【软件分析/静态分析】chapter8 课程11/12 指针分析—上下文敏感(Pointer Analysis - Context Sensitivity)

news2024/12/26 9:17:37

🔗 课程链接:李樾老师和谭天老师的:

南京大学《软件分析》课程11(Pointer Analysis - Context Sensitivity I)_哔哩哔哩_bilibili

南京大学《软件分析》课程12(Pointer Analysis - Context Sensitivity II)_哔哩哔哩_bilibili

目录

第八章 上下文敏感的指针分析

8.1 上下文敏感技术的介绍

8.1.1 为什么需要上下文敏感技术

 8.1.2 基本概念

1. 定义

2. 策略——call-site sensitivity(call-string)

3. 实现——基于克隆的上下文敏感(Cloning-Based Context Sensitivity)

4. Context-Sensitive Heap

8.1.3 Context-Sensitive Heap的例子

8.2 规则 Rule

8.2.1 Domains and Notions 域与符号

8.2.2 Rules 规则

1. 处理4种基本语句的规则

2. 处理Call语句的规则

8.3 算法实现

8.3.1 Pointer Flow Graph with C.S.

 8.3.2 算法总体

 8.3.3 ProcessCall的不同——Select上下文⭐

8.4 上下文敏感的变种

8.4.1 从上下文敏感的视角,看上下文不敏感技术

8.4.2 调用点敏感(Call-Site Sensitivity)

8.4.3 对象敏感(Object Sensitivity)

8.4.4 类型敏感(Type Sensitivity)

8.4.5 总结


第八章 上下文敏感的指针分析

        在第六章中介绍了上下文敏感的一些知识,这是提升指针分析精度最有效的技术,特别是对java。只要是跨函数涉及过程间的,基本都很有用。本章内容可能需要第六章和第七章的内容,再次贴一个之前的笔记连接:
 

8.1 上下文敏感技术的介绍

8.1.1 为什么需要上下文敏感技术

        如下图所示的程序,如果进行上下文不敏感的常量传播分析,id被调用了两次,一次传入的是n1 一次是n2,就会导致 id 方法的参数 n 在不同上下文里的对象混在一起,指针域为{o1, o2},再顺着指针分析传播的时候,通过返回值给x和y,会传递虚假的值,再分析 i 值的时候,会导致i = NAC
        

        所以,上下文不敏感的技术(Imprecision of Context Insensitivity, C.I.),再处理一个方法的多个不同上下文的调用的时候,会混在一起传播,会引入假的数据流,丢失精度

        如果是上下文敏感的技术,如下,在不同的调用的时候,会进行标记,从而不会将所有参数的传递混在一起,这样分析出来的i 就是正确的值 1。
        

 8.1.2 基本概念

1. 定义

        上下文敏感(Context Sensitivity, C.S.)模型通过区分不同上下文的不同数据流来调用上下文以提高精度。

2. 策略——call-site sensitivity(call-string)

        使用call-site sensitivity(call-string) 策略,将方法的每个上下文表示为一系列调用点a chain of call sites),也就是对方法、caller、caller的caller的call site,通过一系列调用可以到达这个方法的call site 链,把这一系列call sites 当作上下文(是动态执行的调用栈的一个抽象)。

        如下图所示,id(Number)的上下文,就是[1] 和 [2]
        

3. 实现——基于克隆的上下文敏感(Cloning-Based Context Sensitivity)

        在基于克隆的上下文敏感指针分析中,会给每个方法加一个或多个上下文进行修饰。给方法加上下文,实际上就是给变量加上下文(变量在某方法中声明),可以当作对一个变量的标记,标记从哪个call-site过来。基本上,每个方法及其变量都是克隆的,每个上下文对应一个克隆

        如下图所示,对上述程序中的id 方法 中的变量加上各自的上下文,以免混淆:
        

4. Context-Sensitive Heap

        对于像Java这种OO语言,会频繁对对象进行操作,又因为这些对象经常分配在堆区,所以把这种频繁修改对象的行为称为heap-intensive。

        对于heap-intensive,在实际中,为了提升精度,我们不仅要给变量加上下文,还要给对象加上下文heap contexts),给对象的上下文来自于所在的方法。

