面向軟錯誤的軟件檢測技術(shù)研究.pdf

1、輻射環(huán)境中高能帶電粒子撞擊設(shè)備的邏輯單元導(dǎo)致單粒子效應(yīng)，而單粒子效應(yīng)造成的瞬時性故障稱為軟錯誤。軟錯誤是影響航天計算可靠性的重要因素。隨著芯片集成晶體管數(shù)呈指數(shù)級增長，軟錯誤率按照摩爾定律快速增長，使得航天計算可靠性問題日益嚴(yán)峻。軟錯誤檢測技術(shù)是解決航天計算可靠性問題的關(guān)鍵環(huán)節(jié)。硬件層面的軟錯誤檢測技術(shù)水平目前還難以達(dá)到防護的要求，軟件層面的軟錯誤檢測技術(shù)具備制造成本低、獨立于底層硬件設(shè)計和配置靈活的特點。軟件層面的軟錯誤檢測技術(shù)成為航

2、天計算可靠性的研究重點之一。
　　本文主要研究軟件層面的軟錯誤檢測問題。針對現(xiàn)有檢測方法在檢出率、檢測代價等方面存在的不足，本文的目標(biāo)是研究高檢出率、低檢測代價的檢測方法，從而在現(xiàn)有硬件水平基礎(chǔ)上，提高航天計算的可靠性，保障衛(wèi)星在軌期間穩(wěn)定提供服務(wù)。在四種軟錯誤造成的后果類型中，結(jié)果錯誤(Silent Data Corruption，后文簡稱SDC)是最難檢測的一種。當(dāng)SDC發(fā)生時，整個執(zhí)行過程與正常運行時沒有區(qū)別，只是程序的輸出

3、結(jié)果發(fā)生了錯誤。本文重點開展針對SDC的錯誤傳播機理和檢測方法研究，并通過錯誤注入實驗評估方法的有效性。本論文的主要工作和貢獻(xiàn)包括:
　　(1)通過錯誤注入實驗分析了軟錯誤對棧行為的影響，總結(jié)了棧操作常用指針導(dǎo)致SDC的條件和錯誤傳播路徑。程序的執(zhí)行由一系列的函數(shù)調(diào)用組成，而函數(shù)調(diào)用一般由棧來實現(xiàn)。棧操作常用的指針包括棧指針、棧幀基址指針和返回地址。棧指針和棧幀基址指針分別存放在寄存器ESP和寄存器EBP。ESP、EBP和返回地址

4、在程序運行中起重要作用，ESP和EBP被頻繁地用來尋址，返回地址改變了程序的控制流，但還沒有研究工作分析錯誤的ESP、EBP和返回地址對程序執(zhí)行的影響。針對返回地址、寄存器ESP和寄存器EBP展開了一系列錯誤注入實驗，分析了錯誤的返回地址、ESP和EBP導(dǎo)致SDC的條件和錯誤傳播路徑，發(fā)現(xiàn)控制RET型ESP和EBP只有滿足特定條件才會造成SDC，控制RET型ESP導(dǎo)致SDC僅當(dāng)執(zhí)行RET指令前ESP指向返回地址;指出了注入時機和翻轉(zhuǎn)位對

5、于注入結(jié)果的影響;造成控制RET型EBP發(fā)生掛起的原因是返回環(huán)路，分析了返回環(huán)路的形成過程并給出了其必要條件。
　　(2)通過錯誤傳播分析設(shè)計了SDC脆弱指令的識別方法，研究了SDC脆弱指令的分布特征和傳播特征。SDC脆弱指令是指在其操作數(shù)發(fā)生軟錯誤會導(dǎo)致SDC的指令。分析SDC脆弱指令對于軟錯誤檢測設(shè)計及優(yōu)化都有重要的參考價值?，F(xiàn)有尋找SDC脆弱指令方法需要進行巨量的錯誤注入，時間代價巨大。根據(jù)數(shù)據(jù)關(guān)聯(lián)圖建立了指令的數(shù)據(jù)依賴關(guān)系

6、，研究了函數(shù)間和函數(shù)內(nèi)部錯誤傳播過程;進而推導(dǎo)出判定SDC脆弱指令的充分條件，提出了SDC脆弱指令識別方法。該方法根據(jù)已執(zhí)行的錯誤注入實驗信息動態(tài)推測潛在的SDC脆弱指令，由此減少未進行的錯誤注入。在保證較高準(zhǔn)確率和覆蓋率的前提下，時間代價顯著減少。通過分析得到SDC脆弱指令，發(fā)現(xiàn)導(dǎo)致SDC的靜態(tài)指令和源代碼的分布集中，并且傳播路徑上的關(guān)鍵位置是接口指令和比較指令。這些結(jié)論為檢測器的放置位置提供了依據(jù)。
　　(3)針對SDC難以檢

7、測的問題，通過引入軟件測試中的不變量設(shè)計了一種源碼級斷言檢測方法。不變量是運行時刻保持不變的程序特征。在軟錯誤發(fā)生后，由于程序受到影響，不變量一般不再滿足。根據(jù)該原理，在源代碼中插入以不變量為內(nèi)容的斷言，利用發(fā)生軟錯誤后斷言報錯來檢測軟錯誤。根據(jù)SDC脆弱指令分析確定了檢測位置，提取了檢測位置的不變量;定義了表征不變量檢測能力的滲透率，在同一檢測位置依據(jù)滲透率將不變量轉(zhuǎn)化為斷言。通過錯誤注入實驗驗證了該檢測方法的有效性。相比于源碼級斷言

8、檢測方法的典型工作FaultScrccning，檢出代價基本相同，SDC檢出率提高了21％。根據(jù)該檢測方法實現(xiàn)了針對c程序的程序加固系統(tǒng)1.0版本Radish。Radish通過添加基于不變量的斷言對c程序源文件進行加固?；诔绦虿蛔兞康臄嘌詸z測方法在檢測器的形式上進行了創(chuàng)新，斷言包含的關(guān)系更豐富、檢出率更高，為檢測SDC提供新的解決思路。
　　(4)雖然部署了基于不變量的斷言，但是錯誤可能會在未被保護的區(qū)域傳播。針對此問題，通過設(shè)