◆馮冰彬 王 娟

?

網(wǎng)站漏洞挖掘與安全評(píng)估技術(shù)綜述

◆馮冰彬 王 娟

(成都信息工程大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 610225)

網(wǎng)站本身的漏洞會(huì)導(dǎo)致商業(yè)機(jī)密、個(gè)人隱私的泄露，進(jìn)而造成一系列嚴(yán)重影響。因此，針對(duì)網(wǎng)站的漏洞挖掘與安全評(píng)估技術(shù)受到越來(lái)越多的關(guān)注，具有很強(qiáng)的實(shí)用價(jià)值。本文首先綜述了常見(jiàn)的網(wǎng)站漏洞及其防護(hù)技術(shù)，進(jìn)而綜述了漏洞挖掘的相關(guān)技術(shù)，包括掃描、二進(jìn)制比對(duì)、數(shù)據(jù)挖掘等等。最后，綜述了網(wǎng)站安全評(píng)估技術(shù)，特別是基于漏洞挖掘的評(píng)估技術(shù)，通過(guò)對(duì)不同漏洞的威脅進(jìn)行評(píng)價(jià)，給出網(wǎng)站整體的安全評(píng)估結(jié)果和防護(hù)建議。

漏洞挖掘；安全評(píng)估；數(shù)據(jù)挖掘；二進(jìn)制比對(duì)

0 引言

近年來(lái)，安全事件層出不窮。網(wǎng)站安全已成為全世界面臨的主要問(wèn)題之一，而網(wǎng)站漏洞又是威脅網(wǎng)絡(luò)安全最重要的因素之一。據(jù)中國(guó)信息安全測(cè)評(píng)中心國(guó)內(nèi)外信息安全漏洞態(tài)勢(shì)報(bào)告，漏洞數(shù)量增長(zhǎng)趨勢(shì)依舊持續(xù)。

網(wǎng)站存在漏洞，易被攻擊者植入木馬、病毒等，對(duì)網(wǎng)站的安全性能、用戶的隱私、數(shù)據(jù)及財(cái)產(chǎn)安全造成威脅。因此，對(duì)漏洞挖掘技術(shù)的研究，有利于研究者挖掘出更多的漏洞，及時(shí)對(duì)漏洞進(jìn)行打補(bǔ)丁，減少被攻擊率。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，使得管理人員了解網(wǎng)絡(luò)安全現(xiàn)狀，有針對(duì)地采取安全措施，提高網(wǎng)絡(luò)安全水平，將風(fēng)險(xiǎn)控制在可接受的范圍。為了保護(hù)網(wǎng)站安全，發(fā)現(xiàn)網(wǎng)站漏洞，提出解決方案，及時(shí)對(duì)網(wǎng)站進(jìn)行加固，對(duì)網(wǎng)站安全進(jìn)行總體評(píng)估具有現(xiàn)實(shí)價(jià)值和理論意義。

本文從漏洞的種類出發(fā)分別介紹了其各自的危害及防護(hù)技術(shù)。進(jìn)而簡(jiǎn)要介紹了目前的網(wǎng)站安全評(píng)估技術(shù)，為依據(jù)漏洞評(píng)估網(wǎng)站風(fēng)險(xiǎn)打下基礎(chǔ)。

1 常見(jiàn)漏洞與防護(hù)技術(shù)

常見(jiàn)的網(wǎng)絡(luò)威脅種類包括操作系統(tǒng)的漏洞，服務(wù)器的漏洞，Web應(yīng)用的漏洞等。

1.1 操作系統(tǒng)漏洞與防護(hù)

操作系統(tǒng)漏洞是指計(jì)算機(jī)操作系統(tǒng)本身所存在的問(wèn)題或技術(shù)缺陷。目前大眾普遍使用的操作系統(tǒng)為微軟的Windows操作系統(tǒng)。

Windows操作系統(tǒng)出現(xiàn)漏洞，某些是由于軟件設(shè)計(jì)失誤而產(chǎn)生，而另一些則由于用戶設(shè)置不當(dāng)所引發(fā)。文獻(xiàn)[1]針對(duì)以上兩種不同的錯(cuò)誤采用了以下兩種不同的方式加以解決：

