期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到101篇文章
< 1 2 6 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
Fuzzing技术综述 被引量:30
1
作者 吴志勇 王红川 +2 位作者 孙乐昌 潘祖烈 刘京菊 《计算机应用研究》 CSCD 北大核心 2010年第3期829-832,共4页
通过分析比较多种Fuzzing技术的定义,结合其当前发展所基于的知识和采用的方法,给出了Fuzzing技术的一个新的定义;重点从与黑盒测试技术的区别、测试对象、架构和测试数据产生机理四个方面总结了当前Fuzzing技术采用的一些新思想、新方... 通过分析比较多种Fuzzing技术的定义,结合其当前发展所基于的知识和采用的方法,给出了Fuzzing技术的一个新的定义;重点从与黑盒测试技术的区别、测试对象、架构和测试数据产生机理四个方面总结了当前Fuzzing技术采用的一些新思想、新方法以及它们的缺陷。针对这些缺陷和实际应用中的需求,分别提出了当前Fuzzing技术下一步的具体研究方向和对应的研究方法。 展开更多
关键词 fuzzing技术 黑盒测试 架构 测试数据 生成 变异 动态测试 知识
下载PDF
基于Peach的工业控制网络协议安全分析 被引量:24
2
作者 伊胜伟 张翀斌 +3 位作者 谢丰 熊琦 向憧 梁露露 《清华大学学报(自然科学版)》 EI CAS CSCD 北大核心 2017年第1期50-54,共5页
模糊测试技术是发现未公开漏洞的重要技术手段之一。该文基于Peach提出了工业控制网络协议的安全分析方法。该方法采用变异策略,构造畸形网络数据包,发送给被测目标进行测试,在测试过程中监测被测目标工控网络协议的运行状况,发现网络... 模糊测试技术是发现未公开漏洞的重要技术手段之一。该文基于Peach提出了工业控制网络协议的安全分析方法。该方法采用变异策略,构造畸形网络数据包,发送给被测目标进行测试,在测试过程中监测被测目标工控网络协议的运行状况,发现网络异常并进行异常分析。该方法以一种公开的大范围使用的工业控制网络协议Modbus TCP为例分析了其安全性。实验结果表明,该方法在工业控制网络协议的安全漏洞挖掘方面是有效的。 展开更多
关键词 工业控制系统 工业控制网络协议 PEACH 模糊测试 漏洞分析
原文传递
嵌入式设备固件安全分析技术研究 被引量:19
3
作者 于颖超 陈左宁 +1 位作者 甘水滔 秦晓军 《计算机学报》 EI CAS CSCD 北大核心 2021年第5期859-881,共23页
随着嵌入式设备的种类和数量的增加,设备之间日益增长的互联互通、制造商对安全的忽视、设备固件更新不及时或难以更新等,使得嵌入式设备的安全受到了严峻的考验,越来越多的设备漏洞被披露.但由于嵌入式设备种类繁多、专用性强、源码或... 随着嵌入式设备的种类和数量的增加,设备之间日益增长的互联互通、制造商对安全的忽视、设备固件更新不及时或难以更新等,使得嵌入式设备的安全受到了严峻的考验,越来越多的设备漏洞被披露.但由于嵌入式设备种类繁多、专用性强、源码或设计文档往往不公开、运行环境受限等诸多因素的影响,通用漏洞挖掘技术无法直接适配.近年来,国内外安全专家和学者针对嵌入式设备及其固件的安全分析和测评技术提出了很多切实可行的解决方案,但缺乏详细和全面介绍最新安全研究成果的论文,使得安全分析人员难以系统地了解嵌入式设备及其固件安全分析技术的研究进展.本文围绕着当前嵌入式设备固件面临的安全风险,分析和总结了国内外最新的研究成果,并对相关安全技术进行了综合分析和评估.首先对嵌入式设备及其固件的表现形式、分类及获取方法、面临的安全攻击层面以及自动化解析情况进行了深入研究.然后,对嵌入式设备固件安全分析技术进行了细化分析,从静态分析、符号执行、二进制漏洞关联、动态分析平台和模糊测试等五个方面进行了详细分析和横向评估.最后对未来的研究方向进行了展望. 展开更多
关键词 嵌入式设备 固件 静态分析 符号执行 固件托管 模糊测试
下载PDF
