CN116841886B - 一种面向配置缺陷的定向模糊测试方法 - Google Patents

Abstract

本发明公开了一种面向配置缺陷的定向模糊测试方法，目的是解决目前缺陷检测方法准确性有限，测试时间长问题。技术方案为：构建由配置污点分析模块、距离计算模块、配置与距离插桩模块、定向模糊测试模块构成的面向配置缺陷的定向模糊测试系统；配置污点分析模块获取目标配置的影响范围以及配置与程序基本块映射关系集合；距离计算模块计算程序中的每个基本块到目标基本块的距离，得到距离信息集合；配置与距离插桩模块读入待测软件源码、配置与程序基本块映射关系集合以及距离信息集合，对软件源码进行插桩；定向模糊测试模块对插桩后软件中的配置代码定向测试，得到配置缺陷集合。采用本发明能对配置代码进行充分测试，准确性高，测试时间短。

Description

一种面向配置缺陷的定向模糊测试方法

技术领域

本发明涉及大型开源软件中的配置缺陷检测领域，具体涉及一种面向配置缺陷的定向模糊测试方法。

背景技术

随着计算机技术的不断进步，互联网作为连接全球的信息交流平台正以前所未有的速度蓬勃发展，软件也成为人类生活中不可或缺的一部分，涉及各个方面和领域。软件配置是指以用户需求和软件的功能、结构及主要特性等为依据，选择和确定相关硬件、软件型号、版本及数量，规划软件放置位置和关联关系，设置软件相关参数值等。配置作为软件提供的与用户交互的接口，既可控制软件行为，又可管理系统资源分配，具有丰富的灵活性。然而，随着软件系统的不断发展，软件规模和复杂度不断增加，软件提供的配置项数量也越来越多。配置在为用户灵活使用软件带来便利的同时，随之而来的配置故障却导致软件服务失效频发，逐渐引起业界的广泛关注。Google公司的Barroso和通过调研发现，配置缺陷已成为导致Google服务失效的第二大原因，占比达到了近29％。

已有大量工作针对软件配置相关的缺陷检测展开研究，主要分为两类：一是配置功能代码缺陷检测，二是配置故障反应能力缺陷检测。前者主要通过动态或静态程序分析检测配置相关代码中的功能实现缺陷或者性能缺陷，但是无法快速生成大量的测试用例；后者通过提取软件的配置约束，注入配置错误来评估软件对于缺陷的反应能力，提升配置故障诊断的效率。事实上，不仅错误配置会导致软件系统的缺陷，有效的配置也可能暴露隐藏的软件缺陷。前人的工作大多关注错误配置值导致的系统故障，如TianyinXu等人在SOSP2013发表的“Do Not Blame Users for Misconfigurations(不要因为错误配置而责备用户)”，实现了面向软件源码的配置约束自动提取，通过注入违反约束的配置值观察被测程序反应。然而配置相关的软件缺陷大都是由合法值引起的。Sun等人在OSDI2020发表的“Testing Configuration Changes in Context to Prevent Production Failures(测试上下文中的配置更改以防止生产故障)”中研究发现46.3％-61.9％的配置缺陷具有完全合法有效的参数值，有效参数导致的配置缺陷的比例与无效参数导致的配置缺陷比例相似，甚至更高。然而，已有的配置缺陷检测工作缺少针对配置的测试用例，配置项数量众多，和测试用例组合状态空间爆炸，穷尽每一个配置项的每一个取值，并与测试用例组合是不切实际的。所以，配置测试不充分的问题一直存在。

近年来，模糊测试(Fuzzing)已经成为了软件测试领域的一个热门研究方向。模糊测试是一种基于随机输入的自动化测试技术，基本思想是快速生成大量随机输入并用其执行被测程序，监测程序状态，如果程序出现异常行为，如崩溃、断言失败等，就认为发现了一个漏洞。定向模糊测试(Directed Fuzzing)是一种对用户事先指定的程序目标位置高效测试的模糊测试技术，是模糊测试的一个分支，代表工作为M等人在Security2017发表的“Directed Greybox Fuzzing(定向灰盒模糊测试，以下简称背景技术一)”，主要基于模拟退火算法和种子能量调度策略，利用迪杰斯特拉算法计算每个种子到目标的距离，然后随着时间的推移给距离目标更近的种子分配更多的能量,以达到对目标位置充分测试的目的。另一方面，Rui Zhong等人在CCS2020发表的“SQUIRREL:Testing Database ManagementSystems with Language Validity and Coverage Feedback(一种基于语言有效性和覆盖率反馈方法的数据库管理系统测试方法，以下简称背景技术二)”，主要基于Fuzzing测试用例自动生成方法，利用执行测试后的覆盖率反馈生成多种测试用例，使得模糊测试朝着提升代码覆盖率的方向演化。但是由于配置的多样性以及配置代码的复杂性(配置代码即以配置在程序中的初始变量为源头进行污点分析得到的代码)，背景技术二不理解被测程序中的配置代码特征，也无法优先选择经过配置代码的测试用例，导致无法充分覆盖被测程序中配置代码，检测配置缺陷。

综上所述，大型开源软件配置数量多且依赖复杂，是导致缺陷的主要原因之一。如何对被测程序中的配置代码进行充分测试，检测配置缺陷，避免花费大量时间探索配置无关的程序路径，提高测试的准确性，缩短测试时间是本领域技术人员极为关注的技术问题。

发明内容

本发明要解决的技术问题是针对目前配置相关的缺陷检测方法难以快速生成大量测试用例和现有定向模糊测试方法需要花费大量时间探索配置无关程序路径的问题，提供一种面向配置缺陷的定向模糊测试方法。本发明将定向模糊测试框架和配置污点分析进行融合，一方面将污点分析得到的配置代码作为定向模糊测试中的目标，另一方面对目标程序插桩，白盒化配置信息，从而充分测试配置代码，检测出软件中的配置缺陷，避免花费大量时间探索配置无关的程序路径，提高测试的准确性，缩短测试时间。

为解决上述技术问题，本发明的技术方案为：首先，构建面向配置缺陷的定向模糊测试系统，面向配置缺陷的定向模糊测试系统由配置污点分析模块、距离计算模块、配置与距离插桩模块、定向模糊测试模块组成；然后，配置污点分析模块读入待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块；距离计算模块利用MS筛选得到目标基本块集合TBS，计算程序中的每个基本块到目标基本块的距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块；配置与距离插桩模块读入待检测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对软件源码进行插桩，得到插桩后的软件S，将插桩后的软件S发送给定向模糊测试模块。最后，定向模糊测试模块对S中的配置代码进行定向测试，输出配置缺陷集合CS。

