面向軟錯(cuò)誤的軟件檢測(cè)技術(shù)研究.pdf

1、輻射環(huán)境中高能帶電粒子撞擊設(shè)備的邏輯單元導(dǎo)致單粒子效應(yīng)，而單粒子效應(yīng)造成的瞬時(shí)性故障稱(chēng)為軟錯(cuò)誤。軟錯(cuò)誤是影響航天計(jì)算可靠性的重要因素。隨著芯片集成晶體管數(shù)呈指數(shù)級(jí)增長(zhǎng)，軟錯(cuò)誤率按照摩爾定律快速增長(zhǎng)，使得航天計(jì)算可靠性問(wèn)題日益嚴(yán)峻。軟錯(cuò)誤檢測(cè)技術(shù)是解決航天計(jì)算可靠性問(wèn)題的關(guān)鍵環(huán)節(jié)。硬件層面的軟錯(cuò)誤檢測(cè)技術(shù)水平目前還難以達(dá)到防護(hù)的要求，軟件層面的軟錯(cuò)誤檢測(cè)技術(shù)具備制造成本低、獨(dú)立于底層硬件設(shè)計(jì)和配置靈活的特點(diǎn)。軟件層面的軟錯(cuò)誤檢測(cè)技術(shù)成為航

2、天計(jì)算可靠性的研究重點(diǎn)之一。
　　本文主要研究軟件層面的軟錯(cuò)誤檢測(cè)問(wèn)題。針對(duì)現(xiàn)有檢測(cè)方法在檢出率、檢測(cè)代價(jià)等方面存在的不足，本文的目標(biāo)是研究高檢出率、低檢測(cè)代價(jià)的檢測(cè)方法，從而在現(xiàn)有硬件水平基礎(chǔ)上，提高航天計(jì)算的可靠性，保障衛(wèi)星在軌期間穩(wěn)定提供服務(wù)。在四種軟錯(cuò)誤造成的后果類(lèi)型中，結(jié)果錯(cuò)誤(Silent Data Corruption，后文簡(jiǎn)稱(chēng)SDC)是最難檢測(cè)的一種。當(dāng)SDC發(fā)生時(shí)，整個(gè)執(zhí)行過(guò)程與正常運(yùn)行時(shí)沒(méi)有區(qū)別，只是程序的輸出

3、結(jié)果發(fā)生了錯(cuò)誤。本文重點(diǎn)開(kāi)展針對(duì)SDC的錯(cuò)誤傳播機(jī)理和檢測(cè)方法研究，并通過(guò)錯(cuò)誤注入實(shí)驗(yàn)評(píng)估方法的有效性。本論文的主要工作和貢獻(xiàn)包括:
　　(1)通過(guò)錯(cuò)誤注入實(shí)驗(yàn)分析了軟錯(cuò)誤對(duì)棧行為的影響，總結(jié)了棧操作常用指針導(dǎo)致SDC的條件和錯(cuò)誤傳播路徑。程序的執(zhí)行由一系列的函數(shù)調(diào)用組成，而函數(shù)調(diào)用一般由棧來(lái)實(shí)現(xiàn)。棧操作常用的指針包括棧指針、棧幀基址指針和返回地址。棧指針和棧幀基址指針?lè)謩e存放在寄存器ESP和寄存器EBP。ESP、EBP和返回地址

4、在程序運(yùn)行中起重要作用，ESP和EBP被頻繁地用來(lái)尋址，返回地址改變了程序的控制流，但還沒(méi)有研究工作分析錯(cuò)誤的ESP、EBP和返回地址對(duì)程序執(zhí)行的影響。針對(duì)返回地址、寄存器ESP和寄存器EBP展開(kāi)了一系列錯(cuò)誤注入實(shí)驗(yàn)，分析了錯(cuò)誤的返回地址、ESP和EBP導(dǎo)致SDC的條件和錯(cuò)誤傳播路徑，發(fā)現(xiàn)控制RET型ESP和EBP只有滿(mǎn)足特定條件才會(huì)造成SDC，控制RET型ESP導(dǎo)致SDC僅當(dāng)執(zhí)行RET指令前ESP指向返回地址;指出了注入時(shí)機(jī)和翻轉(zhuǎn)位對(duì)

