一種基于缺陷類別的安全風(fēng)險(xiǎn)評(píng)估方法
【專利摘要】本發(fā)明公開了一種基于缺陷類別的安全風(fēng)險(xiǎn)估計(jì)方法。該方法主要分析信息系統(tǒng)存在的一些缺陷��,并對(duì)其使用正交缺陷分類方法進(jìn)行分類,然后根據(jù)每種缺陷類別進(jìn)行參數(shù)化�,對(duì)每種風(fēng)險(xiǎn)評(píng)估模型均值進(jìn)行計(jì)算,最好進(jìn)行定量分析�。該方法能夠提高安全風(fēng)險(xiǎn)估計(jì)的準(zhǔn)確性,對(duì)信息系統(tǒng)缺陷的預(yù)測(cè)變得更加的精準(zhǔn)���,對(duì)于信息系統(tǒng)的開發(fā)人員能夠起到未雨綢繆的作用���。
【專利說明】—種基于缺陷類別的安全風(fēng)險(xiǎn)評(píng)估方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息系統(tǒng)安全評(píng)估技術(shù),特別是一種基于缺陷類別的安全風(fēng)險(xiǎn)評(píng)估方法�。
【背景技術(shù)】
[0002]計(jì)算機(jī)技術(shù)已經(jīng)深入到人們?nèi)粘I鐣?huì)生活各個(gè)領(lǐng)域的相關(guān)業(yè)務(wù),人們對(duì)計(jì)算機(jī)與信息技術(shù)的依賴程度與日俱增����,信息技術(shù)給人們的日常生活帶來了巨大的便利,同時(shí)也使得人們面臨的信息安全風(fēng)險(xiǎn)越來越高��。通過信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估�,可以有效地對(duì)安全風(fēng)險(xiǎn)進(jìn)行控制和預(yù)防。
[0003]經(jīng)過這么多年的研究和發(fā)展�����,目前國內(nèi)外已經(jīng)出現(xiàn)了一些比較優(yōu)秀的風(fēng)險(xiǎn)評(píng)估模型,但是由于信息系統(tǒng)的復(fù)雜性和多變性�,暫時(shí)還沒有一種模型對(duì)所有的信息系統(tǒng)做出精確的評(píng)估。
[0004]安全風(fēng)險(xiǎn)定量分析模型方面�,在過去的幾十年內(nèi)國外的研究已經(jīng)相當(dāng)?shù)某墒炝恕.D.Musa, K.0kumoto提出了一種對(duì)數(shù)泊松模型,該模型是一個(gè)非齊次泊松過程模型���,其隨著失效的發(fā) 生失效函數(shù)呈指數(shù)遞減(J.D.Musa, K.0kumot0.A Logarithmic PoissonExecution Time Model for Software Reliability Measurement[C].ProceedingsSeventh International Conference on Software Engineering, Orlando, Florida, 1984:230-238)�����。Kapil Sharma, Rakesh Garg等人根據(jù)距離的方式選擇出了部分優(yōu)秀的模型�。如:Generalized_Goel 模型�����,Goel-Okumoto 模型等(C.Y.Huang, M.R.Lyu, and S.Y.Ku0.A unified scheme of some non-homogenous Poisson process models for softwarereliability estimation.1EEE Trans.Software.Engineering, 2003, 29(3):261 - 269)�。
[0005]缺陷分類方面,Ram ChiIlarege, Inderpal S.Bhandari等人提出了正交缺陷分類的定義并給出了一個(gè)實(shí)例�����,可以對(duì)ODC有一個(gè)直觀的認(rèn)識(shí)���,之后可以再加之以詳細(xì)的技術(shù)描述�����。通過比較傳統(tǒng)的可靠性增長模型���,可以直觀地體會(huì)到通過提取缺陷的語義信息可以改進(jìn)預(yù)測(cè)結(jié)果。(Ram Chillarege, Inderpal S.Bhandari, Jarir K.Chaar, MichaelJ.HalIiday, Diane S.Moebus,Bonnie K.Ray, Man-Yuen Wong.0rthogonal DefectClassification-A Concept for In-Process Measurements[J].1EEE Transaction onSoftware Engineering, 1992, 18(11):943-956)?