工控网络协议Fuzzing测试技术研究综述 被引量:19
4
作者 熊琦 彭勇 +2 位作者 伊胜伟 戴忠华 王婷 《小型微型计算机系统》 CSCD 北大核心 2015年第3期497-502,共6页
随着信息化和工业化的深度融合,控制系统在工业生产过程中得到了越来越广泛的应用,很多研究者开始针对工控系统,特别是具有控制功能的工控网络协议的安全性展开研究,漏洞分析则是其中较为活跃的领域之一.由于工控网络协议具有专用性和... 随着信息化和工业化的深度融合,控制系统在工业生产过程中得到了越来越广泛的应用,很多研究者开始针对工控系统,特别是具有控制功能的工控网络协议的安全性展开研究,漏洞分析则是其中较为活跃的领域之一.由于工控网络协议具有专用性和面向控制的特点,通常在封闭环境下运行,无法直接应用传统Fuzzing测试技术进行网络协议的漏洞挖掘.本文阐述了工控网络协议的特点以及Fuzzing测试的困难,讨论并比较了现有各种Fuzzing测试技术应用于工控网络协议的优缺点,提出工控网络协议的专用Fuzzing测试工具的设计准则,最后展望了工控网络协议Fuzzing测试技术的未来研究方向. 展开更多
关键词 工业控制系统 工控网络协议 漏洞挖掘 模糊测试
下载PDF
基于Fuzzing测试的工控网络协议漏洞挖掘技术 被引量:16
5
作者 黄影 邹颀伟 范科峰 《通信学报》 EI CSCD 北大核心 2018年第A02期181-188,共8页
随着工业化和信息化深度融合进程的加快,工业控制网络逐渐由封闭走向开放,传统的信息安全风险逐渐引入工业控制网络中,如何准确高效地挖掘工业控制网络安全漏洞,已逐渐成为研究热点。围绕工控网络协议Fuzzing测试技术,针对上述问题,设... 随着工业化和信息化深度融合进程的加快,工业控制网络逐渐由封闭走向开放,传统的信息安全风险逐渐引入工业控制网络中,如何准确高效地挖掘工业控制网络安全漏洞,已逐渐成为研究热点。围绕工控网络协议Fuzzing测试技术,针对上述问题,设计和实现了工控网络协议Fuzzing测试漏洞挖掘原型系统,该系统主要由协议分析子系统、用例生成子系统、模糊器子系统、监控代理子系统4部分构成。 展开更多
关键词 工控网络协议 漏洞挖掘 fuzzing测试 协议分析 模式发现
下载PDF
电动汽车充电桩CAN总线协议的安全检测 被引量:17
6
作者 徐江珮 王晋 +2 位作者 刘畅 周亮 龙凤 《山东大学学报(理学版)》 CAS CSCD 北大核心 2020年第5期95-104,共10页
随着智能充电桩的广泛部署,电动汽车充电桩的信息安全问题日益严重。攻击者可以通过外部访问接口渗透到连接关键控制单元的充电桩CAN总线,通过CAN总线发送恶意攻击报文,干扰充电桩工作,严重危害充电基础设施安全。针对电动汽车充电桩CA... 随着智能充电桩的广泛部署,电动汽车充电桩的信息安全问题日益严重。攻击者可以通过外部访问接口渗透到连接关键控制单元的充电桩CAN总线,通过CAN总线发送恶意攻击报文,干扰充电桩工作,严重危害充电基础设施安全。针对电动汽车充电桩CAN总线信息安全问题,提出了一种基于最大最小蚁群算法(MMAS)的CAN总线模糊测试方法。该方法通过改进最大最小蚁群算法来提高CAN协议模糊测试报文生成的效率,利用特定的变异策略,更改报文相应字段,通过CAN协议分析仪向充电桩CAN节点发送模糊测试报文,使充电桩CAN协议的检测效率大幅提高。基于上述测试方法,发现利用目前充电协议安全脆弱性对充电桩进行攻击,可导致充电桩产生停机、拒绝服务等安全问题。 展开更多
关键词 CAN总线 充电桩 信息安全 异常检测 模糊测试 最大最小蚁群算法
原文传递
基于状态的工控协议Fuzzing测试技术 被引量:15
7
作者 张亚丰 洪征 +2 位作者 吴礼发 周振吉 孙贺 《计算机科学》 CSCD 北大核心 2017年第5期132-140,共9页
