CN103366123A - 基于缺陷分析的软件风险评估方法 - Google Patents

Abstract

本发明公开了一种基于缺陷分析的软件风险评估方法，该风险评估方法包括以下步骤：通过软件资产识别、缺陷分析、后果属性评定获取风险计算所需输入数据及输入关系；计算各个功能模块中每一个后果属性的后果属性因子；计算整个软件各个后果属性的风险度sumRt_k；根据软件各个功能模块的权重（pwt_i）对各个后果属性的风险度计算加权平均值，得到整个软件各个后果属性的风险度sumRt_k。；计算软件整体风险值，根据各个后果属性的权重（rwt_k）对整个软件的各个后果属性的风险度计算加权平均值，得到软件最终的风险值Risk；评定风险等级，根据软件的风险值Risk，得到一个软件风险等级作为评估结果。本发明克服了目前大多数风险评估模型中的各风险要素赋值涉及较多的专家意见，且存在一些难以量化的问题；最大程度地避免了风险重复计算。

Description

基于缺陷分析的软件风险评估方法

技术领域

本发明涉及可信计算领域；特别是涉及一种软件风险评估方法。 

背景技术

随着软件产业的迅速发展和通过网络的快速传播，软件产品的安全问题受到越来越多的关注。那么，如何评估软件的安全性的高低好坏呢？软件风险评估技术为评估软件安全性提供了依据。软件风险评估是从风险管理角度，运用科学的方法和手段，系统地分析某个软件产品所面临的威胁及其存在的漏洞，评估安全缺陷事件一旦发生可能造成的危害程度，为防范和化解软件风险，或者将风险控制在可接受的水平，从而最大限度地保障软件安全提供科学依据。 

在人类社会经济活动和日常生活中，风险一词是经常谈论的，但是从理论上给风险下一个科学的统一定义并不容易，至今都还没有做到。经济学家、行为学家、风险理论家、统计学者和保险精算师们对风险都有自己不同的定义。一般来说，风险一词包括了三个方面的内涵：一是指风险是客观存在的，不管人们是否意识到，也不管人们是否估计出其大小，风险本身的存在是“绝对的”；二是指风险意味着出现了损失，或者是未能实现预期的目标；三是指损失是否出现是一种不确定的随机现象，可以用概率表示出现的可能程度，但不能做出确定性判断。在ISO13335-1:1996中，风险是这样定义的：给定威胁攻击一个或一组资产并因此对组织结构引起损害的潜在可能[2]。在这个概念的基础之上，风险评估即为以找出资产漏洞，分析资产威胁，威胁的潜在损失及威胁发生的可能性为出发点，对系统中的风险进行分析和 测量。 

风险评估主要是运用科学的方法和手段分析风险、评估确定风险结果并提出建议。风险评估过程：风险评估过程是基于风险评估的知识，将搜集、整理和分析风险有关的资产、漏洞、威胁、影响等要素资料的步骤和流程进行总结，风险评估工程实施流程的最佳实践和指南。虽然有很多风险评估过程，但分析评估过程的本质是搜集资产、威胁、漏洞、影响等资料和数据，因此其过程和流程都有一定的通用性。在此，给出一个通用的风险评估过程示例，所示例的风险评估过程是风险评估的原理性示例介绍，较适用于执行定性风险评估，也为论文中基于缺陷分析的软件风险评估工作提供了依据和参考。该通用风险评估过程示例包括以下8个主要步骤：识别和特征化系统；识别和特征化漏洞；识别和特征化威胁；识别和特征化安全控制措施；确定可能性；分析影响；确定风险；编制风险评估报告和推荐安全控制措施。 

通过对一些传统风险评估模型的分析发现这些评估模型存在以下问题：1）风险评估过程很多步骤需要专家的参与，并且依赖于安全专家的主观经验，存在一些难以量化的问题，尤其在风险发生概率和危害程度的评定上直接影响了软件安全评定的准确性。2）现有的很多风险评估模型存在风险事件的重复计算，这导致软件风险的评定上会出现较大误差。 

