基于等级和形式化建模的软件安全需求自动获取方法与工具

摘要

随着IT技术的迅速发展及其在社会各领域应用的不断深入，软件安全问题日益凸显，已成为各行业关注的焦点。研究发现，软件安全问题多数是由需求阶段安全信息遗漏造成的，制定合理的安全需求对安全隐患的及早发现起着至关重要的作用，可在保证软件安全性的同时，降低开发维护成本。
　　本文针对软件开发中缺乏安全需求和安全保障的一体化工程方法及自动化工具的问题，在实验室前期研究成果的基础上，以国际安全标准ISO/IEC15408（CC标准）为指导，建立基于等级和形式化建模的安全需求工程体系，利用轻量形式化、缺陷检测、未确知测度理论等技术和方法进行等级细化、安全需求获取和支持平台的开发。在等级细化方面，以GA/T390对CC标准中安全功能组件的等级划分为基础，对大量软件系统的安全需求文档（PP、ST文档）进行研究，发现在同一安全功能等级下，不同类型的软件系统对各软件安全特性的需求等级是不同的，采用未确知测度理论计算得到三维等级划分规则；在知识库构建方面，本文参照CWE、CAPEC等多种国际通用漏洞、威胁信息库，采用形式化语言对系统资产、行为和缺陷进行描述，建立了一套完整的安全知识库，为软件安全需求的自动导出奠定了基础；最后，根据安全需求工程理论及相关技术，以三维等级划分规则和形式化建模的安全知识库为基础，建立了一套软件安全需求自动获取方法，并针对该方法实现了软件安全需求的自动获取工具。
　　本文在安全需求工程中引入形式化建模、缺陷自动匹配技术和三维等级划分规则，解决了自然语言描述的知识库存在模糊性、二义性以及不能交由计算机处理的问题，实现了安全需求的自动获取，降低了CC标准的使用难度，也提高了安全需求筛选的精确度。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1研究背景与意义

1.2研究内容及创新点

1.3论文结构

第二章 文献综述

2.1 CC标准

2.2软件安全需求工程

2.3 CC工具箱系统

2.4未确知测度理论

第三章 基于未确知测度理论的安全等级评定规则

3.1总体思路

3.2安全需求等级评估模型

3.3评估示例

3.4等级评定结果及评估效果分析

第四章 基于形式化建模的软件安全知识库

4.1安全知识库整体结构

4.2安全知识库基本定义及构建方式

第五章 基于等级和形式化建模的软件安全需求获取方法

5.1安全需求获取方法整体框架

5.2基于形式化建模与验证的软件缺陷自动检测技术

第六章 软件安全需求自动获取工具的实现

6.1工具的整体架构

6.2各功能模块详细设计

第七章 总结与展望

7.1总结

7.2展望

参考文献

发表论文和参加科研情况说明

致谢

附录