AFLNeTrans：状态间关系感知的网络协议模糊测试.pdf

《AFLNeTrans：状态间关系感知的网络协议模糊测试.pdf》由会员分享，可在线阅读，更多相关《AFLNeTrans：状态间关系感知的网络协议模糊测试.pdf（12页珍藏版）》请在咨信网上搜索。

1、NETINFOSECURITY2024年第1期理论研究doi:10.3969/j.issn.1671-1122.2024.01.012AFLNeTrans：状态间关系感知的网络协议模糊测试一洪玄泉，贾鹏，刘嘉勇（四川大学网络空间安全学院，成都6 10 0 6 5）摘要：网络协议是现代通信系统中不可缺少的部分，其实现程序的安全性不容忽视。模糊测试已经成为现代漏洞挖掘的主流方式，并在软件安全领域中取得了较大的成功。网络协议模糊测试通常指对网络协议实现程序进行模糊测试，然而传统模糊测试在此类程序的测试上仍存在一些问题。首先，由于网络协议实现程序中不同状态对应不同代码，传统灰盒模糊测试中使用的代码覆盖

2、不能表示网络协议实现程序的内部状态。其次现有灰盒协议模糊器中的状态引导机制依赖于代码覆盖率，不能很好地挖掘网络协议实现程序的状态间关系。对此，文章提出了一种由协议状态间关系和程序代码覆盖率共同引导模糊测试过程从而提升模糊测试效果的模糊器AFLNeTrans，其利用状态间关系作为主要引导机制，引导模糊测试快速探索协议实现程序更多的状态空间，并在Profuzzbench上对其进行了评估实验。实验结果表明，AFLNeTrans 在发现状态转移数量上有较明显的提升，并且在代码覆盖率和unique_crash数量上相比现有工具也有提升。关键词：软件测试；模糊测试；网络协议；状态引导中图分类号：TP309

3、文献标志码：A文章编号：16 7 1-112 2（2 0 2 4）0 1-0 12 1-12中文引用格式：洪玄泉，贾鹏，刘嘉勇AFLNeTrans：状态间关系感知的网络协议模糊测试J.信息网络安全，2 0 2 4，2 4（1)：12 1-132.英文引用格式：HONG Xuanquan,JIA Peng,LIU Jiayong.AFLNeTrans:Fuzzing ofProtocols with State RelationshipAwarenessJJ.Netinfo Security,2024,24(1):121-132.AFLNeTrans:Fuzzing of Protocols w

4、ith State Relationship AwarenessHONG Xuanquan,JIA Peng,LIU Jiayong(School of Cyber Science and Engineering,Sichuan University,Chengdu 610065,China)Abstract:Network protocols are essential components of modern communicationsystems,and the security testing of their implementation programs is of great

5、importance.Fuzzing has become the mainstream method for modern vulnerability discovery,and has收稿日期：2 0 2 3-0 9-0 4基金项目：国家重点研发计划2 0 2 1YFB3101803作者简介：洪玄泉（19 9 9 一），男，广西，硕士研究生，主要研究方向为二进制安全；贾鹏（19 8 8 一），男，河南，副教授，博士，CCF会员，主要研究方向为漏洞挖掘和软件动静态分析；刘嘉勇（19 6 2 一），男，四川，教授，博士，主要研究方向为网络应用安全和信息内容安全。通信作者：贾鹏121NETINF

6、OSECURITY理论研究2024年第1期achieved great success in the field of software security.Traditional fuzzing still has someproblems in testing network protocol implementation programs.First,since different states innetwork protocol implementation programs correspond to different codes,the code coverageused in

7、traditional gray-box fuzzing cannot accurately represent the internal state of networkprotocol implementation programs.Second,the state guidance mechanism in existing gray-box network protocol fuzzers depends on code coverage,which cannot effectively mine thestate relationships in those programs.To

8、address the above problems,this paper proposedAFLNeTrans,a fuzzer that guides the fuzzing process by both protocol state relationships andprogram code coverage to improve the fuzzing effect.AFLNeTrans used state relationshipsas the main guidance mechanism to guide fuzzing to quickly explore more sta