发明内容

鉴于目前已有的软件风险评估模型存在的问题，本发明提出了一种基于缺陷分析的软件风险评估方法，通过将软件模块化、缺陷识别、缺陷发生概率和危害程度的统计、软件后果属性的确定等多个步骤获得风险计算所需的输入数据，再利用这些数据进行后果属性因子和风险度的计算，最后通过计算加权平均数获得软件整体的风险值，并将风险定性到一个风险级别上。 

本发明提出一种基于缺陷分析的软件风险评估方法，预先特征化软件产品资产，即将软件产品划分成不同的功能模块（Part），模块的数量记为partNum，使软件产品 可识别，该风险评估方法包括以下步骤： 

步骤1、通过软件资产识别，缺陷分析和后果属性的评定获取风险计算所需输入数据及输入关系，包括： 

输入数据一：各个功能模块Part：{p_i|i＝1,2,...,partNum}； 

输入数据二：软件各个功能模块对应的权重 

PartWeight：{pwt_i|i＝1,2,...,partNum}； 

权值通过AHP层次分析法得出，具体如下： 

a)将各个功能模块列成比较矩阵A； 

a)将各个功能模块的比较矩阵按照1-9标度法进行两两比较； 

b)进行权值计算，包括： 

将A的每一列向量归一化。 

$\stackrel{\‾}{a_{\mathrm{ij}}}=a_{\mathrm{ij}}/{\mathrm{\Σ}}_{k=1}^n{a}_{\mathrm{kj}},(i=\mathrm{1,2},...,n)---\left(1\right)$

对按列归一化的判断矩阵，再按行求和。 

$\stackrel{\‾}{W_i}={\mathrm{\Σ}}_{j=1}^n\stackrel{\‾}{a_{\mathrm{ij}}},(i=\mathrm{1,2},...,n)---\left(2\right)$

将向量 $\stackrel{\‾}{W_i}={[\stackrel{\‾}{W_1},\stackrel{\‾}{W_2},...,\stackrel{\‾}{W_n}]}^T$ 归一化 

$W_i=\stackrel{\‾}{W_i}/{\mathrm{\Σ}}_{i=1}^n\stackrel{\‾}{W_i},(i=\mathrm{1,2},...,n)---\left(3\right)$

c)一致性检验 

计算最大特征根： 

${\mathrm{\λ}}_{\max }={\mathrm{\Σ}}_{i=1}^n\frac{{\left(\mathrm{AW}\right)}_i}{{\mathrm{nw}}_i}---\left(4\right)$

计算一致性指标： 

$\mathrm{CI}=\frac{{\mathrm{\λ}}_{\max }-n}{n-1}---\left(5\right)$

计算一致性比例： 

$\mathrm{CR}=\frac{\mathrm{CI}}{\mathrm{RI}}---\left(6\right)$

当CR<0.1时，认为判断矩阵的一致性可以接受； 

通过上述方法，获得各个功能模块对应的权重。 

输入数据三：软件系统中存在的所有缺陷种类 

Defect：{w_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数； 

输入关系一：功能模块与缺陷多对多的映射关系； 

输入数据四：各个缺陷的危害程度和缺陷发生概率 

DemageWeight：{dw_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数； 

输入数据五：各个缺陷在软件中出现的概率 

Probability：{pw_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数； 

输入数据六：后果属性类型。 

Result：{r_k|k＝1,2,...resultNum}；resultNum为后果属性的数量； 

输入关系二：缺陷与后果属性多对多的映射关系。 

输入数据七：后果属性对应的权重 

ResultWeight：{rwt_k|k＝1,2,...,resultNum}；resultNum为后果属性的数量；后果属性对应的权重也由AHP层次分析法得出； 

将后果属性、缺陷发生概率、缺陷的危害程度作为扩展属性添加到缺陷库，该缺陷库以CWE数据库为基准； 

步骤2，计算各个模块各个后果属性的风险度Rt，包括：首先计算各个功能模块中每一个后果属性的后果属性因子，假设一个功能模块中检测出的缺陷为1…n，各个缺陷对应的缺陷危害程度和各个缺陷在软件中出现的概率分别为dw₁，dw₂…dw_n和pw₁，pw₂…pw_n，由此计算出后果属性因子 