        加上堆抽象的上下文敏感技术提供了更精细的粒度堆模型。
        

8.1.3 Context-Sensitive Heap的例子

        对下图代码,在采用上下文敏感的技术时,如果只考虑变量的上下文,不考虑Heap的上下文,对代码进行分析的结果如中间的表格所示,如果考虑heap、也考虑变量的上下文时候,分析结果如最右边:
        

        对于第一种不考虑heap上下文的方法,实际上,在动态运行的时候,n是不会指向o2的。之所以会产生假的数据流,是因为这里的heap,在动态运行时,其实创建了两个o8,分别指向不同上下文中创建的两个对象x1 和 x2,然后又在o8处汇合了,一起传出去给n,导致了假的数据流。

          在我们给对象加了上下文的时候,就可以有效地区分开,从而提升精度。对于变量heap都是需要加上上下文来分析的。

8.2 规则 Rule

8.2.1 Domains and Notions 域与符号

上下文c, c', c'' ∈ CC表示程序中所有的上下文,具体的上下文用c, c',c'' 表示
C里具体的内容为一系列call sites 形成的串(列表)
上下文敏感的方法c: m ∈ C × M在具体的方法前,加上具体的上下文,表示上下文c之下的方法m
上下文敏感的变量c: x, c': y ∈ C × V
上下文敏感的对象c: oi, c': oj ∈ C × O
Fieldsf, g ∈ FField 本身不需要加上下文,因为field挂靠在某个object上
Instance fieldsc: oi.f, c': oj.g ∈ C × O × F具体某个对象的field,需要加上具体的上下文的对象
上下文敏感的指针CSPointer = (C×V)∪(C×O×F)指针有两种,变量和field
指向关系pt : CSPointer → 𝒫(C × O)即把上下文敏感的指针,映射到 带有上下文的对象的幂集中。

8.2.2 Rules 规则

1. 处理4种基本语句的规则

        如下图所示,就是上下文敏感下的指针分析处理4种语句的的规则,对比7.1.2中没有上下文敏感的规则,其实只多了红色的部分:上下文。(横线上的公式表示条件,横线下为结论)

感觉和7.1.2中的规则区别不大,这里就不再一条一条详细写了,可以对比下第七章的笔记:

【软件分析/静态分析】chapter7 课程09/10 指针分析基础(Pointer Analysis Foundations)_HiLittleBoat的博客-CSDN博客

2. 处理Call语句的规则

        call 语句是很重要的,因为它决定你的上下文是如何产生的。具体的规则如下:

        在7.4.2中处理没有上下文敏感的调用语句是,主要一般负责如下4件事情:

  •  dispatch  →  传递receive objects  →  传参数  →  传返回值

        加上上下文之后,主要区别有两点,
        ① 在dispatch找到目标方法m之后,要进行很关键的一步:Select选择目标方法t的上下文c^{t}
        ② 找到上下文之后,带着上下文信息,传receive object、参数、返回值,例如对于变量x 需要将 c': x,传到找到的目标方法的上下文c^{t}里的m_this。

        所以,在处理上下文敏感的调用语句的时候,主要负责如下5件事情:

  •  dispatch  →  select  →  传递特定上下文的receive objects  →  传特定上下文的参数  →  传特定上下文的返回值

        对于Select方法,主要是根据传入一系列参数(如下)来求目标方法的上下文c^{t},参数如下:

  • c:这个语句所在方法的上下文
  • l : 调用点,可以是这条语句的标签label,
  • c': oi   :receive object
  • m: 目标方法

        ①先看一个例子:

        这里,c为这些调用语句所在的方法/上下文,给Select传入一系列参数,选出第2行语句的目标方法 id(Number n) 的上下文是2,第3行的目标方法的上下文是3,然后跟目标函数组合在一起。

        之后会对该方法进行克隆,有一个上下文就克隆一次,将针对特定上下文,传receive object(处理this语句)、传参、传返回值。

        要注意,这里的例子中是可以用call site,也就是这个语句的label来进行表示上下文的,上下文也有其他的表示方法,具体怎么选,上下文用什么表示,会在8.3 算法实现部分介绍。

