[发明专利]一种基于缺陷的软件安全性测试需求的获取与分级方法有效
| 申请号: | 201010516205.7 | 申请日: | 2010-10-22 |
| 公开(公告)号: | CN101968768A | 公开(公告)日: | 2011-02-09 |
| 发明(设计)人: | 黄松;胡斌;姚奕;刘晓明;惠战伟;任正平;洪宇;饶莉萍;蒋圆圆;郑长友;袁利华;刘艳云 | 申请(专利权)人: | 中国人民解放军理工大学 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 南京苏高专利商标事务所(普通合伙) 32204 | 代理人: | 柏尚春 |
| 地址: | 210007 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于缺陷的软件安全性测试需求的获取与分级方法,首先根据软件类型确定用户的访问类型和风险等级,及第0层带有数据交互边界的数据流图,确定可能存在缺陷的交互路径及危险等级,再对等级高的进行数据流图分解,抽取第1层基于数据交互边界的数据流图,确定穿越数据交互边界的数据流信息可能存在的缺陷,以确定软件安全性测试需求,并根据PDDAR模型实现对测试需求的分级。本发明提供的方法,能够较准确、全面地获得软件安全性测试需求,较以往主要通过描述假想的异常场景,本发明克服了人为主观造成的软件安全性需求获取的遗漏,避免测试人员评定的主观性;且能够对其进行优先级确定,提高软件安全性测试的效率。 | ||
| 搜索关键词: | 一种 基于 缺陷 软件 安全性 测试 需求 获取 分级 方法 | ||
【主权项】:
一种基于缺陷的软件安全性测试需求的获取方法,其特征在于:所述方法获取包括如下步骤:(1)确定软件所涉及数据的信息来源,对用户的访问类型进行分类;(2)根据不同的访问类型确定用户风险等级;(3)根据软件结构绘制第0层带有数据交互边界的数据流图;(4)抽取出第0层数据流图中的数据交互路径列表;(5)根据用户风险等级,确定可能存在缺陷的交互路径及其危险等级;(6)对步骤(5)中确定的危险等级高的交互路径,对第0层基于数据交互边界的数据流图进行分解,抽取第1层基于数据交互边界的数据流图;(7)对步骤(6)中得出的第1层基于数据交互边界的数据流图,基于典型软件安全性缺陷,确定穿越数据交互边界的数据流信息可能存在的缺陷;(8)根据步骤(7)中确定的缺陷,确定软件安全性测试需求。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军理工大学,未经中国人民解放军理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010516205.7/,转载请声明来源钻瓜专利网。
