一种基于遗传算法的Fuzzing测试用例生成新方法

本文根据传统漏洞挖掘Fuzzing技术的特点,针对其存在的不能求解非线性解和只能有单个的输入的问题,提出了一种基于遗传算法的漏洞挖掘测试用例生成的新方法.该方法能够利用遗传算法的优势,同时可以应对多输入测试用例问题和非线性求解问题.从自测程序的结果看出,相比于传统随机生成Fuzzing测试用例的方法,本方案在效率和覆盖率方面具有明显的提高.

基于Fuzzing的文件格式漏洞挖掘技术

软件漏洞挖掘已成为信息安全研究的一个热点,基于此,分析现有漏洞挖掘工具的不足,阐述基于Fuzzing的漏洞挖掘与分析的功能需求,根据文件格式结构化存储的特征,给出一种启发式的畸形数据的构造方法,设计并实现文件型漏洞智能挖掘与分析系统,给出软件结构、运行机制和关键技术。实例测试结果表明,该系统有效提高了文件漏洞挖掘的效率和智能化水平。

基于Fuzzing的ActiveX控件漏洞挖掘技术研究

ActiveX控件漏洞存在广泛且往往具有较高的威胁等级,有必要对此类漏洞的挖掘技术展开研究,发现并修复漏洞,从而杜绝安全隐患.在对ActiveX控件特性进行分析的基础上,设计并实现了ActiveX控件漏洞挖掘工具——ActiveX-Fuzzer.它基于黑盒Fuzzing测试技术,能够自动地构造半有效数据对控件接口展开测试,尝试发现潜在的缓冲区溢出、整数溢出及格式化字符串错误等安全问题.通过使用该工具对常用ActiveX控件进行广泛的测试,发现多个未公布的高危漏洞,受影响的软件包括腾讯QQ、WinZip、微软Office等国内外重要软件,以及部分知名银行的网上服务中使用的控件.该测试结果表明了ActiveX-Fuzzer的有效性和先进性.

遗传算法在多维Fuzzing技术中的应用

对存在的多维Fuzzing技术中使用的遗传算法不能表示多种输入类型元素,不能充分使用已得到知识从而大大降低了基于知识的多维Fuzzing技术中提出的多维Fuzzing技术挖掘的漏洞的范围和能力,设计了一个包含选择、交叉、变异、修补等操作的可以表示大多数输入元素类型的遗传算法,提出一种多个输入元素的小染色体级连成一个大染色体,大染色体的遗传算子操作分解到各个小染色体之间操作的编码及操作方案,针对字符串型输入元素,提出一套可变长染色体的实值编码及操作方法.漏洞挖掘实验结果显示应用论文设计的遗传算法的多维Fuzzing技术具有更好的漏洞挖掘能力和更好的漏洞挖掘效率.

基于库函数动态跟踪的Fuzzing测试方法

在分析库函数安全性的基础上,提出基于库函数动态跟踪的Fuzzing测试方法,通过动态跟踪目标程序对不安全库函数的调用,并在输入数据中搜索匹配函数调用参数,以此来准确定位错误注入点。设计并实现了基于该方法的测试工具,经过对漏洞软件测试的对比实验,验证了该方法的有效性和高效性。

基于Fuzzing技术提升XSS漏洞防御水平的研究

面对高交互性、高复杂性的网络操作过程,有效提升对XSS漏洞的检测、防御能力有利于提高Web安全。本文提出了一种主动提升对XSS漏洞的检测与防御能力的方法,该方法通过网络爬虫爬取Web交互页面,结合XSS漏洞的特征,基于Fuzzing技术主动挖掘潜在漏洞,利用渗透工具模拟攻击并捕获网络攻击流量,提取攻击特征,最终结合Snort防御告警主动提升Web安全。实验测试表明,该方法可有效检测XSS漏洞,结合对Snort规则库的补充升级,能够有效提升对XSS漏洞的防御能力。

基于Fuzzing技术的可信软件栈穿透性测试

利用Fuzzing技术对可信软件栈(TSS)进行软件代码脆弱性以及安全漏洞测试,通过故障注入、畸形数据构造以及异常行为捕获,发现了TSS软件代码中的安全缺陷,根据TSS的系统结构与具体机制,设计并实现了相关测试原型系统,对TSS软件产品进行了测试,实验结果表明:TSS软件产品并不完全符合可信规范的要求,TSS中的若干API功能函数中存在可被利用的安全漏洞。

