基于多门共享—私有混合专家的漏洞CVSS度量预测系统

1

作者 王晓龙 杜晔 +2 位作者 郑天帅 陈奇芳 关昌昊 《信息工程大学学报》 2026年第1期72-80,共9页

针对专家人工评定的通用漏洞评分系统(CVSS)主观性强、效率低下以及现有自动化预测方法无法有效利用CVSS各度量特征间的关联与差异的问题,提出一种基于多门共享—私有混合专家(MSPMoE)的漏洞CVSS度量预测模型。该模型可通过共享—私有... 针对专家人工评定的通用漏洞评分系统(CVSS)主观性强、效率低下以及现有自动化预测方法无法有效利用CVSS各度量特征间的关联与差异的问题,提出一种基于多门共享—私有混合专家(MSPMoE)的漏洞CVSS度量预测模型。该模型可通过共享—私有混合专家机制,协同利用各度量间的共享特征与特有特征。首先,通过收集到的漏洞描述语料库对DistilBERT预训练模型进行微调,作为模型的特征编码器;其次,设计动态特征提取模块,以自适应地选择最优特征提取策略;最后,使用多门共享—私有混合专家作为分类器,其中共享专家网络用于捕获度量间的共享特征,私有专家网络则专注于提取各度量的私有特征,并通过门控网络动态控制不同专家的权重,使得模型能够平衡共享知识与私有知识,从而实现CVSS度量的精准预测。实验结果表明,所提模型在7个CVSS度量上的预测准确率优于现有最佳方法,在8个度量上的平均准确率达到83.32%。 展开更多

关键词 cvss度量预测 漏洞评估 多任务学习 自然语言处理 大模型

在线阅读 下载PDF 职称材料

Security Vulnerability Analyses of Large Language Models (LLMs) through Extension of the Common Vulnerability Scoring System (CVSS) Framework

2

作者 Alicia Biju Vishnupriya Ramesh Vijay K. Madisetti 《Journal of Software Engineering and Applications》 2024年第5期340-358,共19页

Large Language Models (LLMs) have revolutionized Generative Artificial Intelligence (GenAI) tasks, becoming an integral part of various applications in society, including text generation, translation, summarization, a... Large Language Models (LLMs) have revolutionized Generative Artificial Intelligence (GenAI) tasks, becoming an integral part of various applications in society, including text generation, translation, summarization, and more. However, their widespread usage emphasizes the critical need to enhance their security posture to ensure the integrity and reliability of their outputs and minimize harmful effects. Prompt injections and training data poisoning attacks are two of the most prominent vulnerabilities in LLMs, which could potentially lead to unpredictable and undesirable behaviors, such as biased outputs, misinformation propagation, and even malicious content generation. The Common Vulnerability Scoring System (CVSS) framework provides a standardized approach to capturing the principal characteristics of vulnerabilities, facilitating a deeper understanding of their severity within the security and AI communities. By extending the current CVSS framework, we generate scores for these vulnerabilities such that organizations can prioritize mitigation efforts, allocate resources effectively, and implement targeted security measures to defend against potential risks. 展开更多

关键词 Common Vulnerability Scoring system (cvss) Large Language Models (LLMs) DALL-E Prompt Injections Training Data Poisoning cvss Metrics

在线阅读 下载PDF 职称材料

一种自动优化CVSSv2.0漏洞指标的评估方法 被引量：4

3

作者 廖丹 周明 +1 位作者 刘丹 田忠 《计算机工程与应用》 CSCD 北大核心 2015年第2期103-107,124,共6页

针对CVSS v2.0主观性强、操作性差,建立自动化评估模型困难的问题,提出在CVSS v2.0评估体系的基础上,改进其评价指标体系,把评价指标分为主客观两类;使用BP神经网络自学习原理再次优化评价因子;并建立基于BP神经网络的自动化评估模型,... 针对CVSS v2.0主观性强、操作性差,建立自动化评估模型困难的问题,提出在CVSS v2.0评估体系的基础上,改进其评价指标体系,把评价指标分为主客观两类;使用BP神经网络自学习原理再次优化评价因子;并建立基于BP神经网络的自动化评估模型,快速地对输入指标的特征做逼近实效的量化。通过MATLAB仿真验证了该方法的有效性、准确性与可行性。 展开更多

