CN103984623A - 一种基于缺陷检测的软件安全风险评估方法 - Google Patents
一种基于缺陷检测的软件安全风险评估方法 Download PDFInfo
- Publication number
- CN103984623A CN103984623A CN201410174435.8A CN201410174435A CN103984623A CN 103984623 A CN103984623 A CN 103984623A CN 201410174435 A CN201410174435 A CN 201410174435A CN 103984623 A CN103984623 A CN 103984623A
- Authority
- CN
- China
- Prior art keywords
- defect
- security
- software
- risk
- security attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007547 defect Effects 0.000 title claims abstract description 172
- 238000001514 detection method Methods 0.000 title claims abstract description 55
- 238000012502 risk assessment Methods 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims abstract description 39
- 230000004927 fusion Effects 0.000 claims abstract description 7
- 238000012360 testing method Methods 0.000 claims description 38
- 238000011156 evaluation Methods 0.000 claims description 35
- 238000004364 calculation method Methods 0.000 claims description 15
- 230000006378 damage Effects 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 8
- 208000027418 Wounds and injury Diseases 0.000 claims description 6
- 208000014674 injury Diseases 0.000 claims description 6
- 238000010606 normalization Methods 0.000 claims description 4
- 238000011158 quantitative evaluation Methods 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000007500 overflow downdraw method Methods 0.000 description 4
- 239000013598 vector Substances 0.000 description 4
- 238000013210 evaluation model Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000002131 composite material Substances 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 235000000332 black box Nutrition 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于缺陷检测的软件安全风险评估方法,包括以下步骤:步骤一、构建评估指标体系,;步骤二、采用各种缺陷检测工具对软件进行安全缺陷检测;步骤三、根据软件安全检测报告进行缺陷风险值的初步融合,逐层计算软件安全风险值;步骤四、基于D-S证据理论的软件安全风险进行量化评估。与现有技术相比,本发明采用了多种检测工具检测结果融合的方法来提高评估结果的准备性。预期的有益效果包括:1、便于对CWE缺陷安全性进行分析。2、便于对软件进行安全风险评估。
Description
技术领域