5、于注入結(jié)果的影響;造成控制RET型EBP發(fā)生掛起的原因是返回環(huán)路，分析了返回環(huán)路的形成過(guò)程并給出了其必要條件。
　　(2)通過(guò)錯(cuò)誤傳播分析設(shè)計(jì)了SDC脆弱指令的識(shí)別方法，研究了SDC脆弱指令的分布特征和傳播特征。SDC脆弱指令是指在其操作數(shù)發(fā)生軟錯(cuò)誤會(huì)導(dǎo)致SDC的指令。分析SDC脆弱指令對(duì)于軟錯(cuò)誤檢測(cè)設(shè)計(jì)及優(yōu)化都有重要的參考價(jià)值?，F(xiàn)有尋找SDC脆弱指令方法需要進(jìn)行巨量的錯(cuò)誤注入，時(shí)間代價(jià)巨大。根據(jù)數(shù)據(jù)關(guān)聯(lián)圖建立了指令的數(shù)據(jù)依賴(lài)關(guān)系

6、，研究了函數(shù)間和函數(shù)內(nèi)部錯(cuò)誤傳播過(guò)程;進(jìn)而推導(dǎo)出判定SDC脆弱指令的充分條件，提出了SDC脆弱指令識(shí)別方法。該方法根據(jù)已執(zhí)行的錯(cuò)誤注入實(shí)驗(yàn)信息動(dòng)態(tài)推測(cè)潛在的SDC脆弱指令，由此減少未進(jìn)行的錯(cuò)誤注入。在保證較高準(zhǔn)確率和覆蓋率的前提下，時(shí)間代價(jià)顯著減少。通過(guò)分析得到SDC脆弱指令，發(fā)現(xiàn)導(dǎo)致SDC的靜態(tài)指令和源代碼的分布集中，并且傳播路徑上的關(guān)鍵位置是接口指令和比較指令。這些結(jié)論為檢測(cè)器的放置位置提供了依據(jù)。
　　(3)針對(duì)SDC難以檢

7、測(cè)的問(wèn)題，通過(guò)引入軟件測(cè)試中的不變量設(shè)計(jì)了一種源碼級(jí)斷言檢測(cè)方法。不變量是運(yùn)行時(shí)刻保持不變的程序特征。在軟錯(cuò)誤發(fā)生后，由于程序受到影響，不變量一般不再滿(mǎn)足。根據(jù)該原理，在源代碼中插入以不變量為內(nèi)容的斷言，利用發(fā)生軟錯(cuò)誤后斷言報(bào)錯(cuò)來(lái)檢測(cè)軟錯(cuò)誤。根據(jù)SDC脆弱指令分析確定了檢測(cè)位置，提取了檢測(cè)位置的不變量;定義了表征不變量檢測(cè)能力的滲透率，在同一檢測(cè)位置依據(jù)滲透率將不變量轉(zhuǎn)化為斷言。通過(guò)錯(cuò)誤注入實(shí)驗(yàn)驗(yàn)證了該檢測(cè)方法的有效性。相比于源碼級(jí)斷言

8、檢測(cè)方法的典型工作FaultScrccning，檢出代價(jià)基本相同，SDC檢出率提高了21％。根據(jù)該檢測(cè)方法實(shí)現(xiàn)了針對(duì)c程序的程序加固系統(tǒng)1.0版本Radish。Radish通過(guò)添加基于不變量的斷言對(duì)c程序源文件進(jìn)行加固?；诔绦虿蛔兞康臄嘌詸z測(cè)方法在檢測(cè)器的形式上進(jìn)行了創(chuàng)新，斷言包含的關(guān)系更豐富、檢出率更高，為檢測(cè)SDC提供新的解決思路。
　　(4)雖然部署了基于不變量的斷言，但是錯(cuò)誤可能會(huì)在未被保護(hù)的區(qū)域傳播。針對(duì)此問(wèn)題，通過(guò)設(shè)