Automated Test Generation for Access Control Policies via Change-Impact Analysis

最新推荐文章于 2013-05-02 16:40:13 发布
最新推荐文章于 2013-05-02 16:40:13 发布
阅读量631 收藏
点赞数
分类专栏: Reading Review
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingjinlyc/article/details/8876573
版权
Evan Martin, Tao Xie. SESS`07

本文工作:
本文提出了一个生成Access Control Policy测试的方法,借助Change-Impact技术来生成测试request。并且开发了可用的工具Cirg。
该方法基于Change-Impact工具Margrave,首先提出两种生成policy不同版本的策略:one-to-empty和all-to-negate-one。
one-to-empty
对每条规则,生成两个版本的policy,分别是仅由该规则构成的permission(prohibition)policy和没有任何规则的prohibition(permission)policy

all-to-negate-one
对每条规则将permission(prohibition)改为prohibition(permission)。

Change-Impact工具可以针对两个不同版本的policy生成反例request,以覆盖对应的rule,自然可以将生成的反例request作为测试输入。

本文贡献:
1、提出了新颖的生成Access Control Policy测试输入的方法:基于Change-Impact的方法;
2、开发了可用的工具Cirg,自动生成测试输入;
qingjinlyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Automated Test Generation for IEC 61131-3 ST Programs via Dynamic Symbolic Execution
02-08
Automated Test Generation for IEC 61131-3 ST Programs via Dynamic Symbolic Execution
符号执行和本地解释Automated Test Generation to Detect Individual Discrimination in AI Models
大肉包的博客
09-06 344
使用符号执行和本地可解释性来生成测试输入。关键思想是使用本地解释,特别是本地可解释模型不可知解释来确定驱动决策的因素是否包括受保护的属性。评估表明,在12个基准测试中,该方法生成的成功测试用例是THEMIS的3.72倍。文章中开发了一种新的动态符号执行和局部解释的组合,以生成非可解释模型的测试用例。局部解释器的使用将为黑盒 AI 模型的基于路径的分析开辟许多途径。 符号执行(Symbolic Execution)是一种程序分析技术,它可以通过分析程序来得到让特定代码区域执行的输入。顾名思义,使用符..
p4pktgen: Automated Test Case Generation for P4 Programs.docx
09-02
【p4pktgen:P4程序的自动化测试用例生成】 在现代网络环境中,硬件的可编程性已经深入到了数据平面,使得网络基础设施变得更加灵活和强大。P4编程语言的出现,降低了更改网络交换机内部逻辑的难度,同时也提供了一...
Automated safety analysis on scenario-based requirements for train control system
02-07
### 自动化安全分析在基于场景的列车控制系统需求中的应用 #### 核心知识点解析 本文档主要讨论了自动化安全分析方法在列车控制系统中的应用,针对该系统的安全性问题提出了一种新的解决思路。...
Automated-machine-learning-for-geochemical-analysis-a-methodological-and-architectonic-approach
03-06
《地球化学分析的自动机器学习方法与架构设计》 在当今大数据时代,地球化学分析正逐渐从传统的实验方法转向利用自动化机器学习技术进行数据分析。自动机器学习(AutoML)不仅提高了分析效率,还提升了预测的准确性...
ISO 34501 2022 Road vehicles - Test scenarios for automated driv
01-06
ISO 34501 2022 Road vehicles - Test scenarios for automated driving systems(1)
A Model -Based Approach to Automated Testing of Access Control Policies
写诗的程序员
05-02 866
Dianxiang Xu, Lijo Thomas, Michael Kent, Tejeddine Mouelhi, Yves Le Traon. SACMAT’12 本文工作: 本文作者提出了基于模型的方法测试Access Control Policies。采用的模型是PrT网。PrT网是Petri网的简化,它由places,transitions和arcs构成。 每一个plac
Verification and Change-Impact Analysis of Access Control Policies
写诗的程序员
05-02 807
Kathi Fisler, Shriram Krishnamurthi, Leo A. Meyerovich, Michael Carl Tschantz, ICSE’05 本文工作: 作者实现了一个验证Security Policy的工具Margrave,该工具可以检查Security Policy的描述(XACML形式)与用户定义的property(形式化描述)是否一致。另一个功能