本发明涉及软件设计技术领域,特别是涉及一种软件安全风险评估方法。
背景技术
所谓软件安全缺陷,就是指软件系统或系统成分中,那些可能导致其整体或局部无法实现预期安全目标的不足点。软件中不可避免地存在一些安全缺陷,一旦这些安全缺陷在某一时刻被攻击者利用,软件就会面临风险,严重的就会导致攻击者完全接管软件控制、窃取私密数据、让软件系统崩溃等危险后果,这将对个人乃至国家造成重大损失。因此,评估软件系统中存在的安全风险等级是十分必要的。通过分析系统中已存在或是可能存在的风险,将风险量化为具体的数值,可以使系统管理人员直观地了解到系统中存在的风险。根据风险等级的大小,有优先级的采取安全措施来预防、控制、降低安全时间的发生。这样可以使软件处于相对安全的状态,避免了安全事件发生所造成的大量损失。
软件安全评估需要获取软件中存在的安全缺陷。近年来,随着软件缺陷检测技术的迅速发展,出现了越来越多的安全缺陷检测工具,可以应用各种技术对软件系统进行分析和评估,识别出大量的潜在缺陷。但是由于不同的缺陷检测工具的检测能力不同,不同的检测工具各有优缺点,因此综合多种检测工具来协作获取安全缺陷,能够更全面、更深入地发现软件中存在的安全隐患问题。这些缺陷检测结果是评估软件安全风险的重要依据。与此同时,不同检测工具之间的差异会对检测结果的整合产生不利影响,这些不利影响使得评估过程中难以计算软件整体的安全风险。一方面体现在检测工具采用的缺陷库不同,检测结果用不同的缺陷分类来表示,导致缺陷检测结果难以互相比较,影响风险值的计算;另一方面,不同的缺陷检测工具的检测能力不同,检测结果中既存在不相交的部分,又存在重叠的部分,而重叠的部分会导致风险的重复计算,影响风险评估的准确性。
现有的基于缺陷检测的软件安全风险评估方法无法满足风险评估的准确性和全面性的要求。其存在的根据问题是由于没有采用多种缺陷检测工具结果融合的方法进行安全评估,并鉴于不同检测工具之间存在差异这一实际情况,对评估过程中可能存在的不一致的问题进行处理。本发明在分析CWE缺陷的基础上,给出了CWE缺陷相对于安全属性的风险分析方法,可以为软件安全相关的诸多工具提供数据支持。并构建了基于缺陷检测的软件安全风险评估指标体系,提出了基于D-S证据理论的软件安全风险评估方法,提高了安全风险评估结果的全面性和准确性。
发明内容
为了克服上述现有技术存在的问题,本发明提出了一种基于缺陷检测的软件安全风险评估方法,通过对CWE缺陷相对于安全属性的风险分析,建立软件安全风险评估模型,并基于该模型和D-S证据理论对软件安全风险进行评估,达到提高软件安全性的目的。
本发明提出了一种基于缺陷检测的软件安全风险评估方法,该方法包括以下步骤:
步骤一、构建评估指标体系,所述指标体系包括整体层、模块层、安全属性层以及测试结果层共4个层次的指标;该步骤具体为安全属性定义和建立安全缺陷相对于安全属性的风险分析;其中安全属性定义了保密性、完整性、可用性、访问控制、可审计性和无安全隐患作为其子属性;而建立安全缺陷相对于安全属性的风险分析则包括软件缺陷安全风险定性评价、安全属性与技术损害间的间接对应关系构建、安全缺陷对安全属性危害程度分析、安全缺陷被利用可能性分析、安全缺陷在安全属性上的风险分析;在风险分析中还需要确定指标体系中模块曾各模块之间的权重和安全属性层各安全属性之间的权重和安全缺陷检测工具权重;
步骤二、采用各种缺陷检测工具对软件进行安全缺陷检测;
步骤三、根据软件安全检测报告进行缺陷风险值的初步融合,逐层计算软件安全风险值,具体包括:安全缺陷类型归一化、安全缺陷按模块重组织和安全缺陷风险值计算,根据缺陷的组织结构,进行信任度计算:
先计算安全属性层中每个安全属性识别框架{严重,高,中,低,注意}的信任度:
其中:
A是评估框架子集中的一个元素,A∈{注意,低,中,高,严重};
m(A)是评估框架A的信任度;
i是所采用的缺陷检测工具集合中一个元素;
SumiA是缺陷检测工具i所检测出的风险度为A的缺陷数量;
SumiALL是缺陷检测工具i所检测出的所有缺陷数量;
ωi是缺陷检测工具i所占的权重;
计算安全属性层中每个安全属性识别框架{不确定度}的信任度,公式如下
其中:
B是评估框架子集中的一个元素,B∈{不确定性};
m(B)是评估框架B的信任度;
是评估框架子集A全部信任度之和;
然后进行折扣计算,最终得到评估指标中安全属性层的识别框架信任度,计算如下:
识别框架Θ上有多个置信函数,其基本置信函数为mi,Ai表示各焦元,其权重为W=(ω1...ωn),则折扣率为 函数m:2θ→[0,1]:
步骤四、基于D-S证据理论的软件安全风险进行量化评估。
与现有技术相比,本发明通过对CWE缺陷以及缺陷检测工具进行分析,建立了提出了一种基于缺陷检测的软件安全风险评估方法,并采用了多种检测工具检测结果融合的方法来提高评估结果的准备性。预期的有益效果包括:
