专利名称:基于攻击模式的软件安全缺陷库系统及其管理方法
技术领域:
本发明涉及一种软件构建方法,特别是涉及一种在软件开发周期中,基于攻击模式 的软件安全缺陷发现及解决方法。
背景技术:
随着互联网的普及以及对软件安全可信方面要求的提高,软件缺陷导致软件的开发 现状不能令人满意。软件缺陷是软件工作产品中不满足指定要求的成分,是造成软件故 障乃至失效的内在原因。它的产生贯穿于整个软件项目开发生命周期,要从根本上降低 安全可信软件的开发成本,提高所开发软件的可靠性,就必须在需求、设计等早期阶段 即关注该类软件缺陷问题和性质。攻击模式描述外部攻击者对系统实施攻击的行为过 程,其针对的目标与系统缺陷存在对应关系,而软件缺陷是软件内在的安全隐患问题, 是由软件开发、部署、使用过程中的不当处理产生的。目前,关于软件可信与安全的研 究主要有三个角度1)从软件开发者的角度,研究软件安全工程方法学;2)从攻击者 的角度,研究发现新的攻击方法,如何应用和防御这些攻击方法;3)从软件本身,研 究软件自身缺陷的发现、管理和使用。
从软件系统的观点看,软件安全问题是隐藏在其内部的软件缺陷和来自系统外部的 攻击相互作用的产物。当前国内外的研究大都孤立地从上述两个单方面开展研究,没有 系统地结合攻击者、软件缺陷及软件开发过程三者之间的相互关系和相互影响,因而不 能很好地结合系统攻击模式,对软件缺陷的分类和管理所带来的软件安全问题。
综上所述,本发明试图解决的核心问题包括从攻击模式到软件缺陷及缓和方案的 对应关系;从软件开发生命周期的视野看待攻击方法模式和软件缺陷,确立软件缺陷分 类和管理体系,提供必要的知识库和管理工具;以及如何建立完善的软件缺陷分类和管 理体系来保障软件质量管理的策划和实施、软件缺陷的跟踪和管理、软件质量目标的设 定和实现、软件过程能力基线的创建和优化的问题。
发明内容
鉴于上述技术问题,本发明提出了一种基于攻击模式的软件安全缺陷数据库系统 机器管理方法,在包括需求分析、设计和编码等阶段的软件开发周期内,结合对攻击 模式的解析,通过构建软件安全缺陷库,实现软件缺陷的自动发现、分类和管理。
本发明提出了一种基于攻击模式的软件安全缺陷数据库系统机器管理方法,包括 安全缺陷数据库的构建单元和管理单元以及安全缺陷本体,所述安全缺陷数据库的 构建单元包括建立从攻击模式到软件缺陷结构的映射;建立从攻击模式与安全缺陷 的映射还包括安全缺陷与对应缓和方案的映射,并将以上两个映射构建成统一的模 型;
安全缺陷数据库的管理单元包括安全缺陷信息收集、分类两个模块,信息收集 基于WEB主题挖掘技术,缺陷分类基于本体技术;其中
信息收集模块,通过管理员接口指定初始URL描述抓取列表,并在聚焦爬虫抓 取列表的过程中计算网页关联度并选择URL,以丰富抓取列表;通过网页选择器选 择页面存储,并建立索引;
分类模块,根据从攻击模式抽象出的安全缺陷,建立安全缺陷本体,用于判定 缺陷类别,实现关键字匹配的功能,设定判定一个新缺陷的标准为计算当前缺陷 与已存在分类的相似度,当相似度均低于阈值时,在库中新建分类,否则选择相似 度最高的分类作为新增的安全缺陷所属类;该阈值的取值范围是0.2-0.5;
对上述两个模块获得的安全缺陷信息,采用文本分析技术进一步从中提取软件 安全缺陷,并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判 定缺陷类别,并添加新类或添加新项。
所述从攻击模式到软件缺陷结构的映射,是指攻击模式行为序列与缺陷结构的映 射,其中缺陷结构包括缺陷标识、前置/后置条件、缺陷的层次。
所述缓和方案作为总体的缓和方案,被分解为若干独立可重复的个体缓和,并且 建立成可重用的缓和方案库。
