1、存在諸多漏洞的低質(zhì)量軟件成為計(jì)算機(jī)安全問題急速增長的主要原因之一。因此,如何在軟件開發(fā)中保證其安全性已經(jīng)成為廣泛關(guān)注的研究問題。為了更加有效地開發(fā)安全可信的軟件,應(yīng)該在軟件開發(fā)生命周期中盡早考慮安全問題。其中,如何通過評(píng)估與測試方法保障軟件安全性成為亟待解決的關(guān)鍵問題。
　　 本文結(jié)合國家自然科學(xué)基金課題“基于攻擊模式的可信軟件的建模、度量與驗(yàn)證”,對(duì)威脅模型驅(qū)動(dòng)的軟件安全評(píng)估與測試方法的關(guān)鍵技術(shù),包括威脅的表示與建模,威脅模型

2、驅(qū)動(dòng)的軟件安全評(píng)估與測試,以及輔助軟件安全評(píng)估與測試的攻擊模式知識(shí)庫,進(jìn)行了深入的研究,主要研究成果包括以下幾個(gè)方面:
　　 (1)研究了威脅表示和建模方法,提出一種統(tǒng)一威脅模型,采用AND／OR樹形式化地表示針對(duì)計(jì)算機(jī)系統(tǒng)的威脅,建模了攻擊者實(shí)現(xiàn)威脅的潛在攻擊方法,奠定了威脅模型驅(qū)動(dòng)的軟件安全評(píng)估與測試方法的基礎(chǔ)。統(tǒng)一威脅模型提供了一種通用的威脅表示法,縮小了功能模型和緩和方案之間的差距,建立起軟件功能和安全之間的橋梁,利于開

3、發(fā)人員和安全人員協(xié)同開發(fā)安全的軟件。
　　 (2)研究了軟件安全評(píng)估技術(shù),提出了一種統(tǒng)一威脅模型驅(qū)動(dòng)的軟件安全評(píng)估方法,從威脅的角度基于攻擊路徑對(duì)軟件安全進(jìn)行定量評(píng)估。實(shí)現(xiàn)了一個(gè)支持該方法原型工具。案例研究表明,該方法能夠盡早地發(fā)現(xiàn)并緩和設(shè)計(jì)層次的漏洞,從而設(shè)計(jì)出能夠防御威脅的安全軟件。相比于傳統(tǒng)的威脅樹模型,統(tǒng)一威脅模型在評(píng)估結(jié)論的準(zhǔn)確性、確定緩和方案的優(yōu)先級(jí)和指導(dǎo)安全測試方面更優(yōu)。
　　 (3)研究了軟件安全測試技術(shù)

4、,提出了一種攻擊場景模型驅(qū)動(dòng)的軟件安全測試方法,通過功能測試以確保軟件的實(shí)際行為符合設(shè)計(jì)的期望,并通過面向威脅的安全測試以確保軟件足夠健壯能夠抵御潛在的攻擊。實(shí)現(xiàn)了兩個(gè)支持該方法的原型工具,并通過實(shí)驗(yàn)驗(yàn)證了所提出的方法的可行性與有效性。
　　 (4)研究了提高軟件安全評(píng)估與測試效率的方法,提出了一種攻擊模式描述語言和攻擊模式復(fù)用技術(shù),將已知的攻擊方法及其相應(yīng)的緩和方案抽象成與特定系統(tǒng)無關(guān)的攻擊模式,構(gòu)建攻擊模式知識(shí)庫,并在建模針