| 摘要 | 第5-7页 |
| ABSTRACT | 第7-9页 |
| 缩略语对照表 | 第16-23页 |
| 第1章 绪论 | 第23-46页 |
| 1.1 漏洞库建设及漏洞标准化的意义 | 第23-30页 |
| 1.1.1 漏洞库建设与漏洞标准化的意义 | 第24-28页 |
| 1.1.2 漏洞标准化在IT领域的广泛应用 | 第28-29页 |
| 1.1.3 自动化漏洞分类与分级的必要性 | 第29-30页 |
| 1.2 研究背景 | 第30-41页 |
| 1.2.1 安全漏洞库建设与研究现状 | 第31-34页 |
| 1.2.2 国内外漏洞相关标准研究现状 | 第34-40页 |
| 1.2.3 安全漏洞数据的自动化处理技术 | 第40-41页 |
| 1.3 课题支持 | 第41页 |
| 1.4 本文主要工作 | 第41-43页 |
| 1.5 论文组织结构 | 第43-45页 |
| 1.6 本章小结 | 第45-46页 |
| 第2章 安全漏洞危害评估标准分散性研究 | 第46-79页 |
| 2.1 引言 | 第46-51页 |
| 2.1.1 改进CVSS的必要性 | 第46-50页 |
| 2.1.2 本章贡献 | 第50页 |
| 2.1.3 本章结构 | 第50-51页 |
| 2.2 相关工作 | 第51-54页 |
| 2.2.1 安全漏洞危害评估系统相关研究介绍 | 第51-52页 |
| 2.2.2 安全漏洞危害评估系统CVSS介绍 | 第52-54页 |
| 2.3 CVSS 2.0存在的问题 | 第54-62页 |
| 2.3.1 危害评估指标的出现概率 | 第54-55页 |
| 2.3.2 CVSS危害值的分布 | 第55-56页 |
| 2.3.3 危害评估指标取值数与理想态分布 | 第56-57页 |
| 2.3.4 危害评估指标关联性定性分析 | 第57-61页 |
| 2.3.5 危害评估指标权重分析 | 第61-62页 |
| 2.4 基于主成分分析法的CVSS PCA危害评估系统 | 第62-66页 |
| 2.4.1 CVSS PCA的整体过程 | 第62-63页 |
| 2.4.2 主成分分析法PCA的计算结果 | 第63-65页 |
| 2.4.3 归一化计算过程 | 第65页 |
| 2.4.4 映射 | 第65-66页 |
| 2.5 CVSS PCA结果分析 | 第66-74页 |
| 2.5.1 危害值分布分析 | 第66-68页 |
| 2.5.2 指标取值个数分析 | 第68-69页 |
| 2.5.3 指标取值概率分析 | 第69-70页 |
| 2.5.4 指标权重与危害值差别统计 | 第70-74页 |
| 2.6 CVSS PCA客观性研究 | 第74-76页 |
| 2.7 本章小结 | 第76页 |
| 2.8 附录:指标关联性定性分析 | 第76-79页 |
| 第3章 安全漏洞危害评估标准客观性研究 | 第79-93页 |
| 3.1 引言 | 第79-82页 |
| 3.2 相关工作 | 第82-84页 |
| 3.3 Expert System与CVSS的客观性研究 | 第84-87页 |
| 3.3.1 CWE对漏洞危害评估系统的影响 | 第84-85页 |
| 3.3.2 Product对漏洞危害系统的影响 | 第85-87页 |
| 3.4 CVSS修正系统的架构设计 | 第87-90页 |
| 3.4.1 循环排序算法 | 第87-88页 |
| 3.4.2 CSF排序因子 | 第88-89页 |
| 3.4.3 讨论 | 第89-90页 |
| 3.5 结论 | 第90-93页 |
| 第4章 国内外安全漏洞库综述及漏洞库评估 | 第93-107页 |
| 4.1 引言 | 第93-94页 |
| 4.1.1 本章结构 | 第93-94页 |
| 4.2 国内外主流安全漏洞库介绍 | 第94-102页 |
| 4.2.1 国内外主流漏洞库总体介绍 | 第94-95页 |
| 4.2.2 国内外主流漏洞库版权说明 | 第95-96页 |
| 4.2.3 国内外主流漏洞库特点分析 | 第96-102页 |
| 4.3 安全漏洞库评估标准 | 第102-106页 |
| 4.3.1 漏洞数据来源的独立性 | 第102-103页 |
| 4.3.2 漏洞数据是否包含验证代码 | 第103页 |
| 4.3.3 漏洞数据规模与数据全面性 | 第103-104页 |
| 4.3.4 漏洞字段的全面性 | 第104页 |
| 4.3.5 支持SCAP标准协议情况 | 第104-105页 |
| 4.3.6 漏洞库的被引用次数 | 第105-106页 |
| 4.4 本章小结 | 第106-107页 |
| 第5章 安全漏洞库标准化建设相关技术研究 | 第107-121页 |
| 5.1 引言 | 第107-108页 |
| 5.2 安全漏洞库数据来源 | 第108-109页 |
| 5.3 漏洞包含字段 | 第109-111页 |
| 5.3.1 漏洞基本信息的字段 | 第109-110页 |
| 5.3.2 漏洞分类信息字段 | 第110页 |
| 5.3.3 漏洞危害评估相关字段 | 第110-111页 |
| 5.3.4 漏洞环境信息字段 | 第111页 |