${\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j---\left(7\right),$

n为一个模块中影响后果属性r_k的缺陷个数； 

再以后果属性因子进一步计算出各个模块各个后果属性的风险度Rt： 

${\mathrm{Rt}}_k=\mathrm{\&alpha;}*\exp -\{{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\}---\left(8\right),$

n为一个模块中影响后果属性r_k的缺陷个数，α，β为影响软件后果属性风险度总体趋势的系数； 

步骤3、计算整个软件各个后果属性的风险度sumRt_k，包括：根据软件各个功能模块的权重（pwt_i）对各个后果属性的风险度计算加权平均值，得到整个软件各个后果属性的风险度sumRt_k。 

${\mathrm{sumRt}}_k={\mathrm{\&Sigma;}}_{i=1}^{\mathrm{partNum}}{\mathrm{pwt}}_i*\mathrm{\&alpha;}*\exp \{-{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\},---\left(9\right)$

n为模块p_i中影响后果属性r_k的缺陷个数； 

步骤4、计算软件整体风险值，包括：根据各个后果属性的权重（rwt_k）对整个软件的各个后果属性的风险度计算加权平均值，得到软件最终的风险值Risk 

$\mathrm{Risk}={\mathrm{\&Sigma;}}_{k=1}^{\mathrm{resultNum}}{\mathrm{rwt}}_k*{\mathrm{\&Sigma;}}_{i=1}^{\mathrm{partNum}}{\mathrm{pwt}}_i*\mathrm{\&alpha;}*\exp \{-{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\},---\left(10\right)$

n为模块p_i中影响后果属性r_k的缺陷个数； 

步骤5、评定风险等级，包括：根据软件的风险值Risk，得到一个软件风险等级作为评估结果，风险值越低，风险等级越高，即软件的风险越大。根据风险结果取值范围的不同对风险等级划分标准进行调整。 

与现有技术相比，本发明具有如下优点：本发明克服了目前很多风险评估模型存在风险重复计算的问题，通过分析功能模块和缺陷多对多的关系和缺陷与后果属性多对对的关系，使用加权求平均值的方法计算软件整体风险值，最大程度地避免了风险重复计算的问题。由于目前大多数风险评估模型中的各风险要素赋值涉及较多的专家意见，且存在一些难以量化的问题。本方法最大程度避免了目前很多评估模型中存在的风险重复计算问题，采用层次分析法（AHP）来确定风险评估过程中所需要素的权重值，对其进行一致性检验，解决了目前很多风险评估模型中各风险要素赋值涉及较多专家意见 和一些难以量化的问题。通过这种风险评估方法，在软件测试阶段，软件工程师对软件系统的风险值进行评估，及时修复软件，提高软件开发的质量和效率，将软件风险控制在可接受的水平；同时，这种定量的评估方法也为软件产品的甄选、分级等提供了重要参考。 

附图说明

图1为本发明的基于缺陷分析的软件风险评估方法的整体流程图； 

图2为用户回执和软件项目风险关系示意图。 

具体实施方式

本发明的软件评估方法采用层次分析法（AHP）来确定风险评估过程中所需要素的权重值，并对其进行一致性检验。通过分析被评估的软件的功能模块与缺陷之间多对多的关系、缺陷与后果属性之间多对对的关系，使用加权求平均值的方法计算软件整体风险值，最大程度地避免了风险事件的重复计算。 

表1：1-9标度法及含义 

取值	比较结果的量化
		1	同样重要
3	稍重要
		5	明显重要
7	重要得多
		9	极端重要
2，4，6，8	上述两相邻判断的折中
		上述个数的倒数	反比较

[0063] 表2：平均随机一致性标度 

阶数	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
																RI	0	0	0.58	0.9	1.12	1.24	1.32	1.41	1.45	1.49	1.52	1.54	1.56	1.58	1.59

