收藏本站
《天津大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

威胁模型驱动的软件安全评估与测试方法的研究

何可  
【摘要】:存在诸多漏洞的低质量软件成为计算机安全问题急速增长的主要原因之一。因此,如何在软件开发中保证其安全性已经成为广泛关注的研究问题。为了更加有效地开发安全可信的软件,应该在软件开发生命周期中尽早考虑安全问题。其中,如何通过评估与测试方法保障软件安全性成为亟待解决的关键问题。 本文结合国家自然科学基金课题“基于攻击模式的可信软件的建模、度量与验证”,对威胁模型驱动的软件安全评估与测试方法的关键技术,包括威胁的表示与建模,威胁模型驱动的软件安全评估与测试,以及辅助软件安全评估与测试的攻击模式知识库,进行了深入的研究,主要研究成果包括以下几个方面: (1)研究了威胁表示和建模方法,提出一种统一威胁模型,采用AND/OR树形式化地表示针对计算机系统的威胁,建模了攻击者实现威胁的潜在攻击方法,奠定了威胁模型驱动的软件安全评估与测试方法的基础。统一威胁模型提供了一种通用的威胁表示法,缩小了功能模型和缓和方案之间的差距,建立起软件功能和安全之间的桥梁,利于开发人员和安全人员协同开发安全的软件。 (2)研究了软件安全评估技术,提出了一种统一威胁模型驱动的软件安全评估方法,从威胁的角度基于攻击路径对软件安全进行定量评估。实现了一个支持该方法原型工具。案例研究表明,该方法能够尽早地发现并缓和设计层次的漏洞,从而设计出能够防御威胁的安全软件。相比于传统的威胁树模型,统一威胁模型在评估结论的准确性、确定缓和方案的优先级和指导安全测试方面更优。 (3)研究了软件安全测试技术,提出了一种攻击场景模型驱动的软件安全测试方法,通过功能测试以确保软件的实际行为符合设计的期望,并通过面向威胁的安全测试以确保软件足够健壮能够抵御潜在的攻击。实现了两个支持该方法的原型工具,并通过实验验证了所提出的方法的可行性与有效性。 (4)研究了提高软件安全评估与测试效率的方法,提出了一种攻击模式描述语言和攻击模式复用技术,将已知的攻击方法及其相应的缓和方案抽象成与特定系统无关的攻击模式,构建攻击模式知识库,并在建模针对不同系统的威胁模型时复用攻击模式。通过一组对比实验阐明了复用攻击模式的具体流程,验证了所提出的方法的可行性与有效性。
【学位授予单位】:天津大学
【学位级别】:博士
【学位授予年份】:2010
【分类号】:TP311.52

手机知网App
【参考文献】
中国期刊全文数据库 前6条
1 张楣,刘超,孙昌爱;基于UML活动图模型的测试用例生成技术研究[J];北京航空航天大学学报;2001年04期
2 陈火旺,王戟,董威;高可信软件工程技术[J];电子学报;2003年S1期
3 卢虹,徐宝文;一种Web应用的状态测试方法[J];计算机工程与应用;2002年02期
4 陈小峰;;可信平台模块的形式化分析和测试[J];计算机学报;2009年04期
5 牟凯;顾明;;基于UML活动图的测试用例自动生成方法研究[J];计算机应用;2006年04期
6 刘克;单志广;王戟;何积丰;张兆田;秦玉文;;“可信软件基础研究”重大研究计划综述[J];中国科学基金;2008年03期
【共引文献】
中国期刊全文数据库 前10条
1 袁霖;王怀民;尹刚;史殿习;米海波;;基于角色的软件可信评估技术[J];北京工业大学学报;2010年05期
2 李震;刘斌;陆民燕;殷永峰;;基于扩展Petri网的除冰软件安全需求建模和验证[J];北京航空航天大学学报;2012年01期
3 石剑飞;闫怀志;秦玮;王文同;;Component-Based Software Trustworthiness Fuzzy Analytic Hierarchy Process Model[J];Journal of Beijing Institute of Technology;2010年02期
4 邓绯;;基于模糊综合评判的软件可信度量和评价方法研究[J];四川职业技术学院学报;2012年03期
5 刘志颖;曲朝阳;杨杰明;;基于改进EDPN模型和有限状态机的Web应用系统测试技术研究[J];东北电力学院学报;2005年06期
