并行模糊测试综述

Overview of parallel fuzzing

下载PDF

导出

摘要软件脆弱性已成为互联网安全的主要威胁来源,软件脆弱性分析技术的重要性日益突出。模糊测试是脆弱性分析的热点技术之一,通过持续生成测试用例、动态监控目标代码执行和反馈调节变异策略的方法尝试触发程序异常,具有部署便捷、适用性广和效果直观的优点。随着测试目标的复杂性增加,从业人员对模糊测试的效率提出了更高的要求。并行模糊测试通过并行执行、任务分解和共享信息等方法提高脆弱性分析的效率。首先,分析了基于覆盖反馈的模糊测试面临的主要挑战;之后,探讨了并行模糊测试的解决思路和方案,从系统结构、任务划分、语料库共享和崩溃去重等方面对并行模糊测试进行了综述;最后,总结了现有并行模糊测试的优缺点,并对未来发展方向进行了展望。 Software vulnerability has become the main threat of Internet security,so software vulnerability analysis technology has become increasingly prominent.As one of the hotspot technologies in vulnerability analysis,fuzzing triggers program exceptions by continuously generating test cases,dynamically monitoring the execution of target code,and implementing feedback adjusting variation strategies.Fuzzing has the advantages of convenient deployment,wide applicability and intuitive effect.However,the dynamic execution,variation and feedback mechanism of fuzzing is time-consuming,which affects the efficiency of vulnerability analysis.However,parallel fuzzing improves the efficiency of vulnerability detection with the help of parallel execution,task decomposition and information sharing.Firstly,the main challenges of fuzzing based on coverage feedback are analyzed.Besides,the ideas and solutions of parallel fuzzing are discussed.In addition,the system structure,task division,corpus sharing,crash de-duplication and other aspects of parallel fuzzing are summarized.Finally,the advantages and disadvantages of existing parallel fuzzing are summarized,and the future development direction is prospected.

作者顾涛涛卢帅兵李响况晓辉赵刚 GU Tao-tao;LU Shuai-bing;LI Xiang;KUANG Xiao-hui;ZHAO Gang(National Key Laboratory of Science and Technology on Information System Security,Institute of System and Engineering,Academy of Military Sciences,Beijing 100101,China)

机构地区军事科学院系统工程研究院信息系统安全技术国防科技重点实验室

出处《计算机工程与科学》 CSCD 北大核心 2022年第6期1046-1055,共10页 Computer Engineering & Science

关键词模糊测试并行模糊测试任务分发语料库共享崩溃去重 fuzzing parallel fuzzing task division corpus sharing crash de-duplication

分类号 TP311.55 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献4

1于朝晖.一图读懂《2019年我国互联网网络安全态势综述》[J].网信军民融合,2020,0(4):29-30. 被引量：4
2Jun Li,Bodong Zhao,Chao Zhang.Fuzzing:a survey[J].Cybersecurity,2018,1(1):80-92. 被引量：16
3李贺,张超,杨鑫,朱俊虎.操作系统内核模糊测试技术综述[J].小型微型计算机系统,2019,40(9):1994-1999. 被引量：5
4梁洪亮,阳晓宇,董钰,张普含,刘书昌.并行化智能模糊测试[J].清华大学学报（自然科学版）,2014,54(1):14-19. 被引量：3

二级参考文献16

1Godefroid P,Levin M Y,Molnar D.Automated white-box fuzz testing[C]//Proceedings of the 10th International Conference on Network and Distributed System Security Symposium.San Diego,USA:Schloss Dagstuhl,2008:201-213.
2Campana G.Fuzzgrind:An automatic fuzzing tool[Z/OL].(2013-09-12),http://esec-lab.sogeti.com/pages/Fuzzgrind.
3Molnar D,Wagner D.Catchconv:Symbolic Execution and Run-Time Type Inference for Integer Conversion Errors,Technical Report No.UCB/EECS-2007-23[R].Berkeley,USA:University of California at Berkeley,2007.
4Isaev I,Sidorov D.The use of dynamic analysis for generation of input data that demonstrates critical bugs and vulnerabilities in programs[J].Programming and Computing Software,2010,36(4):225-236.
5Clause J,LI Wanchun,Orso A.Dytan:A generic dynamic taint analysis framework[C]//Proceedings of the International Symposium on Software Testing and Analysis.New York,USA:The Association for Computing Machinery Press,2007:196-206.
6Drewry W,Ormandy T.Flayer:Exposing application internals[C]//Proceedings of the 1st USENIX Workshop on Offensive Technologies.Berkeley,USA:USENIX Association,2007:1-9.
7Schwartz E J,Avgerinos T,Brumley D.All you ever wanted to know about dynamic taint analysis and forward symbolic execution[C]//Proceedings of the 2010IEEE Symposium on Security and Privacy.Washington DC,USA:IEEE Computer Society,2010:317-331.
8Sen K,Marinov D,Agha G.CUTE:A Concolic unit testing engine for C[C]//Proceedings of the 13th ACM SIGSOFT International Symposium on Foundations of Software Engineering.New York,USA:The Association for Computing Machinery Press,2005:263-272.
9King J C.Symbolic execution and program testing[J].Communications of the ACM,1976,19(7):385-394.
10Nethercote N,Valgrind S J.A framework for heavy weight dynamic binary instrumentation[C]//Proceedings of the2007ACM SIGPLAN Conference on Programming Language Design and Implementation.New York,USA:The Association for Computing Machinery Press,2007:89-100.