9、te space ofnetwork protocol implementation programs.AFLNeTrans was evaluated on a benchmark ofwell-known protocol fuzzers.Experimental results show that AFLNeTrans has a significantincrease in the number of state transitions found,and also has an improvement in codecoverage and unique_crash number c

10、ompared to existing tools.Key words:software test;fuzzing,network protocol;state guide0引言近年来，软件安全问题逐渐成为大众关注的焦点。随着技术的不断发展，各种形式的软件安全问题给国家和社会带来了极大的危害!。在此背景下，网络协议作为网络设备之间的通信规则，在整个网络传输中具有重要的作用。尽管网络协议拥有接近完美的设计规范，但在其程序开发过程中，开发人员容易考虑不到所有因素，从而引人安全漏洞。网络协议实现程序是网络基础设施攻击面的主要组成部分，其通过特定的协议接口向用户暴露，因此可能会接收到来自恶意用户的数据

11、包。若程序本身存在漏洞或缺陷，就可能导致远程代码执行、拒绝服务和信息窃取等攻击。据统计，网络协议实现程序高危漏洞的数量每年都在持续增加2 。例如，2 0 14年，SSL协议的开源软件实现OpenSSL被曝出心脏出血漏洞（HeartbleedVulnerability）3，攻击者可以利用该漏洞窃取用户隐私信息；2 0 17 年，Windows操作系统中SMBv1协议被黑客组织曝出永恒之蓝漏洞（EtermalBlue）4，导致全球范围内发生了严重的网络攻击。漏洞挖掘是检测软件安全的主要途径之一。在自动化挖掘漏洞的方法中，灰盒模糊测试已然成为主流之一。近年来，许多软件中的严重错误和漏洞不断被披露，A

12、FL5/AFL+、Li b Fu z z e r 6 、H o n g g Fu z z/7 等模糊器已在开源软件和一些商业软件中发现了数千个漏洞。传统灰盒模糊工具通常依赖代码覆盖率来指导整个模糊测试。但是，并非所有软件都能直接从灰盒模糊工具中受益。网络协议实现程序无法直接从文件中读取测试用例，需要从网络中接收客户端请求来调用相应的回调函数。同时，网络协议实现程序内具有大量的状态空间，与客户端交互的过程中会实时更新自身内部状态。传统模糊测试工具使用的代码覆盖率无法直接反映协议程序内部状态。对网络协议实现程序进行模糊测试时，模糊器通常需要充当客户端，网络协议实现程序运行在待测服务器上。模糊器通过

13、特定的端口与网络协议实现程序进行交互，客户端生成并发送数据包，同时接收来自待测服务器的响应包。待测服务器接收来自客户端的数据包，处理请求后更新内部状态，并将处理结果返回客户端。目前针对网络服务器的模糊测试主要有两种方法。第一种是黑盒协议模糊测试，这种方法速度较快，代表性工作有Peach8和Boofuzz9。主流方法是使用定制模板生成测试数据包并发送到指定待测端口处，根据服务器响应时间等侧信道信息，来识别软件程序中是否存在的安全隐患。但协议原语的编写需要大量的专家经验和人力介人，并且黑盒模糊测试不能获取服务器内部反馈信息来提高生成测试用例的质量，存在较大的随机性，会浪费很多时间在无效的测试用例上

14、。第二种是灰盒协议模糊测试。一些研究人员将122NETINFOSECURITY2024年第1期理论研究灰盒模糊测试技术移植到网络上。2 0 2 0 年，用于网络服务器的有状态的灰盒模糊器AFLNET10I被提出，它将传统模糊测试中的文件型测试用例拆分成消息链，使用消息级别的变异方法对数据包进行变异，并通过网络通信的方式发送。AFLNET通过分析网络服务器响应包内容来提取服务器内部状态，从而实现对某个特定状态进行模糊测试，同时可以获取待测服务器的代码覆盖率，提高测试用例的有效性。然而，由于网络服务器程序的复杂性，现有的协议灰盒模糊工具不能高效地探索网络协议服务器状态空间。主要的挑战有两个方面：1

