可编程模糊测试技术

模糊测试是一种有效的漏洞挖掘技术.为改善模糊测试因盲目变异而导致的效率低下的问题,需要围绕输入特征、变异策略、种子样本筛选、异常样本发现与分析等方面不断定制模糊测试器,从而花费了大量的定制成本.针对通用型模糊测试器（即支持多类输入格式及目标软件的模糊测试器）的低成本定制和高可扩展性需求,本文首次提出了一种可编程模糊测试框架,基于该框架漏洞挖掘人员仅需编写模糊测试制导程序即可完成定制化模糊测试,在不降低模糊测试效果的基础上可大幅提高模糊测试器开发效率.该框架包含一组涉及变异、监控、反馈等环节的模糊测试原语,作为制导程序的基本语句;还包含一套编程规范（FDS）及FDS解析器,支持制导程序的编写、解析和模糊测试器的生成.基于实现的可编程模糊测试框架原型Puzzer,在26个模糊测试原语的支持下,漏洞挖掘人员平均编写54行代码即可实现当前主流的5款万级代码模糊测试器的核心功能,并可覆盖总计87.8%的基本操作.基于Puzzer实现的AFL等价模糊测试器,仅用51行代码即可达到与AFL相当的模糊测试效果,具有良好的有效性.     

基于模式生成的浏览器模糊测试技术

模糊测试被广泛应用于浏览器的漏洞挖掘,其效果好坏的决定因素之一是测试者编写的测试模式.针对特定测试模式实现成本高、生存时间短等问题,本文提出了一种基于模式生成的浏览器模糊测试器自动构造方法,通过解析已知漏洞触发样本,自动提取测试模式,对模式中每个模块应用传统的变异策略,完成畸形样本的自动生成.实验表明,针对5款浏览器的1089个已知漏洞触发样本,平均仅用时11.168秒即可完成1089个不同模糊测试器的自动构建,远低于人为编写的时间消耗;随机选取其中10个模糊测试器分别对IE 10、IE 11、Firefox 54.0的全补丁版本进行测试,共产生57个不同的崩溃样本,发现1个高危未知漏洞,证明本方法具有较好的未知漏洞发现能力.     

基于全系统模拟的OP-TEE内核模糊测试方法

OP-TEE (Open Portable Trusted Execution Environment)是运行于基于TrustZone的可信执行环境(Trusted Execution Environment,TEE)中的开源可信操作系统。OP-TEE虽然运行于TEE侧,但仍存在漏洞从而遭受来自于富执行环境(Rich ExecutionEnvironment,REE)的攻击。模糊测试是一种常用的漏洞发现方法,但由于TEE与REE的高度隔离,REE侧的模糊测试工具难以直接测试OP-TEE,且现有基于OP-TEE源码插桩的模糊测试方法存在依赖源码和专业领域知识且崩溃容忍度低的问题。本文基于全系统模拟,模拟OP-TEE依赖的环境,提出了对OP-TEE内核模糊测试的方法。该方法将OP-TEE托管在模拟环境中并追踪其执行过程,模糊测试工具在模拟环境外观测执行过程并以此生成测试用例。该方法通过设计实现模拟环境内外通信组件,将模拟环境内OP-TEE的系统调用暴露给模拟环境外的模糊测试工具,使得模糊测试工具能够对OP-TEE内核进行模糊测试。同时针对模糊测试过程中单个用例测试耗时较长的问题,设计实现了预翻译优化机制以减少测试过程中的耗时。实验验证了方案可行性,评测了预翻译优化的效果,并评估了方案的漏洞发现能力,同时对比现有方案OP-TEE Fuzzer进行了性能测试。实验结果表明,本文方案具有检出崩溃以及发现潜在漏洞的能力,预翻译优化机制能平均减少19.05%执行耗时,且实际性能优于OP-TEE Fuzzer,其中吞吐量与OP-TEE Fuzzer相比提高了104%。     

UEFI固件的启发式逆向分析与模糊测试方法

统一可扩展固件接口(Unified Extensible Firmware Interface,简称UEFI),作为新一代固件接口标准,广泛应用于现代计算机系统,但其漏洞可能引发严重安全威胁.为了减少UEFI漏洞引发的安全问题,需要进行漏洞检测.而第三方安全测试场景下的模糊测试是检测的主要手段.但符号信息的缺失影响了测试效率.本文提出了一种启发式的UEFI逆向分析方法,恢复固件中的符号信息,改进模糊测试并实现了原型系统ReUEFuzzer.通过对来自4个厂商的525个EFI文件进行测试,证明了逆向分析方法的有效性.ReUEFuzzer可以提升函数测试覆盖率,并在测试过程中发现了一个零日漏洞,已报告给国家信息安全漏洞共享平台以及公共漏洞和暴露系统. 实验证明,本文方法在UEFI漏洞检测方面具有有效性,可以为UEFI安全提供一定的保障.     