8.3 算法实现

8.3.1 Pointer Flow Graph with C.S.

        我们用Pointer Flow Graph with C.S.(上下文敏感的指针流图)来表示对象在程序中指针之间的流动。他的组成如下:

  • Nodes:CSPointer = (C×V)∪(C×O×F)
            一个节点可能表示一个特定上下文变量,或一个特定上下文抽象对象的一个field
            于PFG相比,在上下文敏感的PFG中,每个节点都会带有上下文
  • Edges:CSPointer × CSPointer
             一条边x→y,表示指针x所指向的对象可能流向y,并会被y所指向

        针对每条规则,形成的PFG边,具体可以比较7.2.2的PFG来看,如下:

 8.3.2 算法总体

        如下图所示为整个算法

        实际上,如果没有加上那些上下文c、c',就是一个上下文不敏感的指针分析。主体框架、思想和流程跟之前都是完全一致的,都是建立pfg,然后在pfg上传播指针的指向关系。其中AddEdge(s, t)和Propagate(n, pts)函数跟之前上下文不敏感的指针分析是完全一样的,代码就不在赘述。

        主要区别有两点,即黄色高亮的地方:
        ① 给每个变量、函数、调用点等都加上了所在的上下文。
        ② 在处理调用的函数ProcessCall()函数中,增加了调用Select函数的部分。

        这里主要阐述第二点不同,其他的地方就不再赘述了,可以参考上一篇chapter7 指针分析的笔记。

 8.3.3 ProcessCall的不同——Select上下文⭐

        上下文敏感的指针分析在处理调用语句的时候,会先根据流入的新对象oi,dispatch到真正的目标函数m,然后用select选出这个目标函数的上下文c^t。

        主要根据以下信息来选择上下文(Select函数需要的参数):

  • 调用者x所在的上下文 c
  • 调用点本身 l
  • 流入调用者的新对象 c': oi
  • 目标函数 m

       不同的select定义的方式,取决于不同的上下文敏感的策略,在8.4中会介绍3种最常用的上下文敏感的策略,然后再详细介绍各自的select方法。

8.4 上下文敏感的变种

        上下文的选取主要有:

  • call-site sensitivity
  • object sensitivity
  • Type sensitivity
  • ……

8.4.1 从上下文敏感的视角,看上下文不敏感技术

        上下文不敏感可以看作时上下文敏感的一个特殊情况,对于C.I.来说,Select函数在任何情况下都返回一个空的上下文,也就是在任何情况下都是一样的上下文

8.4.2 调用点敏感(Call-Site Sensitivity)

1. Call-Site Sensitivity原理

        每个上下文由一系列调用链组成,在方法调用的时候,将调用点(call site)加入到caller的上下文中。实际上就是调用栈的抽象。

        call-site sensitivity 也可以叫做call-string sensitivity,或k-CFA*

*论文出处:

Olin Shivers,1991. "Control-Flow Analysis of Higher-Order Languages".Ph.D. Dissertation. Carnegie Mellon University.

2. 例子

        如下图所示,对于左边的程序,上下文如右边所示,每增加一次调用,就会加入一个新的上下文,但是对于15行有递归调用的情况,就可能会一直调用下去,导致context无限了。

        

        所以,我们需要保证算法能够终止。再分析真实程序的时候,程序可能很复杂,调用链非常长,现在的静态分析没法解决这样的上下文。由此引入,k-Limiting Context Abstraction,来限制调用链的长度。

3. k-Limiting Context Abstraction

  • 目的:
    • 确保指针分析的终止
    • 在现实世界的程序中,太多的上下文(长调用链)破坏了指针分析
  • 方法:为上下文长度设置一个上限,用k表示
    • 对于调用点敏感方法,每个上下文都由调用链的最后一个k call sites 组成
    • 在实际应用中,k是一个小数目(通常是≤3)
    • 方法上下文和堆上下文可以使用不同的k
      • 例如:k=2用于方法上下文,k=1用于堆上下文

4. k-Call-Site Sensitivity/k-CFA

  • ① 1-call-site/1-CFA​​​​​​

        如下图所示,当限制为1 的时候,对于每个上下文的调用链的长度只会去最后一个,第13行在第一次被9调用到的时候,上下文是[9],之后第一次被15调用时,得到上下文[15],之后再被15重复调用,就会只截取15,就不会再分析一次。

