（計(jì)算機(jī)軟件與理論專業(yè)論文）基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的smv分析與改進(jìn).pdf

基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模犁的s m v 分析與改進(jìn) 基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 專業(yè)：計(jì)算機(jī)軟件與理論 顫生：趙扶欣 導(dǎo)師：蘇開(kāi)樂(lè) 摘要 容饅技零是力強(qiáng)太型嬲絡(luò)綴務(wù)器在受到攻擊磊，戇繼續(xù)提供羧務(wù)( 葳提供舞 級(jí)服務(wù)) 的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。本文介紹了基于狀態(tài)轉(zhuǎn)換的容侵系統(tǒng)模型，同時(shí) 根據(jù)現(xiàn)在網(wǎng)絡(luò)攻擊的類獺，構(gòu)造出了攻擊者的有限狀態(tài)轉(zhuǎn)換模型。通過(guò)容侵系統(tǒng) 模簍與攻拳者模黧懿耪互俸瘸，菠瘸s m v 淶對(duì)容侵系統(tǒng)進(jìn)行分掌廳。分耩結(jié)聚表 明，容侵系統(tǒng)模型著不通用于所有的嗣絡(luò)攻擊。在此論文中對(duì)容侵系統(tǒng)模型逃行 了改進(jìn)，同時(shí)對(duì)改進(jìn)后的模型進(jìn)行了s m v 分析，最后對(duì)此模型的每一個(gè)改讖都 給出了稻應(yīng)的實(shí)鐨。 關(guān)鍵訶：模聱檢濺；容侵系統(tǒng)；s m v ；d d o s 基于狀憊轉(zhuǎn)攘吝寢系統(tǒng)模型魏s m v 分輯魏速 s m v a n a l y s i so fi n t r u s i o nt o l e r a n ts y s t e ms t a t e t r a n s i t i o nm o d e la n di m p r o v i n g m a j o r：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e：z h a oc o n g x i n s u p e r v i s o r ：s uk a i l e a b s t r a c t i n t r u s i o nt o l e r a n c ei sa ne m e r g i n gn e t w o r ks e c u r i t yt e c h n i q u e ，w h i c h e n a b l e st h ev i c t i ms e r v e r s y s t e m s t oc o n t i n u e o f f e r i n gs e r v i c e s ( o r d e g r a d e ds e r v i c e s ) a f t e rb e i n ga t t a c k e d + as t a t et r a n s i t i o nm o d e lh a sb e e n p r e s e n t e dt od e s c r i b et h ed y n a m i cb e h a v i o ro fi n t r u s i o nt o l e r a n ts y s t e m s i nt h i sp a p e r ，w eb u i l da na t t a c kf i n i t es t a t es y s t e mb a s e do nt h er e c e n t n e t w o r ka t t a c k s ，a n du s es m v ，am o d e l c h e c k i n gt o o l ，t o a n a l y z et h e i n t r u s i o nt o l e r a n ts y s t e mb yt h ei n t e r a c t i o no ft h e s y s t e mm o d e la n dt h e a t t a c km o d e l t h ea n a l y s i sr e s u l t sd e m o n s t r a t et h a tn o ta l lt y p e so fa t t a c k s c a nb em a p p e dt ot h es y s t e mm o d e l w ei m p r o v et h i s s t a t et r a n s i t i o n m o d e la n du s es m vt op r o v et h ec o r r e c t n e s so ft h e i m p r o v e dm o d e l ， m o r e o v e r ，w eg i v et w oa t t a c ki n s t a n c e sm a p p e dt oo u r i m p r o v e dm o d e l k e yw o r d s ： m o d e lc h e c k i n g ；i n t r u s i o nt o l e r a n c es y s t e m ；s m v ；d d o s l i 基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 1 1研究背景 第一章引言 網(wǎng)絡(luò)的誕生，極大地方便了人們地溝通和交流，人們?cè)谌粘Ｉ詈凸ぷ鳝h(huán)境 日漸依賴信息系統(tǒng)。然而網(wǎng)絡(luò)誕生之日起，網(wǎng)絡(luò)安全問(wèn)題就一商如影隨形，蠕蟲(chóng) 病毒，分布式拒絕服務(wù)攻擊。隨著網(wǎng)絡(luò)技術(shù)地飛速發(fā)展，新的威脅和脆弱點(diǎn)不斷 出現(xiàn)，從而對(duì)網(wǎng)絡(luò)信息安全技術(shù)提出了更高地要求。 計(jì)算機(jī)網(wǎng)絡(luò)安全涉及計(jì)算機(jī)科學(xué)、通信技術(shù)、密碼技術(shù)、信息論等多種學(xué)科。 其中包括人的惡意行為可能導(dǎo)致的資源( 包括信息資源、計(jì)算資源、通信資源等) 被破壞、信息泄漏、篡改、濫用和拒絕服務(wù)，包括一f 四個(gè)方而： 1 破壞資源的保密性。即泄密，對(duì)信息資源，指信息的語(yǔ)義、存在性等屬 性在存鍵或妻乏瑗過(guò)程中被來(lái)援投的實(shí)體瓣獲矮。 2 破壞系統(tǒng)或信息的完整性。在程序或數(shù)據(jù)的存儲(chǔ)、傳輸過(guò)程中通過(guò)熊改、 插入、刪除、熏發(fā)的方式，改變數(shù)據(jù)的語(yǔ)義或系統(tǒng)的功能。 3 。玻壞系統(tǒng)或饋惑戇霹弱j 鏊。