基于Fuzzing的Cisco IOS漏洞挖掘方法

目前没有可以对Cisco IOS系统进行完全静态反汇编和动态调试的通用工具。为此,以Cisco路由器支持的协议为测试目标,利用Fuzzing技术对其进行安全性测试,从而挖掘系统中的漏洞,并结合IOS结构、存储管理和进程调度的特点,设计实现一个自动实现漏洞挖掘的工具CFuzzer。利用该工具对IOS的多种协议进行安全测试,实验结果证明,CFuzzer可以为Cisco路由器提供有效的安全防护。

基于Fuzzing的蓝牙OBEX漏洞挖掘技术

Fuzzing是一种自动化的漏洞挖掘技术。该文在分析OBEX协议的基础上,利用Fuzzing技术,设计并实现了蓝牙OBEX协议的Fuzzer工具——OBEX-Fuzzer,并且利用该工具对OBEX协议在Nokia N73和SMH-BT555蓝牙适配器上的实现进行了漏洞测试,发现存在多个安全漏洞,实践结果表明了研究思路的正确性以及利用OBEX-Fuzzer工具进行安全漏洞测试的高效性。

基于网络爬虫和Fuzzing的漏洞挖掘检测工具

如今,随着Web技术的高速发展和互联网的大众化,Web安全领域受到了越来越多的威胁。跨站脚本攻击(Cross-site Scripting,缩写XSS)是这些安全隐患中危害性比较大,存在范围比较广的一种漏洞攻击。目前已有的XSS漏洞检测挖掘工具和技术还不够完善,存在检测速度较慢、漏报率高等缺点。研究设计了一款基于网络爬虫和Fuzzing模糊技术的漏洞挖掘检测工具。其中对于网络爬虫进行了大幅度的效率优化。并与当前现有的漏洞挖掘工具进行测试对比,证明该工具可以高效的进行漏洞挖掘。

基于智能Fuzzing技术的工控漏洞挖掘平台

面对日益严峻的网络安全形势以及当前漏洞发现手段的局限性,构建了工控协议Fuzzing测试的通用技术架构,创新提出了基于范式语法、分词、聚类技术的测试用例生成方法,重点解决了用例生成和异常检测等关键技术问题,显著提高了测试效率,有效支撑我国工业控制系统安全审查体系的建立。

碳交易驱动下的创新组态——基于高碳企业的动态fsQCA分析

绿色技术是引领绿色发展的第一动力。选取2011—2020年试点省份的高碳排放企业为样本,基于技术-组织-环境(TOE)框架探究绿色技术创新路径。将时间跨度划为“十二五”与“十三五”规划期探讨政策变化是否影响创新策略。研究表明,两个时期共识别出7种组态路径,分为数字化驱动、资本灵活驱动及供应链配置驱动型。进一步研究表明,首席执行官(CEO)绿色经验贯彻始终,数字化对创新具有引领作用,尽管经历政策变化,两个规划期的路径相似,表明绿色创新需具备渐进性与一致性。

基于漏洞特征和Fuzz技术的Windows漏洞挖掘模型研究

Windows漏洞挖掘已经成为网络安全技术一个重要的组成部分。在结合逆向工程和fuzz技术的Windows漏洞挖掘模型中加入了漏洞特征的因素:本文首先介绍了逆向工程、漏洞特征建模和fuzz技术的概念和研究内容,接着介绍了基于漏洞特征的Windows漏洞挖掘模型原理。

结合逆向工程和fuzz技术的Windows软件漏洞挖掘模型研究

Windows软件漏洞挖掘已经成为网络安全技术一个重要的组成部分。结合逆向工程和fuzz技术,提出了一个全新的Windows软件漏洞挖掘模型:首先分别介绍了逆向工程和fuzz技术主要特点和研究内容,接着介绍了结合逆向工程和fuzz技术的软件漏洞挖掘模型原理,最后展示了利用这个模型进行漏洞挖掘的实例演示。

