（运筹学与控制论专业论文）软件可靠性与安全性增长模型理论及应用.pdf

摘要 软件可靠性与安全性增长模型理论及应用 摘要 早在二十世纪6 0 年代软件危机初期，随着软件功能的增长，人们就认识到 软件复杂度高，开发周期长，可靠性差，丌发和维护费用大等问题。其中可靠性 差是软件质量问题的集中表现，而软件质量差又是软件维护费用大的主要因素之 一。由此可见，软件质量问题由来已久。 随着社会日益信息化，社会的日常运行越来越依赖于软件的电子系统；软件 在尖端领域( 诸如飞行控制系统、核电站安全监控、制药控制系统等) 的广泛应 用体现了软件的重要性，但同时软件的大量应用也导致了由软件故障引起的事故 越来越多，这些事故的危害很严重，密切关系到人民生命财产和生态环境的安危， 这才警醒了人们在近一二十年对软件的可靠性的重视以及对软件安全性的研究。 软件的质量对系统的正常工作和安全是至关重要的，而且软件是否可信赖已经成 为国家经济与国防等系统能否f 常运转的关键因素之一。如何评估和保障这些软 件的可靠性和安全性，尤其是安全性，防止灾难事故的出现，已经成为一个亟待 解决的重大问题。 吴智( 吴智，2 0 0 5 ) 在构建软件安全性模型时，不仅考虑检测人员可能检测到 的不安全输出，而且考虑检测人员不可能检测到的不安全输出。 为了便于分析处理，本文构建的软件安全性模型仅考虑检测人员可能检测到 的不安全输出。 这篇论文按软件故障重要性递增的顺序将软件故障分成有限的q ( 2 ) 类，通 过考察软件故障之间相互影响的关系，基于子马尔可夫链构建一个新型的软件可 靠性与安全性评估模型。 本文用图表的方法，具体的数据，将这个模型和一些已有模型进行优劣性对 比。通过对比，我们发现： 1 所建模型的软件可靠性估计较低； 2 对具有较高重要性的故障而言，所建模型的软件安全性估计较低，而 当软件测试接近结束时却较高。 3 从拟和度( 期望累计故障数与实际累计故障数的拟和度) 的角度来看， 所建模型的软件可靠性与安全性估计较为精确 1 1 摘要 本文在软件可靠性与安全性的量化方法上创新，这为工程人员对软件系统的 可靠性和安全性的分析、设计、评估和预测提供一种新的理论方法。 关键词：泊松过程，非时齐泊松过程( n h p p ) ，软件可靠性，软件安全性，极大似 然估计，最小二乘估计 i l l t h et h e o r ya n d a p p l i c a t i o no fa g r o w t hm o d e lo fs o f t w a r e r e l i a b i l i t ya n ds a f e t y a b s t r a c t a se a r l ya si nt h e19 6 0 ss o f t w a r ec r i s i si n i t i a lp e r i o d ，a l o n gw i t hs o f t w a r ef u n c t i o n sg r o w t h ， t h ep e o p l er e a l i z e dt h a ti sh i g ht ot h es o f t w a r eo r d e ro fc o m p l e x i t y , t h ed e v e l o p m e n tc y c l ei sl o n g ， t h e 心l i a b i l i t yi sb a d ，d e v e l o p m e n ta n dm a i n t e n a n c ec o s tb i ga n ds oo nq u e s t i o n s - a n dt h e r e l i a b i l i 钾b a di st h ec o n c e n t r a t e de x p r e s s i o no fs o f t w a r eq u a l i t yq u e s t i o n ，b u tt h es o f t w a r eq u a l i t y b a di sa l s o eo fs o f t w a r em a i n t e n a n c ee x p e n s eb i gp r i m a r yf a c t o r s t h u si t c a nb es c c n ，t h e s o f t w a r eq u a l i t yq u e s t i o ni sl o n g - s t a n d i n g i n f o r m a t i o n i z e sd a yb yd a ya l o n gw i t ht h es o c i e t y , s o c i e t y sd a i l ym o v e m e n tr e l i e so nm o r e a n dm o r es o f t w a r e se l e c t r o n i cs y s t e m ；t h ew i d e s p r e a da p p l i c a t i o no fs o f t w