逶過(guò)一定懿攻毒手段建褥系統(tǒng)無(wú)法提供有效 的服務(wù)甚至停止服務(wù)，進(jìn)而使合法用戶對(duì)信息資源、計(jì)算資源或通信資 源的合法訪問(wèn)無(wú)法進(jìn)行。 4 。來(lái)授投弱矮爨資源。薅患資源、活冀資源或逶信炎源羧未授衩蕊實(shí)俸譴 用，這一威脅不破壞信息域系統(tǒng)的保密性、完整性和可用性，但怒可能 繪資源的所有精帶來(lái)?yè)p失，如流黽盜用。 模蘩檢濺鼓術(shù)跫一門鑫動(dòng)純羧零，這l 、l 技零驗(yàn)蠢e 騫藤毛爰態(tài)并行系統(tǒng)。羧壟檢 測(cè)系統(tǒng)有兩個(gè)輸入：一個(gè)系統(tǒng)，我們需要驗(yàn)證這個(gè)系統(tǒng)的正確性；規(guī)格，系統(tǒng)具 有的屬性：模型檢測(cè)中主要的挑戰(zhàn)就是狀態(tài)空間的爆炸問(wèn)題。這個(gè)問(wèn)題足因?yàn)橄?統(tǒng)中青許多穗互作竭滟因素或者密 二系縫中有餐雜戇數(shù)據(jù)結(jié)梅，蠢這些數(shù)攥結(jié)構(gòu) 可以取許多不同的值。在這樣一種情況下系統(tǒng)狀態(tài)的數(shù)目會(huì)變得非常大。 模型檢測(cè)技術(shù)的一個(gè)優(yōu)點(diǎn)就熄它能夠進(jìn)行自動(dòng)化的驗(yàn)證。程序通常使用一 耱?qū)ο到g豹狀態(tài)空聞窮舉援索豹過(guò)疆決定菜些麓格是否為真。給予足夠的資源， 程序?qū)⒖偸且詙 e s n o 同答終結(jié)。 基t 狀態(tài)轉(zhuǎn)換容侵系統(tǒng)橫型的s m v 分析與改進(jìn) 模型柃測(cè)技術(shù)是一種檢測(cè)有限狀態(tài)并發(fā)系統(tǒng)的自動(dòng)化檢測(cè)技術(shù)，它主要用來(lái) 撿測(cè)i 鬲時(shí)態(tài)遙輯c t l ( c o m p u t a ti o nt r e el o g i c ) 或l t l ( l i n e a rt i m el o g i c ) 描述 | ! 勺規(guī)范。模型檢測(cè)的工具主要有c m u 的s m v 1 ，b e l l 實(shí)驗(yàn)室的s p i n 2 等。 模型檢測(cè) 3 ，4 ，5 是熄模型檢驗(yàn)問(wèn)題轉(zhuǎn)化為檢驗(yàn)趣動(dòng)枧或轉(zhuǎn)換系統(tǒng)礁是否濾 怒邏輯公式s ，鄙赫| = s 愁否成立的一種形式化驗(yàn)證技術(shù)。模型稔驗(yàn)已在硬攙電 路、安全協(xié)議的驗(yàn)證 6 ，7 、軟件系統(tǒng)規(guī)格與分析、分布式系統(tǒng)驗(yàn)證中 8 中得別 了成功的應(yīng)滕。 但是早期對(duì)有限狀態(tài)系統(tǒng)進(jìn)行模型撿驗(yàn)，系統(tǒng)的狀態(tài)用顯示表示的。驗(yàn)證進(jìn) 行窮盡驗(yàn)證，但隨著所耍驗(yàn)證的系統(tǒng)的增大，就出現(xiàn)r 狀態(tài)爆炸的問(wèn)題，為了解 決這個(gè)問(wèn)題如現(xiàn)。r 符號(hào)化模型撿驗(yàn)。符號(hào)化模型檢驗(yàn)對(duì)系統(tǒng)的狀態(tài)用布爾函數(shù)進(jìn) 行隱式表示，閩時(shí)搜索算法的改進(jìn)，使褥在狀態(tài)空間繕到了攝大麴改進(jìn)。符號(hào) 模型檢測(cè)工具s m v ( s y m b o l i cm o d e lc h e c k i n g ) 可以使得模型檢測(cè)在機(jī)器上自動(dòng) 運(yùn)行。 援鏹實(shí)驗(yàn)察在對(duì)援爨梭測(cè)對(duì)安全按議、分棗式系絞等憋建模霸驗(yàn)證中已經(jīng)暇 了大量的研究，并取褥了一些成果 7 ，8 ，9 ，1 0 。 1 。2察侵系統(tǒng)模型的研究 隨著i n t e r n e t 的飛速發(fā)鼷，耐絡(luò)的安全性受到了臼益嚴(yán)羹的挑酸。一方澍 潮絡(luò)攻擊行為日益呈現(xiàn)復(fù)雜化幫自動(dòng)化的趨勢(shì)，拒絕服務(wù)攻擊已經(jīng)成為網(wǎng)絡(luò)運(yùn)行 的主要隱患。另一方面，由于網(wǎng)絡(luò)中系統(tǒng)軟件和應(yīng)用軟件的快速升級(jí)換代，各種 系統(tǒng)漏洞不斷地祓發(fā)現(xiàn)，黼絡(luò)帶寬的迅速增長(zhǎng)也使得信息的潞測(cè)變得更加困難。 這些挑戰(zhàn)或需求搬動(dòng)嘲絡(luò)安全技術(shù)的發(fā)展。 容侵技術(shù) 兒 是近些年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，主要針對(duì)網(wǎng)絡(luò)服務(wù)器受到 攻擊后，服務(wù)器魑否能繼續(xù)提供服務(wù)提出來(lái)的?，F(xiàn)在犬型軟件系統(tǒng)不可避免的存 在一些安全漏洞，和攻擊者采取攻擊的方法秘手段是不可預(yù)知的，對(duì)服務(wù)器來(lái)說(shuō)， 確定受到攻擊后能否繼續(xù)提供服務(wù)比確定是受到的什么樣攻擊的類型更加重要。 對(duì)服務(wù)器的攻擊類型可以分為：未授權(quán)使用瓷源，破壞服務(wù)器上資源的機(jī)密性， 破甥：系統(tǒng)或信息的完整性、可用性。攻擊鰒類型不同，容鏝系絞保護(hù)鮑對(duì)象逛苓 基于狀態(tài)轉(zhuǎn)接吝媛系縫摸警黲s m v 分援每教避 棚同。容侵系統(tǒng)就是在服務(wù)器受到攻擊后，采取的一熄相應(yīng)的措施，使服務(wù)器繼 續(xù)提供鞭務(wù)，必要時(shí)提供臻級(jí)騷務(wù)。 容侵理論研究是網(wǎng)絡(luò)系統(tǒng)安全研究地重要組成部分，國(guó)外也羆剛岡i 起步。美 圍國(guó)防部目前關(guān)于容侵的資助項(xiàng)目有s i t a r ( s c a l a b l ei n t r u s i o nt o l e r a n c e a r c h i t e c t u r e ) 【1 l 】 、 i t t c i n t r u s i o nt o l e r a n c ev i at h r e s h 0 1d c r y p t o g r a p h y ) 1 2 、i t u a ( i n t r u s i o nt o l e r a n c eb yu n p r e d i c t a b i l i t ya n d a d a p t a t i o n ) 1 3 等，歐洲的項(xiàng)目( 2 0 0 0 - 2 0 0 3 ) 有m a f t i a ( m a l i c i o u sa n d a c c i d e n t a lf a u l tt o l e r a n c ef o ri n t e r n e ta p p l i c a t i o n s ) 1 4 】等。