所述攻击模式取自安全编码阶段的攻击模式库,该攻击模式库利用系统漏洞检 测工具获得;所述安全缺陷取自软件安全设计阶段的缓和方案库或误用例库,该缓 和方案库分别利用威胁建模工具或安全需求分析工具获得、该误用例库利用安全需 求分析工具获得;所述缓和方案取自安全设计阶段的安全缺陷库,软件安全设计阶 段的安全缺陷库利用威胁建模工具获得。将上述三个阶段,即安全需求分析阶段、安全设计阶段以及安全编码阶段所提 供的辅助工具集封装为服务接口,即安全需求工具接口、安全设计工具接口和安全 编码工具接口中,并以UDDI形式封装隐藏内部实现,用户使用时,根据不同需要, 可通过远程接口调用的方式直接调用所需服务接口 。
所述安全缺陷本体包括建立一系列匹配规则、建立对应权值、建立阈值用于判定 是否添加一个新的缺陷类。
所述安全缺陷数据库进行封装后,基于web服务接口进行发布。
本发明还提出了基于攻击模式的软件安全缺陷数据库系统的安全缺陷数据库管 理方法,该方法包括以下步骤
安全缺陷数据库的管理单元包括安全缺陷信息收集、分类两个模块,信息收集, 缺陷分类基于本体技术;其中
基于WEB主题挖掘技术的安全缺陷信息收集操作通过管理员接口指定初始
URL描述抓取列表,并在聚焦爬虫抓取列表的过程中计算网页关联度并选择URL, 以丰富抓取列表;通过网页选择器选择页面存储,并建立索引;
基于缺陷分类本体技术的安全缺陷分类操作根据从攻击模式抽象出的安全缺 陷,建立安全缺陷本体,用于判定缺陷类别,实现关键字匹配的功能,设定判定一 个新缺陷的标准为计算当前缺陷与已存在分类的相似度,当相似度均低于阈值时, 在库中新建分类,否则选择相似度最高的分类作为新增的安全缺陷所属类。
对上述两个操作获得的安全缺陷信息,采用文本分析技术进一步从中提取软件 安全缺陷,并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判 定缺陷类别,并添加新类或新项。
与现有技术相比,本发明同时结合外界的攻击模式分析以及面向安全软件开发 周期来构建安全性缺陷数据库模型,以降低软件产品安全缺陷,提高软件质量,从 而满足不同阶段对软件安全缺陷实例的不同需求,可用于支持安全性缺陷模型的数 据服务,本发明所带来的积极效果包括
1、 提出安全性缺陷数据库的构建方法,用于指导安全性缺陷数据库的构建。用 户可根据该方法构建符合自己需求的特色缺陷数据库,提高工作效率,减少人力、 财力资源消耗;
2、 提出基于攻击模式的缺陷分类方法,从新的视角研究缺陷分类的技术依据,
6从而丰富缺陷模型领域的研究。同时利用本体技术丰富缺陷语义信息,提高了缺陷 分类技术的精确性,使得对新项的入库操作效率更高;
3、开发了将安全性缺陷数据库应用于软件需求分析、设计和编码辅助工具集, 并在后期通过web服务服务技术对数据库进行封装,为用户提供接口实现査询、更 新、维护等操作,提高了用户的商务效率。
图1为本发明的基于攻击模式的软件安全缺陷库系统的总体结构图2为本发明的基于攻击模式的软件安全缺陷系统的安全缺陷数据库管理模块图。
具体实施例方式
对缺陷进行有效的分类与管理有利于提高软件项目管理水平和质量。通过建立安全 缺陷库来动态搜集和管理软件缺陷,为软件缺陷的存储、分类和管理提供了有利的空间。 为了实现这个目标,需要制定针对安全软件缺陷库的缺陷分类方法。分类的目的是对软 件缺陷进行度量和分析软件缺陷产生的过程原因、改进软件过程、预防软件缺陷、改进 软件质量、提高组织的软件开发能力的成熟度。
本发明的设计思路包括
1) 研究攻击模式和软件缺陷的分类体系,归纳从攻击模式到软件缺陷结构的映 射关系,给出一种形式化的安全软件工程开发方法学。
2) 提出一个安全性缺陷数据库的构建方法,基于语义网技术,设计并实现一个 包括攻击模式库、误用例库、安全性缺陷库、缓和方案库等的软件安全开发案例知 识库。
