随着计算机网络的广泛普及和高速发展,网络技术在服务于人们生活的时候,越来越多的漏洞也浮出水面,这些漏洞一旦被非法用户利用起来,进而控制目标主机或对目标主机造成严重性的损失。大量的漏洞存在以及不同的影响程度,使得对漏洞信息评分变得更加重要。如果能将漏洞信息有效地收集起来,进行标准评分,及时处理、发布、修复漏洞,便可以使漏洞带来的安全风险大大降低。因此,设计一个完善的安全漏洞库对于安全漏洞管理具有重要的意义。本文的主要研究工作如下:(1)本文研究了漏洞评分标准现状和安全漏洞库现状,并分别对其优缺点进行了对比分析。调研分析了安全漏洞的相关概念、分类及危害,研究了安全漏洞评估技术的理论知识。(2)基于CVSS指标的漏洞评估方法研究。通过对通用漏洞评分系统CVSS的研究,增加时间和环境因素,提取漏洞可利用性指标和漏洞影响性指标,建立新的漏洞评估指标体系,利用主成分分析法处理各指标项,得出各个指标所占的权重值,最终得到了单个安全漏洞的评估结果。(3)基于攻击图的网络安全关联评估的研究。对攻击图模型的概念和建立进行了分析,提出一种基于权限提升的广度正向和反向搜索相结合的攻击图生成算法;给出攻击图中漏洞节点被成功利用概率大小的计算方法;结合风险评估模型给出网络安全评估的方法,从整体上把握了网络的安全状况。(4)网络安全关联评估在安全漏洞库的应用。本文对安全漏洞库进行了总体的设计,并分别对四个功能模块:漏洞库信息收集模块、漏洞库安全评估模块、漏洞库响应处理模块和漏洞库管理模块进行了详细的设计与实现。