Web应用软件安全测试用例集Memetic演化生成方法研究
基本信息
结项摘要
With the advance of Internet plus plan, the security of Web application software becomes more and more important. However, the security is not optimistic yet. Nowadays, most researches force on the test generation based on the model of clients or the penetration testing on servers. Moreover, the state or transition of a model self is taken as the coverage objective to guide the test generation. Seldom test generation on client is achieved at paths coverage as the objective from server side. In addition, the model is established mostly with respect to the Web application software without Ajax technology. However, Ajax has been already becoming very common in Web 2.0 applications. Thus, the project aims at seeking a method to create an EFSM model based on the client behavior of Web2.0 application software, and exploring an approach to obtain vulnerable sensitive paths based on Vulnerability analysis on server code. Moreover, the diversity of test suite is discussed with respect to Web application software. Then, we will investigate an approach to automatically generate test suite from created EFSM model based on the user behaviors of client by using Memetic evolutionary algorithms, under the guidance of test suite diversity, so that the vulnerable sensitive paths of server side can be checked. Furthermore, we will develop a relevant test suite generation tool and construct a large number of experimental researches on practical used Web applications software to evaluate the effectiveness and efficiency of the test suite generated. Finally, we try to supply a feasible solution to automatically generate test suite according to the security of Web application software.
随着“互联网+”计划的推进,Web应用软件的安全性越来越重要,但其安全性不容乐观。目前Web应用软件安全测试研究大多集中在客户端建模或服务器端渗透测试上,且基于客户端建模的测试生成大都以模型自身状态/迁移为目标。鲜有将客户端与服务器端结合起来,以后端路径指导前端模型的测试生成。再者,目前主要针对不含Ajax技术的Web应用软件进行建模,但Web2.0几乎都采用Ajax技术。因此,本申请旨在针对Web2.0应用软件,从客户端行为分析和服务器端代码分析两方面,探讨一种基于客户端行为的EFSM建模方法;研究一种基于服务器端安全脆弱点敏感路径分析方法;进行Web应用软件测试用例多样性研究;进而针对客户端EFSM模型,探讨以服务器端敏感路径覆盖为目标,以多样性为指导的测试用例集Memetic演化生成方法;进行基于实验的测试生成有效性分析,为Web应用软件安全测试用例集自动生成提供一种全新的、可行的解决途径。
项目摘要
随着互联网的快速发展和普及,Web应用已成为人们社会生活中不可或缺的部分。然而,Web应用软件的安全性不容乐观。如何提高Web应用软件的质量和安全性,减少Web应用软件的安全漏洞,已成为学术界和工业界广泛关注和高度重视的研究热点之一。.现代Web2.0应用软件的异步通信、事件驱动等特性,给Web应用软件建模和安全测试带来了新的挑战。因此,本项目针对现代Web2.0应用软件,从客户端行为和服务器端代码两方面着手,研究了一种客户端行为CBM模型构建与完整性验证方法,对于不完整的模型,给出了一种基于静态和动态分析的CBM模型自动补全方法,提高了Web应用客户端行为CBM模型的完整性;研究了一种服务器端代码安全脆弱点识别及敏感路径集生成方法,可有效识别Web应用服务器端安全脆弱点敏感路径;研究了影响CBM模型测试用例集多样性的关键因素,给出了CBM模型测试用例间差异性度量及多样性评价指标;在此基础上,研究了一种以服务器端敏感路径覆盖为目标,以最大化测试用例集多样性为指导,基于客户端CBM模型的测试用例集Memetic演化生成方法,充分考虑了全局搜索的高效性和局部搜索的精准度,提升了Web应用软件安全测试用例集的生成质量;研究了一种客户端服务器端融合的Web应用安全测试用例集并行演化生成方法,实现了种群个体在多浏览器上的并行执行及适应度函数的并行计算,极大地提高了Web应用安全软件测试用例生成效率;研究了一种基于漏洞预测的CBM模型恶意数据GA演化生成方法,将服务器端的漏洞预测与客户端CBM模型的恶意数据生成结合起来,有效地提高了漏洞检测效率;并将项目的部分研究成果——基于用户行为轨迹的模型构建和完整性验证方法,应用于航空领域某型飞控软件的实际安全性分析与评估中,取得了较好的应用效果,为理论技术应用于实际提供了强有力的支持。本项目研究成果的取得,必将为Web应用软件安全测试用例集自动生成技术的实际应用提供示范指导,推动Web应用软件安全测试技术的进一步发展。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
基于铁路客流分配的旅客列车开行方案调整方法
基于铁路客流分配的旅客列车开行方案调整方法
一种基于多层设计空间缩减策略的近似高维优化方法
一种基于多层设计空间缩减策略的近似高维优化方法
新型树启发式搜索算法的机器人路径规划
新型树启发式搜索算法的机器人路径规划
"多对多"模式下GEO卫星在轨加注任务规划
"多对多"模式下GEO卫星在轨加注任务规划
二维FM系统的同时故障检测与控制
二维FM系统的同时故障检测与控制
赵瑞莲的其他基金
相似国自然基金
基于退火Memetic算法和贝叶斯网络的回归测试用例集优化研究
组合测试用例的生成及演化技术
基于模型检验的测试用例生成方法研究
面向软件回归测试用例集优化的混合进化方法研究