refzz:重用模糊测试结果以改进安全评估
2020年春季澳门威尼斯人注册网站研究孵化奖获得者
挑战是什么?
随着网络安全问题日益成为制造商关注的焦点,他们对产品和系统进行售前和售后安全评估的需求受到了极大的关注。 然而,与不断加速的发布计划相比,安全评估是非常耗时的,并且必须从头开始对每个新产品进行评估。 模糊测试是对随机输入重复调用被测程序(PUT)以引起错误的程序行为。 在过去十年中,程序崩溃已经发展成为最流行和最成功的bug查找技术。 基于这种受欢迎程度,模糊分析在安全分析人员的工具包中获得突出位置是很自然的,因为它被大量用于安全评估。
解决方案是什么?
Manuel Egele正在设计一种新的静态和动态程序分析能力,使迷惑者能够在早期版本的PUT评估中获得安全见解。 这从本质上支持重用先前的安全知识。 具体来说,他的目标是指导fuzzers优先评估PUT中新增或修改的功能,而不是现有的已经评估的代码。 要将模糊器定位于PUT中的新功能或更新功能,需要采取三个基本步骤。 The first is to identify a capability that can recognize which executable code corresp在ds to the functi在ality’s newly added to the PUT. 其次,利用来自早期模糊测试活动的知识来识别导致执行路径的候选输入,这些路径与第一步中确定的新功能“接近”。 最后,通过使用第二步中确定的输入对更新后的PUT进行模糊测试,模糊测试器达到新功能所需花费的时间将大大减少。
什么是过程?
通过保留未修改代码的先前模糊测试结果,并在PUT的更新部分上珩磨模糊测试过程,可以更容易地解决缺点,并确保将宝贵的模糊测试资源(即时间和计算)投入到可以产生最大收益的地方。 本澳门威尼斯人注册网站研究的重点是识别和开发新的模糊测试解决方案,以便在评估修改后的put的安全性时利用先前的模糊测试结果。 为了实现这些成果,Manuel Egele建议结合静态和动态规划分析技术来解决关键挑战。