第十二章 公有云測(cè)試質(zhì)量評(píng)估

第十二章

公有云測(cè)試質(zhì)量評(píng)估授課教師：

鄭煒第十二章公有云測(cè)試質(zhì)量評(píng)估12.1云測(cè)試概念12.1.1云計(jì)算

12.1.2云測(cè)試12.2云可靠性度量12.2.1軟件可靠性12.2.2軟件故障分析和診斷12.3云平臺(tái)的安全測(cè)試及安全度量12.3.1安全性測(cè)試方法12.3.2安全測(cè)試方法舉例第十二章公有云測(cè)試質(zhì)量評(píng)估云計(jì)算的體系結(jié)構(gòu)12.1.1云計(jì)算從云部署的角度定義私有云公有云社區(qū)云混合云云計(jì)算服務(wù)的角度定義基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService，IaaS）平臺(tái)即服務(wù)（PlatformasaService，PaaS）軟件即服務(wù)（SoftwareasaService，SaaS）12.1.2云測(cè)試有效利用云計(jì)算環(huán)境資源對(duì)其他軟件進(jìn)行測(cè)試，即基于云計(jì)算的測(cè)試

針對(duì)部署在“云”中的軟件進(jìn)行測(cè)試，即面向云計(jì)算的測(cè)試。幾種典型的云測(cè)試云環(huán)境中的測(cè)試測(cè)試涉及云環(huán)境資源的調(diào)度、優(yōu)化、建模等方面問(wèn)題。針對(duì)“云”的測(cè)試

主要是面向云的測(cè)試，主要對(duì)云計(jì)算內(nèi)部結(jié)構(gòu)、內(nèi)部框架、資源配置等云環(huán)境內(nèi)部的組成要素進(jìn)行測(cè)試，并主要對(duì)以下四個(gè)方面測(cè)試。（1）功能性測(cè)試（2）性能測(cè)試（3）安全性測(cè)試（4）兼容性和互操作性測(cè)試

云測(cè)試的兩層含義12.2.1軟件可靠性軟件可靠性定義1．軟件可靠性基礎(chǔ)理論度量軟件可靠性的本質(zhì)是計(jì)算軟件系統(tǒng)發(fā)生故障的概率?？紤]系統(tǒng)在t時(shí)刻發(fā)生故障的概率，該概率可表達(dá)為公式其中，T表示軟件失效出現(xiàn)的時(shí)間。這個(gè)概率可以表示為公式軟件產(chǎn)品在規(guī)定的條件下和規(guī)定的時(shí)間區(qū)間完成規(guī)定功能而不發(fā)生軟件失效的概率。12.2.1軟件可靠性其結(jié)果如下：或12.2.1軟件可靠性在此基礎(chǔ)上，定義平均故障間隔時(shí)間（MeanTimeBetweenFailures，MTBF）作為可靠性的度量，其公式如下：

下面以Goel-Okumoto軟件可靠度預(yù)測(cè)模型為例，闡述估計(jì)風(fēng)險(xiǎn)函數(shù)的方法。假設(shè)系統(tǒng)在各個(gè)時(shí)間段內(nèi)觀測(cè)到的系統(tǒng)失效相互獨(dú)立，將時(shí)刻t時(shí)所觀測(cè)到的系統(tǒng)失效總數(shù)表示為N(t)，假設(shè)系統(tǒng)在任何時(shí)刻發(fā)生軟件失效的概率與系統(tǒng)當(dāng)前蘊(yùn)含的總故障數(shù)成正比，設(shè)系統(tǒng)總故障數(shù)為a，系統(tǒng)的故障檢測(cè)速率為b，有如下公式：12.2.1軟件可靠性解得微分方程根據(jù)初始條件12.2.1軟件可靠性2．傳統(tǒng)軟件可靠性模型常用的3大類軟件可靠性模型輸入域的軟件可靠性模型時(shí)間域的軟件可靠性模型結(jié)合時(shí)間域和輸入域的可靠性模型（1）輸入域的軟件可靠性模型輸入域的軟件可靠性模型（InputDomainReliabilityModel）的代表是納爾遜（Nelson）模型。該模型假設(shè)隨機(jī)地在程序的輸入域上取n個(gè)不同輸入并執(zhí)行，其中f個(gè)輸入引起程序失效，則估計(jì)的軟件可靠性為這類軟件可靠性模型還有其他拓展，如布朗-理珀（Brown-Lipow）模型，該模型將軟件的輸入域劃分為若干個(gè)子域，估計(jì)的軟件可靠性可以表示為12.2.1軟件可靠性（2）軟件可靠性增長(zhǎng)模型軟件可靠性增長(zhǎng)模型（SoftwareReliabilityGrowthModel，SRGM）

