[发明专利]基于势函数的移动终端系统安全测评方法

说明书

技术领域

本发明涉及一种安全测评技术，特别是涉及基于势函数的移动终端系统安全测评方法。

背景技术

随着移动智能终端的普遍使用以及网络的快速发展，移动智能终端逐步互联网化和功能多元化，智能终端的用户群也迅速扩大，移动智能终端除了具备基本的通话功能外，还具备数字处理的大部分功能，尤其是基于无线网络数据通信的邮件、网页、游戏等功能。但同时智能终端病毒与恶意软件造成的损失和影响也在逐渐加大，蓝牙、USB连接、手机互联网等传输渠道已经成为病毒传播的主要途径，隐私信息被盗、窃听、吸费等攻击手段将给移动网络应用和个人信息安全带来极大威胁，智能终端安全的需求也越来越被关注，对移动智能终端系统安全进行测评是保证移动信息安全的基础,对移动智能终端系统进行安全性能的评价十分必要，可以让终端用户或使用单位了解某终端目前与未来可能遭受的的威胁和攻击，为其制定安全策略提供依据。

现有的安全测评方法主要是基于标准的安全功能测试，信息系统安全评估方法往往建立在的主观评估之上，并没有考虑威胁方式与安全缺陷之间的关系，也没有考虑不同安全缺陷和攻击方法的相互关系及不同危害程度，缺乏客观的安全测试准则，人为影响因素较强。而目前计算机系统安全测试的方法往往开销大，复杂度高，不适用于软硬件资源相对紧缺的移动智能终端。

发明内容

本发明的目的在于克服现有技术的不足，提供一种测评准确度高的基于势函数的移动终端系统安全测评方法，考虑不同安全威胁和安全缺陷之间的关联程度，对移动终端的不同安全威胁和安全缺陷进行客观评价，考虑安全威胁或安全缺陷可能带来的关联安全威胁或安全缺陷，人为影响因素少。

本发明的目的是通过以下技术方案来实现的：基于势函数的移动终端系统安全测评方法，它包括如下步骤：

S01：连接测试端与待测移动终端；

S02：测试端接收待测移动终端的测试数据并对该测试数据进行优化，定制待测移动终端各个安全项目所需的测试用例并存储；

S03：根据测试端生成的测试用例，对待测移动终端的各项安全指标执行测试，得到待测移动终端存在的安全威胁与安全缺陷；

S04：根据测试中得到的安全威胁与安全缺陷，分析各安全威胁与安全缺陷之间的关系，及终端已有的安全威胁与安全缺陷将带来的新的威胁与缺陷；

S05：根据步骤S04分析的结果，进一步进行安全威胁与安全缺陷的威胁值确定，建立各安全威胁与安全缺陷节点图；

S06：对安全威胁与安全缺陷节点图进行势函数计算；

S07：根据安全威胁与安全缺陷节点图的势函数，确定各节点的拓扑势计算值排序，得到各节点的危害程度排序，确定致命威胁节点；

S08：分析测试结果并根据测试结果中的所有测试结果生成一个总体的测试报告，对致命威胁节点提出系统安全功能修复建议。

步骤S02中测试数据的优化过程为：

①对输入的测试数据进行初始化；

②测试执行，返回适应值；

③选择适应值高的数据作为父体；

④对父体进行杂交或变异操作；

⑤得出新的测试数据，完成测试数据优化。

安全威胁与安全缺陷节点图由多个节点和多个节点连接的边组成，每个节点对应一个具体的安全威胁或安全缺陷，每一条边表示两节点之间的关系。

势函数计算是指对安全威胁与安全缺陷节点图中每一个节点进行拓扑势计算，安全威胁与安全缺陷节点图中任意节点的拓扑势计算公式为：

其中，d_ij表示节点v_i和节点v_j间的关联程度，即安全威胁与安全缺陷节点图中两节点之间边的长度；影响因子σ用于控制每个节点的影响范围，影响因子σ可通过求势熵最小值来确定；m_j表示节点v_j的量化值，且m_j≥0。

势熵的计算公式为：

其中，为标准化因子。

本发明的有益效果是：建立安全威胁与安全缺陷节点图，充分考虑了不同安全威胁和安全缺陷之间的关联程度，对移动终端的不同安全威胁和安全缺陷进行客观评价；充分考虑了一种安全威胁或安全缺陷可能带来的关联安全威胁或安全缺陷，以势函数找到致命威胁节点与安全缺陷列表，从而对各安全威胁、安全缺陷的危害程度进行排序，为移动终端安全测评提供依据，也为移动终端系统的安全修复提供参考。

附图说明

图1为本发明的流程图；

图2为测试数据优化的流程图；