模糊测试技术综述

doi:10.7544/issn1000-1239.2021.20201018

计算机研究与发展 ›› 2021, Vol. 58 ›› Issue (5): 944-963.doi: 10.7544/issn1000-1239.2021.20201018

所属专题： 2021人工智能安全与隐私保护技术专题

模糊测试技术综述

任泽众¹,郑晗¹,张嘉元²,王文杰¹,冯涛²,王鹤³,张玉清^1,3,4

¹（中国科学院大学国家计算机网络入侵防范中心北京 101408）；²（兰州理工大学计算机与通信学院兰州 730050）；³（西安电子科技大学网络与信息安全学院西安 710071）；⁴（海南大学计算机与网络空间安全学院海口 570228) (zhangyq@ucas.ac.cn)

出版日期: 2021-05-01
基金资助:
国家重点研发计划项目(2018YFB0804701)；国家自然科学基金项目(U1836210,61762060)；甘肃省科技厅重点研发计划项目(20YF3GA016)

A Review of Fuzzing Techniques

Ren Zezhong¹, Zheng Han¹, Zhang Jiayuan², Wang Wenjie¹, Feng Tao², Wang He³, Zhang Yuqing^1,3,4

¹（National Computer Network Intrusion Protection Center, University of Chinese Academy of Sciences, Beijing 101408);²(School of Computer and Communication, Lanzhou University of Technology, Lanzhou 730050);³(School of Cyber Engineering, Xidian University, Xi’an 710071);⁴(School of Computer Science and Cyberspace Security, Hainan University, Haikou 570228)

Online: 2021-05-01
Supported by:
This work was supported by the National Key Research and Development Program of China (2018YFB0804701), the National Natural Science Foundation of China (U1836210, 61762060), and the Key Research and Development Program of the Science and Technology Department of Gansu Province of China (20YF3GA016).

摘要/Abstract

摘要： 模糊测试是一种安全测试技术，主要用于检测安全漏洞,近几年模糊测试技术经历了快速发展，因此有必要对相关成果进行总结和分析.通过搜集和分析网络与系统安全国际四大顶级安全会议(IEEE S&P,USENIX Security,CCS, NDSS)中相关的文章，总结出模糊测试的基本工作流程，包括：预处理、输入数据构造、输入选择、评估、结果分析这5个环节，针对每个环节中面临的任务以及挑战，结合相应的研究成果进行分析和总结，其中重点分析以American Fuzzy Lop工具及其改进成果为代表的，基于覆盖率引导的模糊测试方法.模糊测试技术在不同领域中使用时，面对着巨大的差异性，通过对相应文献进行整理和分析，总结出特定领域中使用模糊测试的独特需求以及相应的解决方法，重点关注物联网领域，以及内核安全领域.近些年反模糊测试技术以及机器学习技术的进步，给模糊测技术的发展带来了挑战和机遇，这些机遇和挑战为下一步的研究提供了方向参考.

关键词: 模糊测试, 基本工作流程, 物联网安全, 内核安全, 机器学习

Abstract: Fuzzing is a security testing technique, which is playing an increasingly important role, especially in detecting vulnerabilities. Fuzzing has experienced rapid development in recent years. A large number of new achievements have emerged, so it is necessary to summarize and analyze relevant achievements to follow fuzzing’s research frontier. Based on 4 top security conferences (IEEE S&P, USENIX Security, CCS, NDSS) about network and system security, we summarized fuzzing’s basic workflow, including preprocessing, input building, input selection, evaluation, and post-fuzzing. We discussed each link’s tasks, challenges, and the corresponding research results. We emphatically analyzed the fuzzing testing method based on coverage guidance, represented by the American Fuzzy Lop tool and its improvements. Using fuzzing testing technology in different fields will face vastly different challenges. We summarized the unique requirements and corresponding solutions for fuzzing testing in specific areas by sorting and analyzing the related literature. Mostly, we focused on the Internet of Things and the kernel security field because of their rapid development and importance. In recent years, the progress of anti-fuzzing testing technology and machine learning technology has brought challenges and opportunities to the development of fuzzing testing technology. These opportunities and challenges provide direction reference for the further research.