a r ei n s t a t e - o f - a r t d o m a i n ( s u c ha sf l i g h tc o n t r o ls y s t e m ，n u c l e a rp o w e rs t a t i o ns a f em o n i t o r i n g ，d r u g s m a n u f a c t u r e c o n t r o ls y s t e ma n ds 0o n ) h a sm a n i f e s t e ds o f t w a l e si m p o r t a n c e ，b u ts i m u l t a n e o u s l ys o f t w a r e s m a s s i v ea p p l i c a t i o n sa l s oc a u s e dt h ea c c i d e n tw h i c hc a u s e db yt h es o f t w a r ed i s a s t e rt ob eg e t t i n g m o r e 锄dm o r e ，t h e s ea c c i d e n t 。sh a r mw a sv e r ys e r i o u s ，t h ec l o s er e l a t i o np e o p l el i f ea n dp r o p e r t y a n de c o l o g i c a le n v i r o n m e n t ss a f e t y , t h i sh a so n l yt h e ns l e p tl i g h t l yt h ep e o p l ei nn e a r1 0 2 0y e a r s t os o 脚a r e sr e l i a b l ev a l u ea sw e l la st ot h es o , w a r es a f e t yr e s e a r c h 。 s o f t w a r e sq u a l i t yi sv e r y i m p o r t a n tf o rs y s t e m sn o r m a lw o r ka n ds a f e ，m o r e o v e rs o f t w a r ew h e t h e rc o u l d t r u s ta k e a d y b e c 锄et h es t a t ee c o n o m ya n dt h en a t i o n a ld e f e n s ea n ds oo no n eo fs y s t e mw h e t h e r n o r m a lw o r k k e ya s p e c t s h o wt oa p p r a i s ea n ds a f e g u a r dt h e s es o f t w a r e sr e l i a b i l i t ya n d t h es a f e t y , p a r t i c u l a r l y t h es a f e t y , p r e v e n t st h ed i s a s t e ra c c i d e n t sa p p e a r a n c e ，a l r e a d yb e c a m et h em a j o ri s s u ew h i c h u r g e n t l ya w a i t st ob es o l v e d w uz h i ( w uz h i ，2 0 0 5 ) w h e nc o n s t r u c t s s o f t w a r ep e a c e f u lt h ee n t i r em o d e ln o to n l y c o n s i d e r 司t h eu n s a f eo u t p u tw h i c ha r ee x a m i n e db yt h ee x a m i n i n gp e r s o n n e l b u ta l s o c o n s i d e r e dt h ei n s e c u r e l yo u t p u t sw h i c hi si m p o s s i b l ee x a m i n e db yt h ee x a m i n i n gp e r s o n n e l f o re a s eo fa n a l y s i sp r o c e s s i n g ，t h i sa r t i c l ec o n s t r u c t st h es o f t w a r es a f e t ym o d e lw h i c hi s o n l yc o n s i d e r e dt h eu n s a f eo u t p u tw h i c hi sp o s s i b l ye x a