這些項(xiàng)蘸 主要從容侵理論和密碼技術(shù)等方面出發(fā)，研究容侵技術(shù)和容侵系統(tǒng)地體系結(jié)構(gòu)。 在這些項(xiàng)目地支持下，西方潮家在與容侵技術(shù)相關(guān)地領(lǐng)域內(nèi)取得了許多顯著地進(jìn) 袋。 在重內(nèi)，對(duì)容繩技術(shù)的磷究進(jìn)行懿較少。騫侵技術(shù)關(guān)注的焦點(diǎn)怒，在入侵存 在的情況下系統(tǒng)是否可以正常的提供服務(wù)，系統(tǒng)所提供的服務(wù)是否輿有連續(xù)性， 數(shù)據(jù)地安全髓楚否能得到僳征。它要求系統(tǒng)即使在面稿入侵時(shí)，盡可能地保持提 供關(guān)鍵黢務(wù)瓣能力，并且盡餮傺涯關(guān)鍵臻崽的安全。 容侵技術(shù)作為新一代的信息安全技術(shù)，結(jié)合密碼披術(shù)、容錯(cuò)計(jì)算技術(shù)和網(wǎng)絡(luò) 安全控術(shù)，著眼于在人侵絕對(duì)存在的情況下，它通過(guò)攄供時(shí)間、空間地?cái)?shù)據(jù)冗余 以及凌源酶耄秘寒據(jù)供一定懿服務(wù)矮量，叛藏提裹象縫懿安全毪。攘甸疆淀，容 侵技術(shù)旨在提高系統(tǒng)自身的免疫力，使得系絨對(duì)于非關(guān)鍵的入侵都可以保持信息 的究戇性、百用性和秘密性，從而提高信怠系統(tǒng)的安全性。 k a t e r i a ng o s e v a - p o p s t o j a n o v a 毒秘f e i y iw a n g 等人裁震竣態(tài)轉(zhuǎn)移圈模型繪 出了容侵系統(tǒng)的動(dòng)態(tài)行為( 1 5 。這個(gè)模型有助于描述已知的和未知的安全攻擊。 遮篇論文超因于以下諜題：國(guó)際上出現(xiàn)的對(duì)容侵技術(shù)的系統(tǒng)化研究中，已經(jīng) 敬褥了虢土掰討論麓熬分畿桊。但是，還沒(méi)有對(duì)系統(tǒng)送 子形式訖靜騷涯，不麓鴦 定系統(tǒng)實(shí)現(xiàn)或系統(tǒng)模型是否滿足系統(tǒng)規(guī)約的要求。 在本文中介紹了基于狀態(tài)轉(zhuǎn)換的容侵系統(tǒng)模型 1 5 】，同時(shí)根據(jù)現(xiàn)在網(wǎng)絡(luò)攻擊 熬類麓，穆造& 了敬擊者的有黻?duì)顟B(tài)轉(zhuǎn)換篌黧。給出了系統(tǒng)要滿足的躐麴。通過(guò) 察侵系統(tǒng)模型與段潦者模型的相互作用，使用s m v 來(lái)對(duì)客經(jīng)系統(tǒng)進(jìn)行分析。分析 結(jié)果表明， 1 5 中的容侵系統(tǒng)橫裂并不邂用予所有的閾絡(luò)攻擊。本文對(duì)容侵系統(tǒng) 藍(lán)r 桃態(tài)轉(zhuǎn)換容侵系統(tǒng)鏌型的s m v 升析與改進(jìn) 模型進(jìn)行了改進(jìn)，并對(duì)改避后的模型遴行了s m v 分褥，最后對(duì)此模型的每一個(gè)改 進(jìn)都給出了相應(yīng)靜實(shí)例。 1 3研究的動(dòng)機(jī)和鼠的 1 3 1 動(dòng)機(jī) 根據(jù)藏蠢i | = 戇討論，容緩系統(tǒng)是在暇務(wù)器受至攻壹縋靖囂下縫繼續(xù)提供服務(wù)藏 降級(jí)服務(wù)，嗣時(shí)現(xiàn)在我們已經(jīng)很清楚對(duì)服務(wù)器進(jìn) j = 網(wǎng)絡(luò)攻擊的方式，這樣我們就 可以給出容侵系統(tǒng)模型要滿足的系統(tǒng)規(guī)約以及可以構(gòu)造出攻擊辮進(jìn)行攻擊的狀 態(tài)轉(zhuǎn)接模登。簿號(hào)化模燮撿測(cè)是對(duì)系絞瓣菝態(tài)愛(ài)蠢爾交數(shù)遘囂爨式表示，霹時(shí)羧 索算法的茂進(jìn)，使得在狀態(tài)空間上得到了很大的改進(jìn)。符號(hào)模型檢測(cè)工具s m v 可以使得模飄檢測(cè)在機(jī)器上自動(dòng)運(yùn)行。文獻(xiàn) 1 5 中的撼于狀態(tài)轉(zhuǎn)換的容侵模型的 羧態(tài)轉(zhuǎn)換楚數(shù)囂是有疆熬，我翻穩(wěn)逡瓣攻壹者敬狀態(tài)轉(zhuǎn)換橫蝥鵑獲愨龜是有戮 的，這兩個(gè)模型之間消息的傳遞可以看作是有限狀態(tài)的轉(zhuǎn)移，這樣就使得此模裂 可以通過(guò)s m v 來(lái)進(jìn)行驗(yàn)證。 本論文鶼瓣翡羲楚對(duì)一個(gè)套 受系綾援鍪進(jìn)孝子符爭(zhēng)沲模型驗(yàn)疆?；h先對(duì)客經(jīng)系 繞基于狀態(tài)轉(zhuǎn)換懿模登避行窮纓，橫援臻在弼絡(luò)攻擊豹類型梅逑出攻壺耆狀態(tài)轉(zhuǎn) 換模型，同時(shí)給出了容侵系統(tǒng)模型要滿足的一些規(guī)則。通過(guò)容侵系統(tǒng)模型和攻擊 謄系統(tǒng)禳鍪豹籀豆釋；靂，在s 孵上遴行驗(yàn)涯，驗(yàn)證豹繡祭表稿寮僚系統(tǒng)模型著不 蹙完備靛，在本論文中疆出了改遂懿模登，著聰改進(jìn)露麴模型漆孬了形式化懿驗(yàn) 舐，給出旗子改進(jìn)后模型的實(shí)例。以上的容侵系統(tǒng)模型、構(gòu)造的攻擊者模型、對(duì) 系統(tǒng)進(jìn)行的糕麴、整個(gè)輟證過(guò)程、驗(yàn)證絡(luò)鬃、改遂焉酌摸墅和實(shí)鍘分祈將會(huì)嬲深 辯鴦饅系統(tǒng)秘對(duì)系絞邈褥鎊號(hào)倦驗(yàn)證靛談諼，筑巍可勰會(huì)薄整令容橙技術(shù)器茨蕊 鞠i 符號(hào)化驗(yàn)證譙網(wǎng)絡(luò)安全中的應(yīng)用有所價(jià)值。 基丁狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 1 4論文組織 在第二章中介紹了模型檢測(cè)技術(shù)，其中包括進(jìn)行模型檢測(cè)的過(guò)程、如何模擬 系統(tǒng)、符號(hào)化模型檢測(cè)和c t l 的語(yǔ)法和語(yǔ)義。 第三章詳細(xì)介紹了基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型，建立此模型上的系統(tǒng)可以允 許多個(gè)容侵策略并存并且支持不同級(jí)別的安全需要。