常见的攻击模式枚举和分类

Igor Kotenko和安德烈Chechulin。“网络攻击建模和影响评估框架”。5网络冲突IEEE国际会议。2013 - 06。<https: //ieeexplore.ieee.org/文档/6568374>。

基督教施密特和彼得Liggesmeyer。“结构化和重用的模型安全需求来源和安全要求”。21国际会议需求工程,2015 - 03。<http: //ceur-ws.org/- 1342 /卷04-CRE.pdf>。

林黄肩贞丰腴,弗兰克Yeong-Sung林和Yeali美国太阳。“一个新颖的方法来评估软件漏洞优先级”。问题11。《华尔街日报》的系统和软件。Vol.86。信息管理部门,国立台湾大学。2013。<https: //dx.doi.org/10.1016 /j.jss.2013.066.040>。

Kaur Ravneet Sidhu。“对Web应用程序的漏洞”。国际计算机科学杂志和移动计算,2013 - 09年。<https: //www.ijcsmc.com/文档/论文/September2013 /V2I9201334.pdf>。

马赫默罕默德·贾迈勒,Bahaa哈桑博士和阿卜杜勒法塔赫Hegazy。“安全分析框架由一个专家系统”。书:2011卷4,问题6。国际计算机科学杂志和安全(IJCSS)。计算机科学期刊。2011-08-02。<http: //citeseerx.ist.psu.edu/viewdoc /下载?doi = 10.1.1.227.7340&代表= rep1类型= pdf>。

马修·l·黑尔和赛斯汉森。“试验台和过程分析攻击向量和漏洞在混合移动应用程序连接到基于rest的Web服务”。2015 - 09年。2015年IEEE世界大会在2015年服务。。<https: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7196523>。

默罕默德泽Geramiparvar和纳赛尔Modiri。“一个抵消常见的网络攻击方式根据基于指标的模型”。国际计算机科学杂志和网络安全(IJCSNS)。2015 - 02。<https: //pdfs.semanticscholar.org/ea06 /ba248efc981658b494f64974b80b0fb24b4a.pdf>。

Sugandh沙和b . m . Mehtre。“脆弱性评估和渗透测试技术的概述”。问题1。计算机病毒和黑客技术杂志》上。卷11。2014 - 11。<https: //rd.springer.com//条10.1007 /s11416 - 014 - 0231 - x>。

通,Elda Paja,克里斯蒂安·贝克斯,詹妮弗·霍尔科夫和约翰·基斯。“通过Anti-goal细化分析攻击策略”。企业建模的实践:学报》8日联合会WG 8.1。工作会议,诗2015。施普林格,2015 - 11。<https: //books.google.com/书吗?id = kSfUCgAAQBAJ&pg = PA75>。

杰弗里·史密斯,罗勒Krikeles,大卫·k·威滕伯格和米凯尔Taveniku。“应用漏洞检测系统”。2015年IEEE国土安全技术国际研讨会(HST)。XXXX-XX-XX。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7225296>。

谊文朱。“攻击模式本体:攻击组织之间的信息共享的共同语言”。出版。荷兰代尔夫特科技,2015 - 08年。<https: //repository.tudelft.nl /islandora /对象/uuid: 611583 f1 - b200 - 4851 - 915 - e - 76 - a43c42fd46>。

皮,弗吉尼亚N.L. Franqueira登比桶Roel j . Wieringa和巴沙尔Nuseibeh。“通过基于风险的安全需求论证的自动化分析”。系统和软件杂志》上。106卷。2015 - 08年。<http: //www.sciencedirect.com/科学//条pii /S0164121215000850>。

马克西姆·弗莱德曼,Guifre Ruiz Elisa海曼和巴顿p·米勒。“自动化软件设计的风险分析模型”。科学世界日报2014年。2014 - 06。<https: //www.hindawi.com/期刊/tswj /2014 /805856 />。

Guifre Ruiz Elisa海曼,爱德华多·巴顿和塞萨尔p·米勒。“自动化威胁建模在软件开发生命周期”。jornada Sarteco, 2012 - 09年。<https: //research.cs.wisc.edu/雾/论文/Guifre-sep2012.pdf>。

a . Hazeyama m .齐藤n .吉冈a . Kumagai t . Kobashi h . Washizaki h . Kaiya和大久保。“案例基础安全软件开发使用软件安全知识库”。IEEE第39届会议(COMPSAC)计算机软件和应用程序。卷3。2015 - 07。<https: //ieeexplore.ieee.org/文档/7273334 />。

卡拉纳亚历山德罗Oltramari,罗莉信心,Robert j .墙壁和帕特里克•麦克丹尼尔。“计算本体网络运营”。军事通信会议-亚2015。2015 - 10。<https: //ieeexplore.ieee.org/文档/7357462>。

约翰·r·Vacca。“计算机和信息安全Handboook”。第三。摩根Kaufmann出版社。2017。<https: //books.google.com/书吗?id = 05 hudqaaqbaj>。

Jesper Jurcenoks。“OWASP WASC CWE映射关联不同的行业分类”。关键看。2013 - 06。<https: //www.scribd.com/文档/320142562 /Owasp-to-Wasc-Mapping>。

Cheshta王妃和Shivani戈埃尔。“CSAAES:专家系统对网络安全攻击意识”。国际会议上计算、通信和自动化(ICCCA2015)。2015年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7148381>。

能源行业控制系统工作小组。能源输送系统的“网络安全采购语言”。美国能源部。2014 - 04。<http: //www.energy.gov网站/刺激/文件/2014 /04 /f15 /CybersecProcurementLanguage-EnergyDeliverySystems_040714_fin.pdf>。

