共查询到19条相似文献,搜索用时 703 毫秒
1.
一种Web应用软件安全脆弱性测试模型 总被引:2,自引:0,他引:2
研究使用错误注入的方法进行web应用软件脆弱性测试的技术,提出环境与状态错误模型(EAS模型),并提出基于EAS模型的web应用软件安全性测试方法.使用EAS模型对来自OWASP的漏洞数据库进行了分类,并与使用EAI模型分类的结果做了对比.使用EAS模型测试了WEB应用软件PEGames,发现了其中的6个漏洞.实验表明,EAS模型具有良好的漏洞覆盖能力和漏洞揭示能力. 相似文献
2.
一种采用接口错误注入的构件安全性测试方法 总被引:3,自引:0,他引:3
构件特别是第三方构件的安全性是影响构件技术发展的重要因素.当前甚少将构件安全性问题作为一个专门的课题来研究,也没有确实可行的方法和技术用来检测构件安全漏洞.构件的安全性问题仍然没有得到较好的解决.提出一种基于接口错误注入的构件安全性测试方法.方法首先给出构件脆弱性错误注入算子、断言规则库及其脆弱因子,然后基于错误注入算子和断言规则库给出一种构件安全测试算法.算法根据错误注入算子有针对性地产生测试用例并执行测试,动态监测机制能实时监测构件运行状态及异常信息.算法根据断言规则库、脆弱性因子及异常信息给出构件安全异常报告及构件安全等级.最后在一集成测试平台中实现了该方法,同时做了大量实验,并和FUZZ法进行了对比分析.实验结果表明所提出的测试方法可操作性强,且对构件脆弱性具有较好的检测效果. 相似文献
3.
4.
联邦式脆弱性信息系统访问控制模型研究 总被引:1,自引:0,他引:1
深入分析脆弱性信息系统研究现状,指出现有脆弱性信息系统访问控制机制的不足之处。在分析联邦式系统特点的基础上,提出一种适用于联邦式脆弱性信息系统的访问控制模型,并介绍其实现技术要点。 相似文献
5.
6.
软错误会导致隐性偏差,严重影响计算机系统的可靠性。计算程序脆弱性指数是防护隐性偏差的先决条件。针对传统方法中程序语义提取不足,无法全面反映错误传播机理的问题,提出了一种基于图注意力网络的程序脆弱性指数评估方法EpicGNN。将脆弱性指数预测的任务转换为图神经网络的图回归任务,应用不同类型的边来表示不同的指令关系;引入结构化多头自注意力机制量化节点间、节点到图在错误传播中的重要程度;依据该重要性聚合节点信息、图信息形成图的表示向量,并利用回归模型预测脆弱性指数。实验结果表明,EpicGNN在spec2000、spec2006、rodinia等数据集上的平均绝对误差相比现有模型减少了0.037~0.258,对未见过的图仍然有良好的泛化性能。 相似文献
7.
实施企业脆弱性管理是消除脆弱性、提高安全性的有效途径。提出了企业脆弱性管理的一种实现模型,介绍了模型的各个功能模块和处理流程。 相似文献
8.
一种构件安全测试错误注入模型 总被引:3,自引:0,他引:3
构件特别是第三方构件的可靠性及安全性是影响构件技术发展的重要因素之一.目前在构件安全漏洞的测试方法和技术方面研究还不够深入.提出了一种构件安全测试错误注入模型FIM(faultinjection model of component security testing),并对FIM模型的相关定义及其矩阵形式进行了详细阐述,同时基于FIM模型给出了一种错误注入测试用例生成算法TGSM(test-case generating based onsolution matrix).TGSM算法根据矩阵形式的FIM模型生成满足K因素覆盖的解矩阵,解矩阵的所有行数据组成了错误注入测试用例.在研究项目CSTS(component security testing system)中实现了FIM模型,实验结果表明FIM生成的三因素覆盖错误注入测试用例效果显著,能用适当的测试用例触发绝大部分构件安全异常.FIM模型具有较好的可操作性及可用性. 相似文献
9.
本文研究了支持规则推理的神经网络模型,表明通常执行的推理与符号系统在方法上确实相似,只是它们对常识推理提供了更多的方法。CONSYDERR是一种支持常识推理的连接结构,其目的是给出常识推理的一种模型,并纠正传统规则系统中的脆弱性问题。本项工作表明,推理的连接模型不仅实现了符号推理,而且是一种更好的常识推理的计算模型。 相似文献
10.
11.
12.
13.
14.
15.
谢巧玲 《计算机测量与控制》2017,25(8):5-7, 19
在开放网络环境下软件容易受到攻击,导致软件故障,需要进行安全性测试,针对无监督类测试方法开销较大和复杂度较高的问题,提出一种基于半监督自适应学习算法的软件安全性测试方法;首先采用模糊度量原理构建软件安全测试的半监督学习数学模型,分析软件产生安全性故障的数组特征,然后通过软件故障的熵特征分布方法进行软件的可靠性度量,在开放式网络环境下建立软件可靠性云决策模型,实现安全性测试和故障定位;最后通过仿真实验进行性能验证,结果表明,采用该方法进行软件安全性测试,对软件故障定位的准确度较高,测试的实时性较好,保障了软件的安全可靠运行。 相似文献
16.
The key technology that the author would like to see adopted by the masses is a family of software fault injection algorithms that can predict where to concentrate testing. From a novelty standpoint, these algorithms were (and still are) unique among other methods of performing fault injection. The author concedes that the algorithms are computational, but the results can provide unequaled information about how “bad things” propagate through systems. Because of that, he thinks fault injection methods are valuable to anyone responsible for software quality, including those working in one-person independent software vendors (ISVs) or even the largest corporations 相似文献
17.
18.
基于嵌入式软件实时运行和测试的仿真环境的研究与设计 总被引:4,自引:0,他引:4
测试环境在嵌入式软件测试过程中起着重要作用,一些软件测试人员拥有好的测试软件,却苦于没有好的测试环境来支持。该文提出了一种基于嵌入式软件实时运行的通用仿真测试环境。在测试过程中,主要应用于系统测试,适用于一般嵌入式软件和容错软件的实时测试。采用了总线上的故障注入和数据采集方法。环境的实现利用了现代微机的高性能、多任务多线程,以及FPGA、PCI等技术。 相似文献
19.
Finding security vulnerabilities requires a different mindset than finding general faults in software—thinking like an attacker. Therefore, security engineers looking to prioritize security inspection and testing efforts may be better served by a prediction model that indicates security vulnerabilities rather than faults. At the same time, faults and vulnerabilities have commonalities that may allow development teams to use traditional fault prediction models and metrics for vulnerability prediction. The goal of our study is to determine whether fault prediction models can be used for vulnerability prediction or if specialized vulnerability prediction models should be developed when both models are built with traditional metrics of complexity, code churn, and fault history. We have performed an empirical study on a widely-used, large open source project, the Mozilla Firefox web browser, where 21% of the source code files have faults and only 3% of the files have vulnerabilities. Both the fault prediction model and the vulnerability prediction model provide similar ability in vulnerability prediction across a wide range of classification thresholds. For example, the fault prediction model provided recall of 83% and precision of 11% at classification threshold 0.6 and the vulnerability prediction model provided recall of 83% and precision of 12% at classification threshold 0.5. Our results suggest that fault prediction models based upon traditional metrics can substitute for specialized vulnerability prediction models. However, both fault prediction and vulnerability prediction models require significant improvement to reduce false positives while providing high recall. 相似文献