基于CVSS漏洞评分标准的网络攻防量化方法研究

针对当前网络安全评估中对攻防行为量化时所存在的随意性与标准不一致等问题,提出一种基于CVSS评分标准的网络攻防量化方法;为体现网络攻防的实质,将网络中主机所存在的系统漏洞作为量化分析的出发点,从攻击与防御两个维度剖析网络对抗行为,将网络攻防行为分解为攻击成本、攻击收益、防御成本、防御收益4个要素,以CVSS评分标准中的指标与分值作为网络攻防行为四要素的量化依据,确保了量纲的一致性与科学性,并分别给出了具体的量化算法;最后以某一安全漏洞为例,通过实例分析,证明了该网络攻防量化方法的有效性与可行性,具有一定的理论意义与实践价值。