I n te r n ati o n al   Jo u r n al   o El e c tr i c a l   an d   C o m p u te r   En gi n e e r i n g   (I JEC E )   V o l .   9 ,   N o .   6 D e c e m be r   20 1 9 ,   pp .   5570 ~ 5585   IS S N :   2088 - 8708 D O I :   10. 1 1591 / i j e c e . v9 i 6 . pp 5570 - 5 585             5570       Jou r n al   h o m e pa ge ht t p: / / i ae s c or e . c om / j our na l s / i nde x . php/ I J E C E   S e c u r i t y   a ss e ssm e n t   f r a m e w o r k   f o r   e d u c a t i o n a l   E R P   s y st e m s       H afs A s h r af 1 M am d ou h   A l e n e z i 2 ,   M u h am m ad   N ad e e m 3 ,   Y as i r   Jav i d 4   1 ,3 F a c ul t y   o f   I nf o r m a t i o a n C o m m uni c a t i o T e c hno l o gy ,   B U I T E M S ,   P a ki s t a n   2 ,4 D e pa r t m e n t   o f   C o m put e r   S c i e nc e ,   P r i nc e   S u l t a n   U n i v e r s i t y ,   S a ud i   A r a b i a       A r ti c l e   I n fo     A B S TR A C T     Ar t i c l e   h i s t or y :   R e c e i v e d   F e b   10 ,   2 01 9   R e v i s e J ul   17 ,   201 9   A c c e pt e J ul   28 ,   201 9       T he   e duc a t i o na l   E R P   s y s t e m s   ha v e   v ul n e r a bi l i t i e s   a t   t he   d i f f e r e n t   l a y e r s   s uc a s   v e r s i o n - s pe c i f i c   v ul ne r a bi l i t i e s ,   c o nf i g ur a t i o l e v e l   v ul ne r a b i l i t i e s   a n v ul ne r a bi l i t i e s   o f   t he   unde r l y i ng   i nf r a s t r uc t ur e .   T h i s   r e s e a r c ha s   i de n t i f i e d   s e c ur i t y   v ul ne r a bi l i t i e s   i a e d uc a t i o na l   E R P   s y s t e m   w i t t h e   he l o f   a ut o m a t e t o o l s ;   pe n e t r a t i o t e s t i ng   t o o l   a nd   pu bl i c   v ul ne r a b i l i t y   r e po s i t o r i e s   ( C V E ,   C C E )   a t   a l l   l a y e r s .   T he   i de n t i f i e d   v ul ne r a bi l i t i e s   a r e   a na l y z e f o r   a ny   f a l s e   po s i t i v e s   a nd   t h e c l us t e r e w i t m i t i g a t i o t e c hni que s ,   a v a i l a b l e   publ i c l y   i s e c ur i t y   v ul ne r a bi l i t y   s o l ut i o r e po s i t o r y   l i ke   C C E   a nd  C W E .   T he s e   m i t i g a t i o t e c hni que s   a r e   m a ppe o v e r   r e po r t e v ul n e r a bi l i t i e s   u s i ng   m a ppi ng   a l g o r i t hm s .   S e c ur i t y   v ul ne r a b i l i t i e s   a r e   t he pr i o r i t i z e d   ba s e o   t he   C o m m o V ul ne r a b i l i t y   S c o r i ng   S y s t e m   ( C V S S ) .   F i na l l y ,   o pe n     s t a nda r ds - b a s e v ul ne r a b i l i t y   m i t i g a t i o r e c o m m e nda t i o ns   a r e   di s c us s e d.   Ke y w or d s :   E duc a t i o na l   E R P     S e c ur i t y   a s s e s s m e n t     S of t w a r e   s e c uri t y   C opy r i gh t   ©   201 9   I n s t i t ut e   o f   A dv anc e E ng i ne e r i ng   and   S c i e nc e   A l l   r i gh t s   r e s e r v e d .   Cor r e s pon di n g   Au t h or :   M a m do u h   A l e n e z i ,     D e pa rt m e n t   o f   Co m put e S c i e n c e ,   P r i n c e   S u l t a n   U ni v e r s i t y ,   P . O . B o N o .   66833   R a f h a   S t r e e t ,   R i y a dh   11 586   S a ud i   A ra b i a .   E m a i l :   m a l e n e z i @ ps u . e du. s a       1.   I N TR O D U C TI O N     E n t e r p ri s e   R e s o ur c e   P l a nni n g   (E R P i s   t h e   t e c hn o l o g y   t ha t   p r o v i de s   t h e   u ni f i e b us i n e s s   f un c t i o n   t o   t h e   o r ga ni z a t i o by   i n t e g ra t i n t h e   c o r e   p r o c e s s e s .   M a i n l y   i t   i s   r e l a t e a s   a   s o f t w a r e   s o l ut i o n ;   i n t e g ra t i n i n f o r m a t i o n   a n b us i n e s s   p r o c e s s e s   t o   e n a b l e   s h a ri n t hr o ug h o ut   a n   o rga ni z a t i o n   o f   i n f o r m a t i o n   e nt e r e o n c e   i n   a   d a t a b a s e .   T h e   r a n ge   o f   f un c t i o na l i t y   o f   E R P   s y s t e m s   ha s   f ur t h e r   e xpa nde i n   r e c e n t   y e a r s   t o   i n c l ude   m o r e   a ppl i c a t i o n s ,   s uc h   a s   g ra n t s   m a na ge m e n t ,   m a r ke t i n a ut o m a t i o n ,   e l e c t r o n i c   c o m m e r c e ,   s t ude n t   i n f o r m a t i o n   s y s t e m s ,   s t r a t e gi c   pl a nni ng,   h u m a n   r e s o ur c e s   m a na ge m e n t ,   c us t o m e r   r e l a t i o n s hi m a na ge m e n t ,   a n s u ppl y   c h a i n   s y s t e m s .     T h e   E duc a t i o na l   E R P   s y s t e m s   m a y   h a v e   a   n um b e r   o v ul n e ra b i l i t i e s ,   w h i c h   m a y   be   r e l a t e t   a   s pe c i f i c   ve r s i o n ,   ge n e r i c ,   o r   due   t o   a   m i s c o n f i gu ra t i o n   o f   t h e   s y s t e m .   T h e   pub l i c   v ul n e ra b i l i t y   r e pos i t o r i e s   s uc h   a s   CW E ,   CC E ,   a nd  CV E   h o s t   us e f ul   i n f o r m a t i o n ,   w h i c c a n   b e   us e t o   f i t h e s e   v ul n e ra b i l i t i e s .   H ow e ve r ,   t h e r e   i s   a   n e e t o   ut i l i z e   t h e   k n o w l e dge   i t h e s e   p ub l i c   r e po s i t o ri e s   t o   a dd r e s s   t h e   e duc a t i o n a l   E R P   s e c ur i t y   pr o b l e m .   S e ve r a l   c ha r a c t e r i s t i c s   m a ke   e duc a t i o na l   E R P   s y s t e m s   t o   b e   m o r e   s us c e pt i b l e   t o   s e c ur i t y   i s s ue s .   T h e s e   c h a ra c t e r i s t i c s   a r e   [1 ] :     Cus t o m i z a b l e :   L o gi c   of   E R P   s y s t e m   i s   a l t o ge t h e di f f e r e n t   f r o m   c o n v e n t i o n a l   s o f t w a r e .   L i ke w i s e ,   i t s   de pl oy m e n t   c a nn o t   b e   do n e   i n   t h e   s a m e   m a nn e r.   I n   s a ga c i t y ,   E R P   i s   t h e   f ra m e w o r f o r   s of t w a r e ,   n o t   j us t   s of t w a r e .   Y o ha v e   a   l a r ge   a m o u n t   o f   c us t o m i z e c o de   a c c o r di n g   t o   o r g a ni z a t i o n s   b us i n e s s   l o gi c .     Co m pl e x:   E R P s   a r e   h uge   a n c o m pl e due   t a   n um b e r   of   c o m po n e nt s   a t   o n e   pl a c e   l i ke ;   da t a b a s e   s y s t e m s ,   a ppl i c a t i o n   s e r v i c e   pr o v i de r s ,   f r o nt - e nd  p r o gra m s ,   de pl oy m e n t   m a y   be   o n   v a ri o us   o p e r a t i n g   s y s t e m s ,   a n d   l a r ge ,   c o m pl e i nt e g r a t i o m e c h a ni s m .   O f t e n,   s e c ur i t y   i s   r e m o v e due   t o   c o m pl e xi t y .   Evaluation Warning : The document was created with Spire.PDF for Python.
