-
题名网络协议模糊测试综述
被引量:3
- 1
-
-
作者
徐威
李鹏
张文镔
陆丽
-
机构
数学工程与先进计算国家重点实验室
北京计算机技术及应用研究所
网络空间安全技术国家地方联合工程实验室
-
出处
《计算机应用研究》
CSCD
北大核心
2023年第8期2241-2249,共9页
-
文摘
模糊测试作为最有效的漏洞挖掘方法,在网络协议安全检测领域应用广泛,并且诞生了大量的研究成果。目前还没有工作对协议模糊测试技术进行全面的总结和分析。首先回顾了协议模糊测试的发展历程,按照其工作流程(预处理,种子生成,执行过程监测以及结果分析)总结现有协议模糊测试所做的工作以及不足;之后,分析了不同环境下协议模糊测试技术的挑战以及解决方法;最后讨论了当前协议测试方法存在的局限性,以及未来的发展方向。
-
关键词
协议
模糊测试
漏洞挖掘
工作流程
固件设备安全
-
Keywords
protocol
fuzzing
vulnerability discovering
working process
firmware device security
-
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
-
-
题名基于测试用例自动化生成的协议模糊测试方法
被引量:1
- 2
-
-
作者
徐威
武泽慧
王子木
陆丽
-
机构
数学工程与先进计算国家重点实验室
北京计算机技术及应用研究所
网络空间安全技术国家地方联合工程实验室
-
出处
《计算机科学》
CSCD
北大核心
2023年第12期58-65,共8页
-
基金
国家重点研发计划(2019QY0501)。
-
文摘
网络协议作为设备之间交互的规范,在计算机网络中发挥着至关重要的作用。协议实体中的漏洞会使设备遭受远程攻击,存在巨大的安全隐患。模糊测试是发现程序中安全漏洞的重要方法。在协议进行模糊测试之前需要对其进行逆向分析,在协议格式以及状态机模型的指导下生成高质量的测试用例。但上述过程中,测试用例生成需要手工构造,并且构造的测试用例难以覆盖深层次状态。针对上述问题,提出了一种自动化的测试用例生成技术。在模板中定义测试用例生成规则,基于状态迁移路径生成算法构建完备的测试路径,有效地对协议程序进行模糊测试。实验结果表明,与当前先进的协议模糊器Boofuzz相比,所提方法的有效测试用例生成数量增加了51.8%。在4个真实软件中进行测试,验证了3个已公开漏洞,同时发现了一个新的缺陷并得到了开发人员的确认。
-
关键词
网络协议
模糊测试
测试用例生成
协议状态探测
漏洞挖掘
-
Keywords
Network protocol
Fuzzing
Testcase generation
Protocol state detection
Vulnerability discovery
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-