针对传统Fuzzing测试应用于工控系统存在测试覆盖率和有效性低、异常监测手段受限等不足,提出了一种基于状态的工控协议Fuzzing测试方法。该方法采用XML脚本对协议状态机进行描述,设计了基于协议状态机的测试序列生成算法PSTSGM,对被测... 针对传统Fuzzing测试应用于工控系统存在测试覆盖率和有效性低、异常监测手段受限等不足,提出了一种基于状态的工控协议Fuzzing测试方法。该方法采用XML脚本对协议状态机进行描述,设计了基于协议状态机的测试序列生成算法PSTSGM,对被测对象进行状态引导以求达到更高的命中率和覆盖率。提出了基于心跳的异常监测与定位方法 HFDLM,采用心跳探测和循环定位的方式,对被测嵌入式设备进行异常行为监测和异常用例定位。设计并实现了基于中间人代理的模糊测试原型系统SCADA-Fuzz,对电力SCADA系统进行了测试。实验结果表明,利用状态引导的测试能够有效发现安全漏洞。 展开更多
关键词 工控协议 模糊测试 协议状态 漏洞挖掘
下载PDF
基于异常分布导向的智能Fuzzing方法 被引量:10
8
作者 欧阳永基 魏强 +1 位作者 王清贤 尹中旭 《电子与信息学报》 EI CSCD 北大核心 2015年第1期143-149,共7页
现有主流智能Fuzzing测试一般通过对程序内部结构的精确分析构造新测试样本,因而严重依赖于当前计算机的性能,往往忽略了已发现的程序异常信息对新测试样本构造的指导意义。为了克服上述缺陷,该文提出一种基于异常分布导向的智能Fuzzin... 现有主流智能Fuzzing测试一般通过对程序内部结构的精确分析构造新测试样本,因而严重依赖于当前计算机的性能,往往忽略了已发现的程序异常信息对新测试样本构造的指导意义。为了克服上述缺陷,该文提出一种基于异常分布导向的智能Fuzzing方法。该方法针对二进制程序测试,建立了TGM(Testcase Generation Model)样本构造模型:首先根据计算能力收集测试样本集的相关信息;然后随机选择初始测试样本进行测试;最后,基于测试结果初始化模型参数,根据模型优先选择更有效的输入属性构造新样本并进行新一轮测试,通过重复进行该步骤,在迭代测试中不断更新模型参数,用于指导下一轮新测试样本构造。实验数据表明该方法可以辅助Fuzzing选择更有效的样本优先进行测试,设计的原型工具Comb Fuzz在异常检测能力和代码覆盖能力上都有良好表现,同时,在对大型应用程序进行测试时,与微软SDL实验室的Mini Fuzz测试器相比,在限定时间内平均异常发现率提高近18倍,并在WPS 2013等软件中发现了7个Mini Fuzz无法发现的未公开"可利用"脆弱点。 展开更多
关键词 软件测试 智能fuzzing 异常分布 脆弱点
下载PDF
基于范式语法的工控协议Fuzzing测试技术 被引量:11
9
作者 张亚丰 洪征 +2 位作者 吴礼发 康红凯 孙贺 《计算机应用研究》 CSCD 北大核心 2016年第8期2433-2439,共7页
针对工控协议Fuzzing测试存在测试脚本编写工作量大、测试用例的覆盖面小、测试效率低等问题,提出了一种基于范式语法的工控协议Fuzzing测试方法。首先以改进的扩展巴科斯范式(modified augmented Backus-Naur form,MABNF)来描述工控协... 针对工控协议Fuzzing测试存在测试脚本编写工作量大、测试用例的覆盖面小、测试效率低等问题,提出了一种基于范式语法的工控协议Fuzzing测试方法。首先以改进的扩展巴科斯范式(modified augmented Backus-Naur form,MABNF)来描述工控协议;然后根据范式语法模型,将报文样本解析为范式语法变异树,进而生成范式语法变异树的描述脚本;提出了基于MABNF变异树的测试用例生成算法(MABNF-mutation-tree based testcases generating method,MTGM),先对MABNF变异树进行深度优先遍历,再采用语义变异策略对节点实施变异;最后利用MTGM得到冗余少、有效性高的测试用例集。使用该方法,实现了基于Peach的工控协议Fuzzing测试原型系统M-Peach,对供水SCADA系统进行了测试。与Peach的对比实验表明,所提出的方法能有效减少测试冗余,提高测试用例集的覆盖面和测试效率。 展开更多
关键词 工控协议 模糊测试 范式语法 漏洞挖掘
下载PDF