表3：风险等级对照表 

风险值	0～2.0	2.1～4.0	4.1～6.0	6.1～8.0	8.1～10.0
						风险等级	5	4	3	2	1
描述	很高	高	中等	低	很低

下面结合附图，进一步详细说明本发明的具体实施方式。 

以基于Altoro Mutual网上银行系统（http://demo.testfire.net）软件为例，来说明本发明的基于缺陷分析的风险评估方法。 

步骤1、通过软件资产识别、缺陷分析、后果属性评定获取风险计算所需输入数据及输入关系。 

软件资产识别： 

对被评估软件进行功能模块划分并对划分结果进行权重分配。根据AppScan扫描到的所有URL以及软件整体功能分析，为软件划分功能模块并根据各个功能模块在整个软件中的重要性划分权重PartWeight。在此软件中，网上银行相关操作即查看存款和账单、查看最近交易和转账等功能在软件中占得比重相对较重，在分配模块权重方面有所体现。从单纯功能上来讲，例如：登录并不是提供给用户的服务，而是为用户提供服务的入口，对应用软件的运行至关重要。所以，登陆模块容易引入缺陷，在此加重了登陆模块权重，重点分析登录功能。经AHP方法对权值进行一致性检验，得到各后果属性对应的权重值。如表4所示的软件的各个模块名称和相应权重，作为输入数据一和输入数据二。 

表4：Altoro Mutual功能简表 

软件缺陷分析： 

识别出软件中存在的缺陷后，需要对软件缺陷的危害程度和缺陷在该软件中发生的概率进行分析和计算。缺陷的危害程度可以通过分析CWE缺陷库对该缺陷的描述以及组织机构等大量历史数据的统计、分析和计算得出。目前，现有的缺陷监测工具，在检测出缺陷后，会给出缺陷的严重性的描述，通过这种方式也可以确定缺陷的危害程度。 

选取IBM Rational AppScan8.0作为缺陷扫描工具对Altoro Mutual网站系统软件的各个URL进行扫描，共扫描到123个（31种）缺陷，作为输入数据三。分析扫描到的各个URL属于哪个功能模块，得到功能模块与缺陷多对多的映射关系，作为输入关系一。由上述的扫描结果对应读取预先设置的CWE缺陷库得到计算软件风险所需要的所有缺陷id和缺陷严重性等级。根据扫描得到的缺陷数目以及缺陷种类数目，按照公式（11）计算各个缺陷发生的概率pw。将概率pw再通过专家商议确定最终的值，分别作为输入数据四和输入数据五。目前，有很多漏洞监测工具可以帮助完成软件缺陷的识别。由于缺陷发生的概率问题很难特征化和量化，在此只是提出一种 计算方法作为参考，即，缺陷发生概率pw_j

pw_j=defectNum_j/allDefectNum      （11）， 

defectN_j为m某一缺陷在此软件中出现的次数，allDefectNum为软件中检测到的所有缺陷数目； 

通过此计算方法得出来的概率值，需要再通过专家评审进行进一步的界定，确定其最终的值。 

缺陷越多，软件的风险也就越大。由上式可以看出后果属性因子越大，即缺陷越多，后果属性的风险度Rt_k越小。也就是Rt_k越小表示风险越大，Rt_k越大表示风险越小。之所以采用这种方法，是因为软件风险值的总体变化趋势与指数函数相同。随着缺陷的增多，软件的风险也就越大。当缺陷多到某一程度后，软件的风险值也就失去了意义，因为软件本身已经失去了意义。当没有缺陷的时候，Rt_k的值最大，即为α。但是根据风险的特点，风险是客观存在的，并不存在“0”风险的软件。在这里是对软件进行定量的风险评估，需要给出软件确定的风险值，但是需要注意的是当Rt_k取最大值的时候，并不代表没有风险。其中α，β为影响软件后果属性风险度总体趋势的系数，在实验过程中可以通过调节该系数调整运算结果的精确度。为了给软件最终的风险分等级，可以通过调整α，β参数，将Rt_k的值调整到0-10之间。 

根据被评估软件系统的实际情况，确定安全事件发生后的后果属性类型即可能在哪些方面对软件系统造成安全危害。后果属性的个数为resultNum。确定了后果属性后，需要对软件扫描出来的缺陷进行分析，确定缺陷会导致哪种后果属性的发生。缺陷与后果属性是多对多的映射关系，即一个缺陷可以导致多种后果属性，同样一种后果属性可以由多种缺陷产生。缺陷与后果属性的映射关系，需要具有大量知识和经验的安全专家进行评定。 

