A Formal Approach for Testing Security Rules

最新推荐文章于 2022-03-01 00:55:37 发布
最新推荐文章于 2022-03-01 00:55:37 发布
阅读量632 收藏
点赞数
分类专栏: Reading Review
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingjinlyc/article/details/8876630
版权
Wissam Mallouli, Jean-Marie Orset, Ana Cavalli, SACMAT’07

1、 作者说将security policy 集成到(integrated into)系统模型中。为什么这个系统模型起初没有将security policy 模型考虑进去呢?
2、 作者说自动地从规则集合生成测试序列,这个测试序列是什么样的呢?如何实施测试?
3、 作者将原始系统和security policy分开来看。前者是没有security policy的具有完整功能的系统。然后引入新的上下文(context)以将security policy考虑进去
4、 原来有现成的方法(ISO9649),可以根据EFSM模型来验证实现与设计是否相一致?!
5、 文章仅针对OrBAC进行建模,并且该策略只有三种activity:obligation、permission和prohibition。我觉得不是所有的security policy都只有这三种activity,例如XACML。
那么就是说该方法还是具有局限性。当然我自己的思维现在也有局限性,是不是跳开“通用的测试security policy的方法”这个圈子去思考呢?



文章试图提出一个测试security policy的方法。作者构建出两套模型:系统的EFSM模型和基于OrBAC语法的security policy模型(也是EFSM模型)。作者提出的验证方法中,将系统的实现和上述两种模型作为输入,来验证系统对security policy的实现是否与设计相一致。

关键步骤有两个:

1、根据SP(Security Policy) rules自动转换成EFSM模型;

2、根据EFSM模型自动生成测试序列(模型用SDL语言描述)。

这项工作属于基于模型的测试方法,并且应用在了对security policy的测试中,尽管还是局限于特定的策略框架(OrBAC)。


本文贡献:

1、提出了一个自动化方法,将安全策略描述转换为EFSM模型;

