基于本体的软件安全漏洞模式

Software security vulnerability patterns based on ontology

下载PDF

导出

摘要针对软件缺陷与软件安全漏洞研究中存在的概念混淆问题,对DevSecOps框架下的软件安全漏洞生存期进行研究。基于软件安全漏洞生存期引入漏洞的4种情况,结合漏洞的特点提出软件安全漏洞模式定义,并采用本体方法进行表示。本体是概念化明确的规范说明,能够解决软件安全漏洞研究领域存在的二义性、不一致性、难以共享,以及由分析知识分散所导致的对人员知识和经验过度依赖的问题。以软件安全漏洞模式的分析为基础,兼顾宏观事件表现,构造漏洞分析的3层模型,即事件表示层、行为动作层和漏洞技术层。实例应用所构模型的层次结构实施渗透测试,包括安全风险分析、威胁建模、漏洞分析及渗透攻击等。实验结果表明:基于所提软件安全漏洞模式本体库的改进渗透测试具有科学性和有效性。 This paper studies the lifetime of software security vulnerabilities under the DevSecOps framework aiming at the conceptual confusion problem of research on software errors and software security vulnerabilities.This work provides a definition of software security vulnerability pattern together with vulnerability characteristics,and uses ontology to represent it.It is based on four scenarios of introducing vulnerabilities in the life cycle of software security vulnerabilities.An ontology is an explicit specification of a conceptualization,which can solve the problems of ambiguity,inconsistency,difficulty in sharing,and excessive dependence on personnel knowledge and experience caused by the dispersion of analysis knowledge in the field of software security vulnerability research.A three-layer model for vulnerability analysis is built,comprising the event representation layer,behavior action layer,and vulnerability technology layer,based on the study of software security vulnerability patterns and accounting for the macro event performance.The example application implements penetration testing according to the hierarchical structure of the bulit model,including security risk analysis,threat modeling,vulnerability analysis,and penetration attacks.The experimental results show that the improved penetration testing method based on the software security vulnerability pattern ontology library proposed in this paper is scientific and effective.

作者胡璇陈俊名李海峰 HU Xuan;CHEN Junming;LI Haifeng(Information Security Center,The Fifth Research Institute of Electronics,Ministry of Industry and Information Technology,Guangzhou 511370,China;The Ministry of Industry and Information Technology Key Laboratory of Performance and Reliability Testing and Evaluation for Basic Software and Hardware,Guangzhou 511370,China;School of Reliability and Systems Engineering,Beihang University,Beijing 100191,China)

机构地区工业和信息化部电子第五研究所信息安全中心基础软硬件性能与可靠性测试工业和信息化部重点实验室北京航空航天大学可靠性与系统工程学院

出处《北京航空航天大学学报》 EI CAS CSCD 北大核心 2024年第10期3084-3099,共16页 Journal of Beijing University of Aeronautics and Astronautics

基金国家重点研发计划(2021YFB2012205)。

关键词软件缺陷软件安全漏洞模式本体渗透测试 software error software security vulnerabilities pattern ontology penetration testing

分类号 TP311 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献6

1袁子牧,肖扬,吴炜,霍玮,邹维.知识、探索与状态平面组织的软件漏洞分析架构研究[J].信息安全学报,2019,4(6):10-33. 被引量：3
2徐仁佐.基于软件知识的测试方法[J].武汉大学学报（自然科学版）,2000,46(1):61-62. 被引量：3
3张雪芹,徐金瑜,顾春华.基于本体的信息安全漏洞关联分析[J].华东理工大学学报（自然科学版）,2014,40(1):125-131. 被引量：8
4李霖,王红.基于形式化本体的基础地理信息分类[J].武汉大学学报（信息科学版）,2006,31(6):523-526. 被引量：24
5物联网安全态势综述[J].保密科学技术,2018(9):12-20. 被引量：3
6王海峰,李朝阳,吕政权,陈怡君,彭道刚.泛在电力物联网环境下网络安全攻击研究[J].浙江电力,2019,38(12):76-81. 被引量：20

