务提供商可以修补最关键的漏洞。在此基础上开发了VScorer的原型,并且证实它比现有最具有代表性的安全漏洞评分系统CVSS表现得更为出色。 展开更多

关键词 SAAS 云服务 漏洞评分系统 cvss

在线阅读 下载PDF 职称材料

一种移动僵尸网络评估模型研究

19

作者 李娜 杜彦辉 陈光宣 《中国人民公安大学学报（自然科学版）》 2015年第1期80-84,共5页

为了能够更加客观系统地反映移动僵尸网络的运行情况和攻击能力,设计了一个针对移动僵尸网络的评估模型。借鉴通用漏洞评分系统(CVSS)部分思想,将移动僵尸网络性能指标分成三大群组,每个群组又进行了层次的划分,并对每个性能指标进行了... 为了能够更加客观系统地反映移动僵尸网络的运行情况和攻击能力,设计了一个针对移动僵尸网络的评估模型。借鉴通用漏洞评分系统(CVSS)部分思想,将移动僵尸网络性能指标分成三大群组,每个群组又进行了层次的划分,并对每个性能指标进行了量化,提出了正性指标、负性指标和中性指标的概念,并使用了调节系数将性能指标控制在一个合适的取值范围内。最后,使用了该模型对3个移动僵尸网络进行了评论,并得出了评估结论。 展开更多

关键词 移动僵尸网路 评估模型 cvss

在线阅读 下载PDF 职称材料

信息网络系统漏洞检测评估及修补

20

作者 尚西元 汪正瑛 马琳 《青海电力》 2011年第4期62-65,共4页

文章通过对网络安全漏洞的描述,介绍了如何根据目前国际通用的网络安全漏洞CVE标准,进行漏洞修补及网络安全漏洞风险等级评估。

关键词 网络安全漏洞 CVE标准 cvss标准 漏洞修补 漏洞风险等极

在线阅读 下载PDF 职称材料