基于等級(jí)和形式化建模的軟件安全需求自動(dòng)獲取方法與工具.pdf

1、隨著IT技術(shù)的迅速發(fā)展及其在社會(huì)各領(lǐng)域應(yīng)用的不斷深入，軟件安全問(wèn)題日益凸顯，已成為各行業(yè)關(guān)注的焦點(diǎn)。研究發(fā)現(xiàn)，軟件安全問(wèn)題多數(shù)是由需求階段安全信息遺漏造成的，制定合理的安全需求對(duì)安全隱患的及早發(fā)現(xiàn)起著至關(guān)重要的作用，可在保證軟件安全性的同時(shí)，降低開(kāi)發(fā)維護(hù)成本。
　　本文針對(duì)軟件開(kāi)發(fā)中缺乏安全需求和安全保障的一體化工程方法及自動(dòng)化工具的問(wèn)題，在實(shí)驗(yàn)室前期研究成果的基礎(chǔ)上，以國(guó)際安全標(biāo)準(zhǔn)ISO/IEC15408（CC標(biāo)準(zhǔn)）為指導(dǎo)，建立

2、基于等級(jí)和形式化建模的安全需求工程體系，利用輕量形式化、缺陷檢測(cè)、未確知測(cè)度理論等技術(shù)和方法進(jìn)行等級(jí)細(xì)化、安全需求獲取和支持平臺(tái)的開(kāi)發(fā)。在等級(jí)細(xì)化方面，以GA/T390對(duì)CC標(biāo)準(zhǔn)中安全功能組件的等級(jí)劃分為基礎(chǔ)，對(duì)大量軟件系統(tǒng)的安全需求文檔（PP、ST文檔）進(jìn)行研究，發(fā)現(xiàn)在同一安全功能等級(jí)下，不同類(lèi)型的軟件系統(tǒng)對(duì)各軟件安全特性的需求等級(jí)是不同的，采用未確知測(cè)度理論計(jì)算得到三維等級(jí)劃分規(guī)則；在知識(shí)庫(kù)構(gòu)建方面，本文參照CWE、CAPEC等多種

3、國(guó)際通用漏洞、威脅信息庫(kù)，采用形式化語(yǔ)言對(duì)系統(tǒng)資產(chǎn)、行為和缺陷進(jìn)行描述，建立了一套完整的安全知識(shí)庫(kù)，為軟件安全需求的自動(dòng)導(dǎo)出奠定了基礎(chǔ)；最后，根據(jù)安全需求工程理論及相關(guān)技術(shù)，以三維等級(jí)劃分規(guī)則和形式化建模的安全知識(shí)庫(kù)為基礎(chǔ)，建立了一套軟件安全需求自動(dòng)獲取方法，并針對(duì)該方法實(shí)現(xiàn)了軟件安全需求的自動(dòng)獲取工具。
　　本文在安全需求工程中引入形式化建模、缺陷自動(dòng)匹配技術(shù)和三維等級(jí)劃分規(guī)則，解決了自然語(yǔ)言描述的知識(shí)庫(kù)存在模糊性、二義性以及不