通常使用一個(gè)非齊次泊松過(guò)程（NonHomogeneousPoissonProcess，NHPP）來(lái)表示：X(t)表示在t時(shí)刻累計(jì)檢測(cè)到的系統(tǒng)故障數(shù)，m(t)為均值函數(shù)。NHPP類SRGM的代表有歇爾-大本（Goel-Okumoto，GO）模型、S型模型、穆薩-大本（Musa-Okumoto，MO）模型等GO模型將累計(jì)發(fā)現(xiàn)的系統(tǒng)故障數(shù)和系統(tǒng)使用時(shí)間的關(guān)系表示為指數(shù)型的關(guān)系，其均值函數(shù)為S型模型將累計(jì)故障數(shù)在時(shí)間t上的變化過(guò)程表示為S型曲線，其均值函數(shù)為12.2.1軟件可靠性MO模型認(rèn)為應(yīng)當(dāng)使用CPU時(shí)間而非自然時(shí)間作為可靠性度量的時(shí)間單位，使用符號(hào)表示累計(jì)CPU執(zhí)行時(shí)間。其均值函數(shù)為:（3）結(jié)合輸入域和時(shí)間域的軟件可靠性模型結(jié)合輸入域和時(shí)間域的軟件可靠性模型利用樹(shù)狀結(jié)構(gòu)組織管理測(cè)試數(shù)據(jù)，該模型的建立過(guò)程如下:步驟1：從根節(jié)點(diǎn)出發(fā)自上向下的對(duì)當(dāng)前樹(shù)的葉子節(jié)點(diǎn)執(zhí)行分裂操作，直到葉子節(jié)點(diǎn)上包含的用例數(shù)小于閾值或其他終止條件。步驟2：對(duì)于某一待分裂的節(jié)點(diǎn)，根據(jù)某一度量屬性，如執(zhí)行時(shí)間、負(fù)責(zé)人、影響模塊、執(zhí)行結(jié)果、執(zhí)行時(shí)長(zhǎng)等，將該節(jié)點(diǎn)的所有數(shù)據(jù)元素二分。步驟3：執(zhí)行葉子節(jié)點(diǎn)的分裂操作時(shí)，根據(jù)測(cè)試用例執(zhí)行結(jié)果，選取將該節(jié)點(diǎn)二分的最優(yōu)策略，即使分裂出的兩組數(shù)據(jù)集的組內(nèi)方差和最小。12.2.1軟件可靠性建立好的樹(shù)狀模型使用Nelson模型計(jì)算不同節(jié)點(diǎn)上的軟件可靠性，可有效地識(shí)別出系統(tǒng)高風(fēng)險(xiǎn)區(qū)域。通過(guò)在不同檢測(cè)周期建立的樹(shù)狀模型，可以有效地檢測(cè)系統(tǒng)可靠性增長(zhǎng)過(guò)程。12.2.1軟件可靠性3．Web軟件可靠性模型Web類型的軟件的軟件失效模式、系統(tǒng)工作負(fù)載模式，以及潛在的軟件可靠性提升都與傳統(tǒng)的軟件系統(tǒng)不同。其系統(tǒng)外部失效由于用戶數(shù)量大、系統(tǒng)使用狀態(tài)復(fù)雜等原因而難以觀測(cè)。因此，可以通過(guò)度量其內(nèi)部的軟件缺陷來(lái)度量系統(tǒng)的可靠性。TypeDescriptionAPermissiondefinedBNosuchfileordirectoryCStaleNFSfilehandleDClientdeniedbyserverconfigurationEFiledoesnotexistFInvalidmethodinrequestGInvalidURLinrequestconnectionHMod_mime_magicIRequestfailedJScriptnotfoundorunabletostartKConnectionresetbypeer定義Web服務(wù)的軟件故障表12.2.1軟件可靠性在某一網(wǎng)站近一個(gè)月的真實(shí)運(yùn)行統(tǒng)計(jì)中，以上各類型軟件故障的數(shù)量分布如表所示ErrorTypeABCDEFGHIJKTotalNumberoferror2079144228631011127030760詳細(xì)分析該類型的軟件故障FileTypeErrorShare（%）ErrorRate（%）Page61.063.80Graph33.840.90Document3.542.51Other1.5610.16分析各類軟件故障的占比（ErrorShare）和發(fā)生概率（ErrorRate）FileType（attribute1）OwnerType（attribute2）OfficialPersonalErrorShare（%）ErrorRate（%）ErrorShare（%）ErrorRate（%）Page25.552.0374.455.15通過(guò)分析各類軟件故障的占比（ErrorShare）和發(fā)生概率（ErrorRate），可以綜合評(píng)估各類軟件故障對(duì)系統(tǒng)可靠性的影響。12.2.1軟件可靠性4．新型云環(huán)境下的軟件可靠性模型可靠性是指任何與計(jì)算相關(guān)的組件（軟件、硬件或者網(wǎng)絡(luò)）能根據(jù)其規(guī)格連續(xù)執(zhí)行。云可靠性是指云資源能否在其標(biāo)準(zhǔn)內(nèi)持續(xù)執(zhí)行?；谔S擴(kuò)散模型的新型軟件可靠性管理方法設(shè)M(t)為測(cè)試時(shí)間t軟件系統(tǒng)剩余故障數(shù)，并假設(shè)M(t)具有連續(xù)的實(shí)值，可以得到其中，b(t)是測(cè)試時(shí)間t每個(gè)故障單位時(shí)間的故障檢測(cè)率，是一個(gè)非負(fù)函數(shù)。上式可定義為σ

