基于權(quán)值衡量網(wǎng)絡(luò)協(xié)議的模糊測試.pdf

1、隨著網(wǎng)絡(luò)的逐漸普及，網(wǎng)絡(luò)安全問題成為關(guān)乎網(wǎng)絡(luò)服務(wù)與通信成敗的日益嚴(yán)峻的問題，隨之相對應(yīng)的網(wǎng)絡(luò)安全測試也應(yīng)運(yùn)而生，而網(wǎng)絡(luò)服務(wù)大部分由基于網(wǎng)絡(luò)協(xié)議的服務(wù)軟件提供，所以針對網(wǎng)絡(luò)協(xié)議軟件的網(wǎng)絡(luò)安全測試分析方法也逐步涌現(xiàn)，但傳統(tǒng)的分析方法有其效率的低下和發(fā)現(xiàn)缺陷的先天不足。
　　 近年來，興起的模糊測試方法逐步受到人們的青睞，模糊測試是一種動態(tài)的基于黑白盒間的測試分析方法，針對網(wǎng)絡(luò)協(xié)議的模糊測試稱之為網(wǎng)絡(luò)協(xié)議模糊測試，它在分析網(wǎng)絡(luò)服務(wù)軟件

2、方面有著獨(dú)到的優(yōu)勢。傳統(tǒng)的網(wǎng)絡(luò)協(xié)議模糊測試在處理輸入數(shù)據(jù)方面有著效率不高的缺點(diǎn)，本文在此基礎(chǔ)上提出了基于權(quán)值衡量的網(wǎng)絡(luò)協(xié)議模糊測試，既對輸入的測試數(shù)據(jù)在動態(tài)調(diào)試分析后進(jìn)行加權(quán)處理，使模糊數(shù)據(jù)在測試軟件安全缺陷上更加有針對性；并實(shí)現(xiàn)了對整個模糊測試過程的自動化處理。
　　 本文在處理網(wǎng)絡(luò)協(xié)議模糊測試數(shù)據(jù)上，采用了基于塊的協(xié)議描述語言對網(wǎng)絡(luò)協(xié)議格式進(jìn)行描述，解決了協(xié)議數(shù)據(jù)包中需動態(tài)計算數(shù)據(jù)部分長度的問題，產(chǎn)生的模糊測試數(shù)據(jù)真實(shí)有效。

3、并建立模糊數(shù)據(jù)參數(shù)庫，可以產(chǎn)生大量相對有效的測試數(shù)據(jù)?；趨?shù)權(quán)值衡量技術(shù)對模糊數(shù)據(jù)進(jìn)行動態(tài)的調(diào)試跟蹤，加權(quán)處理然后進(jìn)行模糊測試，這樣降低了測試數(shù)據(jù)量，提高分析效率。
　　 Linux平臺上，實(shí)現(xiàn)的自動化模糊測試處理流程包括以下技術(shù)模塊-協(xié)議解析及腳本處理模塊、調(diào)試跟蹤加權(quán)測試模塊和測試數(shù)據(jù)產(chǎn)生及發(fā)送模塊。協(xié)議解析及腳本處理模塊對網(wǎng)絡(luò)協(xié)i義進(jìn)行自動化解析并自動撰寫測試腳本；調(diào)試跟蹤加權(quán)測試模塊是讓含調(diào)試跟蹤器的目標(biāo)程序與測試數(shù)據(jù)