关键词 通用漏洞评估系统(cvss) 指标量化 反向传播(BP)神经网络 评估模型 MATLAB

在线阅读 下载PDF 职称材料

CVSS环境评分值的分布特点研究 被引量：5

4

作者 席荣荣 云晓春 张永铮 《高技术通讯》 CAS CSCD 北大核心 2014年第1期10-15,共6页

利用统计分析方法对通用漏洞评分系统(CVSS)的环境评分值的分布特点进行了研究,得出了环境评分值中存在众数的结论,并得到了环境评分值的最大偏离值与基本评分值之间的函数关系。最后从美国国家漏洞数据库NVD中提取了三个严重程度分别... 利用统计分析方法对通用漏洞评分系统(CVSS)的环境评分值的分布特点进行了研究,得出了环境评分值中存在众数的结论,并得到了环境评分值的最大偏离值与基本评分值之间的函数关系。最后从美国国家漏洞数据库NVD中提取了三个严重程度分别为高、中、低的漏洞信息对所得结论进行了验证。结果表明,漏洞的环境评分值中存在众数,而且环境评分值的最大偏离值与基本评分值之间满足上述函数关系。 展开更多

关键词 通用漏洞评分系统(cvss) 环境评分值 众数 最大偏离值

在线阅读 下载PDF 职称材料

通用安全漏洞评估系统(CVSS)简介及应用建议 被引量：4

5

作者 李锐 《计算机安全》 2011年第5期58-60,共3页

对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨。

关键词 cvss 安全 安全漏洞

在线阅读 下载PDF 职称材料

CVSS环境指标变量对系统安全的影响研究 被引量：4

6

作者 周诗洋 傅鹂 《计算机工程与科学》 CSCD 北大核心 2016年第12期2463-2470,共8页

通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和... 通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。 展开更多

关键词 漏洞 通用漏洞评分体系(cvss) 环境指标 评分 安全

在线阅读 下载PDF 职称材料

基于攻击树与CVSS的工业控制系统风险量化评估 被引量：17

7

作者 王作广 魏强 刘雯雯 《计算机应用研究》 CSCD 北大核心 2016年第12期3785-3790,共6页

针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型;然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复... 针对如何进行工业控制系统(ICS)全面客观的风险量化评估与分析,提出了一种新的ICS风险量化评估方法。该方法首先建立系统攻击树与攻击者模型;然后根据ICS的安全特性利用CVSS对攻击树叶子节点进行综合客观的量化,并给出资产价值损失的复数表达式,结合概率风险评估方法分别计算得到攻击序列、目标节点的风险概率与风险值;最后通过攻击者模型综合攻击序列与攻防两端的分析,提取系统最大风险环节与组件。案例分析表明,该方法能减少风险要素量化过程中人为主观因素的影响,得到风险的综合定量描述,并找到系统最大风险环节和最需要防护的组件,从而采取有针对性的防护措施以实现合理高效的风险消除和规避,验证了该方法的有效性与可行性。 展开更多

关键词 工业控制系统 攻击树 通用漏洞评分系统 风险评估 攻击序列

在线阅读 下载PDF 职称材料

一种融合CVSS的信息安全终端安全评估模型 被引量：3

8

作者 王强 孟浩华 《计算机与数字工程》 2016年第4期675-682,共8页

针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安... 针对目前电力行业对于安全防护较弱、可控性较低的桌面终端、操作终端没有能够反映电力行业信息安全终端特征的评估方法,论文根据电力行业信息系统安全要求,以及桌面终端、操作终端所面临的安全威胁,提出一种融入CVSS的信息安全终端安全评估模型,对安全评估体系和评分标准进行了研究和探讨。该模型能够满足电力行业桌面终端安全评估的需求和目标,包括详细的评估项目以及可量化的评价体系;最后在该评估模型的基础上实现了对电力行业信息安全终端进行自动化安全评估的工具。 展开更多

