基于形式化建模的安全缺陷知識(shí)庫的構(gòu)建.pdf

1、隨著web應(yīng)用的日益普及，對(duì)軟件可信性的要求越來越高。軟件安全性是可信性的重要組成部分。軟件安全問題的本質(zhì)是軟件安全缺陷被攻擊者的惡意利用。因此對(duì)于安全缺陷進(jìn)行分析和研究至關(guān)重要。近年來，在軟件安全領(lǐng)域中對(duì)安全缺陷的研究已經(jīng)取得了一定的進(jìn)展，但是針對(duì)設(shè)計(jì)階段安全缺陷的結(jié)構(gòu)分析與形式化建模并不多見。
　　 本文主要工作包括：
　　 探討了設(shè)計(jì)階段安全缺陷產(chǎn)生的原因、危害程度及緩和方案等屬性，在一定抽象層次上對(duì)軟件缺陷結(jié)構(gòu)進(jìn)

2、行分析，給出安全缺陷本質(zhì)結(jié)構(gòu)的定義，即安全缺陷由兩個(gè)要素組成：系統(tǒng)行為與安全約束，當(dāng)系統(tǒng)行為違反安全約束時(shí)，安全缺陷產(chǎn)生。
　　 基于缺陷本質(zhì)結(jié)構(gòu)，對(duì)大量特定安全缺陷進(jìn)行分析，抽取缺陷相關(guān)數(shù)據(jù)類型和操作類型，細(xì)化系統(tǒng)行為與安全約束，給出特定安全缺陷的形式化模型。為設(shè)計(jì)階段安全缺陷的自動(dòng)檢測與緩和奠定基礎(chǔ)。
　　 基于缺陷形式化模型構(gòu)建安全缺陷知識(shí)庫，并設(shè)計(jì)實(shí)現(xiàn)了缺陷知識(shí)庫管理系統(tǒng)。缺陷知識(shí)庫可為各種缺陷檢測工具提供數(shù)據(jù)支