3) 基于互联网技术,研究新的攻击模式和缺陷的自动发现、识别、分类方法, 以及缺陷的分级机制和缺陷数据库的主动更新机制,开发相应的工具集,通过web 挖掘从网络上自动的捕获新的安全缺陷,以自动化的方式实现快速有效的对数据库 的内容进行丰富。—
4) 开发一个基于缺陷数据库的辅助软件开发工具集,具备软件缺陷的搜索过滤 和选择替换等功能,辅助在软件开发过程中寻找安全漏洞并推荐缓和方案,以便在 软件开发的早期即发现安全隐患,并给出合理的解决方案。本发明的安全缺陷分类采用正交缺陷分类方法,该方法总结在软件开发过程中不同 软件缺陷出现的频度,分析缺陷数据对各阶段的主要缺陷类型所占比例并进行统计,可 以明显地观察出各种缺陷类型在连续阶段的变化趋势。将每种缺陷类型的实际分布情况 与理想分布模型进行对比,可以清楚地知道缺陷类型的实际分布是否存在异常趋势。这 种反馈对开发过程是非常必要的,在异常趋势刚出现时及时停止过程,解决过程中的问 题,从而节约成本、降低风险。
对缺陷进行管理的最终目标是最大限度地减少缺陷的出现率,从而提高软件产品 的质量。备忘是一个缺陷管理系统最基本的作用。缺陷的产生、变更需及时通知相关人 员,使其能随时查询不同状况的缺陷数据。项目管理者应该能够及时全面了解目前的项 目状况,监控并调整缺陷数据。进行缺陷管理的目的,即通过收集缺陷、分析和统计缺 陷、排除缺陷以及预防缺陷等步骤达到有效地减少软件产品的缺陷数。对已收集到的缺 陷进行统计分析,总结缺陷出现的原因,以达到预防的目的。要实现这个目的,必须要 有进行定量分析的缺陷源,这就决定必须对发现的每个缺陷进行管理。
本发明的总体结构如图1所示,包括安全缺陷数据库的构建单元IO和管理单元 20、以及安全缺陷本体30:
1、安全缺陷数据库的构建单元10
该单元包括建立从攻击模式到软件缺陷结构的映射,包括攻击模式101与安全 缺陷102的映射,即攻击模式行为序列与缺陷结构(如缺陷标识,前置后置条件, 缺陷的层次)的映射,还包括安全缺陷102与对应缓和方案103的映射,缓和方案 103作为总体的缓和方案,被分解为若干独立可重复的个体缓和,并且建立成可重用 的缓和方案库。在此基础上,统一这两个映射,构建统一的模型。
上述攻击模式101取自安全编码阶段IIO的攻击模式库107,该攻击模式库107 利用系统漏洞检测工具获得;上述安全缺陷102取自软件安全设计阶段109的缓和 方案库105或误用例库104,该缓和方案库105分别利用威胁建模工具或安全需求分 析工具获得、该误用例库104利用安全需求分析工具获得,上述缓和方案取自安全 设计阶段109的安全缺陷库106,软件安全设计阶段109的安全缺陷库利用威胁建模 工具获得。本发明的安全缺陷数据库还可以在进行封装后,基于web服务接口进行 发布。
安全性缺陷数据库的结构
根据数据库构建方法,所建立的安全性缺陷数据库拥有4个分库(1) 攻击模式库
是对大量攻击模式搜集、总结后建立的数据库原型,提供映射接口以供提取安 全缺陷时使用。
(2) 误用例库
提供安全需求分析阶段的用例图中,代表安全缺陷的误用例与用例匹配的功能。
(3) 安全缺陷库
基于威胁树/攻击树模型提供缺陷结构信息,缺陷分类方法,缺陷分级方法的实 现过程,并进一步支持基于特征匹配的程序分析技术以及支持主动提供相关解决方 案。
(4) 缓和方案库
通过组合独立方案形成的一个可重用的缓和方案数据库,对应发现的安全缺陷。 2、安全缺陷数据库的管理单元20
安全缺陷数据库的管理单元20包括安全缺陷信息收集v分类两个模块,信息收 集基于WEB主题挖掘技术,缺陷分类基于本体技术。安全缺陷数据库管理模块的体 系结构如图2所示
