• 中国精品科技期刊
  • CCF推荐A类中文期刊
  • 计算领域高质量科技期刊T1类
高级检索

模糊测试技术综述

任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清

任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清. 模糊测试技术综述[J]. 计算机研究与发展, 2021, 58(5): 944-963. DOI: 10.7544/issn1000-1239.2021.20201018
引用本文: 任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清. 模糊测试技术综述[J]. 计算机研究与发展, 2021, 58(5): 944-963. DOI: 10.7544/issn1000-1239.2021.20201018
shu
Ren Zezhong, Zheng Han, Zhang Jiayuan, Wang Wenjie, Feng Tao, Wang He, Zhang Yuqing. A Review of Fuzzing Techniques[J]. Journal of Computer Research and Development, 2021, 58(5): 944-963. DOI: 10.7544/issn1000-1239.2021.20201018
Citation: Ren Zezhong, Zheng Han, Zhang Jiayuan, Wang Wenjie, Feng Tao, Wang He, Zhang Yuqing. A Review of Fuzzing Techniques[J]. Journal of Computer Research and Development, 2021, 58(5): 944-963. DOI: 10.7544/issn1000-1239.2021.20201018
shu
任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清. 模糊测试技术综述[J]. 计算机研究与发展, 2021, 58(5): 944-963. CSTR: 32373.14.issn1000-1239.2021.20201018
引用本文: 任泽众, 郑晗, 张嘉元, 王文杰, 冯涛, 王鹤, 张玉清. 模糊测试技术综述[J]. 计算机研究与发展, 2021, 58(5): 944-963. CSTR: 32373.14.issn1000-1239.2021.20201018
shu
Ren Zezhong, Zheng Han, Zhang Jiayuan, Wang Wenjie, Feng Tao, Wang He, Zhang Yuqing. A Review of Fuzzing Techniques[J]. Journal of Computer Research and Development, 2021, 58(5): 944-963. CSTR: 32373.14.issn1000-1239.2021.20201018
Citation: Ren Zezhong, Zheng Han, Zhang Jiayuan, Wang Wenjie, Feng Tao, Wang He, Zhang Yuqing. A Review of Fuzzing Techniques[J]. Journal of Computer Research and Development, 2021, 58(5): 944-963. CSTR: 32373.14.issn1000-1239.2021.20201018
shu

模糊测试技术综述

  • 1(中国科学院大学国家计算机网络入侵防范中心 北京 101408)

  • 2(兰州理工大学计算机与通信学院 兰州 730050)

  • 3(西安电子科技大学网络与信息安全学院 西安 710071)

  • 4(海南大学计算机与网络空间安全学院 海口 570228) (zhangyq@ucas.ac.cn)

基金项目: 国家重点研发计划项目(2018YFB0804701);国家自然科学基金项目(U1836210,61762060);甘肃省科技厅重点研发计划项目(20YF3GA016)
详细信息

  • 中图分类号: TP319

A Review of Fuzzing Techniques

  • 1(National Computer Network Intrusion Protection Center, University of Chinese Academy of Sciences, Beijing 101408)

  • 2(School of Computer and Communication, Lanzhou University of Technology, Lanzhou 730050)

  • 3(School of Cyber Engineering, Xidian University, Xi’an 710071)

  • 4(School of Computer Science and Cyberspace Security, Hainan University, Haikou 570228)

Funds: This work was supported by the National Key Research and Development Program of China (2018YFB0804701), the National Natural Science Foundation of China (U1836210, 61762060), and the Key Research and Development Program of the Science and Technology Department of Gansu Province of China (20YF3GA016).