共引文献22

1廉美,邹燕燕,霍玮,邹维.动态资源感知的并行化模糊测试框架[J].计算机应用研究,2017,34(1):52-57. 被引量：4
2贾春福,严盛博,王志,武辰璐,黎航.提高fuzzing边覆盖率的改进方法[J].通信学报,2019,40(11):76-85.
3刘景美,高源伯.自适应分箱特征选择的快速网络入侵检测系统[J].西安电子科技大学学报,2021,48(1):176-182. 被引量：12
4李明磊,黄晖,陆余良,朱凯龙.SymFuzz:一种复杂路径条件下的漏洞检测技术[J].计算机科学,2021,48(5):25-31. 被引量：4
5任泽众,郑晗,张嘉元,王文杰,冯涛,王鹤,张玉清.模糊测试技术综述[J].计算机研究与发展,2021,58(5):944-963. 被引量：29
6张弛,司徒凌云,王林章.物联网固件安全缺陷检测研究进展[J].信息安全学报,2021,6(3):141-158. 被引量：5
7王颖,王冰青,关永,李晓娟,王瑞.面向ROS的差分模糊测试方法[J].软件学报,2021,32(6):1867-1881. 被引量：4
8苏小玉,董兆伟,孙立辉,徐奎奎.基于强化LSTM的网络安全态势预测方法[J].计算机技术与发展,2021,31(7):127-133. 被引量：6
9Wenjie Wang,Donghai Tian,Rui Ma,Hang Wei,Qianjin Ying,Xiaoqi Jia,Lei Zuo.SHFuzz:A Hybrid Fuzzing Method Assisted by Static Analysis for Binary Programs[J].China Communications,2021,18(8):1-16.
10项兆坤,陈婷,苏仟,张蓉.面向OLAP数据库查询处理功能的模糊测试工具[J].华东师范大学学报（自然科学版）,2021(5):74-83. 被引量：4

1张鑫.非传统安全攻击手段相关理论学习及研究[J].网络安全技术与应用,2022(5):32-34.
2江苏一季度全省生猪产能稳定[J].农家致富,2022(11):51-51.
3陈烨蕾.关于大型国企科研项目进度管理的分析[J].中国科技投资,2022(4):69-71.
4邓小瑜,邱小群,杨敏.基于产教融合的创新创业人才培养模式探索与实践--以珠海城市职业技术学院为例[J].商展经济,2022(12):105-107. 被引量：3
5杨海华,祁首铭.高铁网络脆弱性评价方法研究——以东北地区为例[J].大连交通大学学报,2022,43(2):1-5. 被引量：2
6郭阳,李昆昆,于春雨,卢石磊,李文博,刘甜.超大型三维场景分布式渲染系统体系结构与技术研究[J].科技创新与应用,2022,12(17):23-26.
7钟瑞友.未成年人检察多跨场景应用构建的理论基础与实践展开[J].中国检察官,2022(9):23-27. 被引量：1
8赵开鹏,李碧雄,吴德民,胡相鑫.台风-风暴潮下海南地区砌体房屋物理脆弱性分析[J].防灾减灾工程学报,2022,42(2):330-339. 被引量：2
9张永刚,赵婧一,常青.项目学习:用向量发现三角形中的“美”--“用向量法研究三角形的性质”教学设计、实践与反思[J].中国数学教育（高中版）,2022(6):29-37. 被引量：4
10蒋祖斌,黄银春,梁时军,袁姁.行政区域间地表水月度水质考核成绩模型建立与应用[J].环境科学导刊,2022,41(3):80-85.

计算机工程与科学

2022年第6期

浏览历史

内容加载中请稍等...

并行模糊测试综述

参考文献4

二级参考文献16

共引文献22

相关作者

相关机构

相关主题

浏览历史