马克Raugus博士詹姆斯•乌尔里希博士罗伯塔的斯科特·芬克尔斯坦和查理·卡伯特。“风险价值”的网络安全模型。国际网络点。2013 - 01。<https: //www.cyberpointllc.com/文档/CyberVaR.pdf>。

每Hakon Meland。“服务注入:威胁到自我管理复杂的系统”。2011年第九IEEE国际会议上可靠,自主和安全计算。DOI 10.1109 / DASC.2011.25。IEEE计算机协会,2011-12-12。<https: //ieeexplore.ieee.org/文档/6118344>。

帕特里克·h·Engebretson约书亚j .泡利不相容。“CAPEC-Driven层次利用父移植和威胁”。2009年第六次国际会议信息技术:新一代。DOI 10.1109 / ITNG.2009.24。IEEE计算机协会,2009-04-27。<https: //ieeexplore.ieee.org/文档/5070641>。

贾斯汀。“从发布者”。相声。软件工程国防杂志。2014年9月/ 10月。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201409 /201409 - hill.pdf>。

罗伯塔Stempfley。“从赞助商”。2014年3月/ 4月。相声:《防御软件工程。前言。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201403 /201403 - stempfley.pdf>。

通,Elda Paja约翰·基斯·詹妮弗·霍尔科夫和克里斯蒂安·贝克尔。“整体安全需求分析:攻击者的视角”。国际需求工程会议(RE)。2015年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7320439>。

凯伦梅赛德斯Goertzel写到,西奥多·Winograd冬青林恩·麦金利林登哦,迈克尔结肠癌、托马斯·里,伊莱恩Fedchak和罗伯特Vienneau。“先进的报告(高飞)”。软件安全保证。信息保障技术分析中心(IATAC),数据中心和分析软件(dac)。2007-07-31。<https: //apps.dtic.mil /dtic /tr /全文/u2 /a472363.pdf>。

Ioannis Agrafiotis,杰森RC护士,奥利弗·巴克利,菲尔·莱格赛迪短剑和迈克尔·戈德史密斯。“内部威胁检测识别攻击模式”。问题7。计算机欺诈和安全。2015卷。XXX。2015 - 07。<https: //www.sciencedirect.com/科学//条pii /S136137231530066X>。

jean - louis Huynen,文森特•Koenig Gabriele怒不可遏,安娜费雷拉。“在网络空间没有人能听到你年代·奶油——一个社会技术安全”的根本原因分析。施普林格瑞士国际出版。2015年。<http: //rd.springer.com/内容/pdf /10.1007 /978 - 3 - 319 - 24858 - 5 - _16.pdf>。

Andreas Ekelhart Bernhard烤架,马·基斯林,克里斯汀·施特劳斯和基督教的葡萄汁。“整合IT安全攻击者行为分析:离散事件仿真方法”。问题3。信息技术和管理。卷16。施普林格,2015 - 06。<https: //link.springer.com//条10.1007 /s10799 - 015 - 0232 - 6>。

Nicandro Scarabeo,本杰明蔡玫Fung和拉希德Khokhar。从安全相关事件”“矿业已知的攻击模式。PeerJ计算机科学,2015 - 10。<https: //peerj.com/文章/cs - 25. - pdf>。

“任务保证企业工程:系统工程”。系统工程指南。网络威胁敏感性评价。manbetx客户端首页主教法冠公司。<http: //www.rongyidianshang.com/出版物/systems-engineering-guide /企业工程/systems-engineering-for-mission-assurance /cyber-threat-susceptibility-assessment‎>。

名Ansarinia、Seyyed Amir Asghari Afshin Souzani和Ahmadreza Ghaznavi。“基于本体的建模DDoS攻击的攻击检测计划”。2012年第六次国际研讨会上电信(IST)。2011 - 11。<https: //ieeexplore.ieee.org/文档/6483131>。

“v4 OWASP测试指南”。开放的Web应用程序安全项目(OWASP)。2014-09-17。<https: //www.owasp.org/index . php /OWASP_Testing_Guide_v4_Table_of_Contents>。

艾哈迈德·萨拉希和名Ansarinia。“使用类型推断预测网络攻击”。计算研究库(CoRR)。2013年。<https: //arxiv.org/ftp /arxiv /论文/1304 /1304.0913.pdf>。

肖恩·吉尔摩,Reeny Sondhi和斯泰西·辛普森。“软件保证评估原则”。SAFECode。2015年。<http: //www.safecode.org/出版/SAFECode_Principles_for_Software_Assurance_Assessment.pdf>。

高桥、t和Kadobayashi Y . .“网络安全操作信息参考本体论”。电脑杂志。2014年10月。<http: //watermark.silverchair.com/bxu101.pdf吗?令牌= AQECAHi208BE49Ooan9kkhW_Ercy7Dm3ZL_9Cf3qfKAc485ysgAAAkkwggJFBgkqhkiG9w0BBwagggI2MIICMgIBADCCAisGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMPkmZYZVhxK4eE2JaAgEQgIIB_PTcZczWRlsh_Q3VqjnMVOZU66vD60O0vVrkm5f5_hmlL9kherkVsSXWFyZzksTXpgdf-hJja3W4lwFpK3-T1GsTOHvHbTvSk1FDKf3yZupfOqj1u2Od70WW_XNTXJInI8bq72Rc523gysmRHDbIb9zGVee1DQriJpJ5acTUfUfiWKhnNZeaRTF9bBNAJbjsdU4H6fGw5eRDpLVGEwP4kWT0L-9h0s2zRY1lC4A2zn8O5l_ReoaIGoMxGCl9jcbzxbjNI3P1wS8OIFB_VvHUx4dXwJEWMMf9hJCYFyW5tXGfkQpcQurqBCJKp8GqbFlAoiIaWjDRP8L-r_QorpwznZQAN4rlhTuG6kk5b9T5a2qzo5JoBU-v6QInw7C2HzATo5lvkOVbpY8joDWcVVjDCoaN4l6k0fAh-mMPqmHRvqf24KeOSjT5gx1_q_IYs8LbPZfMfTMQwUeia_NgqpD1ddQtlTEXST8Brbcxg6Vz80LlO-WZwXQJ33DuedK3Cs6zcIWMeu9dJo54mP6kjB88Dn8lhCgA-DV53vA3DJyDxwmzqkO_yk70-Exo7i5nL7qELgbj5DooiTtv2vNYc5JoZKhPYQvPDMYzZBZ-jlCgUBqIHO7AKq1Xn0g2ikIpzTA_ASB9XK41XjZc8WGe-MsMRzegy5TtAFQyL8zrkck>。

