#### 研究成果報告書 科学研究費助成事業 平成 30 年 4 月 2 5 日現在 機関番号: 13301 研究種目: 基盤研究(C)(一般) 研究期間: 2015~2017 課題番号: 15K00093 研究課題名(和文)革新的ソフトウェアモデル検査による組込みアセンブリプログラムの安全性検証 研究課題名(英文) Verifying safety properties of embedded assembly program using innovative software model checking 研究代表者 山根 智 (YAMANE, SATOSHI) 金沢大学・電子情報学系・教授 研究者番号:70263506 交付決定額(研究期間全体):(直接経費) 3,500,000円 研究成果の概要(和文):研究成果は以下の2つに大別できる. (1)動的プログラム解析の枝刈りと抽象化,実行時間見積もりによる最小なモデル構築器(アセンブリプログラムから割込み処理が埋め込まれた最小モデルを構築する)を作成した. (2)抽象化精錬(CEGAR)型SMTモデル検査手法を開発した.このモデル検査手法はSMTによる述語抽象化、SMT有界モデル検査、SMTによる反例解析器、SMTソルバによるInterpolationを用いた精錬述語の生成からなる.なお、SMTソルバとして、種々のInterpolationをサポートしているUppsala大学のPrincessを用い た. 研究成果の概要(英文):The research outcome can be roughly divided into the following two. (1) We have developed a minimal model constructor (constructing a minimum model with interrupt processing embedded from the assembly program) by pruning and abstraction of dynamic program analysis and execution time estimation. (2) SMT model checking method based on Abstraction and Refinement (CEGAR) was developed. This model checking method consists of predicate abstraction by SMT, SMT bounded model check, counter-example analyzer by SMT, and refinement predicate generation using Interpolation by SMT solver. As the SMT solver, Princess of Uppsala University which supports various interpolations was used. 研究分野: ソフトウェア キーワード: ソフトウェアモデル検査 組込みアセンブリプログラム 抽象化精錬 SMT 定理証明 ## 1.研究開始当初の背景 トヨタ車ブリウスの制御プログラムの不具合などの国際的な問題もあり、組込みソフトウェアの安全性保証の研究は、最重要な国際的課題である(毎年開催されるACM EMSOFT等).従来の研究は仕様やCプログラムのモデル検査のみであり、ハードウェアとの相互作用の検証を実現しておらず、安全性保証が不可能である.本研究の目的は、ハードウェアとの相互作用を検証するために、アセンブリプログラムのモデル検査手法を開発することである. 申請者は,時間オートマトンや確率時間 オートマトン ,ハイブリッドオートマトン のモデル検査(S. Yamane, AMAST Series in Computing 2007) , 詳細化検証(山根 他,コ ンピュータソフトウェア 2008),抽象化精 鍊型モデル検査(山根 他,電情通学会 CST 研究会優秀論文賞 2008)を構築してきた. 一方,分担者は,プログラムの安全性保証 のためには,プログラム解析手法が有効で あることを示している(櫻井 他、情処論 文誌 PRO 2012 年論文賞).申請者らは,大 規模化に対応して,ハードウェア依存情報 として代表的なビット列演算の効率的な 検証のために,アセンブリプログラムのS MT有界モデル検査手法を構築して,プロ トタイプにより有効性を実証している(山 根 他, IEEE GCCE 2014 等). しかし, タイ マ割込み処理などの検証及び実用レベル の大規模ソフトウェアの検証などの解決 すべき重要な問題が多く残されている。 計画を進めていく上で,申請者は次のような予備的な研究成果を得ている. 動的プログラム解析により,組込みアセンブリプログラムから 1/0 及びタイマの割込み処理を含む,モデルの構築手法を検討した。このモデルは枝刈りと抽象化,実行時間の見積もりを動的プログラム解析に含めており,モデル のサイズを小さくできることを確認している.