[发明专利]一种基于有向加权网络的软件安全性的量化评估方法

说明书

本发明公开了一种基于有向加权网络的软件安全性的量化评估方法。使用本发明能够对软件结构的复杂性和有序性两方面进行度量，实现对复杂软件的设计安全性的综合评估，能贴近复杂网络的真实情况，更为合理。本发明基于软件的有向加权网络模型，利用信息熵的概念，采用网络节点的连接度与抽象度实现对软件结构的有序性度量；此外，基于软件的有向加权网络模型，对软件结构的复杂性度量进行了改进，改进了节点波及度的计算方法，并提出以系统平均波及度为指标，对软件结构的复杂性进行度量。

技术领域

本发明涉及软件度量技术领域，具体涉及一种基于有向加权网络的软件安全性的量化评估方法。

背景技术

针对目前对于软件的高安全性的要求，需要对软件的安全性进行度量与评估。软件的安全性包括软件的设计安全性、开发安全性、运行安全性等几个方面。

软件度量是在把度量的普遍规律具体实际应用到软件工程领域的实践过程中形成的。软件度量几乎涉及到软件生命周期内的每一个环节，占有着十分重要的地位。在软件的开发过程中，软件度量能够量化现有工作中的不足，指导开发人员以更合理的方式来进行软件开发。在软件开发完成后，软件度量能够量化软件的性质特征，指导开发人员进行软件的优化，指导测试人员进行软件的测试等。软件度量对于软件质量的控制和保证，对于软件可靠性，安全性等特性的保证具有十分重要的意义。

在软件工程领域中，从提出软件度量至今的40年间，主要是度量软件结构的复杂性。在结构化程序设计时期，研究者们便提出许多软件结构复杂性度量方法，用来描述软件系统的功能性、可靠性、可维护性、效率等软件的质量属性，如McCabe的环形复杂性度量方法、Halstead文本复杂性度量方法等。在90年代以后，面向对象技术迅速发展，针对于面向对象软件系统的度量方法也逐渐被提出，比较经典的度量方法有Chidamber和Kemerer提出的基于继承树的CK度量方法、Brito和Abreu提出的MOOD度量方法等。相比于结构化程序的度量方法，面向对象的度量方法更能显示出其优越性。

随着软件规模越来越大，软件功能越来越复杂和繁琐，传统的软件结构特性度量方法已经越来越不能适用了，比如，Halstead度量方法主要针对文本复杂性；McCabe度量方法主要针对结构化程序的结构复杂性：CK度量套件和MOOD度量方法主要针对面向对象程序设计的抽象数据类型单元的复杂性。它们更多的考虑了软件内部结构属性的度量，忽略了软件结构的外部特征。

随着复杂网络被应用到软件工程领域的研究，很多研究者基于复杂网络进行软件度量。目前的基于复杂网络的度量方法大多数是将软件抽象为有向无权网络或无向无权网络，在无权网络的基础上提取节点的度、节点间距离、聚集系数、相关系数等参数值作为度量指标，实现对软件系统复杂性等的度量。但是，无权网络会忽略掉软件系统的一些重要的结构属性，比如连接关系，连接关系对于软件结构的复杂性影响是比较大的，所以忽略连接关系的度量缺乏准确性。有少数研究者提到将软件抽象成为加权网络，但是并没有将权值应用到软件结构复杂性的度量中。

发明内容

有鉴于此，本发明提供了一种基于有向加权网络的软件安全性的量化评估方法，除了对软件结构的复杂性进行度量外，还对软件结构的有序性进行了度量，从而实现对复杂软件的设计安全性的综合评估，能贴近复杂网络的真实情况，更为合理。

本发明的基于有向加权网络的软件安全性的量化评估方法，对软件结构的复杂性进行度量，同时，还对软件结构的有序性进行度量；其中，软件结构有序性的度量方法如下：

首先将软件转化为有向加权网络，然后计算网络中各节点的连接度与抽象度；其中，第i个节点的连接度p_i为：与节点i直接相连的所有边的权重之和；第i个节点的抽象度a_i为：a_i＝|DIT_i|+1，|DIT_i|为节点i代表的类或对象的继承树深度的值；