随着互联网技术的飞速发展,互联网已经深入到人们的生活中。面对种类繁多的计算机软件漏洞,计算机管理者需要针对这些漏洞进行及时的安全评估,并根据漏洞的严重等级以及紧迫程度来修补漏洞,从而减少漏洞对网站或者主机产生的损失。然而为了能对漏洞进行准确客观的评估,各个安全机构和安全产商都对安全漏洞的严重等级做了一定的研究,但尚缺少一个统一的评估标准。NIAC提出了一种开放普遍的漏洞评估系统CVSS。目前,国际上大多数权威部门也都采用这种评估系统来评估漏洞。这种系统提供了一种统一的漏洞评估方式,有利于在短时间内对漏洞进行风险评估,把损失降到最小。然而这种系统也存在以下问题:(1)需要人为主观地去判断赋值,易导致评估的分值不准确、不客观。(2)相同分值的不同漏洞无法区分影响。基于攻击过程的漏洞自动化评估方法有效地解决了上述问题。首先建立属性模型,模型中定义了在攻击过程中要捕获的属性,以及对属性的评估规则。其次采用动态插桩的方法来更加准确的捕获属性的状态以及相关信息。最后对捕获得到的属性采用层次化评估算法来进行评估得出漏洞的分值。通过测试表明:(1)利用攻击过程的方式可以准确客观的评估出漏洞的严重度。(2)有效地解决了需要人为主观判断赋值的问题。(3)解决了相同分值不同漏洞无法区分影响的问题。