Key words: fuzzing, basic working process, IoT security, kernel security, machine learning

中图分类号:

TP319

任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清. 模糊测试技术综述[J]. 计算机研究与发展, 2021, 58(5): 944-963.

Ren Zezhong, Zheng Han, Zhang Jiayuan, Wang Wenjie, Feng Tao, Wang He, Zhang Yuqing. A Review of Fuzzing Techniques[J]. Journal of Computer Research and Development, 2021, 58(5): 944-963.

	作者相关文章
	任泽众
	郑晗
	张嘉元
	王文杰
	冯涛
	王鹤
	张玉清

[1]	李鑫,李哲民,魏居辉,杨雅婷,王红霞. 基于特征分离的跨域自适应学习模型[J]. 计算机研究与发展, 2022, 59(1): 105-117.
[2]	周鹏,武延军,赵琛. 一种Linux安全漏洞修复补丁自动识别方法[J]. 计算机研究与发展, 2022, 59(1): 197-208.
[3]	潘世杰, 高飞, 万林春, 秦素娟, 温巧燕. 量子谱回归算法[J]. 计算机研究与发展, 2021, 58(9): 1835-1842.
[4]	马扬, 刘泽一, 梁星星, 程光权, 阳方杰, 成清, 刘忠. 基于病毒传播网络的基因序列表示学习[J]. 计算机研究与发展, 2021, 58(8): 1642-1654.
[5]	肖添明, 管剑波, 蹇松雷, 任怡, 张建锋, 李宝. 基于代码属性图和Bi-GRU的软件脆弱性检测方法[J]. 计算机研究与发展, 2021, 58(8): 1668-1685.
[6]	孙学良, 黄安欣, 罗夏朴, 谢怡. 针对Tor的网页指纹识别研究综述[J]. 计算机研究与发展, 2021, 58(8): 1773-1788.
[7]	邵天竺, 王晓亮, 陈文龙, 唐晓岚, 徐敏. 一种减少网络振动的智能路由选择算法设计[J]. 计算机研究与发展, 2021, 58(6): 1261-1274.
[8]	孙聪, 李占魁, 陈亮, 马建峰, 乔新博. 面向数字货币特征的细粒度代码注入攻击检测[J]. 计算机研究与发展, 2021, 58(5): 1035-1044.
[9]	汪嘉来, 张超, 戚旭衍, 荣易. Windows平台恶意软件智能检测综述[J]. 计算机研究与发展, 2021, 58(5): 977-994.
[10]	汪烨, 陈骏武, 夏鑫, 姜波. 智能需求获取与建模研究综述[J]. 计算机研究与发展, 2021, 58(4): 683-705.
[11]	吴宗友, 白昆龙, 杨林蕊, 王仪琦, 田英杰. 电子病历文本挖掘研究综述[J]. 计算机研究与发展, 2021, 58(3): 513-527.
[12]	陈晋音, 陈奕芃, 陈一鸣, 郑海斌, 纪守领, 时杰, 程瑶. 面向深度学习的公平性研究综述[J]. 计算机研究与发展, 2021, 58(2): 264-280.
[13]	张炳, 文峥, 魏筱瑜, 任家东. InterDroid：面向概念漂移的可解释性Android恶意软件检测方法[J]. 计算机研究与发展, 2021, 58(11): 2456-2474.
[14]	顾绵雪, 孙鸿宇, 韩丹, 杨粟, 曹婉莹, 郭祯, 曹春杰, 王文杰, 张玉清. 基于深度学习的软件安全漏洞挖掘[J]. 计算机研究与发展, 2021, 58(10): 2140-2162.
[15]	郭娟娟, 王琼霄, 许新, 王天雨, 林璟锵. 安全多方计算及其在机器学习中的应用[J]. 计算机研究与发展, 2021, 58(10): 2163-2186.

模糊测试技术综述

A Review of Fuzzing Techniques

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价