是一個(gè)正常系數(shù)，表示不規(guī)則波動(dòng)的大??；γ(t)是一個(gè)標(biāo)準(zhǔn)高斯白噪聲（WhiteGaussionNoise）函數(shù)。在M(0)=m0的情況下，可以得到方程的解12.2.1軟件可靠性戴元順（YuanShun.Dai）等人于2016年提出了一種層級(jí)的相關(guān)模型，用于評(píng)估云服務(wù)的可靠性、性能和能源消耗等質(zhì)量屬性。層級(jí)的相關(guān)模型該建模方法不僅考慮了虛擬機(jī)的失效，還考慮了由于物理服務(wù)器發(fā)生故障而導(dǎo)致云服務(wù)失效的情形。云服務(wù)的可靠性可以定義為其上部署的所有虛擬機(jī)均不發(fā)生故障，則可表示為資源層應(yīng)用層管理層12.2.2軟件故障分析和診斷為了快速地從在復(fù)雜的云軟件運(yùn)行中收集的數(shù)據(jù)診斷出軟件故障，IBM相關(guān)研究組在2016年提出了一項(xiàng)名為日志分析（LogAnalytics，LOGAN）的新方法。LOGAN方法的主要貢獻(xiàn)通過(guò)日志，抽取正常服務(wù)情況下相關(guān)系統(tǒng)組件的行為，建立參考模型；通過(guò)對(duì)比參考模型和實(shí)際執(zhí)行的日志記錄，以確定故障發(fā)生來(lái)源;使用參考模型進(jìn)行故障診斷的過(guò)程DropboxiCloudCloudMeFlickrSalesforceXSS堆棧（CWE-79）SSL2.0（CDE-326）CRLF注入(CDE-113)XSS攻擊（CWE-79）CRLF注入（CDE-113）源代碼泄露（CDE-540）

SQL盲注（CDE-89）基于文檔對(duì)象模型的XSS攻擊（CWE-79）HTML表單設(shè)有CSRF保護(hù)（CWE-352）

HTML表單設(shè)有CSRF保護(hù)（CWE-352）HTML表單設(shè)有CSRF保護(hù)（CWE-352）HTML表單設(shè)有CSRF保護(hù)（CWE-352）以明文形式發(fā)送憑證（CWE-319）

