状态定义条件下覆盖率引导反馈的协议模糊测试方法

模糊测试是软件测试与漏洞挖掘领域使用最广泛、最有效的方法之一，在内核、浏览器、文档、协议等软件的开发测试与漏洞挖掘中得到了深入的应用。通过研究基于状态定义条件下覆盖率引导反馈的协议模糊测试的方法，解决单纯通过覆盖率难以引导协议状态转移的问题，通过事先定义协议状态转移过程，将传统的局部最优的覆盖率引导扩大至全局最优的覆盖率。相较于传统协议模糊测试技术，在小样本情况下，所提方法大幅度提高了代码覆盖率；相较于Peach与Spike，代码覆盖提高最高达143.6%，路径覆盖提高最高达162.4%；在长时间运行过程中，相较于Peach的3种数据生成模式，在达到相同路径覆盖时，时间最多缩短98.9%。     

基于软件体系结构分析的漏洞挖掘技术研究

为了提高漏洞挖掘效率,在软件体系结构的基础上,结合符号执行、污点分析和模糊测试中的优点,设计并实现了基于软件体系结构分析的漏洞挖掘系统Fast Fuzzing。该系统主要由体系结构分析、指令追踪、符号执行、污点分析和动态测试五个模块组成,为提高系统效率,系统针对传统技术方法进行了优化处理。实验结果表明Fast Fuzzing系统能够有效发现IE8和IE10中的安全问题,成功触发了IE8和IE10中的多个漏洞,适用于常用软件的安全测试。     

面向工业物联网的协议漏洞检测技术研究

针对物联网环境中传统模糊测试方法效率低的问题,提出一种基于模糊测试的工业物联网协议漏洞检测技术。该技术使用Seq2Seq模型进行二次学习,构建以协议管理、策略配置、详情查询模块为核心的物联网协议漏洞检测系统。经过测试,该技术可有效提高协议检测效率和漏洞挖掘能力。     

基于启发式搜索和分类树的网络协议模糊测试用例生成方法研究

模糊测试通过向目标系统注入大量的非预期输入找出系统漏洞,是安全检测和漏洞挖掘的有效方法。针对网络协议模糊测试的关键问题之一——测试用例生成方法进行研究,论述了网络协议模糊测试的意义、方法和关键问题,在启发式搜索算法和分类树思想的基础上提出了启发式网络协议模糊测试用例生成方法,分别选取模糊器Peach和FTP作为验证平台与目标协议,借助IDAPro工具提取启发算子并将其写入配置文件,用于指导目标协议测试用例的生成过程,通过测试结果分析验证了启发式网络协议模糊测试用例生成方法的可行性与有效性。     

人工智能技术在模糊测试中的应用

<正>随着软件系统规模日益庞大，其中的漏洞和安全隐患也越来越难以发现和解决。安全测试作为软件开发过程中关键的环节，被越来越多的企业和组织所重视。在安全测试的众多方法中，模糊测试作为一种简单、易用、低成本的技术，已经被广泛应用于软件系统的漏洞检测，它的基本原理是通过模拟随机输入数据来探测软件系统中的潜在漏洞。虽然模糊测试方法简单，但由于数据的随机性往往比较高，导致测试效率和准确性不能得到保证。近年来，随着人工智能技术的不断发展，越来越多的研究表明，将人工智能技术应用于模糊测试中，可以帮助测试人员在更短的时间内发现更多的漏洞。     

基于程序流程控制漏洞挖掘技术研究

随着计算机扮演着越来越重要的角色,计算机安全问题也越加凸显。计算机安全问题不仅涉及个人和企业利益,而且关乎国家安全。信息系统软件漏洞危害大、范围广,是病毒、木马等的直接载体,因此软件漏洞挖掘也是信息安全研究中的重要领域。文中提出了一种将静态分析和动态监测相结合的漏洞挖掘技术方案,通过对windows下多款软件进行测试,发现了windows平台下的多个漏洞,其中有3个被中国国家信息安全漏洞库(CNNVD)收录,证明了用这种软件控制挖掘技术来寻找漏洞是有效性。     