同時(shí)，由于此狀態(tài)模型是根 據(jù)攻擊對(duì)系統(tǒng)服務(wù)所造成的影響，不是攻擊過(guò)程本身，只要某種攻擊對(duì)服務(wù)器產(chǎn) 生的破壞的效果和此模型中已知的攻擊所產(chǎn)生的效果類似，就可以根據(jù)此模型來(lái) 處理這種攻擊。在本章中根據(jù)現(xiàn)在唰絡(luò)攻擊的類型構(gòu)造出了攻擊者模型，對(duì)每一 個(gè)狀態(tài)和每一個(gè)狀態(tài)轉(zhuǎn)移都進(jìn)行了詳細(xì)的說(shuō)明。 第四章對(duì)系統(tǒng)進(jìn)行s m v 分析，其中包括如何在s m v 上針對(duì)此容侵系統(tǒng)的模型 建立系統(tǒng)模型、以及給出系統(tǒng)性質(zhì)的描述和分析其驗(yàn)證結(jié)果。根據(jù)驗(yàn)證結(jié)果對(duì)原 模型進(jìn)行了改進(jìn)，對(duì)改進(jìn)后的模型也同樣進(jìn)行了s m v 分析，表明它的完備性。 第五章根據(jù)現(xiàn)在非常流行的攻擊，給出了相應(yīng)改進(jìn)后模型的如何進(jìn)行狀態(tài)轉(zhuǎn) 移的實(shí)例。 第八章對(duì)繁篇論文的工作做了總結(jié)，歸納了本片論文所作的主要貢獻(xiàn)，并對(duì) 未來(lái)的工作提出了建議和想法。 基u 狀態(tài)轉(zhuǎn)換窖侵蕞統(tǒng)模型的s m v 分析與改進(jìn) 第二章模型檢測(cè)技術(shù) 模型檢測(cè)技術(shù)足一門自動(dòng)化技術(shù)，遮門技術(shù)驗(yàn)證有限狀態(tài)并行系統(tǒng)。這種方 法已經(jīng)成功瘸予許多復(fù)雜豹電鼴設(shè)詩(shī)秘逶信強(qiáng)波驗(yàn)證。模型撿濺系綾有囂個(gè)輸 入：一個(gè)系統(tǒng)，我們想要驗(yàn)證的系統(tǒng)：規(guī)格，系統(tǒng)具有的屬性。模酗檢測(cè)中j e 騷 的挑戰(zhàn)就是狀態(tài)空間的爆炸問(wèn)題。這個(gè)問(wèn)題足因?yàn)橄到y(tǒng)中有許多相互作用的因索 或者出 系統(tǒng)孛有復(fù)雜懿數(shù)攥結(jié)秘，蕊這些數(shù)擺縫褥霹敬取誨多不霹瓣值；在這 樣一種情況下系統(tǒng)狀態(tài)的數(shù)目會(huì)變得非常大。 模型檢測(cè)技術(shù)的一個(gè)優(yōu)點(diǎn)就是它能夠進(jìn)行自動(dòng)化的驗(yàn)證。檢測(cè)程序通常使用 一耱霹系繞瓣?duì)顟B(tài)空藏霧舉搜索熬過(guò)程決定菜弩戴戇跫否為賣。綴定我囂j 麓詩(shī)舞 機(jī)足夠強(qiáng)大，檢測(cè)程序?qū)⒖偸且詙 e s n o 回答終結(jié)。 2 。l 模型檢測(cè)的過(guò)糕 把模型檢測(cè)技術(shù)應(yīng)用于澄汁由幾項(xiàng)任務(wù)組成 1 6 。 模擬 模型檢測(cè)王具都蠢定魄輸入格式，瓣以第一項(xiàng)任務(wù)藏是恕個(gè)設(shè)計(jì)或系統(tǒng) 轉(zhuǎn)化成模型檢測(cè)工具能夠接受的形式。在許多情況下，遮僅僅是一項(xiàng)編譯工作。 在其他憤況下，建于時(shí)間積內(nèi)存的局限，一個(gè)設(shè)計(jì)的模擬可能要求搜用抽象去減 少不楣關(guān)或不重要躲綱警。 給定規(guī)格 在驗(yàn)證之前，必須提寵設(shè)討或系絞必須瀵足的性藤。這個(gè)溉摻逮豢以邏矮公 式鴕形式給出，遴常楚c t l ( c o m p u t a t i o nt r e el o g i c ) 或l t l ( l i n e a rt r e el o g i c ) 公式的形式出現(xiàn)。這聰犖申邏輯公式熊夠燃述系繞隧驁對(duì)聞變化艙麟性。本文將要 考感恩c t l 公式來(lái)表暴系絞要潢足熬趣捂。 驗(yàn)證 在理想黲 冤f 驗(yàn)誕楚完全曩動(dòng)化灼。鍵是，在實(shí)際中經(jīng)零霪要有人豹參譬。 耱人工熟活裁憝驗(yàn) 委結(jié)聚豹分毒廳。為了游盤番定鑫冬結(jié)聚，出繕熬路徑經(jīng)常星巍 給蠲戶。窯麓夠禳作為溺試震往的反鍘并勰幫韻設(shè)計(jì)者跟蹤到出鏈鵲穗方。在這 6 基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 種情況f ，分析錯(cuò)誤路徑可能要求修改系統(tǒng)和重寫(xiě)模型檢測(cè)的算法。 j 一：生錯(cuò)誤的路徑也可能是因?yàn)椴徽_的系統(tǒng)模擬或是不正確的規(guī)格要求。錯(cuò) 誤路徑能用于發(fā)現(xiàn)和修補(bǔ)這兩類問(wèn)題。最后一種可能是驗(yàn)證任務(wù)可能會(huì)不能i _ f 常 地終止，因?yàn)槟Ｐ鸵?guī)模大到不能裝進(jìn)計(jì)算機(jī)內(nèi)存的原因。在這種情況下，可能需要 在更改模型檢測(cè)器的參數(shù)或調(diào)整模型后重新驗(yàn)證。 2 2模擬系統(tǒng) 一個(gè)狀態(tài)是系統(tǒng)中的變量在一個(gè)特定的時(shí)間的一個(gè)快照或怒一個(gè)現(xiàn)時(shí)的描 述。 我稠還需要翔遂系統(tǒng)熬 壹螽箭逮蕊系統(tǒng)靜動(dòng)佟燹純。可疆遴遭繪定系緩褒動(dòng) 作發(fā)生前和發(fā)生后的狀態(tài)來(lái)描述系統(tǒng)的改變。這樣的狀態(tài)對(duì)決定了系統(tǒng)狀態(tài)的遷 移。在這壁，在模擬系統(tǒng)時(shí)可以使用k r i p k e 結(jié)構(gòu)來(lái)描述系統(tǒng)的行為 1 6 。 一個(gè)k r i p k e 結(jié)秘密：一令妖態(tài)集合，狀態(tài)之潤(rùn)的遷移關(guān)系，一個(gè)標(biāo)號(hào)函數(shù) 組成。標(biāo)母函數(shù)用一些在這個(gè)狀態(tài)f 為真的命題標(biāo)識(shí)這個(gè)狀態(tài)。路徑是一個(gè) k r i p k e 結(jié)構(gòu)在模擬系統(tǒng)汁算的狀態(tài)系列。雖然這櫸的模型非常簡(jiǎn)單，但它們有 足夠的表遮箍力對(duì)系統(tǒng)遂行猿理。 下面讓我們來(lái)看看如何用k r i p k e 結(jié)構(gòu)模擬系統(tǒng)。 假設(shè)a p 海一個(gè)原孑命題的集合。一個(gè)在a p 上躲k r i p k e 結(jié)褥鹺是一個(gè)四元 組 m = ( s ，s 。，r ，l ) s 是有隈狀態(tài)集合 s 。是s 的一個(gè)子集，它是系統(tǒng)秘貽狀態(tài)的集合 r 是s s 的一個(gè)傳遞關(guān)系，r 必須是完全的，也就是對(duì)于每一個(gè)s s ，有一 個(gè)狀態(tài)s ，滿足r ( s ，s ) l ：s 一 2 ”是一個(gè)函數(shù)，這個(gè)函數(shù)撼每一個(gè)狀態(tài)弼在這個(gè)狀態(tài)成立的原子命題 集合標(biāo)識(shí)。 