【技术实现步骤摘要】
本专利技术涉及软件安全
,特别是涉及一种基于统一威胁模型的安全软件的开发方法。
技术介绍
随着互联网和各种基于互联网的计算机应用的飞速发展,人们越来越依赖于作为这些应用载体的软件,对软件安全的关注也越来越高。但是,软件安全的状况不能令人满意。软件经常被攻击,导致计算机安全事故层出不穷,造成了严重的经济损失和信誉损失。因此,如何在软件的开发中保证其安全性,提高软件安全评估与测试效率,对于可信软件的开发具有重要意义。在软件安全的研究过程中,很多专家已经给出了软件安全开发的范式,基于攻击模式的软件安全性检测也有研究,其目的是构建安全知识库,以辅助开发人员分析软件的 安全性,并给出相应的缓和策略。但是基于结构和半结构化描述攻击模式,更好的检测软件系统的安全性与完备性,同时辅助软件安全评估与测试,这样的方法并不多见。
技术实现思路
基于上述现有技术存在的问题,本专利技术提出了一种基,以形式化方法描述攻击模式,将已知的、经常发生的攻击及其缓和方案抽象成与特定系统无关的攻击模式,并构建攻击模式知识库;在建模威胁模型时,通过攻击模式匹配、修改、和实例化的步骤实现了攻击模式的复...
【技术保护点】
一种软件安全开发中的可复用攻击模式的建立方法,其特征在于,该建立方法包括以下步骤:步骤一,构建攻击模式知识库,对攻击模式进行抽象,即剔除与特定系统相关的细节信息后,将针对系统的已知的、经常发生的攻击方法及其相应的缓和方案抽象成泛化形式,使其能够与多种系统相匹配,然后存入数据库;步骤二,在建模针对系统的威胁时,从不同的系统中搜索并匹配应用这些抽象攻击方法的各种条件;步骤三,根据匹配结果对抽象的攻击方法及其相应的缓和方案进行调整和修改;步骤四,将抽象的攻击方法及其相应的缓和方案实例化,应用到针对具体系统的威胁建模过程,完成攻击模式的复用。
【技术特征摘要】
【专利技术属性】
技术研发人员:李晓红,闫璐,何可,冯志勇,许光全,胡静,
申请(专利权)人:天津大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。