（1）設(shè)計(jì)錯(cuò)誤：及時(shí)下載微軟推出的相應(yīng)補(bǔ)丁程序，并安裝；

（2）設(shè)置錯(cuò)誤：用戶則應(yīng)及時(shí)修改配置。

1.2 服務(wù)器漏洞與防護(hù)

Web服務(wù)器在運(yùn)行過(guò)程中，時(shí)刻受到各種安全威脅，包括利用IIS攻擊、SQL注入、拒絕服務(wù)等。

Web服務(wù)器上存在的漏洞包括以下幾種常見(jiàn)形式：

（1）Web服務(wù)器因各種原因無(wú)法完成用戶的訪問(wèn)請(qǐng)求；

（2）公共網(wǎng)關(guān)接口安全方面存在的漏洞；

（3）遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí)，如用戶賬號(hào)、密碼等重要信息，傳輸過(guò)程中遭受不法分子的攔截。

針對(duì)以上Web服務(wù)器存在的安全問(wèn)題，文獻(xiàn)[2]詳細(xì)介紹了Web服務(wù)器的防護(hù)技術(shù)，包括：防篡改網(wǎng)頁(yè)技術(shù)、密碼安全、反向代理、蜜罐技術(shù)、設(shè)置IP訪問(wèn)限制、加強(qiáng)客戶端管理。

1.3 Web應(yīng)用漏洞與防護(hù)

OWASP（開(kāi)放式Web應(yīng)用程序安全項(xiàng)目）組織每年都會(huì)公布TOP10 Web應(yīng)用程序安全風(fēng)險(xiǎn)漏洞。其中，注入和失效的身份認(rèn)證和會(huì)話管理是Web應(yīng)用程序中兩大高危漏洞。

（1）注入

幾乎任何數(shù)據(jù)源都能成為注入載體，包括用戶、參數(shù)、外部和內(nèi)部Web服務(wù)。當(dāng)攻擊者向解釋器發(fā)送惡意數(shù)據(jù)時(shí)，注入漏洞就產(chǎn)生。注入能導(dǎo)致數(shù)據(jù)丟失或數(shù)據(jù)破壞、缺乏可審計(jì)性或是拒絕服務(wù)。注入漏洞有時(shí)甚至能導(dǎo)致完全主機(jī)接管。

為了防止注入漏洞，需要將數(shù)據(jù)與命令語(yǔ)句、查詢語(yǔ)句分隔開(kāi)來(lái)。最佳選擇是使用安全的API，完全避免使用解釋器，或提供參數(shù)化界面的接口，或遷移到ORM或?qū)嶓w框架。使用正面的或“白名單”的具有恰當(dāng)?shù)囊?guī)范化的輸入驗(yàn)證方法同樣會(huì)有助于防止注入攻擊。對(duì)于任何剩余的動(dòng)態(tài)查詢，可以使用該解釋器的特定轉(zhuǎn)義語(yǔ)法轉(zhuǎn)義特殊字符。

（2）失效的身份認(rèn)證和會(huì)話管理

大多數(shù)身份和訪問(wèn)管理系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，普遍存在身份認(rèn)證失效問(wèn)題。攻擊者可以使用手動(dòng)方式檢測(cè)失效的身份驗(yàn)證，通常會(huì)關(guān)注密碼轉(zhuǎn)儲(chǔ)，或者在類似于釣魚(yú)攻擊之后，發(fā)現(xiàn)失效的身份認(rèn)證。

為了防止失效的身份認(rèn)證和會(huì)話管理攻擊，可以采取以下措施：

①使用非過(guò)時(shí)的哈希技術(shù)來(lái)存儲(chǔ)密碼；

②執(zhí)行弱密碼檢查；

③在盡可能的地方，實(shí)現(xiàn)多因素身份驗(yàn)證；

④當(dāng)憑證填充、蠻力和其他攻擊被檢測(cè)到，日志記錄身份驗(yàn)證失敗并警告管理員。

2 漏洞挖掘技術(shù)