有時(shí)我鍵霹毆不蘑關(guān)心拐始狀態(tài)爽合s 。在這葶孛壤凝下，可以挺這個(gè)狀態(tài)集 合從k r i p k e 結(jié)構(gòu)的定義中刪除。在結(jié)構(gòu)m 中，從一個(gè)狀態(tài)s 殲始的一條路徑是 7 鏊，狀態(tài)轉(zhuǎn)換窖餐系統(tǒng)模型的s m v 分析與改進(jìn) 狀態(tài)的一個(gè)無(wú)窮序列 r = s o s i s 2 在這里s o = s 并且r ( s 。，s ，。) 對(duì)所有的i o 成立。 2 。3 霆一除公式表示系統(tǒng) 可以便刷一階公式來(lái)描述系統(tǒng)。在這些公式里麗出現(xiàn)的謂詞和函數(shù)符號(hào)將有 了預(yù)先繪定瓣定義。逶零，這耱意義獲上下文寒番怒緩麓確豹。 假設(shè)v 。 v l ，v n 是系統(tǒng)變量的集合。在描述系統(tǒng)時(shí)同時(shí)假設(shè)在v 中的變 最的取值范圍是有限集合d 。一個(gè)對(duì)v 的賦值把在v 中的變量v 聯(lián)系到d 中的一 令篷。 通過(guò)對(duì)v 中所有的窩鼙給定毽就熊夠積系統(tǒng)的一個(gè)狀態(tài)描述潞來(lái)。也就磚說(shuō) 個(gè)狀態(tài)贛楚個(gè)斌 ! 蓬：s ；￥ d 。給定一個(gè)斌髓，我們能夠?qū)懗鲆粋€(gè)為真的 公式來(lái)表示這個(gè)斌值。倒懿給定： v = v l ，v 2 ，v 3 和斌 鬣 v l 一2 ，v 2 2 ”鼗霆義藏l ( $ 麓艨有杰s 中為糞夔簸子公式瓣予囊。 如果v 是一個(gè)布爾域上的變爨，那么v l ( 8 ) 表示s ( v ) = t r u e ，并尉v 不屬于l ( s ) 表示s ( v ) = f a l s e 。 出予要求懿k r i p k e 蓊鞫懿遷移關(guān)系總楚完全夔。當(dāng)狀態(tài)s 沒(méi)有后繼時(shí)宓矮 擴(kuò)充關(guān)系r 。在這種情況下修改r 使r ( s ，s ) 成立。 2 4二進(jìn)決定圈 遄過(guò)符號(hào)億淡示獲態(tài)轉(zhuǎn)移鑿【i 7 】，綴多燹大靜系統(tǒng)幫縫鞍驗(yàn)證。灝的符號(hào)純 表示是基于b r y a n t 的o b d d ( o r d e r e db i n a r yd e c i s i o nd i a g r a m s ) 。o b d d 為布爾 公式掇供了一種標(biāo)準(zhǔn)的表示方式，這種表示方式通常比臺(tái)取范式或卡廳取范式更緊 湊，褥雖也有非鬻有效的方法對(duì)它們進(jìn)行搽佟。由于符號(hào)純襲示綴緊湊童氌箍述了 凼電路或協(xié)議決定的狀態(tài)空間的規(guī)律性，所以有可能驗(yàn) 正狀態(tài)空間非常大的系 統(tǒng)。 下面播述怎櫸掰二迸決定圖符號(hào)純的襲示霄# 琵狀態(tài)系統(tǒng)。首先討論二進(jìn)決定 閣怎樣被用來(lái)液示稚爾函數(shù)。布爾函數(shù)被定義為在0 和lt 麗，0 代表f a l s e ，t 代表t r u e 。二進(jìn)決定圖的大小跟變量的順序露很大的關(guān)系。使用這種襲達(dá)方式 番種邏輯操作能有效的實(shí)現(xiàn)。隨磁討論使掰二滋決定圖怎樣編碼k r i p k e 結(jié)構(gòu)， 遮樣就能準(zhǔn)確的表示搪述的系統(tǒng)了。 2 唾+ l 瘸o b d d 淡示蠢笨公式 有序布爾確定蕊( o b d d ) 怒表示布爾公式的一種標(biāo)凇。他們通常比傳統(tǒng)的合墩 基于狀態(tài)轉(zhuǎn)換容經(jīng)系統(tǒng)模型的s m v 分j 扦與改進(jìn) 范式或櫥墩范式更緊湊的多，而且它們搡作起來(lái)也囂常有效。因此它們廣泛使瘸 在計(jì)算楓輔鼢漫詩(shī)的各種應(yīng)用中，包括信號(hào)模擬，綴合邏輯驗(yàn)謹(jǐn)，和最近的一些 應(yīng)用于有限狀態(tài)并發(fā)系統(tǒng)的驗(yàn)證。 我們露先考慮二進(jìn)決定樹(shù)。二遘決定楗是一個(gè)有綴蛉，有囪褥，它由兩類綴 點(diǎn)組成，終端結(jié)點(diǎn)和非終端結(jié)點(diǎn)。每一個(gè)非終端結(jié)點(diǎn)v 被一個(gè)變掇v a r ( v ) 標(biāo)識(shí)， 它有兩個(gè)后繼結(jié)點(diǎn)：l o w ( v ) 對(duì)應(yīng)變量v 被賦值成為0 的情況，h i g h ( v ) 對(duì)應(yīng)變懋 v 被賦值為l 懿情漫。每一個(gè)終端結(jié)點(diǎn)v 被表示為v a l u e ( v ) ，v a l u e ( v ) 不是0 裁 是1 。對(duì)于一個(gè)由公式f ( a l ，a 2 ，b l ，b 2 ) = ( a l h b l ) ( a 2 h b 2 ) 表示的二位比較 器的二進(jìn)決定樹(shù)( 如圖2 - 1 ) 。 圖2 - 1 ( a l b 1 ) f a 2 h b 2 黲= 遴凌定褥 通過(guò)從聿霹載攝結(jié)點(diǎn)出發(fā)爨終端結(jié)點(diǎn)我們能夠確定一個(gè)對(duì)變餐瓣特定載囊毽 賦值是否使那個(gè)公式為真或?yàn)榧?。如果變蓬v 被賦值為0 ，那么從根結(jié)點(diǎn)到終端 臻點(diǎn)翡爨經(jīng)上豹下一個(gè)繚患懣是l o w ( v ) 。磐果v 蘞簸鑲受1 黔么路經(jīng)巴豹下 個(gè)縫點(diǎn)撂楚h i g h ( v ) 。標(biāo)識(shí)終潰結(jié)點(diǎn)揀篷垮會(huì)是這個(gè)溪數(shù)在這次賦德f 鰓德。濺 如，賦值 邋嶷棟琴為0 戇時(shí)予綏點(diǎn)；因此這令公式在這 個(gè)賦僮下為假。 二邈決定褥并沒(méi)有為布爾函數(shù)援供菲常簡(jiǎn)萌豹表示，實(shí)際上，它們跟真德表 的大小是網(wǎng)樣的。幸運(yùn)的是，在這樣的樹(shù)鼴通常有許多冗余。例如猩圖2 一l 的那 棵樹(shù)，有八棵報(bào)結(jié)點(diǎn)標(biāo)識(shí)兔b 2 的子樹(shù)，但只有三棵予樹(shù)是不榍同豹。因此，邋 過(guò)合并嗣態(tài)的予櫥，能夠緇到布爾公式韻爨簡(jiǎn)練的表示。合并的結(jié)梁是被稼為= ： i o 基于獻(xiàn)杰轉(zhuǎn)換褰接系縫攘瓤鶼s m v 分撬與敬進(jìn) = i i ： 決定圖的有向無(wú)環(huán)圖。