專利名稱：一種基于虛擬機的故障注入測試方法
技術(shù)領(lǐng)域：
本專利發(fā)明涉及一種故障注入軟件安全測試方法，尤其是將虛擬技術(shù)引入故障注 入測試方法。
背景技術(shù)：
故障注入是將故障注入被測試應(yīng)用程序中以觀察其反應(yīng)的技術(shù)，在攻擊分析中主 要用于檢測在軟件程序中可能導(dǎo)致安全漏洞的潛在脆弱點的位置。軟件故障注入方法對目 標(biāo)系統(tǒng)的硬件環(huán)境沒有損壞，能夠方便地跟蹤目標(biāo)程序的執(zhí)行和回收數(shù)據(jù)；細節(jié)模型的復(fù) 雜程度低，減少系統(tǒng)開銷，具有較好的可移植性。然而，目前研究的故障注入技術(shù)都是針對 特殊應(yīng)用的，而且由于故障注入測試工具與被測試系統(tǒng)在同一操作平臺中，一旦系統(tǒng)崩潰， 測試數(shù)據(jù)極易丟失，測試環(huán)境需要重新配置。

發(fā)明內(nèi)容
為了解決目前的故障注入方法的通用性和靈活性以及在極端情況下故障注入工 具的健壯性問題。本專利提出的基于虛擬機的故障注入軟件脆弱性測試技術(shù)，旨在建立一 種高效通用的故障注入方法，采用在應(yīng)用程序和環(huán)境的交互層注入故障，以較少的故障實 例真實模擬故障以檢測應(yīng)用程序的脆弱性，并且將故障監(jiān)視器和故障注入引擎分別配置在 虛擬機的主機和客戶機部分，在節(jié)約資源的基礎(chǔ)上增強了故障注入技術(shù)的健壯性和靈活 性。
具體實施例方式故障注入脆弱性測試系統(tǒng)總體上按照C/S方式運行，故障監(jiān)視器作為虛擬機主 機中的應(yīng)用程序(包括故障測試例生成器模塊，故障庫模塊，安全分析模塊和環(huán)境恢復(fù)模 塊)，它負責(zé)按照用戶設(shè)置的參數(shù)生成故障實例，并將故障實例存入動態(tài)數(shù)據(jù)庫，通過通信 協(xié)議將故障實例傳送給目標(biāo)系統(tǒng)，同時還負責(zé)接受目標(biāo)系統(tǒng)傳送回來的測試狀態(tài)數(shù)據(jù)，對 數(shù)據(jù)進行分析來確定測試結(jié)果。目標(biāo)系統(tǒng)是包含被測程序和故障注入測試引擎(包括配置 文件，故障注入器，數(shù)據(jù)收集器各模塊)的虛擬機客戶操作系統(tǒng)，故障注入測試引擎負責(zé)靜 態(tài)掃描分析被測應(yīng)用程序，按照設(shè)定規(guī)則設(shè)置故障注入斷點，負責(zé)接收故障監(jiān)視器傳送來 的故障注入實例，注入故障并且收集測試數(shù)據(jù)。通信協(xié)議負責(zé)故障和目標(biāo)系統(tǒng)的有效信息 傳輸，通信過程使用虛擬機特有的共享內(nèi)存和事件通道機制來實現(xiàn)故障監(jiān)視器和目標(biāo)系統(tǒng) 都可以訪問的共享內(nèi)存緩沖區(qū)。1故障注入的關(guān)鍵技術(shù)基礎(chǔ)確定故障模型故障模型是指在一定的層次上，對目標(biāo)系統(tǒng)真實故障的抽象，一般用故障的公共 屬性來表征。系統(tǒng)通過軟件的方法，根據(jù)故障模型在故障注入時刻實現(xiàn)對特定故障的模擬。 我們使用5個屬性來描述故障，即故障位置(LM)、故障類型(VM)、故障持續(xù)時間(DT)、故障注入時刻(VT)和系統(tǒng)狀態(tài)。為了確定注入的故障類型，我們使用美國雪城大學(xué)(Syracuse University)杜文亮的方法，在應(yīng)用程序和環(huán)境的交互層注入故障，認為大多數(shù)安全缺陷是 由于程序與應(yīng)用環(huán)境之間不合適的交互而造成。用戶惡意干擾環(huán)境同樣可以觸發(fā)安全缺 陷，故障被注入環(huán)境從而將其干擾。