信息收集,通过管理员接口 201指定初始URL描述抓取列表202,并在聚焦爬 虫203抓取列表202的过程中计算网页关联度并选择URL,以便丰富抓取列表202; 网页选择器204则负责计算网页的重要程度, 一旦发现中心型网页,并由此动态决 定网页的访问顺序,评估网页选择满足要求的页面并存储页面信息205。
安全缺陷分类时,根据从攻击模式抽象出的安全缺陷,建立"安全缺陷"本体 30,用于判定缺陷类别,实现关键字匹配的功能。内容包括建立一系列匹配规则、 建立对应权值、建立阈值用于判定是否添加一个新的缺陷类。初步设定判定一个新 缺陷的标准为计算当前缺陷与已存在分类的相似度(即权值),当相似度均低于阈值 时,在库中新建分类,否则选择相似度最高的分类作为新增的安全缺陷所属类。
最后,根据这两方面的信息,采用文本分析技术进一步从中提取软件安全缺陷, 并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判定缺陷类别, 并添加新类或添加新项。
本发明的数据库具有两个不同的应用角度
应用角度一将本发明的数据库应用于安全软件开发生命周期,包括3个不同 阶段安全需求阶段,提供安全需求分析工具,确定用例归属的攻击模式、缺陷类别并找到相应的缓和方案;设计阶段,提供可扩展的安全软件开发环境中威胁建模 工具;编码阶段,提供基于源码的系统漏洞检测工具,以及基于下推自动机的模型 检测验证。研究对有限状态自动机形式表示的攻击模式与安全性缺陷的建模方法; 同时利用程序的控制流图将程序源码建模为下推自动机。之后使用模型验证算法对 这两个模型进行验证,判定代码中的安全漏洞。
应用角度二将本发明的数据库应用于web服务提供者使用web服务的方式 封装安全性缺陷数据库,提供安全性缺陷数据库的访问接口服务程序,并以UDDI
发布标准注册发布这些服务信息,从而减少用户资源消耗,并为更高数量级别的用 户提供服务。
从上述数据库的应用角度上,软件产品开发过程中,基于已经建立的安全性缺
陷数据库,可通过在开发过程的3个不同阶段使用缺陷数据库提供的辅助工具集, 来发现软件产品中的安全缺陷并提供解决方案,从而提高产品的安全特性。
1、 安全需求阶段提供软件安全需求分析工具。在用户需要进行安全需求分析
时,该工具以用户提供的用例图作为输入,以安全性缺陷数据库的分库一误用例库 作为数据基础进行分析,内容包括扫描用例图,获取用例及其之间的关系,根据用 例的名称及其执行路径等特征,与误用例库比对等。该工具用于发现用例中是否存 在安全缺陷,输出结果为发现的安全缺陷所归属的攻击模式、缺陷类别,之后通过 查找数据库分库一缓和方案库来提供相应的缓和方案。
2、 安全设计阶段提供可扩展的安全软件开发环境中威胁建模工具。功能模块 1:提供带拖放的图形化建模功能,辅助分析和设计人员对软件进行威胁建模。从软 件开发人员提供的软件用例图,活动图中获取软件的资产信息、信息流、信任边界 等信息,构建基于威胁树的威胁模型。功能模块2:基于功能模块1中建立的威胁树 模型,并参照数据库分库一安全缺陷库中的缺陷项的各属性描述,对类图实行安全 检查,评估威胁模型的安全属性,包括定性分析和定量计算,获得攻击危害程度的 降序排列。根据评估结果,制定缓和方案并生成软件设计阶段的安全软件开发文档。
3、 安全编码阶段提供基于源码的系统漏洞检测工具。以安全性缺陷数据库作 为本静态代码分析工具的数据基础,以用户提供的源码作为输入,本工具将攻击模
式用一个有限状态自动机(FSA)来表示,FSA的一个变换就表示一个安全相关操作 的执行,而FSA的最终状态就表示程序的危险状态,程序能够达到这个状态就表示 有可能被攻击。再利用程序的控制流图将程序源码建模为下推自动机(PDA),最后
10使用模型验证算法来验证这两个模型。此检测结果作为工具的输出,可以判定代码 中是否存在安全漏洞。