m i n e dt h ep e r s o n n e l i v a b s t r a c t t h i sa r t i c l et h eo r d e rw h i c hi n c r e a s e sp r o g r e s s i v e l ya c c o r d i n gt ot h es o f h a r ed i s a s t e r i m p o r t a n c et h es o f t w a r ed i s a s t e rd i v i d e si n t ot h el i m i t e dhk i n d ，t h r o u g hi n s p e c t i n gt h em u m a l i n f l u e n c er e l a t i o n sb e t w e e nt h es o f t w a r ed i s a s t e r , an e ws o f t w a r er e l i a b i l i t ya n dt h es e c u r e a p p r a i s a lm o d e lb a s e do nt h es u b m a r k o vc h a i ni sc o n s t r u c t e d f i n a l l y , u s i n gt h em e t h o do ft h eg r a p h ，t h ec o m p a r i s o no ff i ta n du n f i tq u a l i t ya r ec a ni n go nb e t w e e nt h e e x i s t i n gm o d e l sa n d t h i sm o d e lb yt h ec o n c r e t ed a t aint h et h e o r y t h r o u g ht h ec o n t r a s t ，w ed i s c o v e r e d ( 1 ) t h es o f t w a r er e l i a b i l i t ye s t i m a t e so fm o d e l l i n gh a g g l e so v e rl o w l y ；( 2 ) s p e a k i n go fh a st h eh i g hi m p o r t a n t f a i l u r e t h em o d e l l i n gs o f t w a r es a f e t ye s t i m a t e sh a g g l e so v e rl o w l y , b u tw h e nt i m es o f t w a r et e s t i n gc l o s e c o n c l u s i o ni sa c t u a l l yh i g h ( 3 ) l o o k i n gf r o mp l a n sw i t ht h eg o o d n e s so ff i t ( e x p e c t a t i o na c c u m u l a t i o n b r e a k d o w nn u m b e ra n da c t u a la c c u m u l a t i o nb r e a k d o w nn u m b e rp l a n n i n gw i t h ) t h ea n g l e 。t h es o f t w a r e s a f e t ye s t i m a t eo ft h em o d e l l i n gi sm o r ep r e c i s et h a nt h a to ft h ee x i s t i n gm o d e l s t h eq u a n t i f i c a t i o nm e t h o d so ft h es o f t w a r er e l i a b i l i t ya n ds a f e t ya r ei n n o v a t e di nt h i sa r t i c l e ， t h i sp r o v i d e so n en e wt h e o r ym e t h o d f o rt h ep r o j e c tp e r s o n n e lt ot h ea n a l y s i sa n dd e s i g na n d a p p r a i s a la n d f o r e c a s to fs o f t w a r es y s t e m sr e l i a b i l i t ya n ds a f e t y k e y w o r d s ：p o i s s o np r o c e s s ，n o n - h o m o g e n e o u sp o i s s o np r o c e s s m a x i m u ml i k e l i h o o de s t i m a t i o n ， l e a s ts q u a r e se s t i m a t i o n ，s o f t w a r er e l i a b i l i t y ，s o f t w a r es a f e t y v 附：学位论文原创性声明和关于学位论文使用授权的声明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体己经发表或撰写过的科研成果。