以Altoro Mutual网上银行系统为例，确定后果属性包括：失去完整性、失去可 用性、失去保密性。确定的依据是作为网上银行系统其保密性是非常重要的，如果用户信息被攻击者所获得，造成的危害程度不可想象，因此用户存在银行里的钱有可能被窃取，用户个人信息会被盗取。经过专家讨论，在分配后果属性权重方面，加重失去保密性的权重。经AHP方法对权值进行一致性检验，得到各后果属性对应的权重值。Altoro Mutual网上银行系统后果属性及相应权重作为输入数据六和输入数据七，如表5所示。 

表5：Altoro Mutual后果属性及其权重表 

后果属性	权重
		失去完整性	30%
失去可用性	30%
		失去保密性	40%

接下来需要确定后果属性的权重，即各个后果属性影响软件的整体比重。根据不同软件的特点由安全专家进行评定。如网上银行系统，其失去保密性相对于其他后果属性对应的权重占的比例就多。软件后果属性的数量为resultNum。后果属性的权重问题和功能模块权重的分配问题类似。采用前文提到的AHP层次分析法来确定各个后果属性的权重。根据IBM Rational AppScan扫描到的所有缺陷提供的安全风险信息及常见缺陷列表CWE（Common Weakness Enumeration）对缺陷信息的描述，确定该缺陷会导致哪种软件后果属性，得到输入关系二。通过分析整理，得到的扩展缺陷库包含如下内容：缺陷id，缺陷名字，缺陷导致的后果属性，缺陷发生概率和缺陷的严重性。表6列出了部分扩展缺陷库。AppScan还扫描到了4个没有在CWE中列出的缺陷，这里用+1，+2，+3，+4作为id号进行标识。 

表6：Altoro Mutual扩展缺陷库 

步骤2：计算各个模块各个后果属性的风险度Rt，如表7所示。 

由于AppScan将各个缺陷的危害程度分为高、中、低、参考信息四个级别。为了便于计算风险值将其分别赋予数值4、3、2、1。 

第一步：为各个模块的各个后果属性计算后果属性因子

n为一个模块中影响某一后果属性的缺陷个数。 

第二步：根据下式计算出各个模块中各个后果属性的风险度Rt_k。如表2-4所示。 

${\mathrm{Rt}}_k=\mathrm{\&alpha;}*\exp -\{{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\}$

因为缺陷越多，软件的风险也就越大。由上式可以看出后果属性因子越大，即缺陷越多，后果属性的风险度Rt_k越小。也就是Rt_k越小表示风险越大，Rt_k越大表示风险越小。之所以采用这种方法，是因为软件风险值的总体变化趋势与指数函数相同。随着缺陷的增多，软件的风险也就越大。当缺陷多到某一程度后，软件的风险值也就失去了意义，因为软件本身已经失去了意义。当没有缺陷的时候，Rt_k的值最大，即为α。但是根据风险的特点，风险是客观存在的，并不存在“0”风险的软件。在这里是对软件进行定量的风险评估，需要给出软件确定的风险值，但是需要注意的是当Rt_k取最大值的时候，并不代表没有风险。其中α，β为影响软件后果属性风险度总体趋势的系数，在实验过程中可以通过调节该系数调整运算结果的精确度。为了给软件最终的风险分等级，可 以通过调整α，β参数，将Rt_k的值调整到0-10之间。 

表7Altoro Mutual功能模块风险度列表 

步骤3：根据公式9计算软件各个后果属性的风险度sumRt_k。 

失去完整性：sumRt₁=3.2*10%+10*10%+7.6*5%+10*5%+2.8*2%+0.7*15%+ 2.3*15%+1.4*15%+1.1*10%+10*5%+6.1*5%+3.4*3%=3.9 

失去可用性：sumRt₁=8.6*10%+10*10%+9.4*5%+9.9*5%+9.4*2%+8.8*15%+9.4*15%+8.6*15%+7.3*10%+9.1*5%+9.0*5%+7.7*3%=8.9 

失去保密性：sumRt₁=2.7*10%+7.4*10%+7.2*5%+10*5%+2.8*2%+0.5*15%+1.9*15%+0.4*15%+0.9*10%+9.5*5%+5.6*5%+1.8*3%=3.3 

