[发明专利]一种基于缺陷的软件安全性测试需求的获取与分级方法有效
| 申请号: | 201010516205.7 | 申请日: | 2010-10-22 |
| 公开(公告)号: | CN101968768A | 公开(公告)日: | 2011-02-09 |
| 发明(设计)人: | 黄松;胡斌;姚奕;刘晓明;惠战伟;任正平;洪宇;饶莉萍;蒋圆圆;郑长友;袁利华;刘艳云 | 申请(专利权)人: | 中国人民解放军理工大学 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 南京苏高专利商标事务所(普通合伙) 32204 | 代理人: | 柏尚春 |
| 地址: | 210007 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 缺陷 软件 安全性 测试 需求 获取 分级 方法 | ||
1.一种基于缺陷的软件安全性测试需求的获取方法,其特征在于:所述方法获取包括如下步骤:
(1)确定软件所涉及数据的信息来源,对用户的访问类型进行分类;
(2)根据不同的访问类型确定用户风险等级;
(3)根据软件结构绘制第0层带有数据交互边界的数据流图;
(4)抽取出第0层数据流图中的数据交互路径列表;
(5)根据用户风险等级,确定可能存在缺陷的交互路径及其危险等级;
(6)对步骤(5)中确定的危险等级高的交互路径,对第0层基于数据交互边界的数据流图进行分解,抽取第1层基于数据交互边界的数据流图;
(7)对步骤(6)中得出的第1层基于数据交互边界的数据流图,基于典型软件安全性缺陷,确定穿越数据交互边界的数据流信息可能存在的缺陷;
(8)根据步骤(7)中确定的缺陷,确定软件安全性测试需求。
2.一种根据权利要求1所述方法获得的软件安全性测试需求,采用PDDAR模型实现对测试需求的分级的方法,其特征在于:所述分级方法包括如下步骤:
(1)确定缺陷的普遍性属性PE等级,为广泛、高、普通或者有限;
(2)确定缺陷的危害性属性DP等级,为关键、高、中等或者低;
(3)确定缺陷的可探测性属性DE等级,为容易、一般或者困难;
(4)确定缺陷的影响用户级别属性AU等级,为管理员、过个普通用户特殊配置用户或者Guest用户;
(5)确定缺陷的可靠性属性RE等级,为危险、一般、受限或者低;
(6)对步骤(1)、(2)、(3)、(4)和(5)确定的等级,按照下表设定缺陷不同属性的权值W=(WPE,WDP,WDE,WAU,WRE):
(7)根据步骤(1)、(2)、(3)、(4)和(5)中,对每种属性的影响因素,并设定各影响因素的权值,确定影响因素集F:
(8)根据PRIi=WDPPEi+WOPDPi+WRPDEi+WAUAUi+WREREi计算第i个软件安全性测试需求的安全性缺陷优先级PRI;
(9)比较各个安全性缺陷优先级PRI,计算数值越高的安全性测试需求等级越高。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军理工大学,未经中国人民解放军理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201010516205.7/1.html,转载请声明来源钻瓜专利网。