6 刘振宇;杨根兴;蔡立志;;Software Test Case Generation with Adequacy Analysis on Scenario-Based Testing[J];Journal of Donghua University(English Edition);2011年02期
7 杨霞;雷剑;熊光泽;;支持MLS的多层次嵌入式高可信软件架构[J];电子科技大学学报;2009年06期
8 吴信才;陈占龙;吴亮;;构建GIS高可信服务计算环境探讨[J];地理与地理信息科学;2007年04期
9 祝义;黄志球;曹子宁;;一种支持实时软件资源建模与分析的方法[J];东南大学学报(自然科学版);2010年03期
10 张德平;查日军;;基于Markov链使用模型的加速统计测试方法[J];东南大学学报(自然科学版);2011年05期
中国重要会议论文全文数据库 前10条
1 周献中;李檬;朱颖颖;占济舟;赵佳宝;;基于系统思想的软件可信性内涵与特征分析[A];经济全球化与系统工程——中国系统工程学会第16届学术年会论文集[C];2010年
2 周献中;李檬;占济舟;朱颖颖;赵佳宝;;研究软件可信性的新视角:失信因子[A];经济全球化与系统工程——中国系统工程学会第16届学术年会论文集[C];2010年
3 楼俊钢;江建慧;靳昂;;可信性属性权重分配的模糊层次分析方法[A];第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集[C];2009年
4 王颜新;李向阳;;基于可信平台的军品供应链支持系统[A];2008全国制造业信息化标准化论坛论文集[C];2008年
5 黄志坚;杨伟民;刘苏;毕洪山;;基于测试驱动开发过程的Web页面测试模型[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
6 蔡远利;于振华;王瑞峰;;多Agent系统形式化建模方法学[A];'2006系统仿真技术及其应用学术交流会论文集[C];2006年
7 张悦今;张玲玲;刘莹;石勇;;软件可信性属性及其度量研究[A];第四届(2009)中国管理学年会——管理科学与工程分会场论文集[C];2009年
8 石海鹤;薛锦云;;一种基于PAR的高可靠算法程序设计技术[A];第六届中国测试学术会议论文集[C];2010年
9 李震;刘斌;殷永峰;李晓勋;;基于改进Petri网的可信软件模型验证和测试研究[A];第六届中国测试学术会议论文集[C];2010年
10 裴顺昌;宋浩;李建平;蔡晨;;基于CMMI风险管理体系的可信软件开发风险管理研究[A];第十一届中国管理科学学术年会论文集[C];2009年
中国博士学位论文全文数据库 前10条
1 张海涛;自律计算系统的自律可信性评估研究[D];哈尔滨工程大学;2010年
2 赵倩;基于自配置的软件可信性增长模型及方法[D];哈尔滨工程大学;2010年
3 曹涌;基于分形的软件可靠性模型和程序证明的数学机械化[D];电子科技大学;2010年
4 王晓暾;不确定信息环境下的质量功能展开研究[D];浙江大学;2011年
5 田精白;网络式软件非功能需求分析方法及其应用[D];武汉大学;2009年
6 向纯洁;信息系统开发团队绩效影响行为因素研究[D];华中科技大学;2011年
7 王娟丽;基于QFD的概念设计方法研究[D];浙江大学;2011年
8 占济舟;失信因子对软件可信性的影响及其控制[D];南京大学;2011年
9 吴新星;基于语言的软件可信性度量理论及其应用[D];华东师范大学;2011年
10 陶红伟;基于属性的软件可信性度量模型研究[D];华东师范大学;2011年
中国硕士学位论文全文数据库 前10条
1 黄成伟;基于移动Agent的分布式应用系统的研究[D];浙江理工大学;2010年
2 王永伟;基于构件的形式化方法在软件开发中的应用研究[D];哈尔滨工程大学;2010年
3 王志兵;软件行为运行时验证研究[D];湖南工业大学;2010年
