返回
基于动态污点分析的状态协议实现软件模糊测试方法分析

基于动态污点分析的状态协议实现软件模糊测试方法分析

ID:43548741

大小:717.67 KB

页数:62页

时间:2019-10-10

基于动态污点分析的状态协议实现软件模糊测试方法分析_第1页
基于动态污点分析的状态协议实现软件模糊测试方法分析_第2页
基于动态污点分析的状态协议实现软件模糊测试方法分析_第3页
基于动态污点分析的状态协议实现软件模糊测试方法分析_第4页
基于动态污点分析的状态协议实现软件模糊测试方法分析_第5页
资源描述:

《基于动态污点分析的状态协议实现软件模糊测试方法分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、摘要模糊测试(Fuzzing)是冃前对软件进行安全测试和漏洞发掘的最有效方法Z一,如何利用模糊测试技术构建高效、准确和高覆盖率的安全测试系统是相关究领域和业界所关注的关键问题和研究热点。木文针对传统模糊测试方法所存在的测试用例牛成盲目性高、测试执行效率较低以及对状态网络协议支持不够等问题,研究如何通过动态污点分析技术使得模糊测试方法可更加高效地应用于状态网络协议实现软件的安全测试中。本文的主要工作包括:首先,基于动态污点分析技术,提出了启发式测试用例生成方法。该方法利用动态污点分析技术跟踪程序对不可信数据的处理,通过监视程序中可疑的错误点来追踪输入网络报文中潜在的攻击点,并以此作为模糊测试用例

2、生成的启发式信息。基于动态污点分析的启发式测试用例生成可在一定程度上降低测试用例生成的肓目性,提高了模糊测试的效率和有效性。其次,针对目前多数安全测试对具有复杂状态网络协议支持的不足,提出面向状态协议的模糊测试框架。该框架使用状态机刻画状态协议,设计并实现了易扩展的状态协议描述脚本语言,能够生成高覆盖的状态协议测试用例。同时,使用基于异常元素库的测试用例变异技术,结合动态污点分析结果,启发式地变异生成畸形测试用例。最后,设计并实现了基于动态污点分析的状态协议模糊测试系统SmartFuzzer,能够有效的发掘出典型商业软件目标程序屮潜在的漏洞信息。通过与其他模糊测试器的比较,SmartFuzze

3、r的用例生成更加具有针对性,对软件漏洞的发掘更加准确和高效。主题词:软件安全测试,漏洞发掘,模糊测试,状态协议,动态污点分析ABSTRACTFuzzingiscurrentlyoneofthemostpowerfultestingmethodologieswidelyusedintheareaofsoftwaresecuritytestingandvulnerabilitymining.Buildingefficientandprecisesecuritytestingsystemwithhigh-coverageisthekeypointandhotareaforbothresearchan

4、dindustry.However,thetraditionalfuzzingtechniquehastheweaknessofblindgenerationoftestingcases,lowperformanceinexecutionefficiencyandinsufficientsupportforstatefulnetworkprotocols.Aimedataboveissues,thisthesisstudieshowtoapplythetechniqueofdynamictaintanalysistothefuzzingofstatefulnetworkprotocolimpl

5、ementationsefficiently・Ourworkincludes:Firstly,theapproachofheuristictestcasegeneratingbasedondynamictaintanalysis(DTA)isproposed・DTAisusedtotracehowtheprogramprocessesuntrustworthydata,andthenminethepotentialattackingpointsinthetestcasesbymonitoringpotentialerrorpointsintheprogram.Themethodtreatthe

6、potentialattackingpointsasheuristicinformationinthegenerationoftestingcasesandgreatlyreducetheblindnessintestcasegenerationwithhighertestingperformance.Secondly,wcpresentanewfuzzingframeworkorientedtothesecuritytestingofcomplexstatefulprotocolswhichisunsatisfactorilysupportedbymosttesting.Ourframewo

7、rkusestatemachinetodescriptstatefulprotocols,andthendesignandimplementeasy-extendeddescriptionscriptlanguageofstatefulprotocols,whichcouldgeneratetestcasesofstatefulprotocolswithhigh-coverage・Combinin

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。