Ändra sökning
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
Can the Common Vulnerability Scoring System be Trusted?: A Bayesian Analysis
KTH, Skolan för elektro- och systemteknik (EES), Elkraftteknik. (Software Systems Architecture & Security)ORCID-id: 0000-0002-3293-1681
KTH, Skolan för elektroteknik och datavetenskap (EECS), Nätverk och systemteknik. (Software Systems Architecture & Security)ORCID-id: 0000-0003-3089-3885
KTH, Skolan för elektro- och systemteknik (EES), Elkraftteknik. (Software Systems Architecture & Security)ORCID-id: 0000-0003-3922-9606
SICS.
2018 (Engelska)Ingår i: IEEE Transactions on Dependable and Secure Computing, ISSN 1545-5971, E-ISSN 1941-0018, Vol. 15, nr 6, s. 1002-1015, artikel-id 7797152Artikel i tidskrift (Refereegranskat) Published
Abstract [en]

The Common Vulnerability Scoring System (CVSS) is the state-of-the art system for assessing software vulnerabilities. However, it has been criticized for lack of validity and practitioner relevance. In this paper, the credibility of the CVSS scoring data found in five leading databases – NVD, X-Force, OSVDB, CERT-VN, and Cisco – is assessed. A Bayesian method is used to infer the most probable true values underlying the imperfect assessments of the databases, thus circumventing the problem that ground truth is not known. It is concluded that with the exception of a few dimensions, the CVSS is quite trustworthy. The databases are relatively consistent, but some are better than others. The expected accuracy of each database for a given dimension can be found by marginalizing confusion matrices. By this measure, NVD is the best and OSVDB is the worst of the assessed databases.

Ort, förlag, år, upplaga, sidor
IEEE Press, 2018. Vol. 15, nr 6, s. 1002-1015, artikel-id 7797152
Nyckelord [en]
cyber security, software vulnerability, CVSS, information security
Nationell ämneskategori
Datorsystem
Identifikatorer
URN: urn:nbn:se:kth:diva-200695DOI: 10.1109/TDSC.2016.2644614ISI: 000449980000008Scopus ID: 2-s2.0-85056520813OAI: oai:DiVA.org:kth-200695DiVA, id: diva2:1070329
Forskningsfinansiär
EU, FP7, Sjunde ramprogrammet, 607109Myndigheten för samhällsskydd och beredskap, MSB , 2015-6986StandUp
Anmärkning

QC 20170202

Tillgänglig från: 2017-02-01 Skapad: 2017-02-01 Senast uppdaterad: 2019-03-12Bibliografiskt granskad

Open Access i DiVA

Fulltext saknas i DiVA

Övriga länkar

Förlagets fulltextScopus

Personposter BETA

Johnson, PontusLagerström, RobertEkstedt, Mathias

Sök vidare i DiVA

Av författaren/redaktören
Johnson, PontusLagerström, RobertEkstedt, Mathias
Av organisationen
ElkraftteknikNätverk och systemteknik
I samma tidskrift
IEEE Transactions on Dependable and Secure Computing
Datorsystem

Sök vidare utanför DiVA

GoogleGoogle Scholar

doi
urn-nbn

Altmetricpoäng

doi
urn-nbn
Totalt: 367 träffar
RefereraExporteraLänk till posten
Permanent länk

Direktlänk
Referera
Referensformat
  • apa
  • harvard1
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annat format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annat språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf