定义1 检查点（check point）。软件流程上的一些关键点，一般选取软件独立功能结束处和软件分支处或比较重要的系统调用处作为检查点，用以提取软件的场景信息。

定义 2 场景（scene）。检查点处必要的软件运行背景信息和结果信息，包括系统调用、系统调用参数、计算结果（转移条件）、CPU 利用率、内存占用率、软件运行时间等，它是一个n元组，记为$Y$，$Y=\{x_1,x_2,\cdots ,x_n\}$。

定义 3 行为轨迹。由软件的运行轨迹和功能轨迹组成，是指软件主体所实施的行为按照时间顺序记录下来形成的形式化序列。

定义 4 运行轨迹。是指按执行顺序将检查点串联起来的序列。

定义 5 功能轨迹。与运行轨迹相对应的检查点场景信息序列。

定义 6 检查点时间。从程序开始运行或从检查点开始运行到该检查点的时间，记为$T_i(i=0,1,2,\cdots ,n-1)$。

定义7 检查点时间增量。第i个检查点与第i-1个检查点的时间之差，记为$\Delta T_i=T_i-T_{i-1}$(1≤I ≤n-1)。

定义8 CPU利用率变化量。第i个检查点与第 i-1 个检查点的 CPU 利用率之差，记为$\Delta P_i=P_i-P_{i-1}$(1≤i≤n-1)。

定义 9 软件行为监测。是指软件运行时，在检查点处对行为信息进行收集、评估等操作，一般通过监测（软件）进行。

检查点的可信评估依赖于检查点的行为信息。根据在软件运行时监测到的检查点场景信息来分析检查点行为的可信情况，当检查点行为发生异常时，场景中的很多属性信息会发生变化。吴佳等^[4]选择了变化比较直观的 CPU 利用率、内存占用率和磁盘利用率等作为WebLogic服务器的系统特征。根据文献[4]的研究，CBSI-TM 模型选择了检查点时间T、CPU利用率P、内存利用率M、网络传输速度B，同时为了研究相邻检查点之间发生的系统状态变化，即通过软件当前检查点的状态进而预测下一个检查点的状态，CBSI-TM模型还选择了相邻检查点时间增量ΔT、CPU利用率变化量ΔP，最终将以上6个影响因素作为检查点的场景信息。

检查点时间变化量和 CPU 利用率变化量反映的是第i-1检查点与第i个检查点之间的系统状态变化，通过大量的实验测试可知，程序正常运行在相同的环境下，这2个变化量的数据均满足正态分布 X ～N(μ,σ)(X 表示 ΔT 或 ΔP)，并且处于[μ-nσ,μ+nσ]范围内。如果超出这个范围，可能是由于以下3个原因造成的：1)程序本身发生改变，出现异常；2)运行背景有其他程序与该程序并行运行；3)运行该程序的机器（包括虚拟机）出现异常。

因此，选择以上这6个影响因素既能够反映当前检查点的系统状态，又能够反映相邻检查点的系统状态变化。

2.3.1 RBF神经网络

RBF神经网络^[12]是一个具有单隐含层的3层前馈网络，具有非线性逼近能力强、网络结构简单、学习速度快、不易陷入局部极小点和顽健性能好等优点，利用RBF神经网络有助于对大量、复杂的信息进行科学的分类。RBF神经网络结构如图1所示，包括输入层、隐含层和输出层。输入层节点只传递输入信息到隐含层，隐含层节点对输入信号在局部产生响应，输出层节点通常是简单的线性函数。

2.3.2 马尔可夫模型

马尔可夫过程^[13]是研究某一事件的状态及状态之间转移规律的随机过程理论，它通过分析某一时刻不同状态的初始概率及状态之间转移概率的关系来研究未来某时刻状态的变化趋势。

马尔可夫链预测的理论基础是马尔可夫过程，对其运动变化的分析主要是研究链内有限马尔可夫过程的状态及其相互关系，进而预测链的未来状况，并据此做出决策。马尔可夫模型可表示为