1、便于对CWE缺陷安全性进行分析。本发明可以根据CWE中已有的缺陷信息,通过安全属性分析CWE缺陷的安全风险情况,为风险评估提供数据支持。
2、便于对软件进行安全风险评估。本发明建立了基于D-S证据理论的软件安全风险评估模型,给出了详尽的风险评估流程和安全风险计算方法。该方法可以降低缺陷检测工具差异性对风险评估过程的影响,充分利用检测结果的互补性,提高软件安全风险评估结果的全面性和准确性。
附图说明
图1软件安全风险评估流程;
图2安全风险评估指标体系。
具体实施方式
下面将结合附图对本发明具体实施方式作进一步地详细描述。
基于缺陷检测的软件安全风险评估方法评估流程可以分为如图1所示的4个步骤进行。
第一步:构建评估指标体系
软件安全风险评估准备工作主要分为3部分,包括构建评估指标体系、确定评估指标权重和确定缺陷检测工具权重。具体描述如下:
1、构建软件系统的评估指标体系
本发明将评估指标分解为整体层、模块层、安全属性层以及测试结果层共4个层次的指标,通过递阶层次的评估得到较为准确的安全风险评价。评估模型的分层模型如图2所示。
本步骤主要包括定义安全属性和建立CWE缺陷相对于安全属性的风险分析。
1.1、定义安全属性
安全属性,即软件的安全特性,指软件产品应具有保护信息和数据的能力,防止未授权的用户访问或修改数据,其中包含若干子属性。
目前对软件安全属性的子属性定义各不相同。本发明在安全属性定义的基础上,参考已有的研究成果及安全标准,将安全属性的子属性定义为保密性、完整性、可用性、访问控制、可审计性和无安全隐患。
1.2、基于安全属性的CWE缺陷风险分析
CWE常见缺陷列表是MITRE公司开发的安全缺陷词典,该词典作为识别、减轻、阻止软件缺陷的通用标准,提供了一份通用软件缺陷列表,列出目前已知软件缺陷的通用描述。缺陷风险分析工具选择CWE作为缺陷标识,可以给用户提供更通用的安全信息,方便用户进行缺陷管理和风险评估。
软件缺陷风险分析与软件安全属性的映射,是分析软件安全性的基础。软件的6个安全子属性,概括了一个软件系统在安全性上的要求。分析软件的安全性,也就是分析软件缺陷在6个安全子属性上所造成的影响程度。
1.2.1、软件缺陷安全风险定性评价
软件缺陷安全风险定性评价,是定性评价软件缺陷对软件安全属性所形成的风险程度。包括缺陷对安全属性的危害性、缺陷被利用的可能性和缺陷对安全属性的定性评价方法。
1.2.2构建安全属性与技术损害的间接对应关系
在CWE缺陷信息中,“Consequence_Scope”用于表示缺陷在被恶意利用后对系统造成的抽象损失,共定义了8种抽象的损失,经分析软件安全属性与“Consequence_Scope”损失之间有如表1所示的一对多的关系。
表1软件安全属性与“Consequence_Scope”的对应关系
在CWE缺陷信息中,“Consequence_Impact”用于表示缺陷在被恶意利用后对软件造成的具体技术损害,共21种损害。“Consequence_Scope”与“Consequence_Impact间有多对多的关系,由此可以得到如表2所示的软件安全属性与“Consequence_Impact”的间接的多对多的关系。
表2软件安全属性与“Consequence_Impact”的间接对应关系
1.2.3、缺陷对安全属性危害程度的分析
在CWE中,缺陷对软件造成的技术影响(Consequence_Impact)共有21种,在表2中已经给出了技术影响与安全属性的间接对应关系。下面通过考虑安全属性的评价指标,确定技术影响对安全属性所造成的危害程度,危害程度用高、中、低定性表示。
(1)保密性的危害分析
保密性的评价指标是有多少信息被泄露,信息的关键程度,结合安全知识得出定性评估,如表3所示:
表3保密性的危害分析
(2)完整性的危害分析
完整性的评价指标是有多少数据被破坏,破坏的程度如何,结合安全知识得出定性评估,如表4所示:
表4完整性的危害分析
(3)可用性的危害分析
可用性的评价指标是有多少服务被中断,重要程度如何,结合安全知识得出定性评估,如表5所示:
表5可用性的危害分析
(4)访问控制的危害分析
访问控制的评价指标是软件安全机制的失效范围,结合安全知识得出定性评估,如表6所示:
表6访问控制的危害分析
(5)可审计性的危害分析
可审计性的评价指标是不可追溯行为的数量,结合安全知识得出定性评估,如表7所示:
表7可审计性的危害分析
(6)无安全隐患的危害分析
无安全隐患的评价指标是软件执行出错的可能性,结合安全知识得出定性评估,如表8所示:
表8无安全隐患的危害分析
(7)安全属性危害分析总表