摘要

    摘要
  • 摘要: 模糊测试是一种安全测试技术,主要用于检测安全漏洞,近几年模糊测试技术经历了快速发展,因此有必要对相关成果进行总结和分析.通过搜集和分析网络与系统安全国际四大顶级安全会议(IEEE S&P,USENIX Security,CCS, NDSS)中相关的文章,总结出模糊测试的基本工作流程,包括:预处理、输入数据构造、输入选择、评估、结果分析这5个环节,针对每个环节中面临的任务以及挑战,结合相应的研究成果进行分析和总结,其中重点分析以American Fuzzy Lop工具及其改进成果为代表的,基于覆盖率引导的模糊测试方法.模糊测试技术在不同领域中使用时,面对着巨大的差异性,通过对相应文献进行整理和分析,总结出特定领域中使用模糊测试的独特需求以及相应的解决方法,重点关注物联网领域,以及内核安全领域.近些年反模糊测试技术以及机器学习技术的进步,给模糊测技术的发展带来了挑战和机遇,这些机遇和挑战为下一步的研究提供了方向参考.
    Abstract: Fuzzing is a security testing technique, which is playing an increasingly important role, especially in detecting vulnerabilities. Fuzzing has experienced rapid development in recent years. A large number of new achievements have emerged, so it is necessary to summarize and analyze relevant achievements to follow fuzzing’s research frontier. Based on 4 top security conferences (IEEE S&P, USENIX Security, CCS, NDSS) about network and system security, we summarized fuzzing’s basic workflow, including preprocessing, input building, input selection, evaluation, and post-fuzzing. We discussed each link’s tasks, challenges, and the corresponding research results. We emphatically analyzed the fuzzing testing method based on coverage guidance, represented by the American Fuzzy Lop tool and its improvements. Using fuzzing testing technology in different fields will face vastly different challenges. We summarized the unique requirements and corresponding solutions for fuzzing testing in specific areas by sorting and analyzing the related literature. Mostly, we focused on the Internet of Things and the kernel security field because of their rapid development and importance. In recent years, the progress of anti-fuzzing testing technology and machine learning technology has brought challenges and opportunities to the development of fuzzing testing technology. These opportunities and challenges provide direction reference for the further research.
    • HTML全文
    • 参考文献(0)
    • 相关文章
    • 施引文献(104)

  • 期刊类型引用(29)