关键词 桌面终端 操作终端 cvss 脆弱性量化 威胁量化

在线阅读 下载PDF 职称材料

基于CVSS漏洞评分标准的网络攻防量化方法研究 被引量：9

9

作者 张必彦 王孟 《兵器装备工程学报》 CAS 北大核心 2018年第4期147-150,共4页

针对当前网络安全评估中对攻防行为量化时所存在的随意性与标准不一致等问题,提出一种基于CVSS评分标准的网络攻防量化方法;为体现网络攻防的实质,将网络中主机所存在的系统漏洞作为量化分析的出发点,从攻击与防御两个维度剖析网络对抗... 针对当前网络安全评估中对攻防行为量化时所存在的随意性与标准不一致等问题,提出一种基于CVSS评分标准的网络攻防量化方法;为体现网络攻防的实质,将网络中主机所存在的系统漏洞作为量化分析的出发点,从攻击与防御两个维度剖析网络对抗行为,将网络攻防行为分解为攻击成本、攻击收益、防御成本、防御收益4个要素,以CVSS评分标准中的指标与分值作为网络攻防行为四要素的量化依据,确保了量纲的一致性与科学性,并分别给出了具体的量化算法;最后以某一安全漏洞为例,通过实例分析,证明了该网络攻防量化方法的有效性与可行性,具有一定的理论意义与实践价值。 展开更多

关键词 网络安全评估 攻防行为 cvss评分标准 量化分析

在线阅读 下载PDF 职称材料

基于攻击树和CVSS的网络攻击效果评估方法 被引量：9

10

作者 潘刚 米士超 +3 位作者 郭荣华 黄丽刚 王金锁 李凯 《电子技术应用》 2022年第4期76-80,共5页

为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概... 为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概率进行求解;然后,基于CVSS漏洞信息建立网络攻击效果量化评估模型;最后,采用实例进行验证分析说明。该方法能够充分利用己有的攻击行为研究成果,评估结果较为客观,且思路清晰,算法简单,具有较强的通用性和工程应用价值。 展开更多

关键词 攻击树 模糊层次分析法 cvss漏洞 网络攻击 效果评估

在线阅读 下载PDF 职称材料

基于Renyi交叉熵与CVSS的网络安全态势评估模型 被引量：4

11

作者 李小雨 王怀彬 《天津理工大学学报》 2019年第5期12-17,共6页

网络安全态势评估对于保证网络的可靠运行具有非常重要意义,是一种重要的网络监管手段.本文提出一种基于网络流量评估、威胁评估、和漏洞评估三个模块的网络安全态势评估模型,弥补单一考虑网络某一方面因素的方式从而导致网络安全态势... 网络安全态势评估对于保证网络的可靠运行具有非常重要意义,是一种重要的网络监管手段.本文提出一种基于网络流量评估、威胁评估、和漏洞评估三个模块的网络安全态势评估模型,弥补单一考虑网络某一方面因素的方式从而导致网络安全态势的评估不够全面的问题.本文介绍了如何部署该网络框架,并如何应用此网络框架实时地反应网络安全态势.通过与其他算法进行对比,结果表明该方法可以准确、合理地反应网络安全态势. 展开更多

