基于漏洞分析的软件安全性评估系统研究

作     者：睢辰萌 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：刘云

授予年度：2013年

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：软件安全 安全漏洞 安全性评估 CVSS STRJDE 漏洞生命周期 

摘      要：随着互联网的广泛应用,互联网上的软件安全已经成为近年来倍受关注的问题之一,因此,有必要研究如何保证和评估一个软件的安全。本文首先从分析导致软件不安全的根源问题入手,对软件安全漏洞的根本属性进行了分析,给出了其分类;其次,从安全漏洞的本质和安全属性出发选取了三个角度,基于漏洞分析分别对软件的安全性进行了评估;最后,提出了基于漏洞分析的软件安全性评估系统并进行了系统平台开发与实例验证。 本论文的研究内容和主要工作体现在以下几方面： 1.对国内外软件安全性评估问题进行了概述,分析了安全领域中软件安全性评估研究方法的特点和不足,对现有的安全漏洞分析评估体系加以总结和分析,归纳出软件安全漏洞与软件安全性之间的联系。 2.提出基于STRIDE模型的三层映射建模方法,对软件的整体安全风险进行评估。分别建立STRIDE模型与AINCAA安全目标的映射,安全漏洞与STRIDE模型的映射,AINCAA安全目标与安全漏洞的映射,在三层映射的基础上提出最终的半定量安全评估算法。 3.基于CVSS基本标准群的各个度量指标,本文对软件的安全属性：保密性、完整性和可用性进行了更加具体的量化度量,将VRSS系统中的可利用率公式加以改进,提出基于漏洞分析的软件安全性评估系统SSAS。 4.基于CVSS时间标准群的度量指标,本文引入安全漏洞生命周期的概念,提出安全漏洞攻击密度和难度两大时效指标,最终通过基于信息融合的模糊推理规则计算出安全漏洞在时间维度上的风险。 5.综合基于三个视角的软件安全评估方法设计了基于漏洞分析的软件安全评估系统并进行了功能设计和平台开发,并以智慧地铁系统为实例,进行了测试分析与验证。