| 5.4 漏洞库模块设计 | 第111-112页 |
| 5.5 主要模块介绍 | 第112-119页 |
| 5.5.1 前端显示模块 | 第112-113页 |
| 5.5.2 数据爬虫模块 | 第113-114页 |
| 5.5.3 数据清洗模块 | 第114-115页 |
| 5.5.4 数据去重模块 | 第115-117页 |
| 5.5.5 漏洞自动化分类分级模块 | 第117页 |
| 5.5.6 漏洞统计报告自动化生成模块 | 第117-118页 |
| 5.5.7 半自动化翻译模块 | 第118-119页 |
| 5.6 本章小结 | 第119-121页 |
| 第6章 安全漏洞关联性与自动化去重技术研究 | 第121-141页 |
| 6.1 引言 | 第121-124页 |
| 6.1.1 标准漏洞库构建的难点 | 第122页 |
| 6.1.2 本章贡献 | 第122-123页 |
| 6.1.3 本章结构 | 第123-124页 |
| 6.2 相关工作与异构数据的分析 | 第124-126页 |
| 6.2.1 主流漏洞库和标准 | 第124页 |
| 6.2.2 漏洞数据融合的相关研究 | 第124-126页 |
| 6.2.3 文本类型字段的异构情况分析 | 第126页 |
| 6.2.4 漏洞参考链接的分析 | 第126页 |
| 6.3 相关知识介绍 | 第126-128页 |
| 6.3.1 权重计算算法 | 第126-127页 |
| 6.3.2 相似度算法 | 第127-128页 |
| 6.4 UVDA框架的设计与实现 | 第128-132页 |
| 6.4.1 设计思想和目的 | 第128页 |
| 6.4.2 整体流程和实现 | 第128-130页 |
| 6.4.3 漏洞数据收集模块 | 第130-131页 |
| 6.4.4 UVDA构建模块 | 第131-132页 |
| 6.5 用漏洞字段处理模块 | 第132-134页 |
| 6.5.1 漏洞信息分析 | 第133页 |
| 6.5.2 漏洞字段特征提取 | 第133页 |
| 6.5.3 漏洞数据处理 | 第133-134页 |
| 6.6 环境设置与试验结果分析 | 第134-139页 |
| 6.6.1 系统环境设置 | 第134-135页 |
| 6.6.2 UVDA数据融合过程及结果 | 第135页 |
| 6.6.3 与其他融合框架的对比 | 第135-138页 |
| 6.6.4 与其他漏洞数据库的对比 | 第138-139页 |
| 6.7 本章小结 | 第139-141页 |
| 第7章 安全漏洞自动化危害评估与分类技术研究 | 第141-173页 |
| 7.1 引言 | 第141-143页 |
| 7.1.1 漏洞字段自动化的必要性及难点 | 第141-142页 |
| 7.1.2 本章贡献 | 第142-143页 |
| 7.1.3 本章组织结构 | 第143页 |
| 7.2 相关工作 | 第143-147页 |
| 7.2.1 安全漏洞评估标准 | 第143-144页 |
| 7.2.2 通用漏洞评估系统CVSS | 第144-145页 |
| 7.2.3 自动化安全漏洞评估框架 | 第145页 |
| 7.2.4 漏洞分类标准 | 第145-147页 |
| 7.2.5 自动化安全漏洞分类框架 | 第147页 |
| 7.3 ASVA总体思路与框架设计 | 第147-151页 |
| 7.3.1 ASVA的整体流程 | 第148-149页 |
| 7.3.2 ASVA的三种特征获取模式 | 第149-151页 |
| 7.3.3 ASVA特征提取中的混合模式 | 第151页 |
| 7.4 ASVA算法实现 | 第151-156页 |
| 7.4.1 漏洞数据的获取 | 第151-152页 |
| 7.4.2 漏洞数据的清洗 | 第152-153页 |
| 7.4.3 指标获取模式的确定 | 第153-154页 |
| 7.4.4 指标特征降维和获取 | 第154-155页 |
| 7.4.5 关键指标的训练和分类 | 第155-156页 |
| 7.4.6 危害值与危害等级的计算 | 第156页 |
| 7.5 ASVC框架设计与算法实现 | 第156-160页 |
| 7.5.1 安全漏洞数据的获取 | 第157-158页 |
| 7.5.2 安全漏洞数据清洗 | 第158页 |
| 7.5.3 分类特征降维 | 第158-159页 |
| 7.5.4 漏洞特征获取算法 | 第159-160页 |
| 7.5.5 漏洞数据的训练和分类 | 第160页 |
| 7.6 实验结果分析 | 第160-170页 |
| 7.6.1 实验数据获取及准备 | 第160-161页 |
| 7.6.2 ASVA实验结果分析 | 第161-165页 |
| 7.6.3 ASVC实验结果分析 | 第165-170页 |
| 7.7 本章小结 | 第170-173页 |
| 第8章 结论和展望 | 第173-175页 |
| 8.1 取得成果 | 第173-174页 |
| 8.2 后续工作和展望 | 第174-175页 |
| 参考文献 | 第175-189页 |
| 致谢 | 第189-191页 |
| 作者简介 | 第191-192页 |