关键词 网络安全 cvss Renyi交叉熵 态势评估

在线阅读 下载PDF 职称材料

计算机排球技术统计系统—CVSS

12

作者 牛本生 苏红 《电脑学习》 1993年第1期18-20,30,共4页

关键词 排球技术 统计 计算机 cvss

在线阅读 下载PDF 职称材料

信息系统缺陷评估与CVSS体系

13

作者 邓维立 申大武 《移动信息》 2018年第7期81-83,共3页

鉴于计算机信息系统的安全性问题越来越严重,许多计算机安全解决方案提供商和一些非营利性组织研究、制定并实施了信息系统缺陷的评估标准,但是这些企业标准间没有互操作性。分析了信息系统缺陷评估要素和评估模式,重点介绍了由NIAC领... 鉴于计算机信息系统的安全性问题越来越严重,许多计算机安全解决方案提供商和一些非营利性组织研究、制定并实施了信息系统缺陷的评估标准,但是这些企业标准间没有互操作性。分析了信息系统缺陷评估要素和评估模式,重点介绍了由NIAC领导下受全球最具影响力的IT厂商支持的“通用缺陷评估体系”。通过对IOS DOS、Microsoft LSASS(Sasser Worm)、Microsoft Outlook Express Scripting三个知名漏洞的评估过程,展示了如何进行基于CVSS的系统缺陷评分定级。随着包括思科在内的一些大软件厂商开始使用CVSS,相信不远的将来CVSS将会迅速盛行。 展开更多

关键词 通用缺陷评估体系(cvss) 信息系统缺陷 远程侵入

在线阅读 下载PDF 职称材料

MITRE ATT&CK-Driven Threat Analysis for Edge-IoT Environment and a Quantitative Risk Scoring Model

14

作者 Tae-hyeon Yun Moohong Min 《Computer Modeling in Engineering & Sciences》 2025年第11期2707-2731,共25页

The dynamic,heterogeneous nature of Edge computing in the Internet of Things(Edge-IoT)and Industrial IoT(IIoT)networks brings unique and evolving cybersecurity challenges.This study maps cyber threats in Edge-IoT/IIoT... The dynamic,heterogeneous nature of Edge computing in the Internet of Things(Edge-IoT)and Industrial IoT(IIoT)networks brings unique and evolving cybersecurity challenges.This study maps cyber threats in Edge-IoT/IIoT environments to the Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK)framework by MITRE and introduces a lightweight,data-driven scoring model that enables rapid identification and prioritization of attacks.Inspired by the Factor Analysis of Information Risk model,our proposed scoring model integrates four key metrics:Common Vulnerability Scoring System(CVSS)-based severity scoring,Cyber Kill Chain–based difficulty estimation,Deep Neural Networks-driven detection scoring,and frequency analysis based on dataset prevalence.By aggregating these indicators,the model generates comprehensive risk profiles,facilitating actionable prioritization of threats.Robustness and stability of the scoring model are validated through non-parametric correlation analysis using Spearman’s and Kendall’s rank correlation coefficients,demonstrating consistent performance across diverse scenarios.The approach culminates in a prioritized attack ranking that provides actionable guidance for risk mitigation and resource allocation in Edge-IoT/IIoT security operations.By leveraging real-world data to align MITRE ATT&CK techniques with CVSS metrics,the framework offers a standardized and practically applicable solution for consistent threat assessment in operational settings.The proposed lightweight scoring model delivers rapid and reliable results under dynamic cyber conditions,facilitating timely identification of attack scenarios and prioritization of response strategies.Our systematic integration of established taxonomies with data-driven indicators strengthens practical risk management and supports strategic planning in next-generation IoT deployments.Ultimately,this work advances adaptive threat modeling for Edge/IIoT ecosystems and establishes a robust foundation for evidence-based prioritization in emerging cyber-physical infrastructures. 展开更多

关键词 MITRE ATT&CK edge environment IOT threat analysis quantitative analysis deep neural network cvss risk assessment scoring model

