《表4 时间性能比较：面向Java EE程序的SQLIA漏洞分析和验证方法》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《面向Java EE程序的SQLIA漏洞分析和验证方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

将分析结果与经典Java EE程序分析工具ANDROMEDA[10]进行对比，结果如表3所示。在ANDROMEDA的数据集中，因为只成功运行了contineo和webgoat两个项目，所以表3和表4只针对这两个项目比较准确率和时间性能。表4以静态分析得到的Source和Sink对作为潜在漏洞总数，以动态验证确认的Source和Sink对作为Findings，得出TP和FP，准确率P=TP/（TP+FP），表示动态验证通过的漏洞数量与潜在漏洞数量的比值，虚警率FPR=FP/（FP+TP），表示动态验证未通过的漏洞数量与潜在漏洞数量的比值，T/F=Time/Findings，表示找到一个Finding的平均时间。ANDROMEDA的有关数据来自文献[10]。