| 发明名称 | 一种基于缺陷分析的软件可信性评价方法 | ||
| 摘要 | 本发明公开了一种基于缺陷分析的软件可信性评价方法,涉及软件安全领域,包括:以CAPEC为基础构建攻击模型库,增加威胁程度属性,建立攻击模式和软件缺陷之间的多对一映射关系,获取软件缺陷的威胁程度;构建缺陷库;基于形式化语言和传统UML时序图,构建形式化的统一软件模型,根据统一软件模型构建软件安全缺陷知识库;通过定理证明机,发现统一软件模型中潜在的软件安全缺陷;根据分类标准、缺陷库将软件安全缺陷分为安全攸关类缺陷、隐私攸关类缺陷及容错攸关类缺陷;根据缺陷的威胁程度、相应的软件环境指数、以及计算公式计算出三类缺陷的可信量值;结合隐私量化值、容错量化值和用户感受量化值,实现了软件安全缺陷的可信性评估。 | ||
| 申请公布号 | CN102073823A | 申请公布日期 | 2011.05.25 |
| 申请号 | CN201110046762.1 | 申请日期 | 2011.02.25 |
| 申请人 | 天津大学 | 发明人 | 柳懿真;李晓红;石红;王翔宇;徐超 |
| 分类号 | G06F21/00(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
| 代理机构 | 天津市北洋有限责任专利代理事务所 12201 | 代理人 | 温国林 |
| 主权项 | 一种基于缺陷分析的软件可信性评价方法,其特征在于,所述方法包括以下步骤:(1)以CAPEC为基础构建攻击模型库,增加威胁程度Damage属性,建立攻击模式和软件缺陷之间的多对一映射关系,获取软件缺陷的威胁程度DW;(2)根据所述攻击模式和软件缺陷之间的多对一映射关系、所述软件缺陷的威胁程度DW、软件环境指数EVA和软件缺陷所属类别,构建缺陷库;(3)基于形式化语言和传统UML时序图,构建形式化的统一软件模型,根据所述统一软件模型构建软件安全缺陷知识库;根据所述统一软件模型、所述软件安全缺陷知识库,通过定理证明机,发现所述统一软件模型中潜在的软件安全缺陷;(4)根据分类标准、所述缺陷库将所述软件安全缺陷分为安全攸关类缺陷、隐私攸关类缺陷及容错攸关类缺陷;(5)根据所述安全攸关类缺陷、所述隐私攸关类缺陷及所述容错攸关类缺陷的威胁程度、以及相应的软件环境指数EVA、第二公式、第三公式和第四公式计算出所述安全攸关类缺陷的可信量值Ts、所述隐私攸关类缺陷的可信量值Tp和所述容错攸关类缺陷的可信量值Te;(6)通过运行可执行代码并进行扩展软件测试,从成品检测要素中获取隐私量化值Tc、容错量化值Tr和用户感受量化值Tf;(7)根据所述安全攸关类缺陷的可信量值Ts、所述隐私攸关类缺陷的可信量值Tp和所述容错攸关类缺陷的可信量值Te,以及所述隐私量化值Tc、所述容错量化值Tr和所述用户感受量化值Tf,实现软件安全缺陷的可信性评估,获取可信评估结果。 | ||
| 地址 | 300072 天津市南开区卫津路92号 | ||