2.1 網(wǎng)絡(luò)爬蟲(chóng)與掃描

掃描通常是進(jìn)行漏洞挖掘前的一個(gè)步驟。Web漏洞掃描技術(shù)包括端口掃描、主機(jī)掃描、操作系統(tǒng)指紋識(shí)別掃描等[3]，是一種比較有效的主動(dòng)防御技術(shù)[4]。通過(guò)掃描端口、主機(jī)及操作系統(tǒng)，可以得到很多有價(jià)值的信息，利用這些信息進(jìn)一步推斷出可能存在的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)爬蟲(chóng)是可以自動(dòng)抓取互聯(lián)網(wǎng)信息的程序。其主要目的是將互聯(lián)網(wǎng)上的網(wǎng)頁(yè)下載到本地進(jìn)行鏡像以備進(jìn)一步分析處理[3]。掃描和網(wǎng)絡(luò)爬蟲(chóng)都只是挖掘漏洞的一個(gè)步驟，獲取一些有價(jià)值的信息幫助研究者加以分析，但是它們都無(wú)法直接掃描到漏洞，需要配合使用其他的技術(shù)或者利用插件對(duì)網(wǎng)站的漏洞進(jìn)行挖掘。

文獻(xiàn)[3]采用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)對(duì)爬取下來(lái)的數(shù)據(jù)進(jìn)行分析，提取出內(nèi)容與漏洞利用代碼片段或證明漏洞存在的代碼片段進(jìn)行比對(duì)，判斷網(wǎng)站是否存在漏洞。文獻(xiàn)[5]使用端口掃描技術(shù)，實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的以端口掃描模塊和爬蟲(chóng)模塊為核心的漏洞掃描系統(tǒng)。文獻(xiàn)[6]將傳統(tǒng)的網(wǎng)絡(luò)漏洞掃描技術(shù)與Web指紋技術(shù)結(jié)合在一起使用，采用Wapplyzer技術(shù)提取Web應(yīng)用指紋特征，再使用歐氏距離KMN算法匹配指紋數(shù)據(jù)庫(kù)的指紋數(shù)據(jù)，實(shí)現(xiàn)了一個(gè)Web應(yīng)用程序漏洞掃描系統(tǒng)。

以上文獻(xiàn)中所提系統(tǒng)在實(shí)驗(yàn)中均被證明了其可行性，但是它們掃描漏洞的效率和精確度不高。還需要改進(jìn)更加優(yōu)化的算法以提高系統(tǒng)對(duì)漏洞的掃描效率和精確度，改善插件技術(shù)以掃描出更多的漏洞，尤其是新型漏洞。

2.2 二進(jìn)制比對(duì)技術(shù)

二進(jìn)制比對(duì)技術(shù)[7]可稱為補(bǔ)丁比對(duì)技術(shù)，它主要是被用以挖掘“已知”的漏洞，因此在一定意義上也可被認(rèn)為是一種漏洞分析技術(shù)。由于不知道漏洞的確切位置和成因，因此需要通過(guò)比較補(bǔ)丁前后的二進(jìn)制文件以確定漏洞的位置和成因。

補(bǔ)丁比對(duì)技術(shù)有很多，簡(jiǎn)單的比較方法有二進(jìn)制字節(jié)比較和二進(jìn)制文件反匯編后的文本比較[7]。文獻(xiàn)[8]提出一種基于補(bǔ)丁比對(duì)和靜態(tài)污點(diǎn)分析的漏洞定位方法，該方法通過(guò)分析大量開(kāi)源軟件的緩沖區(qū)溢出錯(cuò)誤的實(shí)例，提取6種緩沖區(qū)錯(cuò)誤的漏洞定位模型，通過(guò)將補(bǔ)丁比對(duì)和污點(diǎn)傳播的結(jié)合，生成污點(diǎn)傳播路徑圖，將補(bǔ)丁源碼的污點(diǎn)傳播路徑圖與定位模型匹配以定位某小塊代碼，采用污點(diǎn)查找精確定位漏洞所在行。

目前在二進(jìn)制漏洞問(wèn)題上，很多研究者只是簡(jiǎn)單的對(duì)某些可執(zhí)行文件進(jìn)行二進(jìn)制漏洞挖掘，而且還是主要停留在挖掘緩沖區(qū)溢出、整數(shù)溢出這些常見(jiàn)的漏洞挖掘技術(shù)上，對(duì)那些少見(jiàn)的或未知的漏洞并未進(jìn)行研究，也未實(shí)現(xiàn)自動(dòng)化及提出相關(guān)漏洞解決方案。

