基于安全缺陷知識(shí)庫(kù)的系統(tǒng)漏洞檢測(cè)工具的設(shè)計(jì)及實(shí)現(xiàn).pdf

1、安全軟件工程是對(duì)軟件工程的發(fā)展，它是對(duì)怎樣構(gòu)建安全的軟件給出了一定的方法和規(guī)范，這需要搭建一個(gè)安全的軟件集成開(kāi)發(fā)環(huán)境，對(duì)軟件開(kāi)發(fā)流程的各個(gè)階段給予安全支持。本文研究軟件系統(tǒng)需求和設(shè)計(jì)階段系統(tǒng)漏洞檢測(cè)方法和工具的實(shí)現(xiàn)。
　　 對(duì)系統(tǒng)的漏洞檢測(cè)基于UML，總體上可以分為兩個(gè)大的部分，一是需求階段漏洞檢測(cè)，一是設(shè)計(jì)階段漏洞檢測(cè)。
　　 需求階段的漏洞檢測(cè)主要是對(duì)用戶繪制出的用例圖進(jìn)行檢測(cè)。首先需要對(duì)argouml工具進(jìn)行擴(kuò)展，

2、使之能夠識(shí)別新添加的誤用例，緩和用例，威脅關(guān)系和緩和關(guān)系。通過(guò)對(duì)用例圖的掃描收集到用例信息，和已建成的缺陷知識(shí)庫(kù)中的誤用例進(jìn)行連接，檢查用例圖中的用例是否有被誤用例攻擊的可能，然后把相關(guān)的誤用例和緩和用例添加到該用例圖中，最后再用argouml工具讀取這個(gè)生成的用例圖，為用戶生成一副帶有完整誤用例信息和緩和用例信息的圖。
　　 設(shè)計(jì)階段的漏洞檢測(cè)主要是對(duì)用戶繪制的順序圖進(jìn)行檢測(cè)。順序圖描述了對(duì)象之間消息的傳送，表示用例中的行為順

3、序。通過(guò)對(duì)順序圖的掃描收集到對(duì)象和消息信息，并將這些信息建模成有限狀態(tài)自動(dòng)機(jī)，然后提取出其中所有的路徑，和已建立好的缺陷知識(shí)庫(kù)中的攻擊模式庫(kù)進(jìn)行連接，檢查是否有攻擊路徑存在，如果有，給出提示信息。為了更好的和缺陷知識(shí)庫(kù)中的攻擊模式庫(kù)進(jìn)行匹配，需要擴(kuò)展argouml工具，使之能夠添加和提取對(duì)象的組件信息和消息的事件信息。這是為了從更高的抽象層提取出路徑信息。
　　 系統(tǒng)漏洞檢測(cè)工具可以用來(lái)檢測(cè)需求和設(shè)計(jì)中潛在的安全漏洞，以便盡早的