一种基于缺陷类别的安全风险评估方法
【专利摘要】本发明公开了一种基于缺陷类别的安全风险估计方法。该方法主要分析信息系统存在的一些缺陷,并对其使用正交缺陷分类方法进行分类,然后根据每种缺陷类别进行参数化,对每种风险评估模型均值进行计算,最好进行定量分析。该方法能够提高安全风险估计的准确性,对信息系统缺陷的预测变得更加的精准,对于信息系统的开发人员能够起到未雨绸缪的作用。
【专利说明】—种基于缺陷类别的安全风险评估方法
【技术领域】
[0001]本发明属于信息系统安全评估技术,特别是一种基于缺陷类别的安全风险评估方法。
【背景技术】
[0002]计算机技术已经深入到人们日常社会生活各个领域的相关业务,人们对计算机与信息技术的依赖程度与日俱增,信息技术给人们的日常生活带来了巨大的便利,同时也使得人们面临的信息安全风险越来越高。通过信息系统安全风险评估,可以有效地对安全风险进行控制和预防。
[0003]经过这么多年的研究和发展,目前国内外已经出现了一些比较优秀的风险评估模型,但是由于信息系统的复杂性和多变性,暂时还没有一种模型对所有的信息系统做出精确的评估。
[0004]安全风险定量分析模型方面,在过去的几十年内国外的研究已经相当的成熟了。J.D.Musa, K.0kumoto提出了一种对数泊松模型,该模型是一个非齐次泊松过程模型,其随着失效的发 生失效函数呈指数递减(J.D.Musa, K.0kumot0.A Logarithmic PoissonExecution Time Model for Software Reliability Measurement[C].ProceedingsSeventh International Conference on Software Engineering, Orlando, Florida, 1984:230-238)。Kapil Sharma, Rakesh Garg等人根据距离的方式选择出了部分优秀的模型。如:Generalized_Goel 模型,Goel-Okumoto 模型等(C.Y.Huang, M.R.Lyu, and S.Y.Ku0.A unified scheme of some non-homogenous Poisson process models for softwarereliability estimation.1EEE Trans.Software.Engineering, 2003, 29(3):261 - 269)。
[0005]缺陷分类方面,Ram ChiIlarege, Inderpal S.Bhandari等人提出了正交缺陷分类的定义并给出了一个实例,可以对ODC有一个直观的认识,之后可以再加之以详细的技术描述。通过比较传统的可靠性增长模型,可以直观地体会到通过提取缺陷的语义信息可以改进预测结果。(Ram Chillarege, Inderpal S.Bhandari, Jarir K.Chaar, MichaelJ.HalIiday, Diane S.Moebus,Bonnie K.Ray, Man-Yuen Wong.0rthogonal DefectClassification-A Concept for In-Process Measurements[J].1EEE Transaction onSoftware Engineering, 1992, 18(11):943-956)?