安全属性危害分析总表如表9所示,纵轴是安全属性,横轴是21种技术危害:
表9安全属性危害分析总表
1.2.4、缺陷被利用可能性分析
在CWE中,“Likelihood_of_Exploit”项描述“缺陷被利用的可能性”,即评估攻击者发现和利用特定缺陷可能性的粗略计量。在CWE中该项取值共8种,但由于影响“缺陷被利用的可能性”的因素较多,用过于细化的描述并不能精确反应可能性,为了方便计算,本评估方法将8种程度映射为“低、中、高”三种。对应方式如表10所示:
表10缺陷被利用的可能性分析
1.2.5缺陷安全风险分析
评估缺陷在安全属性上的风险,需要确定缺陷在安全属性上的危害(如表9)和缺陷被利用的可能性(如表10)。
根据风险对系统的危害程度,本发明将缺陷在安全属性上的安全风险分为5级,如表11所示,分别为注意、低、中、高、严重。根据表9和表10得到的缺陷在各安全属性上的风险程度如表12所示。
表11基于D-S证据理论的安全风险评估模型识别框架
表12安全风险对照表
2、确定评估指标权重
确定指标体系中第二层各模块之间的权重和第三层各安全属性之间的权重。权重的分配主要根据该层指标对上一层指标的重要程度决定,权重总和为1。本发明采用主观的专家打分法来确定评估指标的权重。
3、确定缺陷检测工具权重
由于检测工具所采用的技术不同、工具的缺陷模式库规模不同等均会影响扫描工具的检测能力。因此缺陷扫描工具权重的分配,主要考虑检测工具扫描缺陷的能力来分配权重,扫描工具的权重总和为1。本发明采用主观的专家打分法来确定缺陷检测工具的权重。
第二步:对软件进行缺陷检测
在本阶段,采用不同的缺陷检测工具对软件进行安全检测。在进行缺陷检测时,需要了解不同测试工具的特点和使用方法,才能有效地对软件进行全面的检测。
第三步:对检测结果进行初步整合
在本阶段,根据软件安全检测报告进行缺陷风险值的初步融合,分为3个步骤。
1、缺陷类型归一化
不同工具的检测结果可能采用不同的缺陷分类表示,因此需要将不同工具的检测结果转换为CWE缺陷,在类型转换时可能遇到检测工具不支持CWE缺陷分类的情况,这时需要由安全专家确定工具支持的缺陷分类与CWE缺陷之间的映射关系,再根据映射关系将检测结果间接转换为CWE缺陷。
2、缺陷按模块重组织
在本步骤中,打破缺陷按照检测工具组织在一起的方式,,将缺陷按照其影响到的模块重新组织,为下一步风险值融合做准备。
3、缺陷风险值计算
根据缺陷的组织结构,使用公式三、公式四对各安全属性识别框架的信任度进行计算后,再用公式一、公式二进行折扣计算,最终得到评估指标中第三层安全属性层的识别框架信任度。
第四步:基于D-S证据理论的软件安全风险评估方法
在对软件进行安全风险评估的过程中,各种风险因素的不确定性很大,具有模糊性,使传统的基于概率论和数理统计理论的风险评估模型已不再适用。因此,本发明采用D-S证据理论对信息系统所面临的安全风险进行量化评估。
1、D-S证据理论的冲突处理算法
证据理论是关于证据的数学理论,能够将不同证据源的证据融合为一个。证据融合
理论有一定的缺陷,即证据间有冲突计算出的结果是不可信的。本文借鉴Murphy的方法对证据模型进行改进。
设权重向量W=(ω1...ωn),满足:且令则称为wi的“折扣率”,可得新的相对权重向量W=(ω1ω2。。。ωn)/ωmax,将证据理论的信度函数表达式修正为: 然后修正过的信度函数带入原证据合成公式中,得到关联各指标权重的证据理论合成公式如下:
识别框架Θ上有多个置信函数,其基本置信函数为mi,Ai表示各焦元,其权重为W=(ω1。。。ωn),则折扣率为 函数m:2θ→[0,1]:
2、缺陷检测结果融合方法
缺陷检测结果融合方法,用于根据缺陷检测结果计算安全属性层中识别框架的信任度。
缺陷检测结果融合方法输入一:软件安全缺陷检测结果。在缺陷检测结果中,每一个检测工具均报告了软件所含的安全缺陷情况,包括缺陷的类型、缺陷所在的模块。缺陷检测结果融合方法输入二:安全缺陷风险知识库。在安全缺陷风险知识库中,保存了安全缺陷的安全风险信息,即缺陷在不同安全属性上的风险值。
公式三用来计算安全属性层中每个安全属性识别框架{严重,高,中,低,注意}的信任度。公式四用来计算安全属性层中每个安全属性识别框架{不确定度}的信任度。
缺陷检测结果融合方法计算公式如下:
其中:
A是评估框架子集中的一个元素,A∈{注意,低,中,高,严重};
m(A)是评估框架A的信任度;
i是所采用的缺陷检测工具集合中一个元素;
SumiA是缺陷检测工具i所检测出的风险度为A的缺陷数量;
SumiALL是缺陷检测工具i所检测出的所有缺陷数量;
ωi是缺陷检测工具i所占的权重;
(公式四)
其中:
B是评估框架子集中的一个元素,B∈{不确定性};
m(B)是评估框架B的信任度;