  • ② 2-call-site/2-CFA

        在实际应用中,我们会更倾向于用2层上下文,用调用的最后两个元素,来表示一个上下文。

5. 例子

  • ① 1-call-site 例子

        接下来,会结合8.3部分的算法(如下图所示),来具体分析一下下边的程序,为了简便,分析的过程中省去了heap的上下文和C.id里的this 变量,主要左下角的代码,最终目标是,分析第16行代码x.get() 会调用哪些方法。

        首先,将一系列的数据结构(WL, PFG, S, RM, CG)初始化为空,

        然后,使用AddReachable()方法,将加了上下文表示的方法,[ ]:C.main() ,加入RM,表示该方法可达,

        然后,处理该main方法里的语句,这里有一个new语句,将其指针和对应heap对,<[ ]:c, {o3}>加入WL(这里的o3 先省略了上下文)

        然后从WL中取出<[ ]:c, {o3}>,处理过程跟c.i.是一样的,具体过程不再详细解释,这里把o3传到[ ]:c的指针集中,

        然后需要根据ProcessCall()方法处理第4行,c的方法调用语句:

        这里就涉及到了上下文敏感分析的关键一步:选取上下文。这里即为第4行调用了C.m方法,这里C.m的上下文即为[4],然后将<[4]:C.m_this, {o3}>传入WL中,然后连接CG,使用AddReachable()方法处理新可达的[4]:C.m方法,处理其new语句,再加入WL中,结果如下:

        接下来,从WL中取出来<[4]:C.m_this, {o3}>,进行处理,同样,处理其相关语句,涉及14、15行的两个调用:

        对于14,先选出来他的dispatch ,即7行的 C.id方法,接下来选择其上下文,即[14],然后加调用边 [4]:14 → [14]:C.id(Number),再往RM中添加方法 [14]:C.id(Number)。这个调用中涉及到了关键的传参和返回值[4]:n1→[14]:n,及[14]:n→[4]:x。

        对于15,同理,加调用边,加RM,处理传参和返回值,得到的结果如下图所示:

         接着继续从WL中取出来未处理的pair,进行处理,这里不在详细介绍步骤,主要是沿着PFG,传递指针域。

        对比c.i. ,上下文敏感的技术可以将不同上下文的节点区分开,最终结果如下图所示:

8.4.3 对象敏感(Object Sensitivity)

1. 原理

        每个上下文都包含一个抽象对象列表(由他们的allocation sites表示)。

  • 在方法调用时,使用接收对象及其heap context作为被调用上下文。
  • 区分数据流在不同对象上的操作。

论文出处:

Ana Milanova,Atanas Rountev, and Barbara G.Ryder. " Parameterized ObjectSensitivity for Points-to and Side-Effect Analyses for Java".lSSTA 2002.

2. C.S.(1-Object)    vs.    C.S.(1-Call-site)

① 在如下例子中,对比1-call-site,1-object可以拿到准确的结果,如下图所示:

        1-call-site方法会把doSet 混在一起

打个比方,就相当于,1-call-site 会一直记得从哪个屋子进来的,而1-object会一直记得记得这个人是谁。

② 但是对于以下的程序,1-Call-site会比1-object更准确:因为同一个receiver object 用不同参数多次调用了子函数,导致局部变量无法区分。
 

③ 总结:

        综上,在理论上,这两种方法的精度是没有办法直接比较的。但是在实际应用中,对于像java的这种OO语言来说,对象敏感表现优于调用点敏感。

8.4.4 类型敏感(Type Sensitivity)

1. 原理

        每个上下文都包含一个类型列表。在用方法调用时基于创建点所在的类型,作为被调用上下文。

      是对 object sensitivity 的抽象,精度要弱于 object。

论文出处:

Yannis Smaragdakis, Martin Bravenboer, and Ondrej Lhotwk." Pick YourContexts Well: Understanding Object-Sensitivity".POPL 2011.