4 刘小飞;分布式软件动态调控策略研究[D];湖南工业大学;2010年
5 刘广宾;分布式系统中实体交互行为的可信研究[D];湖南工业大学;2010年
6 李静;基于灰色理论的可信软件规划质量屋模型研究[D];浙江大学;2011年
7 严欣喆;领域驱动设计方法的研究及其应用[D];南昌大学;2010年
8 吴晓丹;CTCS-3级列控系统的UML建模与模型检验研究[D];北京交通大学;2010年
9 马世敏;基于可信计算的内网监控系统的研究与实现[D];电子科技大学;2011年
10 杨丹丹;基于抽象状态机的协议软件测试方法研究[D];西安电子科技大学;2010年
【二级参考文献】
中国期刊全文数据库 前8条
1 杨芙清,梅宏,吕建,金芝;浅论软件技术发展[J];电子学报;2002年S1期
2 林惠民,张文辉;模型检测:理论、方法与应用[J];电子学报;2002年S1期
3 刘敏,金茂忠,刘超;基于UML活动图模型生成测试场景的设计[J];计算机工程与应用;2002年12期
4 梁义芝,王延章,缪旭东,刘云飞;UML活动图的形式语义及分析[J];计算机工程与应用;2003年18期
5 张涌,钱乐秋,王渊峰;基于扩展有限状态机测试中测试输入数据自动选取的研究[J];计算机学报;2003年10期
6 刘超;程序交互执行流程图及其测试覆盖准则[J];软件学报;1998年06期
7 谢棠棠,张为群;一种基于UML模型的系统测试方法[J];西南师范大学学报(自然科学版);2005年02期
8 黄亮;冯登国;张敏;;一个基于安全模型的测试用例生成工具[J];中国科学院研究生院学报;2007年03期
【相似文献】
中国期刊全文数据库 前10条
1 高宇,冯培恩;挖掘机器人仿真模型及其驱动引擎的设计[J];计算机工程与应用;2003年12期
2 蒋凌云;王汝传;;用于网格计算的复合代码生成技术研究[J];南京邮电大学学报(自然科学版);2005年06期
3 张静;孔芳;杨季文;;一个基于组件和模型驱动的ERP软件开发框架的设计[J];微电子学与计算机;2007年07期
4 白雪;肖宝弟;王建英;;基于MDA的对象-关系数据库开发方法研究[J];铁路计算机应用;2011年02期
5 崔轶;;模型驱动开发——可能改变—切的新技术[J];程序员;2005年05期
6 李征;;“数字校园”中信息集成平台的设计[J];黑龙江科技信息;2008年10期
7 郑建华;朱蓉;;基于MDD和DSM的CNC开发(英文)[J];仲恺农业技术学院学报;2008年04期
8 姜海涛;;基于模型驱动的构件库系统的研究与设计[J];电脑知识与技术;2009年20期
9 陆璐;厉旻;叶喻;;基于模型驱动的功能测试平台研究[J];微计算机应用;2009年05期
10 王立福;PDSS的结构研究与设计[J];北京大学学报(自然科学版);1989年05期
中国重要会议论文全文数据库 前10条
1 谭文安;卢忠亚;杨赟;杨付军;;基于模型驱动的企业过程协同运作技术及其环境[A];第四届中国软件工程大会论文集[C];2007年
2 何明;刘晓明;郑翔;;基于模型驱动体系结构的新一代HLA研究[A];’2004系统仿真技术及其应用学术交流会论文集[C];2004年
3 孟令剑;;综合安全评估(FSA)在我国海事安全管理中的应用[A];中国航海科技优秀论文集[C];2009年
4 孟令剑;;综合安全评估(FSA)在我国海事安全管理中的应用[A];2009年度海事管理学术交流会优秀论文集[C];2009年
5 侯金奎;万建成;王帅强;;一种模型驱动的Web应用系统开发方法[A];第四届中国软件工程大会论文集[C];2007年
6 凌树森;;安全评估技术及其应用[A];全国材料理化测试与产品质量控制学术研讨会论文专辑(物理测试部分)[C];2002年
7 程载斌;申仲翰;;永乐大钟-悬挂结构动态响应分析[A];固体力学进展及应用——庆贺李敏华院士90华诞文集[C];2007年
8 谢敏;程晓武;谢征勋;;对武汉某18层大楼被拆毁的反思[A];工程安全及耐久性——中国土木工程学会第九届年会论文集[C];2000年