本发明包括以下步骤：

第一步，构建面向配置缺陷的定向模糊测试系统，面向配置缺陷的定向模糊测试系统由配置污点分析模块、距离计算模块、配置与距离插桩模块、定向模糊测试模块构成。

配置污点分析模块与距离计算模块、配置与距离插桩模块相连，读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块。

距离计算模块和配置污点分析模块、配置与距离插桩模块相连，从配置污点分析模块接收MS，从MS筛选得到目标基本块集合TBS，根据用户输入的待检测软件源码生成调用图和控制流图，通过迪杰斯特拉算法计算待检测软件源码的每个基本块到目标基本块的距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块。

配置与距离插桩模块和配置污点分析模块、距离计算模块与定向模糊测试模块相连，读入用户输入的待检测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对软件源码进行插桩，得到插桩后的软件S，将S发送给定向模糊测试模块。

定向模糊测试模块和配置与距离插桩模块相连，从配置与距离插桩模块接收S，利用用户提供的初始种子库SP和配置文件，对S中的配置代码进行定向测试，输出配置缺陷集合CS。

第二步，配置污点分析模块读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块，方法是：

2.1配置污点分析模块读入用户输入的待检测软件源码S₀和目标配置集合C，C＝{c₁,c₂,...,c_i,...,c_I}，其中c_i为C中第i个目标配置，c_i是常量字符串，I为C中目标配置的总数，1≤i≤I；

2.2配置污点分析模块使用Confmapper算法(参见Shulin Zhou等人在QRS-C 2016发表的文章《Confmapper:Automated variable finding for configuration items insource code》(一种从软件源码中自动发现配置参数初始变量的方法的第4页)分析S₀，从软件源码S₀中发现配置参数初始变量，得到C中I个目标配置的初始程序变量，由I个目标配置的初始程序变量(简称为I个配置变量)构成配置变量集合VC，VC＝{vc₁,vc₂,...,vc_i,...,vc_I}，其中vc_i为c_i对应的配置变量；

2.3配置污点分析模块使用Marek Chalupa等人在ATVA 2020发表的文章“DG:analysis and slicing of LLVM bitcode(一种基于Low Level Virtual Machine的程序分析和切片方法)”的DG(constructing dependence graphs for program analysis，基于构建依赖图的程序分析)算法，对VC中的配置变量进行污点分析，得到目标配置的影响范围(即污点传播变量在待检测软件源码S₀中的位置)集合R，R＝{R₁,R₂,...,R_i,...,R_I},其中Ri为c_i的影响范围集合，R_i＝{r₁,r₂,…,r_ni,…,r_Ni}，其中r_ni为R_i中第n_i个污点传播变量在待检测软件源码S₀中的位置，N_i为影响范围集合R_i中元素的个数，1≤n_i≤N_i；

2.4配置污点分析模块定位R中r_ni所在S₀的程序基本块位置(程序基本块是顺序执行的指令序列，每个程序基本块只有一个入口和一个出口，入口就是其中的第—条指令，出口就是其中的最后一条指令)，得到目标配置与程序基本块映射关系集合MS，MS＝{MS₁,MS₂,...,MS_i,...,MS_I},其中MS_i为c_i的映射关系集合，c_i与MS_i中的元素具有一对多的映射关系，MS_i＝{ms₁,ms₂,...,ms_ni,...,ms_Ni}，ms_ni为c_i映射的第n_i个程序基本块，方法为：

2.4.1初始化变量i＝1；

2.4.2初始化变量n_i＝1；

2.4.3初始化

2.4.4定位r_ni在S₀中的位置，找到r_ni所在程序基本块的第一条指令Inst，以Inst所在的文件名和行号ms_ni表示该程序基本块；

2.4.5将ms_ni加入MS_i；

2.4.6令n_i＝n_i+1，如果n_i≤N_i，转2.4.4；如果n_i>N_i，令n_i＝1，令i＝i+1，转2.4.7；

2.4.7如果i≤I，转2.4.3；如果i>I，说明c_i映射的程序基本块均已放到MS中，转2.5；

2.5将MS发送给距离计算模块和配置与距离插桩模块。

第三步，距离计算模块从配置污点分析模块接收MS，从MS中筛选得到目标基本块集合TBS，并根据用户输入的待测软件源码生成调用图和控制流图，采用迪杰斯特拉算法计算待测软件源码的每个基本块到目标基本块的最短距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块，方法是：

3.1距离计算模块从配置污点分析模块接收MS，从MS中筛选控制软件资源分配的配置(例如buffer size、cache size、timeout等，这类配置往往更容易引发内存错误)对应的程序基本块，令这些程序基本块为目标基本块，得到目标基本块集合TBS，其中TBS＝{tbs₁,tbs₂,…,tbs_m,…,tbs_M}，M为TBS中目标基本块个数，tbs_m为TBS中第m个目标基本块，1≤m≤M；

3.2距离计算模块使用Low Level Virtual Machine(LLVM)框架(10.0.0版本及以上，后续所涉及的(LLVM)框架版本号相同)中的ModulePass工具分析被检测软件源码S₀，得到S₀中所有程序基本块集合BB，BB＝{bb₁,bb₂,...,bb_t,...bb_T}，T为BB中程序基本块个数，bb_t为BB中第t个程序基本块，1≤t≤T；

3.3距离计算模块使用LLVM框架中的OptPass工具分析被检测软件源码S₀，得到函数调用图CG和控制流图CFG；

3.4距离计算模块根据CG和CFG，对BB中所有程序基本块到TBS中目标基本块的距离进行计算，得到距离信息集合DS，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，其中ds_t为一个二元组，ds_t＝[bb_t，d_t]，bb_t为BB中第t个程序基本块，d_t为bb_t到TBS的距离，T为距离信息集合DS中元素的个数，1≤t≤T,方法是：

3.4.1初始化变量t＝1，m＝1；

3.4.2初始化距离信息集合

3.4.3初始化存放bb_t到tbs_m的距离集合

3.4.4使用迪杰斯特拉算法计算bb_t到tbs_m的距离d_m'，将d_m'放进D'；

3.4.5令m＝m+1，如果m≤M，转3.4.4；如果m>M，计算bb_t到TBS的距离d_t，d_t＝D'中所有元素的平均值，转3.4.6；

3.4.6将d_t和bb_t组合成二元组ds_t，ds_t＝[bb_t，d_t]，将ds_t加入DS中；

3.4.7令t＝t+1，如果t≤T，转3.4.3；如果t>T，说明距离信息集合DS构建完毕，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，转3.5；

