軟件安全性檢測(cè)技術(shù)綜述

侯海燕 符志鵬

摘要：該文闡述了網(wǎng)絡(luò)軟件安全檢測(cè)的重要性，介紹了現(xiàn)有的主要檢測(cè)方法，包括形式化安全測(cè)試、基于模型的安全功能測(cè)試、語(yǔ)法測(cè)試、基于故障注入的安全測(cè)試、基于屬性的測(cè)試、模糊測(cè)試、基于風(fēng)險(xiǎn)的安全性測(cè)試、基于故障樹(shù)的安全性測(cè)試以及基于滲透的安全性測(cè)試。

關(guān)鍵詞：安全性檢測(cè)；功能測(cè)試；漏洞測(cè)試；安全測(cè)試方法

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）25-5847-05

Survey of Software Security Test Technology

HOU Hai-yan， FU Zhi-peng

（College of Medical Technology and Engineering， Henan University of Science and Technology， Luoyang 471000， China）

Abstract： The importance of software security test is described in this paper and the main software security test method is introduced such as model based method， Grammar-based method， Syntax-based method， defects threat tree modeling method and so on.

Key words： security test； functional test； vulnerability test； security test method

在互聯(lián)網(wǎng)普及之前，單機(jī)應(yīng)用程序軟件安全問(wèn)題并不突出。但是自從互聯(lián)網(wǎng)普及后，軟件安全問(wèn)題愈加顯加突顯，使得軟件安全性測(cè)試的重要性上升到一個(gè)前所未有的高度。同時(shí)，隨著軟件的廣泛應(yīng)用和其規(guī)模、復(fù)雜度的不斷提高，軟件安全性問(wèn)題日益突出。軟件安全性測(cè)試是保證軟件安全和質(zhì)量、降低軟件安全風(fēng)險(xiǎn)的重要手段。

軟件安全性測(cè)試分為安全功能測(cè)試（Security Functional Testing）和安全漏洞測(cè)試（Security Vulnerability Testing）兩個(gè)方面，如表1所示。

表1 安全功能測(cè)試和安全漏洞測(cè)試

1 軟件安全測(cè)試的主要方法

1.1 形式化安全測(cè)試

建立軟件的數(shù)學(xué)模型，利用形式化規(guī)格說(shuō)明語(yǔ)言對(duì)其進(jìn)行說(shuō)明[1]，形式規(guī)格說(shuō)明語(yǔ)言主要包括以下幾類(lèi)[2]：

基于模型的Z、VDM和B語(yǔ)言；

基于有限狀態(tài)語(yǔ)言，如有限狀態(tài)自動(dòng)機(jī)、SDI；

代數(shù)語(yǔ)言，如OBJ；

基于行為的CSP、CCS、Petri Nets等語(yǔ)言；

混合語(yǔ)言，如離散和連續(xù)數(shù)學(xué)的規(guī)格說(shuō)明語(yǔ)言；

狀態(tài)圖

形式化安全測(cè)試方法分為定理證明和模型檢測(cè)兩類(lèi)，如表2所示。

表2 形式化安全測(cè)試方法分類(lèi)

[定理證明＼&模型檢測(cè)＼&將程序轉(zhuǎn)……