【技术实现步骤摘要】
一种威胁建模方法、系统、电子设备及存储介质
[0001]本公开主要涉及软件开发安全
,特别涉及一种威胁建模方法、系统、电子设备及存储介质。
技术介绍
[0002]威胁建模是针对某分析对象可能面临的威胁进行识别、量化和解决的一种结构化方法。在安全开发中,威胁建模通常定义在需求分析和设计阶段,通过建立一个可落地的检查清单和安全基线,在系统的各环节进行风险识别和管理。传统的威胁建模方法是由微软提出的基于面向过程的STRIDE安全威胁模型。STRIDE安全威胁模型基于数据流图(Date Flow Diagram, DFD)来实现,首先通过数据流关系图将系统分解成各个部件,并证明每个部件都不容易受到相关威胁的攻击,然后对部件中识别出来的威胁进行分类。
[0003]不过,传统的威胁建模方法由于流程烦琐、人工投入要求高等缺点,已经逐渐不再适应要求高效且规模越来越大的软件开发现状。传统的威胁建模方法依赖于准确地绘制数据流图,这是一种过重的建模方法,需要耗费大量的时间和精力,尤其是当构建一个复杂系统时,图会很复杂,绘制图表会变得...
【技术保护点】
【技术特征摘要】
1.一种威胁建模方法,其特征在于,包括以下步骤:获取并解析业务文档,识别一个或多个功能要素;从知识库中获取与所述一个或多个功能要素对应的目标数据流图;基于所述知识库确定所述目标数据流图中的安全敏感组件和/或数据流;确定与所述安全敏感组件和/或数据流关联的安全威胁与消减措施,基于所述安全敏感组件和/或数据流以及与所述安全敏感组件和/或数据流关联的安全威胁与消减措施生成业务威胁模型。2.根据权利要求1所述的威胁建模方法,其特征在于,所述获取并解析业务文档,识别一个或多个功能要素,包括以下步骤:对获取到的业务文档进行预处理;将预处理后的所述业务文档输入预先构建的命名实体识别模型,根据所述命名实体识别模型的输出结果,确定一个或多个功能要素;其中,所述命名实体识别模型是根据带标注的业务文档样本数据集训练得到的。3.根据权利要求2所述的威胁建模方法,其特征在于,所述命名实体识别模型的训练方法包括以下步骤:对业务文档样本数据进行预处理,获得带标注的业务文档样本数据集;基于BiLSTM
‑
CRF结构构建命名实体识别初始模型;利用所述带标注的业务文档样本数据集对所述命名实体识别初始模型进行训练,获得满足训练结束条件的命名实体识别模型。4.根据权利要求2所述的威胁建模方法,其特征在于,所述命名实体识别模型的输出结果包括角色、操作、操作对象中的至少一种命名实体类型以及属于所述命名实体类型的至少一个命名实体实例,将所有的所述命名实体实例确定为功能要素。5.根据权利要求1所述的威胁建模方法,其特征在于,所述知识库中预先存储有多个原子场景、与每一所述原子场景关联的多个功能要素和与每一所述原子场景一一对应的数据流图,所述从知识库中获取与所述一个或多个功能要素对应的目标数据流图,包括以下步骤:从所述知识库中匹配与所述...
【专利技术属性】
技术研发人员:张涛,周幸,谭博迈,杜玉洁,
申请(专利权)人:北京安普诺信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。