主流操作系统安全弱点的综合量化评估

Integrated quantitative assessment of mainstream operating systems＇ security vulnerabilities

下载PDF

导出

摘要在前期研究工作的基础上,将基于指数的微观分析和基于风险和的宏观分析相结合,提出了一种综合量化评估主流操作系统安全弱点的方法,并对Windows NT、Redhat Linux和Solaris等3大主流操作系统6个版本的1081个弱点实施了评估。该方法能够有效地分析各操作系统版本的演进对其安全性的影响,以及横向比较操作系统在不同层次、不同方面的安全状况。 On the basis of the previous research work, this paper combines the index-based micro-analysis with the risk sum based macro-analysis to propose an integrated method for quantitative assessment of mainstream operating systems＇ security vulnerabilities, and evaluates 1081 vulnerabilities related to six versions of three mainstream operating systems Windows NT, RedHat Linux and Solaris. This method can be used to effectively analyze the influences of the evolution of the operating systems on their security and compare the security status of the systems from various aspects on various levels.

作者张永铮方滨兴云晓春

机构地区中科院计算所信息智能与信息安全研究中心哈尔滨工业大学计算机网络与信息安全研究技术中心

出处《高技术通讯》 CAS CSCD 北大核心 2007年第4期331-336,共6页 Chinese High Technology Letters

基金国家自然科学基金（60403033）、863计划（2001AA147010B）和国防十五预研（4131571）资助项目.

关键词系统安全弱点评估量化评估弱点关联操作系统 system security, vulnerability assessment, quantitative evaluation, vulnerability correlation, operating system

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献10

1Michener J.System insecurity in the Internet age.IEEE Software,1999,16(4):62-69.
2Bishop M.Vulnerabilities analysis.In:Proceedings of the Second International Symposium on Recent Advances in Intrusion Detection,Purdue University,US,1999.125-136.
3Zhang Y Z,Fang B X,Chi Y,et al.Assessment of windows system security using vulnerability relationship graph.In:Proceedings of 2005 International Conference on Computational Intelligence and Security.LNAI 3802,Springer Verlag.Xi'an,China,2005.415-420.
4Bhargava B,Lilien L.Vulnerabilities and threats in distributed systems.In:Proceedings of International Conference on Distributed Computing & Internet Technology,Bhubaneswar,India,2004.146-157.
5Jiwnani K,Zelkowitz M.Maintaining software with a security perspective.In:Proceedings of International Conference on Software Maintenance,Montréal,2002.194-203.
6Kamara S,Fahmy S,Schultz E,et al.Analysis of vulnerabilities in internet firewalls.Computers & Security,2003,22(3):214-232.
7Hedbom H,Lindskog S,Axelsson S,et al.A comparison of the security of Windows NT and UNIX.In:Proceedings of Third Nordic Workshop on Secure IT Systems,Trondheim,Norway,1998.Available Online at http://citeseer.ist.psu.edu/hedbom98comparison.html.
8张永铮,云晓春,胡铭曾.基于特权提升的多维量化属性弱点分类法的研究[J].通信学报,2004,25(7):107-114. 被引量：35
9Zhang Y Z,Yun X C,Fang B X,et al.A mining method for computer vulnerability correlation.International Journal of Innovative Computing,Information and Control,2005,1(1):43-51.
10SecurityFocus.Bugtraq Vulnerability Database,Available online at http://www.securityfocus.com/bid/.2005.