赵Xianghui彭勇,翟赞金易建联和姚明云冈。“平行研究漏洞发现基于开源数据库和文本挖掘”。2015年国际会议上智能信息隐藏和多媒体信号处理,2015 - 09年。<https: //ieeexplore.ieee.org/文档/7415823>。

约翰内斯Viehmann和弗兰克维尔纳。“大型网络系统的风险评估和安全测试RACOMAT”。施普林格瑞士国际出版。2015年。<http: //rd.springer.com/内容/pdf /10.1007 /978 - 3 - 319 - 26416 - 5 - _1.pdf>。

Touraj Khodadadi, Mojtaba Alizadeh, Somayyeh Gholizadeh, Mazdak Zamani和马赫迪Darvishi。“安全分析方法,同时考虑图形密码”。没有5。Jurnal各种。第72卷。2015年。<http: //www.jurnalteknologi.utm.myindex . php /jurnalteknologi //条视图/3941 /2903年>。

帕诺斯Kampanakis。“安全自动化和信息共享选项”的威胁。数量:12,问题:5。安全与隐私、IEEE。42 - 51页。IEEE计算机协会,2014 - septemnber / 10月。<https: //ieeexplore.ieee.org/文档/6924671>。

迈克尔•s•柯蒂斯Audian h·帕克森,伊娃·e·地堡,纳尔逊·w·地堡和凯文·m·米切尔。“安全对策管理平台”。美国专利申请20140344940。阿基里斯,Inc . D.B.A.关键看。2014-11-20。<http: //www.freepatentsonline.com/y2014 /html 0344940.>。

洛伦佐·马蒂诺,Elisa Bertino Federica奶嘴和安娜Squicciarini。Web服务和面向服务的体系架构的“安全”。施普林格》2009。<http: //books.google.com/书吗?id = RYBKAAAAQBAJ&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

Andreas Ekelhart Bernhard烤架,马·基斯林,克里斯汀·施特劳斯和基督教的葡萄汁。选择安全控制组合:多目标仿真优化方法”。欧元在决策过程》杂志上。斯普林格出版社。2016 - 04。<http: //rd.springer.com//条10.1007 /s40070 - 016 - 0055 - 7>。

海涛Du和Shanchieh杰伊·杨。“混淆网络攻击行动顺序建模序列”。2013年IEEE会议通信和网络安全。2013 - 10。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 6682742 &标签= 1>。

大卫·a·惠勒和罗摩Moorthy。“最先进的资源(高飞)软件漏洞检测、测试、和评价”。艾达纸p - 5061。国防技术信息中心——科技(DTIC)。国防分析研究所(IDA)。2014年7月。<https: //apps.dtic.mil /dtic /tr /全文/u2 /a607954.pdf>。

Igor Kotenko和艾琳娜Doynikova。“CAPEC生成器的攻击场景为基础的网络安全评估”。IEEE 2015第八届国际会议上智能数据采集和先进的计算系统:技术和应用程序(IDAACS)。2015 - 09年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?arnumber = 7340774>。

燕,Irena Bojanova Yaacov Yesha。“他们知道你的弱点,你呢?:重新常见弱点枚举。”供应链保证。相声。9月/ 2015年10月。<http: //static1.1.sqspcdn.com/静态/f /702523 /26523304 /1441780301827 /201509 - wu.pdf>。

亚当Shostack。“威胁建模:设计安全”。威利。2014 - 02。<https: //threatmodelingbook.com/>。

“CWE投票”。SpiderLabs博客。网络爬行。2012-11-06。<https: //www.trustwave.com/en - us /资源/博客/spiderlabs-blog /cwe-the-vote />。

弗雷德里克·Seehusen。“基于风险的安全使用CAPEC测试”。施普林格瑞士国际出版。2015年。<http: //rd.springer.com/内容/pdf /10.1007 /978 - 3 - 319 - 26416 - 5 - _6.pdf>。

布兰登贝利。“一个行之有效的方法来开发安全软件和应用地面系统”。美国国家航空航天局戈达德太空飞行中心,2016 - 02年。<https: //ntrs.nasa.gov /归档/美国国家航空航天局/casi.ntrs.nasa.gov /20160003695. pdf>。

本文档是由CERT能力团队ENISA会商CERT波兰/ NASK(波兰)。“可操作的信息安全应急响应”。欧盟机构网络和信息安全。2014年11月。<https: //www.enisa.europa.eu活动/cert /支持/可操作的信息/actionable-information-for-security /at_download /fullReport>。

布兰登贝利。“解决软件安全”。美国国家航空航天局戈达德太空飞行中心,2015 - 11。<http: //ntrs.nasa.gov /归档/美国国家航空航天局/casi.ntrs.nasa.gov /20150023414. pdf>。

Maurico爸爸和Sujeet Shenoi。“关键基础设施保护二世”。在关键基础设施保护联合会WG 11.10系列。施普林格》2013。<http: //books.google.com/书吗?id = Dbw330LIaMkC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