Int   J   E l e c   &   Co m E n g     IS S N :   2088 - 8708       Se c ur i t y   as s e s s m e nt   f r am e w or k   f or   e du c a t i ona l   E R P   s y s t e m s   ( H af s A s hr a f )   5571     R i s k y :   P a t c h e s   a nd  b un d l e   upg r a de   c o m e   w i t h   e xt e n de r i s a s   t h e y   n e e de e un de r s t a n d i n g;   y o m us t   c o n s i de r   a nd   a c c e pt   c e r t a i n   l e v e l s   of   r i s b e fo r e h a nd.   N o t   a l l   E R P   a dm i n i s t r a t i o n s   c a a c c e pt   t h i s   ri s k,   t i m e l y   upg r a de s   a n d   pa t c h   a ppl i c a t i o i s   a l s o   r e c o m m e n de d .     Co s t   of   S D L C:   D ue   t o   t h e   c o m pl e xi t y   of   E R P   s y s t e m   s e c ur i t y   p e r s pe c t i v e   i s   a   h a s s l e .   D u r i ng   de pl oy m e n t   o f   l i m i t e r e s o ur c e s ,   t h i s   ha s s l e   ul t i m a t e l y   e x c l ude s   t h e   qu a l i t y   of   s e c ur i t y   fe a t u r e s   w h i c c a nn o t   b e   de m o n s t ra t e t o   c l i e nt s   i t h e   s a l e s   p r o c e s s ,   a s   s a l e s   c o m pa n i e s   r e qui r e   ra pi de pl o y m e n t   f i gur e s   [2] .     S S D L C:   S e c ur e   s of t w a r e   de v e l o pm e n t   l i f e   c y c l e   s o f t w a r e   i n dus t r y   i s   s t i l l   l a gg i n t o   a do pt   t h i s   l i f e   c y c l e .     Int e g r a t i o n:   T h e   E R P   pr o g r a m   n e e ds   t o   be   i n t e g r a t e w i t h   o t h e r   p r o c e s s e s   a n a p pl i c a t i o n s ,   a nd  i f     t h e   c o l l a b o r a t i v e   pr o c e s s   i s   n o t   c o m pl e t e l y   s e c ur e t h e n   t h e   E R P   i s   p r o n e   t o   v ul n e ra b i l i t y .     A ut h e nt i c a t i o i nt e g r a t i o n:   V e r i fy i n a ut h e nt i c i t y   i s   m a nda t o r y   a n b e   a c hi e v e us i n t h e   s i n g l e     s i g n - o n   f e a t u r e   p r o v i de by   m a i n t a i ni n g   A c t i v e   D i r e c t or y   o r   c o n f i guri n L D A P ,   a nd  K e r b e r o s ,   ov e r   t h e   t i m e   t hi s   v e r i f i c a t i o m e t h o ha s   b e c o m e   l e ga c y   a n h a s   b e e n   e xpl o i t i ng  b y   h a c ke r s   [3] .     L a c of   pr o c e s s e s :   S o m e t i m e s   E R P   e xpl o i t a t i o n   i s   due   t o   a   n u m b e r   o f   i n t e rn a l   s o u r c e s ,   l a c o f   s e c ur i t y   S O P s   c o m pl i a n c e ,   t h e   l e a s t   s ki l l e d   s o ur c e s   (n o n - I T   pe r s o nn e l )   [4] .   T h e   p r o c e s s   of   i de n t i fy i n g ,   qu a n t i fy i n g,   a n d   p r i o r i t i z i n (o r   ra n ki ng)  t h e   v ul n e r a b i l i t i e s   i n   a   s y s t e m   i s   de f i n e a s   v ul n e ra b i l i t y   a s s e s s m e n t .   A   s i g ni f i c a n t   p a r t   of   s e c ur i t y   m a na ge m e n t   i s   v ul n e r a b i l i t y   s c a n s ,   v ul n e r a b i l i t y   a s s e s s m e n t ,   a nd  v ul n e r a b i l i t y   m i t i g a t i o n   [5] .   T h e r e   a r e   v a ri o us   v ul n e r a b i l i t y   s c a nn e r s ,   w h i c c a n   e a s i l y   s c a n   s y s t e m s   t o   de t e c t   v ul n e ra b i l i t i e s .   T h e   o ut put   of   t h e s e   s c a nn e r s   m a y   i n c l ude   f l a w s   i n   s o f t w a r e   de s i gn,   c o n f i gura t i o n   i s s ue s ,   a nd  n e t w o r f l a w s .   T h e   f o l l ow i n pub l i c   r e po s i t o ri e s   c o n s t i t ut e   t h e   k n o w l e dg e   b a s e   fo r   t hi s   r e s e a r c h.     CV E     Co m m o n   V ul n e r a b i l i t i e s   a n E xpo s ur e s :   T h i s   i s   v ul n e r a b i l i t y   r e po r t e r e po s i t o r y   t h a t   p r o v i de s   de t a i l e i n f o r m a t i o n   o n   s a f e t y   d e f i c i e n c i e s   a n s e c ur i t y   di s c l o s ur e s   t hi s   i s   f un c t i o na l   by   M IT E R ,   f un de d   by   t h e   U S   D e pa rt m e n t   o f   N a t i o na l   Cy b e r   S e c ur i t y   P r o t e c t i o n   D i v i s i o n.       CW E     Co m m o n   W e a kn e s s   E num e r a t i o n s :   S of t w a r e   c o m m uni t y   t a r ge t e a t   v ul n e ra b i l i t i e s   a nd  s of t w a r e   f l a w s .   T h e   go a l   i s   t o   pr o v i de   e nh a n c e k n o w l e dge   r e l a t e t o   t h e   w e a kn e s s e s   o f   t h e   s of t w a r e .   It   s e r v e s   a s   a   c o m m o n   l a ngua ge ,   a   m e a s u ri n s t i c k   fo r   s of t w a r e   s e c ur i t y   t o o l s ,   a n a s   a   b a s e l i n e   f o r   w e a kn e s s   i de nt i f i c a t i o n ,   m i t i g a t i o n ,   a nd  p r e v e n t i o e f fo r t s .     CCE     Co m m o n   Co n f i gu ra t i o n   E num e r a t i o n :   T h e   CCE   l i s t   pr o v i de s   a   uni que   i n t r o duc t i o n   t o   s e c ur i t y - r e l a t e c o n f i gura t i o n   i s s ue s   t o   i m p r o v e   w o r kpl a c e   qui c kl y   a n a c c ura t e l y   c o n n e c t   da t a   p r o c e s s i n da t a   a c r o s s   m u l t i pl e   s o ur c e s   a nd  i n f o r m a t i o n   t o o l s .     CV S S     Co m m o n   V ul n e r a b i l i t y   S c o r i ng  S y s t e m :   CV S S   i s   a n   o pe n   f r a m e w o r fo r   c o m m uni c a t i n g     t h e   c ha ra c t e ri s t i c s   a n s e v e r i t y   l e v e l   of   s of t w a r e   v ul n e ra b i l i t i e s .   CV S S   c o n s i s t s   o f   t hr e e   m e t ri c   g r o ups .   T h i s   r e s e a r c h   i n c l ude s   m ul t i p l e   t o o l ki t s ,   w hi c w i l l   b e   us e i di f f e r e n t   p ha s e s   o f   t h e   f ra m e w o r k.       2.   R ES EA R C H   M ET H O D     S e c ur i t y   b e c o m e s   a n   e s s e n t i a l   pa rt   o f   E R P   s y s t e m s ,   a s   t h e y   a r e   us e by   v a r i o us   b us i n e s s e s   o r   o r ga ni z a t i o n s   l i ke   H e a l t h   c a r e ,   M i l i t a r y   d e f e n s e   s y s t e m s ,   E duc a t i o na l   s y s t e m s ,   a n d   b a n k i n s y s t e m s .     T h e   p r i m a r y   go a l   i s   t o   e n s u r e   t h e   s e c ur i t y   of   E R P s   by  e m pl oy i n s t a b l e   s e c ur i t y   p o l i c i e s .   E R P s   a r e   t h e   c o m pl e c o h e s i o n   o f   di ffe r e n t   m o dul e s ,   w hi c h   a r e   d i r e c t l y   o r   i n d i r e c t l y   de p e n de nt   o e a c o t h e r.   I n   t h i s   c a s e ,   i t   b e c o m e s   ve r y   di ff i c ul t   f o r   po l i c y m a ke r s   t o   p r i o r i t i z e   s y s t e m   po l i c i e s   t ha t   c a m a ke   a   s y s t e m   m o r e     s e c ur e   [6] .     A s s e s s m e n t   o f   s e c ur i t y   t hr e a t   i n   E R P s   ha s   b e e n   a   da u nt i ng  t a s f o r   t h e   s e c ur i t y   c o m m uni t y   due   t t h e   i n t e r de pe n de n c i e s   o f   b us i n e s s   m o dul e s .   E R P   s y s t e m s   m us t   b e   a b l e   t o   pr o c e s s   a   w i de   a rr a y   of   b u s i n e s s   t r a n s a c t i o n s   a n d   i m pl e m e nt   a   c o m pl e s e c uri t y   m e c h a ni s m   t h a t   p r o v i de s   de e a c c e s s   t o   us e r s .   T h e   i nh e r e nt   c o m pl e xi t y   of   E R P   s y s t e m s   i n c r e a s e s   t h e   c o m pl e xi t y   o f   s e c uri t y   c o n f i gura t i o n   a n l e a t o   po t e n t i a l   s e c ur i t y   w e a kn e s s e s   [7]   D uri n t h e   i m pl e m e n t a t i o n   p ha s e   i n f o r m a t i o n   s e c ur i t y - r e l a t e i s s ue s   a r e   c o m m o n l y   i gn o r e d ,   t h a t   m a y   l e a t o   po o r l y   de s i gn e c o n t r o l s .   