基于代码注入的反模糊测试技术

现代灰盒模糊测试器可以通过从程序内部获取信息反馈,可以在短时间内发现大量漏洞。但是如果这项技术被滥用,将对企业和用户造成极大的伤害。为了避免软件程序被随意分析,反模糊测试技术应运而生。然而,现有的反模糊测试技术存在效率低、开销大、效果不理想、使用困难等问题。为了解决此类问题,本文提出了一种基于代码注入的新型反模糊测试技术。本文方法主要针对现代模糊测试器常用的插桩技术,利用插桩技术的局限,使用代码注入的方式绕过模糊测试器的信息检测,从而干扰模糊测试器分析目标程序,最终达到阻止模糊测试器工作的目的。为验证这种新型反模糊测试技术的有效性与处理性能,本文将该方法与当前最先进的反模糊测试技术作用于同一程序并进行比较。结果表明,本方法可以以更小的程序体积和更低程序运行开销来阻止不同的模糊测试器对目标程序进行模糊测试。

起毛起球表征技术的研究进展与问题

针对起毛起球机制及问题,结合现有的起球方法和表征技术,介绍了3种常用织物的起毛起球原因及其主观评价方法、图像处理织物表面毛球的客观表征方法、神经网络预测起球的虚拟表征方法,并对前人在该领域的研究工作进行了回顾。研究认为目前的起毛起球机制研究和表征研究,仅着重于起球成因的解释且只在机制上进行解决和表征,却忽略了对起毛机制及表征方法的深入探究。同时强调了研究起毛起球机制的重要性,指出因机制研究不足导致的各种表征技术存在的缺憾,及表征技术对明晰起毛起球机制的重要性,这将有利于对织物起毛起球机制进行本质表达。

二进制代码中整数型漏洞挖掘和利用技术

通过对以往二进制挖掘模型的研究,提出了一种新的二进制代码整数型漏洞挖掘方法模型,该模型综合运用了Fuzzing、逆向工程和符号执行等相关技术。首先利用逆向分析锁定与整数漏洞相关的代码部分,获得数据相关类型操作,检测敏感函数,构建函数结构流图,确定整数漏洞相关的代码部分;其次通过对汇编代码的符号执行,获得代码的输入输出关系和路径约束条件,调整Fuzzing的输入,这些可以大大提高Fuzzing的路径覆盖和效率。本模型使得二进制整数型漏洞的挖掘准确性得到了一定程度的提高。

一种改进的智能Fuzzing平台设计方案

随着软件安全问题的日趋严重,智能Fuzzing技术被广泛应用于漏洞挖掘、软件安全领域。基于符号执行和污点分析技术的各种智能Fuzzing平台相继诞生。该文首先以漏洞安全问题以及软件测试方法学为背景,介绍了智能Fuzzing技术中用到的理论,包括符号执行、污点分析等;然后介绍了现有成型智能Fuzzing平台,包括SAGE、KLEE、BitBlaze等,并且提出它们现存的主要问题;最后通过总结智能Fuzzing平台的可改进之处,提出了一种更有效的智能Fuzzing平台的设计方案,该方案基于全系统的符号执行技术,利用云计算平台进行调度,可以有效应用于商业级软件的Fuzzing工作。

国内外毛纽扣接触件产品和技术水平综述

简述了毛纽扣接触件的结构特点及应用背景。介绍了毛纽扣接触件的国内外研究现状。简要分析了毛纽扣接触件目前存在的问题。对毛纽扣接触件的技术研究趋势及产品发展趋势进行了展望。

基于爬虫的SQL注入自动化检测系统设计

针对Web应用的相关安全现状,在现有的SQL注入攻击方法研究的基础上,利用网络爬虫技术高效准确地搜集所需要检测的Web站点中可能存在SQL注入风险的Web应用,并结合源自黑盒测试的Fuzzing技术,用静态分析和动态调试等方法对Web应用的安全性进行自动化检测分析,达到简要分析检测结果和评估Web应用安全等级的目的,针对分析结果,提出有效的安全防御措施及建议,并及时反馈给网站管理者,以便实行相应的防御方案,提高Web站点的安全等级,降低企业资产受损的风险。