เครื่องมือช่วยประเมินช่องโหว่ด้านความมั่นคงเพื่อการยกระดับเวอร์ชันของซอฟต์แวร์

ศิริขวัญ ตรีทิพยรักษ์

Please use this identifier to cite or link to this item: https://cuir.car.chula.ac.th/handle/123456789/55601

Title:	เครื่องมือช่วยประเมินช่องโหว่ด้านความมั่นคงเพื่อการยกระดับเวอร์ชันของซอฟต์แวร์
Other Titles:	Security Vulnerability Assessment Tool for Software Version Upgrade
Authors:	ศิริขวัญ ตรีทิพยรักษ์
Advisors:	ทวิตีย์ เสนีวงศ์ ณ อยุธยา
Other author:	จุฬาลงกรณ์มหาวิทยาลัย. คณะวิศวกรรมศาสตร์
Advisor's Email:	Twittie.S@Chula.ac.th,Twittie.S@Chula.ac.th
Issue Date:	2559
Publisher:	จุฬาลงกรณ์มหาวิทยาลัย
Abstract:	ซอฟต์แวร์ที่ติดตั้งในเครื่องคอมพิวเตอร์อาจจะมีช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงหรือใช้ประโยชน์จากคอมพิวเตอร์ได้ ซึ่งการป้องกันที่ดีที่สุดคือการยกระดับเวอร์ชันซอฟต์แวร์ เพื่อแก้ไขปัญหาต่างๆ ผู้ขายผลิตภัณฑ์ซอฟต์แวร์มักออกเวอร์ชันใหม่ๆ อยู่เป็นระยะเพื่อเพิ่มความสามารถของซอฟต์แวร์ แก้ไขข้อบกพร่อง หรือแก้ไขจุดอ่อนด้านความมั่นคง อย่างไรก็ตามการที่ผู้ดูแลระบบขององค์กรหรือผู้ใช้งานจะยกระดับเวอร์ชันซอฟต์แวร์ให้เป็นปัจจุบันทุก ๆ ซอฟต์แวร์เป็นเรื่องที่ทำได้ยาก เพราะมักเกิดความกังวลในปัญหาที่อาจตามมาหลังจากยกระดับเวอร์ชันซอฟต์แวร์ ดังนั้นในงานวิจัยนี้จึงเสนอเครื่องมือเพื่อประเมินความรุนแรงของช่องโหว่ในซอฟต์แวร์ที่ติดตั้งในคอมพิวเตอร์เปรียบเทียบกับซอฟต์แวร์เวอร์ชันล่าสุด โดยที่การประเมินจะนำคะแนนซีวีเอสเอสเข้ามาประเมินความรุนแรงของช่องโหว่และจะใช้คะแนนซีวีเอสเอสทั้ง 3 กลุ่ม คือ กลุ่มตัววัดพื้นฐาน กลุ่มตัววัดตามเวลา และกลุ่มตัววัดตามสภาพแวดล้อม โดยที่คะแนนกลุ่มตัววัดพื้นฐานจะได้มาจากเอ็นวีดีและคะแนนกลุ่มตัววัดตามเวลาจะได้มาจากไอบีเอ็ม เอกซ์เอฟอี ส่วนคะแนนกลุ่มตัววัดตามสภาพแวดล้อมได้จากการเลือกตามประเภทสารสนเทศในองค์กรตามระดับผลกระทบต่อองค์กรจากการสูญเสียองค์ประกอบด้านความมั่นคงจาก NIST เครื่องมือสามารถแนะนำได้ว่าควรยกระดับเวอร์ชันซอฟต์แวร์หรือไม่ และผู้ใช้งานสามารถเลือกยกระดับเวอร์ชันซอฟต์แวร์ที่มีผลกระทบมากที่สุดก่อนได้ ในการประเมินความพึงพอใจของผู้ใช้เครื่องมือได้คะแนน 4.26 จากคะแนนเต็ม 5 นอกจากนี้ประสิทธิภาพของเครื่องมือในการค้นหาชื่อและเวอร์ชันของซอฟต์แวร์จากฐานข้อมูลเอ็นวีดี ได้ค่าเอฟ-เมเชอร์เฉลี่ยเป็น 0.9919 ซึ่งผลการประเมินทั้งสองอยู่ในระดับที่น่าพอใจ
Other Abstract:	Software installed on a computer may have vulnerabilities that allow an attacker to access or exploit a computer and the best protection is upgrading software. Software vendors periodically release software updates to upgrade software to the latest versions with new features, to fix bugs, or to fix security weaknesses. However, it is difficult for administrators or users to upgrade all software to the latest version, because there are concerns about problems that might ensue after upgrading the software version. Therefore, this thesis proposes a tool to assess severity of the vulnerabilities of the installed software version in comparison with that of the latest version. The assessment is based on the CVSS vulnerability scoring system and considers all metric groups, i.e. Base, Temporal, and Environmental metric groups. The Base score of particular software is taken from the National Vulnerability Database (NVD) and the Temporal score from IBM XForce Exchange. The Environmental score follows NIST classification of the security impact an information system would have on an organization. The assessment tool can suggest whether the upgrade to the latest versions is necessary. Thus, the users can decide to upgrade software version that has the most severe vulnerability first. In a user satisfaction evaluation, the tool scores 4.26 out of 5. In addition, the performance of the tool in finding software names and versions information in the NVD in terms of the average F-measure is 0.9919. Both evaluation results are satisfactory.
Description:	วิทยานิพนธ์ (วท.ม.)--จุฬาลงกรณ์มหาวิทยาลัย, 2559
Degree Name:	วิทยาศาสตรมหาบัณฑิต
Degree Level:	ปริญญาโท
Degree Discipline:	วิศวกรรมซอฟต์แวร์
URI:	http://cuir.car.chula.ac.th/handle/123456789/55601
URI:	http://doi.org/10.58837/CHULA.THE.2016.989
metadata.dc.identifier.DOI:	10.58837/CHULA.THE.2016.989
Type:	Thesis
Appears in Collections:	Eng - Theses

Files in This Item:

File	Description	Size	Format
5870969821.pdf		3.77 MB	Adobe PDF	View/Open

Show full item record