对 本文召，j 研究曾做出重要贡献的个人和集体，均已在文中以明确方 武标明。本人完全意识到本声明的法律责任由本人承担。 论文作者签名：! 鱼：垫 日 期：至q q 经生笸旦 关于学位论文使用授权的声明 本人完全了解贵州大学有关保留、使用学位论文的规定，同意 学校保留或向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅；本人授权贵州大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：逝! 壹垒导师签名：姐e l 期：星鲤星血 前言 前言 软件可靠性和软件安全性是软件质量最重要的属性。软件可靠性的概率化定 义为：在规定的环境条件下和规定的时问内，完成规定功能时不发生软件故障的 概率( i e e e ，1 9 8 3 ) ( a c b r o m b a c h e r a ，i w r j v a i lb e u r d e n c e2 0 0 3 ：s h i g e r u y a m a d aa n dk o i c h it o k u n o ，1 9 9 8 ) 。软件安全性的概率化定义为：在规定的环境 条件下和规定的时问内，不论功能f 常与否，软件运行过程中不产生危害性结果 的概率( l e v e s o nn g ，1 9 8 6 ：k e e n es jj r ，1 9 9 2 ：y a m a d as ，1 9 9 4 ) 。 开展软件可靠性工作较晚。在国际上虽然在二十世纪六十年代后期就已经开 始，但软件可靠性工程概念在八十年代末才提出，稍后由m u s a ，i a n n i n oa n d o k u m o t o 等于1 9 8 7 年建立了软件可靠性工程的理论基础。这些理论包括操作剖面、 随机过程、软件可靠性模型、统计估计和顺序采样理论。时至今同软件的有关技 术还不够成熟，还有许多问题有待研究。在我国八十年代才有极少数专家从事分 散、零星的研究，进入九十年代软件可靠性工程一词才出现，目前正处于软件可 靠性理论研究向工程应用过渡时期，二十一世纪要解决的是如何像硬件可靠性技 术一样，软件可靠性工程技术在产品研发中被广泛应用。在软件安全性理论研究 方面，国际上有众多的科研机构及组织。而国内的软件安全性研究只是处于初级 阶段。 早在二十世纪6 0 年代软件危机初期，随着软件功能的增长，人们就认识到软 件复杂度高，开发周期长，可靠性差，开发和维护费用大等问题。其中可靠性差 是软件质量问题的集中表现，而软件质量差又是软件维护费用大的主要因素之 一。由此可见，软件质量问题由来已久。 随着社会同益信息化，社会的同常运行越来越依赖于软件的电子系统；软件 在尖端领域( 诸如飞行控制系统、核电站安全监控、制药控制系统等) 的广泛应 用体现了软件的重要性，但同时软件的大量应用也导致了由软件故障引起的事故 越来越多，这些事故的危害很严重，密切关系到人民生命财产和生态环境的安危， 这才警醒了人们在近一二十年对软件的可靠性的重视以及对软件安全性的研究。 软件的质量对系统的正常工作和安全是至关重要的，而且软件是否可信赖已经成 为国家经济与国防等系统能否正常运转的关键因素之一。如何评估和保障这些软 前言 件的可靠性和安全性，尤其是安全性，防止灾难事故的出现，已经成为一个亟待 解决的重大问题。 本文从一定的实际背景出发，通过考察软件故障之问相互影响的关系，基于 子马尔可夫链构建一个新型的软件可靠性与安全性评估模型，这为工程人员对软 件系统的可靠性和安全性的分析、设计、评估和预测提供一种新的理论方法。 2 第一章基本知识简介 第一章基本知识简介 本论文将构建一个新模型来评估软件可靠性与安全性，因此我们首先介绍所 需要的一些基本知识。 1 1 关于马尔可夫链的定义、性质及定理 ( 徐仁佐，2 0 0 7 ) 本节介绍离散参数t = 0 ，l ，2 ， = 0 ，状态空间s = l ，2 ，) 可列的马尔可夫过程，通常称为马尔可夫链( m a r k o vc h a i n ) ，简称马式链。 马尔可夫链最初由m a r k o v 于1 9 0 6 年研究而得名。至今它的理论已发展得较为 系统和深入。它在自然科学，工程技术及经济管理各领域中都有广泛的应用。 定义1 1 1 如果随机序列 以，n 0 ) 对任意f 0 ，f i ，+ s ，n n o 及 尸( 饩= i o , x i = ，一，= 。) 0 ，有 p ( x n + 。= l n + l l k = f o ，五= f i ，以= ) = p 以+ = i n + l i 以= ) ( a ) ? 