在线阅读 下载PDF 职称材料

收益与代价相结合的漏洞修复模型 被引量：4

15

作者 汪志亮 顾乃杰 李凯 《小型微型计算机系统》 CSCD 北大核心 2009年第11期2163-2168,共6页

漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给... 漏洞修复是增强网络安全性的重要方法,选择性地修复网络中漏洞具有现实意义.提出一种收益与代价相结合的漏洞修复模型BCVRM.漏洞修复收益评价算法基于简化的攻击图生成算法,对比漏洞修复前后网络整体及相关各类型主机安全状态的提升,给出漏洞修复的总收益.漏洞修复代价评分系统基于CVSS对漏洞属性信息的描述,给出单个漏洞修复代价的评分规则,然后结合漏洞所属主机类型及漏洞分布情况给出网络漏洞修复代价.实例网络分析表明,该模型能够为网络管理人员提供一个切实可行的网络漏洞修复策略. 展开更多

关键词 漏洞修复 攻击图 cvss 收益 代价

在线阅读 下载PDF 职称材料

一种基于攻防图的网络安全防御策略生成方法 被引量：2

16

作者 戚湧 莫璇 李千目 《计算机科学》 CSCD 北大核心 2016年第10期130-134,149,共6页

复杂的网络多步攻击是当前典型的强目的性网络攻击方式,状态攻防图技术是对其进行建模分析的一种有效方案。但是,当前主流的状态攻防图技术在实施过程中存在众多局限性,如原子攻击成功概率的计算、攻击危害指数定义,使得在实际应用中如... 复杂的网络多步攻击是当前典型的强目的性网络攻击方式,状态攻防图技术是对其进行建模分析的一种有效方案。但是,当前主流的状态攻防图技术在实施过程中存在众多局限性,如原子攻击成功概率的计算、攻击危害指数定义,使得在实际应用中如果实施人员的经验不足,则很难反映出真实网络安全态势。分析现有基于状态攻防图的网络安全防御策略生成方法的不足,改进脆弱点危害评分标准,引入攻击累计成功概率及主机信息资产值的概念,重新定义原子攻击危害指数与攻击路径危害指数的计算方式,对安全策略生成所需考虑的因素进行扩充,对安全策略的生成方法进行优化,实现攻击场景建模和攻击意图挖掘。最后通过算例分析验证了改进的方法更加易于实施和客观分析,为管理人员做出合理的防御决策提供了有效的辅助。 展开更多

关键词 攻防图 cvss 网络安全 防御策略

在线阅读 下载PDF 职称材料

基于信息融合的网络安全态势评估模型 被引量：42

17

作者 李方伟 张新跃 +1 位作者 朱江 张海波 《计算机应用》 CSCD 北大核心 2015年第7期1882-1887,共6页

针对分布式拒绝服务(DDoS)攻击评估不准确和网络安全态势评估不全面的问题,提出了一种基于信息融合的网络安全态势评估模型。首先,提出了以数据包信息为原始数据的DDoS攻击威胁评估方法,提高了评估的准确性;然后,对原有的通用弱点评价体... 针对分布式拒绝服务(DDoS)攻击评估不准确和网络安全态势评估不全面的问题,提出了一种基于信息融合的网络安全态势评估模型。首先,提出了以数据包信息为原始数据的DDoS攻击威胁评估方法,提高了评估的准确性;然后,对原有的通用弱点评价体系(CVSS)进行改进并对漏洞脆弱性进行评估,使得评估更加全面;其次,结合客观权重和主观权重,并以序列二次规划(SQP)算法对组合权重进行寻优,降低了融合的不确定性;最后,将三者进行融合得到网络的安全态势。通过搭建入侵检测平台,利用不同的规则库,针对相同DDoS攻击的报警数会相差3个数量级,与依赖报警数评估方法相比,以数据包信息评估DDoS攻击的方法可得到准确的DDoS攻击威胁态势。仿真对比结果表明,提出的模型和方法能够提高评估结果准确度。 展开更多

