[01115147]Web应用软件的安全性测试 关键技术研究及应用

项目对Web应用软件安全性测试的关键技术进行了研究,具体研究内容包括：WEB应用软件安全脆弱性测试的用例自动生成方法的研究;对发现web应用中海量报警真正威胁的研究;对分布在云上的web应用安全性问题的研究。探讨了通过对已有的量子遗传算法进行改进,并将之应用于测试用例的自动生成中的可行性;提出了基于相对熵,结合专家知识,通过实时计算每个时间段报警流量的特征分布,根据与历史相关时间段分布情况的对比,发现潜在的网络威胁;为了解决云存储中用户数据的安全存储以及灵活共享问题,探讨了层次化的属性基加密的数据访问控制方案。研究结果表明改进的量子遗传算法具有用时短,生成测试数据少,覆盖率高等优点,测试数据自动生成效率高于传统量子遗传算法和遗传算法。提出的基于相对熵的入侵报警分析方法通过对国防高级研究实验研究计划局数据集和从大型网络IDS收集的真实数据实验显示,我们的方法可以从大量的入侵警报中区分哪些是真正的异常引起的警报,攻击和网络故障,应用这种技术可以大大有助于管理员识别真正的警报,减少警报的负载;针对云存储中的数据安全性,提出的基于层次化的属性基加密的数据访问控制方案,解决了不同授权中心密钥的分发问题,同时支持多用户不同读写权限的访问控制。研究成果已经分别应用到外贸服务软件系统和杭州市财政资金网络管理系统,对于基于web的应用系统的安全性防范具有很好的经济和社会价值。