3.5将距离信息集合DS发送给配置与距离插桩模块。

第四步：配置与距离插桩模块读入用户输入的待测软件源码从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对S₀进行插桩，得到插桩后的待检测软件S，将S发送给定向模糊测试模块，方法是：

4.1配置与距离插桩模块根据DS对S₀插桩，得到第一次插桩后的待检测软件S1，方法是：

4.1.1初始化变量t＝1；

4.1.2使用LLVM框架的ModulePass工具分析被检测软件源码S₀，得到ds_t中的bb_t在S₀中的位置loc_t；

4.1.3从ds_t中获取bb_t对应的d_t；

4.1.4使用LLVM框架的IRBuilder接口在loc_t处插入存储d_t值到共享内存中的Store指令，简称第一值存储指令(通过这种方式可以在S1运行时获得bb_t到TBS的距离信息)；

4.1.5令t＝t+1，如果t≤T，转4.1.2；如果t>T，说明DS中的所有程序基本块到TBS的距离信息插桩完毕，得到第一次插桩后的待检测软件S1，转4.2；

4.2配置与距离插桩模块根据MS对S1插桩，得到插桩后的待检测软件S，方法是：

4.2.1初始化变量i＝1；

4.2.2初始化变量n_i＝1；

4.2.3使用LLVM框架的ModulePass工具分析S1，得到ms_ni在S1中的位置loc_ni；

4.2.4使用LLVM框架的IRBuilder接口在loc_ni处插入存储c_i到共享内存中的Store指令，简称第二值存储指令(通过这种方式可以在S运行时获得c_i信息)；

4.2.5令n_i＝n_i+1，如果n_i≤N_i，转4.2.3；如果n_i>N_i，转4.2.6；

4.2.6令i＝i+1，如果i≤I，转4.2.2；如果i>I，说明根据MS对S1插桩完毕，得到第二次插桩后的待检测软件S，转4.3；

4.3将插桩后的软件S发送给给定向模糊测试模块。

第五步：定向模糊测试模块根据种子选择策略赋予经过配置代码的种子(模糊测试领域中，种子代表测试用例)最高的优先级，根据能量调度策略给距离配置代码更近的种子分配更多的突变(对测试用例进行随机的比特翻转和字节替换)次数，检测目标软件的配置缺陷，方法是：

5.1定向模糊测试模块从配置与距离插桩模块接收插桩后的待检测软件S；

5.2定向模糊测试模块利用用户提供的初始种子库SP(初始种子库中包含了用户提供的初始测试用例，以文件的形式保存)生成初始种子队列Q，SP＝{sp₁,sp₂,...,sp_j,...sp_J}，其中sp_j为初始种子库中第j个种子，J为SP中初始种子的个数，1≤j≤J，方法是：

5.2.1初始化变量j＝1；

5.2.2初始化种子队列

5.2.3将种子sp_j发送给插桩后的待检测软件S；

5.2.4从用户提供的配置文件中获取用户定义的最大尺寸MaxSize，用户定义的最大时长MaxT；

5.2.5判断sp_j文件大小是否超过MaxSize，如果是，说明sp_j会影响模糊测试运行时的种子执行速度，令j＝j+1,转5.2.3；如果否，转5.2.6；

5.2.6判断种子sp_j执行时间是否超过MaxT，如果是，说明sp_j会导致S挂起，令j＝j+1,转5.2.3；如果否，转5.2.7；

5.2.7判断种子sp_j是否会导致软件S的崩溃(根据操作系统发出的信号SIGKILL进行判断，SIGKILL表示终结进程)，如果是，说明sp_j会带来安全隐患，令j＝j+1,转5.2.3；如果否，说明sp_j是一个安全的种子，转5.2.8；

5.2.8令种子队列Q中第z个种子q_z＝sp_j，将q_z加入初始种子队列Q；

5.2.9若j＝J，说明初始种子库中的所有种子处理完毕，得到了种子队列Q，Q＝{q₁,q₂,...,q_z,...q_Z}，Z为Q中种子的个数，1≤Z≤J，1≤z≤Z，转5.3，否则，令j＝j+1，转5.2.3；

5.3定向模糊测试模块根据种子执行路径上是否含有配置相关基本块(即MS中的程序基本块)对Q进行选择，得到种子优先级队列Q'，Q'＝{qq₁,qq₂,...,qq_k,...q_K}，qq_k为Q'中第k个种子，K为Q'中种子的个数，1≤k≤K，1≤K≤Z，然后从Q'中顺序选择一个种子进行模糊测试，方法是：

5.3.1初始化变量z＝1；

5.3.2初始化优先级队列

5.3.3将种子q_z发送给插桩后的待检测软件S试运行；

5.3.4根据插桩信息判断种子q_z的执行路径上是否含有配置相关基本块，如果是，令Q'中第k个种子qq_k＝q_z，将qq_k加入种子优先级队列Q'，Q'中的种子将会被定向模糊测试模块优先选择，令z＝z+1，转5.3.5；否则，说明种子q_z与配置无关，直接转5.3.5；

5.3.5若z＝Z，说明Q中所有执行路径上含有配置相关基本块的种子均已放入Q'中，转5.4；否则，令z＝z+1，转5.3.3；

5.4定向模糊测试模块从Q'中选择种子，为选择好的种子分配突变次数E，然后根据种子突变策略对选择的种子进行突变，突变得到的新种子如果覆盖了插桩后的待检测软件S新的代码段，则将新种子加入到种子队列Q中去，方法是：

5.4.1初始化变量k＝1；

5.4.2从Q'中选择种子qq_k；

5.4.3定向模糊测试模块使用Marcel等人在CCS 2017发表的文章“DirectedGreybox Fuzzing(定向灰盒模糊测试)”中的模拟退火算法根据qq_k到TBS距离(根据DS对S₀插桩后在S运行时获得bb_t到TBS的距离信息，计算qq_k执行路径上经过的程序基本块到TBS的距离之和作为qq_k到TBS距离)，计算得到qq_k的突变次数E；

5.4.4对qq_k突变E次，得到新种子集合Q_k”，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，qq_e'为Q_k”'中第e个新种子，E为Q_k”中新种子的个数，1≤e≤E，方法是：

5.4.4.1初始化变量e＝1；

5.4.4.2初始化新种子集合

5.4.4.3定向模糊测试模块使用Rui Zhong等人在CCS2020发表的文章“SQUIRREL:Testing Database Management Systems with Language Validity and CoverageFeedback(一种基于语言有效性和覆盖率反馈方法的数据库管理系统测试方法)”中的种子突变策略对qq_k进行突变生成新种子qq_e'，将qq_e'加入到Q_k”中去；

5.4.4.4令e＝e+1，如果e≤E，转5.4.4.3；如果e>E，说明对qq_k突变E次得到E个新种子均已加入Q_k”中去，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，转5.4.5；