其中，$x\left(n\right)$为n时刻的状态概率向量，$x\left(0\right)$为初始时刻的状态概率向量，$P$为状态转移概率矩阵。

由2.2节的分析可知，影响检查点状态变化的场景信息包括检查点时间、CPU 利用率、相邻检查点时间增量、CPU 利用率变化量、内存利用率、网络传输速度，这些影响因素具有很多不确定性和随机时变特性，因此导致检查点状态发生改变时也呈现了很强的随机时变特性，并且其变化趋势只与前一个检查点状态的场景信息有关，而与其他检查点的状态无关。因此可以利用马尔可夫模型的特性来预测检查点的状态，进而对软件的异常行为及时进行调整。

基于检查点场景信息的软件行为可信预测模型的框架如图2所示。在每个检查点都部署一个监测器，并为每个被监测检查点创建一个独立的信息存储队列。监测器获取到检查点的场景信息后，将监测数据暂存在对应的信息队列中，同时添加在本地监测信息库中。对每个检查点，设置一个 RBF神经网络分类器，对检查点场景信息进行离线训练和在线评估，步骤如下。

步骤 1 离线训练。从本地监测信息库获取场景信息，训练RBF神经网络。检查点场景信息通过输入层传递到隐含层，隐含层神经元使用混合高斯激励函数对输入层的信息进行运算处理，输出层神经元对隐含层神经元的输出进行加权求和并输出结果，训练完成后，保存训练好的RBF神经网络。

步骤 2 在线评估。监测器捕获软件运行时检查点的场景信息并暂存在对应信息队列，RBF神经网络分类器从检查点信息队列获取场景信息进行处理，评估当前检查点的可信情况。

然后通过半加权马尔可夫模型，得到软件在下一个检查点处于不同状态的概率或在当前检查点进行调整的概率，分为离线训练和在线评估2个步骤，介绍如下。

步骤 1 离线训练。将软件运行时的第 i 个检查点与第i+1个检查点的状态信息作为样本集，训练得到第i个检查点的状态概率向量$y_i$，第i个检查点正常或临界状态a_k转移到第i+1个检查点状态a_j的概率P_kj，用第i个检查点正常或临界状态对第i+1个检查点影响程度的权重对概率P_kj加权；如果第i个检查点异常，则进行人工干预，调整为正常状态的概率为P_kj。对所有的转移概率进行规范化，得到半加权马尔可夫模型的转移概率矩阵，建立半加权马尔可夫模型。

步骤2 在线评估。在软件运行时，RBF分类器评估第i个检查点的状态，若异常，则在第i个检查点处进行人工干预检查；否则，根据第i个检查点的状态概率向量$y_i$与加权转移概率相乘得到第i+1 个检查点的状态概率向量，该向量中的最大概率对应第i+1个检查点的可能状态。例如，检查点以较高的概率进入异常状态，通过显示器或报警器通知管理员干预检查，甚至暂停运行，进而使软件的异常运行及时得到调控。

由于场景信息中的各个因素对检查点状态的影响程度不同，因此半加权马尔可夫模型对各个属性因素采用加权的方法进行计算，求得综合场景值。采用模糊层次分析法FAHP^[19]，求得各场景信息的权重ω，则检查点e场景值计算式为

其中，S(e) 表示检查点e的场景值，g_T表示检查点时间，g_ΔT表示相邻检查点时间增量，g_P表示CPU利用率，g_ΔP表示相邻检查点CPU利用率变化量， g_M表示内存利用率，g_B表示网络传输速度。

半加权马尔可夫模型依据各场景信息的相对重要程度不同，在计算场景信息的权重时数量标度如表1所示。

根据表1，按场景信息元素的重要程度，通过两两比较，建立优先关系矩阵^[3]$A$为

然后将优先矩阵转化成一致模糊矩阵，对优先关系矩阵 A 按行求和，记为m $r_i={\displaystyle \sum _{j=1}^m{r}_{ij}}$，进行${r^{\prime }}_{ij}=\frac{r_i-r_j}{2n}+0.5$j变换，然后依据式(6)计算权重^[3] ω_k为