则称其为马尔可夫链。( a ) 式刻划了马尔可夫链的特性，称为马尔可夫性( 或 无后效性) ，简称马式性。 i 定义1 1 2 v i ，j s 称p 以+ 。= j i x = f ) = 弓( 甩) 为n 时刻的一步转移概率若对 i v i ，j f s ，弓( 丹) = 弓即弓与n 无关，则称 以，刀o ) 为齐次马尔可夫链。记尸= ( 助) ， 称p 为 以，刀o ) 的一步转移概率矩阵，简称为转移矩阵( t r a n s i t i o nm a t r i x ) 本节仅 介绍齐次马尔可夫链。 定理1 1 1 设随机过程( 以，1 2 0 满足： ( 1 ) 以= ( 以+ ，色) ( 甩1 ) ，其中厂：s s s ，且色耿值在s 上。 ( 2 ) ，n 1 ) 为独立同分布的随机变量，且饩与繇，玎1 ) 也相互独立，则 以，刀o 是马尔可夫链，而且其一步转移概率为弓= p ( f ( i ，夤) = ，) 。 3 第一章皋奉知识简介 1 2 矩阵指数e x p a 的定义及性质 1 2 1 定义 e x p 彳= 薹丢= e + 彳+ 酉a 2 + + 备+ 其中e 为阶单位矩阵，a ”是矩阵a 的m 次幂，并规定a o = e ，o ! = 1 1 2 2 性质 性质1 级数e x p 爿= 丢”百a k = e + 彳+ a 万2 + + 鲁+ 对于所有的矩阵a 都是绝对 收敛的，因而e x p a 是一个确定的矩阵。 性质2 级数e x p a t = 荟百a k t * 在t 的任何有限区间上都是一致收敛的。 性质3 如果矩阵a ，b 是可交换的。即a b = b a ，则e x p ( a + b ) = e x p a e x p b 性质4 对于任何矩阵a ，( e x p a ) 叫存在，( e x p a ) 一= e x p ( - a ) 。 性质5 如果t 是非奇异矩阵，则 e x p ( t 。1 at ) = t 一( e x pa ) t 定理1 2 2 ：设矩阵q 满足溉q ”= o 则( ，一q ) 存在，r ( z q ) 。荟q 。 1 3 转移概率矩阵 定义1 3 1 ( 林元烈，2 0 0 5 ) 称矩阵a = ( ) 伽为随机矩阵，若o ( i ，s ) 且对v f s ， 有口 ，= 1 。 显然， p = ( 毋) 是一随机矩阵。 记 j e s n ，( ，z ) = 以以= f ) ，n ( 甩) = ( 兀。( 刀) ，1 1 2 ( 甩) ，f i 如) ，) ， i t ( n ) 表示n 时刻x 。的概率分布向量。称 兀，( 0 ) ，f s ) 为马尔可夫链的初始分布。 定理1 3 1 f i ( n + i ) = h ( n ) p 4 第一章基本知识简介 n ( 刀) = n ( o ) f 其中p 是p 的1 1 1 次幂。 该定理表明，马尔可夫链 ，甩0 ) 的概率性质完全由兀。与p 的代数性质决定 记巧州= 以以+ 。= 歹l 以= f ) 为m 步转移概率；= ( 矽) 为m 步转移概率矩阵 定理1 3 2 ( 切普曼- 柯尔莫哥洛夫( c h a p m a n - k o l m o g o r o v ) 方程) 矽”) - 簖p ( b ) k e s 或 弓”“= ，= p p ，= p i ”尸” 由此定理可知，一个马尔柯夫链运动规律的概率特性取决于它的转移概率矩 阵特性这样，研究前者就可以转化为研究后者。 ( b ) 式简称c - k 方程显然p m ) - ( 矽) 是一随机矩阵。 1 4 泊松过程的特征及其某些性质 在实际应用中，关于泊松过程的一个重要的问题是如何决定一个点过程是否 是泊松过程。要判断一个点过程是否是泊松过程，有两种方法。一种方法是对数 据进行统计分析。通常情况下，此方法不易进行，尤其是当备选模型族相当大的 时候。另一种方法，也许是更切实可行的方法，就是考察过程的实际背景并作理论 推断。做到这一点，泊松过程的特征将起着一个非常重要的作用。它可以让人们 从不同的角度来看待这一问题( z h a o ，m 2 0 0 1 ) 。 定理1 4 1 一个点过程 ( f ) ，t 0 ) 是一个具有均值函数m ( t ) 的泊松过程当且仅当 对任何有限多个互不相交的左丌右闭区间( _ ，t 。】，( s 2 ，t ：】，( s 。，t n 】来说，在这些区 问中发生的事件总数服从以m ( t 。) - m ( s 1 ) + m ( t 2 ) - m ( s 2 ) + + 膨( 0 ) 一m ( s 。) 为 均值函数的泊松分布。 证明：由泊松过程的定义，必要性是显然的。为了证明充分性，我们只须证 明这个过程具有独立增量的性质。 用m 来表示区间( t ，i 】内的事件发生数，i = l ，, - - - , n 进一步，设n 为这些区间内 5 第一章基本知识简介 发生的事件总数由假设，我们知道i ，2 ，m ，全都服从泊松分布。因此，如 果我们能够证明它们是相互独立的，那么定理就得到了证明。