一种Cisco IOS启发式模糊测试方法

在思科互联网操作系统(Cisco IOS)中,系统安全漏洞已经成为信息安全风险的主要根源之一,全面发现与及时修补IOS的漏洞非常必要。为此,提出一种基于细粒度污点分析的启发式模糊测试方法。给出细粒度污点传播规则的形式化描述,以及基于细粒度污点分析的安全敏感操作判定规则,为获取启发式信息提供依据;采用启发式测试用例生成的方法,设计并实现Cisco IOS漏洞挖掘原型系统CTaint Miner,测试结果表明,系统具备较好的漏洞挖掘能力,验证了启发式模糊测试方法的有效性。     

基于配置模糊的软件漏洞检测方法

为了检测特定配置条件下的软件漏洞,提出了一种配置模糊测试方法.它通过改变被测程序的配置检测一些只在特定运行时特定配置下才能表现出来的软件漏洞.应用程序运行在部署环境下时,配置模糊测试技术连续不断的模糊应用程序的配置信息,检查软件是否违反了“安全准则”,若违反,则表示存在一个安全漏洞,配置模糊测试技术执行测试时利用的是正在运行的一个应用程序的副本,因此不会影响应用程序的状态.描述了配置模糊测试方法的原型实现,并通过实验验证了该方法的高效性.     

SymFuzz:一种复杂路径条件下的漏洞检测技术

当前漏洞检测技术可以实现对小规模程序的快速检测,但对大型或路径条件复杂的程序进行检测时其效率低下。为实现复杂路径条件下的漏洞快速检测,文中提出了一种复杂路径条件下的漏洞检测技术SymFuzz。SymFuzz将导向式模糊测试技术与选择符号执行技术相结合,通过导向式模糊测试技术对程序路径进行过滤,利用选择符号执行技术对可能触发漏洞的路径进行求解。该技术首先通过静态分析获取程序漏洞信息;然后使用导向式模糊测试技术,快速生成可以覆盖漏洞函数的测试用例;最后对漏洞函数内可以触发漏洞的路径进行符号执行,生成触发程序漏洞的测试用例。文中基于AFL与S2E等开源项目实现了SymFuzz的原型系统。实验结果表明,SymFuzz与现有的模糊测试技术相比,在复杂路径条件下的漏洞检测效果提高显著。     

基于规范生成的文件模糊测试

为了解决传统文件模糊测试效率不高与功能遗漏的缺点,提出一种新的文件模糊测试算法.基于文件的规范,抽象地描述了文件推导规则,定义了文件模糊测试模板,设计了文件模糊变异模型.在规范描述下生成不同类型文件,然后对每类文件进行变异模糊测试,有效地减少了大量无效测试.实际测试中,已经验证3个已公开漏洞并发现两个未公开漏洞,表明了该算法的有效性.     

一种基于FSM的BGP-4协议模糊测试方法

BGP-4路由协议的安全性对于保障整个网络安全、可靠运行具有重要意义。现有的模糊测试方法在对BGP-4协议测试时存在状态测试困难、测试用例冗余等问题。为了解决这些问题,提出了一种基于有限状态机的BGP-4协议模糊测试方法 BFuzz,设计了测试序列生成算法TSGF(Test Sequences Generation for Fuzzing)和测试用例生成算法TCGVF(Test Cases Generation based on Vulnerable Fields),实现了原型系统BFuzzer。测试结果表明该方法能够有效地挖掘BGP-4协议中的漏洞。     

Proto-Perf：快速精确的通用处理器原型系统性能评估方法

性能验证及评估是通用处理器设计实现过程中最重要且必须实施的关键步骤之一.高效的通用处理器原型系统性能评估方法不仅可以帮助处理器设计人员在处理器设计阶段尽早地定位性能设计缺陷,而且还可以在设计流片前验证处理器能否达到性能设计预期.然而,对处理器原型系统进行完整的性能测试需要运行较长的时间,这样巨大的时间开销导致设计人员无法及时进行性能设计分析,进而导致处理器原型系统的性能评估成为整个项目的瓶颈.提出了一种快速精确的通用处理器原型系统性能评估方法Proto-Perf.Proto-Perf性能评估方法使用动态程序分析方法和基本块聚合技术抽取测试程序的特征程序片段进行测试,显著地缩短了性能测试时间.实验结果表明,相比于完整运行SPEC CPU2006 REF数据规模测试程序获得的性能数据,使用Proto-Perf测试得到的性能数据的绝对误差平均达到1.53％,其中最高达到7.86％.并且,对于实验中的每个程序,使用Proto-Perf方法进行测试的时间都明显缩短.     