應(yīng)用程序的代碼和數(shù)據(jù)空間之外的任意元素叫做環(huán)境 實體，例如文件和網(wǎng)絡(luò)環(huán)境可以被看作是環(huán)境實體。文件的訪問權(quán)限、文件的存在性、文件 的所有權(quán)、進程的真實用戶id、進程的有效用戶id等都是環(huán)境狀態(tài)的不同部分，當(dāng)然根據(jù) 測試對象大小的不同，通常被認為是環(huán)境的實體，可能只是測試程序的內(nèi)部變量或狀態(tài)，因 此環(huán)境和應(yīng)用程序的區(qū)分是根據(jù)具體情況判斷的。測試過程中在應(yīng)用程序和環(huán)境交互點干 擾應(yīng)用環(huán)境以此觀察程序的反應(yīng)，同時判斷在這種干擾的情況下被測試程序是否出現(xiàn)違反 安全問題的行為。既然許多漏洞數(shù)據(jù)庫都記錄了攻擊者利用漏洞的方式，我們將這些利用 方式轉(zhuǎn)變成環(huán)境故障并將其注入，而對于這些記錄我們只做很少的分析。在應(yīng)用程序和環(huán) 境交互點注入故障而不是在程序狀態(tài)層注入故障，這樣一方面減少了故障注入的數(shù)量，一 方面減少了實際使用系統(tǒng)而造成的與真實故障之間的語義差別。按照環(huán)境故障影響應(yīng)用程序的方式對環(huán)境故障進行分類。通過將故障傳給應(yīng)用程 序內(nèi)部變量影響應(yīng)用程序的故障稱為間接環(huán)境故障，根據(jù)間接環(huán)境故障的數(shù)據(jù)來源，間接 環(huán)境故障進一步劃分為(1)用戶輸入(2)環(huán)境變量(3)文件系統(tǒng)輸入(4)網(wǎng)絡(luò)輸入(5)進 程輸入，這五個分類是程序獲得自己需要的輸入的重要來源，如圖表1所示。通過環(huán)境變量 影響程序的環(huán)境故障稱為直接環(huán)境故障，許多環(huán)境變量能夠直接影響程序的行為，按照傳 統(tǒng)的操作系統(tǒng)歸類的方法可以分為(1)文件系統(tǒng)(2)進程(3)網(wǎng)絡(luò)環(huán)境，如圖表2所示， 目前沒有發(fā)現(xiàn)其他類型的環(huán)境變量造成應(yīng)用的重大漏洞，因此我們不打算包括它們。圖表1間接環(huán)境故障列表舉例 圖表2直接環(huán)境故障列表舉例 故障注入位置故障注入函數(shù)被放置在靜態(tài)掃描后發(fā)現(xiàn)的潛在漏洞處，也就是在可能產(chǎn)生直接環(huán) 境故障和間接環(huán)境故障的程序交互點設(shè)置斷點，而且這個過程也是自動完成的。這樣在測 試過程中，當(dāng)遇到斷點時查詢注入函數(shù)，如果有和此位置相關(guān)的故障，則注入故障進行測 試，否則繼續(xù)運行。這樣做是因為并不知道實際的漏洞位置，通過分析所有位置的影響就可標(biāo)識出那些可能威脅到安全的位置。需要注意的是，在每次測試運行中程序狀態(tài)僅被某個 故障注入錯誤單獨影響，這樣做更便于評估在給定位置的單個漏洞的影響。通信模塊通常的故障注入技術(shù)在一臺機器上實現(xiàn)故障注入和故障監(jiān)視功能，這樣就存在安 全性和完整性的問題一是，如果測試過程中故障導(dǎo)致被測試程序所在系統(tǒng)產(chǎn)生了不可恢 復(fù)的崩潰，這樣重新布置測試環(huán)境將會很耗時，甚至?xí)枰貜?fù)一些已經(jīng)完成了的實驗。二 是，一旦系統(tǒng)崩潰我們不可能對導(dǎo)致崩潰產(chǎn)生的實際錯誤進行深入查看，而且故障注入后 有時候需要的分析數(shù)據(jù)是復(fù)雜的，甚至是不確定的，這就需要記錄盡可能的運行時系統(tǒng)狀 態(tài)，這對于傳統(tǒng)的操作系統(tǒng)是個很消耗資源的任務(wù)。