基于等級和形式化建模的軟件安全需求自動獲取方法與工具.pdf

1、隨著IT技術的迅速發(fā)展及其在社會各領域應用的不斷深入，軟件安全問題日益凸顯，已成為各行業(yè)關注的焦點。研究發(fā)現(xiàn)，軟件安全問題多數(shù)是由需求階段安全信息遺漏造成的，制定合理的安全需求對安全隱患的及早發(fā)現(xiàn)起著至關重要的作用，可在保證軟件安全性的同時，降低開發(fā)維護成本。
　　本文針對軟件開發(fā)中缺乏安全需求和安全保障的一體化工程方法及自動化工具的問題，在實驗室前期研究成果的基礎上，以國際安全標準ISO/IEC15408（CC標準）為指導，建立

2、基于等級和形式化建模的安全需求工程體系，利用輕量形式化、缺陷檢測、未確知測度理論等技術和方法進行等級細化、安全需求獲取和支持平臺的開發(fā)。在等級細化方面，以GA/T390對CC標準中安全功能組件的等級劃分為基礎，對大量軟件系統(tǒng)的安全需求文檔（PP、ST文檔）進行研究，發(fā)現(xiàn)在同一安全功能等級下，不同類型的軟件系統(tǒng)對各軟件安全特性的需求等級是不同的，采用未確知測度理論計算得到三維等級劃分規(guī)則；在知識庫構建方面，本文參照CWE、CAPEC等多種

3、國際通用漏洞、威脅信息庫，采用形式化語言對系統(tǒng)資產(chǎn)、行為和缺陷進行描述，建立了一套完整的安全知識庫，為軟件安全需求的自動導出奠定了基礎；最后，根據(jù)安全需求工程理論及相關技術，以三維等級劃分規(guī)則和形式化建模的安全知識庫為基礎，建立了一套軟件安全需求自動獲取方法，并針對該方法實現(xiàn)了軟件安全需求的自動獲取工具。
　　本文在安全需求工程中引入形式化建模、缺陷自動匹配技術和三維等級劃分規(guī)則，解決了自然語言描述的知識庫存在模糊性、二義性以及不