软件安全威胁分析方法与系统技术方案

本发明专利技术提出一种软件安全威胁分析方法与系统。所述软件安全威胁分析系统包括软件加载模块、用户终端节点认证模块、广播模块、软件分发模块、终端完整度分析组件、安全分析终端节点链以及威胁分析终端节点链。安全分析终端节点链和威胁分析终端节点链均连接至终端完整度分析组件，通过终端完整度分析组件，安全分析终端节点链和/或所述威胁分析终端节点链分析通过广播模块接收的所述终端参数确定出加载所述目标软件的用户终端的终端完整度，并反馈给用户终端节点认证模块。本发明专利技术还提出所述安全分析终端节点链和威胁分析终端节点链的建立方法。本发明专利技术的技术方案能够基于桌面终端和移动终端互联认证的方式，实现全面的软件安全和威胁分析。

【技术实现步骤摘要】
软件安全威胁分析方法与系统
本专利技术属于软件测试
，尤其涉及一种软件安全威胁分析系统、一种用于软件安全威胁分析的安全分析终端节点链的建立方法以及一种用于软件安全威胁分析的威胁分析终端节点链的建立方法。
技术介绍
随着互联网进入移动互联网时代，APP(Application，应用程序)得到广泛地应用，人们逐渐习惯了使用APP客户端上网的方式。对于APP程序而言，既要保证其功能满足需求定义，又需要确保其性能足够优化，其用户界面(UserInterface，UI)足够美观，能有较好的用户体验，这就需要有一套完整的测试方案来保证各项指标符合要求。手机app是指手机应用程序，它是随着移动互联网技术的深入发展而产生的，目前正逐渐渗透到人们生活的各个领域，包括购物、美食、娱乐、导航、地图等方方面面。随着智能手机的普及，App的用户使用开始呈爆发产品能否如期与消费者见面，关系到产品在市场上能否具有长期竞争力，直接影响到生产厂家的利益。因此，可以说手机app的测试工作是整个软件开发过程中最为重要的一个环节，它伴随于整个软件开发的每一个阶段，是软件开发成功的重要保障。而手机app的可用性、可靠性和友好性决定了产品能否如期与消费者见面，关系到产品在市场上能否具有长期竞争力，直接影响到生产厂家的利益。因此，可以说手机app的测试工作是整个软件开发过程中最为重要的一个环节，它伴随于整个软件开发的每一个阶段，是软件开发成功的重要保障。随着移动互联网的应用和需求的急速扩张，大批人才进入移动互联网领域。然而，APP应用以及其它移动互联网应用数量的迅猛增长，必然带来软件质量不稳定等诸多问题。尽管软件公司加快了应用软件测试技术的研究进程，但相比之下，软件测试行业、测试方法和测试技术在过去的十年时间里，进步速度跟不上移动互联网的发展速度。申请号为CN201910754732.2的中国专利技术专利申请提出一种APP测试方法、装置、计算机设备及存储介质，所述方法包括：通过云平台获取激活状态的APP，并获取每一所述APP对应的环境信息；基于所述APP对应的所述环境信息向所述APP发送测试用例，并实时获取所述APP反馈的测试数据；对所述APP对应的环境信息和所述测试数据进行缺陷分析，得到缺陷数据；基于所述缺陷数据，生成缺陷报告；根据所述缺陷报告对所述APP进行回归测试，得到测试结果。该APP测试方法实现了对跨环境的APP的智能测试，避免了对APP的重复测试，且只需对APP程序操作一次即可得到完整的测试结果，提高了APP测试效率和准确率。申请号为CN201910984934.6的中国专利技术专利申请提出一种软件测试方法、装置、设备和计算机可读介质，涉及计算机
该方法的一具体实施方式包括：获取当前页面的XML源码文件；所述当前页面的XML源码文件中包括APP首页所有特有控件，则确定当前页面为APP首页；所述当前页面的XML源码文件中未包括APP首页所有特有控件，则确定当前页面为非首页，基于所述当前页面的返回次数操作所述当前页面。该实施方式能够提高测试效率。然而，现有技术的软件测试方法都是优先测试用例下的功能性测试，并未涉及软件的安全与威胁分析，并且，上述测试方法的测试用例都是有限的，无法体现测试的全面性。
技术实现思路
为解决上述技术问题，本专利技术提出一种软件安全威胁分析方法与系统以及安全分析终端节点链和威胁分析终端节点链的建立方法。所述软件安全威胁分析系统包括软件加载模块、用户终端节点认证模块、广播模块、软件分发模块、终端完整度分析组件、安全分析终端节点链以及威胁分析终端节点链。安全分析终端节点链和威胁分析终端节点链均连接至终端完整度分析组件，通过终端完整度分析组件，安全分析终端节点链和/或所述威胁分析终端节点链分析通过广播模块接收的所述终端参数确定出加载所述目标软件的用户终端的终端完整度，并反馈给用户终端节点认证模块。本专利技术的技术方案能够基于桌面终端和移动终端互联认证的方式，实现全面的软件安全和威胁分析。具体来说，本申请的技术方案整体上概括如下：在本专利技术的第一个方面，提出一种软件安全威胁分析系统，所述软件安全威胁分析系统包括软件加载模块、软件分发模块、安全分析终端节点链以及威胁分析终端节点链；所述软件加载模块用于加载要进行安全威胁分析的目标软件；所述软件分发模块将所述目标软件分发所述安全分析终端节点链和/或所述威胁分析终端节点链；所述软件安全威胁分析系统还包括用户终端节点认证模块；所述安全分析终端节点链包括多个安全分析节点，每个所述安全分析节点对应一个用户安全分析终端，所述用户安全分析终端是经过所述用户终端节点认证模块认证的桌面终端；所述安全分析终端节点链中的每一个所述安全分析节点对应的用户安全分析终端上均包含至少一个安全分析引擎，不同安全分析终端上的安全分析引擎不完全相同；所述安全分析引擎包括PPDR安全模型、安全质量需求工程SQUARE模型、EAI(EnvironmentApplicationInteractionModel)模型。所述威胁分析终端节点链包括多个威胁分析节点，每个所述威胁分析节点对应一个用户威胁分析终端，所述用户威胁分析终端是经过所述用户终端节点认证模块认证的移动终端；所述威胁分析终端节点链中的每一个所述威胁分析节点对应的用户威胁分析终端上均包含至少一个威胁模拟引擎，不同威胁分析终端上的威胁模拟引擎不同；所述威胁模拟引擎包括Dolev-Yao攻击模型以及基于ATT&CK模型的威胁模拟引擎。所述软件加载模块通过广播模块连接至所述安全分析终端节点链和/或所述威胁分析终端节点链，将加载所述目标软件的用户终端参数广播给所述安全分析终端节点链和/或所述威胁分析终端节点链；所述安全分析终端节点链和所述威胁分析终端节点链均连接至终端完整度分析组件，通过所述终端完整度分析组件，所述安全分析终端节点链和/或所述威胁分析终端节点链分析通过所述广播模块接收的所述终端参数确定出加载所述目标软件的用户终端的终端完整度，并反馈给所述用户终端节点认证模块。所述软件加载模块与所述用户终端节点认证模块连接至多个信息通道接口，用户终端通过所述多个信息通道接口连接至所述软件加载模块与所述用户终端节点。所述多个信息通道接口包括浏览器、H5平台、小程序、APP客户端之一或者其组合。在另一个方面，本专利技术还提出所述软件安全威胁分析方系统中的所述安全分析终端节点链和威胁分析终端节点链的建立方法。所述安全分析终端节点链的建立方法包括如下步骤：在开放式网络社区中发布安全分析合约，所述安全分析合约定义所述安全分析终端节点链的安全认证协议，所述安全认证协议限定所述安全分析终端节点链的安全分析节点的数量范围、终端完整度计算协议以及安全分析节点对应的用户桌面终端环境参数上传的同意设定；将首次响应该安全分析合约的用户桌面终端作为首发安全分析节点加入到所述安全分析终端节点链中；接收用户提交的目标软件的安全分析请求，判断发出所述本文档来自技高网...