“首席信息官联邦信息安全管理法案》报告指标”。2012财政年度。美国国土安全部国家网络安全部门联邦网络安全。2012-02-14。<https: //www.dhs.govxlibrary /资产/nppd /ciofismametricsfinal.pdf>。

“首席信息官联邦信息安全管理法案》报告指标”。2014财政年度。美国国土安全部办公室网络安全和通信联邦网络弹性。2014-1-29。<https://www.dhs.gov/sites/default/files/publications/FY14%20CIO % 20年度% 20FISMA % 20Metrics_0_0.pdf>。

劳拉·p·泰勒。“FISMA合规手册”。第二版。Syngress》2013。<http: //books.google.com/书吗?id = _2SV_0aGtPEC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

亚历山德罗Oltramari Noam Ben-Asher罗莉卡拉纳,Lujo鲍尔和尼古拉斯·克里斯汀。“混合建模的一般要求网络安全框架”。军事通信会议(亚)。129 - 135页。IEEE。2014-10-06。<https: //ieeexplore.ieee.org/文档/6956749 ?arnumber = 6956749 &标签= 1>。

在国防部长办公室采购,技术,物流。”计划保护计划大纲和指导”。1.0版。副助理国防部长系统工程。2011-07-18。<http: //www.acq.osd.milse /文档/PPP-Outline-and-Guidance-v1-July2011.docx>。

助理国防部长办公室研究和工程。“国防采办指南——你的收购政策和可自由支配的最佳实践指南”。购买力平价软件保证章。道信息系统服务中心(ISSC)。2013-09-17。<https: //acc.dau.mil /dag13.7.3>。

理事长绪方迈克尔·芭芭拉·格特曼和纳尔逊·黑斯廷斯。“公共安全移动应用安全需求研讨会总结”。国家标准与技术研究所的内部报告8018 (NISTIR)。8018年。国家标准与技术研究院(NIST)。2015 - 01。<https: //nvlpubs.nist.gov /nistpubs /红外/2015 /NIST.IR.8018.pdf>。

保罗·r·波皮克和梅林达•里德。“供应链需求挑战解决恶意威胁”。16卷,问题2。INCOSE洞察力。国际系统工程委员会(INCOSE)。2013 - 07。<http: //www.acq.osd.milse /文档/ReqChallengesSCThreats-Reed-INCOSE-Vol16-Is2.pdf>。

系统工程副助理国防部长和国防部首席信息官。“建议语言为值得信赖的系统和网络系统安全工程合并到国防部请求建议书》。国防部。2014 - 01。<http: //www.acq.osd.milse /文档/SSE-Language-for-TSN-in-DoD-RFPs.pdf>。

本文档是由CERT能力团队ENISA会商CERT波兰/ NASK(波兰)。”进行信息交换和处理的可操作的标准和工具清单”。欧盟机构网络和信息安全。2014年11月。<https: //www.enisa.europa.eu活动/cert /支持/可操作的信息/standards-and-tools-for-exchange-and-processing-of-actionable-information /at_download /fullReport>。

Jon Boyens、西莉亚Paulsen罗摩Moorthy Nadya Bartol。“供应链风险管理实践为联邦信息系统和组织”。NIST的特殊出版(SP)。800 - 161。国家标准与技术研究院(NIST)。2015 - 04。<https: //nvlpubs.nist.gov /nistpubs /SpecialPublications /nist.sp.800 - 161. - pdf>。

系统工程副助理国防部长和国防部首席信息官。“软件保证对策程序保护计划”。国防部。2014 - 03。<http: //www.acq.osd.milse /文档/SwA-CM-in-PPP.pdf>。

伊恩Herwono Fadi阿里El-Moussa。“造型多级协作工具的攻击”。诉讼第三国际会议信息系统安全和隐私(ICISSP)。2017年。<http: //www.scitepress.org/论文/2017 /61371 /61371. pdf>。

马克•里奇曼杰弗里·d·波斯顿SaiDhiraj Amuru, Chowdhury Shahriar, t·查尔斯·克兰西r . Michael Buehrer和杰弗里·h·里德。“通信干扰分类”。2016年。<http: //www.buehrer.ece.vt.edu/论文/Com_Jam_Taxonomy.pdf>。

Dimitrios Sisiaridis法Carcillo和奥利弗Markowitch。“威胁检测在通信系统的框架”。程序——发起成立20会议信息,2016 - 11。<https: //dl.acm.org/citation.cfm吗?id = 3003759>。

威廉姆斯Imano萧红元,杰弗里·麦克唐纳和穆罕默德安瓦尔。“发展虐童案件及其评价方法”。数量:11日问题:5。软件学报,2016。<https: //pdfs.semanticscholar.org/c8f6 /01917 b6971f4f3836e3b683bb06bcdfb3666.pdf>。

Loukmen Regainia和赛萨尔瓦•。“一个实际的测试方式安全模式”。十三软件工程国际会议上的进步(ICSEA 18)。2018 - 10。<https: //hal.archives-ouvertes.fr /哈尔- 01868218>。

贾西姆Happa,格雷厄姆Fairclough,杰森·r·c .护士Ioannis Agrafiotis,迈克尔•戈德史密斯和赛迪短剑。“务实的系统故障评估和响应模型”。第二次国际会议信息系统安全和隐私,2016 - 01。<https: //www.researchgate.net/出版/301721444 _a_pragmatic_system-failure_assessment_and_response_model>。

Maheshwari Venkatasen Prasanna摩尼。视频中“george fairbanks威胁防御架构模型在电子政务应用”。数量:14,问题:1。电子政府,国际期刊。2015年。<https: //www.inderscienceonline.com/doi /abs /10.1504 /EG.2018.089537>。