为了做到这一点， 需要用到下面的引理而且其证明可以在d a l e y 和v e r e j o n e s ( 1 9 8 8 ，p p 3 0 ) 中发 现。 引理1 4 1 假如l ，2 ，m ，是具有性质= m 的泊松分布的随机变量， i = 1 那么i ，2 ，m 是相互独立的。 定理1 4 1 告诉我们一个泊松过程可以被其有限维分布唯一的确定。对一般的点 过程来说，此种说法就不一定正确。但对泊松过程来说，更弱的条件已被r e n y i ( 1 9 5 6 ) 给出。对一有序过程而言，甚至根本没有必要假设其具有有限维分布的 形式。对一有序过程而言，为了决定其有限维分布，只需知道在一些区白j 内有零 次到达的概率就足够了。 定理1 4 2 设 ( f ) ，t 0 是一个有序过程，则 ( f ) ，t 0 ) 是一个泊松过程的充要 条件是当且仅当： 1 其均值函数m ( t ) 处处连续； 2 对任何不相交的无限多个区间( ，t 】，( ，乞】，( 已，乙】来说，满足 异( 彳) = p ( n ( w t = ( s i ，】) = o ) = e x p ( 一【m ( ) 一m ( 1 ) 】) 由上式定义的集涵数p o ( a ) ，文献中称之为避免涵数直观上说，如果我们知道 一个过程在某些时间i 白j 隔内的到达数是均值等于时间间隔的泊松分布，那么由定 理( 1 4 1 ) 我们可以得出这个结论。 定理1 4 3 设 ( f ) ，t 0 ) 是一个具有连续均值涵数m ( t ) 的计数过程那么 ( f ) ，t 0 ) 是一个泊送过程当且仅当 1 它是有序的且 2 ( f ) ，t 0 ) 是一独立增量过程。 6 第一章基本知识简介 1 5 软件可靠性和安全性的定义 在这节，我们将介绍软件可靠性和安全性这两个概念的普遍定义。 1 - 5 1 软件可靠性的定义 随着软件在我们同常生活中的迅速发展，人们关心软件的质量就像关心硬件 的质量一样。在经过长期的研究后，得出了软件可靠性的最为普遍的定义( i e e e ， 1 9 8 3 ) ：( 黄锡兹，2 0 0 4 1s h i g e r uy a m a d aa n dk o i c h it o k u n o1 9 9 8 ) 。 1 这是在特定的时期和特定的环境下，软件不发生软件故障的概率。 2 在特定的时期和特定的环境下软件执行其需要功能之能力。 很容易看出，软件可靠性的定义来自于硬件可靠性的定义。这种定义是合理 的这是因为： 1 尽管软件和硬件是不同的，但是由于软件的复杂性，可以把软件故障的发 生视为一个随机变量因此可从概率的角度来定义软件可靠性 2 没有硬件，软件无法运行因此，这种定义有助于对硬件系统的研究 在( z h a o ，m 2 0 0 1 ) 中可以看到更多的软件可靠性问题。 1 5 2 软件安全性的定义 软件安全性( s o f t w a r es a f i y ) 是指： 1 在规定的环境条件下和规定的时间内，不论功能正常与否，软件运行过程 中不产生危害性结果的概率。 2 软件在系统中运行而不致在系统工作中造成不可接收的风险的能力，如人 身伤亡、设备损坏、财产重大损失、严重污染环境等。 软件本身不会造成危险，但当软件用于过程监控、实时控制、武器、航天、 医疗、核反应等方面时，软件的错误能够通过硬、软件接口使硬件发生故障，从而 造成严重的事故这类软件称为“安全性关键软件为解决这类问题而采用的一 系列方法技术称为为软件安全性技术。 关于软件安全性的定义，有如下说明： 1 软件安全性和软件可靠性是相关的，但又不同可靠性要求软件不发生故障， 安全性要求软件不发生严重事故，严重事故是危害性最大的故障。可靠性与每一 个可能的软件错误有关，安全性只与那些可能造成严重事故的软件错误有关因此 7 第一章基本知识简介 可靠性要求通常包含了安全性要求。但是，可靠性又不能完全代替安全性，安全 性还包括在非j 下常条件下不致发生事故的能力，这种类型的问题超出了可靠性范 围。 2 由于严重事故的后果严重，安全性关键软件往往要求在某一给定的时白j 周 期内，其事故发生概率小于1 0 一，甚至可以小于1 0 一，这是一般的可靠性方法达 不到的。 3 软件安全性也不同于涉及文件保密、预防非法侵入的数据安全性 ( s e c u r i t y ) 。 导致系统严重事故的软件错误有两类：一类是软件实现时引入的错误，这类 错误通过严格按照需求进行测试可以消除；另一类是需求错误或需求不完善，这 类错误不容易消除。但无论哪一种错误，在测试阶段将其全部消除是不可能的， 软件中总会存在一定数量的错误。对于安全性关键软件，这些残存的错误就是事 故发_ i 的根源。因此，就需要安全性技术消除或控制这类错误，防止事故的发生。 在系统的需求和设计阶段进行的软件安全性分析，在系统的测试阶段，进行软件 安全性测试。通常，软件安全性测试在软件可靠性增长测试之后进行，并以安全 性分析的结果为基础( 黄锡滋，2 0 0 3 ) 1 6 软件可靠性与安全性模型中常用参数估计方法 ( m u s aj d ，1 9 9 9 ) 分布，( x ，口) 中的未知参数口可能的取值范围o 称为参数 空间，矽可以是向量。 