步骤4：根据公式10计算软件整体风险值： 

Risk=3.9*30%+8.9*30%+3.3*40%=5.2 

步骤5：根据Risk=5.2参照表8得出软件的风险等级为3，即中等。 

表8：风险等级对照表 

风险值	0～2.0	2.1～4.0	4.1～6.0	6.1～8.0	8.1～10.0
						风险等级	5	4	3	2	1
描述	很高	高	中等	低	很低

评估效果分析 

由于本评估方法，涉及到软件的缺陷扫描、缺陷分类、缺陷严重性及概率的统计等方面内容，在此过程中受到许多客观环境的限制，也引入了一定程度的主观判断，这些都将对评估的准确性产生影响。但由于风险本身就是一个混合的主、客观要素的非定量概念，故此，风险评估结果在总体趋势上的吻合性也就保证了评估方法的合理性、可行性。 

参照IBM Rational AppScan工具导出的综合安全报告，报告的内容包括有漏洞的URL和无漏洞的URL的比较、安全性问题（按照威胁分类）、安全性问题（按照问题类型）以及软件漏洞的详细信息等方面。这些结果并不能直接反应软件总体的风险值，所以需要通过参考这些信息人为分析软件的风险。经过安全专家的评阅，最后得到Altoro Mutual网站的安全性能一般，与软件风险评估得出的风险值和风险等级相一致。证明了此风险计算方法的准确性。 

为了进一步验证此评估方法的合理性，将用户体验与此方法计算的风险值进行 比对，验证风险值是否与用户感受相一致。为此对acoforum网站，Crack Me Bank网站等软件系统进行缺陷分析，统计所需数据计算出各网站系统的风险值。再通过问卷调查法调查用户对软件系统的信任程度。使用0～10数值区间标识用户对软件信任程度的反馈。分数越高表明用户对软件系统信任程度越高，意味着软件风险越低。软件风险值的范围是0～10，如前文所述，风险值越高意味风险越低。如图2所示，此方法计算的风险值与用户感受成正比例关系，因此进一步验证了此方法的合理性。 

通过这种风险评估方法，在软件测试阶段，软件工程师对软件系统的风险值进行评估，及时修复软件，提高软件开发的质量和效率，将软件风险控制在可接受的水平；同时，这种定量的评估方法也为软件产品的甄选、分级等提供了重要参考。主要用于在软件测试阶段，软件工程师对软件系统的风险值进行评估，及时修复软件，提高软件开发的质量和效率，将软件风险控制在可接受的水平；同时，这种定量的评估方法也为软件产品的甄选、分级等提供了重要参考。 

使用该工具，得到每个缺陷在CWE缺陷库中的对应的缺陷id、危害程度和安全风险描述，运用统计的方法对缺陷发生概率进行计算，再运用发明内容中提到的风险计算方法进行风险计算，最后得出该系统的风险评估值。 

Claims (1)

1.一种基于缺陷分析的软件风险评估方法，预先特征化软件产品资产，即将软件产品划分成不同的功能模块，模块的数量记为partNum，使软件产品可识别，其特征在于，该风险评估方法包括以下步骤：

步骤（1）、通过软件资产识别、缺陷分析、后果属性评定获取风险计算所需输入数据及输入关系，包括：

输入数据一：各个功能模块Part：{p_i|i＝1,2,...,partNum};

输入数据二：软件各个功能模块对应的权重

PartWeight：{pwt_i|i＝1,2,...,partNum};

权值通过AHP层次分析法得出，具体如下：

a)将各个功能模块列成比较矩阵A；

b)将各个功能模块的比较矩阵按照1-9标度法进行两两比较；

c)进行权值计算，包括：

将A的每一列向量归一化。

$\stackrel{\&OverBar;}{a_{\mathrm{ij}}}=a_{\mathrm{ij}}/{\mathrm{\&Sigma;}}_{k=1}^n{a}_{\mathrm{kj}},(i=\mathrm{1,2},...,n)---\left(1\right)$

对按列归一化的判断矩阵，再按行求和。

$\begin{array}{c}\stackrel{\&OverBar;}{W_i}={\mathrm{\&Sigma;}}_{j=1}^n\stackrel{\&OverBar;}{a_{\mathrm{ij}}},(i=\mathrm{1,2},...n)\end{array}---\left(2\right)$

将向量 $\stackrel{\&OverBar;}{W_i}={[\stackrel{\&OverBar;}{W_1},\stackrel{\&OverBar;}{W_2},...,\stackrel{\&OverBar;}{W_n}]}^T$ 归一化