2、根据转换的模型自动生成测试目标。

qingjinlyc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习对称形式的量化(Learning Symmetric Quantization)
AI Flash
05-28 4091
"SYQ: Learning Symmetric Quantization For Efficient Deep Neural Networks"这篇文章提出了基于梯度的对称量化(SYQ: Learning Symmetric Quantization)方法设计高效率的二值化或三值化深度网络(1-bit或2-bit权重量化),并在pixel-wise或row-wise而非layer-wise定义细...
深度学习模型的量化方法(论文学习 & tensorflow lite量化方法)
cokeonly的博客
01-10 2万+
Quantization 方法介绍 深度学习模型的量化方法(论文学习 & tensorflow lite量化方法) > 方法介绍.JPG" src="http://wiki.baidu.com/download/attachments/435396326/%E6%96%B9%E6%B3%95%E4%BB%8B%E7%BB%8D.JPG?version=1&modificationDa
CVPR 2017 Abstracts Collection
热门推荐
人工智能
07-11 3万+
https://github.com/MichaelLiang12/CVPR-2017-Abstracts-Collection/blob/master/CVPR2017_Abstract_Collection.md CVPR 2017 Abstracts Collection Collection of CVPR 2017, including titles, lin
A Comprehensive Formal Security Analysis of OAuth 2.0
weixin_33705053的博客
02-17 1181
为什么80%的码农都做不了架构师?>>> ...
Uncover Security Design Flaws Using The STRIDE Approach
cnbird's blog
10-29 2928
http://msdn.microsoft.com/en-us/magazine/cc163519.aspx This article discusses: The importance of threat modeling How to model a system using a data flow diagram How to mitigate thr
TYPES OF TESTING
emilyzhang98的专栏
02-24 1521
TYPES OF TESTING 1.  Black Box Testing. 21.1 FUNCTIONAL TESTING.. 21.2 STRESS TESTING.. 21.3 LOAD TESTING.. 31.4 AD-HOC TESTING.. 31.5 EXPLORATORY TESTING.. 31.6 USABILITY TESTING..
computer security 复习
zj71hmvx的博客
01-14 4125
网安
Conceptual Challenges for Interpretable Machine Learning
weixin_42786150的博客
03-01 1357
Conceptual Challenges for Interpretable Machine Learning David S. Watson1 'Department of Statistical Science, University College London, London, UK Email for correspondence: david.watson@ucl.ac.uk §0 Abstract As machine learning has gradually entere..
What to account for when accounting for algorithms
weixin_42786150的博客
02-28 1607
What to account for when accounting for algorithms
Algorithmic Accountability:A Legal and Economic Framework
weixin_42786150的博客
02-14 8618
Despite the potential for machine learning and artificial intelligence to reduce face-to-face bias in decision-making, a growing chorus of scholars and policymakers have recently voiced concerns that if left unchecked, algorithmic decision-making can also
【无标题】
myy2293640091的博客
12-19 2万+
2019-2020 大学英语III 仔细阅读 试题解析: 本文主要谈论美国的经济危机给美国家庭带来的影响。由于经济危机而导致的人们失去工作、收入降低、房价下降等原因会使本来不幸福的夫妻无法承担离婚的成本,从这点上看,经济危机会从某种角度降低离婚率。不过,本来关系不好的夫妻也不会维持很长时间。尤其在经济复苏后,大部分关系不好的夫妻还会选择离婚。 In times of economic crisis, Americans turn to their families for support. If the
AAAI 2022 论文列表
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
A Model -Based Approach to Automated Testing of Access Control Policies
写诗的程序员
05-02 874
Dianxiang Xu, Lijo Thomas, Michael Kent, Tejeddine Mouelhi, Yves Le Traon. SACMAT’12 本文工作: 本文作者提出了基于模型的方法测试Access Control Policies。采用的模型是PrT网。PrT网是Petri网的简化,它由places,transitions和arcs构成。 每一个plac
Verification and Change-Impact Analysis of Access Control Policies
写诗的程序员
05-02 834
Kathi Fisler, Shriram Krishnamurthi, Leo A. Meyerovich, Michael Carl Tschantz, ICSE’05 本文工作: 作者实现了一个验证Security Policy的工具Margrave,该工具可以检查Security Policy的描述(XACML形式)与用户定义的property(形式化描述)是否一致。另一个功能
A Model-Based Framework for Security Policy Specification, Deployment and Testing
写诗的程序员
05-02 734
Tejeddine Mouelhi, Franck Fleurey, Benoit Baudry, and Yves Le Traon, MoDELS 2008 1、用model-driven的方法进行security policy测试,可行,但是扩展性有多大?可靠性又如何?值不值得深入研究? 首先在P.I(platform independent)对SP model进行验
Transforming and Selecting Functional Test Cases for Security Policy Testing
写诗的程序员
05-02 681
Tejeddine Mouelhi, Yves Le Traon, Benoit Baudry, ICST.2009 本文作者做的工作是:在对系统进行功能测试时,有对应的测试用例,现在提供一种自动化的方法,从这些测试用例中识别出覆盖到Security Policy(SP)功能的测试用例(假设叫TCS)。 这是第一步。第二步是将TCS进行转换,以生成针对SP的测试用例。当然同时要重新定义
Model-Based Tests for Access Control Policies
写诗的程序员
05-02 678
Alexander Pretschner, Tejeddine Mouelhi, Yves Le Traon, ICST.2008 本文工作: 提出两个安全策略测试生成的方法:独立于policy和依据policy。 作者采用RBAC模型描述Security Policy,并且对其进行了扩展,加入了context元素。首先作者定义了Security Policy元模型:
Testing security policies: going beyond functional testing
写诗的程序员
05-02 664
Yves Le Traon, Tejeddine Mouelhi, Benoit Baudry, ISSRE.2007 本文工作: 对于系统功能测试,研究界已有广泛的相关工作,工业界也有广泛的应用,然而很少有专门的工作专注于对系统的安全策略进行测试。本文将目光集中于对系统安全策略的测试,从测试用例覆盖率的角度论述功能测试和安全测试之间的差别,说明了为安全策略设计专门的测试用例的必要性,
different types for formal and
最新发布
03-16
informal writing 正式和非正式写作有不同的类型。在正式写作中,需要使用正式的语言和格式,例如使用完整的句子和正确的标点符号。此外,正式写作通常需要遵循特定的结构和规则,例如使用目录、引用和参考文献。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值