5.4.5把Q_k”中的所有新种子(即qq₁',qq₂',...,qq_e',...qq_E')喂给S执行，将Q_k”中覆盖了S中新的代码段的新种子加入到种子队列Q中去，将Q”中导致S崩溃或者挂起的新种子加入到CS中，方法是：

5.4.5.1初始化变量e＝1；

5.4.5.2将qq_e'喂给S执行，如果qq_e'覆盖了S中新的代码段(之前的种子没覆盖的代码段)，则将qq_e'加入到种子队列Q中去；如果qq_e'执行导致S崩溃(根据操作系统发出的信号SIGKILL进行判断)或者挂起(根据种子执行时间是否超过MaxT)，则将qq_e'加入到CS中去；

5.4.5.3令e＝e+1，如果e≤E，转5.4.5.2；如果e>E，说明Q_k”中所有覆盖了S中新的代码段的种子均已加入Q中去，转5.4.6；

5.4.6令k＝k+1，如果k≤K，转5.4.2；如果k>K且测试时间小于24小时，说明Q'中所有种子均已突变完毕但测试时间未满足用户要求，转5.3重新选择优先级队列Q'进行下一轮的模糊测试；如果k>K且测试时间大于等于24小时，说明测试时间满足用户要求，输出CS(CS中存放的是触发配置缺陷的测试用例集合，即配置缺陷集合)。

与现有技术相比，采用本发明能达到以下有益效果：

1、采用本发明能对被测软件中的配置代码进行充分测试。采用本发明在3款开源流行软件MySQL、PostgreSQL、SQLite中进行配置污点分析得到配置相关基本块的测试集，本发明对配置相关基本块的覆盖率能够达到42.9％。而已有工作(背景技术二)(Rui Zhong等人在CCS 2020发表的“Squirrel:Testing Database Management Systems withLanguage Validity and Coverage Feedback”用语言有效性和覆盖率反馈测试数据库管理系统)仅能达到35.4％的覆盖率。

2、采用本发明能为软件社区检测出2个新的配置缺陷，并上报软件社区反馈给开发者确认，防止了潜在的因软件配置缺陷可能导致的经济、用户损失。其中，为MySQL社区检测出2个新缺陷(缺陷ID为MySQL-110730，MySQL-110956)。

3.本发明在5.4.3步给距离配置相关基本块更近的种子分配更多的突变次数，使得定向模糊测试模块不需要花费大量时间探索配置无关程序路径，相比背景技术二缩短了测试时间。

附图说明

图1是本发明的总体流程图；

图2是本发明第一步构建的面向配置缺陷的定向模糊测试系统的逻辑结构图。

具体实施方式

下面结合附图对本发明进行说明。

如图1所示，本发明包括以下步骤：

第一步，构建面向配置缺陷的定向模糊测试系统，面向配置缺陷的定向模糊测试系统如图2所示，由配置污点分析模块、距离计算模块、配置与距离插桩模块、定向模糊测试模块组成。

配置污点分析模块与距离计算模块、配置与距离插桩模块相连，读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块。

距离计算模块和配置污点分析模块、配置与距离插桩模块相连，从配置污点分析模块接收MS，从MS筛选得到目标基本块集合TBS，根据用户输入的待检测软件源码生成调用图和控制流图，通过迪杰斯特拉算法计算待检测软件源码的每个基本块到目标基本块的距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块。

配置与距离插桩模块和配置污点分析模块、距离计算模块与定向模糊测试模块相连，读入用户输入的待检测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对软件源码进行插桩，得到插桩后的软件S，将S发送给定向模糊测试模块。

定向模糊测试模块和配置与距离插桩模块相连，从配置与距离插桩模块接收S，利用用户提供的初始种子库SP和配置文件，对S中的配置代码进行定向测试，输出配置缺陷集合CS。

第二步，配置污点分析模块读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块，方法是：

2.1配置污点分析模块读入用户输入的待检测软件源码S₀和目标配置集合C，C＝{c₁,c₂,...,c_i,...,c_I}，其中c_i为C中第i个目标配置，c_i是常量字符串，I为C中目标配置的总数，1≤i≤I；

2.2配置污点分析模块使用Confmapper算法(参见Shulin Zhou等人在QRS-C 2016发表的文章《Confmapper:Automated variable finding for configuration items insource code》(一种从软件源码中自动发现配置参数初始变量的方法的第4页)分析S₀，从软件源码S₀中发现配置参数初始变量，得到C中I个目标配置的初始程序变量，由I个目标配置的初始程序变量(简称为I个配置变量)构成配置变量集合VC，VC＝{vc₁,vc₂,...,vc_i,...,vc_I}，其中vc_i为c_i对应的配置变量；

2.3配置污点分析模块使用Marek Chalupa等人在ATVA 2020发表的文章“DG:analysis and slicing of LLVM bitcode(一种基于Low Level Virtual Machine的程序分析和切片方法)”的DG(constructing dependence graphs for program analysis，基于构建依赖图的程序分析)算法，对VC中的配置变量进行污点分析，得到目标配置的影响范围(即污点传播变量在待检测软件源码S₀中的位置)集合R，R＝{R₁,R₂,...,R_i,...,R_I},其中Ri为c_i的影响范围集合，R_i＝{r₁,r₂,…,r_ni,…,r_Ni}，其中r_ni为R_i中第n_i个污点传播变量在待检测软件源码S₀中的位置，N_i为影响范围集合R_i中元素的个数，1≤n_i≤N_i；

2.4配置污点分析模块定位R中r_ni所在S₀的程序基本块位置(程序基本块是顺序执行的指令序列，每个程序基本块只有一个入口和一个出口，入口就是其中的第—条指令，出口就是其中的最后一条指令)，得到目标配置与程序基本块映射关系集合MS，MS＝{MS₁,MS₂,...,MS_i,...,MS_I},其中MS_i为c_i的映射关系集合，c_i与MS_i中的元素具有一对多的映射关系，MS_i＝{ms₁,ms₂,...,ms_ni,...,ms_Ni}，ms_ni为c_i映射的第n_i个程序基本块，方法为：

2.4.1初始化变量i＝1；

2.4.2初始化变量n_i＝1；

2.4.3初始化

2.4.4定位r_ni在S₀中的位置，找到r_ni所在程序基本块的第一条指令Inst，以Inst所在的文件名和行号ms_ni表示该程序基本块；

2.4.5将ms_ni加入MS_i；

2.4.6令n_i＝n_i+1，如果n_i≤N_i，转2.4.4；如果n_i>N_i，令n_i＝1，令i＝i+1，转2.4.7；

2.4.7如果i≤I，转2.4.3；如果i>I，说明c_i映射的程序基本块均已放到MS中，转2.5；

2.5将MS发送给距离计算模块和配置与距离插桩模块。

第三步，距离计算模块从配置污点分析模块接收MS，从MS中筛选得到目标基本块集合TBS，并根据用户输入的待测软件源码生成调用图和控制流图，采用迪杰斯特拉算法计算待测软件源码的每个基本块到目标基本块的最短距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块，方法是：