2.3 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘[9]是指從大量數(shù)據(jù)中提取知識(shí)。數(shù)據(jù)挖掘包括很多數(shù)據(jù)前期處理，用爬蟲(chóng)爬取數(shù)據(jù)，然后做數(shù)據(jù)的清洗，數(shù)據(jù)的整合，數(shù)據(jù)有效性檢測(cè)，數(shù)據(jù)可視化等，最后用一些統(tǒng)計(jì)的或者機(jī)器學(xué)習(xí)的算法來(lái)抽取某些有用的“知識(shí)”。文獻(xiàn)[10]基于數(shù)據(jù)挖掘技術(shù)，運(yùn)用Apriori算法進(jìn)行漏洞與軟件之間的關(guān)聯(lián)分析，運(yùn)用ARTrp和ARIMA時(shí)序算法對(duì)漏洞出現(xiàn)規(guī)律進(jìn)行預(yù)測(cè)，采用BI Dev Studio建立挖掘結(jié)構(gòu)和挖掘模型，針對(duì)Secuma安全漏洞庫(kù)中的漏洞數(shù)據(jù)，實(shí)驗(yàn)得到了一組描述漏洞與軟件之間存在關(guān)系的關(guān)聯(lián)規(guī)則，以及漏洞數(shù)量的時(shí)序預(yù)測(cè)值。文獻(xiàn)[11]通過(guò)對(duì)網(wǎng)站利用特征選擇、數(shù)據(jù)挖掘、數(shù)據(jù)分析和統(tǒng)計(jì)技術(shù)的方法進(jìn)行在線異常行為分析來(lái)檢測(cè)任何惡意代碼或已遭受Web注入攻擊的頁(yè)面，以克服網(wǎng)站的脆弱性。文獻(xiàn)[12]使用混合的方法來(lái)檢測(cè)更少誤報(bào)的漏洞，在使用污點(diǎn)分析來(lái)標(biāo)記候選漏洞的初始步驟之后，再使用數(shù)據(jù)挖掘來(lái)預(yù)測(cè)誤報(bào)的存在。

因此，在網(wǎng)站漏洞挖掘過(guò)程中，可以使用數(shù)據(jù)挖掘的方法來(lái)分析，識(shí)別出某些威脅、欺詐、入侵、異常行為和無(wú)效的數(shù)據(jù)等。

3 網(wǎng)站安全評(píng)估

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，使得管理人員了解網(wǎng)絡(luò)安全現(xiàn)狀，有針對(duì)地采取安全措施，可以將風(fēng)險(xiǎn)控制在可接受的范圍。網(wǎng)絡(luò)安全評(píng)估通常是綜合考慮資產(chǎn)、威脅、脆弱性三個(gè)方面的因素進(jìn)行評(píng)估。

常用的網(wǎng)絡(luò)安全評(píng)估方法可以分為三大類：定性評(píng)估方法、定量評(píng)估方法和綜合評(píng)估方法。文獻(xiàn)[13]將定性和定量?jī)煞N評(píng)估方法結(jié)合了起來(lái)，采用了綜合評(píng)估方法，建立了一個(gè)基于CC標(biāo)準(zhǔn)和多層線性加權(quán)綜合評(píng)判的網(wǎng)絡(luò)安全評(píng)估模型，該算法通過(guò)確定權(quán)重集及指標(biāo)綜合計(jì)算，計(jì)算出某單位內(nèi)部綜合信息網(wǎng)的安全等級(jí)為3級(jí)，驗(yàn)證了該評(píng)估模型的合理性。有的研究者利用神經(jīng)網(wǎng)絡(luò)的適應(yīng)性比較強(qiáng)的優(yōu)點(diǎn)將神經(jīng)網(wǎng)絡(luò)應(yīng)用在網(wǎng)絡(luò)安全評(píng)估上，如文獻(xiàn)[14]在BP神經(jīng)網(wǎng)絡(luò)算法[15]的基礎(chǔ)上利用遺傳算法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)的仿真模型進(jìn)行改進(jìn)，對(duì)GABP神經(jīng)網(wǎng)絡(luò)算法在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)方面的應(yīng)用進(jìn)行了深入的研究。文獻(xiàn)[16]先計(jì)算出每個(gè)漏洞占漏洞數(shù)據(jù)庫(kù)模塊內(nèi)保存的若干漏洞總數(shù)中的分?jǐn)?shù)，再根據(jù)漏洞數(shù)據(jù)庫(kù)模塊中的規(guī)則，調(diào)用相應(yīng)的測(cè)試函數(shù)對(duì)需要評(píng)估的網(wǎng)站域名下的所有網(wǎng)頁(yè)進(jìn)行模擬攻擊，最后根據(jù)漏洞的個(gè)數(shù)得出網(wǎng)站安全風(fēng)險(xiǎn)評(píng)估的分?jǐn)?shù)，以實(shí)現(xiàn)對(duì)網(wǎng)站安全風(fēng)險(xiǎn)的評(píng)估。除此之外，網(wǎng)絡(luò)掃描技術(shù)也是最常用的技術(shù)手段，是一種主動(dòng)出擊的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù)[17]。