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于提供一種基于缺陷類別的安全風(fēng)險(xiǎn)評(píng)估方法���,從而根據(jù)信息系統(tǒng)選擇出最適合的風(fēng)險(xiǎn)評(píng)估模型����,實(shí)現(xiàn)精準(zhǔn)的預(yù)測(cè)����。
[0007]實(shí)現(xiàn)本發(fā)明目的的技術(shù)解決方案為:一種基于缺陷類別的安全風(fēng)險(xiǎn)評(píng)估方法,步驟如下:
[0008]第一步�����,由于大量的數(shù)據(jù)收集工作會(huì)影響程序員的工作效率����,所以必須建立一個(gè)合適的數(shù)據(jù)收集機(jī)制,既能夠保證收集到的數(shù)據(jù)能夠有效的反映出該信息系統(tǒng)的缺陷���,又不嚴(yán)重的影響程序員的工作效率���。
[0009]第二步���,利用正交缺陷分類方法,將缺陷分為如下的8大類:功能缺陷��,賦值缺陷���,接口缺陷����,檢查缺陷���,時(shí)序缺陷�����,構(gòu)造/打包/合并缺陷�,文檔缺陷����,算法缺陷�。
[0010]第三步����,對(duì)收集到的數(shù)據(jù)進(jìn)行預(yù)處理,根據(jù)每種類型的缺陷進(jìn)行統(tǒng)計(jì)數(shù)據(jù)����。
[0011]第四步�,根據(jù)數(shù)據(jù)從眾多的風(fēng)險(xiǎn)評(píng)估模型中初步選擇出適合這些數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估模型。
[0012]第五步�,對(duì)于每一個(gè)被選中的模型,首先進(jìn)行利用數(shù)據(jù)進(jìn)行參數(shù)估計(jì)��,然后再計(jì)算其評(píng)價(jià)指標(biāo)值��。
[0013]第六步���,根據(jù)各種指標(biāo)值的優(yōu)劣����,從上述的模型中挑選出每種缺陷類別的最優(yōu)化模型��。
[0014]第七步�,根據(jù)已經(jīng)選中的最優(yōu)化模型進(jìn)行評(píng)估��,獲得各類缺陷的增長曲線��,然后定量分析出適合該數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估模型�����。
[0015]本發(fā)明與現(xiàn)有技術(shù)相比��,其顯著優(yōu)點(diǎn):(I)基于正交缺陷分類理論�,能很好的根據(jù)無干擾的缺陷來統(tǒng)計(jì)數(shù)據(jù)�����,為選擇合適的模型提供一個(gè)充分的條件�,(2)選擇多樣的風(fēng)險(xiǎn)評(píng)估模型作為實(shí)驗(yàn)?zāi)P停岣吡嗽u(píng)估辦法的精準(zhǔn)度�����。
[0016]下面結(jié)合附圖和數(shù)據(jù)對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述����。
【專利附圖】
【附圖說明】
[0017]圖1是根據(jù)缺陷類別歸檔后的數(shù)據(jù)信息。
[0018]圖2是基于缺陷類別的安全風(fēng)險(xiǎn)設(shè)計(jì)框架模型庫�。
[0019]圖3是基于缺陷類別的安全風(fēng)險(xiǎn)估計(jì)框架圖��。
【具體實(shí)施方式】
[0020]本發(fā)明涉及基于缺陷類別的安全風(fēng)險(xiǎn)估計(jì)方法���,步驟如下:
[0021]第一步,收集數(shù)據(jù)���,并進(jìn)行預(yù)處理�����。剔除掉錯(cuò)誤的數(shù)據(jù)。本例的數(shù)據(jù)來自于一個(gè)代碼長度為數(shù)萬行的項(xiàng)目中�。
[0022]第二步,利用正交缺陷分類方法�����,將缺陷分為如下的8大類:功能缺陷�����,賦值缺陷�����,接口缺陷,檢查缺陷��,時(shí)序缺陷���,構(gòu)造/打包/合并缺陷��,文檔缺陷���,算法缺陷。
