第十二章 公有云測試質(zhì)量評估

第十二章

公有云測試質(zhì)量評估授課教師：

鄭煒第十二章公有云測試質(zhì)量評估12.1云測試概念12.1.1云計算

12.1.2云測試12.2云可靠性度量12.2.1軟件可靠性12.2.2軟件故障分析和診斷12.3云平臺的安全測試及安全度量12.3.1安全性測試方法12.3.2安全測試方法舉例第十二章公有云測試質(zhì)量評估云計算的體系結(jié)構(gòu)12.1.1云計算從云部署的角度定義私有云公有云社區(qū)云混合云云計算服務(wù)的角度定義基礎(chǔ)設(shè)施即服務(wù)（InfrastructureasaService，IaaS）平臺即服務(wù)（PlatformasaService，PaaS）軟件即服務(wù)（SoftwareasaService，SaaS）12.1.2云測試有效利用云計算環(huán)境資源對其他軟件進(jìn)行測試，即基于云計算的測試

針對部署在“云”中的軟件進(jìn)行測試，即面向云計算的測試。幾種典型的云測試云環(huán)境中的測試測試涉及云環(huán)境資源的調(diào)度、優(yōu)化、建模等方面問題。針對“云”的測試

主要是面向云的測試，主要對云計算內(nèi)部結(jié)構(gòu)、內(nèi)部框架、資源配置等云環(huán)境內(nèi)部的組成要素進(jìn)行測試，并主要對以下四個方面測試。（1）功能性測試（2）性能測試（3）安全性測試（4）兼容性和互操作性測試

云測試的兩層含義12.2.1軟件可靠性軟件可靠性定義1．軟件可靠性基礎(chǔ)理論度量軟件可靠性的本質(zhì)是計算軟件系統(tǒng)發(fā)生故障的概率?？紤]系統(tǒng)在t時刻發(fā)生故障的概率，該概率可表達(dá)為公式其中，T表示軟件失效出現(xiàn)的時間。這個概率可以表示為公式軟件產(chǎn)品在規(guī)定的條件下和規(guī)定的時間區(qū)間完成規(guī)定功能而不發(fā)生軟件失效的概率。12.2.1軟件可靠性其結(jié)果如下：或12.2.1軟件可靠性在此基礎(chǔ)上，定義平均故障間隔時間（MeanTimeBetweenFailures，MTBF）作為可靠性的度量，其公式如下：

下面以Goel-Okumoto軟件可靠度預(yù)測模型為例，闡述估計風(fēng)險函數(shù)的方法。假設(shè)系統(tǒng)在各個時間段內(nèi)觀測到的系統(tǒng)失效相互獨立，將時刻t時所觀測到的系統(tǒng)失效總數(shù)表示為N(t)，假設(shè)系統(tǒng)在任何時刻發(fā)生軟件失效的概率與系統(tǒng)當(dāng)前蘊(yùn)含的總故障數(shù)成正比，設(shè)系統(tǒng)總故障數(shù)為a，系統(tǒng)的故障檢測速率為b，有如下公式：12.2.1軟件可靠性解得微分方程根據(jù)初始條件12.2.1軟件可靠性2．傳統(tǒng)軟件可靠性模型常用的3大類軟件可靠性模型輸入域的軟件可靠性模型時間域的軟件可靠性模型結(jié)合時間域和輸入域的可靠性模型（1）輸入域的軟件可靠性模型輸入域的軟件可靠性模型（InputDomainReliabilityModel）的代表是納爾遜（Nelson）模型。該模型假設(shè)隨機(jī)地在程序的輸入域上取n個不同輸入并執(zhí)行，其中f個輸入引起程序失效，則估計的軟件可靠性為這類軟件可靠性模型還有其他拓展，如布朗-理珀（Brown-Lipow）模型，該模型將軟件的輸入域劃分為若干個子域，估計的軟件可靠性可以表示為12.2.1軟件可靠性（2）軟件可靠性增長模型軟件可靠性增長模型（SoftwareReliabilityGrowthModel，SRGM）