9 宋文杰;;中子雷姆计测量兰州重离子研究装置辐射场的安全性评估[A];第8届全国核电子学与核探测技术学术年会论文集(二)[C];1996年
10 屈梁生;温广瑞;;复杂机电系统安全运行及保障[A];设备监测与诊断技术及其应用——第十二届全国设备监测与诊断学术会议论文集[C];2005年
中国重要报纸全文数据库 前10条
1 Wayne Meikle 李雪;模型驱动降低金融信息服务风险[N];中国计算机报;2008年
2 ;灵活访问模型驱动的服务[N];网络世界;2007年
3 驻京记者 谢宗惠;尽快对震灾影响的在建公路水运工程项目进行安全评估[N];中国水运报;2008年
4 刘晓星刘晶;环境安全评估要成为灾后重建决策支撑[N];中国环境报;2008年
5 黄海;转基因水稻安全评估未通过商业化种植搁浅[N];第一财经日报;2005年
6 刘纯银;灾后重建别忽视环境安全评估[N];中国环境报;2008年
7 徐琦周文颖 清华大学教授 井文涌 国土资源部资源咨询研究中心主任 张彦英 中国林业科学研究院副院长 蔡登谷 环境保护部环境规划院副院长 王金南 中国人民大学农业与农村发展学院院长 温铁军 中国林业科学研究院 王涛 中科院生态环境研究中心 冯宗炜 中国环境监测总站 魏复盛 原国家环保总局科技标准司司长 尹改 环境保护部环境工程评估中心主任 吴波 中科院生态环境研究中心研究员 王如松 中国环境科学研究院 王文兴 中科院地理所 李文华 中国核工业集团公司 潘自强 中国水利水电科学研究院水环境研究所所长 周怀东;加强规划环评 促进灾后科学重建[N];中国环境报;2008年
8 通讯员  胡荣山;FSA提升上海港引航安全系数[N];中国水运报;2006年
9 李禾;安全评估:把隐患消灭在萌芽中[N];科技日报;2007年
10 本报记者 何东 通讯员 杨立庆;农行上海分行沪上率先实现金库安全达标[N];中国城乡金融报;2008年
中国博士学位论文全文数据库 前10条
1 何可;威胁模型驱动的软件安全评估与测试方法的研究[D];天津大学;2010年
2 陈文智;Pcanel——基于模型驱动的嵌入式系统设计平台[D];浙江大学;2005年
3 周红桥;基于模型驱动的制造企业应用集成方法研究[D];华中科技大学;2010年
4 车颖;计算无关模型驱动的ERP系统重构关键技术研究[D];哈尔滨工业大学;2011年
5 莫同;服务模型驱动的体系结构与服务构件重用技术[D];哈尔滨工业大学;2009年
6 张俊;特征模型驱动的软件开发方法及相关技术研究[D];吉林大学;2010年
7 徐选华;网络环境下模型驱动的复杂大群体决策支持系统研究[D];中南大学;2005年
8 曹晓夏;面向服务的软件需求建模与求精研究[D];上海大学;2009年
9 包世泰;基于GIS的地质勘察信息模型研究及其应用[D];中国科学院研究生院(广州地球化学研究所);2004年
10 陈龙;三维服装柔性参数化设计方法及技术研究[D];浙江大学;2008年
中国硕士学位论文全文数据库 前10条
1 王志斌;基于模型驱动的Web服务组合方法的研究[D];中国石油大学;2010年
2 陆少鹏;嵌入式基于模型驱动验证及软件生产线的研究与实现[D];西南交通大学;2010年
3 刘益畅;模型驱动的3G网管接口测试系统的设计与实现[D];北京邮电大学;2010年
4 王新光;基于模型驱动的实时交互式三维场景构建方法及其在水利上的应用研究[D];河海大学;2002年
5 郭富磊;AADL在模型驱动中的应用研究[D];西南交通大学;2010年
6 文春艳;基于SOA的模型驱动快速开发架构及应用研究[D];中南大学;2010年
7 李静燕;基于MDA的构件开发方法的研究[D];河海大学;2004年
8 卢忠亚;基于模型驱动的工作流运作环境的研究[D];浙江师范大学;2007年
9 刘奎;基于模式的PIM到PSM模型变换方法的研究[D];合肥工业大学;2005年
10 阳新;基于MDA的软件设计方法研究与应用[D];南京航空航天大学;2005年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026