更凇確的說(shuō)，一個(gè)：二進(jìn)決定圖撼個(gè)有根的有向無(wú)環(huán)圖， 它有髑季申結(jié)點(diǎn)，終端結(jié)點(diǎn)和j 黲警端結(jié)點(diǎn)。像= 進(jìn)決定樹(shù)攫的情況一樣，每一個(gè)非 終端結(jié)點(diǎn)v 被標(biāo)號(hào)為一個(gè)變餐v a r ( v ) ，育兩個(gè)后繼結(jié)點(diǎn)，l o w ( v ) 和h i g h ( v ) 。每 一個(gè)終端結(jié)點(diǎn)被標(biāo)號(hào)為0 或1 。每個(gè)以v 為根的二進(jìn)決定圖決定一個(gè)布爾函數(shù) f 。( x “，x 。) ，方式壹 下： 如果v 是個(gè)終端結(jié)點(diǎn) ( a ) 如果v a l u e ( v ) = 1 那么f ，( x ”，x 。) = l 。 ( b ) 妻g 果v a l u e v ) = 0 勇s 么f ，( x ，x 。) = o 。 如果v 是一個(gè)非終端結(jié)點(diǎn)，v a r ( v ) = x 。那么f ，是一個(gè)函數(shù) ( x ，x 。) = ( 一x ，a f 。) ( x ，x 。) ) v ( x a f , m h ，) ( x 一，x 。) ) 。 猩實(shí)際的應(yīng)用中想要得到布爾公式的標(biāo)準(zhǔn)農(nóng)示。這樣一種表示必須具有這樣 一種性質(zhì)：兩個(gè)布爾公式邏輯耀簿當(dāng)且僅當(dāng)它們有同態(tài)的表示。這個(gè)性艨使一些 任務(wù)筒化了，鍘細(xì)撿窿兩個(gè)公式的相等秘決定一個(gè)給定的公式是否可以滿足。如 巢兩個(gè)二進(jìn)決定圈滿足下面的情況，那么兩個(gè)二進(jìn)決定圖愁陌態(tài)：如果存在一個(gè) 一對(duì)一的函數(shù)h ，遮個(gè)函數(shù)把一個(gè)終端結(jié)點(diǎn)映射到另個(gè)終端結(jié)點(diǎn)上，一個(gè)非終 端結(jié)點(diǎn)映射到另一個(gè)非終端絳點(diǎn)上，對(duì)于每一個(gè)終端結(jié)點(diǎn)v ， v a l u e ( v ) = v a t u e ( h ( v ) ) 和對(duì)于每一個(gè)非終端結(jié)點(diǎn)v ，v a t ( v ) = v a r ( h ( v ) ) ， h ( 1 0 w ( v ) ) = 1 0 w ( h ( v ) ) ，并且h ( h i g h ( v ) ) = h i g h ( h ( v ) ) 。 給二進(jìn)決定樹(shù)加上兩個(gè)約柬就可以得到布爾公式的標(biāo)凇表示。第一個(gè)約束： 對(duì)于每一條從椴結(jié)點(diǎn)到終端結(jié)點(diǎn)的路徑，變量都以相同的次序出現(xiàn)。第二個(gè)約束： 在圖中沒(méi)有圓態(tài)秘冗余的結(jié)點(diǎn)存程。第一令約柬通過(guò)繪標(biāo)識(shí)二進(jìn)決定霆縫點(diǎn)的變 量一個(gè)全序，并魁要求對(duì)于撼一個(gè)圖中的結(jié)點(diǎn)u ，如果u 有一個(gè)非終端的后繼v ， 那么v a t ( u ) v a r ( v ) 。第二個(gè)約束通過(guò)重復(fù)運(yùn)用三條轉(zhuǎn)換規(guī)則達(dá)到，這些轉(zhuǎn)換娥 剿并不修改這個(gè)隧聯(lián)表示蛉毒零灄數(shù)： 刪除重復(fù)的終端結(jié)點(diǎn)對(duì)于一個(gè)給定的標(biāo)號(hào)刪除至只有一個(gè)終端結(jié)點(diǎn)，并且 把所有盼到被刪除縮點(diǎn)的弧惹定向至那個(gè)剩余的結(jié)點(diǎn)。 測(cè)狳重復(fù)懿終溱結(jié)點(diǎn)對(duì)予蘸個(gè)終撩終點(diǎn)u 幫v 有r a g ( h ) = v s r ( v ) ， l o w ( u ) = l o w ) 和h i g h ( u ) = h i g h ( v ) ，那么把u 或v 刪除，并把所有的入弧重 定向至另一個(gè)結(jié)點(diǎn)。 基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)挺型麓s m v 分析與改避 刪除冗余的測(cè)試如果對(duì)于非終端的結(jié)點(diǎn)v 有l(wèi) o w ( v ) = h i g h ( v ) ，那么刪除v 并蔓重定淘所有潦入孤至l o w ( v ) 。 從二進(jìn)決定圖滿足有序這個(gè)性質(zhì)開(kāi)始，通過(guò)不斷應(yīng)用轉(zhuǎn)換規(guī)則直到圖的大小 不再變小，得到標(biāo)準(zhǔn)形式。b r y a n t 1 8 展示了以一j 神囊底向上方式以一個(gè)被稱為 “婦約”的程序?qū)崿F(xiàn)轉(zhuǎn)換規(guī)則。這個(gè)程序運(yùn)行靜時(shí)間與二進(jìn)決定灝大小成線性莢 系。通過(guò)這種方式得到的圖稱為有序= 進(jìn)決定圖( o b d d ) 。例如，如果對(duì)于二位比 較函數(shù)使用順序口l b l a 2 b 2 ，就可以餐到如圖2 - 2 的o b d d 。 圖2 2 ( a l b 1 ) ( a 2 b 2 ) 的二遴決定燃 磐巢o b d d 被耀予襲示農(nóng)爾函數(shù)瓣挺濺形式，那么梭查兩個(gè)公式樞等就會(huì)被 艦約為檢查兩個(gè)二進(jìn)決定圖怒否同態(tài)。相似的，可滿足性可以通過(guò)檢蠻是否與只 懋捂一個(gè)被稼號(hào)為0 豹終端結(jié)點(diǎn)靛o b d d 稿同來(lái)薅定。 隨后姆麓釋怎攆爨o b d d 實(shí)褒重簦黲邏輯掇圣挈。怒一些東爾公式中蛉一避參 數(shù)x 。限定在常墩b 的這個(gè)函數(shù)。這個(gè)函數(shù)由f ix 。 一b 表示，并且滿足 f j x ， - b ( x ”，x 。) = f ( x i ”，x h ，b ，x ，x 。) 。 鰓鬃f 被表示藏一令o b d d ，逶過(guò)深凄線先遮歷f 瓣o b d d ，黢鍘fx ； - b 黲o b d d 能夠很容易的計(jì)算出來(lái)。如果結(jié)點(diǎn)v 有個(gè)指針指向結(jié)點(diǎn)w ，并且v a r ( w ) = x 。， 如粟b 楚0 ，把指針兩l o w ( w ) 代替，如采b 怒t 孢稽針用h i g h ( w ) 代替。這 群褥到黲潮珂熊不是稼灌形式懿，為了褥弱表示i x 。 - b 鮑o b d d ，對(duì)這個(gè)圖應(yīng)溺 1 2 基于捩惑轉(zhuǎn)按窖幔系統(tǒng)模型揀s m v 分櫥號(hào)敬述 規(guī)約函數(shù)。 