由于检查点i的不同状态对检查点i+1的影响程度不同，因此通过式(7)表示检查点i+1的状态，即

其中，S(i)₁、S(i)₂分别表示检查点 i 的正常状态和临界状态，µ₁、µ₂分别表示检查点i的正常状态和临界状态对检查点 i+1 的正常状态影响程度的权重，µ₃、µ₄分别表示检查点i的正常状态和临界状态对检查点i+1的临界状态影响程度的权重，µ₅、µ₆分别表示检查点i的正常状态和临界状态对检查点i+1 的异常状态影响程度的权重。向量$S_i=\{\overline{S_1},\overline{S_2}\}$表示检查点 i 正常、临界的平均场景值， $S_{i+1}=\{\overline{S_{11}},\overline{S_{12}},\overline{S_{13}},\overline{S_{21}},\overline{S_{22}},\overline{S_{23}}\}$ 表示检查点 i+1 的平均场景值，其中，$\overline{S_{1n}}$表示检查点i正常时，检查点i+1的正常、临界、异常的平均场景值，$\overline{S_{2n}}$表示检查点i临界时，检查点i+1的正常、临界、异常的平均场景值。比较 1$\frac{\overline{S_1}}{\overline{S_{1n}}}$与$\frac{\overline{S_2}}{\overline{S_{2n}}}$的大小， 1$\frac{\overline{S_1}}{\overline{S_{1n}}}$比$\frac{\overline{S_2}}{\overline{S_{2n}}}$越大，表示检查点i的正常状态比临界状态对检查点i+1的状态影响程度越大，反之，表示对检查点i+1的状态影响程度越小。

在求解权重µ时，首先要将检查点i的正常状态和临界状态对检查点 i+1 影响程度大小进行比较，然后建立优先关系矩阵，转换成模糊一致矩阵，利用式(6)计算权值µ。

半加权马尔可夫模型设定了4个状态，其状态空间E={1,2,3,4}，其转移概率矩阵由2种概率组成：1) 当前检查点正常或临界状态转移到下一个检查点任一状态的概率加权重 µ 规范化后作为加权转移概率；2) 当前检查点异常状态进行调整的概率规范化后作为调整转移概率。将系统在第i个检查点处于状态k转移到第i+1个检查点处于状态j的状态转移概率和检查点i异常状态调整的概率记为p_kj，k,j∈E。

当第i个检查点处于正常或临界状态时，若用f_kj表示检查点从第i个检查点状态k经过转移到达第i+1个检查点状态j的频数，那么由f_kj组成的矩阵称为转移频数矩阵，转移频数f_kj除以所在行总和即为从第i个检查点状态k经过转移到达第i+1个检查点状态 j 的转移概率，对转移概率加权重 µ，构成加权转移概率，其中，$p_{kj}=\frac{{\mu }_j{f}_{kj}}{{\displaystyle \sum _{j=1}^3{f}_{kj}}}$，k=1,2， j=1,2,3且p_kj >0。

当第i个检查点处于异常时，就通知管理员对检查点i进行调控，检查点i从异常状态转移到干预状态，经过调整，检查点i从干预状态转为正常状态。所以检查点i从异常状态转移到干预状态和从干预状态转移到正常状态是必然事件，其概率p₃₄、p₄₁都为1，而从异常状态转移到其他状态是不可能事件，其概率p₃₃为0。

对第i个检查点所有状态转移概率p_kj，通过式(8)进行规范化变换，有

规范化变换后，所有的转移概率${p^{\prime }}_{kj}$构成半加权马尔可夫模型转移概率矩阵$P^{\prime }$为

其中，${p^{\prime }}_{1j}\left(j=1,2,3\right)$ 表示第i个检查点是正常状态时，转移到第i+1个检查点的状态是正常状态、临界状态、异常状态的概率，${p^{\prime }}_{2j}\left(j=1,2,3\right)$表示第i个检查点是临界状态时，转移到第 i+1 个检查点的状态是正常状态、临界状态、异常状态的概率，p₃₄′表示第 i 个检查点从异常状态转移到干预状态的概率，p₄₁′ 表示第i个检查点从干预状态转移到正常状态的概率，p₃₃′ 表示从异常状态转移到其他状态的概率。

通过以上过程即可建立初始半加权马尔可夫模型，如图3所示。

为了使预测有意义，预测应满足如下约束条件：对第 i+1 个检查点的状态预测的时间开销为$t_{i+1}^p$，检查点 i 和检查点 i+1 时间之差为$\Delta t_{i+1}=t_{i+1}-t_i$，$t_{i+1}^p<\Delta t$ 。

根据收集的检查点i的场景信息，利用RBF分类器判定检查点的状态，可以确定检查点i的状态概率向量为$y_i=(y_1,y_2,y_3)$，y_i的各元素值就是检查点i处于各状态的概率值，且满足${\displaystyle \sum _{n=1}^3{y}_n}=1$。

