라이브러리는 독립적으로 실행되지 않고 많은 응용 프로그램에서 사용되므로, 라이브러리의 취약점을 사전에 탐지하는 것은 중요하다. 라이브러리 취약점을 탐지하기 위해 동적 분석 방법...
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
https://www.riss.kr/link?id=A107837322
2021
Korean
KCI등재
학술저널
587-604(18쪽)
0
0
상세조회0
다운로드국문 초록 (Abstract)
라이브러리는 독립적으로 실행되지 않고 많은 응용 프로그램에서 사용되므로, 라이브러리의 취약점을 사전에 탐지하는 것은 중요하다. 라이브러리 취약점을 탐지하기 위해 동적 분석 방법...
라이브러리는 독립적으로 실행되지 않고 많은 응용 프로그램에서 사용되므로, 라이브러리의 취약점을 사전에 탐지하는 것은 중요하다. 라이브러리 취약점을 탐지하기 위해 동적 분석 방법인 퍼징이 사용되고 있다. 퍼징 기술은 코드 커버리지 및 크래시 발생 횟수 측면에서 개선된 결과를 보여주지만, 그 효과를 라이브러리 퍼징에 적용하기는 쉽지 않다. 특히, 라이브러리의 다양한 상태를 재현하려면 특정 함수 시퀀스를 호출하고 퍼저의 입력을 전달하여 라이브러리 코드를 실행하는 퍼징 대상 파일과 시드 코퍼스가 필요하다. 그러나 퍼징 환경(시드 코퍼스, 퍼징 대상 파일)을 준비하는 것은 라이브러리에 대한 이해와 퍼징에 대한 이해가 동시에 필요한 어려운 일이다. 이에, 본 논문에서는 테스트 프레임워크를 활용하여 라이브러리 퍼징의 용이성을 확보하고, 코드 커버리지와 크래시 탐지 성능을 향상하기 위한 개선 방법을 제안한다. 본 논문에서 제안한 시스템은 9개의 오픈 소스 라이브러리에 적용하여 기존 연구들과 비교를 통한 개선 효과를 검증하였다. 실험 결과 코드 커버리지 31.2%, 크래시 탐지 기준 58.7%의 개선 효과를 확인하였고, 3개의 알려지지 않는 취약점을 탐지하였다.
다국어 초록 (Multilingual Abstract)
Because the library cannot be run independently and used by many applications, it is important to detect vulnerabilities in the library. Fuzzing, which is a dynamic analysis, is used to discover vulnerabilities for the library. Although this fuzzing t...
Because the library cannot be run independently and used by many applications, it is important to detect vulnerabilities in the library. Fuzzing, which is a dynamic analysis, is used to discover vulnerabilities for the library. Although this fuzzing technique shows excellent results in terms of code coverage and unique crash counts, it is difficult to apply its effects to library fuzzing. In particular, a fuzzing executable and a seed corpus are needed that execute the library code by calling a specific function sequence and passing the input of the fuzzer to reproduce the various states of the library. Generating the fuzzing environment such as fuzzing executable and a seed corpus is challenging because it requires both understanding about the library and fuzzing knowledge. We propose a novel method to improve the ease of library fuzzing and enhance code coverage and crash detection performance by using a test framework. The systems’s performance in this paper was applied to nine open-source libraries and was verified through comparison with previous studies.