基于CVE漏洞库的工控漏洞发现和分析系统研究 被引量:7
10
作者 秦媛媛 朱广宇 +2 位作者 田晓娜 陈波 张松清 《信息通信技术》 2017年第3期54-59,共6页
随着计算机网络技术在工控系统中的应用日益增多,使得工业控制系统被网络中存在的恶意程序或者网络攻击破坏的风险大大增加。因此,如何及时准确地找出工控系统存在的漏洞就显得尤为重要。文章基于CVE工业控制系统漏洞库,借鉴Fuzzing测试... 随着计算机网络技术在工控系统中的应用日益增多,使得工业控制系统被网络中存在的恶意程序或者网络攻击破坏的风险大大增加。因此,如何及时准确地找出工控系统存在的漏洞就显得尤为重要。文章基于CVE工业控制系统漏洞库,借鉴Fuzzing测试、Open VAS等当前主流的漏洞发现技术思想并对其进行改进和提升,设计和开发了工控漏洞发现和分析系统,并搭建工控系统仿真环境对其进行测试,验证了系统的有效性。 展开更多
关键词 工控信息安全 漏洞扫描 CVE fuzzing测试 OpenVAS
下载PDF
基于模糊测试和遗传算法的XSS漏洞挖掘 被引量:8
11
作者 程诚 周彦晖 《计算机科学》 CSCD 北大核心 2016年第S1期328-331 364,364,共5页
为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞... 为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。 展开更多
关键词 XSS漏洞 模糊测试 遗传算法 过滤补全原则 最优攻击特征
下载PDF
基于模糊测试的反射型跨站脚本漏洞检测 被引量:8
12
作者 倪萍 陈伟 《计算机应用》 CSCD 北大核心 2021年第9期2594-2601,共8页
针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取... 针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取出潜在的用户注入点;其次,根据攻击载荷的语法形式构造模糊测试用例,并为每个元素设置初始权重,依据注入探子向量来获取输出点类型,从而选择对应的攻击语法模式来构造较有潜力的攻击载荷,并对其进行变异操作以形成变异攻击载荷来作为请求参数;然后,对网站响应进行分析,并调整元素的权重,以便生成更加高效的攻击载荷;最后,将该系统与ZAP、Wapiti系统做横向对比。实验结果表明,所提系统能够发现的潜在用户注入点数提升了12.5%,漏洞误报率下降至0.37%,漏报率低于2.23%;同时减少了请求次数,节约了检测时间。 展开更多
关键词 跨站脚本漏洞检测 爬虫 模糊测试 探子向量 攻击载荷 权重调整
下载PDF
基于模糊测试技术的电力工控系统漏洞挖掘算法
13
作者 贺晋宏 冯楠 +2 位作者 付强 付敏 罗义钊 《沈阳工业大学学报》 CAS 北大核心 2024年第1期103-108,共6页
针对工控系统运行环境封闭带来的传统漏洞检测无法导出系统组件进行分析的问题,根据工控网络协议特征,结合测试用例变异因子,针对Modbus_TCP公开协议提出一种改进的电力工控系统漏洞测试挖掘方法。所提方法利用变异因子与工控协议特征... 针对工控系统运行环境封闭带来的传统漏洞检测无法导出系统组件进行分析的问题,根据工控网络协议特征,结合测试用例变异因子,针对Modbus_TCP公开协议提出一种改进的电力工控系统漏洞测试挖掘方法。所提方法利用变异因子与工控协议特征依赖关系,改造协议测试用例。通过将测试用例的特征值和数据域的长度值因子及其数值的选择进行合并,并做归一化处理,进而简化协议测试过程中变异因子的执行次数。针对Modbus_TCP工控协议的模糊测试结果表明,改进后的Fuzzing测试表现出了更高的测试用例接收率和测试效率,测试样例的平均接收率至少提高50%。 展开更多
关键词 电力行业 工业控制系统 漏洞挖掘 fuzzing测试 开源 异常分析和监测 数据生成 变异率
下载PDF
基于生成对抗网络与变异策略结合的网络协议漏洞挖掘方法 被引量:3
14