面向云平台非可信Hypervisor的保护机制综述

大数据时代背景下,多租户云平台的作用越显重要。然而,虚拟化作为云平台的关键构建技术之一,其安全性的保证尚不充分。Hypervisor是虚拟化技术中关键的软件层次,它管理着客户虚拟机和裸机物理资源之间的资源分配、共享和隔离等重要事务。但是Hypervisor本身存在着漏洞和攻击面,使得任意针对Hypervisor的攻击对多租户云平台和上层应用造成不可估计的威胁。因此,面向云平台非可信Hypervisor的保护机制应运而生。对现有保护机制进行综述,包括:分析其构建的可行性与挑战,并对保护机制进行分类;梳理和剖析保护机制中的完整性检测机制、防御机制以及隔离机制方面的相关工作;展望未来研究趋势,为未来虚拟化技术安全性的研究以及构建可靠的多租户云平台的研究提供有价值的参考。     

基于漏洞库的fuzzing测试技术

鉴于主流fuzzing(模糊)测试技术生成的测试用例随机性和针对性无法兼顾的问题,提出一种基于漏洞库的fuzzing测试技术.根据漏洞产生的原因和重现的方法对漏洞库进行整理分类,构造出测试用例集用于fuzzing测试.这样生成的测试用例集直接与漏洞相关,具有更强的针对性;同时扩展的测试用例集可以用于检测未知的同类漏洞,覆盖面更广,因此保证了一定的随机性.以ftp服务器测试为例,选取了W indow s平台下的4款ftp服务器进行测试,共发现了3款软件的6个新漏洞,提交Se-curityFocus并通过,其中5个漏洞得到了国际权威漏洞数据库CVE的认可.     

基于状态的工控协议Fuzzing测试技术

针对传统Fuzzing测试应用于工控系统存在测试覆盖率和有效性低、异常监测手段受限等不足,提出了一种基于状态的工控协议Fuzzing测试方法。该方法采用XML脚本对协议状态机进行描述,设计了基于协议状态机的测试序列生成算法PSTSGM,对被测对象进行状态引导以求达到更高的命中率和覆盖率。提出了基于心跳的异常监测与定位方法HFDLM,采用心跳探测和循环定位的方式,对被测嵌入式设备进行异常行为监测和异常用例定位。设计并实现了基于中间人代理的模糊测试原型系统SCADA-Fuzz,对电力SCADA系统进行了测试。实验结果表明,利用状态引导的测试能够有效发现安全漏洞。     

基于物联网设备局部仿真的反馈式模糊测试技术

近几年物联网设备数量飞速增长, 随着物联网的普及, 物联网设备所面临的安全问题越来越多。与物联网设备相关的安全攻击事件中, 危害最大的是利用设备漏洞获得设备最高权限, 进而窃取用户敏感数据、传播恶意代码等。对物联网设备进行漏洞挖掘, 及时发现物联网设备中存在的安全漏洞, 是解决上述安全问题的重要方法之一。通过模糊测试可有效发现物联网设备中的安全漏洞, 该方法通过向被测试目标发送大量非预期的输入, 并监控其状态来发现潜在的漏洞。然而由于物联网设备动态执行信息难获取以及模糊测试固有的测试深度问题, 使得当前流行的反馈式模糊测试技术在应用到物联网设备中面临困难。本文提出了一种基于物联网设备局部仿真的反馈式模糊测试技术。为了获取程序动态执行信息又保持一定的普适性, 本文仅对于不直接与设备硬件交互的网络服务程序进行局部仿真和测试。该方法首先在物联网设备的固件代码中自动识别普遍存在并易存在漏洞的网络数据解析函数, 针对以该类函数为入口的网络服务组件, 生成高质量的组件级种子样本集合。然后对网络服务组件进行局部仿真, 获取目标程序代码覆盖信息, 实现反馈式模糊测试。针对 6 个厂商的 9 款物联网设备的实验表明, 本文方法相比 FirmAFL 多支持 4 款物联网设备的测试, 平均可以达到 83.4%的函数识别精确率和 90.1%的召回率, 针对识别得到的 364个目标函数对应的网络服务组件共触发 294 个程序异常并发现 8 个零日漏洞。实验结果证明了我们方法的有效性和实用性。     