3.1距离计算模块从配置污点分析模块接收MS，从MS中筛选控制软件资源分配的配置(例如buffer size、cache size、timeout等，这类配置往往更容易引发内存错误)对应的程序基本块，令这些程序基本块为目标基本块，得到目标基本块集合TBS，其中TBS＝{tbs₁,tbs₂,…,tbs_m,…,tbs_M}，M为TBS中目标基本块个数，tbs_m为TBS中第m个目标基本块，1≤m≤M；

3.2距离计算模块使用Low Level Virtual Machine(LLVM)框架(10.0.0版本及以上，后续所涉及的(LLVM)框架版本号相同)中的ModulePass工具分析被检测软件源码S₀，得到S₀中所有程序基本块集合BB，BB＝{bb₁,bb₂,...,bb_t,...bb_T}，T为BB中程序基本块个数，bb_t为BB中第t个程序基本块，1≤t≤T；

3.3距离计算模块使用LLVM框架中的OptPass工具分析被检测软件源码S₀，得到函数调用图CG和控制流图CFG；

3.4距离计算模块根据CG和CFG，对BB中所有程序基本块到TBS中目标基本块的距离进行计算，得到距离信息集合DS，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，其中ds_t为一个二元组，ds_t＝[bb_t，d_t]，bb_t为BB中第t个程序基本块，d_t为bb_t到TBS的距离，T为距离信息集合DS中元素的个数，1≤t≤T,方法是：

3.4.1初始化变量t＝1，m＝1；

3.4.2初始化距离信息集合

3.4.3初始化存放bb_t到tbs_m的距离集合

3.4.4使用迪杰斯特拉算法计算bb_t到tbs_m的距离d_m'，将d_m'放进D'；

3.4.5令m＝m+1，如果m≤M，转3.4.4；如果m>M，计算bb_t到TBS的距离d_t，d_t＝D'中所有元素的平均值，转3.4.6；

3.4.6将d_t和bb_t组合成二元组ds_t，ds_t＝[bb_t，d_t]，将ds_t加入DS中；

3.4.7令t＝t+1，如果t≤T，转3.4.3；如果t>T，说明距离信息集合DS构建完毕，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，转3.5；

3.5将距离信息集合DS发送给配置与距离插桩模块。

第四步：配置与距离插桩模块读入用户输入的待测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对S₀进行插桩，得到插桩后的待检测软件S，将S发送给定向模糊测试模块，方法是：

4.1配置与距离插桩模块根据DS对S₀插桩，得到第一次插桩后的待检测软件S1，方法是：

4.1.1初始化变量t＝1；

4.1.2使用LLVM框架的ModulePass工具分析被检测软件源码S₀，得到ds_t中的bb_t在S₀中的位置loc_t；

4.1.3从ds_t中获取bb_t对应的d_t；

4.1.4使用LLVM框架的IRBuilder接口在loc_t处插入存储d_t值到共享内存中的Store指令，简称第一值存储指令(通过这种方式可以在S1运行时获得bb_t到TBS的距离信息)；

4.1.5令t＝t+1，如果t≤T，转4.1.2；如果t>T，说明DS中的所有程序基本块到TBS的距离信息插桩完毕，得到第一次插桩后的待检测软件S1，转4.2；

4.2配置与距离插桩模块根据MS对S1插桩，得到插桩后的待检测软件S，方法是：

4.2.1初始化变量i＝1；

4.2.2初始化变量n_i＝1；

4.2.3使用LLVM框架的ModulePass工具分析S1，得到ms_ni在S1中的位置loc_ni；

4.2.4使用LLVM框架的IRBuilder接口在loc_ni处插入存储c_i到共享内存中的Store指令，简称第二值存储指令(通过这种方式可以在S运行时获得c_i信息)；

4.2.5令n_i＝n_i+1，如果n_i≤N_i，转4.2.3；如果n_i>N_i，转4.2.6；

4.2.6令i＝i+1，如果i≤I，转4.2.2；如果i>I，说明根据MS对S1插桩完毕，得到第二次插桩后的待检测软件S，转4.3；

4.3将插桩后的软件S发送给给定向模糊测试模块。

第五步：定向模糊测试模块根据种子选择策略赋予经过配置代码的种子(模糊测试领域中，种子代表测试用例)最高的优先级，根据能量调度策略给距离配置代码更近的种子分配更多的突变(对测试用例进行随机的比特翻转和字节替换)次数，检测目标软件的配置缺陷，方法是：

5.1定向模糊测试模块从配置与距离插桩模块接收插桩后的待检测软件S；

5.2定向模糊测试模块利用用户提供的初始种子库SP(初始种子库中包含了用户提供的初始测试用例，以文件的形式保存)生成初始种子队列Q，SP＝{sp₁,sp₂,...,sp_j,...sp_J}，其中sp_j为初始种子库中第j个种子，J为SP中初始种子的个数，1≤j≤J，方法是：

5.2.1初始化变量j＝1；

5.2.2初始化种子队列

5.2.3将种子sp_j发送给插桩后的待检测软件S；

5.2.4从用户提供的配置文件中获取用户定义的最大尺寸MaxSize，用户定义的最大时长MaxT；

5.2.5判断sp_j文件大小是否超过MaxSize，如果是，说明sp_j会影响模糊测试运行时的种子执行速度，令j＝j+1,转5.2.3，如果否，转5.2.6；

5.2.6判断种子sp_j执行时间是否超过MaxT，如果是，说明sp_j会导致S挂起，令j＝j+1,转5.2.3；如果否，转5.2.7；

5.2.7判断种子sp_j是否会导致软件S的崩溃(根据操作系统发出的信号SIGKILL进行判断)，如果是，说明sp_j会带来安全隐患，令j＝j+1,转5.2.3；如果否，说明sp_j是一个安全的种子，转5.2.8；

5.2.8令种子队列Q中第z个种子q_z＝sp_j，将q_z加入初始种子队列Q；

5.2.9若j＝J，说明初始种子库中的所有种子处理完毕，得到了种子队列Q，Q＝{q₁,q₂,...,q_z,...q_Z}，Z为Q中种子的个数，1≤Z≤J，1≤z≤Z，转5.3，否则，令j＝j+1，转5.2.3；