O v e rl o o ki n s e c uri t y   i s s u e s   dur i ng  a n   E R P   i m p l e m e n t a t i o n   p r o c e s s   a l s o   r e s ul t s   i o n go i n s e c u r i t y   pr o b l e m s   a s   i t   i s   v e r y   di ff i c ul t   a n d   e xpe n s i v e   t o   i m p l e m e n t   c o nt r o l s   o n c e   a n   E R P   s y s t e m   h a s   b e e n   i m pl e m e nt e [8] .   Co nt r o l s   a r e   e s s e n t i a l   t o   a s c e r t a i n   t ha t   t a s ks   a r e   pe r f o r m e d   c o m pl e t e l y   a n a c c ura t e l y   a n d   t ha t   u n a u t h o ri z e d   c h a nge s   t o   t h e   i nput   do   n o t   o c c ur .   A s   c o n t r o l s   a c t   a s   de f e n s e   m e c h a ni s m s   t o   pr e v e n t   a c c i de nt a l   ha z a r ds ,   di s c o ur a ge   i n t e nt i o na l   a c t s ,   s pe e di l y   de t e c t   pr o b l e m s ,   i m p r o ve   da m a ge   r e c o ve r y   a n r e c t i fy   e rr o r s   [9 ,   10] .   T h e   i m pl e m e nt a t i o n   o f   a n   E R P   s y s t e m   i s   a l s o   a n   o ppo r t u ni t y   fo r   a n   o r ga ni z a t i o t o   i m pl e m e nt   i m p r o v e c o n t r o l s   a n d   s e c ur i t y .     Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2088 - 8708   Int   J   E l e c   &   Co m E n g ,   V o l .   9 ,   N o .   6 D e c e m b e r   2019   :     55 7 0   -   558 5   5572   D ue   t o   i n s uf f i c i e n t   e ffo r t   o n   s e c uri t y   i s s ue s   dur i n i m pl e m e nt a t i o n,   E R P   s e c ur i t y   i s   i gn o r e d,   w h i c r e s ul t s   i n   po s t - i m pl e m e nt a t i o n   p r o b l e m s   a n p a t c h i ng  t h a t   c a n   b e   e xpe n s i v e   a n ul t i m a t e l y   l e a t f a i l u r e   of  t h e   pr o j e c t   [7] .   V e r s i o n   s pe c i f i c   v ul n e r a b i l i t i e s   a r e   r e l a t e t o   a   s pe c i f i c   r e l e a s e   of   E R P   t o   m i t i g a t e   r e po r t e w e a kn e s s e s .   T o   o v e r c o m e   s uc h   w e a kn e s s e s   E R P   de ve l o pe r s   s up pl y   pa t c h e s   t o   a dd r e s s   s pe c i f i c   pr o b l e m s .   A ppl y i n c o n t i n uo us   p a t c h e s   m a y   i n c r e a s e   t h e   c o m pl e xi t y   a n d   de pe nde n c y   of   t h e   E R P .   P a t c m a na ge m e n t   c a a l s o   s uppo r t   t h e s e   p r o c e s s e s   by   a s s i s t i n g   w i t h   t h e   de pl oy m e n t   o f   upda t e s ,     by   m i n i m i z i n g   t h e   ri s o f   t h e   c ha n ge   a nd  by   r e duc i n t h e   f r e que n c y   of   upda t e s   t ha t   a r e   r e qui r e [1 1] .   P a t c h e s   s e r v e   o t h e r   p u r po s e s   t h a n   j us t   f i xi n s o f t w a r e   f l a w s ;   t h e y   c a n   a l s o   a dd  n e w   f e a t ur e s   t o   s o f t w a r e   a n f i r m w a r e ,   i n c l ud i n s e c uri t y   c a pa b i l i t i e s .   O n e   ke y   a s pe c t   of   be t t e r   a n m o r e   s e c ur e   s o f t w a r e   i s   t h e   t i m e l y   r e l e a s e   o f   pa t c h e s   by   ve n do r s   f o r   t h e   v ul n e ra b i l i t i e s   i n   t h e i p r o duc t s   [12 ]   O pe n   s o ur c e   v ul n e r a b i l i t y   r e po s i t o r i e s   c o n t a i n   i n f o r m a t i o n   a b o ut   v ul n e r a b i l i t i e s ,   po s s i b l e   m i t i g a t i o n s ,   e xa m pl e s   of   de m o n s t ra t i o n ,   c o n s e que n c e s ,   e t c .   T h e s e   de p o s i t s   a r e   m a i n t a i n e a n a r e   a v a i l a b l e   fo r   pub l i c   us e .   P r o v i de   uni f i e d,   e ff e c t i v e   a n s t a nda rd  i n f o rm a t i o n   o n   s e c ur i t y   v ul n e ra b i l i t i e s   [13] .   A c c o r di n t o   t h e   N a t i o na l   V ul n e ra b i l i t y   D a t a b a s e   m a xi m u m   o e i g ht e e n   v ul n e r a b i l i t i e s   a r e   pub l i s h e e v e r y   da y .   T h i s   m a ke s   t h e   j ob   of  t h e   a dm i n i s t r a t o r s   qui t e   b o t h e r s o m e .   I n   f a c t ,   t o   m a i nt a i n   t h e i r   s y s t e m s   s e c ur e   a n f ul l y   o pe r a t i o n a l ,   t h e y   n e e t o   s p e n m o s t   of   t h e i r   t i m e   c o n s ul t i n g   s e c ur i t y   a dv i s o r i e s   i n   o r de r   t o   i de nt i f y   w h i c h   o t h e s e   v ul n e r a b i l i t i e s   r e a l l y   r e pr e s e n t   a   t hr e a t   f o r   t h e i r   s y s t e m s   a n t o   de t e rm i n e   w h i c h   c o un t e rm e a s u r e s     (e . g. ,   i n s t a l l i n g   a   pa t c h ,   m o di fy i n g   a   f i r e w a l l   r u l e ,   e t c . )   m us t   b e   a ppl i e [ 14] .   In f o r m a t i o n   a b o ut   s e c ur i t y   v ul n e ra b i l i t i e s   c a n   b e   ga t h e r e d   f ro m   v a r i o us   s o ur c e s   n a m e l y   v ul n e r a b i l i t y   da t a b a s e s .   S o m e   o t h e m   a r e   pub l i c l y   a c c e s s i b l e   (l i ke   O S V D B ,   N V D ,   CV E ,   e t c . ),   a n f r e e   o t h e r s   can   b e   c o n s ul t e a f t e r   p a y m e n t   o f   a   c e r t a i n   a m o unt   ( l i ke   S e c ur e B a s e   by   S P D y n a m i c s ).   O n e   o f   t h e   ke y   l i m i t a t i o n s   of   e xi s t i n v ul n e r a b i l i t y   da t a b a s e s   i s   t h a t   n o   o n e   pr o v i de s   a l l   t h e   n e c e s s a r y   i n f o r m a t i o n   n e e de t o   a c c ur a t e l y   i de nt i fy   t h e   p r e s e n c e ,   e xpl o i t a t i o n ,   a nd  e ff e c t   of   w e a kn e s s .   T h us ,   t hi s   i n f o r m a t i o n   c a n   o nl y   be   c o l l e c t e d   by   c o n s ul t i n g   m o r e   t ha n   o n e   da t a b a s e .   F o rt u na t e l y ,   m o s t   d a t a b a s e s   p r o v i de   i n f o r m a t i o t o   r u r e f e r ra l s   t o t h e d a t a b a s e s   [14] .   A t   p r e s e n t   t h e r e   i s   n o   r u l e   o f   t h um b   f o r   v ul n e ra b i l i t y   a s s e s s m e n t ,   a s   e v e r y   s c a nn i n g   p r o c e dur e   i s   di f fe r e nt   f r o m   a n o t h e r,   e a c h   s c a nn e r   v e n do h a s   i t s   o w n   f o r m ul a t i o n   t o   a s s e s s   v ul n e ra b i l i t i e s .   T h e r e fo r e ,     a   s i ngl e   v ul n e r a b i l i t y   m a y   be   a s s i gn e di f fe r e nt   s e c ur i t y   r i s l e ve l s   f r o m   di f fe r e n t   v ul n e ra b i l i t y   a s s e s s m e n t   m o de l   [15] .   L i ke w i s e ,   a n   a r c hi t e c t u r e   w a s   pr o po s e i n   [6 ] ;   i t   c o n s i s t s   o f   v ul n e r a b i l i t y   s c a nni n m o dul e ,   v ul n e r a b i l i t y   c l a s s i f i c a t i o n   m o dul e ,   a nd  de duc t i o n   e n gi n e   m o dul e .   T h e   v ul n e ra b i l i t y   s c a n   e n g i n e   s c a n s     t h e   h o s t   o n   t h e   n e t w o r k.   