[发明专利]基于攻击模式的软件安全缺陷库系统及其管理方法有效
| 申请号: | 200810154432.2 | 申请日: | 2008-12-24 |
| 公开(公告)号: | CN101452469A | 公开(公告)日: | 2009-06-10 |
| 发明(设计)人: | 李晓红;许光全;刘然;丁刚刚;邢金亮 | 申请(专利权)人: | 天津大学 |
| 主分类号: | G06F17/30 | 分类号: | G06F17/30;G06F21/00 |
| 代理公司: | 天津市北洋有限责任专利代理事务所 | 代理人: | 李素兰 |
| 地址: | 300072*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 攻击 模式 软件 安全 缺陷 系统 及其 管理 方法 | ||
1.一种基于攻击模式的软件安全缺陷数据库系统,包括软件安全缺陷数据库的构建单元和管理单元以及软件安全缺陷本体,其特征在于,所述软件安全缺陷数据库的构建单元包括从攻击模式行为序列到软件安全缺陷结构的映射,还包括软件安全缺陷与对应缓和方案的映射,并将以上两个映射构建成统一的模型;
软件安全缺陷数据库的管理单元包括软件安全缺陷信息收集、分类两个模块,其中,
软件安全缺陷信息收集模块,通过管理员接口指定初始URL描述抓取列表,并在聚焦爬虫抓取列表的过程中计算网页关联度并选择URL,以丰富抓取列表;通过网页选择器选择页面存储,并建立索引;
软件安全缺陷信息分类模块,根据从攻击模式抽象出的软件安全缺陷,建立软件安全缺陷本体,用于判定缺陷类别,实现关键字匹配的功能,设定判定一个新缺陷的标准为:计算当前缺陷与已存在分类的相似度,当相似度均低于阈值时,在库中新建分类,否则选择相似度最高的分类作为新增的软件安全缺陷所属类,该阈值的取值范围是0.2-0.5;
对上述两个模块获得的软件安全缺陷信息,采用文本分析技术进一步从中提取软件安全缺陷,并转化为满足软件安全缺陷数据库存储结构的数据,利用软件安全缺陷分类的本体判定缺陷类别,并添加新类或添加新项。
2.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述软件安全缺陷数据库的构建单元所构建的软件安全缺陷数据库拥有4个分库:攻击模式库,是对大量攻击模式搜集、总结后建立的数据库原型,提供映射接口以供提取软件安全缺陷时使用;误用例库,提供安全需求分析阶段的用例图中,代表软件安全缺陷的误用例与用例匹配的功能;软件安全缺陷库,基于威胁树/攻击树模型提供软件安全缺陷结构信息,软件安全缺陷分类方法,软件安全缺陷分级方法的实现过程,并进一步支持基于特征匹配的程序分析技术以及支持主动提供相关解决方案;以及缓和方案库。
3.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述软件安全缺陷结构包括缺陷标识、前置/后置条件、缺陷的层次。
4.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述缓和方案作为总体的缓和方案,被分解为若干独立可重复的个体的缓和方案,并且建立成可重用的缓和方案库。
5.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述攻击模式取自安全编码阶段的攻击模式库,该攻击模式库利用系统漏洞检测工具获得,是对大量攻击模式搜集、总结后建立的数据库原型,提供映射接口以供提取软件安全缺陷时使用;所述软件安全缺陷取自软件安全设计阶段的缓和方案库或误用例库,该缓和方案库分别利用威胁建模工具或安全需求分析工具获得,是通过组合独立方案形成的一个可重用的缓和方案数据库,对应发现的软件安全缺陷;该误用例库利用安全需求分析工具获得,在提供安全需求分析阶段的用例图中,代表软件安全缺陷的误用例与用例匹配的功能;软件安全设计阶段的软件安全缺陷库利用威胁建模工具获得,是基于威胁树/攻击树模型提供软件安全缺陷结构信息,软件安全缺陷分类方法,软件安全缺陷分级方法的实现过程,并进一步支持基于特征匹配的程序分析技术以及支持主动提供相关解决方案。
6.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,将安全需求分析阶段、安全设计阶段以及安全编码阶段所提供的辅助工具集封装为服务接口,即安全需求工具接口、安全设计工具接口和安全编码工具接口中,并以UDDI形式封装隐藏内部实现,用户使用时,根据不同需要,可通过远程接口调用的方式直接调用所需服务接口。
7.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述软件安全缺陷本体包括一系列匹配规则、对应权值、用于判定是否添加一个新的软件安全缺陷类的阈值。
8.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所述软件安全缺陷数据库进行封装后,基于web服务接口进行发布。
9.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统的软件安全缺陷数据库管理方法,其特征在于,该方法包括以下步骤:
软件安全缺陷数据库的管理单元包括软件安全缺陷信息收集、分类两个模块,信息收集,软件安全缺陷分类基于本体技术;其中:
基于WEB主题挖掘技术的软件安全缺陷信息收集操作:通过管理员接口指定初始URL描述抓取列表,并在聚焦爬虫抓取列表的过程中计算网页关联度并选择URL,以丰富抓取列表;通过网页选择器选择页面存储,并建立索引;
基于软件安全缺陷分类本体技术的软件安全缺陷分类操作:根据从攻击模式抽象出的软件安全缺陷,建立软件安全缺陷本体,用于判定软件安全缺陷类别,实现关键字匹配的功能,设定判定一个新软件安全缺陷的标准为:计算当前缺陷与已存在分类的相似度,当相似度均低于阈值时,在库中新建分类,否则选择相似度最高的分类作为新增的软件安全缺陷所属类,该阈值的取值范围是0.2-0.5;
对上述两个操作获得的软件安全缺陷信息,采用文本分析技术进一步从中提取软件安全缺陷,并转化为满足软件安全缺陷数据库存储结构的数据,利用软件安全缺陷分类的本体判定缺陷类别,并添加新类或新项。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于天津大学,未经天津大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810154432.2/1.html,转载请声明来源钻瓜专利网。
