ورود
مقالات فارسیISIکنفرانسهاژورنالها

روشی مبتنی بر مدل امنیتی برای ارزیابی پویا از خطر حملات چندمرحله ای شبکه های کامپیوتری DOR:۲۰.۱۰۰۱.۱.۲۳۲۲۴۳۴۷.۱۴۰۰.۹.۱.۱۳.۰

Publish place: Electronic and cyber defense، Vol: 9، Issue: 1
Publish Year: 1400
نوع سند: مقاله ژورنالی
زبان: Persian
View: 371

This Paper With 18 Page And PDF Format Ready To Download

  • Certificate
  • من نویسنده این مقاله هستم

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این Paper:
https://civilica.com/doc/1203808

شناسه ملی سند علمی:

JR_PADSA-9-1_013

تاریخ نمایه سازی: 22 اردیبهشت 1400

Abstract:

با گسترش روزافزون آسیب­پذیری­ها در شبکه­های کامپیوتری وابستگی ابعاد مختلف زندگی بشر به شبکه، امن­سازی شبکه­ها در برابر حملات ضروری است. در این راستا مقاوم­سازی کم­هزینه به­دلیل محدودیت بودجه در زمره چالش­های مورد توجه مدیران امنیتی است. برآورده­سازی این هدف، با اولویت­بندی آسیب­پذیری­ها از ­نظر میزان خطر و انتخاب آسیب­پذیری­های پر خطر برای حذف ممکن می­شود. در این­باره سامانه امتیازدهی به آسیب­پذیری عام یا CVSS برای تعیین میزان خطر ناشی از بهره­برداری شدن از آسیب­پذیری­ها معرفی شده است و استفاده فراوانی دارد. اما باید دقت داشت که در CVSS، شدت آسیب­پذیری تنها بر اساس خصوصیات ذاتی تعیین می­شود و عوامل زمانی مثل احتمال معرفی ابزارهای بهره­برداری از آسیب­پذیری نادیده گرفته می­شوند. بنابراین، CVSS نمی­تواند ارزیابی پویایی از خطر داشته باشد. همچنین،CVSS  متمایزسازی کارایی از آسیب­پذیری­ها از نقطه­نظر خطر وارده به سامانه را انجام نمی­دهد بدین دلیل که، تنها تعداد محدودی عدد برای امتیازدهی به انبوهی از آسیب­پذیری­ها موجود است. به­علاوه CVSS، ارزیابی خطر را فقط برای تک­ آسیب­پذیری­ها انجام می­دهد و ارزیابی عمده حملات که حملات چندمرحله­ای هستند توسط CVSS ممکن نیست. در این مقاله، به­منظور بهبود عملکرد CVSS و تعدادی از سامانه های ارزیابی خطر موجود، سامانه برای ارزیابی پویای خطر حملات چندمرحله­ای با در نظر گرفتن عوامل زمانی ارائه شده است. توسعه سامانه معرفی شده بر اساس مدل امنیتی و تعریف معیارهای امنیتی مبتنی بر مدل امنیتی، ایده اصلی مقاله بوده که ارزیابی خطر حملات چندمرحله ای را توسط سامانه پیشنهادی ممکن ساخته است. همچنین، قابلیت ارزیابی خطر حملات چند مرحله ای روز صفر را می توان به­عنوان یک ویژگی منحصربه­فرد برای سامانه پیشنهادی معرفی کرد که سامانه های امتیازدهی فعلی قادر به انجام آن نیستند. در CVSS، تاثیر مخرب ۵/۳۵ درصد از آسیب­پذیری­ها روی سه پارامتر امنیتی محرمانگی، یکپارچکی و دسترسی پذیری یکسان گزارش می­شود. در  صورتی که در سامانه امتیازدهی پیشنهادی، با در نظر گرفتن اولویت نسبی بین سه پارامتر امنیتی، مجزاسازی درصد مذکور از آسیب پذیری ها از نقطه نظر میزان آسیب به سامانه  ممکن می­شود. همچنین ماهیت پیوسته واحد ارزیابی احتمال پویای سامانه پیشنهادی در مقابل ماهیت گسسته تابع محاسبه احتمال CVSS، گوناگونی امتیازات را گسترش می­دهد.