虛擬機技術(shù)可以很好的解決上述問題，將故障監(jiān)視功能放在具有特權(quán)功能的主機 (如Xen虛擬機的DomainO域)中，故障監(jiān)視器負責(zé)生成故障注入實例并保存到動態(tài)數(shù)據(jù) 庫，同時對從虛擬機客戶機(如Xen虛擬機的DomainU域)收集來的測試數(shù)據(jù)進行分析。測 試前主機對客戶機系統(tǒng)進行簡單備份，并且在運行過程中收集測試數(shù)據(jù)甚至是系統(tǒng)運行狀 態(tài)信息，這樣一旦客戶機系統(tǒng)崩潰，既不會損失系統(tǒng)崩潰時的測試數(shù)據(jù)，同時利用虛擬機的 重載機制就能快速的對測試環(huán)境進行恢復(fù)。虛擬機的備份功能為記錄盡可能多的虛擬機執(zhí) 行信息提供了方便，加以擴展的話還可以實現(xiàn)虛擬機的重放，為測試后的分析提供了更全 面的調(diào)試和跟蹤功能。因此，通信模塊在整個測試過程中具有非常關(guān)鍵的作用，利用虛擬機的共享內(nèi)存 和事件機制，傳送要注入的故障實例，同時在目標(biāo)程序的狀態(tài)發(fā)生變化時，數(shù)據(jù)收集器通知 主機內(nèi)的故障監(jiān)視器，然后將狀態(tài)數(shù)據(jù)放入共享內(nèi)存緩沖區(qū)中，故障監(jiān)視器從中提取數(shù)據(jù) 并保存到相應(yīng)記錄項中。通信模塊由共享日志緩沖區(qū)管理模塊來實現(xiàn)，它分別在主機和客戶機兩個域的內(nèi) 核中。2故障注入技術(shù)的實現(xiàn)流程故障注入技術(shù)的測試過程如下 故障注入方法各模塊的實現(xiàn)如下(1)配置文件考慮到不同測試程序的參數(shù)和運行環(huán)境的差異性，在測試前我們采用手動方式來 編寫配置腳本，對測試程序的參數(shù)和環(huán)境進行配置。(2)故障實例生成器故障生成界面為用戶提供了控制故障實例生成的接口。按照故障模型，設(shè)置該類 故障所需參數(shù)即可生成故障。也可以選擇使用故障庫已有的注入故障，或者讓此模塊隨機 產(chǎn)生注入故障，從而實現(xiàn)系統(tǒng)的靈活性和重用性。(3)故障庫故障庫存儲故障實例生成器產(chǎn)生的故障實例。為了提高數(shù)據(jù)庫的利用率，建立動 態(tài)數(shù)據(jù)庫。動態(tài)數(shù)據(jù)庫的故障實例刪除原則是(1)觸發(fā)了錯誤和失效的故障實例；(2)多 次檢測對系統(tǒng)無任何影響；(3)與表中已存在的故障實例相同。(4)共享日志緩沖區(qū)管理模塊該模塊主要實現(xiàn)虛擬間的數(shù)據(jù)傳輸。該模塊在兩個域的內(nèi)核中，是特權(quán)域和用戶 域基于共享日志緩沖區(qū)進行通信的協(xié)議棧，負責(zé)共享日志緩沖區(qū)的初始化及分配管理。不 同的虛擬機間共享內(nèi)存的方法不同，下面僅以電子科技大學(xué)的孟江濤關(guān)于Xen虛擬機主機 與客戶機間的共享內(nèi)存方法為例說明。主要是在(主域)DomainO和(客戶域)DomainU兩 個域間傳遞注入故障列表和測試數(shù)據(jù)，使用如下算法1)共享日志緩沖區(qū)管理模塊用戶域DomainU端算法①DomainU內(nèi)核中分配N個連續(xù)的物理頁作為共享日志緩沖區(qū)，開始物理頁號為 P1，映射它們到DomainU內(nèi)核連續(xù)的虛擬地址空間中，開始虛擬地址為VAu ；②通過用戶域的控制環(huán)，向DomainO域發(fā)送“創(chuàng)建共享日志緩沖區(qū)”請求，請求中 有P1和物理頁個數(shù)N ；③收到DomainO域發(fā)送的“創(chuàng)建共享日志緩沖區(qū)成功”應(yīng)答，記錄DomainO域的日 志事件通道號L0G_CHANNEL ；