8.4.5 总结

        精确度:object > type > call-site

        效率:type > object > call-site
 

参考:

https://wenku.baidu.com/view/5cadf582de3383c4bb4cf7ec4afe04a1b071b0ad.html?_wkts_=1692682599401&bdQuery=%E4%B8%8A%E4%B8%8B%E6%96%87%E6%95%8F%E6%84%9F%E7%9A%84%E6%8C%87%E9%92%88%E5%88%86%E6%9E%90%E6%8A%80%E6%9C%AF

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1002219.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PCL入门(四):octree简单使用

目录 1. 八叉树(Octree)2. 简单使用 参考博客《三维点云数据的两种结构Kdtree和Octree》和《八叉树》 1. 八叉树(Octree) 只需要考虑三维情况下的八叉树的情况&#xff0c;如下 设置最大的递归深度&#xff1b;找出场景的最大尺寸&#xff0c;并据此创建第一个立方体若未到达…

linux安装jdk1.8

1.下载jdk安装包&#xff1a; https://www.oracle.com/cn/java/technologies/downloads/#java8-windows 2.创建java文件夹&#xff1a; mkdir /usr/local/java3.上传安装包并解压&#xff1a; tar -xzf jdk-xxx.tar.gz4.修改profile文件&#xff1a; vim /etc/profile在文…

计算机专业毕业设计项目推荐04-物业管理系统(SpringBoot+原生Js+Mysql)

物业管理系统&#xff08;SpringBoot原生JsMysql&#xff09; **介绍****系统总体开发情况-功能模块****各部分模块实现** 介绍 本系列(后期可能博主会统一为专栏)博文献给即将毕业的计算机专业同学们,因为博主自身本科和硕士也是科班出生,所以也比较了解计算机专业的毕业设计…

物联网 低功耗蓝牙BLE GATT 实现微信小程序通信连接详细教程

蓝牙基本概念 蓝牙技术是一种无线通信的方式&#xff0c;利用特定频率的波段&#xff08;2.4GHz ~ 2.485GHz左右&#xff09;&#xff0c;进行电磁波传输。蓝牙传输原理是主从关系&#xff0c;一个主设备可以与7个蓝牙从设备配对。 经典蓝牙 vs BLE 蓝牙分为经典蓝牙和低功耗…

最新软件测试面试题+笔试题(十个面试官里有九个会问)

2023最新软件测试面试大全看完offer拿到手软_哔哩哔哩_bilibili2023最新软件测试面试大全看完offer拿到手软共计21条视频&#xff0c;包括&#xff1a;1.HR已读不回问题分析以及如何解决、2.HR已读不回之针对性进行简历优化。、3.HR已读不回之针对性进行技能提升路线。等&#…

编程语言流行度排名(每月更新)

2023年09月编程语言流行度排名 编程语言流行度排名是通过分析在谷歌上搜索语言教程的频率而创建的 一门语言教程被搜索的次数越多&#xff0c;大家就会认为该语言越受欢迎。这是一个领先指标。原始数据来自谷歌Trends 如果您相信集体智慧&#xff0c;那么流行编程语言排名可以…

数据结构与算法之二叉树、二叉搜索树、平衡二叉树、红黑树、B - 树、哈夫曼树等详细教程(更新中)

第一章、二叉树概述和基本算法 1.1 二叉树遍历算法概述 对于二叉树&#xff0c;其实遍历顺序一共有6种&#xff0c;基于有左子树&#xff0c;右子树&#xff0c;根这三个因素&#xff0c;即排列组合有3 * 2 * 16种结合顺序&#xff0c;不过因为算法思想是一样的&#xff0c;就…

day 4

#!/bin/bashfunction adda() { #a($*)sum0 for i in $*do ((sumi))donereturn $sum }arr(5 4 3 2 1 50) adda ${arr[*]} add$? echo $addfunction A() { echo id -uecho id -g }BA echo "uid和gid分别是:"$Bxmind

基于springboot2+mybatis-plus+jsp增删改查

概述 编写简单增删改查&#xff0c;理解之后可以自己试着扩展&#xff0c;相信你也可以&#xff0c;加油&#xff0c;我自己懂了的用注释记在下面方便理解 详细 一、需求&#xff08;要做什么&#xff09; 基于现今最流行的技术实现增删改查demo&#xff0c; 便于初学者上手…