Keywords:

Authors

مرجان کرامتی

عضو هیات علمی گروه علوم کامپیوتر دانشگاه سمنان

مراجع و منابع این Paper:

لیست زیر مراجع و منابع استفاده شده در این Paper را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود Paper لینک شده اند :
  • S. Abraham and S. Nair, “A Predictive Framnework for Cyber ...
  • C. Frühwirth and T. Männistö, “Improving CVSS-based vulnerability prioritization and ...
  • H. Ghani, J. Luna, and N. Suri, “Quantitative assessment of ...
  • S. H. Houmb and V. N. L. Franqueira, “Estimating ToE ...
  • G. Spanos, A. Sioziou, and L. Angelis, “WIVSS: a new ...
  • MITRE CVE, “Common Vulnerabilities an Scoring,” https://cve.mitre.org/, ۲۰۱۸ ...
  • OSVBD, “Open Sourced Vulnerability Database,” http://osvdb.org/, ۲۰۱۸ ...
  • Nessus, “Vulnerability Assessment Solution,” http://www.tenable.com/products/nessus-vulnerability-scanner, ۲۰۱۸ ...
  • L. Gallon, “Vulnerability discrimination using cvss framework,” In New Technologies, ...
  • N. Idika and B. Bhargava, “Extending Attack Graph-based Security Metrics ...
  • T. Hamid, C. Maple, and P. Sant, “Methodologies to Develop ...
  • L. Xie, X. Zhang, and J. Zhang, “Network Security Risk ...
  • J. Pamula, S. Jajodia, P. Ammann, and V. Swarup, “A ...
  • IBM, “X-Force frequently asked questions,” http://www-۳۵.ibm.com/services/us/iss/xforce/faqs.html, ۲۰۱۸ ...
  • Qualys, “Severities Knowledge Base,” http://www.qualys.com/research/knowledge/severity/, ۲۰۱۸ ...
  • CVSS, “Common Vulnerability Scoring System,” https://www.first.org/cvss, ۲۰۱۸ ...
  • CVE, “Common Vulnerabilities and Exposures,” https://cve.mitre.org, ۲۰۱۸ ...
  • K. Scarfone and P. Mell, “An Analysis of CVSS Version ...
  • M. Keramati, “Attack Graph Based system for Risk Assessment of ...
  • Mozilla, “Mozilla Foundation Security Advisories,” "http://www.mozilla.org/security/announce/, ۲۰۱۸ ...
  • Q. Liu and Y. Zhang, “VRSS: A new system for ...
  • M. Albanese, S. Jajodia, A. Singhal, and L. Wang, “An ...
  • W. Nzoukou, L. Wang, S. Jajodia, and A. Singhal, “A ...
  • NVD, “National Vulnerability DataBase,” https://nvd.nist.gov, ۲۰۱۸ ...
  • F. Chen, D. Liu,Y. Zhang, and J. Su, “A Scalable ...
  • H. Joh and Y. K. Malaiya, “Defining and Assessing Quantitative ...
  • S. Frei, S. May, U. Fiedler and B. Plattner, “Large-scale ...
  • E. Triantaphyllou and K. Baig, “The Impact of Aggregating Benefit ...
  • N. Ghosh and S. K. Ghosh, “An Approach for Security ...
  • S. Abraham and S. Nair, “Cyber Security Analytics: A Stochastic ...
  • Y. Ru et al., “Risk assessment of cyber attacks in ...
  • S. C. Liu and Y. Liu, “Network security risk assessment ...
  • A. V. Sathanur and D. J. Haglin, “A novel centrality ...
  • E. Weintraub, “Evaluating Damage Potential in Security Risk Scoring Models,” ...
  • A. Younis, Y. K. Malaiya, and I. Ray, “Evaluating CVSS ...
  • P. Johnson, A. Vernotte, D. Gorton, M. Ekstedt, and L. ...
  • I. Kotenko and A. Chechulin, “Fast Network Attack Modeling and ...
  • J. C. Acosta, E. Padilla, and J. Homer, “Augmenting attack ...
  • W. Zhou, H. Zhang, and Li. Q.-M., “A network risk ...
  • M. Keramati, “An Attack Graph Based Method for Predictive Risk ...
  • M. Keramati, “Dynamic Risk Assessment System for the Vulnerability Scoring,” ...
  • V. Hosseinnezhad and A. Pourhaji Kazem, “Bayesian Networks Based Trust ...
  • K. Shoushian, A. J. Rashidi, and M. Dehghani, “Modeling of ...
  • A. Ur-Rehman, I. Gondal, J. Kamruzzaman, et al., “Vulnerability Modelling ...
    • نمایش کامل مراجع