$W_i=\stackrel{\&OverBar;}{W_i}/{\mathrm{\&Sigma;}}_{i=1}^n\stackrel{\&OverBar;}{W_i},(i=\mathrm{1,2},...,n)---\left(3\right)$

a)一致性检验

计算最大特征根：

${\mathrm{\&lambda;}}_{\max }={\mathrm{\&Sigma;}}_{i=1}^n\frac{{\left(\mathrm{AW}\right)}_i}{{\mathrm{nw}}_i}---\left(4\right)$

计算一致性指标：

$\mathrm{CI}=\frac{{\mathrm{\&lambda;}}_{\max }-n}{n-1}---\left(5\right)$

计算一致性比例：

$\mathrm{CR}=\frac{\mathrm{CI}}{\mathrm{RI}}---\left(6\right)$

当CR<0.1时，认为判断矩阵的一致性可以接受；

通过上述方法，获得各个功能模块对应的权重。

输入数据三：软件系统中存在的所有缺陷种类

Defect：{w_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数；

输入关系一：功能模块与缺陷多对多的映射关系；

输入数据四：各个缺陷的危害程度和缺陷发生概率

DemageWeight：{dw_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数；

输入数据五：各个缺陷在软件中出现的概率

Probability：{pw_j|j＝1,2,...,m}，m为系统中存在缺陷的种类数；

输入数据六：后果属性类型。

Result：{r_k|k＝1,2,...resultNum}；resultNum为后果属性的数量；

输入关系二：缺陷与后果属性多对多的映射关系。

输入数据七：后果属性对应的权重

ResultWeight：{rwt_k|k＝1,2,...,resultNum}；resultNum为后果属性的数量；

将后果属性、缺陷发生概率、缺陷的危害程度作为扩展属性添加到缺陷库，该缺陷库以CWE数据库为基准；

步骤（2），计算各个模块各个后果属性的风险度Rt，包括：首先计算各个功能模块中每一个后果属性的后果属性因子，假设一个功能模块中检测出的缺陷为1…n，各个缺陷对应的缺陷危害程度和各个缺陷在软件中出现的概率分别为dw₁，dw₂…dw_n和pw₁，pw₂…pw_n，由此计算出后果属性因子

${\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j---\left(7\right),$

n为一个模块中影响后果属性r_k的缺陷个数；

再以后果属性因子进一步计算出各个模块各个后果属性的风险度Rt：

${\mathrm{Rt}}_k=\mathrm{\&alpha;}*\exp -\{{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\}---\left(8\right),$

n为一个模块中影响后果属性r_k的缺陷个数，α，β为影响软件后果属性风险度总体趋势的系数；

步骤（3）、计算整个软件各个后果属性的风险度sumRt_k，包括：根据软件各个功能模块的权重（pwt_i）对各个后果属性的风险度计算加权平均值，得到整个软件各个后果属性的风险度sumRt_k。

${\mathrm{sumRt}}_k={\mathrm{\&Sigma;}}_{i=1}^{\mathrm{partNum}}{\mathrm{pwt}}_i*\mathrm{\&alpha;}*\exp \{-{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\},---\left(9\right)$

n为模块p_i中影响后果属性r_k的缺陷个数；

步骤（4）、计算软件整体风险值，包括：根据各个后果属性的权重（rwt_k）对整个软件的各个后果属性的风险度计算加权平均值，得到软件最终的风险值Risk

$\mathrm{Risk}={\mathrm{\&Sigma;}}_{k=1}^{\mathrm{resultNum}}{\mathrm{rwt}}_k*{\mathrm{\&Sigma;}}_{i=1}^{\mathrm{partNum}}{\mathrm{pwt}}_i*\mathrm{\&alpha;}*\exp \{-{\mathrm{\&Sigma;}}_{j=1}^n{\mathrm{dw}}_j*{\mathrm{pw}}_j/\mathrm{\&beta;}\},---\left(10\right)$

n为模块p_i中影响后果属性r_k的缺陷个数；

步骤（5）、评定风险等级，包括：根据软件的风险值Risk，得到一个软件风险等级作为评估结果，风险值越低，风险等级越高，即软件的风险越大。

Images