JAVAEE初阶相关内容第八弹--多线程(初阶)

本文目录 阻塞队列 阻塞队列是什么&#xff1f; 标准库中的阻塞队列 生产者消费者模型 阻塞队列的实现 普通队列实现&#xff1a; 入队列&#xff1a; 出队列&#xff1a; 完整代码&#xff1a; 加阻塞 加锁 加阻塞 阻塞队列 队列&#xff1a;先进先出&#xff0c;…

福立转债,科数转债上市价格预测

福立转债118043 基本信息 转债名称&#xff1a;福立转债&#xff0c;评级&#xff1a;AA-&#xff0c;发行规模&#xff1a;7.0亿元。 正股名称&#xff1a;福立旺&#xff0c;今日收盘价&#xff1a;20.07元&#xff0c;转股价格&#xff1a;21.28元。 当前转股价值 转债面值…

Java—JDK8新特性—重复注解

目录 重复注解是什么&#xff1f; 常见的重复注解的应用场景 源码&#xff08;JDK中哪里&#xff1f;&#xff09; 在实际开发中哪里使用了注解&#xff08;举例&#xff09; 使用步骤 案例 重复注解是什么&#xff1f; 重复注解&#xff0c;一个注解可以在一个类、方法、…

限流式保护器在古建筑消防安全中的应用

安科瑞 华楠 【摘要】我国古建筑众多且具有自身的消防安全特性。本文结合当前古建筑消防安全形势从消防管理、防火设计及火灾扑救三个方面对我国古建筑消防安全问题进行系统的阐述并提出相关对策。 【关键词】古建筑&#xff1b;消防安全&#xff1b;电气防火&#xff1b;限流…

C++ String类的简单实现(非模板)

头文件 #ifndef MY_STRING_H #define MY_STRING_Hclass Mstring {private:int m_length;char* m_pointer;public://构造函数Mstring();//有参构造Mstring(const char* str);//拷贝构造Mstring(const Mstring& obj);//获取长度int length()const;//转换为C字符串const char…

sprinboot 引入 Elasticsearch 依赖包

1.springboot与es的版本有比较强的绑定关系&#xff0c;如果springboot工程引入es的依赖后报一些依赖的错误&#xff0c;那么就看表格中的对应关系&#xff0c;将sprinboot或者es的版本做对应的调整 2.本人是从springboot1.x升级到springboot2.x&#xff0c;做了排包工作 3.升级…

在海外如何通过App Store本地化提高下载量

随着应用市场的应用持续增长&#xff0c;越来越多的应用和游戏占据了全球排行榜的主导地位。因此本地化应用程序商店的展示&#xff0c;对于吸引更多用户并在当今的市场中竞争至关重要。应用程序本地化不仅仅包括简单的翻译&#xff0c;还需要处理内容本身。 1、针对客户使用的…

HummerRisk V1.4.1 发布

HummerRisk V1.4.1发布&#xff1a; 大家好&#xff0c;增加检测整合报告下载&#xff0c;定制多云整合报告并下载PDF&#xff0c;增加K8s 检测规则组&#xff0c;Kubernetes、Rancher、KubeSphere 检测规则组以及规则。新增云账号管理页面关联菜单&#xff0c;新增资源同步日…

C++QT day4

仿照string类&#xff0c;完成myString类 #include <iostream> #include <cstring> using namespace std; class myString {private:char *str; //记录c风格的字符串int size; //记录字符串的实际长度public://无参构造myString():size(10){s…

【力扣每日一题】2023.9.11 课程表Ⅲ

目录 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 代码&#xff1a; 题目&#xff1a; 示例&#xff1a; 分析&#xff1a; 今天是和前两天一样课程表&#xff0c;不过今天不太一样了&#xff0c;今天不是图论了&#xff0c;可以看作是全新的题目。 给我们一个课…

Java——选择语句

if语句 语法格式&#xff1a; if(表达式){若干语句 } 例&#xff1a; ​import java.util.Scanner; public class Test1 {public static void main(String[] args) {Scanner sc new Scanner(System.in);int n sc.nextInt();if(n%20){System.out.println("even");}…