检查点 i+1 的状态概率向量可表示为$y_{i+1}=(y_1,y_2,y_3)$。因为检查点的概率向量中各元素值就是检查点处于各状态的概率值，所以当检查点i处于正常或临界状态时，可以通过式(9)计算检查点i+1的状态概率向量，其中，状态概率的最大值所对应的状态即为第i+1个检查点的预测状态。

其中，${y^{\prime }}_i=(y_1,y_2)$，$p^{\prime }=\left[\begin{array}{ccc}{p^{\prime }}_{\text{11}}& {p^{\prime }}_{\text{12}}& {p^{\prime }}_{\text{13}}\\ {p^{\prime }}_{\text{21}}& {p^{\prime }}_{\text{22}}& {p^{\prime }}_{\text{23}}\end{array}\right]$。

预测过程如下。

1) 监测器捕获软件运行时第i个检查点的场景信息，然后通过RBF神经网络分类器判断检查点i的状态。

2) 若检查点i处于异常状态，通过显示器或报警器通知管理员干预检查，甚至暂停运行。

3) 若检查点i 处于正常状态，则计算检查点i的场景值S₁，比较 $\frac{S_1}{\overline{S_{1n}}}$与 $\frac{\overline{S_2}}{\overline{S_{2n}}}$(n=1,2,3)大小；若检查点 i 处于临界状态，则计算检查点 i 的场景值S₂，比较$\frac{\overline{S_1}}{\overline{S_{1n}}}$与$\frac{S_2}{\overline{S_{2n}}}$(n=1,2,3)大小。根据式(6)修改权值 µ，对原始未加权转移矩阵重新加权，然后规范化，构成新的半加权马尔可夫模型的转移概率矩阵。

4) 若检查点i处于正常或临界状态，则通过式(9)计算检查点 i+1 的状态概率向量 $y_{i+1}$，其中，状态概率的最大值所对应的状态即为第i+1个检查点的预测状态；若显示为异常，则通过显示器或报警器通知管理员干预检查，甚至暂停运行，否则，不进行任何调整。

RBF神经网络在Matlab R2015a平台上建立，网络采用600条记录，按照70%、15%、15%的比例分为训练样本集、校正样本集、测试样本集，预设精度为0.001，学习率设置为0.01。

为了排除由于场景信息的各个指标因数量级或量纲上的差别而造成的影响，可用以下计算式进行归一化。

其中，max和min分别表示各指标中的最大值和最小值。

在训练RBF神经网络时，将检查点的场景信息作为输入，检查点状态作为输出，所以输入层神经元数量为6个，输出层神经元数量为3个，设C₁、C₂、C₃分别表示检查点正常状态、临界状态、异常状态，将这 3 个状态的输出形式分别设为[1,0,0]、[0,1,0]和[0,0,1]。若训练后应用 RBF 神经网络分类处理输出为[1,0,0]，则相关样本属于正常类；若RBF神经网络分类处理输出为[0,1,0]，则相关样本属于临界类；若RBF网络分类处理输出为[0,0,1]，则相关样本属于异常类。

根据神经网络的运行机制分析可知^[20]，影响神经网络泛化能力的因素可以分成两类：一类是样本的影响，另一类是来自神经网络本身的影响。本实验主要分析 RBF 神经网络本身对其泛化能力的影响，即通过分析连接权值及训练精度对泛化能力的影响，从而确定RBF神经网络的结构。

下面，通过训练数据集、校正数据集对RBF神经网络的连接权值及训练精度进行确定，并以网络的平均输出误差为评判指标，然后测试RBF神经网络的预测能力，输入测试样本，以分类正确率为评判指标。初始设置隐含层神经元数为10个，并每次以 10个训练样本进行迭代训练 RBF神经网络，而且隐含层神经元个数随着样本的增加而增加，同时，通过式(2)得出网络在每次迭代训练的权值，通过式(4)得出网络的平均输出误差，直到每一个训练样本都曾被用于隐含层神经元中心，然后通过校正样本集增加隐含层神经元个数，如果此时网络的平均输出误差比训练的误差小，则校正网络的权值及平均输出误差；随着隐含层神经元个数的增加，如果此时网络的平均输出误差比前一次增加的隐含层神经元校正的误差大，则保持前一次增加的隐含层神经元个数，说明网络的平均输出误差已达到最小值，此时RBF神经网络结构建立完成。然后通过测试数据集测试网络的预测能力，检查点 e₁与检查点 e₂的 RBF 网络训练和校正的平均输出误差结果分别如图4 和图5所示，测试分类的预测精度分别如表2和表3所示。