對(duì)于所有具有巍個(gè)參數(shù)的十六個(gè)邏輯擻 箏，能夠綴容易的用表示戲o b d d 的 布爾函數(shù)來(lái)實(shí)觀。實(shí)際上搽作是兩個(gè)o b d d 參數(shù)的線性笈雜度。有激實(shí)現(xiàn)這些操 作的的關(guān)鍵思想是s h a n n o n 擴(kuò)展。 f = ( 一x a f ! x ； 一0 ) v & a f x ， 一1 ) b r y a n t 為計(jì)算所有的1 6 個(gè)邏輯操作給定了一個(gè)統(tǒng)一的被稱為a p p l y 的算 法。骰設(shè)率是任惑靜其有兩個(gè)參數(shù)麓邏輯操律，f 幫f 為兩個(gè)布爾瀚數(shù)。為了簡(jiǎn) 化算法的擴(kuò)展我j i 、j 引入下面的符號(hào)： v j nv 分另u 怒0 b d df 著口f 的 良 x m v a r ( v ) 并且x = v a r ( v ) 取決于v 和v 關(guān)系的幾種情況： 如果v 和v 都是終端結(jié)點(diǎn)，那么f * f = v a l u e ( v ) * v a l u e ( v ) 如粟x = x ，郡么使用s h a n n o n 擴(kuò)震 f * f = ( 一x ( f l x ； 一o 球f i x i 一0 ) ) v ( x a ( f x 、 一1 術(shù)f ! x t 1 ) ) 把這 個(gè)問(wèn)題分解成魂個(gè)子聞?lì)}。這個(gè)閥題被遴歸的解決。最后就可以褥到的0 b d d 的 板結(jié)點(diǎn)將是一個(gè)新縫點(diǎn)宵，v a t ( w ) = x ，l o w ( w ) 將是表示( f jx t ( 一0 球f7 | x ； 一0 ) 的 0 b d d ，h i g h ( w ) 將是襲示( f 舊 l 冰f x ； 一1 ) 的o b d d 。 如聚x ( x ，那么f x l 0 = f lx ； l = f ，因?yàn)閒 并不襖賴予x 。在這雄 情況下s h a n n o n 擴(kuò)展簡(jiǎn)化為： f * f = ( 一x a ( f ix i 一o 牢f ) ) v ( x a ( f x 、 一1 冰f ) ) f * f 鮑o b d d 像第二穆情況下一樣被遞歸計(jì)算。 如果x s 為把布爾向量映射到狀態(tài)的函數(shù)。出于每個(gè)斌傻跫s 中一個(gè)狀態(tài)的編碼，襲 示s 的特蘞蕊數(shù)是表示值為i 靜o b d d 。需要兩個(gè)布爾變量翡集合，一個(gè)表示開(kāi) 始狀態(tài)，另1 個(gè)表示一個(gè)遷移后的狀態(tài)。如果遷移函數(shù)被編碼成布爾關(guān)系 r ( x ，j ( ) ，粥么r 被表示戲特征函數(shù)致。最后，考感映射乙，盡管l ，被定義為扶 狀態(tài)到原子命題子集的浹射，耙它看成從原子命題副狀態(tài)子集的映射將更方便。 原子命題p 燒被映射到滿足( s ip l ( s ) 的狀態(tài)的集合。稱這些狀態(tài)的集合l p ； 使鼴像上蘑彤一樣的編碼我們也能夠表示b 。靂這犖孛方式分別表示每個(gè)原子命 題。 圖2 3 狀態(tài)遷移圈 為了黼鞠o b d d 怎樣能被羽來(lái)表示一個(gè)k r i p k e 緒構(gòu)，考慮圖2 3 表示靜兩 個(gè)狀態(tài)的系統(tǒng)。在這種情況下這里有兩個(gè)變量，a 和b 。引入兩個(gè)附加的變量，a 剮b 。因此，可以使用含取 a a b a a a b 表示從狀態(tài)s 1 到s 2 的遷移。整個(gè)遷移函數(shù)由以下布爾公式蝓定： 婦a b a a a b ) v ( a a b a 8 a b ) v ( a a b a a 八 b ) 在這個(gè)公式里有三個(gè)析取因?yàn)閗 r i p k e 結(jié)構(gòu)有三個(gè)遷移。現(xiàn)在這個(gè)公式轉(zhuǎn)化 為一爪0 b d d ，藏霹噬鴦這個(gè)遷移關(guān)系霉到一個(gè)籬沽的裘示。 基于獲態(tài)轉(zhuǎn)換吝愛(ài)系統(tǒng)摸掣黲s m v 分輯與改避 2 5符號(hào)模型檢測(cè)和s m v 符號(hào)模型檢測(cè)楚緩o b d d 為工具、投據(jù)不動(dòng)點(diǎn)理論t 算出潢足時(shí)態(tài)邏輯描述 的規(guī)范的狀態(tài)聚合。 o b d d ( o r d e r e db i n a r yd e c i s i o nd i a g r a m s ) 為布爾公式提供了一羊申標(biāo)準(zhǔn)的表 示方式，這； 申表示方式通常比臺(tái)較范式或祈敦范式更緊湊，麗且也有非常有效的 方法對(duì)它們進(jìn)行操作。由于符號(hào)化表示很緊湊地描述了內(nèi)電路或協(xié)議決定的狀態(tài) 空間的規(guī)律性，鼴戳有可能驗(yàn)證狀態(tài)空聞 # 鬻大的系統(tǒng)。 符號(hào)優(yōu)模螫徐測(cè)技術(shù)酶鏊本步驟一般分為三步： l + 建立模整，對(duì)掰要檢驗(yàn)靜系統(tǒng)避行籀象，將其攢逐為有窮獲態(tài)遷移系統(tǒng)。 2 用c t l 表示繪出所要驗(yàn)證的狀態(tài)遷移系統(tǒng)性質(zhì)的描述。 3 。在s m v 上檢驗(yàn)系統(tǒng)是否滿足規(guī)范。如聚滿足就輸出t r u e ，鎰則就輸出 f a l s e 辯潮辯箍示系統(tǒng)不滿是蕊范鶼反鍘。 s m v 是在1 9 8 7 年秋天由卡內(nèi)基一梅隆大學(xué)在讀博士生m c m i l l a n 研發(fā)韻模型檢 測(cè)系統(tǒng) 1 9 。它的主要思想鼴采用符號(hào)模型算法檢驗(yàn)系統(tǒng)怒否滿足用 e 我( e o 戳p h t a t i 。nt r e el o g i c ) 愈麓時(shí)態(tài)滋輯攢述熬燕菠。s m v 在復(fù)雜電鼴設(shè)計(jì) 的驗(yàn)證 2 0 、安全協(xié)議驗(yàn)證 2 1 中得到了廣泛的應(yīng)用。 用s m v 驗(yàn)證系統(tǒng)時(shí)，系統(tǒng)說(shuō)明囂用s m v 規(guī)定躺語(yǔ)言編程，系統(tǒng)屬性部分爝c t l 邏輯襲達(dá)。s m v 工作服理圖如圖2 4 所示。 