程序代码时序模型程序漏洞抽象建模漏洞检测.ppt

模型检测原理 报告人：许团 Outline ? 摘要 ? 研究背景 ? 技术框架 ? 方法特点 ? 方法实现 ? 总结 摘要 □ 模型检测是一种基于有限状态模型检验程序安全特性的技术，程序被抽象为状态转换系统，相关安全属性规范被描述成命题时态逻辑公式，检测过程就是对模型的状态空间进行穷尽搜索。 Outline ? 摘要 ? 研究背景 ? 技术框架 ? 方法特点 ? 方法实现 ? 总结 研究背景 □ 软件安全研究方法与软件系统发展之间关系 研究背景 □ Clarke和Emerson提出了有穷状态并发系统的模型检验(model checking)方法 ? 时态逻辑 ? 穷尽搜索 ? 数学抽象 Outline ? 摘要 ? 研究背景 ? 技术框架 ? 方法特点 ? 方法实现 ? 总结 技术框架 □ 模型检查方法主要内容 ? 软件提取需要验证的属性规范 ? 对程序系统及其属性进行抽象 ? 根据抽象结果构建程序的模型 ? 检测系统模型满足安全规范情况 ? 对检测结果进行精细化验证分析 Outline ? 摘要 ? 研究背景 ? 技术框架 ? 方法特点 ? 方法实现 ? 总结 方法特点 □ 应用数学方法验证软件系统的安全属性 ? 程序属性的抽象层次较高 ? 模态/时序逻辑，化简具体操作等 ? 自动化程度高 ? 属性规范，终止性，验证信息等 ? 方法存在不足 ? 状态空间爆炸，抽象存在误差 Outline ? 摘要 ? 研究背景 ? 技术框架 ? 方法特点 ? 方法实现 ? 总结 方法实现 □ 程序基本模型为转换系统（Transition System），通常表示为Kripke五元组结构 ? M = (S, s0, ?, △, L) ? s0?S, △?S*?*S, L: S→2AP ? 自动机五元组(S, s0, L, T, F) ? s0?S, T? (S×L×S), ? ?? L, t?S (s, ?, t)? T, 方法实现 □ 程序模型检查包括三个阶段 程序代码 时序模型 程序漏洞 抽象建模 漏洞检测 □ 抽象建模包括以下步骤 程序代码 系统建模语言表示 抽象 变换 时序模型 mtype = { P, C }; mtype turn = P; active proctype producer() { do :: (turn == P) - printf(Produce\n); turn = C od } active proctype consumer() { wait: if :: (turn == C) - printf(Consume\n); turn = P; goto wait :: else - break fi } PROMELA程序 enum Name = { P, C, R}; Name turn = Name.P, result = Name.C; void producer() { do{ printf(Produce\n); turn = Name.C; }while(turn == Name.P) } void consumer() { do{ printf(Consume\n); turn = Name.P; }while(turn == Name.C) do{ result = Name. R; }while(result == Name. C) } 生产和消费者C程序 示例程序 state_1: if :: (!p) || (q) - goto state_1 :: (1) - goto state_2 fi; state_2: if :: (1) - goto state_2 :: (q) - goto state_1 fi; PROMELA程序段 时序模型构