返回
基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf

基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf

ID:57974905

大小:2.27 MB

页数:6页

时间:2020-04-18

基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf_第1页
基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf_第2页
基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf_第3页
基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf_第4页
基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf_第5页
资源描述:

《基于动态污点分析的二进制程序导向性模糊测试方法-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2014年10月1日现代电子技术Oct.2014第37卷第19期ModernElectronicsTechniqueVol.37No.1989基于动态污点分析的二进制程序导向性模糊测试方法张斌,李孟君,吴波,唐朝京(国防科学技术大学电子科学与工程学院,湖南长沙410073)摘要:传统模糊测试中,由于不同的输入可能重复测试相同的状态空间,导致其效率严重低下。提出一种基于动态污点分析与输入分域技术相结合的二进制程序导向性模糊测试技术,可以对典型安全敏感操作与一般模块函数进行导向性模糊测试,很好地解决了传统模糊测试效率低下的问题。实现了二进制导向性模糊测试的原型系统TaintedFuzz,实验证

2、明,该系统能够对二进制程序中存在的典型安全漏洞进行高效地发掘。关键词:安全漏洞;导向性模糊测试;动态污点分析;输入分域中图分类号:TN915.08⁃34文献标识码:A文章编号:1004⁃373X(2014)19⁃0089⁃06MethodofbinaryorientedfuzzytestingbasedondynamictaintanalysisZHANGBin,LIMeng⁃jun,WUbo,TANGChao⁃jing(CollegeofElectronicScienceandEngineering,NationalUniversityofDefenceTechnology,Changs

3、ha410073,China)Abstract:Sincetraditionalfuzzytestingmaytestthesamestatespacerepeatedlyduetothedifferentinput,andleadtoalowefficiency,abinaryorientedfuzzytestingtechniquebasedondynamictaintanalysiscombinedwithinputfieldclassificationtechnologyispresentedinthispaper,whichcanperformtheorientedfuzzyte

4、stingfortypicalsecurity⁃sensitiveoperationandgeneralmodulefunction,andserveasagoodsolutiontotheproblemoflowefficiencyofthetraditionalfuzzytesting.Theproto⁃typesystemTaintedFuzzwasalsorealizedforbinaryorientedfuzzytesting.Theexperimentprovesthatthemethodiscapableofexploringthetypicalsecurityvulnera

5、bilitiesinthebinaryprogramefficiently.Keywords:securityvulnerability;orientedfuzzytesting;dynamictaintanalysis;inputfieldclassification通过输入空间的完全遍历来驱动程序在状态空间进行0引言完全遍历的测试方法,具有测试简单、易于部署等特随着现代信息系统规模和复杂度的逐步增加,计算点。然而,输入空间与状态空间的非对等性导致不同的机软件安全问题变得尤为突出,而软件安全漏洞又是威输入可能驱动程序重复测试相同的状态空间,因此模糊胁信息系统安全的核心问题,因此,如何快速

6、准确地发测试具有效率低下的天然缺陷。掘软件安全漏洞成为安全界的热点研究问题。根据研传统模糊测试采用完全黑盒的测试方法,在畸形测究对象的不同,软件安全漏洞挖掘分为针对开源软件的试用例的生成过程中,没有用到程序的内部信息[3],造成源码级别漏洞挖掘和针对闭源软件的二进制级别漏洞大部分畸形测试用例对程序状态空间进行了重复性测挖掘。出于对自身商业利益和知识产权的保护,大部分试。如何提高模糊测试的效率是当前模糊测试的主要软件厂商并不向外开放其软件源代码,因此针对二进制研究方向,本文提出并实现了针对二进制程序的导向性程序进行安全漏洞发掘是当前研究的一大主流方向。模糊测试原型系统TaintedFuzz。

7、该系统采用基于动态目前,针对二进制程序有效的发掘方法有补丁对比技污点分析与输入分域技术相结合的导向性模糊测试方[1]术、模糊测试技术、静态分析技术和动态分析技术。法,利用程序在动态执行过程中的运行时信息指导模糊模糊测试(Fuzzing)技术是一种通过向目标系统提测试畸形样本的生成,很好地解决了传统模糊测试效率供非预期的输入并监视异常结果来发现软件漏洞的方低下的问题。[2]法。模糊测试首先通过正常样本构造出一系列畸形测试用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。