T h e   V u l n e r a b i l i t y   Cl a s s i f i c a t i o m o dul e   c l a s s i f i e s   t h e   v ul n e r a b i l i t i e s   f o un i   t h e   s c a n   r e po r t   i nt o   t h e   v ul n e r a b i l i t y   o a ppl i c a t i o n   a nd   m i s c o n f i gura t i o n.   T h e   c l a s s i f i e v ul n e ra b i l i t y   i n f o r m a t i o n   i s   s t o r e a s   f a c t   f i l e s   i n   t h e   de duc t i o n   e n g i n e .   T h e   D e duc t i o n   E n gi n e   m o dul e   ge n e ra t e s   a t o m i c   a t t a c ks   a n a t t a c ks   g r a p hi c s   [16] A n o t h e r   a p p r o a c h   f o r   v ul ne r a b i l i t y   a s s e s s m e n t   i s   Q u a n t i t a t i v e   m o de l i n o v ul n e r a b i l i t y   di s c ov e r y   pr o c e s s   b a s e o n   s h a r e s o ur c e   c ode   m e a s ur e m e n t s   a m o ng  m ul t i - v e r s i o n   s o f t w a r e   s y s t e m s .   S uc h   a   m o de l i n a pp r o a c h   c a n   b e   us e fo r   a s s e s s i n s e c uri t y   r i s b o t h   b e fo r e   a n a f t e r   t h e   r e l e a s e   of   a   v e r s i o n   [17 ] .       3.   TH E   P R O P O S ED   A S S ES S M EN F R A M EW O R K   In   t h i s   p r o po s e f r a m e w o r k,   a   s e t   o f   t oo l s   a nd  a l go r i t hm s   a r e   us e fo r   i de nt i f i c a t i o n   o f   v ul n e r a b i l i t y ,   c l us t e r i ng  v ul n e ra b i l i t i e s   w i t r e l e v a n t   a rt i c l e s ,   m a pp i ng  a r t i c l e s   w i t h   f l a gge v ul n e r a b i l i t i e s   w i t h i   t h e   pa r t i c ul a c l us t e r ,   p ri o ri t i z i ng  v ul n e ra b i l i t i e s .   T h e s e   t a s ks   w e r e   pe r f o r m e s y s t e m a t i c a l l y   w i t h   t h e   h e l o t h e   pr o po s e f r a m e w o r k.   F i gu r e   t h e   i de n t i f i c a t i o n   o f   v ul n e ra b i l i t i e s   of   t h e   t a r ge t   s y s t e m   i s   pe r fo r m e us i n g   a ut o m a t e t o o l s ,   t h e n   t h e s e   r e s ul t s   a r e   c l us t e r e us i n c l us t e ri n a l go r i t hm   a n c o m pa r e w i t h   t h e   kn o w l e dge b a s e   C o m m o n   Co n f i gu r a t i o n   E n u m e ra t i o n   (C CE a n Co m m o n   V ul n e r a b i l i t i e s   a nd  E xpo s ur e s   (CV E t o   c o - r e l a t e   t h e   r e po r t e v ul n e r a b i l i t i e s   a n t o   p r i o ri t i z e   t h e m   w i t h   t h e   h e l o f   Co m m o n   V u l n e ra b i l i t y   S c o r i n g   S y s t e m   (CV S S ).     P r i o r i t i z a t i o n   l e a ds   us   t o   b ui l o u r   s ub s e t   fo r   h i g hl y   r a n ke d   v ul n e r a b i l i t i e s ,   f o r   w h i c s o l ut i o n   a r e   s e gr e ga t e us i ng  Co m m o n   W e a k n e s s   E n u m e ra t i o n s   (CW E r e po s i t o r y   a n f i n a l l y   s e c ur e   i m pl e m e n t a t i o pl a i s   f o r m u l a t e d.   T h i s   p r o po s e f r a m e w o r h e l ps   i n   a n a l y z i n a n pe r f o r m i n e xpe r i m e nt s   t hr o ug h o ut     t h e   s t udy .   T h e   p r o po s e f r a m e w o r c a n   e a s i l y   b e   di v i de i n t o   p h a s e s   o n   t h e   b a s e s   of   i t s   w o r ki n a n o ut put s   t h a t   a r e   us e i n   t h e   n e x t   p h a s e .   T h e   f i r s t   p ha s e   foc us e s   o n   pub l i c   r e po s i t o r i e s   a n a ut o m a t e t o o l s .   T h e   s e c o n pha s e   de f i n e s   t h e   c o r e   w o r ki n o t h i s   s t udy   i n   w h i c h   t h e   po w e r   of   a dv a n c e a l go r i t hm s   a r e   ut i l i z e f o r   c l us t e r i n a n m a ppi ng  t h e   f l a gge v ul n e ra b i l i t i e s   t o   t h e   r e l a t e a r t i c l e s .   T h e   t hi r p ha s e   c o m pr i s e s   of   pr i o r i t i z i n v ul n e r a b i l i t i e s   o n   b a s e s   of   s e v e r i t y   l e ve l   t h a t   l e a ds   t o   f i n a l l y   s ugge s t i n i m p l e m e nt a t i o n   p l a a ga i n s t   t h e   f l a g ge v ul n e ra b i l i t i e s .   Evaluation Warning : The document was created with Spire.PDF for Python.
Int   J   E l e c   &   Co m E n g     IS S N :   2088 - 8708       Se c ur i t y   as s e s s m e nt   f r am e w or k   f or   e du c a t i ona l   E R P   s y s t e m s   ( H af s A s hr a f )   5573       F i gu r e   1 .   P r o po s e a s s e s s m e n t   f ra m e w o r k       P ha s e   1:   P ub l i c   r e po s i t o r i e s   a nd  a ut o m a t e t o o l s   O pe n   s o ur c e   v ul n e ra b i l i t y   r e po s i t o r i e s   di s pl a y   i n f o r m a t i v e   de t a i l s   r e l a t e t o   E R P   s e c ur i t y   v ul n e r a b i l i t i e s   [18] .   T hi s   l a y e r   of   f r a m e w o r a dd r e s s e s   t h e   i m po rt a n c e   of   t h e s e   pub l i c   v ul n e r a b i l i t y   r e po s i t o r i e s   a n t h e   us e   of  t h e   a ut o m a t e t o o l   fo r   pe n e t r a t i o n   t e s t i n g.   P e n e t r a t i o n   t e s t i ng  t o o l s   a r e   us e fo r   v ul n e r a b i l i t y   a s s e s s m e n t   i t h e   t a r ge t   e duc a t i o na l   E R P   s y s t e m .   P e n e t ra t i o n   t e s t i n t o o l   i s   de v e l o p e fo r   s t a n d a l o n e   w e b   a ppl i c a t i o n   a nd  a s   w e l l   a s   fo r   e n t e r p r i s e   s o l ut i o n s .   L i ke   a n y   e n t e r p r i s e   s of t w a r e ,   t h e s e   s of t w a r e ’s   a r e   l i c e n s e o r   o pe n - s o ur c e .   P h a s e   i s   de pi c t e i n   F i gu r e   2 ;   t hi s   p h a s e   i s   t h e   b a s e l i n e   fo r     t h e   f o r m ul a t i o o f   t h e   d a t a s e t   t h a t   i s   us e i n   p h a s e   2 .           F i gu r e   2 .   P r o po s e f r a m e w o r p h a s e   1       P ha s e   2:   D a t a s e t   o pt i m i z a t i o n   a n d   us e   o f   m a ppi ng  a l go r i t h m   O pt i m i z a t i o n   i s   a   t e c hni que   t ha t   c a n   m a ke   t h e   m o s t   e ff i c i e nt   us e   o f   r e c o ur s e s .   T hi s   i s   t h e   ke y   qua n t i t a t i v e   t oo l   fo r   m a ki n g   de c i s i o n s   i n   a n   a ut o m a t e w a y .   D a t a   ga t h e ri n i n   p ha s e   i s   f i r s t   o pt i m i z e d   by   us i n a   c l us t e ri n a l go ri t hm   by   w h i c h   da t a s e t   i s   r e f i n e a n t h e n   m a ppi ng  a l go r i t hm s   a r e   us e t o   f i n b e s t   m a t c t o m i t i ga t i o n   a r t i c l e   w i t r e po r t e v ul n e r a b i l i t i e s .   T hi s   s t e r e duc e s   t h e   t i m e   a n d   e nh a n c e s     t h e   e ff i c i e n c y   of   m a ppi n a l go r i t h m s .   R a t h e r   m a p pi n a l l   t h e   f l a gge v ul n e ra b i l i t i e s   o ve r   a r t i c l e s   h a v i n g   m i t i g a t i o n   s t ra t e gi e s ,   o nl y   t h o s e   c l us t e r s   a r e   us e fo r   m a ppi ng  t ha t   c o n t a i n s   m a t c h e a rt i c l e s   a g a i n s t   v ul n e r a b i l i t i e s .     