④當(dāng)DomainU的數(shù)據(jù)收集器記錄測試程序的運行狀態(tài)數(shù)據(jù)時，在共享日志緩沖 區(qū)分配空間。如果有空間，則分配并記錄日志；否則，調(diào)用超級調(diào)用HYPERVIS0R_event_ channel_op (NOTIFY, (DomainO, LOC_CHANNEL)置 DomainO 域的日志事件通道申請位，然后 調(diào)用超級調(diào)用HYPERVISOR_sched_op (PAUSE)暫停用戶域；⑤當(dāng)用戶域被調(diào)度執(zhí)行時，從暫停點繼續(xù)執(zhí)行被暫停的測試活動。2)共享日志緩沖區(qū)管理模塊DomainO端算法①通過DomainU的控制環(huán)，收到用戶域DomainU發(fā)送的“創(chuàng)建共享日志緩沖區(qū)”請 求，請求中有Pl和物理頁個數(shù)N，映射這N個連續(xù)的物理頁到DomainO內(nèi)核連續(xù)的虛擬地址 空間中，開始虛擬地址為VAO ；調(diào)用超級調(diào)用HYPERVISOR_event_channel_op (ALLOCATE)為 DomainO分配一個事件通道號L0G_CHANNEL，稱之為日志事件通道；②向用戶域發(fā)送“創(chuàng)建共享日志緩沖區(qū)成功”應(yīng)答，應(yīng)答中有DomalnO域的日志事 件通道號L0G_CHANNEL ；③調(diào)用超級調(diào)用HYPERVISOR_evnt_chanenl_op(BIND_PIRQ，L0G_CHANNEL)把日 志事件通道號L0G_CHANNEL與DomainO域的某一空閑物理中斷號綁定，返回值為IRQ_L0G， 這意味著Xen的事件L0G_CHANNEL將被虛擬成DomainO域的物理中斷IRQ_L0G ；然后初始 化IRQ_L0G中斷向量，安裝其中斷服務(wù)程序；④清DomainO 內(nèi)核“有日志”標(biāo)志 log_arrive_flag 為 O。(5)故障注入器采用類似于基于詞法的靜態(tài)掃描工具掃描分析測試程序，在可能產(chǎn)生應(yīng)用程序和 環(huán)境交互點的地方設(shè)置斷點，改變中斷處理入口地址，程序運行過程中通過故障查詢語句 動態(tài)注入故障庫中的故障，并返回到中斷點繼續(xù)程序的執(zhí)行，本次故障測試結(jié)束后恢復(fù)斷 點處的內(nèi)容為正常內(nèi)容。(6)數(shù)據(jù)收集器收集的數(shù)據(jù)以日志的形式存放，既要收集無故障運行時的數(shù)據(jù)作為標(biāo)準(zhǔn)，又要采 集目標(biāo)系統(tǒng)帶故障時的運行數(shù)據(jù)。數(shù)據(jù)收集器需要收集的數(shù)據(jù)包括故障注入前的系統(tǒng)虛 擬內(nèi)存、CPU寄存器、硬盤和內(nèi)存(外部設(shè)備)的等系統(tǒng)狀態(tài)以及故障注入實例、故障注入 的斷點位置、故障注入后的應(yīng)用程序和系統(tǒng)狀態(tài)。Ptrace是GDB的基礎(chǔ)調(diào)試工具，它提供了父進程觀察和控制另一個進程執(zhí)行的機 制，同時提供查詢和修改另一個進程的核心映像與寄存器的能力。主要用于執(zhí)行斷點調(diào)試 和系統(tǒng)調(diào)用跟蹤。在此我們主要使用Ptrace系統(tǒng)調(diào)用來注入故障的和收集數(shù)據(jù)。這種方 法的使用已有先例，如FERRARI就是采用這種方法在Unix系統(tǒng)中注入故障的。