(山根 他,組込みシンポジウム2014等) リアルタイムプログラム(変数付き時間オートマトン)の**抽象化精錬(CEGAR** (CounterExample-Guided Abstraction Refinement))型モデル検査器を開発しており,実装及び検証実験を行い,有効性を確認している(山根他,数理解析研究所講究録 2007). ### 2.研究の目的 上記の背景およびこれまでの研究成果を もとに,本研究は,組込みアセンブリプログ ラムの安全性検証を実現するために,(1)動 的プログラム解析及び,(2)SMT有界モデ ル検査と抽象化精錬検証の融合により,I/0 割込み処理及びタイマ割込み処理を含めた 大規模アセンブリプログラムの革新的ソフ トウェアモデル検査の理論と技術の開発を 行い,(3)その実験的な評価に関する研究を 行う.研究期間内に以下のことを明らかにす る. - (1)動的プログラム解析による枝刈りと抽象化,実行時間の見積もりにより,組込みアセンブリプログラムから状態爆発の抑制可能な最小モデルを構築する手法を明らかにする.なお,このモデルはハードウェアとの相互作用を実現している割込み処理を含む. - (2) ビット列の背景理論のSMT有界モデル検査手法及び抽象化精錬、Resolution 定理、クレイグの補間定理との融合により、組込みアセンブリプログラムの抽象化精錬型SMTモデル検査手法が実現できることを明らかにする.なお、SMTとは、背景理論付きSATのことであり、ビット列の背景理論のSMTでは、ビット列演算が効率的に検証できる理論である. - (3) 上記の(1) と(2) からなるアセンブリブログラムの革新的ソフトウェアモデル検査により, C言語プログラムでは検証 できない,スタックオーバーフローや割込み多重化の安全性などの重要なハードウェア依存の検証性質が検証できることを明らかにする.さらに,実際に稼働中の大規模組込みアセンブリプログラムの安全性検証が実現できることを明らかにする. # 3.研究の方法 本研究では,アセンブリプログラムの安全性検証のために,モデル構築器と抽象化精錬(CEGAR)型SMTモデル検査からなる革新的ソフトウェアモデル検査器を開発し,実験する. - (1) **動的プログラム解析の枝刈りと抽象化,実行時間見積もりによるモデル構築器**(アセンブリプログラムから割込み処理が埋め込まれた最小モデルを構築する) - (2) 抽象化精錬(CEGAR)型SMTモデル 検査(大規模プログラムのモデルを モデル検査する) **抽象化器(抽象化述語**により, 抽象モデル及びその精錬モデ ルを構築する) SMT有界モデル検査器(ビット列の背景理論を用いたSM T有界モデル検査器) **SMTによる反例解析器**(SM Tソルバで,**反例**が元のモデル に存在するかを判定する) クレイグの補間定理による精 線器(偽反例を無くすために, クレイグの補間定理を用いて, SMTソルバで,精錬用述語を 発見する) (3) 大規模組込みアセンブリプログラムがハードウェア依存の検証性質を持たすかどうかを,ソフトウェアモデル検査器で検証を行う. ### 4. 研究成果 上記の研究目的及び研究方法の(1)と(2) に対応して、研究成果は以下の2つに大別で きる。 - (1)動的プログラム解析の枝刈りと抽象化, 実行時間見積もりによる最小なモデル構築 器(アセンブリプログラムから割込み処理が 埋め込まれた最小モデルを構築する)を作成 した. - (2) 抽象化精錬(CEGAR)型SMTモデル検査 手法を開発した.このモデル検査手法はSM Tによる述語抽象化、SMT有界モデル検査、 SMTによる反例解析器、SMTソルバによる Interpolationを用いた精錬述語の生成からなる.なお、SMTソルバとして、種々の Interpolationをサポートしている Uppsala 大学の Princess を用いた. ## 5. 主な発表論文等 (研究代表者、研究分担者及び連携研究者に は下線) 〔雑誌論文〕(計16件) - (1)小田島直樹、福田岳飛、<u>山根智</u>: 定理証明器 Princess を用いた組込みアセンブリプログラムのリアルタイム安全性の演繹的検証, MSS2017-84, pp.35-40, 2018. - (2)<u>S.Yamane</u>: Invited paper Deductively Verifying Embedded Software in the Era of Artificial Intelligence = Machine Learning + Software Science, IEEE 6th GCCE2017, pp.1-4, 2017. - (3)<u>S.Yamane</u>, R.Konoshita, T.Kato: Model checking of embedded assembly program based on simulation, IEICE Transactions on Information and Systems, Vol.E100-D, No.8, pp.1819-1826, 2017. - (4) 山根智:組込みアセンブリプログラムのリアルタイム安全性の演繹的検証 ~ - $TIME q = (q (time TIME)) \sim MSS2017-12, pp.59-64, 2017.