5.3定向模糊测试模块根据种子执行路径上是否含有配置相关基本块(即MS中的程序基本块)对Q进行选择，得到种子优先级队列Q'，Q'＝{qq₁,qq₂,...,qq_k,...q_K}，qq_k为Q'中第k个种子，K为Q'中种子的个数，1≤k≤K，1≤K≤Z，然后从Q'中顺序选择一个种子进行模糊测试，方法是：

5.3.1初始化变量z＝1；

5.3.2初始化优先级队列

5.3.3将种子q_z发送给插桩后的待检测软件S试运行；

5.3.4根据插桩信息判断种子q_z的执行路径上是否含有配置相关基本块，如果是，令Q'中第k个种子qq_k＝q_z，将qq_k加入种子优先级队列Q'，Q'中的种子将会被定向模糊测试模块优先选择，令z＝z+1，转5.3.5；否则，说明种子q_z与配置无关，直接转5.3.5；

5.3.5若z＝Z，说明Q中所有执行路径上含有配置相关基本块的种子均已放入Q'中，转5.4；否则，令z＝z+1，转5.3.3；

5.4定向模糊测试模块从Q'中选择种子，为选择好的种子分配突变次数E，然后根据种子突变策略对选择的种子进行突变，突变得到的新种子如果覆盖了插桩后的待检测软件S新的代码段，则将新种子加入到种子队列Q中去，方法是：

5.4.1初始化变量k＝1；

5.4.2从Q'中选择种子qq_k；

5.4.3定向模糊测试模块使用Marcel等人在CCS 2017发表的文章“DirectedGreybox Fuzzing(定向灰盒模糊测试)”中的模拟退火算法根据qq_k到TBS距离(根据DS对S₀插桩后在S运行时获得bb_t到TBS的距离信息，计算qq_k执行路径上经过的程序基本块到TBS的距离之和作为qq_k到TBS距离)，计算得到qq_k的突变次数E；

5.4.4对qq_k突变E次，得到新种子集合Q_k”，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，qq_e'为Q_k”'中第e个新种子，E为Q_k”中新种子的个数，1≤e≤E，方法是：

5.4.4.1初始化变量e＝1；

5.4.4.2初始化新种子集合

5.4.4.3定向模糊测试模块使用Rui Zhong等人在CCS2020发表的文章“SQUIRREL:Testing Database Management Systems with Language Validity and CoverageFeedback(一种基于语言有效性和覆盖率反馈方法的数据库管理系统测试方法)”中的种子突变策略对qq_k进行突变生成新种子qq_e'，将qq_e'加入到Q_k”中去；

5.4.4.4令e＝e+1，如果e≤E，转5.4.4.3；如果e>E，说明对qq_k突变E次得到E个新种子均已加入Q_k”中去，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，转5.4.5；

5.4.5把Q_k”中的所有新种子(即qq₁',qq₂',...,qq_e',...qq_E')喂给S执行，将Q_k”中覆盖了S中新的代码段的新种子加入到种子队列Q中去，将Q”中导致S崩溃或者挂起的新种子加入到CS中，方法是：

5.4.5.1初始化变量e＝1；

5.4.5.2将qq_e'喂给S执行，如果qq_e'覆盖了S中新的代码段(之前的种子没覆盖的代码段)，则将qq_e'加入到种子队列Q中去；如果qq_e'执行导致S崩溃(根据操作系统发出的信号SIGKILL进行判断)或者挂起(根据种子执行时间是否超过MaxT)，则将qq_e'加入到CS中去；

5.4.5.3令e＝e+1，如果e≤E，转5.4.5.2；如果e>E，说明Q_k”中所有覆盖了S中新的代码段的种子均已加入Q中去，转5.4.6；

5.4.6令k＝k+1，如果k≤K，转5.4.2；如果k>K且测试时间小于24小时，说明Q'中所有种子均已突变完毕但测试时间未满足用户要求，转5.3重新选择优先级队列Q'进行下一轮的模糊测试；如果k>K且测试时间大于等于24小时，说明测试时间满足用户要求，输出CS(CS中存放的是触发配置缺陷的测试用例集合，即配置缺陷集合)。

为了验证本发明检测配置缺陷问题的效果，在一台Ubuntu18.04操作系统，搭载8核Intel Core i7-9700K,32GB内存的计算机上开展本发明与背景技术中的Squirrel的对比实验(Squirrel为Rui Zhong等人在CCS2020发表的“SQUIRREL:Testing DatabaseManagement Systems with Language Validity and Coverage Feedback中设计的工具)，Ubuntu18.04操作系统的内核版本为5.8.0，软件环境为LLVM10.0.0+python3.8，主要编码语言为C++语言。实验选择MySQL、PostgreSQL、SQLite三款软件作为目标软件进行评估。由于本发明检测的数据库配置缺陷问题是一种新型的缺陷问题，目前没有专门进行检测的技术，故本发明与数据库缺陷检测问题的最前沿技术Squirrel(背景技术二)进行比较，结果如表1所示，实验证明，本发明与背景技术二相比，在执行相同的运行时间下，可检测出更多的配置缺陷。其中本发明检测出2个数据库配置缺陷，背景技术二没有检测出配置缺陷，说明本发明比背景技术二的检测有效性和检测效率更高。

表1.本发明与背景技术二的检测配置缺陷能力对比

/>

Claims (9)

1.一种面向配置缺陷的定向模糊测试方法，其特征在于包括以下步骤：

第一步，构建面向配置缺陷的定向模糊测试系统，面向配置缺陷的定向模糊测试系统由配置污点分析模块、距离计算模块、配置与距离插桩模块、定向模糊测试模块构成；

配置污点分析模块与距离计算模块、配置与距离插桩模块相连，读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块；

距离计算模块和配置污点分析模块、配置与距离插桩模块相连，从配置污点分析模块接收MS，从MS筛选得到目标基本块集合TBS，根据用户输入的待检测软件源码生成调用图和控制流图，通过迪杰斯特拉算法计算待检测软件源码的每个基本块到目标基本块的距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块；

配置与距离插桩模块和配置污点分析模块、距离计算模块与定向模糊测试模块相连，读入用户输入的待检测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对软件源码进行插桩，得到插桩后的软件S，将S发送给定向模糊测试模块；

定向模糊测试模块和配置与距离插桩模块相连，从配置与距离插桩模块接收S，利用用户提供的初始种子库SP和配置文件，对S中的配置代码进行定向测试，输出配置缺陷集合CS；

第二步，配置污点分析模块读取用户输入的待检测软件源码和目标配置集合，对待检测软件源码和目标配置集合进行污点分析，得到目标配置集合中所有目标配置的影响范围以及配置与程序基本块映射关系集合MS，将MS发送给距离计算模块和配置与距离插桩模块，方法是：