有的研究者還提出基于漏洞挖掘的評(píng)估技術(shù)。如文獻(xiàn)[18]根據(jù)漏洞評(píng)估值的分布函數(shù)來(lái)計(jì)算未來(lái)可能發(fā)現(xiàn)的漏洞概率，提出了基于概率的漏發(fā)風(fēng)險(xiǎn)評(píng)估值誤差減少算法。文獻(xiàn)[19]對(duì)主機(jī)基本信息進(jìn)行探測(cè)，通過(guò)規(guī)則匹配發(fā)現(xiàn)系統(tǒng)的脆弱性信息，從而進(jìn)行綜合評(píng)估。文獻(xiàn)[20]在通用脆弱點(diǎn)評(píng)分系統(tǒng)基礎(chǔ)上進(jìn)行改進(jìn)，設(shè)計(jì)了一種更具多樣性且更能反映實(shí)際情況的脆弱點(diǎn)評(píng)分方法。該方法由分析后得出的一系列實(shí)際系統(tǒng)約束規(guī)則出發(fā)，使用最優(yōu)脆弱點(diǎn)評(píng)分權(quán)值組合搜索算法和基于信息熵的權(quán)值組合選擇算法，聯(lián)合確定目標(biāo)網(wǎng)絡(luò)的最優(yōu)脆弱點(diǎn)評(píng)分權(quán)值組合，最終實(shí)現(xiàn)對(duì)脆弱點(diǎn)的最優(yōu)評(píng)分。現(xiàn)階段，我國(guó)的網(wǎng)絡(luò)安全防護(hù)技術(shù)包括數(shù)據(jù)包的過(guò)濾技術(shù)分析、應(yīng)用網(wǎng)關(guān)技術(shù)分析、狀態(tài)檢測(cè)技術(shù)分析。

綜上，可以通過(guò)對(duì)主機(jī)掃描，操作系統(tǒng)的識(shí)別，服務(wù)器漏洞的挖掘及網(wǎng)站漏洞的挖掘，再對(duì)挖掘出的主機(jī)端、操作系統(tǒng)端、服務(wù)器端及Web應(yīng)用可能出現(xiàn)的漏洞的危險(xiǎn)級(jí)別進(jìn)行總體評(píng)價(jià)，進(jìn)而使用各種綜合評(píng)估方法對(duì)網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估以了解網(wǎng)絡(luò)安全現(xiàn)狀，有針對(duì)地采取安全措施，將風(fēng)險(xiǎn)控制在可接受的范圍。

