基于数据驱动的软件安全需求推荐

发布时间：2020-03-28 14:14

【摘要】：在软件开发过程中,需求分析阶段需要对安全性进行评估,因此在开发信息安全系统时确定软件安全需求(SR)是十分重要的。然而,大多数安全需求的确定,都是专家依据Common Criteria标准(CC),具体软件具体分析,因而要求专家有深厚的安全知识和经验,这些都增加了获取安全需求的困难性和复杂度。基于CC官方网站中提供的软件产品的Security Target(ST)文档,本文提出一个基于数据的功能话题-安全需求(FT-SR)模型来推荐软件安全需求,为在软件开发的需求分析阶段获取软件安全需求提供方法。首先对于所有产品分别从ST文档中抽取与功能相关的描述,并标记每个产品的安全需求。其次,利用主题模型,对软件产品的功能描述进行功能话题聚类。同时,依据每个软件产品的ST文档中产品功能和安全需求之间的关系,构建产品功能话题和安全需求之间的映射FT-SR模型。最后依据FT-SR模型,结合协同过滤框架提出了一个推荐策略为给定产品推荐相应的安全需求。实验表明,可以对经过Competent and Independent Licensed Laboratories验证的2000多个产品进行实验,验证了本文提出的方法能够有效地为给定产品推荐安全需求。本文提出的基于数据的安全需求推荐框架为获取软件安全需求提供了一个新的研究方向,即使缺乏一定安全相关的知识也可以获取到安全需求,降低了确定安全需求过程中的难度,在一定程度上减少了分析者主观因素的影响且提高了获取安全需求的效率。
【学位授予单位】：天津大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP311.5;TP309

【参考文献】