注：沿行方向是期望类别结果，沿列方向是实际类别结果。

从图4和图5可以看出，随着隐含层神经元个数的增加，RBF神经网络的平均输出误差降低，当输出误差达到最小时，继续增加隐含层神经元个数，输出误差会增大，删除使输出误差增大的多余隐含层神经元个数，确定检查点 e₁的 RBF 网络的隐含层神经元数为480个，检查点e₂的RBF网络的隐含层神经元数为 470 个，所以此时检查点 e₁与e₂的RBF分类系统就建立起来了。

表2和表3的状态分类矩阵实验结果表明，采用RBF神经网络能够完成对检查点e₁与e₂状态的正确分类，总的正确率分别达到95.93%和94.81%。因此可以确定此时 RBF 网络的预测具有很好的泛化能力。

在计算场景信息的权重时，采用的是0.1～0.9标度，如表4所示。因为0.1～0.9标度相对其他的标度来说，标度的均匀性和标度的可感知性是最好的^[21]。

采用FAHP方法计算场景信息g_T、g_ΔT、g_P、g_ΔP、g_M、g_B对应的权重，构建优先模糊矩阵A为

根据式(6)计算得到(ω₁,ω₂,ω₃,ω₄,ω₅,ω₆)= (0.16,0.16,0.19,0.18,0.16,0.15)。

根据式(5)计算得到检查点e₁的正常、临界的平均场景值$(\overline{S_1},\overline{S_2})=(33.94,37.07)$。

当检查点e₁正常时，根据式(5)计算得到检查点e₂的正常状态、临界状态、异常状态的平均场景值$(\overline{S_{11}},\overline{S_{12}},\overline{S_{13}})=\text{(51}\text{.73,58}\text{.86,68}\text{.53)}$。

当检查点e₁临界时，根据式(5)计算得到检查点e₂的正常状态、临界状态、异常状态的平均场景值$(\overline{S_{21}},\overline{S_{22}},\overline{S_{23}})=(56.58,62.06,69.51)$。

比较 $\frac{\overline{S_1}}{\overline{S_{1n}}}$与$\frac{\overline{S_2}}{\overline{S_{2n}}}$的大小，根据式(6)计算得到(μ₁,μ₂,μ₃,μ₄,μ₅,μ₆)=(0.500 8,0.499 2,0.495 6,0.504 4,0.490 8,0.509 2)。

根据收集的正常程序运行和加入干扰程序运行的数据，对这两类数据利用 RBF 进行分类判别，统计得到检查点 e₁正常和临界状态在数据收集结束时的数据量分别是6 660和1 422，所以检查点e₁的状态概率向量${y^{\prime }}_i=(0.824,0.176)$，未加权转移概率矩阵为

根据式(7)对未加权转移概率进行加权µ，则半加权马尔可夫模型的转移概率矩阵$P^{\prime }$为

通过以上步骤，建立初始半加权马尔可夫模型。

程序在检查点 e₁与 e₂之间运行时间的增量最短是27.353 s，而通过检查点e₁状态预测检查点e₂状态的时间是16.239 s，这表明利用半加权马尔可夫模型进行预测是有意义的。

本实验选择50个程序周期对检查点e₂的状态进行评估，第1、5、8、11、15、17、23、30、37、41、44、48周期在检查点e₀与e₁之间注入干扰程序 t1.start()，并行运行目标程序和注入干扰后的程序；第 4、7、20、22、33、39 周期使累加器正常运行；第 14、23、30、34、35、36、38、40、43周期在检查点e₁与e₂之间注入干扰程序t1.join()，并行运行目标程序和注入干扰后的程序，收集这 3种情况下的检查点e₁、e₂的场景信息进行实验。检查点e₂状态的散点评估如图6所示。