克莱夫·布莱克威尔。“形式化攻击模式的策略”。Cyberpatterns学报》2012。35-38页面。牛津布鲁克斯大学,2012。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 04447 - 7 - _9>。

威廉姆斯和萧红Imano元。“用户研究:滥用例来源于用例描述和CAPEC攻击模式”。国际会议信息科学和应用程序(ICISA)。07 - 2018。<https: //link.springer.com/章/10.1007 /978 - 981 - 13 - 1056 - 0 - _25>。

威廉姆斯和萧红Imano元。“用户研究:滥用例来源于用例描述和CAPEC攻击模式”。国际会议信息科学和应用程序(ICISA)。07 - 2018。<https: //link.springer.com/章/10.1007 /978 - 981 - 13 - 1056 - 0 - _25>。

伊戈尔·Kotenko Elena Doynikova安德烈Chechulin和安德烈Fedorchenko。“人工智能,参数标准Vulnerability-Centric网络安全评估和对策选择”。计算机网络和系统的脆弱性分析指南。施普林格。05 - 2018。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 92624 - 7 - _5>。

理查德•德比郡本杰明绿色,丹尼尔王子安德烈Mauthe大卫和记。“网络安全攻击的分析分类法”。IEEE欧洲安全和隐私研讨会研讨会上(EuroS&PW)。2018 - 04。<https: //ieeexplore.ieee.org/抽象/文档/8406575>。

Imano威廉姆斯。“一个基于本体的协同推荐系统安全需求抽取”。IEEE 26日国际需求工程会议(RE)。08 - 2018。<https: //ieeexplore.ieee.org/抽象/文档/8491167>。

威廉·诺尔斯,Alistair男爵和蒂姆McGarr。标准化”的分析和建议在渗透测试和漏洞评估:渗透测试市场调查”。发展网络。BSI集团公司. .2015 - 01。<http: //eprints.lancs.ac.uk /id /eprint /74275 /1 /Penetration_testing_online_2.pdf>。

Bong-Jae金和Seok-Won李。“分析研究认知分层的方法对理解安全需求使用问题域本体”。23日亚太软件工程会议(APSEC)。2016 - 12所示。<https: //ieeexplore.ieee.org/抽象/文档/7890576>。

Ammarit Thongthua和Sudsanguan Ngamsuriyaroj。“评估程序漏洞”。云计算的研究和创新国际会议(ICCCRI)。2016年。<https: //ieeexplore.ieee.org/抽象/文档/7600180>。

Noor-ul-hassan Shirazi,阿尔贝托Schaeffer-Filho大卫和记。通过关联网络态势感知”攻击模式识别计算机网络”。Cyberpatterns学报》2012。57 - 61页。牛津布鲁克斯大学,2012。<http: //tech.brookes.ac.uk /CyberPatterns2012 /Cyberpatterns2012Proceedings.pdf>。

杰弗瑞伯勒斯,帕特里克Engebretson博士和约书亚泡利不相容。“攻击流量库进行测试和教学入侵检测系统”。信息系统分析和合成Proc.:账户2011)。达科他州立大学,2011 - 03。<http: //www.jixion.com/文件/ATLTTIDS.pdf>。

萨米尔Ouchani Gabriele怒不可遏。“攻击”一代通过检测攻击的表面。体积32,529 - 536页。Procedia计算机科学。爱思唯尔,2014 - 05。<https: //www.sciencedirect.com/科学//条pii /S1877050914006577>。

伊恩Herwono Fadi阿里El-Moussa。“自动检测网络杀伤链”的早期阶段。诉讼的第四届国际会议信息系统安全和隐私(ICISSP)。2018年。<http: //www.scitepress.org/论文/2018 /65433 /65433. pdf>。

该款Godefroy埃里克•波米歇尔Hurfin和弗雷德里克·Majorczyk。“自动生成相关规则来检测复杂的攻击场景”。10日国际会议信息保障和安全,2014 - 11。<https: //ieeexplore.ieee.org/抽象/文档/7064615>。

伯纳德j·伯杰Karsten Sohr Rainer Koschke。“从扩展数据流图自动提取的威胁”。工程安全软件和系统国际研讨会(埃索)。2016年。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 30806 - 7 - _4>。

南希·r·米德朱莉娅·h·艾伦,w·阿瑟·康克林Antonio Drommi Rainey杰夫Ingalsbe,詹姆斯和约翰•哈里森丹鞋匠。“软件保证的商业案例”。特别报道。CMU / sei - 2009 - sr - 001。卡内基梅隆大学软件工程研究所(SEI)。2009 - 04。<https: //resources.sei.cmu.edu/asset_files /SpecialReport /2009年_003_001_15008.pdf>。

卡罗伍迪,博士。“过程改进应链接到安全:SEPG 2007安全跟踪回顾”。技术报告。CMU / sei - 2007万亿- 025。卡内基梅隆大学软件工程研究所(SEI)。2007 - 09年。<https: //kilthub.cmu.edu/文章/Process_Improvement_Should_Link_to_Security_SEPG_2007_Security_Track_Recap /6582452>。

罗伯特·j·埃里森John b .前言,查尔斯·b·魏因斯托克和卡罗伍迪。“评估和减轻软件供应链安全风险”。技术报告。CMU / sei - 2010万亿- 016。卡内基梅隆大学软件工程研究所(SEI)。2010 - 05。<https: //kilthub.cmu.edu/文章/Evaluating_and_Mitigating_Software_Supply_Chain_Security_Risks /6573497>。