作者 庄园 曹文芳 +5 位作者 孙国凯 孙建国 申林山 尤扬 王晓鹏 张云海 《计算机科学》 CSCD 北大核心 2023年第9期44-51,共8页
随着信息化和工业化的深度融合,工业物联网网络协议安全问题日益突出。现有网络协议漏洞挖掘技术以特征变异和模糊测试为主,存在依赖专家经验和无法突破未知协议的局限。针对工业物联网协议的漏洞挖掘挑战,文中从漏洞检测规则的自动化... 随着信息化和工业化的深度融合,工业物联网网络协议安全问题日益突出。现有网络协议漏洞挖掘技术以特征变异和模糊测试为主,存在依赖专家经验和无法突破未知协议的局限。针对工业物联网协议的漏洞挖掘挑战,文中从漏洞检测规则的自动化分析与生成展开研究,提出基于生成对抗网络与变异策略结合的网络协议漏洞挖掘方法。首先,采用一种基于生成对抗网络的网络协议分析模型,通过对报文序列进行深层信息挖掘,提取报文格式及相关特征,实现对网络协议结构的识别。然后,结合基于变异算子库指导的迭代变异策略,构建有导向性的测试用例生成规则,缩短漏洞发现的时间;最终,形成面向未知工控网络协议的自动化漏洞挖掘方法,满足现有工控应用领域对协议自动化漏洞挖掘的需求。基于上述方法,对两种工控协议(Modbus-TCP和S7)进行测试,并对生成用例的测试接收率、漏洞检测能力、用例生成时间及其多样性方面进行了评估。实验结果表明,所提方法在TA指标上高达89.4%,本方法检测模拟系统ModbusSlave的AD指标为6.87%,缩短了有效用例的生成时间,提升了工控协议漏洞挖掘的效率。 展开更多
关键词 生成对抗网络 变异策略 模糊测试 漏洞挖掘 网络协议
下载PDF
基于模型的Fuzzing测试脚本自动化生成 被引量:7
15
作者 侯莹 洪征 +1 位作者 潘璠 吴礼发 《计算机科学》 CSCD 北大核心 2013年第3期206-209,共4页
针对基于知识的Fuzzing测试技术存在脚本编写工作量大的问题,提出一种基于模型的Fuzzing测试脚本自动生成方法。方法首先以高阶属性文法形式化地描述数据模型,获取统一的、与测试环境无关的数据格式描述;然后依据文法模型,将样本解析为... 针对基于知识的Fuzzing测试技术存在脚本编写工作量大的问题,提出一种基于模型的Fuzzing测试脚本自动生成方法。方法首先以高阶属性文法形式化地描述数据模型,获取统一的、与测试环境无关的数据格式描述;然后依据文法模型,将样本解析为带格式知识的文法分析树;最后建立文法分析树与测试逻辑的关联关系,实现自动化的测试脚本生成。实验结果表明,所提出的方法能够自动生成有效的测试脚本,并发现软件中潜在的安全漏洞。 展开更多
关键词 高阶属性文法 模糊测试 文法分析树 漏洞挖掘
下载PDF
基于符号化执行的Fuzzing测试方法 被引量:5
16
作者 陈建敏 舒辉 熊小兵 《计算机工程》 CAS CSCD 北大核心 2009年第21期33-35,共3页
设计并实现一种基于符号化执行的Fuzzing测试方法。通过代码插装,在程序执行过程中收集路径约束条件,依据一定的路径遍历算法生成新路径约束条件并进行求解,构造可以引导程序向新路径执行的输入测试数据。提出一种改进的污点分析机制,... 设计并实现一种基于符号化执行的Fuzzing测试方法。通过代码插装,在程序执行过程中收集路径约束条件,依据一定的路径遍历算法生成新路径约束条件并进行求解,构造可以引导程序向新路径执行的输入测试数据。提出一种改进的污点分析机制,对路径约束条件进行简化,提高了代码覆盖率和漏洞检测的效率。 展开更多
关键词 fuzzing测试 代码插装 符号化执行 污点分析
下载PDF
基于逆向工程和Fuzzing技术的AdobeReader漏洞发掘技术研究 被引量:4
17
作者 曹旭 张一宁 《信息工程大学学报》 2009年第2期204-206,214,共4页
随着技术的成熟,Fuzzing技术越来越多地在软件测试中采用。然而在对大型软件的测试中,由于文档格式复杂,单纯使用FUZZ测试的方法效率十分低下。文章针对AdobeReader软件,基于逆向工程和Fuzzing技术提出了一种漏洞发掘模型。
关键词 逆向工程 fuzzing技术 漏洞发掘