Ptrace ()的 系統(tǒng)調(diào)用格式如下#include〈sys/ptrace. h>Long ρtrace(enum_ptrace_request request，pid—t pid，void氺addr，void氺data)使用Ptrace注入故障和收集測試狀態(tài)數(shù)據(jù)的算法如下 (7)安全分析模塊從共享內(nèi)存緩沖區(qū)讀取故障注入器收集的測試數(shù)據(jù)，分析這些數(shù)據(jù)并且結(jié)合與正 常運行時的狀態(tài)數(shù)據(jù)進行比對來確定故障注入對被測程序的影響。(8)環(huán)境恢復(fù)模塊測試前先對客戶機進行簡單備份，這對于虛擬機技術(shù)是很容易實現(xiàn)的，例如Xen 虛擬機，整個客戶操作系統(tǒng)在主機域中是以掛載文件塊設(shè)備的形式存在，這就為客戶操作 系統(tǒng)的備份提供了便利。測試完成或者測試過程出現(xiàn)異常需要恢復(fù)測試系統(tǒng)時就可以使用 Xen中的Restore功能簡單快速實現(xiàn)。如果要恢復(fù)和回滾到特定的系統(tǒng)狀態(tài)則需要系統(tǒng)日 志的協(xié)助來記錄運行時的系統(tǒng)狀態(tài)，這需要故障注入器的擴展功能來實現(xiàn)。之所以采用恢復(fù)和重放整個系統(tǒng)是因為(1)運行注入故障的被測軟件很可能產(chǎn) 生異常，造成測試軟件進入死循環(huán)或者系統(tǒng)崩潰，系統(tǒng)的恢復(fù)比重建測試軟件和環(huán)境更加 高效。(2)測試者對重放足夠多的指令來確定bug的原因比較感興趣。


附圖1是故障注入技術(shù)的總體框架圖，其中功能⑴故障監(jiān)視器包括(5)故障測 試生成器，(6)安全分析模塊，(7)圖形用戶界面，(8)故障數(shù)據(jù)庫，(9)環(huán)境恢復(fù)模塊5部 分，功能(3)故障注入引擎包括(10)配置文件，(11)故障注入器，(12)數(shù)據(jù)收集器。附圖2是基于虛擬機的故障注入方法的實現(xiàn)結(jié)構(gòu)圖。附圖3是共享內(nèi)存緩沖區(qū)的通信方式。附圖2中，(5)故障測試例生成器，(6)安全分析模塊，(7)圖形用戶界面，⑶故 障數(shù)據(jù)庫，(9)環(huán)境恢復(fù)模塊，(14)共享日志緩沖區(qū)管理6個模塊作為虛擬機主機的應(yīng)用程 序而執(zhí)行，(7)圖形用戶界面提供了用戶和故障注入工具的交互途徑，用戶可以輸入?yún)?shù)定 制特殊的測試例，并且從界面查看測試結(jié)果。(10)配置文件，(11)故障注入器，(12)數(shù)據(jù) 收集器，共3個模塊作為虛擬機客戶機的應(yīng)用程序作用于(13)被測試軟件.(14)主機域的 共享內(nèi)存緩沖區(qū)管理(15)共享內(nèi)存緩沖區(qū)(16)客戶域共享內(nèi)存緩沖區(qū)管理3部分負責(zé)兩 個系統(tǒng)間的數(shù)據(jù)通信，既傳送注入命令和故障測試實例，接收故障注入情況和測試收集到 的數(shù)據(jù)。(17)虛擬機是虛擬機的底層實現(xiàn)，負責(zé)硬件和操作系統(tǒng)的中間層，(18)是實際的 物理機器。理想情況下，可以有多臺虛擬機客戶域，這樣主機就可以控制多臺客戶域同時進 行測試，只是涉及的技術(shù)更復(fù)雜。
