报告题目:基于依赖路径识别的软件架构安全分析方法
报告摘要:
软件架构指导了软件的设计与实现,在软件设计早期进行安全分析有助于发现软件系统潜在的安全缺陷。尽管目前“4+1”视图模型已经广泛应用于复杂软件设计开发,但是现有研究鲜有系统的应用“4+1”视图进行架构安全分析。本次报告主要介绍了我们结合“4+1”视图使用依赖路径识别技术来进行软件架构安全分析的相关工作。我们引入多层次依赖关系图将“4+1”视图模型的不同视角(使用不同UML图进行刻画)进行关联。然后基于架构信息识别软件的潜在攻击点,可能遭受攻击的核心资产,以及影响系统业务的关键节点。我们提出一种算法基于多层次依赖关系图检测软件系统中从攻击点到可能遭受攻击的目标节点之间的依赖路径,并设计了一套度量指标用于半定量的评估软件架构安全。除此之外,我们实现了一个软件架构安全度量评估工具,允许架构师输入软件架构以自动化的分析系统可能遭受攻击的路径。最后,我们在4种不同架构风格的软件系统上进行安全性分析来验证方法和工具的有效性。
个人介绍:
陈浩,21级博士研究生
导师:李必信教授
研究方向:软件架构安全分析