T h e   m a pp i n a l go ri t hm s   a r e   us e t o   m a t c h   t h e   s i m i l a ri t i e s   b e t w e e n   t h e   do c um e n t s   pr e s e nt   i n   t h e   g i v e n   c l us t e r .   I n   t hi s   s t udy ,   w e   a r e   c a l c ul a t i ng  t h e   s i m i l a r i t y   i n de w i t h i t h e   de s c r i pt i o n   o f   a rt i c l e s   a n d   f l a gge v ul n e r a b i l i t i e s   g r o upe i n   o n e   c l us t e r.   F i gu r e   i l l us t r a t e s   t ha t   o n c e   v ul n e r a b i l i t i e s   a r e   i de nt i f i e d   of   t a r ge t   s y s t e m   t h e n   us i n pub l i c   v ul n e ra b i l i t y   r e po s i t o r i e s   a r t i c l e s   a r e   c l us t e r e d,   f i na l l y ,   t h e   m a pp i n g   i s   pe r f o r m e d.     Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2088 - 8708   Int   J   E l e c   &   Co m E n g ,   V o l .   9 ,   N o .   6 D e c e m b e r   2019   :     55 7 0   -   558 5   5574       F i gu r e   3 .   P r o po s e f r a m e w o r p h a s e   2       P ha s e   3:   Im p l e m e n t a t i o n   pl a n   In  t hi s   s e l e c t i o n   i de n t i f i e s o l ut i o n s   a r e   p r i o r i t i z e o n   t h e   b a s e s   o f   s e v e r i t y   l e v e l   de f i n e by   CV S S   -   Co m m o n   V ul n e r a b i l i t y   S c o r i n S y s t e m   r e po s i t o r y .   U s i n t hi s   pri o r i t i z a t i o n,   i s s ue s   a t   hi g h   r i s c a n   e a s i l y   be   a dd r e s s e f i r s t   t h e n   m e di u m   l e v e l   v ul n e ra b i l i t i e s   a n d   f i na l l y   l ow   r a n ke v ul n e r a b i l i t i e s   w i l l   b e   r e s o l v e d.     A s   s h o w n   i n   F i g u r e   o n c e   pr i o ri t i z a t i o n   i s   m a de   f o r   t h e   i de nt i f i e s o l ut i o n s   t h e n   de t a i l   r e c o m m e n d a t i o n s   a r e   s ugge s t e i n   t h e   i m p l e m e n t a t i o n   p l a s e c t i o de pe n d i n g   upo t h e   i s s ue s   r e po r t e d.             F i gu r e   4 .   P r o po s e f r a m e w o r p h a s e   3       M a i n l y   pub l i c   v ul n e r a b i l i t y   r e po s i t o r i e s   c o m pr i s e ;   b a s i c   i n f o rm a t i o o f   de f e c t s ,   t h e   s e ve r i t y   l e v e l   of  w e a kn e s s ,   po t e nt i a l   m i t i ga t i o n   s t r a t e gy ,   de m o n s t ra t i o n   w i t h   e xa m pl e s ,   po s s i b l e   c o n s e que n c e s .     T h i s   w i de s pr e a d a t a b a s e   i s   m a na ge a nd  pub l i c l y   a v a i l a b l e   fo r   us e .   A   ke y   a dv a n t a ge   o f   s u c h   r e po s i t o r i e s   i s   t h e y   pr o v i de   i n t e g ra t e a nd  e f fe c t i ve   i n f o r m a t i o n   o n   s e c u r i t y   ri s ks .   Co m m o n   W e a k n e s s   E n u m e r a t i o (CW E ) ,   N a t i o n a l   V ul n e ra b i l i t y   D a t a b a s e   (N V D ),   Co m m o n   V ul n e ra b i l i t i e s   a nd  E xpo s ur e s   (CV E a r e   hi g hl y   us e d   r e po s i t o r i e s   de pi c t e d   i n   F i gu r e   5 .   .         F i gu r e   5 .   P ub l i c   V u l n e r a b i l i t y   r e po s i t o r i e s       T h e s e   r e po s i t o r i e s   a r e   e xt e n s i v e l y   m a n a ge a nd  s t a t e   c l a s s i f i c a t i o n   o f   e a c h   r e po r t e i s s ue   i n   t e r m s   o s t a t us ,   a v a i l a b l e   s o l ut i o n s ,   a n v ul n e r a b i l i t y   t y pe .   F i gur e   s h o w s   h i g h l y   r e po r t e v ul n e ra b i l i t i e s   t ha t   m a y   b e   c a t e go r i e s   a s   b u ff e r   ove r f l ow ,   c r o s s - s i t e   s c r i pt i n g,   de n i a l   o s e r v i c e s ,   S Q L   i n j e c t s   a n s o   o n .   T h e   pr o po s e d   f r a m e w o r l e v e r a ge s   t h e   po w e r   o f   pub l i c   v ul n e r a b i l i t y   r e po s i t o r i e s   us e f o r   c l us t e ri n a n d   m a pp i n g   t h e   r e po r t e v ul n e r a b i l i t i e s   t o   t h e   a rt i c l e s .   T h e r e   i s   a   num b e r   of   c o m m u n i t i e s   w o r ki n o n   i n f o r m a t i o n   s e c ur i t y   a t   p r e s e n t .   T h e y   us e   c e r t a i n   r ul e s ,   po l i c i e s ,   a nd  p r o c e dur e   t o   c h e c t h e   s e c ur i t y   of   s o f t w a r e .   M a j o r i t y   o i n f o r m a t i o s e c ur i t y   c o m m u n i t i e s   us e   s t a nda rds   s e t   by   M IT R E   w h i c i s   t h e   U S   go ve r nm e n t - f u n de o r ga ni z a t i o n .   I t h e   n e xt   s e c t i o n ,   t h e   m o s t   po pul a o f   t h e s e   a re   di s c us s e d.     I d e n t if ied  S ol u t ion   CV S S   P r io r it iz at ion   Evaluation Warning : The document was created with Spire.PDF for Python.
Int   J   E l e c   &   Co m E n g     IS S N :   2088 - 8708       Se c ur i t y   as s e s s m e nt   f r am e w or k   f or   e du c a t i ona l   E R P   s y s t e m s   ( H af s A s hr a f )   5575       F i gu r e   6 .   T y pe   of   V ul n e ra b i l i t i e s       3. 1 .   C om mo n   w e ak n e s s   e n u m e r ati o n s   (C WE)   CW E -   c o m m o n   w e a kn e s s   e n u m e ra t i o n   c a n   b e   de f i n e a s   a   c l a s s i f i c a t i o n   o f   a n y   s of t w a r e   s e c ur i t y   f l a w   t ha t   c a n   s e r v e   a s   a   s t a n da rd  l i s t   o f   s e c ur i t y   w e a kn e s s   a n p r o v i de   i n f o r m a t i o n   i n   u ni f i e l a n gu a ge   [19] CW E   i s   f o r m e b y   di ffe r e n t   c o m m u ni t i e s .   T h e r e f o r e   i t   i s   k now n   a s   a   c o m m u ni t y   pr o j e c t   w i t t h e   m a j o r   go a l   of   c r e a t i ng  a   c a t a l o o f   s of t w a r e   w e a kn e s s e s   a nd  v ul n e r a b i l i t i e s   t ha t   h e l i n   p r o v i di n g   a   b e t t e r   u nde r s t a n d i n g   of   w e a kn e s s e s   i n   s of t w a r e   [20] .   It   a l s o   s e r v e s   a s   a   s t a n da r y a r d s t i c f o r   a dd r e s s i n v ul n e ra b i l i t i e s   us i n s e c ur i t y   t oo l s ,   pr o v i di n t e c hni que s   fo r   i de n t i f i c a t i o n   o vul n e ra b i l i t y ,   b a s e l i n e   m i t i g a t i o n   s t r a t e gi e s ,   a n d   pr o t e c t i o s t e ps   f r o m   k n o w n   w e a kn e s s e s .     M IT R E ’s   t h e   f o un de r   o r ga ni z a t i o n   o f   CW E ;   s e t   o bj e c t i v e s   fo r   t h i s   r e po s i t o r y   a s   t o   p r o v i de     a   pl a t f o r m   t h a t   gui de s   s e c ur i t y   a s s e s s m e n t   a n s o f t w a r e   c a pa b i l i t i e s   i n   t e rm s   of   a s s ur a n c e   a nd  c o de   m a t u r i t y   s o   t ha t   a c qui s i t i o n   c o m pa ni e s   c a a do pt   pa rt i c ul a s o f t w a r e   [2 1 ] .   A t   p r e s e n t ,   i t   i s   di f f i c ul t   t o   pi n po i n t   hi g h - q ua l i t y   t oo l s   t ha t   c a n   i de n t i fy   t h e   w e a kn e s s e s   a n s e c ur i t y   f l a w s   of   s of t w a r e   a s   t h e y   a r e   n e w   t o   t h i s   f i e l a n d   m a r ke t .   