通常使用一個非齊次泊松過程（NonHomogeneousPoissonProcess，NHPP）來表示：X(t)表示在t時刻累計檢測到的系統(tǒng)故障數(shù)，m(t)為均值函數(shù)。NHPP類SRGM的代表有歇爾-大本（Goel-Okumoto，GO）模型、S型模型、穆薩-大本（Musa-Okumoto，MO）模型等GO模型將累計發(fā)現(xiàn)的系統(tǒng)故障數(shù)和系統(tǒng)使用時間的關(guān)系表示為指數(shù)型的關(guān)系，其均值函數(shù)為S型模型將累計故障數(shù)在時間t上的變化過程表示為S型曲線，其均值函數(shù)為12.2.1軟件可靠性MO模型認(rèn)為應(yīng)當(dāng)使用CPU時間而非自然時間作為可靠性度量的時間單位，使用符號表示累計CPU執(zhí)行時間。其均值函數(shù)為:（3）結(jié)合輸入域和時間域的軟件可靠性模型結(jié)合輸入域和時間域的軟件可靠性模型利用樹狀結(jié)構(gòu)組織管理測試數(shù)據(jù)，該模型的建立過程如下:步驟1：從根節(jié)點出發(fā)自上向下的對當(dāng)前樹的葉子節(jié)點執(zhí)行分裂操作，直到葉子節(jié)點上包含的用例數(shù)小于閾值或其他終止條件。步驟2：對于某一待分裂的節(jié)點，根據(jù)某一度量屬性，如執(zhí)行時間、負(fù)責(zé)人、影響模塊、執(zhí)行結(jié)果、執(zhí)行時長等，將該節(jié)點的所有數(shù)據(jù)元素二分。步驟3：執(zhí)行葉子節(jié)點的分裂操作時，根據(jù)測試用例執(zhí)行結(jié)果，選取將該節(jié)點二分的最優(yōu)策略，即使分裂出的兩組數(shù)據(jù)集的組內(nèi)方差和最小。12.2.1軟件可靠性建立好的樹狀模型使用Nelson模型計算不同節(jié)點上的軟件可靠性，可有效地識別出系統(tǒng)高風(fēng)險區(qū)域。通過在不同檢測周期建立的樹狀模型，可以有效地檢測系統(tǒng)可靠性增長過程。12.2.1軟件可靠性3．Web軟件可靠性模型Web類型的軟件的軟件失效模式、系統(tǒng)工作負(fù)載模式，以及潛在的軟件可靠性提升都與傳統(tǒng)的軟件系統(tǒng)不同。其系統(tǒng)外部失效由于用戶數(shù)量大、系統(tǒng)使用狀態(tài)復(fù)雜等原因而難以觀測。因此，可以通過度量其內(nèi)部的軟件缺陷來度量系統(tǒng)的可靠性。TypeDescriptionAPermissiondefinedBNosuchfileordirectoryCStaleNFSfilehandleDClientdeniedbyserverconfigurationEFiledoesnotexistFInvalidmethodinrequestGInvalidURLinrequestconnectionHMod_mime_magicIRequestfailedJScriptnotfoundorunabletostartKConnectionresetbypeer定義Web服務(wù)的軟件故障表12.2.1軟件可靠性在某一網(wǎng)站近一個月的真實運(yùn)行統(tǒng)計中，以上各類型軟件故障的數(shù)量分布如表所示ErrorTypeABCDEFGHIJKTotalNumberoferror2079144228631011127030760詳細(xì)分析該類型的軟件故障FileTypeErrorShare（%）ErrorRate（%）Page61.063.80Graph33.840.90Document3.542.51Other1.5610.16分析各類軟件故障的占比（ErrorShare）和發(fā)生概率（ErrorRate）FileType（attribute1）OwnerType（attribute2）OfficialPersonalErrorShare（%）ErrorRate（%）ErrorShare（%）ErrorRate（%）Page25.552.0374.455.15通過分析各類軟件故障的占比（ErrorShare）和發(fā)生概率（ErrorRate），可以綜合評估各類軟件故障對系統(tǒng)可靠性的影響。12.2.1軟件可靠性4．新型云環(huán)境下的軟件可靠性模型可靠性是指任何與計算相關(guān)的組件（軟件、硬件或者網(wǎng)絡(luò)）能根據(jù)其規(guī)格連續(xù)執(zhí)行。云可靠性是指云資源能否在其標(biāo)準(zhǔn)內(nèi)持續(xù)執(zhí)行?；谔S擴(kuò)散模型的新型軟件可靠性管理方法設(shè)M(t)為測試時間t軟件系統(tǒng)剩余故障數(shù)，并假設(shè)M(t)具有連續(xù)的實值，可以得到其中，b(t)是測試時間t每個故障單位時間的故障檢測率，是一個非負(fù)函數(shù)。上式可定義為σ

是一個正常系數(shù)，表示不規(guī)則波動的大??；γ(t)是一個標(biāo)準(zhǔn)高斯白噪聲（WhiteGaussionNoise）函數(shù)。在M(0)=m0的情況下，可以得到方程的解12.2.1軟件可靠性戴元順（YuanShun.Dai）等人于2016年提出了一種層級的相關(guān)模型，用于評估云服務(wù)的可靠性、性能和能源消耗等質(zhì)量屬性。層級的相關(guān)模型該建模方法不僅考慮了虛擬機(jī)的失效，還考慮了由于物理服務(wù)器發(fā)生故障而導(dǎo)致云服務(wù)失效的情形。云服務(wù)的可靠性可以定義為其上部署的所有虛擬機(jī)均不發(fā)生故障，則可表示為資源層應(yīng)用層管理層12.2.2軟件故障分析和診斷為了快速地從在復(fù)雜的云軟件運(yùn)行中收集的數(shù)據(jù)診斷出軟件故障，IBM相關(guān)研究組在2016年提出了一項名為日志分析（LogAnalytics，LOGAN）的新方法。LOGAN方法的主要貢獻(xiàn)通過日志，抽取正常服務(wù)情況下相關(guān)系統(tǒng)組件的行為，建立參考模型；通過對比參考模型和實際執(zhí)行的日志記錄，以確定故障發(fā)生來源;使用參考模型進(jìn)行故障診斷的過程DropboxiCloudCloudMeFlickrSalesforceXSS堆棧（CWE-79）SSL2.0（CDE-326）CRLF注入(CDE-113)XSS攻擊（CWE-79）CRLF注入（CDE-113）源代碼泄露（CDE-540）

