>기술 주변기기 >일체 포함 >'완전 자동' 취약점 마이닝에 한 걸음 더 가까워졌습니다! ACM CCS 2023에 선정된 Tencent Security Big Data Laboratory 논문

'완전 자동' 취약점 마이닝에 한 걸음 더 가까워졌습니다! ACM CCS 2023에 선정된 Tencent Security Big Data Laboratory 논문

PHPz
PHPz앞으로
2023-11-29 18:14:461427검색

컴퓨터공학 분야 국제적으로 권위 있는 학술대회인 ACM CCS 2023이 11월 26일 덴마크 코펜하겐에서 개막했습니다. Tencent Security Big Data Laboratory 팀의 논문 "Hopper: Interpretative Fuzzing for Libraries"가 컨퍼런스에 포함되었습니다. 어제 실험실 연구원 Xie Yuxuan이 컨퍼런스에 초대되어 주제를 공유했습니다.

距离“全自动”漏洞挖掘又近了一步!腾讯安全大数据实验室论文入选ACM CCS 2023

이 연구는 자동화된 코드 생성을 달성하기 위해 동적 피드백을 사용하여 API 내부 및 외부의 제약 조건을 학습하는 방법을 보여주는 해석적 퍼지 테스트 방법을 제안합니다. 이 방법을 통해 외부 전문 지식 없이도 유효하고 사용 가능한 코드 호출 방법을 생성하고 이러한 코드를 활용하여 취약점을 악용하는 것이 가능합니다. 이 연구 방법의 목표는 퍼즈 테스트에서 입구를 수동으로 구성해야 하는 문제를 해결하여 자동화된 취약점 마이닝의 효율성과 적용 범위를 크게 향상시키는 것입니다

지난 몇 년 동안 퍼징 기술(Fuzzing)이 매우 효과적인 취약점 마이닝 방법. 이 기술의 주요 원리는 다수의 무작위 입력을 생성하여 소프트웨어의 처리 능력을 테스트함으로써 개발자가 소프트웨어의 결함을 자동으로 발견하도록 돕는 것입니다. 현재 퍼즈 테스트 기술은 오픈 소스 소프트웨어와 상용 소프트웨어에서 널리 사용되고 있습니다. 그러나 퍼즈 테스트는 개발자가 대상 개체를 테스트하기 위해 테스트 입구(퍼즈 드라이버)를 수동으로 구축해야 합니다. 올바른 논리와 높은 적용 범위로 테스트 항목을 작성하려면 개발자가 테스트 중인 라이브러리에 대해 깊이 이해해야 하며 많은 작업이 필요합니다. 높은 임계값으로 인해 퍼즈 테스트에서 다루지 않은 코드(프로젝트, API 등 포함)가 여전히 많아 취약점 마이닝의 "자동화" 정도가 제한됩니다.

Tencent 보안 빅데이터. 연구소에서는 해석적 퍼즈 테스트라고 불리는 새로운 테스트 방법을 제안했습니다. 이 테스트 방법을 사용하면 개발자가 테스트 항목을 작성할 필요가 없고 Fuzzer가 실행할 프로그램을 직접 생성할 수 있으며 모든 라이브러리 API에 대한 완전 자동화된 학습 및 테스트가 가능합니다. 이는 퍼지 테스트의 완전 자동화된 프로세스를 완전히 개방하고 자동화된 취약점 마이닝의 효율성을 크게 향상시킵니다. 이 방법을 기반으로 Tencent Security Big Data Laboratory는 자동화된 취약점 마이닝 도구인 Hopper를 구현하고 이를 11개의 오픈 소스 라이브러리 파일에서 평가했습니다. . 결과는 Hopper가 세 도서관의 커버리지 성능에서 상당한 이점을 갖고 있으며 다른 도서관에서 수동으로 건설한 입구와 비교할 수 있는 결과를 얻을 수 있음을 보여줍니다.

Hopper는 API 커버리지 측면에서 93.52%에 달하는 매우 높은 수준을 보여주었습니다. 이에 비해 수동으로 작성된 퍼지 테스트 항목은 API

距离“全自动”漏洞挖掘又近了一步!腾讯安全大数据实验室论文入选ACM CCS 2023

의 약 15%-30%만 다룰 수 있습니다. 또한 Hopper가 추론한 API 내부 제약 조건은 96.51%의 정확도에 도달할 수 있어 효율성이 크게 향상됩니다. 생성된 코드 성공률 및 효율성

距离“全自动”漏洞挖掘又近了一步!腾讯安全大数据实验室论文入选ACM CCS 2023

마지막으로 Hopper는 실행의 동적 피드백을 직접 사용하여 API 테스트 범위를 크게 향상시키는 동시에 일련의 코드를 성공적으로 발견했습니다. 실제 소프트웨어 결함을 파악하고 이를 관련 플랫폼과 개발자에게 제출하여 수리를 요청했습니다.

距离“全自动”漏洞挖掘又近了一步!腾讯安全大数据实验室论文入选ACM CCS 2023연구원들은 위 연구 결과를 논문 형태로 발표했고, 이는 ACM CCS 2023에 포함되었습니다. ACM CCS는 IEEE S&P, USENIX Security, NDSS와 함께 컴퓨터 보안 분야 4대 학회로 알려져 있으며 약 30년의 역사를 갖고 있으며 컴퓨터 보안 분야에 지대한 영향을 미쳤습니다. 컴퓨터 보안. 이번 회의는 컴퓨터 보안 분야에서 높은 평가를 받고 있으며, 중국 컴퓨터 연맹(CCF)이 선정한 네트워크 및 정보 보안 분야 A급 국제 학술 회의로도 인정받고 있습니다.

Tencent Security Big Data Lab은 네트워크 보안에 직면한 내부 및 외부 기술이 지속적으로 발전하고 있지만 네트워크 보안의 본질은 취약점, 공격 및 방어라고 생각합니다. 따라서 공격자보다 먼저 시스템 취약점을 찾는 방법은 끊임없는 주제입니다. 대형 모델 시대에 Tencent Security는 취약성 마이닝에서 AI와 같은 신기술을 강화하고 효율성을 향상시키는 방법을 계속해서 탐구할 것입니다.

위 내용은 '완전 자동' 취약점 마이닝에 한 걸음 더 가까워졌습니다! ACM CCS 2023에 선정된 Tencent Security Big Data Laboratory 논문의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 jiqizhixin.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제