[发明专利]加入攻击路径形式化分析的威胁建模方法

说明书

技术领域

本发明涉及软件开发设计领域，特别是涉及一种可信软件构建技术，以软件开发过程为研究对象，在软件设计阶段发现并分析软件缺陷，开发出可信软件。

背景技术

随着计算机和互联网的普及，软件已经成为信息时代资源获得和利用的重要载体。然而大量的软件缺陷导致软件的生产现状不能令人满意，在这种形势下，软件的安全就成为各项工作正常、高效进行的重要保障。目前，关于软件可信与安全的研究主要有三个角度：1)从软件开发者的角度，研究软件安全工程方法学；2)从攻击者的角度，研究发现新的攻击方法，如何应用和防御这些攻击方法；3)从软件本身，研究软件自身缺陷的发现、管理和使用。

软件缺陷产生、并贯穿于整个软件项目开发生命周期。因此，要从根本上降低安全可信软件的开发成本，提高其可靠性，就必须从软件工程的角度出发，在软件开发生命周期中的设计阶段加入威胁建模，帮助软件设计者获取软件缺陷信息，从而修正、避免软件缺陷，解决软件设计中的潜在安全隐患。威胁建模是一种工程技术，用于确定应用程序方案上下文中的威胁、攻击、漏洞和对策，其建模过程主要包括六个阶段：1)创建应用程序或系统的概图，2)分解应用程序或系统，3)确定资产、确定威胁，4)评估攻击路径和威胁，5)利用威胁树模型可视化软件缺陷，6)分别利用STRIDE模型和DREAD模型对威胁树根节点进行缺陷分类及评估。威胁树能够很好的展现针对某一威胁目标可能的攻击路径，这些信息将为系统的威胁分析及缓和提供重要依据。然而，微软的威胁建模并没有很好的利用和处理这些信息，而是将其直接展现给系统设计者，这就要求系统设计人员拥有较高的软件安全背景从而进一步分析，并给出相应的缓和方案。这不仅限制了威胁建模的应用，同时提高了软件开发成本，延长了软件开发周期。

统一建模语言UML是在开发阶段，说明、可视化、构建和书写一个面向对象软件密集系统的制品的开放方法，并被工业界广泛采用。它可用于软件设计阶段早期对应用程序的分解，其搭载了较详细的软件信息，其中潜在的包含了软件缺陷信息。但目前俄的相关技术却未能将UML有效利用于潜在的软件缺陷信息的分析。

发明内容

鉴于上述现有技术存在的缺陷，本发明提出了一种加入攻击路径形式化分析的威胁建模方法，在软件设计阶段通过UML活动图分解应用程序或系统，提取软件缺陷信息，进行威胁建模，以及对威胁路径分析进行评估，并将分析结果应用于软件缺陷的缓和方案。

本发明提出一种加入攻击路径形式化分析的威胁建模方法，在软件设计阶段通过UML活动图分解应用程序或系统，提取软件缺陷信息，进行威胁建模，该方法包括以下步骤：

步骤一，创建用例建模，该步骤还包括：找出备选应用程序或系统的边界、参与者和用例，确定应用程序或系统迭代这一过程，直到系统边界、参与者、用例稳定下来，输出用例模型；

步骤二，创建应用程序或系统的概图，该概图是以步骤一输出的用例建模所绘制的用例图来描述；

步骤三，使用活动图分解应用程序或系统，利用迭代方式将一个应用程序或系统分解为多个功能更小的子系统；在活动图中，通过UML中的构造型(stereotype)扩展机制，引入一个新的建模元素——边界，用它来表示机器、物理、地址空间或信任的边界，在此基础上增加输出资产信息功能，所获取的关键资产信息作为获取的威胁目标；

步骤四：将获取的关键资产信息作为威胁目标，以此为根结点创建威胁树，对威胁树中各节点进行赋值，包括威胁树根节点和叶节点的赋值；

步骤五：通过STRIDE和DREAD模型对威胁目标进行分类和评估；

步骤六：计算威胁树的攻击路径，威胁树的一条攻击路径就是从威胁树的根节点到一个最小割集中的所有叶节点所经过的路径。。该算法的输入表示为威胁树中节点的层次遍历结果N，输出表示为威胁树中各个节点的攻击路径P_i，该算法包括以下流程：

从层次遍历结果N中最后一个节点开始，逆序扫描，判断节点类型；

如果节点是叶节点N_L，其攻击路径就是N_L本身；

如果节点是AND类型节点N_A：