基于Z規(guī)格的軟件缺陷形式化方法.pdf

1、基于Z規(guī)格的軟件缺陷形式化方法FormalizingSoftwareWeaknessesBasedOnZSpecification學(xué)科專業(yè)：計算機應(yīng)用技術(shù)研究生：HamzaIBangura指導(dǎo)教師：李曉紅教授f▲I■摘要隨著軟件的在關(guān)鍵領(lǐng)域如電子商務(wù)、銀行、航空等的廣泛應(yīng)用，其可信性已經(jīng)越來越多的獲得人們的關(guān)注，據(jù)報道，2000年至U2006年基于WEB的攻擊從25％上漲到61％。然而，目前的軟件工程方法無法有效的保障軟件的可信性，針對

2、軟件成品的測試能夠一定程度的保證軟件的安全性、可靠性，但該過程依賴于測試人員的能力、經(jīng)驗、狀態(tài)等一系列不確定因素，同時，對于設(shè)計階段引入的缺陷，其緩和成本過高。CWE網(wǎng)站對目前已知的軟件安全缺陷進行了總結(jié)與整理，然而其描述是基于自然語言的，缺乏足夠的語義信息，計算機不能夠自動識別并處理。本畢設(shè)對軟件設(shè)計階段引入的安全缺陷進行了總結(jié)、抽象、形式化，并通過Z語言對其進行了形式化的描述，建模了軟件安全缺陷發(fā)生的本質(zhì)及可能的緩和方案。基于上述結(jié)

3、構(gòu)，構(gòu)建了基于本體的軟件安全缺陷知識庫，作為軟件安全專家系統(tǒng)的核心部分，為缺陷的形式化驗證、軟件的安全性評估及其他相關(guān)工具的開發(fā)奠定了堅實的基礎(chǔ)。最后，通過網(wǎng)上銀行案例，驗證了上述理論的正確性及有效性，同時，結(jié)合統(tǒng)一軟件模型，實現(xiàn)了基于定理證明的軟件安全性形式化驗證。綜上所述，本畢設(shè)實現(xiàn)了軟件可信工程中，設(shè)計階段的軟件安全性驗證，同時，軟件安全缺陷知識庫為其他研究組織提供了結(jié)構(gòu)定義完善的軟件安全缺陷信息。關(guān)鍵字：軟件安全缺陷；z規(guī)格；知