[发明专利]一种基于数据挖掘的第三方构件安全性测试方法

摘要

本发明公开了一种基于数据挖掘的第三方构件安全性测试方法，包括：1、根据有效的构件方法名称、方法前置条件和后置条件，采用序列生成算法生成方法执行序列集；2、读取参数边界值文件，使用测试用例生成算法为方法执行序列中方法的参数赋值，生成测试用例集；3、根据已经生成的测试用例集对构件进行测试，记录构件运行时的状态信息，产生监测日志集；4、采用安全漏洞检测算法对监测日志进行分析，得到最终的构件安全漏洞测试结果集；本发明为构件安全漏洞的测试提供了模型基础和测试准则，能够更好地适用于构件安全性测试；此外，本发明还设计实现了基于数据挖掘的第三方构件安全性测试系统，该系统很好地实现了自动化测试，提高测试效率。

主权项

1.一种基于数据挖掘的第三方构件安全性测试方法，其特征在于，包括如下步骤：步骤1，根据有效的构件方法名称、方法前置条件和后置条件，采用序列生成算法生成方法执行序列集；步骤2，读取参数边界值文件，使用测试用例生成算法为方法执行序列中方法的参数赋值，生成测试用例集；步骤3，根据已经生成的测试用例集对构件进行测试，记录构件运行时的状态信息，产生监测日志集；步骤4，采用安全漏洞检测算法对监测日志进行分析，得到最终的构件安全漏洞测试结果集；所述步骤1的具体过程如下：步骤1.1，扫描方法集合中每一个方法的前置条件和后置条件，找出每一个方法所有可能执行的后续方法，并构成一个后续方法集合；步骤1.2，将当前方法和每一个后续方法进行两两组合，组合成(当前方法，后续方法)的形式；方法组合的左方法是当前方法，右方法是后续方法；步骤1.3，判断所有方法组合是否被标记，如果没有，则从首个执行方法开始,在该方法的方法组合中随机挑选一个，并对所有被挑选过的方法组合都进行标记；步骤1.4，判断是否存在下一个方法组合，如果存在，则根据这个被挑选的方法组合的右方法，优先随机挑选下一个未被标记过的方法组合；步骤1.5，重复步骤1.4，直到找不到下一个方法组合为止，并将生成的方法序列加入到方法序列集中；步骤1.6，重复步骤1.3‑1.5，直至所有的方法组合都被标记过；步骤1.7，对方法序列集进行检验，删除不符合条件的方法序列，得到最终的方法执行序列集；所述步骤2的具体过程如下：步骤2.1，提取构件接口信息并读取边界值配置信息，生成各个参数的取值集合；步骤2.2，根据参数取值集合，遍历方法执行序列集TS中每一条序列，以及每条序列Si中每一个接口方法mi的所有参数信息，并为各个参数赋值，最终产生测试用例集；步骤2.3，通过CodeDom技术，遍历方法序列中每个序列，为每一条方法序列生成测试脚本文件；所述步骤3的具体过程如下：步骤3.1，利用调试API函数来获得对测试驱动进程的控制，对其运行状态进行监测；步骤3.2，选择关键的运行时刻设置断点并开始执行程序；步骤3.3，当程序产生中断，通过对目标程序内存空间进行扫描获得程序运行时堆、栈空间的详细信息；步骤3.4，重复步骤3.3，直到程序执行完毕；步骤3.5，记录监测日志，并将消息返回；所述步骤4的具体过程如下：步骤4.1，对监测日志进行处理，删除非有效的构件方法所对应的日志；步骤4.2，将异常信息在安全规则集中进行字符串匹配，得到异常信息所对应的异常规则名，最终得到构件显式异常方法集以及各方法的异常规则名，即得到显式安全漏洞结果；步骤4.3，结合序列模式挖掘算法对方法执行序列和实际执行序列进行序列模式挖掘，判断监测日志中是否存在不安全的测试序列，得到隐式安全漏洞结果；步骤4.4，将显式安全漏洞结果和隐式安全漏洞结果输出，为最终的构件安全漏洞测试结果集。