公开(公告)号：CN102073823A

公开(公告)日：2011-05-25

申请号：CN201110046762.1

申请日：2011-02-25

Applicant: 天津大学

Inventor： 柳懿真 ,  李晓红 ,  石红 ,  王翔宇 ,  徐超

IPC: G06F21/00

Abstract: 本发明公开了一种基于缺陷分析的软件可信性评价方法，涉及软件安全领域，包括：以CAPEC为基础构建攻击模型库，增加威胁程度属性，建立攻击模式和软件缺陷之间的多对一映射关系，获取软件缺陷的威胁程度；构建缺陷库；基于形式化语言和传统UML时序图，构建形式化的统一软件模型，根据统一软件模型构建软件安全缺陷知识库；通过定理证明机，发现统一软件模型中潜在的软件安全缺陷；根据分类标准、缺陷库将软件安全缺陷分为安全攸关类缺陷、隐私攸关类缺陷及容错攸关类缺陷；根据缺陷的威胁程度、相应的软件环境指数、以及计算公式计算出三类缺陷的可信量值；结合隐私量化值、容错量化值和用户感受量化值，实现了软件安全缺陷的可信性评估。

公开(公告)号：CN102799834A

公开(公告)日：2012-11-28

申请号：CN201210186363.X

申请日：2012-06-07

Applicant: 天津大学

Inventor： 李晓红 ,  朱明悦 ,  徐超 ,  王鑫 ,  胡昌 ,  柳懿真

IPC: G06F21/22

Abstract: 本发明公开了一种基于系统资产的软件安全需求分析方法，包括：过程一：确立系统资产类别与安全功能组件的对应关系，以及在资产与安全功能组件之间有可能出现的威胁的对应关系，构建安全知识库；进行系统资产、威胁、攻击模式的分类以及建立对应关系，使得能够从系统资产确定所对应的安全组件；过程二：针对具体的系统开发且根据需求人员确定的系统资产，在安全知识库中获得相应的安全功能组件，再由安全需求分析人员考虑具体技术和安全策略进行精化选择，将最终选定的安全功能组件描述成安全概要规范；与现有技术相比，本发明能够使安全知识不足的需求分析人员快速进行安全需求分析，有效地降低分析安全功能需求的难度，降低安全需求开发成本。