以明文形式發(fā)送憑證（CWE-319）

幾種典型云平臺(tái)存在的安全漏洞12.3.1安全性測(cè)試方法12.3.1安全性測(cè)試方法1．功能驗(yàn)證功能驗(yàn)證是采用軟件測(cè)試中的黑盒測(cè)試方法，對(duì)涉及安全的軟件功能，如用戶管理模塊、權(quán)限管理模塊等進(jìn)行測(cè)試2．安全漏洞掃描安全漏洞掃描通常都是借助于特定的漏洞掃描器完成的。漏洞掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序。3．模擬攻擊實(shí)驗(yàn)?zāi)M攻擊測(cè)試是一組特殊的黑盒測(cè)試用例，以模擬攻擊驗(yàn)證軟件或信息系統(tǒng)的安全防護(hù)能力。模擬攻擊實(shí)驗(yàn)類型（1）冒充：一個(gè)實(shí)體假裝成一個(gè)不同的實(shí)體。冒充常與某些別的主動(dòng)攻擊形式一起使用，特別是消息的重演與篡改。①口令猜測(cè)：②緩沖區(qū)溢出：12.3.1安全性測(cè)試方法（2）重演：當(dāng)一個(gè)消息或部分消息為了產(chǎn)生非授權(quán)效果而被重復(fù)時(shí)，出現(xiàn)重演。

（3）消息篡改：數(shù)據(jù)所傳送的內(nèi)容被改變而未被發(fā)覺(jué)，并導(dǎo)致非授權(quán)后果。（4）服務(wù)拒絕：當(dāng)一個(gè)實(shí)體不能執(zhí)行它的正常功能或它的動(dòng)作妨礙了別的實(shí)體執(zhí)行其正常功能的時(shí)候，便發(fā)生服務(wù)拒絕。①死亡之Ping（pingofdeath）

⑥Smurf攻擊②淚滴（TearDrop）⑦Fraggle攻擊③UDP洪水（UDPFlood）⑧電子郵件炸彈④SYN洪水（SYNFlood）⑨畸形消息攻擊⑤Land攻擊（5）內(nèi)部攻擊：當(dāng)系統(tǒng)的合法用戶以非故意或非授權(quán)方式進(jìn)行動(dòng)作時(shí)就稱為內(nèi)部攻擊。大多數(shù)已知的計(jì)算機(jī)犯罪都與使系統(tǒng)安全遭受損害的內(nèi)部攻擊有密切關(guān)系。①DNS高速緩存污染②偽造電子郵件12.3.1安全性測(cè)試方法（6）外部攻擊：外部攻擊可以使用的方法有搭線（主動(dòng)的與被動(dòng)的）、截取輻射、冒充為系統(tǒng)的授權(quán)用戶、冒充為系統(tǒng)的組成部分、為鑒別或訪問(wèn)控制機(jī)制設(shè)置旁路等。（7）陷阱門(mén)：當(dāng)系統(tǒng)的實(shí)體受到改變，致使一個(gè)攻擊者能對(duì)命令或?qū)︻A(yù)定的事件、事件序列產(chǎn)生非授權(quán)的影響時(shí)，其結(jié)果就稱為陷阱門(mén)。（8）特洛伊木馬：對(duì)系統(tǒng)而言的特洛伊木馬是指它不但具有自己的授權(quán)功能，而且有非授權(quán)功能。一個(gè)向非授權(quán)信道復(fù)制消息的中繼就是一個(gè)特洛伊木馬。典型的特洛伊木馬有

NetBus、BackOrifice和BO2k等。（9）偵聽(tīng)技術(shù)：偵聽(tīng)技術(shù)實(shí)際上是指在數(shù)據(jù)通信或數(shù)據(jù)交互的過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行截取分析的過(guò)程。目前最為流行的偵聽(tīng)技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)，通常我們稱為Capture。12.3.2安全性測(cè)試方法舉例安全測(cè)試兩個(gè)主要的挑戰(zhàn)生成值（也叫做測(cè)試有效載荷），其目的是實(shí)施測(cè)試；評(píng)估這些測(cè)試有效載荷可以暴露一個(gè)真實(shí)的漏洞本章節(jié)主要闡述一種應(yīng)對(duì)SQL注入攻擊的安全測(cè)試方法1．SQL注入攻擊SQLi（SQL注入）漏洞是基于Web的軟件系統(tǒng)的主要安全威脅之一。當(dāng)攻擊者提供包含SQL代碼片段的輸入值時(shí)，它們最終會(huì)注入到在數(shù)據(jù)庫(kù)上執(zhí)行的SQL查詢中12.3.2安全性測(cè)試方法舉例下面介紹一個(gè)SQL注入攻擊的案例在第1條SQL語(yǔ)句中，當(dāng)攻擊者注入重言式1=1將select語(yǔ)句變?yōu)閳D所示的樣式后，執(zhí)行查詢則可獲得hotelList表中的所