[发明专利]一种漏洞挖掘技术测试模型的测试方法

说明书

本发明公开了一种漏洞挖掘技术测试模型及测试方法，属于软件工程领域。包括：步骤1，基于现有静态和动态漏洞挖掘方法，构建自适应的漏洞挖掘运行环境；步骤2，根据不同的漏洞类型、漏洞语言及漏洞触发方式，构建并配置测试用例集；步骤3，执行漏洞挖掘测试方法，并监控挖掘测试状态，同时输出测试分析报告和统计测试结果；步骤4，基于漏洞挖掘测试过程模型设计并实现一个集成测试平台，进一步验证漏洞测试模型的可行性和有效性。本发明不仅以一套具体的评价标准准确评估了现有典型的漏洞挖掘方法和工具，并且对这些方法和工具进行对比分析，对人们在实际漏洞挖掘中选择最合适、最有效的方法或工具具有一定的指导意义。

技术领域

本发明属于软件测试中的漏洞挖掘领域，涉及一种漏洞挖掘技术测试模型的测试方法。

背景技术

随着社会信息技术的迅猛发展，市场上各种应用软件应运而生。而这些软件本身的质量参差不齐，大部分软件都没有经过规范的审查和严格的测试就被投入使用，从而导致这些软件中存在着大量可被攻击和利用的软件漏洞。目前对系统安全性存在威胁的主要因素是应用软件、各种通信安全协议和构成信息系统的操作系统等存在未知的漏洞。由于各种原因，漏洞的存在无法避免，如果某些比较严重的未知漏洞被攻击者发现，这些未知漏洞就很有可能被攻击者利用，攻击者可以在未经授权的情况下对计算机系统进行访问或者破坏。先于攻击者发现并及时修复漏洞能够有效的降低潜在漏洞对于信息系统安全性的威胁。因此主动挖掘并分析系统安全漏洞具有重要的意义。漏洞挖掘和漏洞分析是漏洞研究的两个主要部分。漏洞挖掘技术是指对未知漏洞的探索，综合应用各种技术和工具，尽可能地找出软件中的隐藏的漏洞；漏洞分析技术是指对已发现漏洞的细节进行深入分析，为漏洞利用、补救等处理措施作铺垫。软件漏洞检测技术是发现软件中存在的漏洞，是确保信息系统安全的重要途径。

虽然目前不同研究组织和个人都开发了大量漏洞挖掘方法或工具，但每种方法都有自己各自的优缺点，针对这些优缺点每种挖掘方法或工具的适用场景也各不相同，所以有必要对这些工具以及方法做出一个较为准确和完整的分析评价。通过考察之前的对于软件漏洞检测方面的研究成果，我们发现不存在具有普适性的现有漏洞检测方法或工具，它们都只能在某些特定情况下发挥一定的漏洞检测效果。实践中需要根据实际情况选择最合适、最有效的软件漏洞检测方法或工具。因此，研究对现有漏洞挖掘方法和工具的对比评价具有十分重要的理论价值和实践意义。

发明内容

为了解决如何在现实的漏洞挖掘中针对不同的环境以及不同的场景选择适用且有效的漏洞挖掘方法和工具，本发明提出了一种漏洞挖掘技术测试模型的测试方法，建立了一个漏洞挖掘方法测试过程模型，能够提高漏洞挖掘方法的自动化水平。同时我们设计并实现了一个集成测试评估平台，能对一些主流的静态分析方法和一些动态挖掘方法进行测试和对比分析，以得出一个直观的对比分析结果，进而生成测试分析报告。最终测试结果能指导如何在现实的漏洞挖掘中选择适用且有效的漏洞挖掘方法和工具。

本发明的技术方案如下：

步骤1，基于现有静态和动态漏洞挖掘方法，构建自适应的漏洞挖掘运行环境；

步骤2，根据不同的漏洞类型、漏洞语言及漏洞触发方式，构建并配置测试用例集；

步骤3，执行漏洞挖掘测试方法，并监控挖掘测试状态，同时输出测试分析报告和统计测试结果；

步骤4，基于漏洞挖掘测试过程模型设计并实现一个集成测试平台，进一步验证漏洞测试模型的可行性和有效性。

进一步方案中，上述步骤1的具体步骤如下：

步骤1.1，选择确定所需要配置的测试方法类型为静态测试方法或者动态测试方法；

步骤1.2，对应静态测试方法，选择配置语言类型为C++/C或者Java；对应动态测试方法，选择配置运行平台为Windows或者Linux；