목차 (Table of Contents)
참고문헌 (Reference)
1 I. Yun, "{QSYM}: A practical concolic execution engine tailored for hybrid fuzzing" 745-761, 2018
2 AFL, "american fuzzy lop"
3 S. Rawat, "Vuzzer: Application-aware evolutionary fuzzing" 17 : 1-14, 2017
4 V. Jain, "Tiff : using input type inference to improve fuzzing" 505-517, 2018
5 V.J.M. Manès, "The art, science, and engineering of fuzzing: A survey" 2019
6 H. Peng, "T-fuzz: fuzzing by program transformation" IEEE 697-710, 2018
7 N. Katirtzis, "Summarizing software api usage examples using clustering techniques." FASE 189-206, 2018
8 Y. Li, "Steelix: program-state based binary fuzzing" 627-637, 2017
9 C. Lyu, "Smartseed : Smart seed generation for efficient fuzzing"
10 J. Wang, "Skyfire: Data-driven seed generation for fuzzing" IEEE 579-594, 2017
1 I. Yun, "{QSYM}: A practical concolic execution engine tailored for hybrid fuzzing" 745-761, 2018
2 AFL, "american fuzzy lop"
3 S. Rawat, "Vuzzer: Application-aware evolutionary fuzzing" 17 : 1-14, 2017
4 V. Jain, "Tiff : using input type inference to improve fuzzing" 505-517, 2018
5 V.J.M. Manès, "The art, science, and engineering of fuzzing: A survey" 2019
6 H. Peng, "T-fuzz: fuzzing by program transformation" IEEE 697-710, 2018
7 N. Katirtzis, "Summarizing software api usage examples using clustering techniques." FASE 189-206, 2018
8 Y. Li, "Steelix: program-state based binary fuzzing" 627-637, 2017
9 C. Lyu, "Smartseed : Smart seed generation for efficient fuzzing"
10 J. Wang, "Skyfire: Data-driven seed generation for fuzzing" IEEE 579-594, 2017
11 W. Zheng, "Random unit-test generation with mut-aware sequence recommendation" 293-296, 2010
12 J. Fowkes, "Parameterfree probabilistic api mining across github" 254-265, 2016
13 M.A. Saied, "Mining multi-level api usage patterns" IEEE 23-32, 2015
14 N. Coppik, "Memfuzz: Using memory accesses to guide fuzzing" IEEE 48-58, 2019
15 H. Zhong, "MAPO: Mining and Recommending API Usage Patterns" 318-343, 2009
16 M. Pradel, "Leveraging test generation and specification mining for automated bug detection without false positives" IEEE 288-298, 2012
17 L. Moreno, "How can i use this method?" IEEE 1 : 880-890, 2015
18 J. Choi, "Grey-box concolic testing on binary code" IEEE 736-747, 2019
19 I.J. Goodfellow, "Generative adversarial networks"
20 K. Ispoglou, "Fuzzgen : Automatic fuzzer generation" 2271-2287, 2020
21 J. Jang, "Fuzzbuilder:automated building greybox fuzzing environment for c/c++ library" 627-637, 2019
22 GitHub, "FuzzBuilderEx"
23 D. Babić, "Fudge: fuzz driver generation at scale" 975-985, 2019
24 C. Pacheco, "Feedback-directed random test generation" IEEE 75-84, 2007
25 C. Lemieux, "Fairfuzz: A targeted mutation strategy for increasing greybox fuzz testing coverage" 475-485, 2018
26 N. Stephens, "Driller : Augmenting fuzzing through selective symbolic execution" 16 : 1-16, 2016
27 J. E. Montandon, "Documenting apis with examples: Lessons learned with the api miner platform" IEEE 401-408, 2013
28 M. Böhme, "Directed greybox fuzzing" 2329-2344, 2017
29 M. Böhme, "Coverage-based greybox fuzzing as markov chain" 45 (45): 489-506, 2017
30 K. Sen, "Concolic testing" 571-572, 2007
31 S. Zhang, "Combined static and dynamic automated test generation" 353-363, 2011
32 S. Gan, "Collafl: Path sensitive fuzzing" IEEE 679-696, 2018
33 P. Chen, "Angora:Efficient fuzzing by principled search" IEEE 711-725, 2018
34 B.P. Miller, "An empirical study of the reliability of unix utilities" 33 (33): 32-44, 1990
신뢰 실행 환경 어플리케이션 개발을 위한 상용 컨피덴셜 컴퓨팅 프레임워크 동향 및 비교 분석
API 호출 빈도를 이용한 악성코드 패밀리 탐지 및 분류 방법
학술지 이력
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2026 | 평가예정 | 재인증평가 신청대상 (재인증) | |
2020-01-01 | 평가 | 등재학술지 유지 (재인증) | |
2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | |
2013-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
2010-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
2008-01-01 | 평가 | 등재 1차 FAIL (등재유지) | |
2005-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | |
2004-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | |
2003-01-01 | 평가 | 등재후보학술지 선정 (신규평가) |
학술지 인용정보
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 0.41 | 0.41 | 0.43 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
0.45 | 0.4 | 0.508 | 0.04 |