一种基于AHP模型的浏览器漏洞分类方法

J4 ›› 2014, Vol. 36 ›› Issue (11): 2137-2141.

一种基于AHP模型的浏览器漏洞分类方法

孟永党1，蔡军1，何骏1，纪锋2

(1.装备学院复杂电子系统仿真实验室,北京 101416；2.总装备部后勤部,北京 100000)

收稿日期:2014-06-15 修回日期:2014-08-20 出版日期:2014-11-25 发布日期:2014-11-25
基金资助:
国家863计划资助项目（2012AA012902）

An AHP-based browser vulnerability taxonomy

MENG Yongdang1,CAI Jun1,HE Jun1,JI Feng2

(1.Key Laboratory of Science and Technology for National Defense,Academy of Equipment,Beijing 101416；2.Logistics Department,General Armament Department,Beijing 100000,China)

Received:2014-06-15 Revised:2014-08-20 Online:2014-11-25 Published:2014-11-25

摘要/Abstract

摘要：

通过对浏览器安全漏洞的形成原因和利用效果进行分析，并利用层次分类模型，提出了一种基于AHP模型的浏览器安全漏洞分类方法。该方法从漏洞成因和攻击效果两个维度上对浏览器安全漏洞进行分类，并把分类结果与CNNVD的分类方法的分类结果进行了对比，结果表明本文的分类方法具有更好的适用性。

关键词: 浏览器, 漏洞, 层次分类模型

Abstract:

Through analyzing the causes and effects of the browser vulnerabilities, we propose an AHPbased browser vulnerability taxonomy using the Analytic Hierarchy Process (AHP).According to the causes and attack effects of vulnerabilities,this taxonomy classifies the browser vulnerabilities,and compares the classification results with that of the CNNVD taxonomy.The results reveal that the applicability of the proposal is better.

Key words: browser;vulnerability;Analytic Hierarchy Process (AHP)

孟永党1，蔡军1，何骏1，纪锋2. 一种基于AHP模型的浏览器漏洞分类方法[J]. J4, 2014, 36(11): 2137-2141.

MENG Yongdang1,CAI Jun1,HE Jun1,JI Feng2. An AHP-based browser vulnerability taxonomy [J]. J4, 2014, 36(11): 2137-2141.

参考文献［8］

［1］	Abbott R P,Chin J S, Donnelley J E, et al. Security analysis and enhancements of computer operating system［R］. NBSIR 761041, Institute for Computer Sciences and Technology, National Bureau of Standards, 1976.
［2］	Landwher C E, Bull A R, McDermott J P, et al. A taxonomy of computer program security flaws［J］. ACM Computing Surveys,1994, 26(3):211254．
［3］	Aslam T，Krsul I，Spafford E. Use of a taxonomy of security ［C］∥Proc of the 19th NCSC National Information Systems Security Conference, 1996:1.
［4］	Bishop M. A taxonomy of Unix system and network vulnerabilities ［R］. Technical Report 9510, Davis:Department of Computer Science, University of California, 1995.
［5］	Common vulnerabilities and eExposures(CVE)［EB/OL］.［20140410］. http://www.cve.mitre.org/.
［6］	Christey S M.CVE abstraction content decisions:Rationale and application［EB/OL］.［20140410］. http://www.cve.mitre. org/cve/editorial_policies/cd_abstraction.html#big_four.
［7］	China Information Technology Security Evaluation Center.China national vulnerability database of information security［EB/OL］.［20140410］.http://www.cnnvd.org.cn/.(in Chinese)
［8］	Du Jingnong,Lu Yansheng.Taxonomy of webbased application vulnerabilities［J］.Computer Engineering and Applications,2009,45(25):1014.(in Chinese)
	附中文参考文献：
［7］	中国信息安全测评中心.China national vulnerability database of information security［EB/OL］.［20140410］.http://www.cnnvd.org.cn/.
［8］	杜经农,卢炎生.一种Web软件安全漏洞分类方法［J］.计算机工程与应用,2009,45(25):1014.

[1]	李彤彤, 王诗蕊, 张耀方, 王佰玲, 王子博, 刘红日, . 面向工控系统漏洞的多维属性评估[J]. 计算机工程与科学, 2023, 45(02): 261-268.
[2]	牛胜杰, 李鹏, 张玉杰, . 模糊测试技术研究综述[J]. 计算机工程与科学, 2022, 44(12): 2173-2186.
[3]	刘豪, 马慧芳, 龚楠, 闫彩瑞. 基于多粒度语义分析的二进制漏洞搜索方法[J]. 计算机工程与科学, 2021, 43(12): 2169-2176.
[4]	周诗洋,傅鹂. #br# CVSS环境指标变量对系统安全的影响研究[J]. 计算机工程与科学, 2016, 38(12): 2463-2470.
[5]	蔡军，邹鹏，熊达鹏，何骏. 结合静态分析与动态符号执行的软件漏洞检测方法[J]. 计算机工程与科学, 2016, 38(12): 2536-2541.
[6]	左玉丹，丁滟，魏立峰. Linux内核提权攻击研究[J]. 计算机工程与科学, 2016, 38(11): 2234-2239.
[7]	徐永健1,2,王丹1,陈渝2,范文良2. 使用符号化驱动环境检测Linux设备驱动程序的漏洞[J]. J4, 2016, 38(02): 290-296.
[8]	范文良，茅俊杰，肖奇学，徐永健，杨维康，陈渝. 辅助检测Linux驱动中漏洞的符号驱动环境[J]. J4, 2015, 37(06): 1058-1063.
[9]	杨军，林岩龙，李龙杰，王小鹏. 基于快速Delaunay三角化的散乱点曲面重建算法[J]. J4, 2015, 37(06): 1189-1195.
[10]	钟军,吴雪阳,江一民,段光明. 一种安全协议的安全性分析及攻击研究[J]. J4, 2014, 36(06): 1077-1082.
[11]	鲁智勇1，江亮2，唐朝京2. 效率优先的主机安全属性漏洞树建模研究[J]. J4, 2011, 33(8): 45-52.
[12]	冯〓锴,林柏钢. 跨站脚本漏洞的白盒测试框架的设计和实现[J]. J4, 2011, 33(10): 45-50.
[13]	余杰, 李舟军, 张翀斌, 李强. 主动Web漏洞扫描中的场景技术研究[J]. J4, 2010, 32(3): 31-34.
[14]	胡华平[1] 宋祖曼[2] 王璞[2]. 基于模糊匹配的补丁文件定位算法研究[J]. J4, 2007, 29(4): 62-63.
[15]	刘云生涂咏秋. 一种新型嵌入式浏览器解析布局器的实现[J]. J4, 2006, 28(9): 28-29.