关键词 拒绝服务攻击评估 通用弱点评价体系 组合权重 序列二次规划 态势评估

在线阅读 下载PDF 职称材料

基于属性攻击图的网络动态威胁分析技术研究 被引量：18

18

作者 杨英杰 冷强 +2 位作者 常德显 潘瑞萱 胡浩 《电子与信息学报》 EI CSCD 北大核心 2019年第8期1838-1846,共9页

该文首先利用属性攻击图理论构建了网络动态威胁分析属性攻击图(DT-AAG)模型,该模型在全面刻画系统漏洞和网络服务导致的威胁转移关系的基础上,结合通用漏洞评分标准(CVSS)和贝叶斯概率转移计算方法设计了威胁转移概率度量算法;其次基... 该文首先利用属性攻击图理论构建了网络动态威胁分析属性攻击图(DT-AAG)模型,该模型在全面刻画系统漏洞和网络服务导致的威胁转移关系的基础上,结合通用漏洞评分标准(CVSS)和贝叶斯概率转移计算方法设计了威胁转移概率度量算法;其次基于构建的DT-AAG模型,利用威胁与漏洞、服务间的关联关系,设计了动态威胁属性攻击图生成算法(DT-AAG-A),并针对生成的属性攻击图存在的威胁传递环路问题,设计了环路消解机制;最后通过实验验证了该模型和算法的有效性。 展开更多

关键词 属性攻击图 威胁转移 通用漏洞评分标准 传递环路

在线阅读 下载PDF 职称材料

一种通用漏洞评级方法 被引量：14

19

作者 王秋艳 张玉清 《计算机工程》 CAS CSCD 北大核心 2008年第19期133-136,140,共5页

漏洞是网络安全事件的主要根源,漏洞的大量存在及其带来的危害使漏洞评级变得尤为重要。该文分析目前著名安全机构和生产厂商对漏洞进行评级的特点,介绍通用缺陷评估系统(CVSS)及其存在的缺点,在CVSS的基础上提出一种更完善的定量评级方... 漏洞是网络安全事件的主要根源,漏洞的大量存在及其带来的危害使漏洞评级变得尤为重要。该文分析目前著名安全机构和生产厂商对漏洞进行评级的特点,介绍通用缺陷评估系统(CVSS)及其存在的缺点,在CVSS的基础上提出一种更完善的定量评级方法CVRS,通过评估实例说明了CVRS的有效性和优越性。 展开更多

关键词 漏洞 通用缺陷评估系统 评级方法

在线阅读 下载PDF 职称材料

面向智能汽车的信息安全漏洞评分模型 被引量：6

20

作者 于海洋 陈秀真 +2 位作者 马进 周志洪 侯书凝 《网络与信息安全学报》 2022年第1期167-179,共13页

随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题。大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用。... 随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题。大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用。漏洞管理是降低漏洞危害、改善汽车安全的有效手段。在漏洞管理流程中,漏洞评估是决定漏洞处置优先级的重要一环。但是,现有的漏洞评分系统不能合理地评估智能汽车安全漏洞。为了解决智能汽车漏洞评估不合理的问题,提出面向智能汽车的信息安全漏洞评分模型。基于通用漏洞评分系统(CVSS)漏洞评分原理,根据智能汽车的特点,优化了CVSS的攻击向量和攻击复杂度,并添加了财产安全、隐私安全、功能安全和生命安全4个指标来刻画漏洞可能对智能汽车造成的影响;结合机器学习的方法,对CVSS评分公式参数进行了调整,以使其更好地刻画智能汽车信息安全漏洞特点,适应调整后的指标权重。通过实例评估和统计系统特征分布发现,模型拥有更好的多样性和更稳定连续的特征分布,表明模型可以更好地对不同漏洞进行评分;并且基于模型评估得到的漏洞评分,应用层次分析法给出整车脆弱性评估,表征整车风险水平。所提模型相比现有模型可以更为合理地评价智能汽车中信息安全漏洞的严重程度,科学地评估整车或者部分系统的安全风险,为汽车漏洞的修复与加固提供依据。 展开更多

关键词 智能汽车 通用漏洞评分系统 漏洞评分 风险评估 非线性回归 层次分析法

在线阅读 下载PDF 职称材料