【发明内容】
[0006]本发明的目的在于提供一种基于缺陷类别的安全风险评估方法,从而根据信息系统选择出最适合的风险评估模型,实现精准的预测。
[0007]实现本发明目的的技术解决方案为:一种基于缺陷类别的安全风险评估方法,步骤如下:
[0008]第一步,由于大量的数据收集工作会影响程序员的工作效率,所以必须建立一个合适的数据收集机制,既能够保证收集到的数据能够有效的反映出该信息系统的缺陷,又不严重的影响程序员的工作效率。
[0009]第二步,利用正交缺陷分类方法,将缺陷分为如下的8大类:功能缺陷,赋值缺陷,接口缺陷,检查缺陷,时序缺陷,构造/打包/合并缺陷,文档缺陷,算法缺陷。
[0010]第三步,对收集到的数据进行预处理,根据每种类型的缺陷进行统计数据。
[0011]第四步,根据数据从众多的风险评估模型中初步选择出适合这些数据的风险评估模型。
[0012]第五步,对于每一个被选中的模型,首先进行利用数据进行参数估计,然后再计算其评价指标值。
[0013]第六步,根据各种指标值的优劣,从上述的模型中挑选出每种缺陷类别的最优化模型。
[0014]第七步,根据已经选中的最优化模型进行评估,获得各类缺陷的增长曲线,然后定量分析出适合该数据的风险评估模型。
[0015]本发明与现有技术相比,其显著优点:(I)基于正交缺陷分类理论,能很好的根据无干扰的缺陷来统计数据,为选择合适的模型提供一个充分的条件,(2)选择多样的风险评估模型作为实验模型,提高了评估办法的精准度。
[0016]下面结合附图和数据对本发明作进一步的详细描述。
【专利附图】
【附图说明】
[0017]图1是根据缺陷类别归档后的数据信息。
[0018]图2是基于缺陷类别的安全风险设计框架模型库。
[0019]图3是基于缺陷类别的安全风险估计框架图。
【具体实施方式】
[0020]本发明涉及基于缺陷类别的安全风险估计方法,步骤如下:
[0021]第一步,收集数据,并进行预处理。剔除掉错误的数据。本例的数据来自于一个代码长度为数万行的项目中。
[0022]第二步,利用正交缺陷分类方法,将缺陷分为如下的8大类:功能缺陷,赋值缺陷,接口缺陷,检查缺陷,时序缺陷,构造/打包/合并缺陷,文档缺陷,算法缺陷。
[0023]第三步,将数据按照缺陷类别进行归档。统计出每一类缺陷发生的次数。具体的数据归档后如图1所示。
[0024]第四步,对模型库中的模型使用最小二乘法进行参数估计。通过对历史数据进行分析和统计,得到在ti; i = 1,2,.....η。则对模型ut=uabc;(t)的参数a, b, c进行估计的问
K
题就转换成Ui=Uabe (ti) + ε i,求合适的a,b, c的值使得
【权利要求】
1.一种基于缺陷类别的安全风险估计方法,其特征在于它包括如下步骤: 第一步,收集信息系统的历史数据,并采用缺陷分类方法对获得到的历史数据进行缺陷分类; 第二步,根据分类后获得到的所有的缺陷类别,进行统计缺陷数据信息; 第三步,根据数据从众多的风险评估模型中初步选择出适合这些数据的风险评估模型; 第四步,对于每一个被选中的模型,首先进行利用数据进行参数估计,然后再计算其评价指标值; 第五步,根据各种指标值的优劣,从上述的模型中挑选出每种缺陷类别的最优化模型; 第六步,根据已经选中的最优化模型进行评估,获得各类缺陷的增长曲线,然后定量分析出适合该数据的风险评估模型。
2.根据权利要求1所述的基于缺陷类别的安全风险估计方法,其特征在于对收集到的历史数据进行分析, 从数据中获得信息,将该信息系统的缺陷进行分类,然后根据缺陷类型对各种模型进行分析,从而获得最优风险评估模型,具体实现过程如下: 第一步,根据收集到的数据,采用正交缺陷分类方法对信息系统的缺陷分类,分为:功能缺陷,赋值缺陷,接口缺陷,检查缺陷,时序缺陷,构造/打包/合并缺陷,文档缺陷,算法缺陷这8大类; 第二步,将数据按照缺陷类别进行归档。统计出每一类缺陷发生的次数; 第三步,假设每种风险评估模型的均值函数为u (t),使用最小二乘法对累计失效个数预测函数进行参数估计。通过对历史数据进行分析和统计,得到在ti; i = 1,2,.....n,则对模型ut=uabc;(t)的参数a, b, c进行估计的问题就转换成Ui=Uabc^ti)+ ε i7求合适的a, b, c的值使得
【文档编号】G06F19/00GK103970974SQ201310040822
【公开日】2014年8月6日 申请日期:2013年2月1日 优先权日:2013年2月1日
【发明者】李千目, 魏士祥, 许春根, 宋巍, 侯君, 路国翠, 李宗骍, 刘浩, 张星 申请人:无锡南理工科技发展有限公司