2.1配置污点分析模块读入用户输入的待检测软件源码S₀和目标配置集合C，C＝{c₁,c₂,...,c_i,...,c_I}，其中c_i为C中第i个目标配置，c_i是常量字符串，I为C中目标配置的总数，1≤i≤I；

2.2配置污点分析模块使用Confmapper算法分析S₀，从S₀中发现配置参数初始变量，得到C中I个目标配置的初始程序变量，由I个目标配置的初始程序变量即I个配置变量构成配置变量集合VC，VC＝{vc₁,vc₂,...,vc_i,...,vc_I}，其中vc_i为c_i对应的配置变量；

2.3配置污点分析模块使用DG算法，对VC中的配置变量进行污点分析，得到目标配置的影响范围即污点传播变量在待检测软件源码S₀中的位置集合R，R＝{R₁,R₂,...,R_i,...,R_I},其中Ri为c_i的影响范围集合，R_i＝{r₁,r₂,…,r_ni,…,r_Ni}，其中r_ni为R_i中第n_i个污点传播变量在待检测软件源码S₀中的位置，N_i为影响范围集合R_i中元素的个数，1≤n_i≤N_i；

2.4配置污点分析模块定位R中r_ni所在S₀的程序基本块位置，得到目标配置与程序基本块映射关系集合MS，MS＝{MS₁,MS₂,...,MS_i,...,MS_I},其中MS_i为c_i的映射关系集合，c_i与MS_i中的元素具有一对多的映射关系，MS_i＝{ms₁,ms₂,...,ms_ni,...,ms_Ni}，ms_ni为c_i映射的第n_i个程序基本块；

2.5将MS发送给距离计算模块和配置与距离插桩模块；

第三步，距离计算模块从配置污点分析模块接收MS，从MS筛选得到目标基本块集合TBS，并根据用户输入的待测软件源码生成调用图和控制流图，采用迪杰斯特拉算法计算待测软件源码的每个基本块到目标基本块的最短距离，得到距离信息集合DS，将DS发送给配置与距离插桩模块，方法是：

3.1距离计算模块从配置污点分析模块接收MS，从MS中筛选控制软件资源分配的配置对应的程序基本块，令这些程序基本块为目标基本块，得到目标基本块集合TBS，其中TBS＝{tbs₁,tbs₂,…,tbs_m,…,tbs_M}，M为TBS中目标基本块个数，tbs_m为TBS中第m个目标基本块，1≤m≤M；

3.2距离计算模块使用LLVM框架中的ModulePass工具分析被检测软件源码S₀，得到S₀中所有程序基本块集合BB，BB＝{bb₁,bb₂,...,bb_t,...bb_T}，T为BB中程序基本块个数，bb_t为BB中第t个程序基本块，1≤t≤T；

3.3距离计算模块使用LLVM框架中的OptPass工具分析被检测软件源码S₀，得到函数调用图CG和控制流图CFG；

3.4距离计算模块根据CG和CFG，对BB中所有程序基本块到TBS中目标基本块的距离进行计算，得到距离信息集合DS，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，其中ds_t为一个二元组，ds_t＝[bb_t，d_t]，bb_t为BB中第t个程序基本块，d_t为bb_t到TBS的距离，T为距离信息集合DS中元素的个数，1≤t≤T；

3.5将距离信息集合DS发送给配置与距离插桩模块；

第四步：配置与距离插桩模块读入用户输入的待测软件源码，从配置污点分析模块接收MS，从距离计算模块接收DS，根据MS和DS对S₀进行插桩，得到插桩后的待检测软件S，将S发送给定向模糊测试模块，方法是：

4.1配置与距离插桩模块根据DS对S₀插桩，得到第一次插桩后的待检测软件S1，方法是：

4.1.1初始化变量t＝1；

4.1.2使用LLVM框架的ModulePass工具分析被检测软件源码S₀，得到ds_t中的bb_t在S₀中的位置loc_t；

4.1.3从ds_t中获取bb_t对应的d_t；

4.1.4使用LLVM框架的IRBuilder接口在loc_t处插入存储d_t值到共享内存中的Store指令，简称第一值存储指令；

4.1.5令t＝t+1，如果t≤T，转4.1.2；如果t>T，说明DS中的所有程序基本块到TBS的距离信息插桩完毕，得到第一次插桩后的待检测软件S1，转4.2；

4.2配置与距离插桩模块根据MS对S1插桩，得到插桩后的待检测软件S，方法是：

4.2.1初始化变量i＝1；

4.2.2初始化变量n_i＝1；

4.2.3使用LLVM框架的ModulePass工具分析S1，得到ms_ni在S1中的位置loc_ni；

4.2.4使用LLVM框架的IRBuilder接口在loc_ni处插入存储c_i到共享内存中的Store指令，简称第二值存储指令；

4.2.5令n_i＝n_i+1，如果n_i≤N_i，转4.2.3；如果n_i>N_i，转4.2.6；

4.2.6令i＝i+1，如果i≤I，转4.2.2；如果i>I，说明根据MS对S1插桩完毕，得到第二次插桩后的待检测软件S，转4.3；

4.3将插桩后的软件S发送给给定向模糊测试模块；

第五步：定向模糊测试模块根据种子选择策略赋予经过配置代码的种子最高的优先级，根据能量调度策略给距离配置代码更近的种子分配更多的突变次数，检测目标软件的配置缺陷，方法是：

5.1定向模糊测试模块从配置与距离插桩模块接收插桩后的待检测软件S；

5.2定向模糊测试模块利用用户提供的初始种子库SP生成初始种子队列Q，SP＝{sp₁,sp₂,...,sp_j,...sp_J}，其中sp_j为初始种子库中第j个种子，J为SP中初始种子的个数，1≤j≤J，方法是：

5.2.1初始化变量j＝1；

5.2.2初始化种子队列

5.2.3将种子sp_j发送给插桩后的待检测软件S；

5.2.4从用户提供的配置文件中获取用户定义的最大尺寸MaxSize，用户定义的最大时长MaxT；

5.2.5判断sp_j文件大小是否超过MaxSize，如果是，说明sp_j会影响模糊测试运行时的种子执行速度，令j＝j+1,转5.2.3；如果否，转5.2.6；

5.2.6判断种子sp_j执行时间是否超过MaxT，如果是，说明sp_j会导致S挂起，令j＝j+1,转5.2.3；如果否，转5.2.7；

5.2.7判断种子sp_j是否会导致软件S的崩溃，如果是，说明sp_j会带来安全隐患，令j＝j+1,转5.2.3；如果否，说明sp_j是一个安全的种子，转5.2.8；

