A Fault Model and Mutation Testing of Access Control Policies

最新推荐文章于 2022-05-02 15:23:37 发布
最新推荐文章于 2022-05-02 15:23:37 发布
阅读量649 收藏
点赞数
分类专栏: Reading Review
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingjinlyc/article/details/8876586
版权
Evan Martin and Tao Xie, WWW 2007

本文工作:
本文侧重于对access policy的mutation分析技术的探究。mutation analysis在程序测试分析中的应用已经较为成熟,然而目前还没有较充分的研究工作关注于
access policy的mutation analysis。应当为access policy建立什么样的错误模型,这些错误模型能否有效地评估测试用例(在access policy测试中是request),
是本文研究的重点。作者提出了三个policy覆盖准则,以及两种测试生成方法,试图探究生成的测试用例的policy覆盖率与检测错误能力之间的关系。

Mutation operators


上表是作者定义的11种mutation operator。这些mutation operator都是针对XACML设计的,包括诸如decision的修改等等。

Coverage criteria
Policy coverage:如果某个policy适用于某个request,就说该policy被覆盖了
Rule coverage:如果某个rule适用于某个request,就说该rule被覆盖了
Condition coverage:The evaluation of the condition for a rule has two outcomes: true and false, which are called as the true condition and false condition
, respectively. A true (false) condition for a rule is covered by a request if the rule is covered by the request and the condition is evaluated to be true (false).


Test generation
Random Test Generation:按属性值随机生成request。具体的,一个request是一个向量,每一维是0或1,若属性被选中,则为1,否则为0
Test Generation via Change-Impact Analysis:利用Margrave工具的change-impact分析能力,首先生成目标policy(rule)的另一个版本,借助Magrave可以生成一个反例request
,即得到了一个覆盖目标policy(rule)的request