【技术保护点】
1.一种软件安全威胁分析系统，所述软件安全威胁分析系统包括软件加载模块、软件分发模块、安全分析终端节点链以及威胁分析终端节点链；/n所述软件加载模块用于加载要进行安全威胁分析的目标软件；/n所述软件分发模块将所述目标软件分发所述安全分析终端节点链和/或所述威胁分析终端节点链；/n其特征在于：/n所述软件安全威胁分析系统还包括用户终端节点认证模块；/n所述安全分析终端节点链包括多个安全分析节点，每个所述安全分析节点对应一个用户安全分析终端，所述用户安全分析终端是经过所述用户终端节点认证模块认证的桌面终端；/n所述安全分析终端节点链中的每一个所述安全分析节点对应的用户安全分析终端上均包含至少一个安全分析引擎，不同安全分析终端上的安全分析引擎不完全相同；/n所述威胁分析终端节点链包括多个威胁分析节点，每个所述威胁分析节点对应一个用户威胁分析终端，所述用户威胁分析终端是经过所述用户终端节点认证模块认证的移动终端；/n所述威胁分析终端节点链中的每一个所述威胁分析节点对应的用户威胁分析终端上均包含至少一个威胁模拟引擎，不同威胁分析终端上的威胁模拟引擎不同；/n所述软件加载模块通过广播模块连接至所述安全分析终端节点链和/或所述威胁分析终端节点链，将加载所述目标软件的用户终端参数广播给所述安全分析终端节点链和/或所述威胁分析终端节点链；/n所述安全分析终端节点链和所述威胁分析终端节点链均连接至终端完整度分析组件，通过所述终端完整度分析组件，所述安全分析终端节点链和/或所述威胁分析终端节点链分析通过所述广播模块接收的所述终端参数确定出加载所述目标软件的用户终端的终端完整度，并反馈给所述用户终端节点认证模块。/n...