下载PDF
基于循环神经网络的模糊测试用例生成 被引量:6
18
作者 徐鹏 刘嘉勇 +2 位作者 林波 孙慧颖 雷斌 《计算机应用研究》 CSCD 北大核心 2019年第9期2679-2685,共7页
模糊测试用例常规的生成方法是随机变异和人工协议分析构造,其分别存在变异盲目效率低和构造复杂代价高的问题。针对上述问题提出运用深度学习技术辅助测试用例生成。利用循环神经网络处理字符文本序列的优势,通过样本数据学习训练结构... 模糊测试用例常规的生成方法是随机变异和人工协议分析构造,其分别存在变异盲目效率低和构造复杂代价高的问题。针对上述问题提出运用深度学习技术辅助测试用例生成。利用循环神经网络处理字符文本序列的优势,通过样本数据学习训练结构特征,并预测生成符合结构特征的新数据,与随机变异算法结合构造了自动生成模型。通过以LSTM和GRU算法模型对PDF文件输入型测试用例生成和效果评估,生成的测试用例总体优于常规方法,具有较好的通过率和覆盖率。该方法通过循环神经网络的辅助实现了生成快速高效和构造难度低的优点,达到了生成效果和花费代价的平衡。 展开更多
关键词 深度学习 循环神经网络 模糊测试 LSTM GRU
下载PDF
Apple系统漏洞分析技术研究
19
作者 邓昆朋 沙乐天 潘家晔 《软件》 2024年第4期15-19,共5页
在快速发展的网络安全领域,模糊测试技术具有高效、准确率高等特点,在学术界与工业界都得到了广泛的应用。同样,模糊测试技术已成为发现Apple系统中漏洞的关键工具。本文整合了该领域的关键研究和发展成果,深入探讨了模糊测试技术在这... 在快速发展的网络安全领域,模糊测试技术具有高效、准确率高等特点,在学术界与工业界都得到了广泛的应用。同样,模糊测试技术已成为发现Apple系统中漏洞的关键工具。本文整合了该领域的关键研究和发展成果,深入探讨了模糊测试技术在这些平台安全分析中的最新进展、应用和挑战。通过揭示当前前沿模糊测试方法在macOS及iOS系统中的漏洞分析技术研究的发展趋势,强调了在苹果两个平台的系统中漏洞发现和模糊测试技术日益增加的复杂性。最后讨论了当前发展趋势对未来研究方向和系统安全性持续增强的影响,并综合当前的技术积累以及新兴的趋势,展望了未来的研究方向。 展开更多
关键词 系统漏洞 漏洞挖掘 模糊测试 应用研究
下载PDF
一种基于函数依赖的跨合约模糊测试方案
20
作者 张立强 路梦君 严飞 《信息网络安全》 CSCD 北大核心 2024年第7期1038-1049,共12页
随着区块链应用的快速发展和智能合约的广泛使用,由智能合约引发的安全事件急剧增多,导致基于区块链的数字资产产生了巨大损失。目前,虽然部分工具可以检测智能合约安全漏洞,但是它们主要针对单个智能合约进行检测,未考虑跨合约之间的... 随着区块链应用的快速发展和智能合约的广泛使用,由智能合约引发的安全事件急剧增多,导致基于区块链的数字资产产生了巨大损失。目前,虽然部分工具可以检测智能合约安全漏洞,但是它们主要针对单个智能合约进行检测,未考虑跨合约之间的交互依赖关系,因此会产生较多的误报。针对上述智能合约漏洞检测工具在跨合约场景下误报率较高和性能消耗过大的问题,文章提出一种基于函数依赖的跨合约模糊测试方案FIFuzz。该方案提出ContractRank算法进行合约间依赖关系建模,采用函数重要度来表征函数在合约间交互过程中的重要程度,并在后续模糊测试模块中加以利用。模糊测试通过基于函数重要度的交易序列生成策略和基于合约地址映射关系的地址类型数据生成策略来提高检测效率,缩减跨合约漏洞检测的搜索空间。另外,通过合约调用模拟来降低漏洞检测的假阳性率。与相关工具的对比实验表明,FIFuzz的漏洞检测时间相对其他工具缩短了80%,检测到的漏洞数量是其他工具的两倍,检测跨合约漏洞的准确率也明显高于其他工具。实验结果表明,FIFuzz能够有效提升跨合约漏洞的检测准确率,降低误报率,并减小时间开销。 展开更多
关键词 智能合约 模糊测试 跨合约漏洞
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 2 6 下一页 到第
使用帮助 返回顶部