基于數(shù)據(jù)挖掘的第三方構(gòu)件安全性測(cè)試模型及其框架研究.pdf

1、隨著軟件工程技術(shù)的大力發(fā)展，構(gòu)件由于具有可復(fù)用以及“即插即用”的特點(diǎn)，因此得到了廣泛應(yīng)用。基于構(gòu)件的軟件工程(Component-based Software Engineering,CBSE)也應(yīng)運(yùn)而生，極大地提高了軟件開發(fā)的效率，軟件開發(fā)的周期不僅被縮短，開發(fā)及維護(hù)的成本也被大大地降低。如今，構(gòu)件在各個(gè)行業(yè)的軟件系統(tǒng)中發(fā)揮著至關(guān)重要的作用。因此，構(gòu)件的質(zhì)量顯得尤為重要，質(zhì)量低下的構(gòu)件可能會(huì)使軟件系統(tǒng)崩潰，給各行業(yè)帶來不可挽回的后果。

2、為保證構(gòu)件的安全性和可靠性，必須對(duì)其進(jìn)行測(cè)試。而當(dāng)前的構(gòu)件測(cè)試研究主要是為了發(fā)現(xiàn)構(gòu)件的功能缺陷，安全性測(cè)試相關(guān)的研究還很少。尤其是第三方組織開發(fā)的第三方構(gòu)件，由于缺少源代碼和詳細(xì)的開發(fā)文檔等信息，故難以采取傳統(tǒng)的測(cè)試方式保障其安全性，給安全性測(cè)試工作帶來了很大的困難。
　　數(shù)據(jù)挖掘方法在軟件工程領(lǐng)域已得到了一些應(yīng)用，主要是先把數(shù)據(jù)處理成可挖掘的形式，然后通過數(shù)據(jù)挖掘算法進(jìn)行挖掘，最終得到頻繁項(xiàng)集、序列模式和關(guān)聯(lián)規(guī)則等潛在的信息用以

3、指導(dǎo)軟件工程活動(dòng)。通過數(shù)據(jù)挖掘相關(guān)技術(shù)，可以得到有效的構(gòu)件需求規(guī)約及構(gòu)件接口方法執(zhí)行序列等測(cè)試信息，處理和分析挖掘龐大而復(fù)雜的測(cè)試日志，從而得到構(gòu)件狀態(tài)及相關(guān)的安全測(cè)試信息。本文提出了一種基于數(shù)據(jù)挖掘的第三方構(gòu)件安全性測(cè)試模型，并基于此模型設(shè)計(jì)了一個(gè)測(cè)試框架，同時(shí)實(shí)現(xiàn)了一個(gè)第三方構(gòu)件安全性測(cè)試原型系統(tǒng)。主要工作闡述如下：
　　1、建立了一種基于數(shù)據(jù)挖掘的第三方構(gòu)件安全性測(cè)試模型，形成了一系列測(cè)試方法、規(guī)則、算法及結(jié)果的集合。首先形

4、式化定義了模型基本元素，包括：構(gòu)件需求規(guī)約集、構(gòu)件運(yùn)行測(cè)試后的動(dòng)態(tài)監(jiān)測(cè)日志集、數(shù)據(jù)挖掘算法集、構(gòu)件安全測(cè)試序列集、安全漏洞檢測(cè)算法和安全規(guī)則集、構(gòu)件安全漏洞測(cè)試結(jié)果集。然后，使用單子技術(shù)對(duì)測(cè)試流程進(jìn)行了形式化描述。
　　2、在第三方構(gòu)件安全性測(cè)試模型基礎(chǔ)上提出了一個(gè)測(cè)試框架，用于指導(dǎo)構(gòu)件安全性測(cè)試。首先對(duì)第三方構(gòu)件進(jìn)行接口分析，得到構(gòu)件方法及參數(shù)等靜態(tài)信息；根據(jù)得到的構(gòu)件方法對(duì)構(gòu)件需求規(guī)約進(jìn)行挖掘，得到有效的構(gòu)件方法；根據(jù)每個(gè)有效

5、構(gòu)件方法的名稱、方法前置條件和后置條件生成方法執(zhí)行序列集；然后產(chǎn)生測(cè)試用例集對(duì)構(gòu)件進(jìn)行測(cè)試，對(duì)測(cè)試產(chǎn)生的信息進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，得到監(jiān)測(cè)日志集；分析產(chǎn)生的監(jiān)測(cè)日志集，得到構(gòu)件安全漏洞結(jié)果。
　　3、設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于數(shù)據(jù)挖掘的第三方構(gòu)件安全性測(cè)試原型系統(tǒng)CSTS-DM(Component Security Testing System based on Data Mining)，并在此系統(tǒng)上對(duì)第三方構(gòu)件的安全性進(jìn)行了相關(guān)的測(cè)試和分析，驗(yàn)