模糊测试技术研究综述

计算机工程与科学 ›› 2022, Vol. 44 ›› Issue (12): 2173-2186.

模糊测试技术研究综述

牛胜杰1,李鹏2,张玉杰1,2

(1.南京邮电大学计算机学院，江苏南京210023；2.江苏省无线传感网高技术研究重点实验室，江苏南京 210023)

收稿日期:2021-08-17 修回日期:2022-03-18 接受日期:2022-12-25 出版日期:2022-12-25 发布日期:2023-01-04
基金资助:
国家自然科学基金（61872196,61872194,61902196,62102194,62102196）;江苏省科技支撑计划（BE2019740,BK20200753,20KJB520001）;江苏省高等学校自然科学研究重大项目（18KJA520008）;江苏省六大人才高峰高层次人才项目（RJFW-111）

Survey on fuzzy testing technologies

NIU Sheng-jie1,LI Peng2,ZHANG Yu-jie1,2

(1.School of Computer Science,Nanjing University of Posts and Telecommunications,Nanjing 210023;
2.Jiangsu High Technology Research Key Laboratory for Wireless Sensor Networks,Nanjing 210023,China)

Received:2021-08-17 Revised:2022-03-18 Accepted:2022-12-25 Online:2022-12-25 Published:2023-01-04

摘要/Abstract

摘要： 随着人们对软件系统安全问题关注度的不断提升，模糊测试作为一种用于安全漏洞检测的安全测试技术，具有自动化程度高、误报率低等优点，其应用越来越广泛，地位也越来越重要。经过近些年的不断改进，模糊测试无论在技术发展上还是在应用创新上，都取得了诸多成就。首先，对模糊测试的相关概念和基本理论进行简要说明，总结了模糊测试在各领域的应用情况，针对不同领域的漏洞挖掘需求，分析得出相应的模糊测试解决方案。其次，重点总结了近几年来模糊测试的重要发展成果，包括测试工具、框架、系统及方法的改进与创新，并分析总结了各发展成果所采用的创新方法，提出的理论以及各工具、系统的优点与不足。最后，分别从协议逆向工程应用、云平台建设、新兴技术结合、模糊测试对抗技术研究及模糊测试工具集成的角度，为模糊测试下一步的研究提供了方向参考。

关键词: 模糊测试, 漏洞挖掘, 软件测试, 协议测试

Abstract: As people pay more and more attention to software system security issues, fuzzy testing, as a security testing technology for security vulnerability detection, has become more and more widely used and more and more important due to its high degree of automation and low false alarm rate. After continuous improvement in recent years, fuzzy testing has achieved many achievements in both technical development and application innovation. Firstly, we briefly explain the related concepts and basic theories of fuzzing, summarize the application of fuzzy testing in various fields, and analyze the corresponding fuzzy testing solutions according to the needs of vulnerability mining in different fields. Then ,we focus on the important development results of fuzzy testing in recent years, including the improvement and innovation of testing tools, frameworks, systems, and methods. We also analyze and summarize the innovative methods and theories adopted by each development results, as well as the advantages and disadvantages of each tools and systems. Finally, from the perspectives of protocol reverse engineering application, cloud platform construction, emerging technology integration, fuzzy testing countermeasure technology research, and fuzzing tool integration, we provide direction reference for the further research of fuzzy testing.

Key words: fuzzy testing, vulnerability mining, software test, protocol test

牛胜杰, 李鹏, 张玉杰, . 模糊测试技术研究综述[J]. 计算机工程与科学, 2022, 44(12): 2173-2186.

NIU Sheng-jie, LI Peng, ZHANG Yu-jie, . Survey on fuzzy testing technologies[J]. Computer Engineering & Science, 2022, 44(12): 2173-2186.

[1]	顾涛涛, 卢帅兵, 李响, 况晓辉, 赵刚. 并行模糊测试综述[J]. 计算机工程与科学, 2022, 44(06): 1046-1055.
[2]	张卫祥，齐玉华，魏波，张敏，窦朝晖. 基于蚁群算法的测试用例优先排序[J]. 计算机工程与科学, 2020, 42(02): 241-249.
[3]	宋丛溪，王辛，张文喆. Angr动态软件测试应用分析与优化[J]. 计算机工程与科学, 2018, 40(增刊S1): 163-168.
[4]	占徐政. 一种针对高维输入域的适应性随机测试改进性算法[J]. 计算机工程与科学, 2018, 40(11): 1936-1943.
[5]	赵一丁，缑西梅，底恒. 项目驱动教学法在软件测试课程中的过程控制[J]. 计算机工程与科学, 2016, 38(增刊): 112-116.
[6]	赵一丁1,樊银亭1,郑秋生1,楚纪正2,罗菁1. 工业软件现场测试中的拆分及其测试数据设计[J]. J4, 2016, 38(05): 921-931.
[7]	赵翀，高鹏. 软件测试课程工程实践教学模式的探索与实施[J]. J4, 2014, 36(A1): 51-55.
[8]	鞠小林1, 2,姜淑娟1,陈翔2,曹鹤玲1,王兴亚1. 一种基于多变量Logistic模型的缺陷定位方法[J]. J4, 2014, 36(10): 1952-1960.
[9]	吴洁明，李硕征. CNONIX标准符合性测试研究[J]. J4, 2014, 36(05): 884-890.
[10]	王蓁蓁. 基于测试结果调整语句出错概率方法[J]. J4, 2014, 36(05): 891-899.
[11]	李毅1，徐萍1，万寒2. 基于QEMU实现的处理器类故障模拟与注入方法研究[J]. J4, 2014, 36(01): 19-27.
[12]	时贵英. 改进PSO算法在软件测试数据生成中的应用[J]. J4, 2012, 34(1): 86-89.
[13]	牟永敏，姜宇，张志华. 软件自动化测试中热点路径的研究[J]. J4, 2011, 33(6): 79-83.
[14]	施寅生，王峰，齐璇. 一种新颖的Web服务安全性测试方法[J]. J4, 2010, 32(9): 81-83.
[15]	周志远, 张大方, 缪力. 基于Java内存模型的并发程序模型检测[J]. J4, 2010, 32(3): 111-114.