Android平台NFC应用漏洞挖掘技术研究

为了提高NFC技术的安全性,针对Android平台NFC应用进行NDEF协议漏洞挖掘研究,提出了一种基于Fuzzing技术的测试方法。该方法采用手工、生成和变异3种策略构造测试用例,使用报文逆向分析和嗅探2种手段辅助分析并构造报文;然后,利用构造的测试用例对NFC应用目标进行漏洞挖掘并输出结果。根据该方法,开发了一个NFC应用安全漏洞挖掘系统ANDEFVulFinder,采用logcat和进程监控的手段在漏洞挖掘过程中对目标进行监测,并通过模拟标签和触碰操作实现漏洞挖掘过程自动化。最后,通过测试MIUI系统和6个应用,发现了8个漏洞,结果表明了漏洞挖掘方法的有效性。     

基于模糊测试的网络协议漏洞挖掘研究

随着网络应用程序的发展,网络协议安全性的要求不断提高,模糊测试成为研究热点。在总结了当前研究方向的基础上,重点研究了网络协议识别方法和网络协议的测试用例生成,在启发式搜索算法和概率权值的基础上提出了基于参数权值的启发式模糊测试框架。同时,选取现有模糊测试漏洞挖掘工具Peach进行扩展,其中数据生成模块采用基于参数权值的启发式输入追踪技术,利用IDAPRO提取函数的启发因子形成的启发规则指导测试用例生成过程,基于参数权值确定测试用例的发送顺序。最后,采用开发工具对常用的FTP协议进行了验证,通过测试结果验证了基于参数权值的启发式模糊测试框架达到了预期效果。     

一种高效率的主动式漏洞挖掘平台

软件测试的漏洞发掘技术在快速扩展的互联网软件数量需求下,其存在效率低下,适应测试环境的能力不强以及对软件外部代码的跟踪能力弱等问题。在这种情形下,开发了一种主动式的多漏洞挖掘式数据平台(MLIIMP)。一方面,该平台能够主动触发软件测试系统在运行时的位置漏洞;另一方面,系统在引入路径搜索时还插入了新的函数模型,该模型的作用是保障符号传播性能的大幅提升。漏洞测试结果表明这种平台在进行漏洞挖掘方面的效率有较大优势。     

程序流程跟踪漏洞挖掘系统

程序漏洞的发现与利用是当今信息安全面临的主要问题之一,传统的漏洞挖掘技术具有误报率高,覆盖率低等问题。据此情况,文中提出了一种新型的、基于程序流程跟踪的新型漏洞挖掘系统。本系统在静态测试漏洞挖掘技术的基础上,结合图论的相关知识生成测试样本,再利用基因算法改进测试样本,给出了一套完整的漏洞挖掘系统结构。该系统增加了程序覆盖度,更加高效、准确地完成漏洞挖掘工作。     

基于多线程的网络拓扑发现模块的研究与实现

针对当前网络测试设备中网络拓扑发现运行时间长、效率低等问题,设计了一种在WinCE嵌入式操作系统环境下的网络拓扑发现方案,提出了多线程的实现方法,介绍了软件的设计思想、设计流程、多线程网络拓扑算法.经过测试表明,该方案显著提高了运行效率,具有更好的性能和应用价值.     

并发程序变异测试研究综述

变异测试是一种面向缺陷的软件测试方法,利用人为注入的缺陷引导测试数据生成,评价测试数据的有效性,在软件工程领域得到了广泛关注.依托多核架构,开发可靠的并发程序越来越迫切.近年来,很多学者尝试将变异测试技术应用于并发程序,以提高并发程序测试的效率和可靠性.首先,介绍了本文工作与已有综述的不同;然后,阐述了与并发程序和变异测试技术相关的知识;接着,从变异实施、变异测试准则、测试数据生成等3方面,综述并发程序变异测试的研究进展,包括：变异算子设计、选择变异、高阶变异、弱变异、测试数据生成方法、变异测试工具等;最后,讨论需要进一步研究的问题.     