罗伯特·j·埃里森克里斯托弗·j·爱尔丽塔c .捕虾笼,奥黛丽j . Dorofee和卡罗尔·c·伍迪。“软件供应链风险管理:从产品到系统的系统”。研究展示。CMU / sei - 2010万亿- 026。卡内基梅隆大学软件工程研究所(SEI)。2010-12-01。<https: //kilthub.cmu.edu/文章/Software_Supply_Chain_Risk_Management_From_Products_to_Systems_of_Systems /6584210>。

威廉姆斯和萧红Imano元。“创建滥用情况下基于攻击模式:用户研究”。IEEE (SecDev)网络安全发展。2017 - 09年。<https: //ieeexplore.ieee.org/抽象/文档/8077812>。

埃琳娜Doynikova Igor Kotenko。“CVSS-based概率风险评估网络态势感知和对策选择”。25日Euromicro国际会议上并行、分布式和基于网络的处理(PDP)。03 - 2017。<https: //ieeexplore.ieee.org/抽象/文档/7912670>。

RafałPiotrowski和乔安娜Sliwa。“网络空间态势awarness在国家安全系统”。国际会议在军事通信和信息系统(icmci)。2015 - 05。<https: //ieeexplore.ieee.org/抽象/文档/7158685>。

Ji-Yeon金姆和Hyung-Jong金姆。“定义安全原语为诱发灵活的攻击场景通过CAPEC分析”。国际信息安全应用研讨会(低)。2014年。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 15087 - 1 - _29>。

Bumryong Kim Jun-ho歌,Jae-Pye公园和Moon-seog君。“可采自动检定系统的设计安全开源软件”。课堂讲稿电气工程在计算机科学的进步和无处不在的计算,CSA&CUTE。373卷。2015 - 12所示。<http: //rd.springer.com/内容/pdf /10.1007 /978 - 981 - 10 - 0281 - 6 - _40.pdf>。

Elena Doynikova安德烈Fedorchenko Igor Kotenko。“确定安全威胁类脆弱性分析的基础上,对自动对策选择”。学报》第13次国际会议上的可用性、可靠性和安全性(战神)。08 - 2018。<https: //dl.acm.org/citation.cfm吗?id = 3233260>。

阿哈立德艾尔维和穆罕默德Zulkernine。“自然分类方案软件安全模式”。2011年第九IEEE国际会议上可靠,自主和安全计算。DOI 10.1109 / DASC.2011.42。IEEE计算机协会,2011-12-12。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6118361 &标签= 1>。

居一个王,郭Minzhe王郝,j . Camargo Linfeng周。“基于脆弱性分析排名攻击”。2010年第43夏威夷国际会议系统科学(HICSS)。DOI 10.1109 / HICSS.2010.313。IEEE计算机协会,2010。<https: //xplqa30.ieee.org/文档/5428663>。

员工布鲁斯Gabrielson博士。“到底是谁干的?控制恶意的内部人员通过合并生物识别与检测和自动反应行为”。2012年45夏威夷国际会议系统科学。DOI 10.1109 / HICSS.2012.643。IEEE计算机协会,2012-01-04。<https: //ieeexplore.ieee.org/文档/6149310>。

萨米尔Ouchani, Yosr Jarraya和Otmane Ait穆罕默德。“基于模型的系统安全量化”。2011年第九届国际会议上的隐私、安全、信任。DOI 10.1109 / PST.2011.5971976。IEEE。2011-07-19。<https: //ieeexplore.ieee.org/文档/5971976>。

Sarra Alqahtani和玫瑰的赌博。“嵌入分布式审计机制在服务云”。IEEE国际代表大会上服务。2014 - 06。<https: //ieeexplore.ieee.org/抽象/文档/6903246>。

埃琳娜Doynikova Igor Kotenko。“增强概率攻击图准确的网络安全监控”。IEEE SmartWorld,无处不在的智能和计算、先进和可信计算、可伸缩的计算与通信、云计算和大数据计算、互联网和智能城市创新(SmartWorld / SCALCOM / UIC / ATC / CBDCom IOP / SCI)。08 - 2017。<https: //ieeexplore.ieee.org/抽象/文档/8397618>。

Imano威廉姆斯。“评估方法开发和排名滥用情况下基于威胁建模,攻击模式和共同弱点枚举”。理科硕士论文。北卡农业技术州立大学。2015。<http: //search.proquest.com/bostonglobe /docview /1761832676>。

克莱夫·布莱克威尔和香港朱。“Cyberpatterns研究未来的发展方向”。牛津布鲁克斯大学,2014。<http://cms.brookes.ac.uk/staff/HongZhu/Publications/CyberPatternsBook-Conclusion%20% 20章-final.pdf>。

亨利克·斯图尔特。“狩猎与Coccinelle bug”。2008-08-08。<http: //www.emn.frz-info /coccinelle /stuart_thesis.pdf>。

Tayyaba Nafees,娜塔莉Coull罗伯特•伊恩•弗格森和亚当·桑普森。“Idea-Caution开发:使用网络安全领域知识教育软件工程师对软件漏洞”。工程安全软件和系统国际研讨会(埃索)。2017 - 07。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 62105 - 0 - _9>。

吉姆·惠特莫尔和威廉·托宾。“改善注意安全软件设计与分析和认知技术”。IEEE (SecDev)网络安全发展。2017 - 09年。<https: //ieeexplore.ieee.org/抽象/文档/8077801>。

乔尔·道森和j·托德麦当劳。“改善渗透测试方法对安全风险评估”。网络安全研讨会(CYBERSEC)。2016年。<https: //www.computer.org/csdl /程序/cybersecsym /2016 /5771 /00 /07942425——abs.html>。

高,元,费舍尔,罗伯特,Seibt,西蒙,帕尔克,Mithil和李,江海。“综合安全框架”。INFORMATIK 2017。法理社会毛皮Informatik,波恩。2017。<https: //dl.gi.de /处理/20.500.12116 /4123年>。

