软件故障注入方法

01

故障注入方法简介

02

故障注入方法关键特性

03

软件故障特征

许多SFI技术和工具是在20多年的时间里发展起来的。这里，我们通过区分两种基本方法来说明和讨论这些工作：注入故障效应（也称为错误注入），其中通过扰动系统状态引入错误，以及注入实际故障，其中更改程序代码以模拟代码中的软件故障。以下小节分别回顾了软件故障注入技术：

·  数据错误注入的方法最早，这些方法基于当时存在的硬件故障注入技术；

·  接口错误注入方法，旨在测试组件与其他组件交互的稳健性；

·  注入实际故障的方法，在程序代码中引入小的故障更改。

4.1数据错误注入

早期注入故障效应的方法是在通过SWIFI研究硬件故障的背景下发展起来的。SWIFI旨在通过软件干扰内存或硬件寄存器的状态，再现硬件故障（如CPU、总线和内存故障）的影响（即错误）。根据以下标准，SWIFI方法将内存位置或寄存器的内容替换为损坏的值：

·  注入什么。内存位置或寄存器中单个位、字节或字的内容已损坏。通过对电气或门级故障产生的错误的分析，定义了错误类型。常见的错误类型是用固定值（卡在0和卡在1故障）或相反值（位翻转）替换位。

·  注入的地方。由于内存位置众多，注入内存的错误通常针对位置的子集。注入可以集中在特定内存区域中随机选择的位置（例如堆栈、堆、全局数据）或用户选择的位置（例如内存中的特定变量）。在寄存器中注入的错误可以针对那些可以通过软件访问的寄存器（例如，数据和地址寄存器）。

·  何时注入。错误注入可能与时间或事件有关。在前一种情况下，在经过给定的实验时间后注入错误，该时间由用户或根据概率分布选择。在后一种情况下，当特定事件在执行期间发生时，例如在第一次访问或每次访问目标位置时，会注入错误。可以模拟三种类型的硬件故障，分别是瞬时故障（即偶然故障）、间歇性故障（即多次重复故障）和永久性故障。

值得注意的是，SWIFI工具注入的硬件错误可以在程序状态（例如，数据和地址寄存器、堆栈和堆内存）和程序代码（例如，在程序执行之前或执行期间存储代码的内存区域）中注入。这是软件故障注入的一个重要区别：程序状态中的损坏旨在反映软件故障的影响，即错误程序的执行导致的错误，例如错误的指针、标志或控制流，SWIFI工具可以直接引入此类错误；相反，程序代码中的故障旨在反映代码中的实际软件故障。

4.2 接口错误的注入

在输入参数处注入错误旨在模拟目标外部故障产生的影响，包括外部软件组件中软件故障的影响，并评估目标检测和处理损坏输入的能力。以类似的方式，输出值的损坏被用来模拟故障部件的输出，并可用于评估故障对系统其余部分的影响。

输入参数的故障可能会揭示目标的错误检测和恢复机制（例如，输入处理代码）的设计和实施中的缺陷。它通常在稳健性测试中采用，该测试评估“系统或组件在存在无效输入或压力环境条件下能够正确运行的程度”。应该注意的是，健壮性测试和接口错误注入的目标不同于功能测试技术，例如黑盒测试：健壮性测试旨在评估软件模块在面对无效输入时的健壮行为（例如，避免了进程崩溃，或产生了警告信号），它与目标的功能正确性无关。

接口错误注入可以通过两种方式执行。第一种方法基于链接到目标组件的测试驱动程序（例如，使用目标导出的API的程序），并通过提交无效输入来执行该程序。这种方法类似于单元测试，但在这种情况下，评估的是健壮性，而不是功能正确性。第二种方法包括拦截和破坏目标与系统其余部分之间的交互，即在调用目标组件时触发拦截器程序，并修改原始输入以引入损坏的输入。在这种情况下，目标组件将在集成目标的整个系统的上下文中进行测试。这种方法类似于SWIFI，因为流经系统的原始数据（在本例中为接口输入）被损坏的数据替换。

在接口错误注入实验中，在实验期间发生的几个输入参数和目标API的几个调用中，通常只有一个输入参数和一个调用被破坏。生成无效输入值的常用方法有三种：

·  模糊化：原始值被随机生成的值替换。

·  位翻转：通过反转原始值的一个或多个位的值来生成损坏的值。

·  基于数据类型的注入：原始值被替换为无效值，该值是根据被破坏的输入参数类型选择的，其中类型是从目标导出的API派生的。这种方法为每种数据类型定义了一个无效值池，这些值是从类型域的分析中选择的（例如，在C指针的情况下为“NULL”）。

4.3注入代码的更改

前面小节讨论的主要是通过使用SWIFI方法注入故障影响（即错误）来模拟软件故障。这些方法的一个公开问题是注入错误（如位翻转）的代表性，它不一定与软件故障产生的错误匹配。

为了解决代表性问题，最近对SFI的研究集中在程序代码中错误的注入（即代码更改）。即可以采用注入代码更改来模拟真实软件故障，因为注入的故障会产生与真实软件故障产生的错误和故障相似的错误和故障。一般可通过在进程的代码存储区或二进制可执行文件上应用SWIFI，在程序中注入错误。但要注意通过对这些程序进行彻底测试，需在有限的范围内注入软件故障，需要专门针对软件故障注入的工具和技术。

在为系统选择方法时，应考虑所讨论的故障注入方法的特点。

错误注入通常用于评估单个组件的健壮性，并改进代码特定部分的错误处理。主要原因是，错误的注入允许对系统的特定部分进行实验，因为它可以评估错误对特定组件接口或程序变量的影响。事实上，错误注入不需要等待错误生成并传播到正在评估的程序状态的特定部分。此外，由于错误注入可以应用于单个组件，因此可以在软件验证的早期阶段执行。

相反，注入代码更改的目的是作为一个整体评估容错系统，并在备选设计选择之间进行定量评估和比较。代码更改更适合于这些目标，因为它们基于软件故障的代表性模型，并密切模拟故障软件的行为。这是定量评估和比较的一个重要要求，因为它们考虑了故障发生的相对概率，以反映系统在运行期间表现出的行为。这使得代码更改的注入更适合于软件验证的后期阶段，此时系统组件已经集成，开发人员的目标是评估系统在其运行寿命期间的预期容错性（以及衍生的度量，如可用性）。