Virtualization layer security challenges and intrusion detection/prevention systems in cloud computing: a comprehensive review

Virtualization plays a vital role in the construction of cloud computing. However, various vulnerabilities are existing in current virtualization implementations, and thus there are various security challenges at virtualization layer. In this paper, we investigate different vulnerabilities and attacks at virtualization layer of cloud computing. We examine the proposals of cloud intrusion detection system (IDS) and intrusion detection and prevention system frameworks. We recommend the cloud IDS requirements and research scope to achieve desired level of security at virtualization layer of cloud computing.     

Iterative Dichotomiser Posteriori Method Based Service Attack Detection in Cloud Computing

Cloud computing (CC) is an advanced technology that provides access to predictive resources and data sharing. The cloud environment represents the right type regarding cloud usage model ownership, size, and rights to access. It introduces the scope and nature of cloud computing. In recent times, all processes are fed into the system for which consumer data and cache size are required. One of the most security issues in the cloud environment is Distributed Denial of Service (DDoS) attacks, responsible for cloud server overloading. This proposed system ID3 (Iterative Dichotomiser 3) Maximum Multifactor Dimensionality Posteriori Method (ID3-MMDP) is used to overcome the drawback and a relatively simple way to execute and for the detection of (DDoS) attack. First, the proposed ID3-MMDP method calls for the resources of the cloud platform and then implements the attack detection technology based on information entropy to detect DDoS attacks. Since because the entropy value can show the discrete or aggregated characteristics of the current data set, it can be used for the detection of abnormal data flow, User-uploaded data, ID3-MMDP system checks and read risk measurement and processing, bug rating file size changes, or file name changes and changes in the format design of the data size entropy value. Unique properties can be used whenever the program approaches any data error to detect abnormal data services. Finally, the experiment also verifies the DDoS attack detection capability algorithm.     

云环境下一种基于信任的加密流量DDoS发现方法

针对云环境下分布式拒绝服务(distributed denial-of-service,DDoS)攻击加密攻击流量隐蔽性更强、更容易发起、规模更大的问题,提出了一种云环境下基于信任的加密流量DDoS发现方法TruCTCloud.该方法在现有基于机器学习的DDoS攻击检测中引入信任的思想,结合云服务自身的安全认证,融入基于签名和环境因素的信任评估机制过滤合法租户的显然非攻击流量,在无需对加密流量解密的前提下保障合法租户流量中包含的敏感信息.其后,对于其他加密流量和非加密流量,引入流包数中位值、流字节数中位值、对流比、端口增速、源IP增速这5种特征,基于特征构建Ball-tree并提出基于k近邻(k-nearest neighbors,k NN)的流量分类算法.最后,在OpenStack云环境下检测了提出方法的效果,实验表明TruCTCloud方法能快速发现异常流量和识别DDoS攻击的早期流量,同时,能够有效保护合法用户的敏感流量信息.     

基于KVM的虚拟桌面基础架构设计与优化

随着云计算的不断发展,虚拟桌面基础架构(Virtual Desktop Infrastructure,VDI)解决方案日益成熟。VDI建立在虚拟化技术的基础上,突破了时间和空间的限制,有效地解决了传统个人计算机使用过程中存在的诸多问题,是当前桌面云解决方案中主流的架构与部署方式。充分利用VDI的优势,结合目前流行的KVM虚拟化技术,探讨解析虚拟桌面架构并进行实际部署,详细设计了平台优化方案,最后进行了测试并记录了性能表现,验证了系统的正确性和可用性。结果表明,VDI为现代机房带来了移动计算、方便管理和降低运维成本等诸多改进,为高校实际安装部署虚拟化平台提供了现实的指导意义。     

基于环境的Fuzzing测试技术

鉴于传统Fuzzing(模糊)测试技术在测试漏洞库中已有漏洞时覆盖率偏低的特点,提出一种基于环境的Fuzzing测试技术.通过提取程序运行所需的操作系统环境、中间件库函数依赖、环境变量等不可信环境因子,构造相应的包含了环境特征的Fuzzing测试用例集.这样的测试用例集合对漏洞库中的已有漏洞表现出了更全面的覆盖,同时还可以有效地发掘未知漏洞.以sftp服务器测试为例,选取Windows平台下的5款sftp服务器软件进行测试,除可以发掘已有漏洞外,还发现了3款软件的3个新漏洞,提交SecurityFocus并通过.