为了提高本数据库的通用性,同时将上述三个阶段提供的辅助工具集封装为服 务接口的形式发布,提供访问调用功能,满足更多用户使用。将上述三个阶段所实 现的辅助工具集合划分到三个功能模块(安全需求工具接口、安全设计工具接口和 安全编码工具接口)中,以UDDI形式封装隐藏内部实现。用户使用时,根据不同需 要,可通过远程接口调用的方式直接调用所需服务,减少用户资源消耗,实现数据 库的复杂内部实现对用户的透明化。
从数据库管理角度上,由于安全性缺陷数据库不可能包含所有的缺陷,新的安 全缺陷的会不断出现,如果用户需要实现数据库的自动更新或者将自定义的安全缺 陷手工添加至数据库中,本数据库提供相应的工具,实现自动化的安全缺陷发现以 及导入机制。
1、 准备工作阶段根据从攻击模式抽象出的安全缺陷,建立从语义角度分析安 全特征的本体模型。该本体模型构造出网页分类器被用于过滤聚焦爬虫从web上抓 取的信息。
2、 数据库更新阶段通过管理员接口指定初始URL描述抓取目标,并在聚焦爬 虫抓取目标过程中计算网页关联度并选择URL丰富抓取列表;网页选择器则负责计
算网页的重要程度,发现中心型网页,并由此动态决定网页的访问顺序,评估网页
选择满足要求的页面并存储;之后采用文本分析技术进一步从中提取软件安全缺陷,
并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判定缺陷类别, 并添加新类或添加新项。
综上所述,本数据库支持在软件开发过程中的三个不同阶段为软件添加安全特
性;同时提供主动发现网络上存在的安全缺陷,并通过关键字模糊匹配的方法实现 主动添加项至已有类别或者主动添加新类别的功能,以及动态维护数据库的功能。
权利要求
1. 一种基于攻击模式的软件安全缺陷数据库系统,包括安全缺陷数据库的构建单元和管理单元以及安全缺陷本体,其特征在于,所述安全缺陷数据库的构建单元包括建立从攻击模式到软件缺陷结构的映射;建立从攻击模式与安全缺陷的映射还包括安全缺陷与对应缓和方案的映射,并将以上两个映射构建成统一的模型;安全缺陷数据库的管理单元包括安全缺陷信息收集、分类两个模块,其中,信息收集模块,通过管理员接口指定初始URL描述抓取列表,并在聚焦爬虫抓取列表的过程中计算网页关联度并选择URL,以丰富抓取列表;通过网页选择器选择页面存储,并建立索引;分类模块,根据从攻击模式抽象出的安全缺陷,建立安全缺陷本体,用于判定缺陷类别,实现关键字匹配的功能,设定判定一个新缺陷的标准为计算当前缺陷与已存在分类的相似度,当相似度均低于阈值时,在库中新建分类,否则选择相似度最高的分类作为新增的安全缺陷所属类,该阈值的取值范围是0.2-0.5;对上述两个模块获得的安全缺陷信息,采用文本分析技术进一步从中提取软件安全缺陷,并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判定缺陷类别,并添加新类或添加新项。
2. 如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 所述安全缺陷数据库的构建单元所构建的安全性缺陷数据库拥有4个分库攻击模式 库,是对大量攻击模式搜集、总结后建立的数据库原型,提供映射接口以供提取安 全缺陷时使用;误用例库,提供安全需求分析阶段的用例图中,代表安全缺陷的误 用例与用例匹配的功能;安全缺陷库,基于威胁树/攻击树模型提供缺陷结构信息, 缺陷分类方法,缺陷分级方法的实现过程,并进一步支持基于特征匹配的程序分析 技术以及支持主动提供相关解决方案;以及缓和方案库,
3. 如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于,所 述从攻击模式到软件缺陷结构的映射,是指攻击模式行为序列与缺陷结构的映射,其 中缺陷结构包括缺陷标识、前置/后置条件、缺陷的层次。
