学位论文 > 优秀研究生学位论文题录展示

安全软件开发环境中安全测试工具的设计与实现

作 者: 陈永慈
导 师: 李晓红
学 校: 天津大学
专 业: 计算机应用技术
关键词: 安全测试 攻击模式 代码植入 路径匹配
分类号: TP311.52
类 型: 硕士论文
年 份: 2008年
下 载: 104次
引 用: 0次
阅 读: 论文下载
 

内容摘要


为了满足软件对安全性和可靠性越来越高的需求,微软提出了可信计算的理念,并通过在传统软件开发生命周期的各个阶段增加一系列的针对安全的关注和改进,提出了安全开发生命周期,形成遵照这一软件开发流程的安全软件工程。针对该开发流程的测试阶段,本文研究了如何提供一个自动化或者半自动化的安全测试工具,用来检测程序中潜在的安全漏洞。本文基于现有的安全软件测试方法,提出一种基于攻击模式的软件安全测试方法。首先,基于UML顺序图对攻击模式进行建模,从模型中提取攻击路径并获取攻击路径的相关特征,依据特征确定在程序执行时哪些信息需要被收集,同时进行代码植入。其次,生成随机测试数据,由数据驱动植入代码后的程序执行,并记录程序运行时的执行路径。最后,将攻击路径和执行路径进行匹配,根据匹配结果报告存在的安全漏洞,并进一步提供相应的缓和策略。在此之上,本文设计并实现了一个安全测试工具,功能模块包括攻击路径模块,自动代码植入模块和测试执行及路径匹配模块。该工具用Eclipse开发平台上的插件技术实现,并进一步集成到整个安全软件开发环境中。该安全测试工具给测试人员提供了相对自动化的工具支持,降低了安全测试对测试人员的技术与经验的依赖,提高了开发速度。将其作为安全软件开发环境中的一部分,为构建安全可靠的软件起到了很好的作用。

全文目录


摘要  3-4
ABSTRACT  4-7
第一章 绪论  7-9
  1.1 课题背景  7-8
  1.2 课题内容及创新点  8
  1.3 论文结构安排  8-9
第二章 文献综述  9-20
  2.1 安全软件开发环境  9-12
    2.1.1 安全需求分析工具  10
    2.1.2 安全设计工具  10-11
    2.1.3 安全编码支持工具  11
    2.1.4 安全测试工具  11-12
    2.1.5 安全发布和维护工具  12
  2.2 软件安全测试  12-18
    2.2.1 模糊测试  12-13
    2.2.2 渗透测试  13-15
    2.2.3 基于环境扰乱的安全测试  15-17
    2.2.4 基于模型的安全测试  17-18
  2.3 攻击模式  18-20
第三章 安全测试工具的总体设计  20-34
  3.1 安全测试工具的整体架构  20-21
  3.2 攻击路径模块的设计  21-26
    3.2.1 攻击模式顺序图建模  21-23
    3.2.2 攻击路径  23-26
  3.3 代码植入模块的设计  26-28
    3.3.1 代码植入的概念  26-27
    3.3.2 代码植入的配置  27
    3.3.3 代码植入的自动执行  27-28
  3.4 测试执行及路径匹配模块的设计  28-34
    3.4.1 测试数据  28-30
    3.4.2 路径匹配  30-32
    3.4.3 测试结果  32-34
第四章 安全测试工具的实现  34-52
  4.1 攻击路径模块的实现  34-38
    4.1.1 基于ArgoUML的顺序图建模工具模块的实现  34-35
    4.1.2 攻击路径提取的实现  35-38
  4.2 代码植入模块的实现  38-43
    4.2.1 代码植入配置及UI的实现  39-40
    4.2.2 源代码备份及恢复的实现  40
    4.2.3 自动植入代码的实现  40-43
  4.3 测试执行模块的实现  43-52
    4.3.1 生成测试数据的实现  43-47
    4.3.2 执行路径匹配的实现  47-49
    4.3.3 返回测试结果的实现  49-52
第五章 总结与展望  52-54
  5.1 总结  52
  5.2 展望  52-54
参考文献  54-57
发表论文和参加科研情况说明  57-58
致谢  58

相似论文

  1. 内蒙古中小学考试系统的设计与实现,TP311.52
  2. 基于动态污点分析的状态协议实现软件模糊测试方法研究,TP311.52
  3. 基于WINCE的主机安全测试系统设计与关键技术研究,TP309
  4. C程序进化测试中的适值计算问题研究,TP311.53
  5. 基于攻击图的网络脆弱性分析技术研究,TP393.08
  6. 基于攻击模式的攻击图生成技术研究,TP393.08
  7. 无线网络结构分析与安全测试技术,TP393.08
  8. 基于代码植入技术的嵌入式软件测试,TP311.52
  9. WEB应用安全测试评估系统的研究与实现,TP393.08
  10. 基于刻面分类的软件构件检索的研究,TP393.07
  11. 基于契约和代码植入的协议测试技术研究,TP311.52
  12. 基于程序分析的软件安全漏洞检测技术研究,TP311.52
  13. 局域网隐蔽取证系统的若干关键技术研究,TP393.1
  14. XML数据管理中的结构查询技术研究,TP311.52
  15. 网络安全管理系统的测试管理方案与测试技术研究,TP311.52
  16. 基于静态源码分析的多线程死锁检测方法研究,TP311.53
  17. 基于安全契约的测试方法及其实现,TP311.52
  18. 敏捷软件开发中软件测试的研究与实施,TP311.52
  19. SIP协议安全性测试研究与实现,TN915.04
  20. 入侵检测系统研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 程序设计、软件工程 > 软件工程 > 软件开发
© 2012 www.xueweilunwen.com