威脅模型驅(qū)動的軟件安全評估與測試方法的研究.pdf

1、存在諸多漏洞的低質(zhì)量軟件成為計算機安全問題急速增長的主要原因之一。因此,如何在軟件開發(fā)中保證其安全性已經(jīng)成為廣泛關(guān)注的研究問題。為了更加有效地開發(fā)安全可信的軟件,應(yīng)該在軟件開發(fā)生命周期中盡早考慮安全問題。其中,如何通過評估與測試方法保障軟件安全性成為亟待解決的關(guān)鍵問題。
　　 本文結(jié)合國家自然科學(xué)基金課題“基于攻擊模式的可信軟件的建模、度量與驗證”,對威脅模型驅(qū)動的軟件安全評估與測試方法的關(guān)鍵技術(shù),包括威脅的表示與建模,威脅模型

2、驅(qū)動的軟件安全評估與測試,以及輔助軟件安全評估與測試的攻擊模式知識庫,進行了深入的研究,主要研究成果包括以下幾個方面:
　　 (1)研究了威脅表示和建模方法,提出一種統(tǒng)一威脅模型,采用AND／OR樹形式化地表示針對計算機系統(tǒng)的威脅,建模了攻擊者實現(xiàn)威脅的潛在攻擊方法,奠定了威脅模型驅(qū)動的軟件安全評估與測試方法的基礎(chǔ)。統(tǒng)一威脅模型提供了一種通用的威脅表示法,縮小了功能模型和緩和方案之間的差距,建立起軟件功能和安全之間的橋梁,利于開

3、發(fā)人員和安全人員協(xié)同開發(fā)安全的軟件。
　　 (2)研究了軟件安全評估技術(shù),提出了一種統(tǒng)一威脅模型驅(qū)動的軟件安全評估方法,從威脅的角度基于攻擊路徑對軟件安全進行定量評估。實現(xiàn)了一個支持該方法原型工具。案例研究表明,該方法能夠盡早地發(fā)現(xiàn)并緩和設(shè)計層次的漏洞,從而設(shè)計出能夠防御威脅的安全軟件。相比于傳統(tǒng)的威脅樹模型,統(tǒng)一威脅模型在評估結(jié)論的準確性、確定緩和方案的優(yōu)先級和指導(dǎo)安全測試方面更優(yōu)。
　　 (3)研究了軟件安全測試技術(shù)

4、,提出了一種攻擊場景模型驅(qū)動的軟件安全測試方法,通過功能測試以確保軟件的實際行為符合設(shè)計的期望,并通過面向威脅的安全測試以確保軟件足夠健壯能夠抵御潛在的攻擊。實現(xiàn)了兩個支持該方法的原型工具,并通過實驗驗證了所提出的方法的可行性與有效性。
　　 (4)研究了提高軟件安全評估與測試效率的方法,提出了一種攻擊模式描述語言和攻擊模式復(fù)用技術(shù),將已知的攻擊方法及其相應(yīng)的緩和方案抽象成與特定系統(tǒng)無關(guān)的攻擊模式,構(gòu)建攻擊模式知識庫,并在建模針