基於數據挖掘的第三方構件安全性測試方法研究

第三方構件的安全性是影響構件技術發展的重要因素之一，也是軟體質量指標體系的重要組成部分，而安全性測試是確保此特性的有效手段。本課題以第三方構件為研究對象，首先研究第三方構件靜態及動態運行時的顯式及隱式安全漏洞特點，基於數據挖掘技術給出構件的安全性測試模型。然後基於此測試模型採用頻繁項集和序列模式挖掘算法挖掘生成需求規約和有效的構件接口方法及構件方法執行序列，進一步導出構件狀態轉換圖並生成接口方法測試序列。在此基礎上給出相應的構件條件及狀態變異算法,並對測試序列進行條件及狀態變異，根據變異算法生成變異測試序列進行安全性測試。此外，基於構件測試運行時的監測日誌及變異測試產生的不安全序列，採用數據分類技術、頻繁項集及序列挖掘算法得到安全關聯規則、安全異常方法及安全異常方法執行序列，同時生成安全測試報告。本課題的研究將為第三方構件的安全性測試提供新的方法和思路，將進一步促進構件軟體工程的發展。

基於構件的軟體工程由於可實現構件復用及“即插即用”的特點，大大縮短了軟體開發的周期，降低開發及維護的成本，已經成為面向對象軟體工程領域的研究熱點。同時，隨著構件技術的發展，構件在醫療、銀行等安全至關重要行業的套用日益廣泛。因此，對構件及構件系統的測試是保證構件功能性、安全性、可靠性的重要措施，為保證構件的質量，要求實現構件開發的提供方和第三方構件的使用者對構件和構件系統實施測試。然而，目前對構件的研究主要集中在構件功能性測試，以確保找到構件在開發和實現過程中的功能性錯誤，對構件尤其是第三方構件的安全性測試的研究尚少，特別是第三方構件由於無法獲得原始碼和詳細的設計說明，使得傳統的白盒測試技術無法很好地套用，從而給第三方構件安全性測試帶來了極大的挑戰。第三方構件的脆弱性本質是指構件中存在的顯式和隱式的安全異常，顯式安全異常大多由緩衝區溢出、記憶體泄漏造成，而隱式安全異常指第三方構件的內部執行狀態違背了構件的安全需求規約。本課題以第三方構件為研究對象，首先研究了一種基於數據挖掘技術的構件安全性測試模型及框架，形成指導測試的準則與方法。在這個安全測試模型中研究了基於需求規約和監測日誌採用頻繁項集與序列模式挖掘算法生成構件方法執行序列的方法。在此基礎上研究了相應的構件條件、參數及狀態變異測試算法,並對測試序列進行條件、參數及狀態變異，根據變異算法生成變異測試序列進行安全性測試。同時基於運行時的監測日誌及變異測試產生的不安全序列，研究了採用數據分類技術、頻繁項集及序列模式挖掘算法對構件進行安全關聯規則、異常方法和異常序列挖掘的方法，進一步生成構件安全漏洞測試報告。此外，以Web服務為測試對象，研究了最壞差異輸入、組合變異及安全規則變異測試算法，這些方法對Web服務安全脆弱性測試具有一定的效果。最後，設計實現了一個第三方構件安全性測試原型系統。本課題的研究為第三方構件的安全性測試提供了新的方法和思路，對工業實踐構件測試領域具有一定的借鑑作用，在一定程度上促進了構件軟體工程的發展。