《在自修复系统中嵌入验证意识》美空军132页技术总结报告

本报告详细介绍了我们开发技术的方法，即在一个自动框架内调查受自适应系统的自我修复计划影响的关键属性的再验证潜力，该框架还测量了自我修复发生时被侵犯属性的风险。从这项调查中，我们1）设计了一个框架，使基于组件的系统同时具有架构和验证意识，并能对自我修复计划进行动态的再验证状态评估；2）设计了一个风险评估机制，如果自我修复计划导致违反关键要求，则对系统可能进入的潜在风险状态发出警报；3）在该框架内测试了Genprog自我修复计划的应用。该框架已被嵌入到两个内部案例研究和一个为模仿可穿戴设备操作和通信而开发的测试平台中并进行了评估。

图 1：基于元数据的验证和认证框架

弹性要求自动适应阻碍任务的情况。一个自适应的软件系统可以监控自己，分析故障的发生，并通过改变其状态、逻辑或结构来恢复。这样的自主系统依赖于对系统和环境的持续监测，分析性能异常，根据环境和可用资源规划最可行的适应策略，并在部署的系统上执行适应。在自适应系统的各个层面都存在大量的研究，例如，架构的重新配置、界面的改变和嵌入式系统的改变，但它主要侧重于在不中断的情况下执行功能或架构改变（Cheng，2009），（Lemos，2013）。一旦改变，强加在最初部署的系统上的同样的要求合规性保证过程也应该同样强加在适应的系统上。在系统适应期间和之后的自我验证方面的研究严重不足，特别是对于分布式系统、面向服务的架构和嵌入式系统（Calinescu，2012），（Tamura，2013）。软件验证和确认，以及安全认证，都是困难而繁琐的过程，需要明确的要求、清晰的评估策略，以及不需要比被评估功能更多代码的自动化方法（Zuo，2011）。本项目定义了一个技术框架，以确定改编是否会抑制用于验证或认证的原始合规性保证流程的重用，其中验证指的是正式的方法流程，而认证则专门用于保证安全控制的合规性，如NIST SP800-53（NIST，2013）。它从这些流程中提取关键属性和评估或检查的流程，以确定适应性将如何影响它们（Jahan, 2017）。影响的破坏性越大，合规保证流程被重用的可能性就越低。流程重用的可能性越低，合规性违反的可能性就越高，因为很少能有替代的合规性保证流程被用于需求（Marshall，2018）。

要构建和部署这项技术，有多个研究问题需要解决。一个主要的研究问题是定义一个策略，以确定在设计和选择适应计划时，是否可以通过对适应系统的验证或认证来重新保证一个需求。面临的挑战是要超越识别关键属性和通过验证或认证确定系统的符合性水平，捕捉和建模最初进行验证或认证的符合性保证过程。验证和认证的形式化过程在运行时部署的资源成本太高。尽管模型检查在合规性保证过程中引入了一个抽象层次，但它在可以表达和评估的内容方面也是有限的（Sharifloo，2015）、（Calinescu，2012）、（Cordy，2013）、（Weyns，2012）。为了解决这个研究问题，我们主张将验证和认证过程（即合规性保证过程）以一种可以嵌入系统的方式建模，使其具有合规性意识。有了这种意识，就可以开发技术来评估它是如何被保证符合要求的，以及适应性如何影响符合性保证过程的再利用。本报告展示了一个体现这种技术的初始框架。

另一个研究问题是，需要定义衡量标准，将风险水平与确定适应性计划如何抑制合规性保证过程的再利用联系起来。此外，一旦计算出一个风险系数，就必须了解该风险是如何在整个系统需求中传播的。这个项目将风险评估与重新验证和重新认证的状态评估结合起来。通过该框架，风险指标直接与受影响的属性的关键性以及这些影响对一个或多个合规性保证过程的再利用的程度相联系。

第三个研究问题是如何在运行时将合规意识和风险评估编码到动态适应性计划分析中（Abie，2012）、（Almeida，2011）、（Camara，2013）、（Cheng，2009）。所开发的框架定义了表达内部处理和外部交互性能参数及其依赖关系的建模抽象。它为每个关键需求嵌入了一个可执行的彩色Petri网（CPN）（Jensen，2009），（Jensen，2015），表示合规性保证过程的架构以及用于验证和认证的属性。每个CPN的输出被汇总以计算适应计划与替代计划的风险。总的来说，本项目开发的建模和评估机制将为在设计时捕获相关元数据提供信息，从而在弹性系统中实现更好的合规意识表示和操作。