基于UML活动图的测试用例生成方法设计

传统的软件测试主要依赖人工来产生测试用例,易出错、完备性差、自动化程度低。为了提高测试的完备性和自动化程度,基于模型的测试越来越受到人们的关注,这种方法的优点在于可以及早的发现缺陷,缩短开发时间。文章提出一种基于统一建模语言（Unified Modeling Language,UML）活动图模型生成测试用例的方法,结合实例重点介绍测试路径生成的具体步骤。根据该方法生成的测试用例,可以自动生成测试路径,提高了测试的完备性和自动化程度。     

软件接口自动化测试技术研究与实现

软件接口测试是软件系统测试的一个重要方面。文中通过雷达软件测试工作的实践,探讨研究接口测试自动化技术,设计了接口自动化测试框架和实现流程,采用灵活的XML语言作为数据交互的载体,并将该技术应用于实际的测试工作中,结果表明软件接口自动化测试技术能够有效地减少接口测试的工作量,提高测试工作的效率。     

基于蚁群算法的多路径覆盖测试数据生成

为了提高多路径覆盖测试数据的生成效率,研究了一种基于蚁群算法的多路径覆盖测试数据生成方法.首先给出蚁群算法的一种改进方法,该算法以蚂蚁对生成测试数据的重要性作为蚂蚁状态转移和蚂蚁路径变异的依据,以引导更多蚂蚁穿越小概率节点,提高测试数据生成效率.其次,根据改进的蚁群算法分别提出了基于单信息素表和多信息素表的多路径覆盖测试数据生成方法.在基于多信息素表的方法中,每条目标路径的信息素表均被用于其它路径测试数据的求解,而且蚁群算法运行一次即可求解多条目标路径的覆盖测试数据.最后对所提出方法的有效性和复杂度进行了理论分析.实验结果表明,与其它方法相比,基于多信息素表的测试数据生成方法能够有效地生成多路径覆盖测试数据.     

面向船舶软件的仿真测试平台研究

随着现代科学技术的迅猛发展,嵌入式软件黑盒测试领域更加完善,软件仿真测试便是其中的一种.本文特意针对船舶软件的仿真测试问题,分析舰船在作战指挥控制的系统中的交联环境,探讨了仿真测试的管理技术;并且设计将测试实验模型转化为XML文件并深刻解析运行方法,实现测试平台的智能执行;建立测试数据的智能收集和分析模式,并且开发了船舶嵌入式软件的仿真测试系统,明显地提高了船舶的测试效率和测试的科学性、准确度.     

军用软件测试文档生成设计与实现

软件测试是软件研发过程中非常重要的环节,是保证软件质量,提高软件可靠性的重要手,使用HP公司的测试管理工具Quality Center(以下简称QC),在测试过程中对测试用例和测试缺陷进行有效管理,确保了测试资产的积累和重用,为了使其应用更加适应军用软件的测试过程,针对QC软件进行二次开发,实现可自动化生成符合军用软件测试要求的测试文档.在二次开发过程中,追求以用为主的指导技术路线,使测试过程管理、测试产品管理和测试人员管理更加符合我们的实际工作,使测试工作的效率显著提升,起到事半功倍的效果.     

软件测试度量的研究

软件测试在软件工程中占有极为重要的地位 ,是保证软件质量的重要环节 ,软件测试过程的度量对于改进软件测试过程 ,提高软件测试效率具有重要意义。软件测试度量是对软件测试过程的量化分析。论述了软件测试度量的流程 ,软件测试度量中的重要指标及对度量指标的分析方法 ,对于指导和改进软件测试过程具有实际意义     

基于Matlab GUI的雷达总调软件实现

针对雷达总站调试中遇到的问题,借助Matlab信号处理、绘图工具和GUI编程功能,实现了一种基于Matlab GUI用于雷达总站调试的窗口软件,可完成调试指令的下发、状态信息的汇总、采样数据的分析及显示。采用该方式实现的软件操作简单、开发周期短、数据分析自动化程度高,且可大幅提高雷达总站的调试效率与质量。     

基于TCL脚本的自动化测试工具的研究与实现

随着软件开发规模的增大、复杂程度的增加,软件测试变得越来越困难,ATE（自动化测试工具）能够降低软件测试的难度,提高测试效率。本文提出了一种基于TCL脚本的ATE的设计方法,并对重要模块进行了介绍。该工具具有很强的可移植性,通过适当的修改可对多种信令交互型的实体进行测试。