[发明专利]一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法有效
| 申请号: | 201910200929.1 | 申请日: | 2019-03-18 |
| 公开(公告)号: | CN110022311B | 公开(公告)日: | 2021-09-24 |
| 发明(设计)人: | 樊旭东;詹静;赵勇;高雅琪;韩瑾 | 申请(专利权)人: | 北京工业大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 沈波 |
| 地址: | 100124 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法,基于数据流分析的覆盖云外包数据服务生命周期的数据泄露检测指标生成方法;基于数据泄漏攻击对象攻击树模型的攻击图自动化构建;基于攻击图及XML安全测试描述语言自动化生成XML安全测试用例;基于模板的安全测试脚本自动化生成;本发明基于数据流分析覆盖云外包数据服务生命周期的数据泄露威胁,自动化构建云平台外包数据服务场景下的数据泄露安全指标体系;基于数据泄漏攻击点攻击树模型构建攻击树以及攻击图,提高攻击检测效率;提出基于XML安全测试描述语言,自动化生成可执行安全测试用例脚本。 | ||
| 搜索关键词: | 一种 基于 攻击 外包 服务 数据 泄露 安全 测试 自动化 生成 方法 | ||
【主权项】:
1.一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法,其特征在于,该方法包括以下4个步骤:步骤1基于数据流分析的覆盖云外包数据服务生命周期的数据泄露检测指标生成方法;本步骤将结合云外包数据服务场景下的DO数据生命周期,分析生命周期中存在的威胁角色及不同服务模式下威胁角色之间的关系,从攻击者视角对正常数据流进行分析,依次按照数据所处不同位置,针对不同层次的服务商以及被攻击对象自动化生成数据泄露检测指标;步骤2基于数据泄漏攻击对象攻击树模型的攻击图自动化构建本步骤2将基于步骤1中生成的数据泄露指标体系,结合数据生命周期的不同阶段及数据具体流向,采用攻击树模型来描述数据流经关键点被攻击对象的具体攻击方式,并组合被攻击对象、攻击路径及攻击方式构建攻击图;步骤3基于攻击图及XML安全测试描述语言自动化生成XML安全测试用例;通过构建的攻击图,直观描述可能导致数据泄露的攻击方式;而为了能够支持安全测试的可扩展性以及测试过程的自动化,本方法提出了基于XML的安全测试描述语言,用于描述测试过程;采用XML Schema语言描述的XSD文件对XML安全测试文件中包含的场景数据元素与属性字段进行定义,包括三部分数据元素:攻击策略元素AttackStrategy、测试策略元素TestStrategy以及测试报告元素TestReport;其中,攻击策略元素是由一条或者多条攻击路径attackPath元素组成的集合,定义如下:![]()
攻击策略元素定义了在某种攻击子场景下,攻击者使用场景攻击脚本路径下某一种编程语言实现的攻击脚本对攻击点发起攻击以及攻击过程的描述;测试策略元素是由一种或者多种测试方法testMethod元素组成的集合,定义如下:![]()
测试策略元素定义了在某种攻击后的子场景下,测试者使用该场景测试脚本路径下某一种编程语言实现的测试脚本对该场景是否存在某类攻击进行安全测试以及执行的测试次数;测试报告元素不包含其他子元素,描述测试者进行安全测试的测试日期以及测试报告的存储路径,定义如下:TestReport=<tester,dir,testDate>基于攻击图与XML安全测试描述语言,生成XML安全测试用例基本步骤如下:对步骤2中的攻击图执行深度优先遍历算法,从正常状态节点出发,得到其邻接节点后,依次对所有邻接节点元素进行遍历,得到所有从正常状态节点出发到异常状态节点的攻击路径;对每一条攻击路径,通过定义的AttackStrategy元素去描述每一条攻击路径对应的攻击策略,包括attackScriptLanguage,attackScriptLocation,attackScript内容;依据定义的TestStrategy元素描述测试策略,包括testScriptLanguage,testScriptLocation,testScript内容,同时依据定义的TestReport元素描述tester,dir,testDate内容,待攻击图遍历完毕之后,创建XML文件,最终生成XML安全测试用例;步骤4基于模板的安全测试脚本自动化生成为了保证自动生成的安全测试脚本可执行且符合shell语言定义的语法格式,本方法通过自定义测试脚本生成模板生成符合要求的可执行安全测试脚本;根据shell语言的基本语法格式,所定义的脚本生成模板内容包括该脚本使用的shell解释器以及相关注释说明;其次,为了生成可执行安全测试脚本还需要提取XML安全测试用例中的相关数据,通过使用ET元素解析树的方式来解析XML格式的安全测试用例,基本步骤为:首先通过xml.etree.ElementTree模块,将XML格式的安全测试用例转化ET树;对元素树进行遍历,首先获取XML安全测试用例中AttackStrategy元素对象,依次获取attackPath子元素对象,将attackPath下的attackScript、attackScriptLanguage、attackScriptLocation元素值组合并进行语法转换;同样对TestStrategy子元素testStrategy下的testScript、testScriptLanguage、testScriptLocation元素值以及TestReport中的tester,dir,testDate值组合并进行语法转换后,写入到初始安全测试脚本生成模板中;最后输出shell支持的可执行安全测试脚本,完成安全测试脚本的自动化生成过程,用于后续的安全测试。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910200929.1/,转载请声明来源钻瓜专利网。