是评估框架子集A全部信任度之和;
3、逐层计算软件安全风险值
首先根据公式一到公式四,将第三层安全属性层信任度向量折扣后融合,得到第二层模块层识别框架信任值;再对第二层识别框架仍然采用上一步的计算方法,折扣后求出其识别框架信任值,即第一层软件整体风险的识别框架向量。
下面基于AltoroMutual网上银行系统(http://demo.testfire.net),使用本文中的平台工具进行安全风险评估,选取黑盒测试工具IBM Rational AppScan8.5和HPWebInspect10.0为缺陷扫描工具,选取CWE2.5作为缺陷风险知识库的基础,从而验证本评估方法的可行性。
1)构建评估指标体系
1、构建模块层并确定各模块权重,如表14所示。
表14模块层权重划分
主界面展示模块 | 搜索新闻模块 | 用户登录模块 | 管理员模块 | 金融业务模块 |
15% | 10% | 20% | 20% | 35% |
根据各模块对安全的要求,设置安全属性层指标权重如表15所示:
表15安全属性层权重划分
2、确定检测工具权重
经过综合考虑两个检测工具检测能力的差异,将两者权重划分如表16所示:
表16检测工具权重划分
工具 | 权重 |
IBM Appscan | 70% |
HP WebInspect | 30% |
2)检测软件缺陷
安全检测结束后,得到了IBM Appscan检测出的49个CWE缺陷和HP WebInspect检测出的32个CWE缺陷。
2.1检测结果初步整合
2.1.1缺陷类型归一化
该步骤需要将不同缺陷检测工具检测结果都转变为CWE缺陷的展现形式。由于IBM Appscan和HP WebInspect均支持CWE缺陷作为输出,本实例不需要改动检测结果。
2.1.2检测结果重组织
第一步:先将检测结果的缺陷按模块重组织,如表17所示:
表17缺陷重组织
第二步:根据缺陷安全风险库,统计缺陷的风险情况。例如用户登陆模块的缺陷风险统计如表18所示:
表18用户登录模块的缺陷风险统计
第三步:缺陷风险值计算
根据缺陷的组织结构,使用公式三、公式四对安全属性识别框架的信任度进行计算后,再用公式一、公式二进行折扣计算,最终得到评估指标中第三层安全属性层的识别框架信任度。例如用户登录模块安全属性评估框架信任度计算结果如表19所示:
表19用户登录模块安全属性评估框架信任度计算结果
3)软件安全风险计算
第一步:使用D-S证据理论计算方法和上一步计算好的安全属性评估框架信任度计算结果,计算出软件安全风险评估指标体系第二层的值,即模块层评估框架的信任度,如表20所示:
表20模块层评估框架信任度计算结果
第二步:再次使用D-S证据理论计算方法和上一步计算好的模块层评估框架信任度计算结果,计算出软件安全风险评估指标体系第一层的值,即软件整体评估框架的信任度,如表21所示:
表21软件整体评估框架的信任度计算结果
4)评估结果分析
经过基于缺陷检测的软件安全风险评估方法进行评估,Altoro Mutual网上银行系统的安全风险结果如表21所示,即安全性风险为“严重”的概率为0.2643,安全性风险为“高”的概率为0.2809,安全性风险为“中”的概率为0.4547,其他均为0。
Claims (1)
1.一种基于缺陷检测的软件安全风险评估方法,其特征在于,该方法包括以下步骤:
步骤一、构建评估指标体系,所述指标体系包括整体层、模块层、安全属性层以及测试结果层共4个层次的指标;该步骤具体为安全属性定义和建立安全缺陷相对于安全属性的风险分析;其中安全属性定义了保密性、完整性、可用性、访问控制、可审计性和无安全隐患作为其子属性;而建立安全缺陷相对于安全属性的风险分析则包括软件缺陷安全风险定性评价、安全属性与技术损害间的间接对应关系构建、安全缺陷对安全属性危害程度分析、安全缺陷被利用可能性分析、安全缺陷在安全属性上的风险分析;在风险分析中还需要确定指标体系中模块曾各模块之间的权重和安全属性层各安全属性之间的权重和安全缺陷检测工具权重;
步骤二、采用各种缺陷检测工具对软件进行安全缺陷检测;
步骤三、根据软件安全检测报告进行缺陷风险值的初步融合,逐层计算软件安全风险值,具体包括:安全缺陷类型归一化、安全缺陷按模块重组织和安全缺陷风险值计算,根据缺陷的组织结构,进行信任度计算:
先计算安全属性层中每个安全属性识别框架{严重,高,中,低,注意}的信任度:
其中:
A是评估框架子集中的一个元素,A∈{注意,低,中,高,严重};
m(A)是评估框架A的信任度;
i是所采用的缺陷检测工具集合中一个元素;
SumiA是缺陷检测工具i所检测出的风险度为A的缺陷数量;
SumiALL是缺陷检测工具i所检测出的所有缺陷数量;
ωi是缺陷检测工具i所占的权重;
