作为一种广泛使用的自动化软件测试技术，模糊测试通过自动化过程随机变异现有输入来生成新的测试输入，旨在生成能够覆盖程序中潜在错误和异常情况的输入。通过监控被测试程序的运行状态，它可以检测是否存在漏洞、错误、异常行为或程序崩溃，从而揭示软件中的安全问题（Aschermann等人，2019年；Zheng等人，2019年；Huang等人，2024年；Fioraldi等人，2020b年）。在这些模糊测试方法中，覆盖引导的灰盒模糊测试（CGF）是最受欢迎的方法之一（Li等人，2018年；B?hme等人，2019年；Chen等人，2023年）。它利用代码覆盖率作为反馈来指导输入生成过程，保留通过变异产生的有趣的新输入（即触发新程序状态的输入）。这确保了新输入能够探索目标程序的不同控制流边缘，从而最大化程序输入空间的探索范围（Liang等人，2022年）。

此外，在模糊测试过程中优化种子调度和变异策略是CGF的两个关键研究挑战。适当的变异策略可以显著提高模糊测试发现新边缘覆盖率和暴露程序崩溃的能力。例如，现有的变异调度方法主要基于历史变异数据来优化变异操作符的概率分布（Lyu等人，2019年；Jauernig等人，2023年），使得模糊测试工具在变异过程中更有可能选择更有效的变异操作符。对于种子调度，主要挑战是确定种子库中哪些种子最有可能生成能够在被测试程序中探索尽可能多新边缘的新输入。这些有潜力的种子会被赋予更高的执行优先级和更多的变异机会，以实现更高的代码覆盖率。一个简单而理想的策略是根据种子在程序的控制流图（CFG）中能够覆盖的可达边缘数量来调度种子。然而，这种理想化的方法假设CFG中的所有边缘都可以通过变异到达。但在实际程序中，往往存在难以通过随机变异绕过的复杂约束，这使得这种理想化的策略效果较差。先前的研究还表明，通过随机输入变异到达子节点通常比到达父节点更困难（Peng等人，2018年）。换句话说，通过随机变异突破约束以到达新的控制流边缘颇具挑战性。对于嵌入在较简单约束中的浅层边缘，大量变异输入可能能够到达它们。但对于嵌入在更复杂约束中的深层边缘，通过变异生成的新输入可能很少（如果有的话），因为许多分支难以通过随机变异访问。

目前，在现有的CGF种子调度方法中，EcoFuzz（Yue等人，2020年）根据种子变异历史生成的新路径覆盖数量来计算奖励概率，从而指导模糊测试工具优先选择奖励概率较高的种子，因为这些种子在变异过程中产生新路径覆盖的潜力更大。AFLFAST（B?hme等人，2019年）通过使用马尔可夫链优先选择低频路径的种子输入，引导模糊测试工具探索输入执行较少覆盖的路径。K-Scheduler（She等人，2022年）根据程序执行时的控制流图构建一个边缘地平图，并计算种子节点的Katz中心性来估计到达未访问边缘的可能性，从而实现种子的优先调度。然而，随着模糊测试过程的进行，种子数量呈爆炸性增长，导致巨大的计算负担，时间成本变得不可预测。此外，SLIME（Lyu等人，2022年）定义了详细的种子属性，并根据种子在特定属性上的表现对其进行从高到低的排序。它使用自定义的上置信界方差感知（UCB-V）算法来估计每个属性队列发现未知路径的潜力，并根据这种潜力选择属性队列并对该队列中的种子进行变异，从而实现种子调度。

然而，这些现有方法没有考虑测试过程中不同种子执行路径的覆盖模式在整个程序空间中的整体分布。由于种子输入之间的差异，不同种子探索的程序空间也有所不同。相似的种子具有相似的输入模式和执行行为，种子之间的差异越大，它们探索的程序空间就越多样化。忽视关于不同类型种子探索的区域及其检测新代码覆盖潜力信息，测试往往只停留在探索程序空间的特定区域。这导致目标程序中不同代码区域的探索不平衡，限制了全面探索整个程序空间的能力。

为了解决现有方法的问题，本文提出了一种基于汤普森采样的种子调度策略，称为TMS-Fuzz。TMS-Fuzz旨在通过根据种子的输入覆盖模式对种子进行分组，并考虑种子组的覆盖分布和潜在变异值来平衡不同代码区域的探索。首先，TMS-Fuzz根据种子路径覆盖之间的路径相似性动态且自适应地对种子进行分组。同一组内的种子具有相似的覆盖模式和执行行为，形成在特征空间中彼此接近的种子集合，代表程序空间的特定区域和行为模式。对于种子较少的组，这表明相应的代码区域被探索得较少，该区域的边缘和分支覆盖较少。其次，TMS-Fuzz使用定制的汤普森采样算法根据种子在发现独特路径和程序崩溃方面的表现来估计每个种子组的潜在测试奖励。最后，在估计奖励的指导下，TMS-Fuzz统计选择种子组并对组内的种子进行变异。通过实时动态更新每个种子组的潜在投资回报率，TMS-Fuzz确保执行时优先考虑潜在价值较高的种子，同时避免模糊测试工具对那些执行边缘已被其他种子过度覆盖的种子的偏好。这有助于平衡不同代码区域的探索。本文的主要贡献如下：

•

设计了一种动态、自适应的种子聚类方法，以捕捉不同种子执行覆盖之间的路径相似性，实现种子的聚类。

•

基于种子聚类结果，种子组的评估自然地被构建为一个多臂老虎机（MAB）问题。使用定制的汤普森采样算法，根据不同种子组在生成独特路径和程序崩溃方面的表现来估计每个种子组的潜在测试奖励。在估计奖励的指导下，从选定的种子组中统计选择种子进行模糊测试。这种定制使得动态臂管理能够适应模糊测试过程中种子组数量的变化。

•

在对八个广泛使用的真实世界程序进行的初步实验研究中，TMS-Fuzz在检测独特程序崩溃和代码覆盖率方面表现更好。

本文的其余部分组织如下。第2节介绍背景。第3节介绍了所提出的基于汤普森采样的种子调度策略的动机和实现。第4节总结了实验结果，并通过分析不同模糊测试方法的性能来讨论我们的发现。第5节总结了相关工作。第6节总结了本文并展望了未来的工作。