4 未來(lái)展望

漏洞分析本身是一項(xiàng)較為復(fù)雜的課題，國(guó)際上的研究歷史并不長(zhǎng)，國(guó)內(nèi)的相關(guān)研究工作也才剛剛起步。目前針對(duì)網(wǎng)站漏洞挖掘已開(kāi)發(fā)出各種工具，但是這些工具都只是單一地針對(duì)主機(jī)的漏洞、操作系統(tǒng)的漏洞或者服務(wù)器的漏洞，并未實(shí)現(xiàn)集成化。很多研究者設(shè)計(jì)的系統(tǒng)只實(shí)現(xiàn)了部分自動(dòng)化，對(duì)掃描出的可能漏洞未進(jìn)行網(wǎng)站安全等級(jí)評(píng)估，也未提出相應(yīng)漏洞解決方案。在二進(jìn)制領(lǐng)域的挖掘，還存在挖掘步驟復(fù)雜、準(zhǔn)確率低，需要大量人工參與，自動(dòng)化程度低。如何實(shí)現(xiàn)二進(jìn)制漏洞的自動(dòng)化挖掘，改進(jìn)其算法是未來(lái)的研究方向。另外，研究漏洞特別是新型漏洞對(duì)網(wǎng)站的安全威脅，提出一個(gè)基于漏洞發(fā)現(xiàn)的網(wǎng)絡(luò)安全評(píng)估算法是未來(lái)需要解決的難題之一。最后，現(xiàn)有手段重掃描輕修補(bǔ)，漏洞修補(bǔ)建議未充分參考軟件系統(tǒng)自身的特性，因此，根據(jù)軟件系統(tǒng)自身的特性提出漏洞修補(bǔ)建議是未來(lái)研究方向之一。

[1]韓秀芹.操作系統(tǒng)漏洞分析與防范[J].中國(guó)石油和化工， 2011.

[2]孫也.Web服務(wù)器安全防護(hù)技術(shù)分析與探討[J].科技傳播， 2015.

[3]趙星.Web漏洞挖掘與安全防護(hù)研究[D].中北大學(xué)， 2016.

[4]尹彥濤.Web漏洞掃描系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].中國(guó)海洋大學(xué)，2014.

[5]Xiao Y, Yang H, Lin N, et al. Research and Design of Network Version Vulnerability Scanning System Based on WEB[J]，2017(aiea).

[6]He H, Chen L, Guo W. Research on Web Application Vulnerability Scanning System based on Fingerprint Feature[C]// International Conference on Mechanical, Electronic, Control and Automation Engineering，2017.

[7]遲強(qiáng)，羅紅，喬向東.漏洞挖掘分析技術(shù)綜述[J].計(jì)算機(jī)與信息技術(shù)，2009.

[8]達(dá)小文，毛俐旻，吳明杰等.一種基于補(bǔ)丁比對(duì)和靜態(tài)污點(diǎn)分析的漏洞定位技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2017.

[9]Ghaffarian S M, Shahriari H R. Software Vulnerability Analysis and Discovery Using Machine-Learning and Data-Mining Techniques: A Survey[J]. Acm Computing Surveys，2017.

[10]張雪芹，徐金瑜，張建軍等.基于數(shù)據(jù)挖掘技術(shù)的信息安全漏洞預(yù)警[C].信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估大會(huì)，2012.

[11]Satam P, Kelly D, Hariri S. Anomaly behavior analysis of website vulnerability and security[C]// Computer Systems and Applications. IEEE，2017.

[12]Ibéria Medeiros, Neves N F, Correia M. Automatic detection and correction of web application vulnerabilities using data mining to predict false positives[C]// International Conference on World Wide Web，2014.

[13]關(guān)卿，楊鸞，陰東鋒.網(wǎng)絡(luò)安全評(píng)估研究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2012.

[14]溫斯琴，王彪.基于神經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)仿真模型[J].現(xiàn)代電子技術(shù)，2017.

[15]郭強(qiáng).神經(jīng)網(wǎng)絡(luò)在計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中的應(yīng)用研究[J].佳木斯職業(yè)學(xué)院學(xué)報(bào)，2017.

[16]鄭美惠. 網(wǎng)站安全風(fēng)險(xiǎn)評(píng)估系統(tǒng): CN106330954A[P]，2017.

[17]李非.探討網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[18]王娜.基于漏洞掃描的脆弱性評(píng)估系統(tǒng)研究與設(shè)計(jì)[D].合肥工業(yè)大學(xué)，2013.

[19]于毅.基于漏洞掃描的系統(tǒng)脆弱性評(píng)估研究[D].西安電子科技大學(xué)，2008.

[20]周誠(chéng)，李偉偉，莫璇等.一種網(wǎng)絡(luò)安全脆弱性評(píng)估方法[J].江蘇大學(xué)學(xué)報(bào)(自然科學(xué)版)，2017.