附圖3中，(14)和(16)作為共享日志緩沖區(qū)的管理模塊，分別管理虛擬機主機和 客戶機傳送到緩沖區(qū)的數(shù)據(jù)，并負責(zé)從緩沖區(qū)接收數(shù)據(jù)傳給相應(yīng)模塊。綜上所述，我們提出的基于虛擬機故障注入方法首先利用靜態(tài)分析檢測程序源碼 并在可能的故障點設(shè)置斷點，在程序運行過程中動態(tài)注入故障，查看應(yīng)用程序在注入故障 的情況下的運行狀況，分析系統(tǒng)狀態(tài)，檢測潛在的脆弱點。同時，此方法的創(chuàng)新在于將故障 注入方法放入虛擬機環(huán)境中，將故障監(jiān)視功能放在具有特權(quán)功能的主機(如Xen虛擬機的 DomainO域)中，故障監(jiān)視器負責(zé)生成故障注入實例并保存到動態(tài)數(shù)據(jù)庫，同時對從虛擬機 客戶機(如Xen虛擬機的DomainU域)收集來的測試數(shù)據(jù)進行分析。測試前主機對客戶機 系統(tǒng)進行簡單備份，并且在運行過程中收集測試數(shù)據(jù)甚至是系統(tǒng)運行狀態(tài)信息，這樣一旦 客戶機系統(tǒng)崩潰，既不會損失系統(tǒng)崩潰時的測試數(shù)據(jù)，同時利用虛擬機的重載機制就能快 速的對測試環(huán)境進行恢復(fù)。虛擬機的備份功能為記錄盡可能多的虛擬機執(zhí)行信息提供了方 便，加以擴展的話還可以實現(xiàn)虛擬機的重放，為測試后的分析提供了更全面的調(diào)試和跟蹤 功能。本測試方法在測試方法靈活性和測試工具的健壯性方面有了提高。
1權(quán)利要求
一種基于虛擬機的故障注入方法，其特征是將故障注入的不同模塊分別設(shè)置在虛擬機的主機和客戶機中，并在兩個操作系統(tǒng)間以共享文件的形式傳輸測試相關(guān)的數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的故障注入方法，其特征是在虛擬機主機中的故障注入包括故 障測試例生成器，安全分析模塊，圖形用戶界面，故障數(shù)據(jù)庫，環(huán)境恢復(fù)模塊等功能模塊，它 們負責(zé)故障測試例的生成和測試結(jié)果的存儲與安全分析。
3.根據(jù)權(quán)利要求1所述的故障注入方法，其特征是在虛擬機客戶機中的故障注入包括 配置文件，故障注入器，數(shù)據(jù)收集器，這3個模塊作為虛擬機客戶機的應(yīng)用程序作用于被測 試軟件，它們負責(zé)針對不同的測試程序注入故障并且收集測試數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的故障注入方法，其特征是使用虛擬機主機域和客戶機域的文 件共享機制和事件機制來傳送測試時產(chǎn)生的數(shù)據(jù)，即傳送注入命令和故障測試實例，接收 故障注入情況和測試收集到的數(shù)據(jù)，由共享內(nèi)存緩沖區(qū)客戶域共享日志緩沖區(qū)管理和主機 域共享日志緩沖區(qū)管理3部分組成。
全文摘要
本發(fā)明提出了一種利用虛擬機來提高軟件故障注入測試性能的方法，本方法利用美國雪城大學(xué)的杜文亮(WENLIANG DU)提出的EAI模型，在應(yīng)用程序和其環(huán)境的交互點注入故障以干擾環(huán)境來測試軟件脆弱性，這樣既能減小與真實故障的語義差異，又能減少測試例數(shù)量，同時將測試工具兩個功能部分分別設(shè)置在虛擬機的主機和客戶機實現(xiàn)，利用虛擬機和客戶機之間的共享文件和虛擬機的備份恢復(fù)機制提高了測試工具的健壯性和靈活性。本方法生成的工具由(10)應(yīng)用程序配置文件，(5)故障測試例生成器，(6)安全分析模塊(7)圖形用戶界面，(9)環(huán)境恢復(fù)模塊(11)故障注入器(12)數(shù)據(jù)收集器組成。其中(13)是被測試的軟件。(14)(15)(16)為了共享測試涉及的數(shù)據(jù)的虛擬機共享內(nèi)存輔助模塊。本方法能夠有效檢測和模擬軟件中的安全漏洞，提高軟件安全性。
文檔編號G06F11/36GK101872323SQ200910116610
公開日2010年10月27日 申請日期2009年4月22日 優(yōu)先權(quán)日2009年4月22日
發(fā)明者尹凱濤, 曾凡平, 李娟 申請人:曾凡平;李娟;尹凱濤