模糊测试研究进展.PDFVIP

第２８卷第７期　　　 计算机应用与软件 Ｖｏｌ２８Ｎｏ．７ ２０１１年７月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｊｕｌ．２０１１ 模糊测试研究进展 陈衍铃　王　正 （电子工程学院网络系　安徽合肥２３００３７） 摘　要　　通过介绍发现安全漏洞的三种方法，引出模糊测试。首先介绍了模糊测试的历史，接着从模糊测试的一般流程，模糊测 试方法，测试对象，测试中存在的问题四个方面详细介绍了模糊测试的研究现状，最后根据模糊测试的研究现状和特点归纳了今后 模糊测试的研究方向和研究方法。 关键词　　模糊测试　协议　测试用例　变异　生成 ＡＤＶＡＮＣＥＭＥＮＴＯＦＴＨＥＳＴＵＤＹＯＮＦＵＺＺＹＴＥＳＴＩＮＧ ＣｈｅｎＹａｎｌｉｎｇ　ＷａｎｇＺｈｅｎｇ （ＤｅｐａｒｔｍｅｎｔｏｆＮｅｔｗｏｒｋ，ＥｌｅｃｔｒｉｃＥｎｇｉｎｅｅｒｉｎｇＩｎｓｔｉｔｕｔｅ，Ｈｅｆｅｉ２３００３７，Ａｎｈｕｉ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｔｈｅｐａｐｅｒｉｎｔｒｏｄｕｃｅｓｔｈｒｅｅａｐｐｒｏａｃｈｅｓｉｎｄｅｔｅｃｔｉｎｇｓｅｃｕｒｉｔｙｌｅａｋａｇｅｓ．Ｔｈｅｎｉｔｉｎｄｕｃｅｓｔｈｅｃｏｎｃｅｐｔｏｆｆｕｚｚｙｔｅｓｔｉｎｇ．Ｆｉｒｓｔｌｙｔｈｅ ｆｕｚｚｙｔｅｓｔｉｎｇｈｉｓｔｏｒｙｉｓｉｎｔｒｏｄｕｃｅｄ．Ｔｈｅｎｔｈｅｃｏｎｔｅｍｐｏｒａｒｙｅｎｖｉｒｏｎｍｅｎｔｏｆｆｕｚｚｙｔｅｓｔｉｎｇｒｅｓｅａｒｃｈｉｓｅｌａｂｏｒａｔｅｄｉｎｄｅｔａｉｌｆｒｏｍｆｏｕｒａｓｐｅｃｔｓｏｆｉｔｓ ｇｅｎｅｒａｌｗｏｒｋｆｌｏｗ，ｆｕｚｚｙｔｅｓｔｉｎｇｍｅｔｈｏｄｓ，ｏｂｊｅｃｔｓｔｏｔｅｓｔａｎｄｐｒｏｂｌｅｍｓｉｎｔｅｓｔｉｎｇ．Ｏｎｔｈｅｂａｓｉｓｏｆｔｈｅｃｏｎｔｅｍｐｏｒａｒｙｅｎｖｉｒｏｎｍｅｎｔｏｆｆｕｚｚｙｔｅｓｔｉｎｇ ｒｅｓｅａｒｃｈａｎｄｉｔｓｃｈａｒａｃｔｅｒｉｓｔｉｃｓ，ｔｈｅｐａｐｅｒｈａｓｍａｄｅｃｏｎｃｌｕｓｉｏｎｆｏｒｒｅｓｅａｒｃｈｏｒｉｅｎｔａｔｉｏｎａｎｄｍｅｔｈｏｄｓｆｏｒｆｕｚｚｙｔｅｓｔｉｎｇｉｎｔｈｅｆｕｔｕｒｅ． Ｋｅｙｗｏｒｄｓ　　Ｆｕｚｚｙｔｅｓｔｉｎｇ　Ｐｒｏｔｏｃｏｌ　Ｔｅｓｔｃａｓｅ　Ｖａｒｉａｔｉｏｎ　Ｇｅｎｅｒａｔｅ 审核工具主要有ＩＤＡ［１１］、ＬｏｇｉＳｃａｎ、ＢｕｇＳｃａｍ、Ｉｎｓｐｅｃｔｏｒ、Ｓｅｃｕｒｉｔｙ ０　引　言 Ｒｅｖｉｅｗ、ＢｉｎＡｕｄｉｔ。 近些年来，利用软件漏洞实施网络攻击的行为层出不穷，互 １　模糊测试发展史 联网络的各个关键领域都面临着严峻的挑战。如何更好地保证 软件质量，减少软件漏洞，成为当前安全领域一个重要的研究方 模糊测试作为黑盒测试的一种具体技术，开始于 １９８９年。 向。当前用来发现安全漏洞的方法主要有三种：白盒测试，黑盒 ＢａｒｔｏｎＭｉｌｌｅｒ教授在ＵＷＭａｄｉｓｏｎ中使用模糊测试的方法来测试 测试和灰盒测试。 ＵＮＩＸ应用程序的健壮性［１２］。当时采用一种简单纯粹的黑盒测 白盒测试采用的主要方法是源代码审计。因为可以获取所 试，只是验证应用程序是否崩溃，具有很高的失效概率。１９９９ 有的源代码，所有可能的代码路径都可以被审核，所以该方法具 年，Ｏｕｌｕ大学开始进行ＰＲＯＴＯＳ测试集的开发工作，结合了白 有覆盖能力强的优点。主要的缺点是需要大量的人工分析，复 盒和黑盒的测试方法。２００２年Ｏｕｌｕ大学发布成熟的ＰＲＯＴＯＳ 杂性高。比如重要的软件项目一般包含数十万行代码，源代码 ＳＮ