帕特里克冲量,马丁追猎者和西蒙Petretti。“这安全风险分析和威胁缓解铁路应用程序”。国际会议上计算机安全、可靠性和安全性(SAFECOMP)。2016年。<https: //hal.laas.fr /哈尔- 01370249 /文档>。

布莱恩Van Leeuwen,威廉胖胖和文森特·乌里亚。与网络攻击建模“MTD评估框架”。IEEE国际卡纳汉安全技术会议(ICCST)。2016 - 10。<https: //ieeexplore.ieee.org/抽象/文档/7815722>。

桑杰Madria和阿马蒂亚·森。云服务提供商”的“离线风险评估。数量:2,问题:3。IEEE 2015年云计算。。<https: //ieeexplore.ieee.org/抽象/文档/7158970>。

伊戈尔·Kotenko安德烈Chechulin, Elena Doynikova和安德烈Fedorchenko。“本体论混合存储的安全数据”。智能国际研讨会和分布式计算(IDC)。10 - 2017。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 66379 - 1 - _15>。

名Ansarinia、Seyyed Amir Asghari Afshin Souzani和Ahmadreza Ghaznavi。“基于本体的建模DDoS攻击的攻击检测计划”。2012年第六次国际研讨会上电信(IST)。2012-11-6。<http: //ieeexplore.ieee.org/文档/6483131>。

艾哈迈德·萨拉希和名Ansarinia。“使用类型推断预测网络攻击”。卷4,问题1。国际期刊的信息和通信技术(IJICT)。2012 - 1。<http: //arxiv.org/ftp /arxiv /论文/1304 /1304.0913.pdf>。

Krissada Rongrat和Twittie Senivongse。“风险评估安全需求的银行信息系统基于攻击模式”。应用计算机和信息技术国际会议(ACIT)。06 - 2017。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 64051 - 8 - _8>。

托尼Uceda维和马可·m . Morana。“以风险为中心的威胁建模:攻击过程模拟和威胁分析”。威利》2015。<https: //books.google.com/书吗?hl = enlr = &id = pHtXCQAAQBAJ&oi =曾经pg = PP1>。

通,Elda Paja约翰·基斯·詹妮弗·霍尔科夫和克里斯蒂安·贝克尔。“安全攻击分析使用攻击模式”。IEEE 10在信息科学国际会议上的研究挑战(必要性)。2016年。<https: //ieeexplore.ieee.org/抽象/文档/7549303>。

理事长绪方Haruhiko Kaiya, Sho河野Shinpei高雄大Nobukazu Yoshioka Hironori Washizaki Kenji Kaijiri。使用知识在CAPEC”“安全需求分析。先进信息系统工程国际会议(CAiSE)。2014年。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 07869 - 4 - _32>。

斯蒂芬·亚当斯,布莱恩·卡特,科迪弗莱明和彼得•贝林格。“选择系统特定的网络安全攻击模式使用主题建模”。17 IEEE国际会议上信任,安全和隐私在计算和通信/ 12日IEEE大数据科学与工程国际会议(TrustCom / BigDataSE)。2018年。<https: //ieeexplore.ieee.org/抽象/文档/8455944>。

小妈,Elnaz•Leila Kosseim和Nicandro Scarabeo。“安全事件的语义映射已知的攻击模式”。国际会议上的应用自然语言信息系统(NLDB)。2018 - 06。<https: //link.springer.com/章/10.1007 /978 - 3 - 319 - 91947 - 8 - _10>。

丹尼尔·迪亚兹洛佩兹,玛丽亚·布兰科乌里韦克劳迪娅圣地亚哥Cely安德烈斯维加托雷斯,尼古拉•莫雷诺Guataquira Stefany白痴卡斯特罗,Pantaleone内斯波利和尼古拉•莫雷诺Guataquira。“屏蔽物联网网络攻击:一个基于事件的方法使用SIEM”。无线通信和移动计算,2018 - 10。<https: //doi.org/10.1155 /2018 /3029638>。

Zareen赛义德·蒂姆•Finin Ankur Padia和丽莎·马修斯。“支持情境意识到网络安全系统”。马里兰大学巴尔的摩县,2015 - 09年。<http: //ebiquity.umbc.edu/_file_directory_ /论文/778. pdf>。

帕斯卡莫尼耶。“类漏洞和攻击”。威利对国土安全科学技术手册。技术文章——CS03。教育和研究中心信息保障和安全(出现),普渡大学,2007。<https: //www.semanticscholar.org/纸/Classes-of-Vulnerabilities-and-Attacks-Meunier /9 ce12453bf02653d5bcc3f6b7cd9db2e29cd6f16>。

弗朗西斯•Akowuah Jerrisa湖,萧红元,伊曼纽尔Nuakoh和慧明余。“测试的安全漏洞OPENEMR以下4.4.1:一个案例研究”。问题3。计算科学学院杂志》上。卷30。2015 - 01。<http: //dl.acm.org/citation.cfm吗?id = 2675332>。

史蒂文诺尔。“文本挖掘建模网络攻击”。计算分析和理解自然语言:原理、方法和应用。爱思唯尔,2018 - 08年。<https: //books.google.com/书吗?hl = enlr = &id = gRJrDwAAQBAJ&oi =曾经pg = PA463>。

卡罗尔伍迪,博士和丹的鞋匠,博士. .“语境因素的影响的安全代码”。国防技术信息中心——科技(DTIC)。卡内基梅隆大学软件工程研究所- CERT部门/ SSD。2014 - 12所示。<http: //apps.dtic.mil /dtic /tr /全文/u2 /a617283.pdf>。

a . v . Fedorchenko诉Kotenko,大肠诉Doynikova a和a . Chechulin。”的本体论方法申请建设混合安全库”。XX IEEE国际会议上软计算和测量(SCM)。05 - 2017。<https: //ieeexplore.ieee.org/抽象/文档/7970638>。