SQL盲注（CDE-89）基于文檔對象模型的XSS攻擊（CWE-79）HTML表單設(shè)有CSRF保護(hù)（CWE-352）

HTML表單設(shè)有CSRF保護(hù)（CWE-352）HTML表單設(shè)有CSRF保護(hù)（CWE-352）HTML表單設(shè)有CSRF保護(hù)（CWE-352）以明文形式發(fā)送憑證（CWE-319）

以明文形式發(fā)送憑證（CWE-319）

幾種典型云平臺存在的安全漏洞12.3.1安全性測試方法12.3.1安全性測試方法1．功能驗證功能驗證是采用軟件測試中的黑盒測試方法，對涉及安全的軟件功能，如用戶管理模塊、權(quán)限管理模塊等進(jìn)行測試2．安全漏洞掃描安全漏洞掃描通常都是借助于特定的漏洞掃描器完成的。漏洞掃描器是一種自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點的程序。3．模擬攻擊實驗?zāi)M攻擊測試是一組特殊的黑盒測試用例，以模擬攻擊驗證軟件或信息系統(tǒng)的安全防護(hù)能力。模擬攻擊實驗類型（1）冒充：一個實體假裝成一個不同的實體。冒充常與某些別的主動攻擊形式一起使用，特別是消息的重演與篡改。①口令猜測：②緩沖區(qū)溢出：12.3.1安全性測試方法（2）重演：當(dāng)一個消息或部分消息為了產(chǎn)生非授權(quán)效果而被重復(fù)時，出現(xiàn)重演。

（3）消息篡改：數(shù)據(jù)所傳送的內(nèi)容被改變而未被發(fā)覺，并導(dǎo)致非授權(quán)后果。（4）服務(wù)拒絕：當(dāng)一個實體不能執(zhí)行它的正常功能或它的動作妨礙了別的實體執(zhí)行其正常功能的時候，便發(fā)生服務(wù)拒絕。①死亡之Ping（pingofdeath）

⑥Smurf攻擊②淚滴（TearDrop）⑦Fraggle攻擊③UDP洪水（UDPFlood）⑧電子郵件炸彈④SYN洪水（SYNFlood）⑨畸形消息攻擊⑤Land攻擊（5）內(nèi)部攻擊：當(dāng)系統(tǒng)的合法用戶以非故意或非授權(quán)方式進(jìn)行動作時就稱為內(nèi)部攻擊。大多數(shù)已知的計算機(jī)犯罪都與使系統(tǒng)安全遭受損害的內(nèi)部攻擊有密切關(guān)系。①DNS高速緩存污染②偽造電子郵件12.3.1安全性測試方法（6）外部攻擊：外部攻擊可以使用的方法有搭線（主動的與被動的）、截取輻射、冒充為系統(tǒng)的授權(quán)用戶、冒充為系統(tǒng)的組成部分、為鑒別或訪問控制機(jī)制設(shè)置旁路等。（7）陷阱門：當(dāng)系統(tǒng)的實體受到改變，致使一個攻擊者能對命令或?qū)︻A(yù)定的事件、事件序列產(chǎn)生非授權(quán)的影響時，其結(jié)果就稱為陷阱門。（8）特洛伊木馬：對系統(tǒng)而言的特洛伊木馬是指它不但具有自己的授權(quán)功能，而且有非授權(quán)功能。一個向非授權(quán)信道復(fù)制消息的中繼就是一個特洛伊木馬。典型的特洛伊木馬有

NetBus、BackOrifice和BO2k等。（9）偵聽技術(shù)：偵聽技術(shù)實際上是指在數(shù)據(jù)通信或數(shù)據(jù)交互的過程中，對數(shù)據(jù)進(jìn)行截取分析的過程。目前最為流行的偵聽技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)，通常我們稱為Capture。12.3.2安全性測試方法舉例安全測試兩個主要的挑戰(zhàn)生成值（也叫做測試有效載荷），其目的是實施測試；評估這些測試有效載荷可以暴露一個真實的漏洞本章節(jié)主要闡述一種應(yīng)對SQL注入攻擊的安全測試方法1．SQL注入攻擊SQLi（SQL注入）漏洞是基于Web的軟件系統(tǒng)的主要安全威脅之一。當(dāng)攻擊者提供包含SQL代碼片段的輸入值時，它們最終會注入到在數(shù)據(jù)庫上執(zhí)行的SQL查詢中12.3.2安全性測試方法舉例下面介紹一個SQL注入攻擊的案例在第1條SQL語句中，當(dāng)攻擊者注入重言式1=1將select語句變?yōu)閳D所示的樣式后，執(zhí)行查詢則可獲得hotelList表中的所