$ - (5) <u>山根智</u>:組込みアセンブリプログラムのリアルタイム性の検証手法 ~ 組込みプログラムのためのモデル検査と演繹的検証 ~, MSS2016-83, pp.11-16, 2017. - (6)R. Yanase, T. Sakai, M. Sakai, <u>S. Yamane</u>: A Case Study of Formal Approach to Dynamically Reconfigurable Systems by Using Dynamic Linear Hybrid Automata, LNCS 10009, pp.74-89, 2016. - (7) <u>Satoshi Yamane</u>, Tomonori Kato, Ryosuke Konoshita: Simulation and Model checking of embedded assembly program, pp.1-8, ESS2016, 2016. S.Yamane: (8)Y.Ono. K.Sakurai, LogChamber: Inferring Source Code Locations Corresponding to Mobile Applications Run-time Logs, Journal of Information Processing Vol. 24, No. 4, pp.700-710, 2016. (9) R. Yanase. M.Sakai. T.Sakai ,S.Yamane : Specification and Verification of Dynamically Reconfigurable Systems using Dynamic Linear Hybrid Automata, Journal of Software Engineering and Applications, Vol.9, No.9, pp.452-478, 2016. (10) K. Hamaya, <u>S. Yamane</u>: Detecting Bank Conflict of GPU Programs Using Symbolic Execution? Case Study, Journal of Software Engineering and Applications, Vol.10. No.2, pp.159-167, 2016. (11)柳瀬 龍, 山根 智: 線形ハイブリッ ドオートマトンの non-Zeno 公平性検証に対 する遷移述語抽象化の適用、MSS2015-40、 pp.29-33, 2016. (12) K. Hamaya, <u>S. Yamane</u>: Detecting Bank Conflict of GPU Programs Using Symbolic Execution, pp.1-3, IEEE 5th Global Conference on Consumer Electronics, 2015. - (13) T.Adachi, S.Yamane, K.Sakurai: Distributed CFG-based Symbolic Execution for Assembly Programs , IEEE 4th GCCE, pp.1-5, 2015. - (14) K. Sakurai, H. Masuhara: The omission finder for debugging what-should-have-happened bugs in object-oriented programs, 30th ACM SAC, pp. 1962-1969, 2015. - R. Yanase. (15)T.Sakai. M. Sakai. Verification S.Yaname: Formal Dynamically Reconfigurable Systems, IEEE 4th GCCE, pp.1-5, 2015. - (16)公下亮佑, 山根 智: 記号実行による 組込みアセンブリプログラムのソフトウェ アモデル検査, MSS2015-15, pp.77-81, 2015. [学会発表](計 0件) [図書](計 0件) 〔産業財産権〕 出願状況(計 0件) 名称: 発明者: 権利者: 種類: 番号: 出願年月日: 国内外の別: 取得状況(計 0件) 名称: 発明者: 権利者: 種類: 番号: 取得年月日: 国内外の別: [その他] ホームページ等 6.研究組織 (1)研究代表者 山根智 (YAMANE SATOSHI) 研究者番号:70263506 (2)研究分担者 櫻井孝平 (SAKURAI KOUHEI ) 研究者番号:80597021 (3)連携研究者 ) ( 研究者番号: (4)研究協力者 ) (