二级参考文献31

1宋鸿运,王东华,商瑶玲,张北飞.1∶25万国家基础地理数据的管理及应用[J].测绘通报,2001(10):34-35. 被引量：6
2文浩.无处不在的终极网络——泛在网[J].射频世界,2010(1):44-47. 被引量：8
3裴炳镇,陈晓明,胡熠,陆汝占.一种建立中文概念分类关系的新算法[J].计算机工程与应用,2004,40(36):18-21. 被引量：8
4Chen T Y，IEEE Transactions on SoftwareEngineering，1996年，22卷，22期，109页
5Chen T Y，IEEE Transactionson Software Engineering，1994年，20卷，12期，977页
6Malaiya Y K，Proceedings of the Fifth International Symposium on Software Reliability Enginee，1994年，186页
7Han Jiawei,Kamber M. Data Mining:Concepts and Techniques[M].Canada:Morgan Kaufmann Publishers,2001.
8Studer R,Benjamins V R,Fensel D. Knowledge engineering,principles and methods[J].Data and Knowledgeing,1998,(1-2):161-197.
9Nigro HO,GonzalezSE C,XodoDH. Data Mining with Ontologies:Implementations,Findings,and Frameworks[M].USA:Idea Group Reference,2008.
10Chen Xiaoming,Zhou Xuan,Scherl R. Using an interest ontology for improved support in rule mining[A].Prague:Springer Berlin Heidelberg,2003.320-329.

共引文献55

1刘剑豪,刘晓明,黄松,张晓峰.成组缺陷纠正的通用指数类软件可靠性模型[J].系统仿真学报,2006,18(10):2764-2766. 被引量：3
2王家耀.我国地图制图学与地理信息工程学科发展研究[J].测绘通报,2007(5):1-6. 被引量：24
3李霖,朱海红,王红,李德仁.基于形式本体的基础地理信息语义分析--以陆地水系要素类为例[J].测绘学报,2008,37(2):230-235. 被引量：45
4吴孟泉,崔伟宏.本体驱动的时空数据查询方法研究[J].计算机工程与应用,2009,45(11):154-157. 被引量：1
5胡璇,刘斌,王轶辰,蒋崇武.基于本体的软件需求缺陷模式应用[J].北京航空航天大学学报,2009,35(6):723-727.
6詹勤,李德仁,眭海刚,张霞.一种遥感信息服务分类本体构建方法[J].武汉大学学报（信息科学版）,2010,35(3):343-346. 被引量：4
7刘耀林,李红梅,杨淳惠.基于本体的土地利用数据综合研究[J].武汉大学学报（信息科学版）,2010,35(8):883-886. 被引量：31
8葛忠军.地理信息的概念化及分类[J].科技信息,2010(24).
9普帆,李霖,王红.概念格在基础地理本体层次构建中的应用[J].测绘科学,2011,36(6):235-237. 被引量：1
10王晓妍,郭庆胜,翁杰,龙毅5.零散多边形综合质量评价研究[J].武汉大学学报（信息科学版）,2012,37(9):1112-1115. 被引量：2

1刘井强,田星,舒钰淇,朱小溪,刘玉岭,刘奇旭.大模型赋能软件供应链开发环节安全研究综述[J].信息安全学报,2024,9(5):87-109.
2王颂,栾琨,方琪.突发公共事件对员工对上关系建构的影响:基于调节定向理论[J].管理学季刊,2023,8(3):38-56.
3孟晓阳,杨巍,张楠,孙国强.医院近源网络攻击风险分析及对策建议[J].医学信息学杂志,2024,45(9):87-90.
4常媛媛,陈妍,李士奇.云原生安全风险分析和防护体系研究[J].网络安全技术与应用,2024(10):63-66.
5牛晓玲.DevSecOps 筑牢企业安全发展的基石[J].中国信息安全,2024(7):73-75.
6无.国家信息安全测评公告(2024年第7号)[J].中国信息安全,2024(7):86-96.
7刘成,侯孟书.口令猜测技术研究[J].信息安全与通信保密,2024(9):101-114.
8郭忠.网络安全中的攻防对抗模拟设计与实现[J].电子技术（上海）,2024,53(7):34-35.
9郑懿琼,张涛.从探索到实践火驱技术的演进之路[J].石油知识,2024(5):35-37.
10宋新宇,吴岩.俄乌冲突期间黄金价格与实际利率背离的原因分析[J].时代人物,2024(7):97-99.

北京航空航天大学学报

2024年第10期

浏览历史

内容加载中请稍等...

基于本体的软件安全漏洞模式

参考文献6

二级参考文献31

共引文献55

相关作者

相关机构

相关主题

浏览历史