计算安全属性层中每个安全属性识别框架{不确定度}的信任度,公式如下
其中:
B是评估框架子集中的一个元素,B∈{不确定性};
m(B)是评估框架B的信任度;
是评估框架子集A全部信任度之和;
然后进行折扣计算,最终得到评估指标中安全属性层的识别框架信任度,计算如下:
识别框架Θ上有多个置信函数,其基本置信函数为mi,Ai表示各焦元,其权重为W=(ω1...ωn),则折扣率为 函数m:2θ→[0,1]:
步骤四、基于D-S证据理论的软件安全风险进行量化评估。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410174435.8A CN103984623B (zh) | 2014-04-28 | 2014-04-28 | 一种基于缺陷检测的软件安全风险评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410174435.8A CN103984623B (zh) | 2014-04-28 | 2014-04-28 | 一种基于缺陷检测的软件安全风险评估方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103984623A true CN103984623A (zh) | 2014-08-13 |
CN103984623B CN103984623B (zh) | 2017-01-25 |
Family
ID=51276613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410174435.8A Expired - Fee Related CN103984623B (zh) | 2014-04-28 | 2014-04-28 | 一种基于缺陷检测的软件安全风险评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103984623B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650945A (zh) * | 2016-11-16 | 2017-05-10 | 北京航空航天大学 | 一种基于证据合成理论的软件体系结构安全性评估方法 |
CN107133521A (zh) * | 2017-05-12 | 2017-09-05 | 天津大学 | 基于安全需求元模型的安全需求模板构建方法 |
CN107291602A (zh) * | 2017-06-16 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种软件版本性能评估方法及装置 |
CN107766254A (zh) * | 2017-11-13 | 2018-03-06 | 长春长光精密仪器集团有限公司 | 一种基于层次分析的软件质量评估方法及系统 |
TWI625642B (zh) * | 2017-03-08 | 2018-06-01 | 廣達電腦股份有限公司 | 軟體風險評估系統及其方法 |
CN109325685A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种产品安全测试方法及装置 |
CN109408389A (zh) * | 2018-10-30 | 2019-03-01 | 北京理工大学 | 一种基于深度学习的代码缺陷检测方法及装置 |
CN109460356A (zh) * | 2018-10-19 | 2019-03-12 | 中国船舶重工集团公司第七六研究所 | 一种用于软件故障预测的数据融合方法 |
CN109919440A (zh) * | 2019-01-31 | 2019-06-21 | 中国人民解放军92942部队 | 一种基于证据推理的舰船装备保障性评估方法 |
CN109919441A (zh) * | 2019-01-31 | 2019-06-21 | 中国人民解放军92942部队 | 一种基于证据推理的舰船装备环境适应性评估方法 |
CN110147325A (zh) * | 2019-05-22 | 2019-08-20 | 电信科学技术第十研究所有限公司 | 一种基于自动化测试的数据生成方法及装置 |
CN110245848A (zh) * | 2019-05-31 | 2019-09-17 | 口碑(上海)信息技术有限公司 | 程序代码的风险评估方法和装置 |