1 6 1 极大似然法 设母体x 具有密度函数f ( x ，秒) ，秒o ，x - ( 而，而，) 是来自母体的一个给 一 定的子样。作似然函数：三( 秒，z ) = 兀厂( ，9 ) ，它是确函数。 f - i 若口( 工) 存在则有， 三( 臼( x ) ，x ) = s u pl ( 0 ，x ) 护e 0 8 第一章基本知识简介 若密度函数厂( z ，9 ) 是关于目可微的，则含( 口的估计量) 满足下列似然方程： 者l n 硼，加啪= ( q ，o k ) ，f - 1 2 矗 求解上述联立方程，就可求出0 的估计值( q ，岛，哦) 1 6 2 最小二乘法 设u 是变量x ，y 的函数，含有m 个参数a 。，口：，a 。即 u = f ( a i ，a 2 ，a ，；x ，y ，) 现对u 和x ，y ，作n 次观测得： ( 五，咒，；坼) i f = 1 ，2 ，疗) 于是u 的理论值参= ，( q ，口：，；薯，乃，) 与观测值坼的绝对误差为 卜l 五。 所谓最小二乘法，就是要求上面的n 个误差在平方和最小的意义下，使得函数 u = f ( a ，口2 ，a 。；z ，y ，) 与观测值，“2 ，”。最佳拟合，也就是参数 务：( q ，口：，) 应使q ：窆 咋一( 口。，口：，口。；西，乃，) 】：最小值 i = l 由微分学的求极值方法可知 0 = ( a l , a 2 ，a 。) 应满足下列方程组： 0 = ( a t , a 2 ，a m ) 9 第一章基本知识简介 1 7 软件可靠性与安全性模型常用评价准则 目前常用的模型评价准则有五种( m u s a ，c h e nz h i l i ，e t c 2 0 0 5 ) ： 1 模型拟合度：利用k o l m o g o r o v 距离计算模型估计的失效数据与实际失效 数据的拟和程度； 2 模型预计有效性：用序列似然度检验来比较模型在预计有效性方面的优 劣； 3 模型偏差：利用u 图完全预测曲线与实际预测曲线在垂直方向上的最大 距离，以检测预测与实际失效行为的客观差别； 4 模型偏差趋势：利用u 图确定模型的偏差趋势的大小； 5 模型噪声：模型本省委预测引入的噪声程度。随着d m ( d a t am i n g ，数据挖 掘) 技术被不断应用于各行各业，其在软件可靠性模型选择中也得到应用， 聚类、关联规则、粗糙集、贝叶斯网络等方法受到越来越多的关注。 l o 第二章软件可靠性与安全性模型综述 第二章软件可靠性与安全性模型综述 2 1 软件可靠性模型 现在已经发布了许许多多的软件可靠性模型( j e l i n s k ia n dm o r a n d a ，1 9 7 2 ； m u s a , 1 9 7 5 ；l i t t l e w o o d ，1 9 8 0 ；n e l s o n , 1 9 7 3 ；g o da n do k u m o t o ，1 9 7 9 ；l y u ，1 9 9 6 ； p h a m ，2 0 0 0 ) 。软件可靠性模型被分成如下类型：( 黄锡滋，2 0 0 6 ；w e n k u ic h a n g , s h u e n l i nj e n g2 0 0 5 ) 。 2 1 1 确定性模型 确定性模型是测定软件质量的一种统计模型。它对软件运行中的操作员数、 运算对象数以及错误数和机器晚明数进行了考虑。这种模型的富有代表性的性能 测定包括h a l s t e a d 的软件度量、m c c a b e 的复杂性度量( h a l s t e a d ，1 9 7 7 ) h a l s t e a d 的度量是用来估计程序中的错误数的，而m c c a b e 的度量是用来确定程序中软件 故障数的极限的。c a i ( 1 9 9 8 ) 提出了另一个统计模型，此模型是对m i l l s 的估计剩 余软件缺陷数的错误播种模型( x i e ，1 9 9 1 ) 进行修正而得到的。这些模型分析了 程序统计内容并且不涉及任何随机事件。进一步，m u n s o n 和k h o s h g o f i a a r ( 1 9 9 6 ) 将统计复杂性和操作剖面结合在一起得出了动力复杂性矩阵，由此矩阵，便可以计 算其软件可靠性。( w e n k u ic h a n g , s h u e n l i nj e n g ，2 0 0 5 ) 然而，这些软件可靠性 模型仅考虑软件本身而不考虑测试阶段的环境。 2 1 2 概率模型 概率模型把软件故障的发生及排除当作概率事件。错误播种模型，故障率模 型，曲线拟合模型，可靠性增长模型，马尔科夫结构式模型等都属于此类模型 ( p h a m ，2 0 0 0 ) 。 错误播种模型利用多级抽样技术来估计软件中的错误数。如m i l l 的模型( x i e ， 1 9 9 1 ) ，c a i 的模型( 1 9 9 8 ) 等。故障率模型研究在故障问隔时期内的软件故障率。 富有代表性的故障率模型是j e l i n s k i 模型和m o r a n d a 模型，o r a n d a 的几何泊松模 型，g o e l 和o k u m o t o 的不完善调试模型等( p h a m ，2 0 0 0 ) 。 