5.2.8令种子队列Q中第z个种子q_z＝sp_j，将q_z加入初始种子队列Q；

5.2.9若j＝J，说明初始种子库中的所有种子处理完毕，得到了种子队列Q，Q＝{q₁,q₂,...,q_z,...q_Z}，Z为Q中种子的个数，1≤Z≤J，1≤z≤Z，转5.3，否则，令j＝j+1，转5.2.3；

5.3定向模糊测试模块根据种子执行路径上是否含有配置相关基本块即MS中的程序基本块对Q进行选择，得到种子优先级队列Q'，Q'＝{qq₁,qq₂,...,qq_k,...q_K}，qq_k为Q'中第k个种子，K为Q'中种子的个数，1≤k≤K，1≤K≤Z，然后从Q'中顺序选择一个种子进行模糊测试，方法是：

5.3.1初始化变量z＝1；

5.3.2初始化优先级队列

5.3.3将种子q_z发送给插桩后的待检测软件S试运行；

5.3.4根据插桩信息判断种子q_z的执行路径上是否含有配置相关基本块，如果是，令Q'中第k个种子qq_k＝q_z，将qq_k加入种子优先级队列Q'，Q'中的种子将会被定向模糊测试模块优先选择，令z＝z+1，转5.3.5；否则，说明种子q_z与配置无关，直接转5.3.5；

5.3.5若z＝Z，说明Q中所有执行路径上含有配置相关基本块的种子均已放入Q'中，转5.4；否则，令z＝z+1，转5.3.3；

5.4定向模糊测试模块从Q'中选择种子，为选择好的种子分配突变次数E，然后根据种子突变策略对选择的种子进行突变，突变得到的新种子如果覆盖了插桩后的待检测软件S新的代码段，则将新种子加入到种子队列Q中去，方法是：

5.4.1初始化变量k＝1；

5.4.2从Q'中选择种子qq_k；

5.4.3定向模糊测试模块使用模拟退火算法根据qq_k到TBS距离，计算得到qq_k的突变次数E；

5.4.4对qq_k突变E次，得到新种子集合Q_k”，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，qq_e'为Q_k”'中第e个新种子，E为Q_k”中新种子的个数，1≤e≤E；

5.4.5把Q_k”中的所有新种子喂给S执行，将Q_k”中覆盖了S中新的代码段的新种子加入到种子队列Q中，将Q”中导致S崩溃或者挂起的新种子加入到CS中，方法是：

5.4.5.1初始化变量e＝1；

5.4.5.2将qq_e'喂给S执行，如果qq_e'覆盖了S中新的代码段即之前的种子没覆盖的代码段，则将qq_e'加入到种子队列Q中；如果qq_e'执行导致S崩溃或者挂起，则将qq_e'加入到CS中；

5.4.5.3令e＝e+1，如果e≤E，转5.4.5.2；如果e>E，说明Q_k”中所有覆盖了S中新的代码段的种子均已加入Q中，转5.4.6；

5.4.6令k＝k+1，如果k≤K，转5.4.2；如果k>K且测试时间小于24小时，说明Q'中所有种子均已突变完毕但测试时间未满足用户要求，转5.3重新选择优先级队列Q'进行下一轮的模糊测试；如果k>K且测试时间大于等于24小时，说明测试时间满足用户要求，输出CS，CS中存放触发配置缺陷的测试用例集合，即配置缺陷集合。

2.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于2.4步所述配置污点分析模块定位R中r_ni所在S₀的程序基本块位置，得到目标配置与程序基本块映射关系集合MS的方法是：

2.4.1初始化变量i＝1；

2.4.2初始化变量n_i＝1；

2.4.3初始化

2.4.4定位r_ni在S₀中的位置，找到r_ni所在程序基本块的第一条指令Inst，以Inst所在的文件名和行号ms_ni表示该程序基本块；

2.4.5将ms_ni加入MS_i；

2.4.6令n_i＝n_i+1，如果n_i≤N_i，转2.4.4；如果n_i>N_i，令n_i＝1，令i＝i+1，转2.4.7；

2.4.7如果i≤I，转2.4.3；如果i>I，说明c_i映射的程序基本块均已放到MS中，结束。

3.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于3.1步所述控制软件资源分配的配置包括buffer size即缓存区大小、cache size即寄存器大小、timeout即超时。

4.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于所述LLVM框架为10.0.0版本及以上。

5.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于3.4步所述距离计算模块根据CG和CFG，对BB中所有程序基本块到TBS中目标基本块的距离进行计算，得到距离信息集合DS的方法是：

3.4.1初始化变量t＝1，m＝1；

3.4.2初始化距离信息集合

3.4.3初始化存放bb_t到tbs_m的距离集合

3.4.4使用迪杰斯特拉算法计算bb_t到tbs_m的距离d_m'，将d_m'放进D'；

3.4.5令m＝m+1，如果m≤M，转3.4.4；如果m>M，计算bb_t到TBS的距离d_t，d_t＝D'中所有元素的平均值，转3.4.6；

3.4.6将d_t和bb_t组合成二元组ds_t，ds_t＝[bb_t，d_t]，将ds_t加入DS中；

3.4.7令t＝t+1，如果t≤T，转3.4.3；如果t>T，说明距离信息集合DS构建完毕，DS＝{ds₁,ds₂,...,ds_t,...,ds_T}，结束。

6.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于5.2.7步所述判断种子sp_j是否会导致软件S的崩溃的方法是根据操作系统发出的信号SIGKILL进行判断，SIGKILL表示终结进程。

7.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于5.4.3步所述qq_k到TBS距离的获取方法是：根据DS对S₀插桩后在S运行时获得bb_t到TBS的距离信息，计算qq_k执行路径上经过的程序基本块到TBS的距离之和作为qq_k到TBS距离。

8.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于5.4.4步所述对qq_k突变E次，得到新种子集合Q_k”的方法是：

5.4.4.1初始化变量e＝1；

5.4.4.2初始化新种子集合

5.4.4.3定向模糊测试模块使用种子突变策略对qq_k进行突变生成新种子qq_e'，将qq_e'加入到Q_k”中；

5.4.4.4令e＝e+1，如果e≤E，转5.4.4.3；如果e>E，说明对qq_k突变E次得到E个新种子均已加入Q_k”中去，Q_k”＝{qq₁',qq₂',...,qq_e',...qq_E'}，结束。

9.如权利要求1所述的一种面向配置缺陷的定向模糊测试方法，其特征在于5.4.5.2步所述qq_e'执行导致S挂起是根据种子执行时间是否超过MaxT来判定。