基于形式化建模的安全缺陷知识库的构建

摘要

随着web应用的日益普及，对软件可信性的要求越来越高。软件安全性是可信性的重要组成部分。软件安全问题的本质是软件安全缺陷被攻击者的恶意利用。因此对于安全缺陷进行分析和研究至关重要。近年来，在软件安全领域中对安全缺陷的研究已经取得了一定的进展，但是针对设计阶段安全缺陷的结构分析与形式化建模并不多见。
　　 本文主要工作包括：
　　 探讨了设计阶段安全缺陷产生的原因、危害程度及缓和方案等属性，在一定抽象层次上对软件缺陷结构进行分析，给出安全缺陷本质结构的定义，即安全缺陷由两个要素组成：系统行为与安全约束，当系统行为违反安全约束时，安全缺陷产生。
　　 基于缺陷本质结构，对大量特定安全缺陷进行分析，抽取缺陷相关数据类型和操作类型，细化系统行为与安全约束，给出特定安全缺陷的形式化模型。为设计阶段安全缺陷的自动检测与缓和奠定基础。
　　 基于缺陷形式化模型构建安全缺陷知识库，并设计实现了缺陷知识库管理系统。缺陷知识库可为各种缺陷检测工具提供数据支持，包括课题组软件可信工程知识平台中的统一软件模型安全性验证模块。
　　 本文对设计阶段安全缺陷本质结构进行了分析，提出了缺陷形式化建模方法，并基于此方法构建了软件安全缺陷知识库。本文工作为计算机自动处理安全缺陷奠定基础，对指导软件设计开发人员构建更为安全的软件系统具有重要的意义。