F e w   c o r e   t a s ks   o f   CW E   r e po s i t o r y   a r e   l i s t e b e l ow :     U s e   t h e   r e gu l a r   l a ngua ge   t o   de s c r i b e   t h e   w e a kn e s s e s ,   w h i c h   m a y   pr e s e n t   i a r c h i t e c t ur e ,   de s i g n ,   o r   c o de   of   a n y   s of t w a r e .     S e r v e   t h e s e   de f e c t s   a s   a   s t a n d a r d   m e a s u r e   f o r   s o f t w a r e   s e c ur i t y   t oo l s .     P r o v i de s   a   c o m m una l   gui de l i n e   f o r   w e a kn e s s   i de n t i f i c a t i o n,   i t s   po s s i b l e   pr e c l us i o n   s t e ps   a n e ff o r t   r e qui r e d .   M o s t   s p e c i f i c a l l y   f i n di n w ha t   t o o l   o r   s e r v i c e s   a r e   be s t   f i t   fo r   w h i c h   t a s ks   a r e   s t i l l   a n   u n a n s w e r a b l e   que s t i o n .   CW E   w a s   e xa c t l y   c r e a t e t o   a dd r e s s   s uc h   c r i t i c a l   i s s ue s .   700  pl us   a r t i c l e s   a r e   p r e s e n t   a t   CW E   r e po s i t o r y   a ff i r m i n g   CW E - ID ,   i t s   t i t l e ,   s h o r t   de s c r i pt i o n,   r e l a t i o n s hi ps   c o m m o n   c o n s e que n c e s ,   po t e n t i a l   m i t i g a t i o n s   a n d   s o   o n   a ga i n s t   e a c CW E   a rt i c l e ,   F i g u r e   7   de pi c t s   a e xa m pl e   o f   c o n v e n t i o na l   CW E   a rt i c l e .           F i gu r e   7 .   E xa m p l e   o f   CW E   r e po r t e v ul n e r a b i l i t y   [22]   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2088 - 8708   Int   J   E l e c   &   Co m E n g ,   V o l .   9 ,   N o .   6 D e c e m b e r   2019   :     55 7 0   -   558 5   5576   3. 2 .   C om mo n   vu l n e r ab i l i ti e s   an d   e x p o s u r e s   ( C V E)   E a rl y   i n   1999 ,   M I T E R   b e ga n   t o   c l a s s i fy   pr o gra m   w e a k n e s s e s   w h e n   CV E   l i s t   w a s   l a u n c h e d.   A s   p a r t   of   t h e   CV E - M I T E R ' s   CV E   t e a m ,   i t   h a s   de v e l o pe a   b a s i c   ra t i ng  a nd  ke y   c l a s s i f i c a t i o n   o f   k e y   r i s t y p e s ,   a t t a c ks ,   e rr o r s ,   a nd  o t h e c o n c e pt s   t h a t   h e l de f i n e   c o m m o n   w e a kn e s s e s .   F o r   CV E   v ul n e r a b i l i t y   da t a ,   w w w . c v e d e t a i l s . c o m   p r o v i de s   t h e   qui c w e b - b a s e i n t e r f a c e .   It   i s   qui t e   c o n v e n i e n t   t o   f i n v ul n e ra b i l i t y   b s e l e c t i n v e n do r s ,   p r o duc t s ,   a n v e r s i o n s .   Y o c a n   s e e   s t a t i s t i c s   o n   v e n do r s ,   p r o duc t   a nd  pr o duc t   v e r s i o n s .   CV E   p r o v i de s   d e t a i l s   o n   a   s i n g l e   pa ge   i n   a   c o m pa c t   v i e w .   T h e   de t a i l s   o f   CV E   i n t e r f a c e   s h ow n   i n   F i gu r e   8 v ul n e r a b i l i t y   de t a i l s   i de nt i f i e by   CV E - ID   (e . g. ,   CV E - 2 0 06 - 0584)   n u m b e r   f o l l ow e by   i t s   de s c r i p t i o n,   r e po rt e da t e ,   i m pa c t   f a c t o r ,   s e v e r i t y   l e ve l a nd   i t s   c o rr e s po ndi n g   CW E   a rt i c l e   n u m b e r .   CV E   v ul n e ra b i l i t y   r e po s i t o r y   i s   de r i v e f r o m   t h e   N a t i o na l   V ul n e ra b i l i t y   D a t a b a s e   (N V D a n i XML   fo r m a t ,   t h e y   a c qui r e   s a f e t y   da t a   f r o m   t h e   N a t i o na l   In s t i t ut e   o f   S t a n da rds   a n T e c hn o l o g y   (N IS T ).     In  a d di t i o t o   N V D   CV E   d a t a ,   t hi s   r e po s i t o r y   a l s o   i n c l ud e s   a ddi t i o na l   da t a   f r o m   m ul t i p l e   r e s o ur c e s   l i ke   M e t a s l o i t   m o dul e s ,   d a t a   s u ppl i e f r o m   v e n do r s ,   po t e nt i a l   e xpl o i t s   f r o m   w w w . e xpl o i t - db . c o m .           F i gu r e   8 .   E xa m p l e   o f   CV E   de t a i l s   [23]       3. 3 .   C om mo n   c o n fi g u r ati o n   e n u m e r ati o n   (C C E)   T h e   CCE   L i s t   p r o v i de s   un i que   i de n t i f i e r s   t o   s e c ur i t y - r e l a t e s y s t e m   c o n f i gura t i o n   i s s ue s   t o   i m p r o ve   w o r kf l ow   by   f a c i l i t a t i n f a s t   a n a c c ur a t e   c o r r e l a t i o n   o f   c o n f i gur a t i o n   da t a   a c r o s s   m ul t i pl e   i n f o r m a t i o n   s o ur c e s   a n t o o l s   [2 4 ] .   W hi l e   w o r ki n w i t h   m u l t i pl e   r e s o u r c e s   v a r i o us   f a c t o r s   a r e   a dd r e s s ;   i n   o r de r   t o   us e   t h e   s t o r e i n f o r m a t i o n   e f fe c t i ve l y ;   t h e   da t a   p r e s e n t   o t h e s e   re po s i t o r i e s   m us t   m a i nt a i n   c o n s t a n t   i de n t i f i c a t i o t h a t   c a n   h e l i da t a   c o rr e l a t i o n,   i nt e r o pe r a b i l i t y   fe a t ur e   m a y   e xi s t ,   t h e   i n t e r a c t i v e   c a pa b i l i t y   of   f e e di n g   a ut o m a t i o n   a n s o   o n .   U n i que   i de nt i f i e r s   a r e   a s s i g n e by   C CE   a g a i n s t   e a c h   s y s t e m   s e t up   pr o b l e m s   s t h a t   i t   m a y   be   us e t o   a s s i s t   f a s t   a n d   a c c u r a t e   c o n n e c t i o n   f o r   c o n f i gura t i o n   da t a   t hr o ug h   s o ur c i ng  a nd  v a r i o us   i n f o r m a t i o t o o l s .     S i m i l a r   t o   CV E   r e po s i t o r y   CCE   a l s o   l i s t   c o n f i gur a t i o n   l e v e l   s e c ur i t y   w e a kn e s s   i n   a   uni f i e d   m a nn e r ,   e a c h   C CE   e n t r y   c o m pr i s e s   o f   fo l l ow i n f e w   c o r e   a t t ri b ut e s :     CCE - ID :   C CE   i de n t i f i e n u m b e r   e . g . ,   CC E - 25 60 - 9     CCE   D e s c r i pt i o n:   Co n f i gu r a t i o f l a w s   a r e   l i s t e i a   h u m a n - r e a d a b l e   f o r m a t .     Co rr e c t i v e   pa ra m e t e r s :   E a c h   s y s t e m   h a v e   a   c o n f i gu r a t i o n   pa n e l   a n c o rr e s po n d i n p a r a m e t e r s   a r e   de f i n e d.     R e s p e c t i ve   Co r r e c t i v e   M e c h a ni s m s :   Co rr e c t i v e   m e a s u r e s   c a b e   m o r e   t ha n   o n e   t o   ge t   de s i r e o ut pu t s   by   i m p l e m e nt i ng  t h e m .     3. 4 .   C om mo n   vu l n e r ab i l i ty   s c o r i n g   s ys te m   (C V S S )   CV S S   i s   a n   o pe n   s t a n d a r a n f r e e   pl a t f o rm   fo r   a n a l y z i n t h e   i n t e n s i t y   l e ve l   of   i n f o r m a t i o n   s y s t e m   s e c ur i t y   w e a kn e s s e s .   T h e   c o r e   t a s o f   CV S S   r e po s i t o r y   i s   t o   a s s i g n   a   s c o r e   t o   r e po rt e v ul n e ra b i l i t y   o n   b a s e s   of   i t s   s e v e r i t y ,   de f i n e   t h e   p r i o r i t y   o f   f l a w s   t o   be   a dd r e s s e d   f i rs t   w h i c i s   s e t   by   r e s po n de r s .   Evaluation Warning : The document was created with Spire.PDF for Python.