CN111291375A (zh) * | 2020-02-25 | 2020-06-16 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 应用程序评估方法、装置、计算机设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080189686A1 (en) * | 2007-02-01 | 2008-08-07 | Fujitsu Limited | System and Method for Detecting Software Defects |
CN101286132A (zh) * | 2008-06-02 | 2008-10-15 | 北京邮电大学 | 一种基于软件缺陷模式的测试方法及系统 |
CN101937388B (zh) * | 2009-12-17 | 2013-03-13 | 张 | 一种高可扩展性和可维护性的源代码缺陷检测方法及装置 |
-
2014
- 2014-04-28 CN CN201410174435.8A patent/CN103984623B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080189686A1 (en) * | 2007-02-01 | 2008-08-07 | Fujitsu Limited | System and Method for Detecting Software Defects |
CN101286132A (zh) * | 2008-06-02 | 2008-10-15 | 北京邮电大学 | 一种基于软件缺陷模式的测试方法及系统 |
CN101937388B (zh) * | 2009-12-17 | 2013-03-13 | 张 | 一种高可扩展性和可维护性的源代码缺陷检测方法及装置 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650945A (zh) * | 2016-11-16 | 2017-05-10 | 北京航空航天大学 | 一种基于证据合成理论的软件体系结构安全性评估方法 |
CN106650945B (zh) * | 2016-11-16 | 2019-02-15 | 北京航空航天大学 | 一种基于证据合成理论的软件体系结构安全性评估方法 |
TWI625642B (zh) * | 2017-03-08 | 2018-06-01 | 廣達電腦股份有限公司 | 軟體風險評估系統及其方法 |
US10614209B2 (en) | 2017-03-08 | 2020-04-07 | Quanta Computer Inc. | Software risk evaluation system and method thereof |
CN107133521A (zh) * | 2017-05-12 | 2017-09-05 | 天津大学 | 基于安全需求元模型的安全需求模板构建方法 |
CN107291602A (zh) * | 2017-06-16 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种软件版本性能评估方法及装置 |
CN107766254A (zh) * | 2017-11-13 | 2018-03-06 | 长春长光精密仪器集团有限公司 | 一种基于层次分析的软件质量评估方法及系统 |
CN109325685A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 一种产品安全测试方法及装置 |
CN109460356A (zh) * | 2018-10-19 | 2019-03-12 | 中国船舶重工集团公司第七六研究所 | 一种用于软件故障预测的数据融合方法 |
CN109460356B (zh) * | 2018-10-19 | 2021-12-28 | 中国船舶重工集团公司第七一六研究所 | 一种用于软件故障预测的数据融合方法 |
CN109408389A (zh) * | 2018-10-30 | 2019-03-01 | 北京理工大学 | 一种基于深度学习的代码缺陷检测方法及装置 |
CN109408389B (zh) * | 2018-10-30 | 2020-10-16 | 北京理工大学 | 一种基于深度学习的代码缺陷检测方法及装置 |
CN109919440A (zh) * | 2019-01-31 | 2019-06-21 | 中国人民解放军92942部队 | 一种基于证据推理的舰船装备保障性评估方法 |
CN109919441A (zh) * | 2019-01-31 | 2019-06-21 | 中国人民解放军92942部队 | 一种基于证据推理的舰船装备环境适应性评估方法 |
