基于RSL及Fuzzing的協(xié)議測試工具的研究.pdf

1、網(wǎng)絡的日趨完善使其成為信息交互的主要載體，隨之網(wǎng)絡的安全性引起了人們的重視。網(wǎng)絡協(xié)議的具體實現(xiàn)是網(wǎng)絡的基礎，因此，網(wǎng)絡協(xié)議自身的安全性決定了整個網(wǎng)絡的安全性。本論文主要對國產(chǎn)基礎軟件中涉及到的網(wǎng)絡協(xié)議的安全性進行研究，然后研發(fā)出了對協(xié)議的安全性進行檢測的測試工具。
　　論文首先研究了基于形式化方法的軟件測試技術，在對多種形式化描述語言及協(xié)議測試方法進行綜合分析比較的基礎上，選擇采用RSL形式化描述語言與模糊測試技術作為開發(fā)測試工具

2、的主要方法。為了便于協(xié)議實現(xiàn)模型到具體形式化描述的轉換，論文選擇了CSP的協(xié)議模型作為形式化描述的基礎。同時，本文對幾種常見的網(wǎng)絡協(xié)議進行了研究，按協(xié)議的功能實現(xiàn)把被測網(wǎng)絡協(xié)議劃分為兩類:多序列的網(wǎng)絡協(xié)議和單序列的網(wǎng)絡協(xié)議。在對協(xié)議進行形式化的基礎上，論文針對劃分的兩種網(wǎng)絡協(xié)議分別提出了測試用例的生成規(guī)則:對于多序列網(wǎng)絡協(xié)議，采用動作序列和異常元素庫相結合的方法生成測試用例;對于單序列網(wǎng)絡協(xié)議，采用報文格式和異常元素庫相結合的方法生成測

3、試用例。根據(jù)這兩種網(wǎng)絡協(xié)議測試用例的生成規(guī)則對協(xié)議的模糊測試引擎進行了設計，以此為基礎論文研發(fā)出了一款測試工具---網(wǎng)絡協(xié)議安全性模糊測試工具。最后，本文通過實驗的方式對工具的有效性進行了驗證。驗證結果表明，該工具能夠有效的發(fā)現(xiàn)網(wǎng)絡協(xié)議的安全漏洞，滿足了國產(chǎn)基礎軟件的安全測試需求。
　　另外，該工具不僅可以獨立對協(xié)議的安全性進行測試，而且還可以通過預先定義的接口與其它測試工具協(xié)作完成測試，大大增強了工具的擴展性和通用性。