首页 > 期刊 > 自然科学与工程技术 > 信息科技 > 电子信息科学综合 > 计算机研究与发展 > 有限资源条件下的软件漏洞自动挖掘与利用 【正文】

有限资源条件下的软件漏洞自动挖掘与利用

黄桦烽; 王嘉捷; 杨轶; 苏璞睿; 聂楚江; 辛伟 中国科学院软件研究所可信计算与信息保障实验室; 北京100190; 中国科学院大学计算机科学与技术学院; 北京100190; 中国信息安全测评中心; 北京100085
  • 漏洞
  • 模糊测试
  • 污点传播
  • 符号执行
  • 输入求解

摘要:漏洞是系统安全与攻防对抗的核心要素,漏洞的自动发现、分析、利用是长期以来研究的热点和难点,现有研究主要集中在模糊测试、污点分析、符号执行等方面.当前研究一方面主要从漏洞的发现、分析和利用的不同环节提出了一系列解决方案,缺乏系统性的研究和实现;另一方面相关方法未考虑现实环境的有限资源条件,其中模糊测试主要基于大规模的服务器集群实施,污点分析和符号执行方法时间与空间复杂度高,且容易出现状态爆炸.针对有限资源条件下的漏洞自动挖掘与利用问题,建立了Weak-Tainted程序运行时漏洞模型,提出了一套面向漏洞自动挖掘、分析、利用的完整解决方案;提出了污点传播分析优化方法和基于输出特征反馈的输入求解方法等有限资源条件下的分析方案,提升了漏洞挖掘分析与利用生成能力;实现了漏洞自动挖掘和利用原型系统,单台服务器设备可并发运行25个漏洞挖掘与分析任务.对2018年BCTF比赛样本进行了实验对比测试,该输入求解方法在求解atoi,hex,base64编码的能力均优于ANGR,同等漏洞挖掘能力条件下效率比AFL提高45.7%,测试的50个样本中有24个能够自动生成利用代码,验证了Weak-Tainted漏洞描述模型用于漏洞自动挖掘和利用生成的优势.

注:因版权方要求,不能公开全文,如需全文,请咨询杂志社

投稿咨询 文秘咨询

计算机研究与发展

  • 预计1-3个月 预计审稿周期
  • 2.65 影响因子
  • 计算机 快捷分类
  • 月刊 出版周期

主管单位:中科院出版委员会;主办单位:中国科学院计算技术研究所

我们提供的服务

服务流程: 确定期刊 支付定金 完成服务 支付尾款 在线咨询