CN110147325A (zh) * | 2019-05-22 | 2019-08-20 | 电信科学技术第十研究所有限公司 | 一种基于自动化测试的数据生成方法及装置 |
CN110147325B (zh) * | 2019-05-22 | 2023-04-07 | 电信科学技术第十研究所有限公司 | 一种基于自动化测试的数据生成方法及装置 |
CN110245848A (zh) * | 2019-05-31 | 2019-09-17 | 口碑(上海)信息技术有限公司 | 程序代码的风险评估方法和装置 |
CN111291375A (zh) * | 2020-02-25 | 2020-06-16 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 应用程序评估方法、装置、计算机设备和存储介质 |
CN111291375B (zh) * | 2020-02-25 | 2022-04-26 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 应用程序评估方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103984623B (zh) | 2017-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103984623A (zh) | 一种基于缺陷检测的软件安全风险评估方法 | |
CN101227288B (zh) | 一种网络攻击危害性评估方法 | |
CN105357217B (zh) | 基于用户行为分析的数据盗取风险评估方法和系统 | |
Huda et al. | Fuzzy MADM approach for rating of process-based fraud | |
US20130067572A1 (en) | Security event monitoring device, method, and program | |
CN101150432A (zh) | 一种信息系统风险评估方法及系统 | |
CN111565184A (zh) | 一种网络安全评估装置、方法、设备及介质 | |
Chen et al. | Research on human factors cause chain of ship accidents based on multidimensional association rules | |
CN103929330A (zh) | 域名服务质量评估方法及系统 | |
CN103366123A (zh) | 基于缺陷分析的软件风险评估方法 | |
CN106991325A (zh) | 一种软件漏洞的防护方法和装置 | |
CN101226614A (zh) | 一种网络资产重要性评估方法 | |
CN114003920A (zh) | 系统数据的安全评估方法及装置、存储介质和电子设备 | |
CN114499956A (zh) | 一种网络信息安全风险评估系统及其方法 | |
CN111798162A (zh) | 基于神经网络的风险监测方法及装置 | |
CN114036531A (zh) | 一种基于多尺度代码度量的软件安全漏洞检测方法 | |
CN101488168A (zh) | 一种计算机信息系统综合风险计算方法和系统 | |
CN103970651A (zh) | 基于组件安全属性的软件体系结构安全性评估方法 | |
CN102591732A (zh) | 信息系统安全评测系统及其评测方法 | |
CN117593020A (zh) | 基于跨境电商贸易真实性智能核查方法及系统 | |
CN117421735A (zh) | 基于大数据漏洞挖掘的挖掘评估方法 | |
CN104731773A (zh) | 文本情感分析方法及系统 | |
CN108446907B (zh) | 安全校验方法及装置 | |
Heidenreich | Conceptualization of a measurement method proposal for the assessment of IT security in the status quo of micro-enterprises | |
CN101968768B (zh) | 一种基于缺陷的软件安全性测试需求的获取与分级方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170125 |