A Model-Based Framework for Security Policy Specification, Deployment and Testing
写诗的程序员
05-02 723
Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon, MoDELS 2008 1、用model-driven的方法进行security policy测试,可行,但是扩展性有多大?可靠性又如何?值不值得深入研究? 首先在P.I(platform independent)对SP model进行验
Transforming and Selecting Functional Test Cases for Security Policy Testing
写诗的程序员
05-02 673
Tejeddine Mouelhi, Yves Le Traon, Benoit Baudry, ICST.2009 本文作者做的工作是:在对系统进行功能测试时,有对应的测试用例,现在提供一种自动化的方法,从这些测试用例中识别出覆盖到Security Policy(SP)功能的测试用例(假设叫TCS)。 这是第一步。第二步是将TCS进行转换,以生成针对SP的测试用例。当然同时要重新定义
Model-Based Tests for Access Control Policies
写诗的程序员
05-02 666
Alexander Pretschner, Tejeddine Mouelhi, Yves Le Traon, ICST.2008 本文工作: 提出两个安全策略测试生成的方法:独立于policy和依据policy。 作者采用RBAC模型描述Security Policy,并且对其进行了扩展,加入了context元素。首先作者定义了Security Policy元模型:
Testing security policies: going beyond functional testing
写诗的程序员
05-02 653
Yves Le Traon, Tejeddine Mouelhi, Benoit Baudry, ISSRE.2007 本文工作: 对于系统功能测试,研究界已有广泛的相关工作,工业界也有广泛的应用,然而很少有专门的工作专注于对系统的安全策略进行测试。本文将目光集中于对系统安全策略的测试,从测试用例覆盖率的角度论述功能测试和安全测试之间的差别,说明了为安全策略设计专门的测试用例的必要性,
A Fault Model and Mutation Testing of Access Control Policies
写诗的程序员
05-02 650
Evan Martin and Tao Xie, WWW 2007 本文工作: 本文侧重于对access policy的mutation分析技术的探究。mutation analysis在程序测试分析中的应用已经较为成熟,然而目前还没有较充分的研究工作关注于 access policy的mutation analysis。应当为access policy建立什么样的错误模型,这些错误
Systematic XACML request generation for testing purposes
写诗的程序员
05-02 649
Antonia Bertolino, Francesca Lonetti, Eda Marchetti, SEAA.2010 本文工作: 与传统的软件测试一样,测试Security Policy的关键问题之一是测试用例生成。目前有三类生成Security Policy测试用例的方法,分别是 Synthesis-based(主要是K. Fisler还有T. Xie的工作):用可用的
A Formal Approach for Testing Security Rules
写诗的程序员
05-02 627
Wissam Mallouli, Jean-Marie Orset, Ana Cavalli, SACMAT’07 1、 作者说将security policy 集成到(integrated into)系统模型中。为什么这个系统模型起初没有将security policy 模型考虑进去呢? 2、 作者说自动地从规则集合生成测试序列,这个测试序列是什么样的呢?如何实施测试? 3、 作者
Mutation Analysis for Security Tests Qualification
写诗的程序员
05-02 579
Tejeddine Mouelhi,  Yves Le Traon, Benoit Baudry, TAIC.PART.2007 本文中,作者研究如何将mutation分析方法应用于Security Policy测试,目的是协助筛选有效的测试用例。 mutation分析方法于1971年由Richard Lipton首先提出,其目标在于检测用于程序测试的测试用例是否有效,通过在源代码
Automatic Conformance Testing of Web Services
写诗的程序员
05-02 480
本文工作: SOA定义三种角色支持Web Service的发布和使用,分别是:provider,requestor和discovery service。provider是Web Service的提供者,requestor是Web Service的请求者,discovery service负责解析requestor的服务请求,查询复合需求的Web Service返回给requestor。 pro
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
Delphi 7:Visual Programming with Automated Source Code Generation
本文档主要介绍了Delphi程序设计的基础资料,特别是关于源代码生成器的部分。Delphi是由Borland公司开发的第四代编程语言,因其可视化、简单、高效和功能强大的特点,在程序开发领域产生了深远影响。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值