非时齐泊松过程类模型是估计在一次检测过程中试验进行到某个瞬时时刻 1 1 第二章软件可靠性与安全性模型综述 的故障累计数的均值涵数的模型。这类模型通常包括如下模型：m u s a 指数模型，s 形增长模型，超指数增长模型，推广化了的非时齐泊松过程模型( l i t t l e w o o d 和 s t f i g i n i ，2 0 0 0 ) 等。 本文即将构建第二类模型( 概率模型) 中的一个，期望对其软件可靠性进行改 善。也就是说，故障发生率( r o c o f ) 将有一个递减的趋势软件可靠性模型把软件 故障描述成为一个随机过程，这个过程是由某固定时刻检测到的故障数来刻划 的。此类模型显然是利用非时齐泊松过程( n h p p ) 而不是更新过程来模拟失效检 测过程。 马尔可夫结构模型把软件的故障过程表示为一个马尔柯夫过程。具有不完善 调试的马尔可夫模型( g o e l 和o k u m o t o ，1 9 7 9 ) ，l i t t l e w o o d 模型( 1 9 8 5 ) 等都 属于此类模型。最后，估计软件可靠性的马尔柯夫结构模型的优势在于可以避免 关于故障率分布的通常假设，把操作剖面和测试覆盖自然地融入可靠性计算 ( k o i c h it o k u n oa n ds h i g e r uy a m a d a ，2 0 0 3 ；j a w h i t t a k e r , k e k a b ，m g 2 0 0 0 ) 。有关操 作剖面，成本模型和可靠性分配的详细信息可以在( m e h e l a n d e r , z h a o ，m 1 9 9 8 ) 中发现。 2 2 软件安全性模型 评估或预测软件安全性，有两种方法。一种方法是通过数学模型( 诸如非时 齐泊松类模型、贝叶斯模型、马尔可夫链模型等) 来进行评估或预测；一种方法 是通过对软件系统的分析( 如m t a ，f m e a 等) 来进行评估或预测。然而，这两 种方法并非都是十全十美的。第一种方法试图通过测试阶段发生的软件故障或通 过状态与状态之间的转移概率链来评估软件安全性，其主要问题在于：这些模型 之中，几乎所有的都忽视了软件运行过程中可能引起危害情形的有效输出。第二 种方法假设事故之间是有因果关系的，这些事故来自于故障事件的一条链( 或一 棵树) 。事件之间的因果关系是直接的和线性的，即是说，当前事件的发生是后 续事件发生的前提和基础。若事件之间的关系是间接的和非线性的，这种方法就 不适用了。n a n c y 试图把传统的软件安全性工程技术( 诸如故障树分析、概率风 险评估、基于事故的事件链模型等) 拓展到软件系统之中，其结果并不太令人满 意。并且，根据n a n c y 的观点，事故可以分成两种类型：一种是由单个零部件 的故障引起的，另一种是由非故障零部件之间的相互作用引起的。我们可以看出， 1 2 第二章软件可靠性与安全件模型综述 数学模型与软件系统分析都无法处理零部件之间的相互关系。 随后，在参考文献( w e n k u ic h a n g ，s h u e n l i nj e n g 2 0 0 5 y 9 ，n a n c y 提出一种 新方法：s t a m p 方法( 即利用一种系统化的理论方法来理解事故之间的因果关 系) 。此方法可以考虑事件之间复杂的关系( 如信息反馈以及其他的问接关系) 并对事故发生的原因进行深入的解释。s t a m p 最基本的概念是一种约束而不是 一种事件。 这种约束无需软件执行其指定功能，这意味着不管软件是否j 下确地执行其功 能，软件输出都有可能违背这种约束。当我们考虑软件安全性时，有例子表明： 即使软件j 下常运行，整个系统依然可能处于不安全状态。 对于软件安全性模型而言，几乎所有的软件安全性模型都把违背软件安全性 约束的输出集当作是违背软件可靠性约束的输出集的一个子集，这意味着：这些 软件安全性模型会失去q d r 的某些信息，其中q 表示违背软件安全性约束的 输出集、p 表示违背软件可靠性约束的的输出集。( 吴智，2 0 0 5 ) q b 作者在构建软 件安全性模型时，不仅考虑检测人员可能检测到的不安全输出( 即qn o r ) 而 且考虑到检测人员不可能检测到的不安全输出( 即0 f o r ) 。这确实是构建软件 安全性评估模型的一种新想法、一种新思路。但理论上还不够完善，有待进一步 探索。 综上得知：没有一个软件可靠性与安全性模型能拟和所有的情形，因此，这 些模型的应用是有限的。这是因为：没有一个软件安全性模型能对有关软件产品 的开发信息、软件故障检测方法、环境因素等进行全面而又周到的考虑。下一章 即将构建一个基于子马尔可夫链的软件可靠性与安全性评估模型。在构建软件安 全性模型时，仍把违背软件安全性约束的输出集看作是违背软件可靠性约束的输 出集的一个子集。 1 3 第三章新模型的构建 第三章新模型的构建 软件可靠性定义为在规定的环境下和规定的时f i j 内，当软件执行其规定的功 能时，不发生软件故障的概率。