本文所提模型CBSI-TM对这50个周期的检查点e₂状态进行如下预测：第1个周期的检查点e₁场景值为34.57，计算 $\left(\frac{S_1}{\overline{S_{11}}},\frac{S_1}{\overline{S_{12}}},\frac{S_1}{\overline{S_{13}}}\right)=(0.6683,0.5873,0.5045)$(0.668 3,0.587 3,=0.504 5)，然后通过式(6)计算权重(μ₁,μ₂,μ₃,μ₄,μ₅,μ₆)= (0.502 5,0.497 5,0.497 9,0.502 1,0.493 1,0.506 9)，对矩阵$P$ 的前两行重新加权，从而得到新的半加权马尔可夫转移概率矩阵为

令$p^{\prime }=\left[\begin{array}{ccc}0.186& 0.454& 0.360\\ 0.112& 0.332& 0.556\end{array}\right]$，然后根据$y_{i+1}={y^{\prime }}_i{p}^{\prime }$计算得到检查点 e₂ 的状态概率向量$y_{i+1}=(0.173,0.433,0.394)$，最大的概率为0.433，其对应检查点e₂的状态2，即临界状态，与图6中实际状态一样。对第2～50个周期的检查点e₂的状态也按照以上步骤来计算。

将本文所提模型 CBSI-TM 与文献[3]的基于软件行为的检查点风险评估信任模型 CBRA-TM 和RBF神经网络分类方法进行比较，对这50 个周期检查点e₂的状态进行评估，其结果如图6所示。程序运行到检查点e₁的时间t_i和检查点e₂的时间t_i+1与各模型评估检查点e₂状态所需的时间Δt 的总时间开销t=t_i+Δt或t=t_i+1+Δt如图7所示。图6显示了与实际检查点e₂的状态相比，各模型对检查点e₂状态评估的结果。从图6可以得到以下结论。

1) 本文CBSI-TM模型只是在第2、29、50周期对检查点e₂状态的预测稍有偏差，因为在计算加权转移概率的权值时，除了检查点e₁是软件当前运行的场景值，检查点 e₂所有状态的场景值都是均值，与实际稍有偏差，导致预测检查点e₂的状态有偏差，所以其正确率为94%，而且CBSI-TM可以对检查点e₂的状态进行双重评估，从5.1节测试得出，RBF分类方法对检查点e₂状态评估的平均正确率为94.81%，所以CBSI-TM进行双重评估的平均正确率为94.405%。

2) 当采用 CBRA-TM 模型评估检查点 e₂的状态时，在第6、17、37、42周期对检查点e₂状态的评估与实际状态有所不同，因为通过检查点发生风险的可能性与设定的阈值对比的方式来判断检查点的状态时，阈值的设定会导致对检查点状态的评估有偏差，所以其正确率为92%。

3) 当采用RBF神经网络分类方法时，在第3、6 周期对检查点 e₂ 状态的评估与实际状态有所不同，因此其正确率为96%。

4) CBSI-TM模型评估的正确率低于RBF分类方法，这可能是因为在检查点e₁、e₂之间存在干扰，在检查点 e₁预测时引起检查点 e₁场景信息变化不明显，导致预测检查点e₂异常状态有偏差。

因为 CBSI-TM 模型可以在程序运行到检查点e₁时对检查点e₂的状态进行预测，而CBRA-TM模型和 RBF 神经网络分类方法只有在程序运行到检查点e₂时，才对检查点e₂的状态进行评估，所以从图7可以得到以下结论。

1) CBSI-TM模型评估检查点e₂状态的总时间开销比 CBRA-TM 模型和 RBF 神经网络评估检查点e₂状态的总时间开销明显少，RBF比CBRA-TM模型的时间开销少，这是因为CBRA-TM模型需要计算场景值并与其正常范围进行对比，才能评估检查点e₂的状态，而RBF通过将检查点e₂状态信息输入 RBF 神经网络即可得到检查点 e₂的状态，因此处理检查点e₂信息的时间比CBRA-TM模型少，但 RBF 与 CBRA-TM 模型均是在程序运行到检查点e₂处，才对检查点e₂状态进行评估，所以总的时间开销是相似的。

2) 利用CBSI-TM模型对检查点e₁的状态进行评估后，预测检查点e₂的状态是合理和有效的，而且能实时调整半加权马尔可夫模型的参数，实现了动态预测。

3) 该实验也体现出CBSI-TM模型具有较强的针对性，只要在某个程序运行轨迹中设置检查点，发现检查点之间的状态变化规律，就能较为直观地反映软件未来运行趋势的可信情况，从而实现对软件的异常行为提前做出调控。