[发明专利]基于损失量的软件强安全性度量方法

权利要求书

1.基于损失量的软件强安全性预测方法，其特征在于，软件安全性预测是一种以资金或利润损失分类而非以漏洞数或漏洞等级分类的软件安全性度预测方法，是在计算机中依次按下述步骤实现的：

步骤（1）计算机初始化，设定以下参数：

编号，是指从软件发布之日起，把至少造成一个损失量级的软件漏洞按发现的先后顺序排列后对发现次数给出的序号，用n表示，其中的损失量级分为c级，c=4，每级损失相当于设定的钱数，

累计天数，指造成所述至少一个损失量级的软件漏洞的发现日距软件发布日间相差的天数，

损失，在所述累计天数内，对同一天内金钱的总损失量计算均值后转化成的损失量级数作为一天的损失程度，

累计损失，自软件发布日起，到指定的至少造成一个损失量级的软件漏洞发现日止的损失总量，损失量级小于一级的不计入编号；

步骤（2）计算机从中国国家信息安全漏洞库中提取自软件发布日起到最后一次发现造成至少一个损失量级的软件漏洞所对应的指定日止的至少一个损失量级的所有软件漏洞数据，每次都形成一个数据组，其中包括：编号、损失、累计天数、累计损失；

采样时刻用一天即24小时作为单位，用τ表示，软件发布日用τ₀表示，所述指定日用τ_T-1表示，中间的任一日用τ_t表示，t=0,1,2…t…T-1，Δτ_t=τ_t-τ_t-1=1天，

编号用n表示，至少造成一个损失量级的软件漏洞的编号所对应的漏洞发现日用表示，其中n=0,1,2…n…N-1，n₀表示软件发布日τ₀时的编号。n₀=0,n_N-1表示最后发现至少一个损失量级的编号，N为编号的总数，在数值上N=T；

累计损失用m表示，τ₀时m₀=0，τ_T-1时m=m_T-1，中间任何一个编号n所对应的累计损失为m_n；

以所述每一个数据组为行，从而形成一个矩阵形式的用于表示从软件发布日起到所述指定日止的至少造成一个损失量级的软件漏洞数据组的序列，其中，各参数值时已知的；

步骤（3）依次按以下步骤进行基于损失量的软件强安全性预测：

步骤（3.1）采用下表转换的形式把最后一次发现至少一个损失量级的软件漏洞发现日τ_T-1,对应的累计损失m_T-1以及对应的编号N-1的都转换为预测起始日的数据：

令t₀′＝T-1,t′=t₀′,t₁′，…,t_T′，

n′₀＝N-1,n′=n₀′,n₁′，…,n′_N′,

mt0′=mT-1,]]>其中，

t′下标是预测时刻τ′的编号，预测起始日

n′下标是至少造成一级损失量级的软件漏洞发现次数的序号，N′是设定的总发现次数，其对应的发现日下标为T′，预测起始日的编号为n₀′，

是预测起始日的累计损失，已知；

步骤（3.2）从预测初始值开始，按下式计算下一个预测时间步长时的累计损失；

步骤（3.2.1）按下式计算和ω：

mt0′φ^-{Στt0′′τt1′′τt0′′+ω(τt1′′-τt0′′)φ^[τt0′′+ω(τt1′′-τt0′′)]+1}-{mt0′[τT-2+ω(τT-1-ΔτT-1)]{φ^[τT-2+ω(τT-1-ΔτT-1)]+1}ln{φ^[τT-1+ω(τT-1-ΔτT-1)]+1}}=0,{-Στt0′′τt1′′φ^ω(τt1′′-τt0′′)φ^[τt0′′+ω(τt1′′-τt0′′)]}-{mt0′φ^ω(τT-1-ΔτT-1){φ^[τT-2+ω(τT-1-ΔτT-1)]+1}ln{φ^[τT-1+ω(τT-1-ΔτT-1)]+1}}=0]]>Δτ_T-1=τ_T-1-τ_T-2,

ω为相关系数，待求，相关是指自软件发布之日起相邻两次预测次数时间间隔Δτ_t或Δτ′_t′内与损失量有关的泊松分布系数，是一个变量，

符号“∧”表示是估计值，是在预测时间间隔内估计的损失密度下降函数，表示在预测初始值开始后的各时间间隔Δτ′_t′内损失密度函数λ(Δτ′_t′)的初始损失密度，是一个与Δτ′_t′有关的变量，μ(Δτ′_t′)为Δτ′_t′内软件漏洞造成的损失的均值函数，μ(τ′_t′)=∫λ(τ′_t′+ω(τ′_t′))d(τ′_t′+ωΔτ′_t′)，Δτ′_t′=τ′_t′-τ′_t′-1，表示与对应的损失密度下降率。

步骤（3.2.2）按下式计算在自预测起始日起的一个Δτ′_t′=1内：

θ^t0′=1mt0′ln[φ^(τT-1+ωΔτt1′′)+1],]]>

Δτt′′=τt1′′-τt0′′,]]>

步骤（3.2.3）在Δτ′_t′=1内，按下式计算

为时的值

步骤（3.2.4）按下式计算时刻的累计损失量

mt1′=1θ^t0′ln[φ^(τT-1+ωΔτt1′′)+1],]]>

步骤（3.2.4）判断

若小于一个损失量级，则不计入被预测的软件漏洞预测数据组内，但存贮，

若等于或大于一个损失量级，则纳入被预测的软件漏洞被预测数据组内，存贮，

步骤（3.2.5）用下一预测时刻t₁′+1的代替用代替用步骤（3.2.1）~步骤（3.2.4）中所述的方法计算下一步长Δτ′_t′时的以此类推，一直到设定的至少损失一个量级的漏洞级数满足N′次为止，得到一个在预测时期T′内的软件漏洞预测数据组序列；

步骤（4）把步骤（3.2.5）得到的结果与步骤（2）中所述中国国家信息安全漏洞库中相对应编号的结果相比，判断其误差是否在[-0.4,0.4]损失量级范围内，其统计其预测准确率。