一种基于威胁模型的安全测试用例生成框架和工具

近年来,软件系统安全问题正引发越来越多的关注,系统存在的安全威胁容易被攻击者所利用,攻击者通常采用各种攻击技术诸如口令暴力破解、网络钓鱼、SQL注入等对系统进行攻击.威胁建模是一种结构化分析、识别并处理威胁的方法,传统的测试主要集中在测试代码缺陷,处于软件开发后期,不能很好地对接前期威胁建模分析成果以构建安全的软件,业界威胁建模工具缺少进一步生成安全测试的功能.为了应对此问题,提出一种从威胁模型生成安全测试用例的框架,并设计和实现工具原型.为了便于测试,对传统的攻击树模型进行改进,对构建的模型进行规范性检查,从该模型中可以自动生成测试线索.根据攻击节点发生概率对测试线索进行评估,优先检测概率较高的威胁的测试线索.对防御节点进行评估,选择收益性较高的防御方案缓解威胁,以改进系统安全设计.通过为攻击节点设置参数可以将测试线索转换成具体的测试用例.在软件开发早期阶段以威胁建模识别出的威胁作为输入,通过框架和工具可以生成测试,指导后续的安全开发和安全测试设计,将安全技术更好地嵌入到软件设计和开发之中.案例研究部分将该框架和工具运用于极高危风险的安全测试生成,并说明了其有效性.

网络教育和传统教育互补性分析

随着因特网和现代通信技术的发展,网络教育蓬勃发展,这就向传统教育提出了挑战。本文首先对网络教育和传统教育的优缺点进行了细致的比较,得到一个结论:网络教育同传统教育之间存在互补性,在此基础上,两者在各自的发展方向上向对方靠近并融合。

自然语言数据驱动的智能化软件安全评估方法

软件安全性是衡量软件是否能够抵御恶意攻击的重要性质.在当前互联网环境下,黑客攻击无处不在,因而估计软件中可能含有的漏洞数量与类型,即对软件进行安全评估,变得十分必要.在实际中,用户不仅需要对未发布或者最新发布的软件实施安全性评估,对已发布软件也会有一定的安全评估需求,例如,当用户需要从市场上互为竞争的多款软件中做出选择,就会希望能够花费较低成本、较为客观地对这些软件进行第三方的评估与比较.提出了一种由自然语言数据驱动的智能化软件安全评估方法来满足这一要求.该方法基于待评估软件现有用户的使用经验信息来评估软件的安全性.它首先自适应地爬取用户在软件使用过程中对软件的自然语言评价数据,并利用深度学习方法与机器学习评估模型的双重训练来获得软件的安全性评估指标.由于所提出的自适应爬虫能够在反馈中调整特征词,并结合搜索引擎来获得异构数据,因而可通过采集广泛的自然语言数据来进行安全评估.另外,使用一对多的机器翻译训练能够有效地解决将自然语言数据转换为语义编码的问题,使得用于安全评估的机器学习模型可以建立在自然语言的语义特征基础上.在国际通用漏洞披露数据库(CVE)和美国国家漏洞数据库(NVD)上对该方法进行了实验,结果表明,该方法在评估软件漏洞数量、漏洞类型以及漏洞严重程度等指标上十分有效.

不易遗失的止血带

止血带是护士在临床工作中为患者进行静脉输液、静脉采血必备的用物之一，它在穿刺成功方面发挥了很大的作用。但在临床中，时常会有护士在使用止血带后，将它遗忘在患者床旁的现象发生。这看似是一件小事，但却让护士的形象在患者及家属中大打折扣，甚至会联想到马虎、粗心，从而产生不信任感。为解决此问题，我们将止血带进行了改进，经临床使用，收到很好的效果，现报道如下。