【技术特征摘要】
1.一种软件安全威胁分析系统，所述软件安全威胁分析系统包括软件加载模块、软件分发模块、安全分析终端节点链以及威胁分析终端节点链；
所述软件加载模块用于加载要进行安全威胁分析的目标软件；
所述软件分发模块将所述目标软件分发所述安全分析终端节点链和/或所述威胁分析终端节点链；
其特征在于：
所述软件安全威胁分析系统还包括用户终端节点认证模块；
所述安全分析终端节点链包括多个安全分析节点，每个所述安全分析节点对应一个用户安全分析终端，所述用户安全分析终端是经过所述用户终端节点认证模块认证的桌面终端；
所述安全分析终端节点链中的每一个所述安全分析节点对应的用户安全分析终端上均包含至少一个安全分析引擎，不同安全分析终端上的安全分析引擎不完全相同；
所述威胁分析终端节点链包括多个威胁分析节点，每个所述威胁分析节点对应一个用户威胁分析终端，所述用户威胁分析终端是经过所述用户终端节点认证模块认证的移动终端；
所述威胁分析终端节点链中的每一个所述威胁分析节点对应的用户威胁分析终端上均包含至少一个威胁模拟引擎，不同威胁分析终端上的威胁模拟引擎不同；
所述软件加载模块通过广播模块连接至所述安全分析终端节点链和/或所述威胁分析终端节点链，将加载所述目标软件的用户终端参数广播给所述安全分析终端节点链和/或所述威胁分析终端节点链；
所述安全分析终端节点链和所述威胁分析终端节点链均连接至终端完整度分析组件，通过所述终端完整度分析组件，所述安全分析终端节点链和/或所述威胁分析终端节点链分析通过所述广播模块接收的所述终端参数确定出加载所述目标软件的用户终端的终端完整度，并反馈给所述用户终端节点认证模块。


2.如权利要求1所述的一种软件安全威胁分析系统，其特征在于：
所述软件加载模块与所述用户终端节点认证模块连接至多个信息通道接口，用户终端通过所述多个信息通道接口连接至所述软件加载模块与所述用户终端节点。


3.如权利要求2所述的一种软件安全威胁分析系统，其特征在于：
所述多个信息通道接口包括浏览器、H5平台、小程序、APP客户端之一或者其组合。


4.如权利要求1所述的一种软件安全威胁分析系统，其特征在于：
所述安全分析终端节点链中的每一个所述安全分析节点对应的用户安全分析终端上均包含至少一个安全分析引擎，所述安全分析引擎包括PPDR安全模型、安全质量需求工程SQUARE模型、EAI(EnvironmentApplicationInteractionModel)模型。


5.如权利要求1所述的一种软件安全威胁分析系统，其特征在于：
所述威胁分析终端节点链中的每一个所述威胁分析节点对应的用户威胁分析终端上均包含至少一个威胁模拟引擎，不同威胁分析终端上的威胁模拟引擎不同，所述威胁模拟引擎包括Dolev-Yao攻击模型以及基于ATT&CK模型的威胁模拟引擎。


6.一种用于软件安全威胁分析的安全分析终端节点链的建立方法，其特征在于，所述方法包括如下步骤：
在开放式网络社区中发布安全分析合约，所述安全分析合约定义所述安全分析终端节点链的安全认证协议，所述安全认证协议限定所述安全分析终端节点链的安全分析节点的数量范围、终端完整度计算协议以及安全分析节点对应的用户桌面终端环境参数上传的同意设定；
将首次响应该安全分析合约的用户桌面终端作为首发安全分析节点加入到所述安全分析终端节点链中；
接收用户提交的目标软件的安全分析请求，判断发出所述安全分析请求的用户终端是否为已有安全分析节点对应的用户桌面终端；
如果是，则将所述目标软件以及所述安全分析请...

【专利技术属性】
技术研发人员：花鲜美，
申请(专利权)人：厦门力含信息技术服务有限公司，
类型：发明
国别省市：福建;35