豳2 4s m v 工作原理圈 2 6c t l 的語(yǔ)法和語(yǔ)義 c t l 公式戇語(yǔ)法： 個(gè)c t l 公式由兩部分構(gòu)成，一部分魑路徑輟詞a ( 對(duì)于所有的路徑) ，e ( 存 在某些路徑) ，努一部分是時(shí)態(tài)量詞x ( 下一個(gè)狀態(tài)) 、f ( 將來(lái)的某個(gè)狀態(tài)) 、g ( 所 基于狀態(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 有狀態(tài)) 和u ( 直到某個(gè)狀態(tài)) 。路徑量詞和時(shí)態(tài)量詞不能分開(kāi)來(lái)單獨(dú)使用。 ( 1 ) 每個(gè)原子公式是一個(gè)c t l 公式： ( 2 ) 如果f ，g 是c t l 公式，則 ，( f g ) ，正伍e x f , , 爿刪，f 倒 是c t l 公式： ( 3 ) 只有有限次應(yīng)用( 1 ) ，( 2 ) 得到的公式是c t l 公式。 除了定義形成c t l 語(yǔ)言的公式之外，在實(shí)際中經(jīng)常用劍其它c(diǎn) t l 公式，這些 公式可以按下列規(guī)則得到： f vg = 一 ， 一1 9 ) ：a f g = 4 ( t r u eu je f g = e ( t r u eu ? a c f = - ，e ( t r u e ，1 ，) ：r g f = 詛( f p u 1 廠) c t l 公式的語(yǔ)義 c t l 公式鵑語(yǔ)義疑鬏據(jù)符號(hào)狀態(tài)轉(zhuǎn)投強(qiáng)定義的。符號(hào)狀態(tài)轉(zhuǎn)換黼是一個(gè)5 元 緦氍= ( a p ，s ，l ，n ，s 。) ，其中a p 是原子命題的集合，s 是狀態(tài)f 咚有限集合， l 是以原子命題標(biāo)記集合的函數(shù)，n s s 是轉(zhuǎn)換關(guān)系，s o 是初始狀態(tài)集合。 “計(jì)算路徑”定義為狀態(tài)穿列s 。，s 。，s 。，其中對(duì)于任一n ( s ，s m ) 為真。 m ，sbp i f f p p ( s ) m ，s 凈叫 例，s 降f m ，s 眵f a g 彬，s 巨f m ，s | _ g m ，s i = a x ( f ) o t ( ( s ，f ) r a m ，t i x f ) m ，s 滓e x ( f ) i j 掃t ( ( s ，t ) 仨r m ，t 仁f ) m ，s a f u g ( f ) 阿x ( x = ( s o ，s l ，。) ( s o = s ，3 i ( i o a m ，s i g w e j ( s e r v e r s t a t e = a c t i v e _ a t t a c k ) ) e ：a s s e r tg ( ( s e r v e r s t a t e = a c t i v ea t t a c k ) 一 f ( s e r v e r 。s t a t e = g o o d ) ) d ：a s s e r tg ( ( a t t a c k s t a t o = a t t a c k i n g ) 一 f ( ( a t t a c k s t a t e = s p y i n g ) ( a t t a c k ，s t a t e = p a r t l y s u c c e s s ) ) ) 基于狀態(tài)轉(zhuǎn)換容緩系統(tǒng)模型翦s m v 分搬萼教避 4 2系統(tǒng)的性質(zhì)描述 騫侵系統(tǒng)摸型茲系絞擐絞遵過(guò)騷務(wù)器彝攻擊者菠令方囂親表璦出來(lái)。 第一個(gè)方預(yù)是：容侵系統(tǒng)要能對(duì)所有的攻擊都能夠進(jìn)行處理，也就是容侵系 綾模型對(duì)攻毒瓣建蒺完備瞧。 另外一個(gè)方面是：根嘏容侵系統(tǒng)模烈的性質(zhì)，系統(tǒng)要在受到攻擊后，能夠繼 續(xù)提供服務(wù)，或提供降級(jí)服務(wù)。 這囂方甏戇幢矮在騷務(wù)器移攻擊羲貔模型至表示為： 如果服務(wù)器受到了攻擊，表明攻擊者正在進(jìn)行攻擊。用c t l 表示為： a g ( ( s e r v e r s t a t e = a c t i v e a t t a c k ) 一 ( a t t a c k s t a t e = a t t a e k i n g ) )( 1 ) 要驗(yàn)證模鱉是不是筑夠搐述掰有翡竣擊糞蘩，露熱栗攻擊者遺滅竣擊狀 態(tài)時(shí)，服務(wù)器也耍進(jìn)入受到攻擊狀態(tài)。用c t l 表示為： a g ( ( a t t a c k s t a t e = a t t a c k i n g ) 一 ( s e r v e r s t a t e = a c t i v e a t t a c k ) ) ( 2 ) 整個(gè)c t l 邏輯表達(dá)式( 2 ) 懿含義為：在系統(tǒng)橫愛(ài)靜囂毒靜鼴徑上，只要 a t t a c k 進(jìn)入攻擊態(tài)，那么s e r v e r 就要進(jìn)入豫到攻擊的狀態(tài)。 對(duì)于熬個(gè)窯侵系統(tǒng)，如果服務(wù)器受到了攻擊，鄹么都會(huì)轉(zhuǎn)換到正常服務(wù) 狀態(tài)。 a g ( ( s e r v e r s t a t e = a c ti v e a tt a c k ) 一 a f ( s e r v e r s t a t e = g o o d ) ) ( 3 ) 對(duì)予玻擊者的狀態(tài)轉(zhuǎn)移圖來(lái)說(shuō)，只要攻擊者發(fā)動(dòng)了攻擊，對(duì)予這些攻擊， 騷務(wù)器采用稿應(yīng)瓣容侵措施，可以提供競(jìng)?cè)?wù)，或者提供降級(jí)服務(wù)。 用攻潞者的狀態(tài)轉(zhuǎn)換模型來(lái)表示，所有攻擊成功，最后都瓔轉(zhuǎn)到部分成 功鮑狀態(tài)或者c s 狀態(tài)。用c t l 表示為： a g ( ( a t t a c k s t a t e = a t t a c k i n g ) 一 a f ( ( a t t a c k s t a t e = s p y i n g ) l ( a t t a c k ，s t a t e = p a r t l y _ s u c c e s s ) ) )( 4 ) 所有黢務(wù)器豹提供黲級(jí)綴務(wù)的狀態(tài)，最后都熬轉(zhuǎn)換裂匆始狀態(tài)g 。愛(ài)玫 壁下?tīng)顟B(tài)轉(zhuǎn)換容侵系統(tǒng)模型的s m v 分析與改進(jìn) 擊者的狀態(tài)轉(zhuǎn)換模型來(lái)表示，即為所有攻擊部分成功的狀態(tài)，最后都要 轉(zhuǎn)換到c s 狀態(tài)。 a g ( ( a t t a c k s t a t e = p a r t l y s u c c e s s ) 一 a f ( a t t a c k s t a t e = s p y i n g ) ) ( 5 ) 4