Int   J   E l e c   &   Co m E n g     IS S N :   2088 - 8708       Se c ur i t y   as s e s s m e nt   f r am e w or k   f or   e du c a t i ona l   E R P   s y s t e m s   ( H af s A s hr a f )   5577   CV S S   ha s   s e t   s c o r e   r a nge   t ha t   s t a rt s   f r o m   a n d   e n ds   a t   10,   m a y   be   r e a d   a s   a   l o w e s t   s e v e r e   v ul n e r a b i l i t y   t ha t   c a h a rm   t o   a n y   s y s t e m   a n 1 i s   t h e   m a xi m um   po i n t   s h o w s   t h e   h i g h e s t   l e v e l   of   i m pa c t   o t h e   s y s t e m   m a y   c a us e   by   t h e   w e a kn e s s .   Ca l c ul a t i o n   f o r m u l a   of   e a c h   r e po r t e v ul n e ra b i l i t y ;   s o   t h a t   i t   m a y   be   a s s i g n e a   s c o r e   i s   b a s e o n   m ul t i pl e   f a c t o r s   t ha t   i de nt i fy   t h e   e xpl o i t a t i o n   f a c t o r   a n e a s e   of   e xpl o i t a t i o n   t o   a n y   c o ur s e   c o de   o r   s y s t e m   [2 5 ] .   CV S S   h a s   a   d i f f e r e n t   w o r ki n s t ruc t u r e ,   i t   h a s   t hr e e   s c o r i ng  g r o ups   a nd  e a c ha s   a   s e t   o f   m e t r i c s   s h o w n   i n   F i gu r e   9   .         F i gu r e   9 .   CV S S   s c o r e   m e t r i c         T h e   b a s e   m e t r i c   g r o up  c o n s i s t s   o f   t h o s e   v ul n e ra b i l i t i e s   w hi c h   a r e   n o t   c h a nge due   t o   t h e   e ff e c t   of    t h e   e n v i r o n m e n t   o r   w i t h   t h e   t i m e .   T h e s e   v ul n e ra b i l i t i e s   m a i nt a i n   t h e i r   c ha r a c t e r i s t i c s   a n s h o w     t h e   i nh e ri t a n c e   w i t t h e i p a r e nt   v ul n e ra b i l i t y   t y p e .     T e m po ra l   m e t r i c   c o m pri s e s   of   t h o s e   v ul n e r a b i l i t i e s   t ha t   a r e   n o t   c o n s i s t e n t   a n c h a n ge   t h e i i m pa c t   a n d   e ffe c t   ov e r   t i m e .     Cha ra c t e ri s t i c s   t h a t   c o m b i n e   t o   fo r m   E n v i r o nm e n t a l   m e t r i c   gr o up  a r e   u n i que   b e c a us e   i t s   fo r m a t i o n   i s   t o t a l l y   de pe n de o t h o s e   v ul n e ra b i l i t i e s   w h i c a r e   b a s e o n   t h e   s pe c i f i c   us e r s ’  e n v i r o n m e n t .   A s   a   qui c o ve r v i e w   of   t h e   a b ov e   d e s c r i b e pu b l i c   s e c ur i t y   v ul n e ra b i l i t y   r e po s i t o r y   fo l l ow i n ke y   po i n t s   i s   l i s t e d:     CW E   de a l s   p u r e l y   w i t h   t h e   f l a w s   a n d   t h e i r   m i t i ga t i o n;   i t   ha s   n o t hi n t o   do   w i t h   t h e   p r o duc t   t y pe   o r   v e r s i o n     CV E   gi v e s   a n   i n s i g h t   i n t o   t h e   pa r t i c ul a r   i n s t a n c e ,   i t s   v e r s i o n ,   i t s   v e n do r   b ut   n o t   m uc h   i nt e r e s t e i de f i n i n g   de t a i l s   o f   t h e   u nde rl y i n v ul n e r a b i l i t y .     CCE   f oc us   o n   t h e   s pe c i f i c   c o n f i gura t i o o f   a n y   i n s t a n c e   o p ro duc t .       CV S S   i s   m o s t   i m po r t a n t   o f   a l l   r e po s i t o r i e s   a s   i t   i ndi c a t e s   t h e   s e ve r i t y   l e v e l   of   v ul n e r a b i l i t y ,   i rr e s pe c t i v e   of   pr o duc t   o r   w e a kn e s s   t y pe .     3. 5 .   U s e d   to o l s   In  t hi s   s e c t i o n ,   t h e   t o o l s   us e i n   t h e   p r o po s e f r a m e w o r a re   go i n t o   b e   di s c us s e i m o r e   de t a i l s .   T h i s   i n v o l v e s   t h e   us e   o f   di ff e r e n t   o pe n - s o ur c e ,   a n d   c us t o m - b ui l t   t o o l s   a n d   A P Is .     3. 6 .   P e n e tr at i o n   te s ti n g   to o l   T o o l s   de s i gn e f o r   pe n e t ra t i o t e s t i ng  c a n   di s c o ve r   a nd  e xp l o i t   w e a a r e a s   by   s i m ul a t i o n   o f   a t t a c s c e n a r i o s .   T h e s e   s e c ur i t y   ga ps   m a y   l e a t o   m i s us e   o f   l o gi n   c re de n t i a l s ,   pe r s o n a l   i n f o rm a t i o n   r e l a t e t o   h e a l t h,   pr o pe rt y ,   i de n t i f i c a t i o n ,   a n c r e di t   c a r de t a i l s .   D a t a   a c qu i s i t i o o f   t h i s   na t u r e   c a h a v e   a dv e r s e   b us i n e s s   r e s ul t s   [2 6 ] .   P r o t e c t i v e ,   h a rm f ul ,   l uc i t e s t i n w i l l   h e l y o de c o upl e   i m po r t a n t   b us i n e s s   da t a   i n   t h e   f ut ur e   by   r e duc i n g   s e c ur i t y   ga ps .   In  o ur  w o r k,   N e t s pa r ke w a s   us e a s   a   pe n - t e s t   t o o l   a s   s h o w n   i F i g u r e   10 .   I t   i s   a   w e b - b a s e d   v i go r o us   s c a nn e r   t ha t   h e l ps   i n   t h e   i de n t i f i c a t i o n   o f   s e c u ri t y   f l a w s .   It   a l s o   s ugge s t s   t h e   b e s t   pos s i b l e   c o un t e ra c t i v e   m e a s ur e s .   T h i s   t o o l   c o m e s   w i t h   bo t h   c o m m a n l i n e   a n t h e   g r a p hi c a l   us e r   i n t e r f a c e ;   i t   i s   s c a l a b l e   a n d   p r o v i de s   i n t e g r a t i o n   f e w   ke y   fe a t u r e s   a r e   l i s t e i n.   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2088 - 8708   Int   J   E l e c   &   Co m E n g ,   V o l .   9 ,   N o .   6 D e c e m b e r   2019   :     55 7 0   -   558 5   5578       F i gu r e   10 .   F e a t u r e s   o f   n e t s pa rke r       3. 7 .   C l u s te r i n to o l   In   o u r   s t udy ,   t h e   c l us t e r i ng   o f   t h e   da t a s e t   i s   a   p r o c e s s   t ha t   i s   us e fo r   o pt i m i z a t i o n   i t h e   de t e c t i o n   of  s t ruc t u r e   o r   pa t t e rn s   i n   a   s e t   of   da t a   ga t h e r e f r o m   di f f e r e n t   s o ur c e s .   A t   pr e s e n t   c l us t e r i ng  i s   o n e   of   t h e   m o s t   i m po rt a nt   t e xt   m i ni n e xp l o r a t i o n   d i r e c t i o n s   f o r   r e s e a r c h e r s .   A l t h o ugh  us i ng  t hi s   p r o c e dur e   m i g h t   r e s ul t   i s o m e   l o s s   of  i n f o r m a t i o n   b ut   c l us t e r i n t e c hni que   s i m p l i f i e s   t h e   s t r uc t u r e   of   da t a s e t   pr o v i de t be   gr o upe i n   m e a n i ngf ul   c l us t e r s   a nd  h e l ps   t h e   us e r   i t h e   e n t o   ha v e   a   r e f i n e d   d a t a s e t   f o r   t h e i f urt h e w o r ki n g.   Co m m o n l y   us e a l go r i t h m   f o r   c l us t e ri n t e c hn i q ue s   i s   K - m e a n s ,   S O M - S e l f   o r ga ni z i n m a p,   D B s c a n,   hi e ra r c h a l   c l us t e r i ng,   g ri d - b a s e d   c l us t e r i n g .   T h e   c l us t e pe r f o r m a n c e   de pe n ds   o n   t h e   i nt e rp r e t a t i o t ha t   t he   r e l a t e do c um e n t   b e l o n gs   t o   t h e   s a m e   c l us t e r   a n s ha r e   t h e   s a m e   n e i g h b o r h o o d,   r e s ul t i n t o   c o n c l ude   i t   a s ;   c l us t e r   t e c hn i q ue s   fo c us   o n   t h e   r e l e v a nt   c o n t a c t   e l e m e n t .   