瓦伦蒂娜Casola、亚历山德拉-诺阿Umberto Villano和爱你。“朝云应用程序的自动化渗透测试”。IEEE 27日国际会议上支持技术:基础设施合作企业(WETICE)。2018 - 06。<https: //ieeexplore.ieee.org/抽象/文档/8495902>。

吉斯Husari, Ehab Al-Shaer Mohiuddin艾哈迈德,比尔楚和ξ妞妞。“TTPDrill:自动、准确提取威胁行动从非结构化文本CTI的来源”。第33届计算机安全应用研讨会论文集,2017 - 12。<https: //dl.acm.org/citation.cfm吗?id = 3134646>。

赛萨尔瓦•和Loukmen Regainia。“用数据集成来帮助设计更安全的应用程序”。网络和系统的风险和安全国际会议(危机)。02 - 2018。<https: //link.springer.com/章/10.1007% 2 f978 - 3 - 319 - 76687 - 4 _6>。

穆贾希德Mohsin Zahid安瓦尔。“杀死网络杀伤链:下物联网安全分析框架”。前沿信息技术国际会议(适合)。2016 - 12所示。<https: //ieeexplore.ieee.org/抽象/文档/7866722>。

“国土安全部控制系统安全计划(CSSP)工业控制系统中常见的网络安全漏洞”。2011 - 05。<http: //www.us-cert.gov网站/默认的/文件/文件/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf>。

史黛西·辛普森,马克贝尔克,凯西奥Goldschmidt,迈克尔•霍华德马特•科尔斯凯尔伦道夫,Mikko Saario, Reeny Sondhi,伊扎尔Tarandach, Antti Vaha-Sipila和Yonko Yonchev。“最有效的安全指南开发实践在今天使用”。第二版。软件开发基本实践安全。软件保证卓越论坛代码(SAFECode)。2011-02-08。<https: //safecode.org/出版/SAFECode_Dev_Practices0211.pdf>。

杰森。“评估结果的交换和共享”。无软件安全与弗兰克金正日——AppSec博客。SANS研究所。2010-11-19。<http: //software-security.sans.org/博客/2010 /11 /19日/exchanging-sharing-assessment-results />。

“无简要新闻万博下载包”。体积:十五、问题:59。无软件安全与弗兰克金正日——AppSec博客。共同词汇的缺乏阻碍了信息共享的威胁。SANS研究所。2013-07-25。<https: //www.sans.org/万博下载包通讯/万博下载包简要新闻/十五/59>。

“保护Web应用技术(SWAT)检查表”。23日版。保护人类。2013年冬天。SANS研究所。2010。<http: //software-security.sans.org/资源/斯瓦特>。

“关键实践减轻最恶劣的可利用的软件弱点”。2.4版。软件保证(SwA)袖珍指南系列:发展。卷二世。国土安全部NCSD软件保证社区资源和信息交流中心。2012-11-01。<http: //cwe.mitre.org/文件/KeyPracticesMWV22_20121101.pdf>。

“WASC威胁分类”。2.00版。Web应用程序安全联盟(WASC)。2010-01-01。<http: //projects.webappsec.org/f /WASC-TC-v2_0.pdf>。

“ISO / IEC TR 20004:2012信息技术——安全技术——提炼软件脆弱性分析在ISO / IEC 15408和ISO / IEC 18045”。ISO。2012年。<https: //www.iso.org/标准/html 50951.>。

“常见的攻击模式枚举和分类”。系列X:数据网络、开放系统通信和安全网络安全信息交换——事件/事件/启发式交换。建议ITU-T X.1544。ITU-T国际电信联盟电信标准化部门。2013 - 04。<http: //www.itu.intrec /t - rec - x.1544 - 201304 - i>。

凯利·L·邓普西,L a·约翰逊,马修·a·肖勒凯文·m·斯坦,艾丽西亚粘土琼斯,安琪拉Orebaugh, Nirali s·乔和罗纳德·约翰斯顿。“信息安全持续的监控(或弹性体)联邦信息系统和组织”。NIST的特殊出版(NIST SP)。800 - 137。国家标准与技术研究所,2011-09-30。<https: //csrc.nist.gov /出版物/细节/sp /800 - 137 /最后>。

克里斯·约翰逊,李獾,朱莉·斯奈德和大卫•Waltermire Clem Skorupka。“网络威胁信息共享指南”。NIST的特殊出版(NIST SP)。国家标准与技术研究院,2016 - 10。<https: //nvlpubs.nist.gov /nistpubs /SpecialPublications /nist.sp.800 - 150. - pdf>。

罗纳德·s·罗斯。“安全和隐私控制联邦信息系统和组织”。NIST的特殊出版(NIST SP)。800 - 163。国家标准与技术研究院,2015 - 01。<http: //dx.doi.org/10.6028 /nist.sp.800 - 163>。

罗纳德·s·罗斯。“开展风险评估指南”。加速1。NIST的特殊出版(NIST SP)。800 - 30。国家标准与技术研究所,2012-09-17。<https: //nvlpubs.nist.gov /nistpubs /遗留/SP /nistspecialpublication800-30r1.pdf>。

罗纳德·s·罗斯。“安全和隐私控制联邦信息系统和组织”。修改4。NIST的特殊出版(NIST SP)。800 - 53。国家标准与技术研究所,2013-04-30。<http: //dx.doi.org/10.6028 /NIST.SP.800-53r4>。