軟件行為動態(tài)分析關(guān)鍵技術(shù)研究.pdf

1、隨著信息技術(shù)深入發(fā)展，計(jì)算機(jī)軟件在國民經(jīng)濟(jì)和國防建設(shè)各個領(lǐng)域被廣泛應(yīng)用，在現(xiàn)代信息社會中發(fā)揮著至關(guān)重要的作用。盡管當(dāng)前社會越來越依賴軟件信息系統(tǒng)，但是軟件質(zhì)量現(xiàn)狀并不能令人滿意。軟件系統(tǒng)常常出現(xiàn)錯誤，甚至發(fā)生失效。利用Google搜索可以獲得上億個與軟件錯誤相關(guān)頁面，由此可見軟件錯誤普遍存在于日常生活之中，給人們生活帶來諸多不便，甚至讓社會遭受巨大損失。因此，保障軟件系統(tǒng)安全可靠運(yùn)行的可信軟件技術(shù)成為計(jì)算機(jī)軟件與理論研究的重要方向。當(dāng)前

2、，可信計(jì)算領(lǐng)域?qū)尚跑浖芯坎粔?，可信軟件技術(shù)面臨挑戰(zhàn)：一是傳統(tǒng)面向正確性的軟件理論和工程化方法已經(jīng)難以滿足現(xiàn)代信息化社會對軟件系統(tǒng)的可信要求，至今尚未建立被普遍認(rèn)可的可信軟件計(jì)算理論模型；二是當(dāng)前可信軟件技術(shù)主要從軟件靜態(tài)結(jié)構(gòu)或者內(nèi)部邏輯上間接分析和評估軟件的可信性質(zhì)，缺少動態(tài)可信性分析。保證軟件運(yùn)行時行為與行為規(guī)約一致性是可信軟件技術(shù)研究的重要目標(biāo)，軟件運(yùn)行時行為、軟件行為規(guī)約以及它們之間的一致性分析是軟件動態(tài)可信分析的重要內(nèi)容?；?/p>

3、于此，本文從可信軟件的基本概念出發(fā)，圍繞軟件運(yùn)行時行為，提出了可信軟件技術(shù)研究的幾個基本問題，建立了軟件行為動態(tài)分析技術(shù)框架，為可信軟件技術(shù)研究提供了新的技術(shù)思路。按照技術(shù)框架，本文從軟件行為基礎(chǔ)研究，軟件執(zhí)行獲取、分析和建模，基于模型的軟件行為分析三個方面開展可信軟件技術(shù)研究工作。本研究主要內(nèi)容包括：
　　⑴軟件層次行為研究。開展了軟件運(yùn)行時行為基礎(chǔ)研究，給出了軟件行為相關(guān)概念、研究內(nèi)容和基本研究方法，綜述了大部分現(xiàn)有軟件行為模

4、型，討論了幾種典型的軟件行為建模算法，并且介紹了基于模型的軟件行為分析技術(shù)研究現(xiàn)狀。通過分析軟件行為的層次性特征，從執(zhí)行的三類行為主體入手研究軟件層次行為，構(gòu)建執(zhí)行層次視圖。軟件執(zhí)行層次化使冗長的直線型執(zhí)行軌跡結(jié)構(gòu)化，將事件流軌跡轉(zhuǎn)換為具有橫縱向立體結(jié)構(gòu)的動作序列。層次行為模型分別從三個層次行為主體的角度抽象軟件執(zhí)行，有限狀態(tài)自動機(jī)模型刻畫了行為主體的控制流行為特征，并且能方便地應(yīng)用于后繼軟件行為分析。通過將層次行為建模轉(zhuǎn)換為文法推斷問

5、題，本文采用KTail算法自動構(gòu)造有限狀態(tài)自動機(jī)行為模型。針對當(dāng)前模型提取算法在處理循環(huán)執(zhí)行時的弱點(diǎn)，本文提出了改進(jìn)算法，降低了生成模型的冗余度，并且通過加入了噪音容忍處理，減小了缺陷軌跡對行為模型挖掘質(zhì)量的影響，實(shí)現(xiàn)了層次行為模型提取原型工具HBMer。
　?、栖浖惓Ｐ袨樽詣颖O(jiān)測技術(shù)。結(jié)合規(guī)約挖掘和軟件監(jiān)測，本文提出了軟件異常行為監(jiān)測技術(shù)，實(shí)現(xiàn)了運(yùn)行時異常行為發(fā)現(xiàn)的自動化方法。作為保證軟件可信性的重要手段，監(jiān)測技術(shù)面臨著軟件行

6、為規(guī)約獲取難題，因?yàn)榇O(jiān)測行為規(guī)約通常由人工構(gòu)造與維護(hù)，存在成本高、錯誤多、不適應(yīng)軟件演化等缺點(diǎn)。本文利用規(guī)約挖掘技術(shù)，基于軟件執(zhí)行歷史自動生成行為規(guī)約，并轉(zhuǎn)換為運(yùn)行時行為監(jiān)測器，使軟件系統(tǒng)具備運(yùn)行時異常行為監(jiān)測能力。另外，規(guī)約挖掘方法可提取軟件的私有行為規(guī)約，相應(yīng)監(jiān)測器可發(fā)現(xiàn)軟件自身特定的運(yùn)行時異常行為。該技術(shù)克服了行為規(guī)約獲取難題，實(shí)現(xiàn)了軟件異常行為監(jiān)測自動化，提高了軟件調(diào)試和維護(hù)的效率，是當(dāng)前運(yùn)行時驗(yàn)證技術(shù)的有效補(bǔ)充。
　　

7、⑶基于層次行為模型的缺陷定位技術(shù)。依據(jù)軟件系統(tǒng)運(yùn)行機(jī)理，軟件失效由錯誤行為造成，分析軟件運(yùn)行時行為是查找程序缺陷的直接方法。傳統(tǒng)基于程序譜的缺陷定位技術(shù)依據(jù)程序?qū)嶓w的執(zhí)行覆蓋信息評價其缺陷可疑程度，在本質(zhì)上與軟件失效機(jī)理不相符。另外，當(dāng)缺陷實(shí)體被覆蓋但測試通過時，傳統(tǒng)缺陷定位方法失效。針對以上缺陷定位缺點(diǎn)，本文提出了基于層次行為模型的缺陷定位技術(shù)。它將軟件行為作為分析對象，利用行為信息更加豐富的層次行為模型指導(dǎo)程序缺陷定位。在缺陷度量計(jì)

8、算中，綜合考慮執(zhí)行覆蓋和模型違背兩種行為信息，提高了缺陷定位精度。本文實(shí)現(xiàn)了缺陷定位原型工具HMFLer，并開展了多個實(shí)驗(yàn)分析，實(shí)驗(yàn)結(jié)果表明了本文方法的有效性和相對技術(shù)優(yōu)勢。
　?、仍贫诵袨榉治黾夹g(shù)。深入研究了云端服務(wù)行為及其挖掘和驗(yàn)證方法。根據(jù)服務(wù)系統(tǒng)特點(diǎn)，服務(wù)行為被劃分為三個層次：服務(wù)內(nèi)部行為、服務(wù)外部行為和應(yīng)用工作流行為，據(jù)此提出了服務(wù)行為的建模和驗(yàn)證方法。另外，偽裝攻擊對云端用戶信息安全構(gòu)成極大威脅，并且識別偽裝攻擊非常困