本文贡献:
1、提出了access control policies的错误模型;
2、开发了工具,用于自动生成包含mutation policy的工具;
qingjinlyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gitlab项目通过ci/cd产生code coverage代码覆盖率
kielin的专栏
11-02 6726
gitlab项目通过ci/cd产生code coverage代码覆盖率背景调查方案gitlab项目gitlab-ci.yml设置gitlab runner安装与配置codecoverage结果展示trouble shouting:总结 背景 gitlab项目需要统计**code coverage ** ,一个同半年多了没有实质的进展,后面说不知道怎么弄(此处省略几千字)。网络这么发达,这个问题又是很普遍的事情,怎么可能没解决方案呢? 调查方案 选择jacoco代码覆盖率统计,可能两种比较普遍的: 把git
H-infinity Fault Tolerant Control of WECS Based on the PWA Model
02-07
The main contribution of this paper is the development of H-infinity fault tolerant control for a wind energy conversion system (WECS) based on the stochastic piecewise affine (PWA) model. In ...
Verification and Change-Impact Analysis of Access Control Policies
写诗的程序员
05-02 804
Kathi Fisler, Shriram Krishnamurthi, Leo A. Meyerovich, Michael Carl Tschantz, ICSE’05 本文工作: 作者实现了一个验证Security Policy的工具Margrave,该工具可以检查Security Policy的描述(XACML形式)与用户定义的property(形式化描述)是否一致。另一个功能
数据挖掘课程笔记--分类(2)基于规则的分类
weixin_43960413的博客
04-08 3571
一、算法简介 规则是表示信息或少量知识的好方法。基于规则的分类器使用一组IF—THEN规则进行分类。 规则: (Condition) ----->y Condition 是属性测试的合取 y 是类标号 左部: 规则的前件或前提 右部: 规则的结论 分类规则的例子: (胎生=否) ^飞行动物=是) -->鸟类 (胎生=是) ^ (体温=恒温) --> 哺乳类 二 规则的质...
机器学习(十二)-基于规则的分类器
热门推荐
Blessy_Zhu的博客
06-11 2万+
本文主要介绍给予规则的分类器的相关内容
LLVM学习笔记(53)
wuhui_gdnt的专栏
01-03 580
3.11.2.模式分析 GlobalISel是以DAG指令选择的TD定义处理与分析为基础的。因此,GlobalISelEmitter包含了一个CodeGenDAGPatterns类型的const成员CGP(一旦创建完成,就是只读的),在GlobalISelEmitter构造函数中将完成DAG指令选择令人眼花缭乱的准备工作(参考DAG指令选择器的生成代码一节,直到Match对象序列的优化为止),...
Awesome Go精选的Go框架,库和软件的精选清单.A curated list of awesome Go frameworks, libraries and software...
浩秦的博客
10-22 2139
Awesome Go financial support to Awesome Go A curated list of awesome Go frameworks, libraries and software. Inspired byawesome-python. Contributing Please take a quick gander at th...
从www2007看近两年web热点(转)
ShawnXing的专栏
10-14 1154
从www2007上的论文,我们可以大致看出来,近两年的热点(学术和商业)在数据挖掘、搜索以及与语义网方面。关于语义网,我个人更多的理解是现在半结构化甚至无结构化的www在某种程度上阻碍着很多东西的实现,而语义网则是在寻找一种突破。 Track: Browsers and User Interfaces Session: Personalization ...
Functional Programming in Java venkat(2) hello lambda expressions
阿正的梦工坊
05-02 1517
Venkat's book
The Google File System
江湖·郎中·路
07-26 3104
ABSTRACTWe have designed and implemented the Google File System,a scalable distributed file system for large distributeddata-intensive applications. It provides fault tolerance whilerunning on inexpen
Study on crosstalk fault model and testing for SoC inter-core interconnects
02-21
Signal integrity testing for inter-cores in SoC has become an important issue within DSM manufacturing technology and GHz working frequency of VLSI. A new testing method for SoC inter-core ...
A Survey of Fault Diagnosis and Fault-Tolerant Techniques 1
04-10
基于模型和信号的故障诊断综述SCI原文,同时上传了该文章的翻译版,可以搜索“故障诊断与容错技术概述第一部分基于模型和基于信号的方法(翻译)”进行下载,谢谢
A SURVEY OF FAULT SIMULATION, FAULT GRADING AND TEST PATTERN
10-30
A SURVEY OF FAULT SIMULATION, FAULT GRADING AND TEST PATTERN GENERATION TECHNIQUES WITH EMPHASIS ON THE FEASIBILITY OF VHDL BASED FAULT SIMULATION
Data-driven Design of Fault Diagnosis and Fault-tolerant Control Systems
11-02
Data-driven Design of Fault Diagnosis and Fault-tolerant Control Systems 2014 杜伊斯堡埃森大学 丁教授
A Model -Based Approach to Automated Testing of Access Control Policies
写诗的程序员
05-02 866
Dianxiang Xu, Lijo Thomas, Michael Kent, Tejeddine Mouelhi, Yves Le Traon. SACMAT’12 本文工作: 本文作者提出了基于模型的方法测试Access Control Policies。采用的模型是PrT网。PrT网是Petri网的简化,它由places,transitions和arcs构成。 每一个plac
A Model-Based Framework for Security Policy Specification, Deployment and Testing
写诗的程序员
05-02 717
Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon, MoDELS 2008 1、用model-driven的方法进行security policy测试,可行,但是扩展性有多大?可靠性又如何?值不值得深入研究? 首先在P.I(platform independent)对SP model进行验
Transforming and Selecting Functional Test Cases for Security Policy Testing
写诗的程序员
05-02 673
Tejeddine Mouelhi, Yves Le Traon, Benoit Baudry, ICST.2009 本文作者做的工作是:在对系统进行功能测试时,有对应的测试用例,现在提供一种自动化的方法,从这些测试用例中识别出覆盖到Security Policy(SP)功能的测试用例(假设叫TCS)。 这是第一步。第二步是将TCS进行转换,以生成针对SP的测试用例。当然同时要重新定义
Model-Based Tests for Access Control Policies
写诗的程序员
05-02 665
Alexander Pretschner, Tejeddine Mouelhi, Yves Le Traon, ICST.2008 本文工作: 提出两个安全策略测试生成的方法:独立于policy和依据policy。 作者采用RBAC模型描述Security Policy,并且对其进行了扩展,加入了context元素。首先作者定义了Security Policy元模型:
Segmentation fault error, Invalid access to storage.
最新发布
03-23
这是一个常见的程序错误,通常是由于程序试图访问无效的内存地址或使用已释放的内存引起的。要解决这个问题,需要检查程序的代码,找出可能导致错误的部分,并进行修复。常见的解决方法包括使用调试工具来跟踪程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值