    1. 丁森阳,徐向华. 基于字段信息和覆盖率反馈的协议模糊测试方法. 软件工程. 2025(02): 56-60+66 . 百度学术
    2. 唐成华,蔡维嘉,杨萌萌,强保华. CBFuzzer:基于执行上下文导向及保护突破的程序缺陷模糊检测. 计算机研究与发展. 2025(03): 790-807 . 本站查看
    3. 陆力瑜,刘媛,洪超,曹扬,莫蓓蓓,匡晓云,杨祎巍. 基于影响性导向的模糊测试种子筛选方法. 网络安全技术与应用. 2024(02): 44-46 . 百度学术
    4. 侍言,羌卫中,邹德清,金海. 进化内核模糊测试研究综述. 网络与信息安全学报. 2024(01): 1-21 . 百度学术
    5. 王明义,甘水滔,王晓锋,刘渊. 基于种子智能生成的内核模糊测试模型. 信息安全学报. 2024(03): 124-137 . 百度学术
    6. 李志博,李清宝,兰明敬. 基于ART优化选择策略的遗传算法生成测试数据方法. 计算机科学. 2024(06): 95-103 . 百度学术
    7. 崔展齐,张家铭,郑丽伟,陈翔. 覆盖率制导的灰盒模糊测试研究综述. 计算机学报. 2024(07): 1665-1696 . 百度学术
    8. 王琴应,许嘉诚,李宇薇,潘祖烈,张玉清,张超,纪守领. 智能模糊测试综述:问题探索和方法分类. 计算机学报. 2024(09): 2059-2083 . 百度学术
    9. 许爱东,徐培明,尚进,孙钦东. 基于强化学习多算法组合模型的智能化模糊测试技术. 计算机工程与应用. 2024(20): 284-292 . 百度学术
    10. 张翔,王峰,李兴华,查娟娟,叶家敏. 基于包序列变异和反馈引导的电力通信协议模糊测试方法. 宁夏电力. 2024(05): 70-75 . 百度学术
    11. 刘羿希,何俊,吴波,刘丙童,李子玉. DevSecOps中软件安全性测试技术综述. 计算机应用. 2024(11): 3470-3478 . 百度学术
    12. 李泽源,尹中旭,宗国笑,桑海涯. 基于多目标支配分析和路径动态修剪优化的定向模糊测试技术. 计算机应用研究. 2024(11): 3455-3463 . 百度学术
    13. 纪守领,王琴应,陈安莹,赵彬彬,叶童,张旭鸿,吴敬征,李昀,尹建伟,武延军. 开源软件供应链安全研究综述. 软件学报. 2023(03): 1330-1364 . 百度学术
    14. 孙力立 ,张培华 ,武成岗 ,王喆 . JavaScript引擎JIT代码的类型混淆缺陷检测器. 高技术通讯. 2023(03): 251-260 . 百度学术
    15. 白英民,师智斌,信文阁,窦建民,张舒娟,王子建. 基于词嵌入与Shapelet时序特征的智能合约漏洞检测方法研究. 中北大学学报(自然科学版). 2023(04): 381-387 . 百度学术
    16. 樊志强,王洪宇,刘日昇. 命令行接口模糊测试漏洞挖掘研究及应用. 网络安全与数据治理. 2023(07): 61-66+78 . 百度学术
    17. 王鹃,张冲,龚家新,李俊娥. 基于机器学习的模糊测试研究综述. 信息网络安全. 2023(08): 1-16 . 百度学术
    18. 李航宇,方浩然,曲彦文,郭帆. ADFuzz:使用异常检测筛选低频路径高效模糊测试. 计算机研究与发展. 2023(08): 1912-1924 . 本站查看
    19. 刘博洋,刘潮,任艺琳,满芮,苗晗. 基于模糊测试工控协议漏洞挖掘技术研究. 科技风. 2023(24): 78-80 . 百度学术
    20. 白海波. 人工智能技术在模糊测试中的应用. 数字技术与应用. 2023(08): 16-18 . 百度学术
    21. 张颖君,周赓,程亮,孙晓山,张阳. 基于双重覆盖信息协同的协议模糊测试. 计算机系统应用. 2023(09): 32-42 . 百度学术
    22. 王宇,黄松,曲豫宾. 面向深度学习的模糊测试研究进展. 安庆师范大学学报(自然科学版). 2023(03): 66-73 . 百度学术
    23. 陈锦山,余斯航,祁琦,孙鑫,安珂欣,李俊娥. 针对VxWorks电力工控终端的模糊测试方法. 电力信息与通信技术. 2023(09): 15-22 . 百度学术
    24. 郑鹏,沙乐天. 基于混合分析的Java反序列化漏洞检测方法. 计算机工程. 2023(12): 136-145 . 百度学术
    25. 王雨绚,张之江,姚旭寅,李伟杰,杨融. 机载网络安保测试方法研究. 工业控制计算机. 2022(03): 95-97 . 百度学术
    26. 刘林彬,苗泉强,李俊娥. 基于模糊测试的GOOSE协议解析漏洞挖掘方法. 中国电力. 2022(04): 33-43 . 百度学术
    27. 程亮,王化磊,张阳,孙晓山. 基于聚类和新覆盖信息的模糊测试改进. 计算机系统应用. 2022(09): 192-200 . 百度学术
    28. 王朝晖,殷哲,刘娟. 软件供应链开源组件安全风险评估. 电子技术与软件工程. 2022(22): 80-84 . 百度学术
    29. 张琦,马莺姿. 模糊测试器AFL种子变异策略优化研究. 现代信息科技. 2021(24): 142-145 . 百度学术

    其他类型引用(75)

    • 资源附件(0)
计量
  • 文章访问数:  2870
  • HTML全文浏览量:  48
  • PDF下载量:  2219
  • 被引次数: 104
出版历程
  • 发布日期:  2021-04-30

目录

摘要
HTML全文
    参考文献(0)
    相关文章
    施引文献
    资源附件(0)

    /

    返回文章
    返回
    邮件订阅 RSS
    微信订阅号<br/>(实时资讯)

    微信订阅号
    (实时资讯)

    微信服务号<br/>(同步网站)

    微信服务号
    (同步网站)

    微信视频号<br/>(视频分享)

    微信视频号
    (视频分享)

    CCF<br/>(扫码入会)

    CCF
    (扫码入会)

    版权所有 © 《计算机研究与发展》编辑部

    本系统由北京仁和汇智信息技术有限公司开发  百度统计