返回
基于动态输入追踪的模糊基于动态输入追踪的模糊技术

基于动态输入追踪的模糊基于动态输入追踪的模糊技术

ID:5349828

大小:225.95 KB

页数:2页

时间:2017-12-08

基于动态输入追踪的模糊基于动态输入追踪的模糊技术_第1页
基于动态输入追踪的模糊基于动态输入追踪的模糊技术_第2页
资源描述:

《基于动态输入追踪的模糊基于动态输入追踪的模糊技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第37卷第6期计算机工程2011年3月Vol.37No.6ComputerEngineeringMarch2011···软件技术与数据库·软件技术与数据库···文章编号:::1000———3428(2011)06———0044———02文献标识码:::A中图分类号:::TP309基于动态输入追踪的模糊技术11,21黄黄黄奕奕奕,,,曾凡平,曾凡平,,,张美超,张美超(1.中国科学技术大学计算机学院,合肥230026;2.安徽省计算与通讯软件重点实验室,合肥230026)摘摘摘要要要:要:::在基于反汇编的输入路径追踪技术的

2、基础上,结合基于代码覆盖的测试数据生成和基于快照恢复的错误注入技术,将其应用于模糊测试中。提出一种软件安全漏洞自动化挖掘的方法,较好地解决传统模糊技术存在的若干局限。设计并实现一个基于此方法的测试系统,通过对实例软件的漏洞挖掘实验,验证该方法的有效性。关键词:::漏洞挖掘:;模糊测试;输入追踪FuzzingTechniqueBasedonDynamicInputTracking11,21HUANGYi,ZENGFan-ping,ZHANGMei-chao(1.SchoolofComputerScience,Universi

3、tyofScienceandTechnologyofChina,Hefei230026,China;2.AnhuiKeyLaboratoryofComputationandCommunicationSoftware,Hefei230026,China)【【【Abstract】】】Thispaperproposesanewfuzzingtechniquebasedoninputpathtrackingtechnologyondisassemblycode,whichiscombinedwithcode-coverage-ba

4、sedtestdatagenerationandsnapshot-recovery-basedfaultinjectiontechniques.Itisanewmethodforautomaticsoftwaresecurityvulnerabilitydiscoveringandsolvesanumberoflimitationsoftraditionalfuzzingtechniques.Atestsystembasedonthismethodisdesignedandimplementedandthemethodis

5、validatedbyvulnerabilitiesdiscoveringexperimentonexamplesoftware.【【【Keywords】】】vulnerabilitymining;fuzzingtest;inputtrackingDOI:10.3969/j.issn.1000-3428.2011.06.016用才能引发的异常或多阶段综合条件触发的复杂漏洞。本文1概述随着信息技术的广泛应用,软件安全漏洞所造成的危害在结合了静态分析和动态分析技术的基础上,提出一种基于正日益严重。软件安全漏洞发掘作为一种预先发

6、现软件潜在动态输入路径追踪的fuzzing技术进行软件安全漏洞发掘的安全漏洞、保证信息安全的重要技术,也越来越受到人们的新思路,较好地解决了上述问题。重视。目前国内外常用的漏洞自动发掘技术主要有手工分析、2总体框架与关键技术模糊(fuzzing)技术、补丁比较、源码自动分析和动态调试等。2.1基本框架软件安全漏洞发掘技术大致分为基于源代码的漏洞发掘技术基于动态输入跟踪的fuzzing技术的基本原理为:将待测和基于可执行文件的漏洞发掘技术。然而现在大多数软件都软件的可执行代码反汇编为汇编代码,通过静态分析汇编代不是开源的,如

7、各种商业软件和操作系统软件等,因此,针码,确定函数块及其调用关系,并查找代码分支选择信息以对可执行文件的漏洞发掘技术显得尤为重要。供生成测试用例,动态跟踪输入数据的流向以确定错误注入fuzzing测试是通过提供非正常的输入并监测系统异常点,将测试用例注入后若无异常发生则恢复注入前的进程快发现软件安全漏洞的自动化方法。它的基本原理是将利用正照重新进行fuzzing,其基本框架如图1所示。确数据随机修改得到的畸形数据注入应用程序中,观察运行结果(程序崩溃或者异常中断),通过程序运行的错误来挖掘[1]软件的脆弱点。fuzzing

8、测试的思想比较直观,便于实现自动化。利用这种方法进行漏洞发掘,发现漏洞到定位漏洞比较容易,并且不存在误报,但却能揭示出程序中的重要漏洞,目前正广泛应用于各类软件漏洞的发掘,在近几年的漏洞挖掘实践过程中取得了很好的效果。虽然经过多年的发展fuzzing技术已经取得长足的进步,[2]但是仍然存在较多的不足,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。