网络与信息安全学报2021,Vol.7Issue(5) :93-104.DOI:10.11959/j.issn.2096-109x.2021067

模型学习与符号执行结合的安全协议代码分析技术

Security protocol code analysis method combining model learning and symbolic execution

张协力 祝跃飞 顾纯祥 陈熹
网络与信息安全学报2021,Vol.7Issue(5) :93-104.DOI:10.11959/j.issn.2096-109x.2021067
  • 国家科技期刊平台
  • NETL
  • NSTL
  • 维普
  • 万方数据

模型学习与符号执行结合的安全协议代码分析技术

Security protocol code analysis method combining model learning and symbolic execution

张协力 1祝跃飞 1顾纯祥 1陈熹1
扫码查看

作者信息

  • 1. 数学工程与先进计算国家重点实验室,河南郑州450001;网络密码技术河南省重点实验室,河南郑州450002
  • 折叠

摘要

符号执行技术从理论上可以全面分析程序执行空间,但对安全协议这样的大型程序,路径空间爆炸和约束求解困难的局限性导致其在实践上不可行.结合安全协议程序自身特点,提出用模型学习得到的协议状态机信息指导安全协议代码符号执行思路;同时,通过将协议代码中的密码学逻辑与协议交互逻辑相分离,避免了因密码逻辑的复杂性导致路径约束无法求解的问题.在SSH协议开源项目Dropbear上的成功实践表明了所提方法的可行性;通过与Dropbear自带的模糊测试套件对比,验证了所提方法在代码覆盖率与错误点发现上均具有一定优势.

关键词

模型学习/符号执行/安全协议代码/状态驱动

引用本文复制引用

基金项目

国家重点研发计划(2019QY1302)

出版年

2021
网络与信息安全学报
人民邮电出版社

网络与信息安全学报

CSTPCD
ISSN:2096-109X
参考文献量4
段落导航相关论文