| 基于信息熵和攻击面的软件安全度量 |
| |
| 作者姓名: | 张璇 廖鸿志 李彤 徐晶 张倩茹 钱晔 |
| |
| 作者单位: | 1. 云南大学 软件学院, 昆明 650091
2. 云南省软件工程重点实验室(云南大学), 昆明 650091 |
| |
| 基金项目: | 国家自然科学基金资助项目(61262025,61262024);云南省教育厅科学研究基金资助项目(2012Y257);云南省软件工程重点实验室开放基金资助项目(2011SE09) |
| |
| 摘 要: | 对软件实施安全度量是开发安全的软件产品和实施软件安全改进的关键基础。基于Manadhata等(MANADHATA P K, TAN K M C, MAXION R A, et al. An approach to measuring a system's attack surface, CMU-CS-07-146. Pittsburgh: Carnegie Mellon University, 2007; MANADHATA P K, WING J M. An attack surface metric. IEEE Transactions on Software Engineering, 2011, 37(3): 371-386)提出的攻击面方法,结合信息熵理论,提出结合信息熵和攻击面的软件安全度量方法,可以有效地利用信息熵的计算方法对软件攻击面的各项资源进行威胁评估,从而提供具有针对性的威胁指标量化权值。在此基础之上,通过计算软件攻击面各项资源的指标值可以实现软件的安全度量。最后,通过具体的实例分析说明结合信息熵和攻击面的方法可以有效地应用于软件的安全开发过程和软件安全改进过程,为软件的安全设计开发指明可能存在的安全威胁,帮助提早避免软件产品中可能存在的漏洞;而对于已经开发完成待实施安全改进的软件则可以指出明确的改进方向。
|
| 关 键 词: | 攻击面 熵 软件安全度量 软件开发 软件安全改进 |
| 收稿时间: | 2012-08-27 |
| 本文献已被 CNKI 等数据库收录! |
| 点击此处可从《计算机应用》浏览原始摘要信息 |
|
点击此处可从《计算机应用》下载全文 |
|
