基于攻击模式的安全需求分析工具设计与实现

摘要

随着对网络安全要求的不断提高，软件的安全性成为了人们关注的焦点，如何在开发过程中即关注安全问题，开发出安全的软件已成为软件工程的研究热点。本文针对需求分析阶段的安全漏洞检测问题开展研究，给出了基于攻击模式和误用例的安全漏洞检测模型，并开发了相应检测工具，该工具可以在需求分析阶段就能够对安全漏洞做出检测，并提出缓和策略。 通过对功能需求和安全需求相关概念的分析，给出一种从攻击模式获取软件安全需求的方法，并用形式化方法建模之。在使用Z语言对攻击模式进行形式化描述的基础上，对功能用例图进行用例分解，细化用例图的信息，通过Z语言和Petri网对基于攻击模式获取安全需求并缓和的过程进行建模。此外，从攻击模式中获取部分属性构成误用例库。 构建并实现了安全需求分析工具。该工具分为用例扫描和库文件两部分。库文件采用XML作为数据模型，用例扫描工具对用例图进行扫描，获取用例及其关系，根据用例的名称及其执行路径，与用例库，误用例库相对比，确定用例的误用例，并根据误用例确定归属的攻击模式和相应的缓和方案。与此同时，实现了基于Eclipse的浏览插件，为用户通过该扫描工具，查看相关信息提供了方便。 本文给出的模型及工具使得开发人员在需求阶段就可以关注到有关漏洞并解决之，有效的降低了开发周期和开发成本，提高了所开发软件的安全性。

目录

文摘

英文文摘

声明

第一章 绪论

1.1课题背景及意义

1.1.1课题背景

1.1.2课题意义

1.2课题内容与创新点

1.3论文结构安排

第二章 文献综述

2.1安全软件开发环境

2.1.1可扩展的安全软件开发环境

2.1.2安全需求分析平台

2.2安全需求分析

2.2.1安全需求的定义

2.2.2安全需求的获取

2.2.3误用例

2.2.4攻击模式

2.2.5形式化方法

第三章 攻击模式及其形式化描述

3.1攻击模式结构

3.2形式化描述

3.2.1形式化语言Z

3.2.2攻击模式Z描述

3.2.3 Petri Net

3.3实现安全需求

第四章 安全需求分析工具模块总体设计

4.1安全需求分析工具概要设计

4.2绘制误用例工具模块设计

4.2.1分析获取误用例

4.3方案库模块设计

4.3.1误用例库

4.3.2用例库

4.3.3帮助模块

4.4用例扫描模块设计

第五章 安全需求分析工具的实现

5.1误用例绘制工具的实现

5.2库模块实现

5.2.1用例列表库的实现

5.2.2误用例库的实现

5.2.3 Eclipse帮助插件的实现

5.3用例扫描模块的实现

第六章 总结与展望

6.1结论

6.2展望

参考文献

发表论文和参加科研情况说明

致谢