二级参考文献9

1汪立东.[D].哈尔滨工业大学,2002.
2ASLAM T, KRSUL I, SPAFFORD E H. Use of a taxonomy of security faults[A]. The 19th National Information System Security Conference [C]. Baltimore, Maryland, 1996. 22-25.
3KRSUL I V. Software Vulnerability Analysis[D]. Purdue University, West Lafayette, USA, 1998.
4BISHOP M, BAILEY D. A Critical Analysis of Vulnerability Taxonomies[R]. Technical Report CSE-96-11, Department of Computer Science, University of California, Davis, 1996.
5KNIGHT E, HARTLEY B V. Is your network inviting an attack[J]. Internet Security Advisor, 2000(5/6): 2-5.
6JIWNANI K, ZELKOWITZ M. Maintaining software with a security perspective[A]. ICSM'02[C]. Montréal, 2002. 194-203.
7GLASS R L, VESSEY I. Contemporary application-domain taxonomies[J]. IEEE Software, 1995, 12 (4): 63-76.
8LONGSTAFF T. Update: CERT/CC vulnerability knowledgebase[A]. Technical Presentation at a DARPA Workshop[C]. Savannah, Georgia, 1997.
9单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程,2002,28(10):3-6. 被引量：58

共引文献34

1张维明,毛捍东,陈锋.一种基于图论的网络安全分析方法研究[J].国防科技大学学报,2008,30(2):97-101. 被引量：9
2苘大鹏,张冰,周渊,杨武,杨永田.一种深度优先的攻击图生成方法[J].吉林大学学报（工学版）,2009,39(2):446-452. 被引量：23
3孙亮,李东,张涛.网络攻击图的自动生成[J].计算机应用研究,2006,23(3):119-122. 被引量：13
4张涛,胡铭曾,云晓春,李东,孙亮.网络攻击图生成方法研究[J].高技术通讯,2006,16(4):348-352. 被引量：7
5张永铮,方滨兴,迟悦.计算机弱点数据库综述与评价[J].计算机科学,2006,33(8):19-21. 被引量：8
6张永铮,方滨兴,迟悦,云晓春.用于评估网络信息系统的风险传播模型[J].软件学报,2007,18(1):137-145. 被引量：76
7欧鑫凤,胡铭曾,张涛,张永铮.弱点数据库的建构及其应用研究[J].计算机应用研究,2007,24(3):213-214. 被引量：3
8毛捍东,陈锋,张维明.网络脆弱性建模方法研究[J].计算机工程与应用,2007,43(15):1-5. 被引量：4
9田志宏,张伟哲,张永铮,张宏莉,李洋,姜伟.基于权能转换模型的攻击场景推理、假设与预测[J].通信学报,2007,28(12):78-84. 被引量：9
10张乐君,王巍,国林,杨武,杨永田.基于攻击场景的信息系统生存性计算[J].计算机工程,2008,34(6):137-139. 被引量：1

1张耀疆.信息安全风险管理(三) 风险评估(下)[J].信息网络安全,2004(10):64-66. 被引量：5
2曹剑光,刘凯,周贤伟.利用弱点评估提高入侵检测系统性能的分析与实现[J].计算机工程与设计,2005,26(3):573-574. 被引量：1
3苘大鹏,杨武,杨永田,周渊,张冰.基于弱点关联和安全需求的网络安全评估方法[J].高技术通讯,2009,19(2):141-146. 被引量：2
4Fortinet发布数据库安全设备[J].Windows IT Pro Magazine（国际中文版）,2008(11):91-91.
5向少华.MySQL迁移至SQL Server[J].网络运维与管理,2015,0(2):75-76.
6石新华,武彬.数据存储技术在电力系统中的应用[J].河南科技,2008,27(3):30-30.
7刘尚可.电脑硬件冲突怎么办[J].计算机与网络,2002,28(21):7-7.
8网络类[J].网友世界,2006(2):90-90.
9吴俊.在VB程序中获取准确的操作系统版本[J].新潮电子,2000(7):81-82.
10张倩.2008 R2中玩备份[J].网管员世界,2010(12):33-33.

高技术通讯

2007年第4期

浏览历史

内容加载中请稍等...

主流操作系统安全弱点的综合量化评估

参考文献10

二级参考文献9

共引文献34

相关作者

相关机构

相关主题

浏览历史