[0023]第三步��,將數(shù)據(jù)按照缺陷類別進(jìn)行歸檔��。統(tǒng)計(jì)出每一類缺陷發(fā)生的次數(shù)�。具體的數(shù)據(jù)歸檔后如圖1所示。
[0024]第四步�����,對(duì)模型庫中的模型使用最小二乘法進(jìn)行參數(shù)估計(jì)�。通過對(duì)歷史數(shù)據(jù)進(jìn)行分析和統(tǒng)計(jì),得到在ti; i = 1�,2,.....η��。則對(duì)模型ut=uabc;(t)的參數(shù)a, b, c進(jìn)行估計(jì)的問
K
題就轉(zhuǎn)換成Ui=Uabe (ti) + ε i,求合適的a��,b, c的值使得
【權(quán)利要求】
1.一種基于缺陷類別的安全風(fēng)險(xiǎn)估計(jì)方法�,其特征在于它包括如下步驟: 第一步,收集信息系統(tǒng)的歷史數(shù)據(jù)����,并采用缺陷分類方法對(duì)獲得到的歷史數(shù)據(jù)進(jìn)行缺陷分類; 第二步�����,根據(jù)分類后獲得到的所有的缺陷類別�����,進(jìn)行統(tǒng)計(jì)缺陷數(shù)據(jù)信息��; 第三步�,根據(jù)數(shù)據(jù)從眾多的風(fēng)險(xiǎn)評(píng)估模型中初步選擇出適合這些數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估模型�; 第四步,對(duì)于每一個(gè)被選中的模型��,首先進(jìn)行利用數(shù)據(jù)進(jìn)行參數(shù)估計(jì)����,然后再計(jì)算其評(píng)價(jià)指標(biāo)值�; 第五步����,根據(jù)各種指標(biāo)值的優(yōu)劣,從上述的模型中挑選出每種缺陷類別的最優(yōu)化模型����; 第六步,根據(jù)已經(jīng)選中的最優(yōu)化模型進(jìn)行評(píng)估�,獲得各類缺陷的增長曲線,然后定量分析出適合該數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)估模型�����。
2.根據(jù)權(quán)利要求1所述的基于缺陷類別的安全風(fēng)險(xiǎn)估計(jì)方法��,其特征在于對(duì)收集到的歷史數(shù)據(jù)進(jìn)行分析��, 從數(shù)據(jù)中獲得信息�,將該信息系統(tǒng)的缺陷進(jìn)行分類,然后根據(jù)缺陷類型對(duì)各種模型進(jìn)行分析�,從而獲得最優(yōu)風(fēng)險(xiǎn)評(píng)估模型,具體實(shí)現(xiàn)過程如下: 第一步,根據(jù)收集到的數(shù)據(jù)�����,采用正交缺陷分類方法對(duì)信息系統(tǒng)的缺陷分類���,分為:功能缺陷��,賦值缺陷��,接口缺陷�����,檢查缺陷����,時(shí)序缺陷�����,構(gòu)造/打包/合并缺陷����,文檔缺陷,算法缺陷這8大類���; 第二步�,將數(shù)據(jù)按照缺陷類別進(jìn)行歸檔����。統(tǒng)計(jì)出每一類缺陷發(fā)生的次數(shù); 第三步��,假設(shè)每種風(fēng)險(xiǎn)評(píng)估模型的均值函數(shù)為u (t)����,使用最小二乘法對(duì)累計(jì)失效個(gè)數(shù)預(yù)測(cè)函數(shù)進(jìn)行參數(shù)估計(jì)。通過對(duì)歷史數(shù)據(jù)進(jìn)行分析和統(tǒng)計(jì)���,得到在ti; i = 1,2,.....n����,則對(duì)模型ut=uabc;(t)的參數(shù)a, b, c進(jìn)行估計(jì)的問題就轉(zhuǎn)換成Ui=Uabc^ti)+ ε i7求合適的a, b, c的值使得
【文檔編號(hào)】G06F19/00GK103970974SQ201310040822
【公開日】2014年8月6日 申請(qǐng)日期:2013年2月1日 優(yōu)先權(quán)日:2013年2月1日
【發(fā)明者】李千目, 魏士祥, 許春根, 宋巍, 侯君, 路國翠, 李宗骍, 劉浩, 張星 申請(qǐng)人:無錫南理工科技發(fā)展有限公司