F i gu r e   11   de pi c t s   t h e   c l us t e r i n g   c o n c e pt .   In  o ur  s t udy ,   w e   us e   t h e   SPMF   j a v a - b a s e t o o l   fo r   c l us t e r i ng.           F i gu r e   11 .   Cl us t e t ra n s f o r m a t i o n       3. 8 .   S P M F   It   i s   a n   o pe n - s o ur c e   da t a   m i n i n l i b ra r y ,   pa rt i c ul a r l y   us e fo r   pa t t e rn   e xc a v a t i n i t s ’  a   j a v a - b a s e d   t o o l s   a n o ff e r s   i m pl e m e n t a t i o n s   o f   150+   da t a   m i ni n a l go r i t hm s   [27] .   T h e s e   a l go r i t h m s   a r e   us e fo r   fo l l ow i n m i n i ng  t e c hn i que s ;   c l us t e ri n a n c l a s s i f i c a t i o n,   t i m e - s e r i e s   m i ni n g,   s e que nt i a l   p a t t e rn,   pe ri o di c   pa t t e rn   m i ni n g ,   h i g h - ut i l i t y   pa t t e rn   m i ni n g ,   i t e m s e t   m i ni n g ,   e pi s o de   m i ni n s e que nt i a l   r ul e   m i n i ng,   a s s o c i a t i o n   rul e   m i ni n g ,   a n d   s e que n c e   p r e di c t i o n   [2 8 ] .   O ur  s t udy   us e s   o n e   of   i t s   a l go r i t hm s   t ha t   a r e   " T e xt C l us t e r e r"  w h i c h   t a ke s   t h e   t e xt   f i l e   a s   i n put   a nd   pr o duc e s   t h e   s a m e   a s   o ut put .   T h i s   a l go ri t hm - b a s e t o o l   w o r a s   f o l l o w s     a.   T h e   i nput   f i l e   i s   l o a de a n d   i f   r e qui r e d   s t o w o r ds   a n d   s t e m   w o r ds   a r e   e l i m i na t e d   b.   t f *i df   a ga i n s t   e a c r o w   of   t h e   i n pu t   f i l e   i s   c a l c ul a t e d   c.   t f *i df   v a l ue   o f   e a c h   r e c o r i s   us e t o   e v a l ua t e   t h e   s i m i l a r i t y   m a t r i x .   d.   M o s t   s i m i l a r e c o r ds   a r e   m a r ke a s   c l us t e r s   i n i t i a l l y .   Evaluation Warning : The document was created with Spire.PDF for Python.
Int   J   E l e c   &   Co m E n g     IS S N :   2088 - 8708       Se c ur i t y   as s e s s m e nt   f r am e w or k   f or   e du c a t i ona l   E R P   s y s t e m s   ( H af s A s hr a f )   5579   e.   By   us i n t r a n s i t i v e   r ul e   i . e . ,   i f   a 1,   a 5 ,   a 2 a r e   m o s t   r e l a t e a n a 5 ,   a 5 a r e   m o s t   s i m i l a r;   t h e n   a 1,   a 5 ,   a 21,   a n a 50   a r e   l i ke l y   t o   be   i de n t i c a l .   T hi s   m e a n s   t h a t   a 1 ,   a 5,   a 21   a n d   a 50  a r e   i n   t h e   s a m e   c l us t e r.   f.     T h e i t   w i l l   m e r ge   a l l   t h e   c l us t e r s   b a s e o t h e   a b o ve   r ul e   f or  a l l   t h e   r e c o r ds .   g.   F i na l l y ,   t h e   o ut put   f i l e   i s   ge n e ra t e c o nt a i n i ng  t e xt   c l us t e r s .   T h i s   t o o l   i s   v e r y   e a s y   t o   i n s t a l l   a nd  us e ,   i t   ha s   n o   de pe n de n c i e s   t o   o t h e l i b r a ri e s .   A upd a t e v e r s i o of   S P M F   i s   2. 30c   r e l e a s e i M a r c 20 18  e x a m p l e   s h o w n   i F i gu r e   12 .               F i gu r e   12 .   SPMF - c l us t e r i ng  t o o l       3. 9 .   M ap p i n g   to o l   M a ppi ng  o f   da t a   f r o m   o n e   da t a   m o de l   t o   a n o t h e r   i s   t h e   f i r s t   s t e fo r   da t a   i nt e g r a t i o n,   a nd  f o r   da t a   m a na ge m e n t   a n c o m put a t i o n,   i t   i s   e s s e n t i a l   t o   m a d a t a   f r o m   s o u r c e s   w i t a   p a rt i c ul a r   de s t i na t i o n.   T h i s   m a p pi n g   o f   da t a   f r o m   s o ur c e   t o   de s t i na t i o n   r e p r e s e nt s   t h e   r e l a t i o n s h i p   o f   da t a ,   w h i c h   f u r t h e r   c a b e   us e d   fo r   da t a   t ra n s f o r m a t i o n ,   da t a   l i n e a ge   a na l y s i s ,   o r   r e s e a r c w o r k.   I n   o u r   s t u dy ,   w e   us e   m a ppi n g   t e c hni que   t c o n s o l i da t e   m ul t i pl e   r e po s i t o r i e s   i n   o r de r   t o   f i n b e s t   pos s i bl e   m i t i ga t i o n   a g a i n s t   m a l i c i o us l y   r e po r t e i s s ue s   a n f o r   t h i s   S i m S c o r e   t o o l   i s   us e w hi c h   i s   de v e l o p e by   s t u de n t s   o f   t h e   U ni v e r s i t y   of   M i s s i s s i ppi .   S i m S c o r e   i s   a   t oo l   de v e l o pe o n   t h e   . N E T   f ra m e w o r k,   i t s   c o r e   f un c t i o na l i t y   i s   t o   c a l c ul a t e     t h e   s i m i l a ri t y   i n de o f   pr ov i de fo l de r s   us i n t w o   m a ppi n a l go r i t hm s ;   i f *i df   a n J a c c a r c o e ff i c i e n t .     T h i s   t o o l   h e l ps   us   f i n di n s i m i l a ri t y   b e t w e e n   m i t i ga t i o n   a rt i c l e s   of   pu b l i c   r e po s i t o r i e s   a n de s c ri pt i o n   of  r e po rt e v ul n e ra b i l i t i e s   [2 9 ] .   T F *ID F   i s   b a s i c a l l y   t e rm s   T F   a nd  ID F .   T e rm   F r e que n c y   T F   de t e r m i n e s   t h e   o c c urr e n c e   o   p a r t i c ul a r   t e r m   i t h e   w h o l e   do c um e n t ,   a n d   ID F   i s   i nv e r s e   doc um e n t   f r e que n c y   i s   t h e   f r e que n c y   of    a   p a r t i c ul a w o r i t h e   s e t   o f   do c um e n t s .   Co r e   w o r ki ng  o f   t he s e   t w o   t e r m s   i s   e l a b o r a t e b e l o w :   T F :   T e rm   F r e que n c y   t ha t   i s   us e t o   m e a s u r e   t h e   f r e que n c y   of   a   t e r m   w i t r e s pe c t   t o   i t s   p r e s e n c e   i   a   do c um e n t ,   a s   a l l   t h e   do c um e n t s   a r e   n o t   o t h e   s a m e   s i z e   t h e r e   i s   a   p r o b a b i l i t y   t h a t   t e r m   f r e que n c y   v a r i e s   w i t h   t h e   c h a nge   of  doc um e n t   l e n gt h.   T o   n o rm a l i z e   t hi s   c o n c e rn   T F   i s   c a l c ul a t e by   di v i di n a   t o t a l   n u m b e r   of  t e rm s   i t h e   do c um e nt .   T F   (t )   =   ( t e rm   t   f r e que n c y /   t o t a l   t e r m s   i a   do c um e nt ).     ID F :   I n v e r s e   D oc um e n t   F r e que n c y   i s   r e s po n s i b l e   t o   f i n t h e   i m po r t a n c e   o f   a   pa r t i c ul a r   t e r m   i n   do c um e n t   w h e r e a s   T F   c o n s i de r   a l l   t e r m s   e qua l l y   i m po r t a n t   i n   a   do c um e n t .   S t o w o r ds ,   pa r t s   o s pe e c h   n e e t o   b e   c o n t r o l l e a s   t h e y   a ppe a r   m a n y   t i m e s   b ut   do   n o t   h a v e   m uc s i g n i f i c a n c e   i c a l c ul a t i ng  ID F   w hi l e   r a r e   t e rm s   n e e t o   m e a s u r e .   ID F   ( t =   l o (T o t a l   do c um e n t s   /   N u m b e r   o f   do c um e n t s   w i t h   t e r m   t ) .     J S i m   (X 1 ,   Y 1 )   =   | X 1 Y 1 |   /   | X 1 Y 1 |     Evaluation Warning : The document was created with Spire.PDF for Python.