4.如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 所述缓和方案作为总体的缓和方案,被分解为若干独立可重复的个体缓和,并且建立 成可重用的缓和方案库。
5. 如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 所述攻击模式取自安全编码阶段的攻击模式库,该攻击模式库利用系统漏洞检测工 具获得;所述安全缺陷取自软件安全设计阶段的缓和方案库或误用例库,该缓和方 案库分别利用威胁建模工具或安全需求分析工具获得、该误用例库利用安全需求分 析工具获得;所述缓和方案取自安全设计阶段的安全缺陷库,软件安全设计阶段的 安全缺陷库利用威胁建模工具获得。
6. 如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 将上述三个阶段,即安全需求分析阶段、安全设计阶段以及安全编码阶段所提供的 辅助工具集封装为服务接口,即安全需求工具接口、安全设计工具接口和安全编码 工具接口中,并以UDDI形式封装隐藏内部实现,用户使用时,根据不同需要,可通 过远程接口调用的方式直接调用所需服务接口 。
7. 如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 所述安全缺陷本体包括建立一系列匹配规则、建立对应权值、建立阈值用于判定是否 添加一个新的缺陷类。
8. 如权利要求l所述的基于攻击模式的软件安全缺陷数据库系统,其特征在于, 所述安全缺陷数据库进行封装后,基于web服务接口进行发布。
9.如权利要求1所述的基于攻击模式的软件安全缺陷数据库系统的安全缺陷数 据库管理方法,其特征在于,该方法包括以下歩骤安全缺陷数据库的管理单元包括安全缺陷信息收集、分类两个模块,信息收集, 缺陷分类基于本体技术;其中基于WEB主题挖掘技术的安全缺陷信息收集操作通过管理员接口指定初始 URL描述抓取列表,并在聚焦爬虫抓取列表的过程中计算网页关联度并选择URL, 以丰富抓取列表;通过网页选择器选择页面存储,并建立索引;基于缺陷分类本体技术的安全缺陷分类操作根据从攻击模式抽象出的安全缺 陷,建立安全缺陷本体,用于判定缺陷类别,实现关键字匹配的功能,设定判定一 个新缺陷的标准为计算当甜缺陷与己存在分类的相似度,当相似度均低于阈值时, 在库中新建分类,否则选择相似度最高的分类作为新增的安全缺陷所属类。对上述两个操作获得的安全缺陷信息,采用文本分析技术进一歩从中提取软件 安全缺陷,并转化为满足安全缺陷数据库存储结构的数据,利用缺陷分类的本体判 定缺陷类别,并添加新类或新项。
全文摘要
本发明公开了一种基于攻击模式的软件安全缺陷数据库系统,包括安全缺陷数据库的构建单元和管理单元以及安全缺陷本体,其特征在于,所述安全缺陷数据库的构建单元包括建立从攻击模式到软件缺陷结构的映射;建立从攻击模式与安全缺陷的映射还包括安全缺陷与对应缓和方案的映射,并将以上两个映射构建成统一的模型;安全缺陷数据库的管理单元包括安全缺陷信息收集、分类两个模块,信息收集基于WEB主题挖掘技术,缺陷分类基于本体技术;本发明同时结合外界的攻击模式分析以及面向安全软件开发周期来构建安全性缺陷数据库模型,以降低软件产品安全缺陷,提高软件质量,从而满足不同阶段对软件安全缺陷实例的不同需求,并且可用于支持安全性缺陷模型的数据服务。
文档编号G06F17/30GK101452469SQ20081015443
公开日2009年6月10日 申请日期2008年12月24日 优先权日2008年12月24日
发明者丁刚刚, 然 刘, 李晓红, 许光全, 邢金亮 申请人:天津大学