位置:成果数据库 > 期刊 > 期刊详情页
基于信息熵和攻击面的软件安全度量
  • ISSN号:1001-9081
  • 期刊名称:《计算机应用》
  • 时间:0
  • 分类:TP309[自动化与计算机技术—计算机系统结构;自动化与计算机技术—计算机科学与技术] TP311.522[自动化与计算机技术—计算机软件与理论;自动化与计算机技术—计算机科学与技术]
  • 作者机构:[1]云南大学软件学院,昆明650091, [2]云南省软件工程重点实验室(云南大学),昆明650091
  • 相关基金:国家自然科学基金资助项目(61262025,61262024);云南省教育厅科学研究基金资助项目(2012Y257);云南省软件工程重点实验室开放基金资助项目(2011SE09).
作者: 张璇[1,2], 廖鸿志[1,2], 李彤[1,2], 徐晶[1], 张倩茹[1], 钱晔[1]
关键词: 攻击面, 熵, 软件安全度量, 软件开发, 软件安全改进, attack surface, entropy, software security measurement, software development, improvement of software security
中文摘要:

对软件实施安全度量是开发安全的软件产品和实施软件安全改进的关键基砒基于Manadhata等( MANADHATA P K, TAN K M C, MAXION R A, et al. An approach to measuring a system's attack surface, CMU-CS-07- 146. Pittsburgh: Carnegie Mellon University, 2007; MANADHATA P K, WING J M. An attack surface metric. IEEE Transactions on Software Engineering, 2011,37 ( 3 ) : 371 - 386 ) 提出的攻击面方法,结合信息熵理论,提出结合信息熵和攻击面的软件安全度量方法,可以有效地利用信息熵的计算方法对软件攻击面的各项资源进行威胁评估,从而提供具有针对性的威胁指标量化权值。在此基础之上,通过计算软件攻击面各项资源的指标值可以实现软件的安全度量。最后,通过具体的实例分析说明结合信息熵和攻击面的方法可以有效地应用于软件的安全开发过程和软件安全改进过程,为软件的安全设计开发指明可能存在的安全威胁,帮助提早避免软件产品中可能存在的漏洞;而对于已经开发完成待实施安全改进的软件则可以指出明确的改进方向。

英文摘要:

Software security measurement is critical to the development of software and improvement of software security. Based on the entropy and attack surface proposed by Manadhata et al. ( MANADHATA P K, TAN K M C, MAXION R A, et al. An approach to measuring a system's attack surface, CMU-CS-07-146. Pittsburgh: Carnegie Mellon University, 2007; MANADHATA P K, WING J M. An attack surface metric. IEEE Transactions on Software Engineering, 2011, 37(3) : 371 - 386), a method of software security measurement was used to assess the threat of the software's resources and provide the threat weight of these resources. Based on the threat weight, the attack surface metric was calculated for determining whether a software product is secure in design, or in what aspect the software product can be improved. The method is demonstrated in a case to show that, when using the method, the probable security threats can be found as early as possible to prevent from producing the software products that may have vulnerabilities, and the directions for the improvement of software security are pointed out clearly.

同期刊论文项目
支持演化的可信软件过程研究
期刊论文 9
软件演化过程的行为验证研究
期刊论文 17
同项目期刊论文
基于EPMM的软件过程性质合理性研究
面向软件即服务的负载均衡策略建模与分析
P2P文件共享系统中面向协商的激励机制
对等网络中高频访问区域的发现算法
基于区域资源聚集的P2P检索策略
基于协同过滤的可信Web服务推荐方法
业务过程协同中数据恢复策略建模及分析
跨组织业务过程协同多视图模型
可信软件非功能需求形式化表示与可满足分析
基于贝叶斯网络的移动支付风险评估模型
一种软件特征定位研究结果的评估方法
利用RNNLM面向主题的特征定位方法
面向软件非功能需求的软件过程建模方法
基于面向方面Petri网的业务流程改进方法研究
P2P信任模型中资源利用平衡策略
访问兴趣相似性P2P网络模型
基于EPMM的软件过程性质合理性研究
基于协同过滤的可信Web服务推荐方法
可信软件非功能需求形式化表示与可满足分析
基于贝叶斯网络的移动支付风险评估模型
基于CS-ANN的软件缺陷预测模型研究
软件非功能需求权衡代价
面向软件非功能需求的软件过程建模方法
基于面向方面Petri网的业务流程改进方法研究
期刊信息
  • 《计算机应用》
  • 北大核心期刊(2011版)
  • 主管单位:四川省科学技术协会
  • 主办单位:四川省计算机学会中国科学院成都分院
  • 主编:张景中
  • 地址:成都市人民南路四段九号科分院计算所
  • 邮编:610041
  • 邮箱:xzh@joca.cn
  • 电话:028-85224283
  • 国际标准刊号:ISSN:1001-9081
  • 国内统一刊号:ISSN:51-1307/TP
  • 邮发代号:62-110
  • 获奖情况:
  • 全国优秀科技期刊一等奖,国家期刊奖提名奖,中国期刊方阵双奖期刊,中文核心期刊,中国科技核心期刊
  • 国内外数据库收录:
  • 俄罗斯文摘杂志,波兰哥白尼索引,美国剑桥科学文摘,英国科学文摘数据库,日本日本科学技术振兴机构数据库,中国中国科技核心期刊,中国北大核心期刊(2004版),中国北大核心期刊(2008版),中国北大核心期刊(2011版),中国北大核心期刊(2014版),中国北大核心期刊(2000版)
  • 被引量:53679