15、）状态引导不够全面，当下较流行的灰盒模糊器仍使用代码覆盖率来引导模糊测试进化方向，首先在每轮测试之前选取感兴趣的状态，然后选择可以到达此状态的种子对目标进行测试，最后基于服务器反馈的状态序列来更新内部信息。只有发现了新的代码覆盖率，模糊器才会用状态序列更新状态机，这在本质上忽略了各状态之间的潜在转移关系。2）在网络协议实现程序中，很多深层次代码的触发往往需要特定的前置状态，直接使用代码覆盖率更新状态机，可能导致模糊器忽略掉某些状态的转换关系，而漏洞和错误可能存在于这些转移中。本文在AFLNET的基础上提出了一种可感知协议状态间关系的灰盒协议模糊测试工具AFLNeTranS。针对AFLNET状态

16、引导不够全面的问题，本文的AFLNeTrans在模糊测试过程中不仅记录每次测试得到的服务器状态序列，还能学习状态序列内状态之间的转移信息。在后续迭代过程中，这些状态转移信息将会在状态选择、种子保留和能量调度3个方面引导模糊测试的方向。在状态选择阶段，为了解决每个状态测试的充分性问题，本文将状态的选择构建为多臂老虎机问题，并使用Epsilon-Greedy算法12 结合状态转移信息的方案来解决。在种子保留阶段，那些被触发新状态覆盖的种子也会加人到种子队列中，继续参与后续模糊测试流程。在能量调度阶段，可以触发更多唯一状态转移的种子将会被分配更多的能量，能得到更多的变异机会。实验结果表明，AFLNe

17、Trans在状态转移数量、代码覆盖率和uniquecrash数量上都有明显的提升。本文所作贡献如下。1）全面分析了当前最流行的协议灰盒模糊器AFLNET，并指出其设计缺陷以及影响模糊测试效率的原因。2）在代码覆盖率引导基础上，提出了一种状态覆盖率引导机制，定义了一个状态转移位图。该位图会在种子保留阶段与代码覆盖率位图一起决定种子去留，在能量调度阶段更加合理地分配种子能量。3）在状态选择阶段，提出了状态激励的多臂老虎机算法方案，能够提升选择状态的效果。并在能量调度阶段考虑了状态转移的唯一性来对种子进行优先级控制。4）实现了一种基于状态间关系进行引导的灰盒协议模糊测试工具AFLNeTrans，并通

18、过实验验证了其有效性，在转移数量、代码覆盖率、unique_crash数量上都要优于基准协议模糊器。1背景及动机1.1灰盒模糊测试现有的灰盒模糊测试工具使用插桩技术来记录被测程序的代码覆盖率，并结合有效的遗传算法引导模糊测试。这种模糊测试仅依赖于运行时从目标程序收集到的轻量级指标（如关于测试用例覆盖的代码块和分支），并迭代地变异种子文件以最大化这些指标。因此，灰盒模糊测试可以从一组初始的种子语料库开始自动进化，无需任何关于待测目标的先验知识就可以完成对目标的测试。AFL（A me r i c a n Fu z z y Lo p）是一个比较有代表性的灰盒模糊器，使用边覆盖率表示代码覆盖率，能够识

19、别那些改变被测程序控制流的测试用例并保存，使得这些测试用例可以在之后的测试中使用。AFL的工作流程主要是：1）加载用户提供的初始种子文件到测试队列中。2）筛选出合理的种子，对其进行变异操作，并将变异后得到的新测试用例投喂给待测程序执行。3）若该测试用例触发了新的代码覆盖，则将该种子保存到测试队列中；否则，直接抛弃123NETINFOSECURITY理论研究2024年第1期这个测试用例。4）重复步骤2）步骤3）的过程，直到AFL收到终止信号。许多研究人员致力于智能化灰盒模糊测试技术，由AFL衍生出了很多灰盒模糊器，如 AFLFast13、Co l l A FL14、M O PT 15、T o r

20、 t o i s e Fu z z 1 GREYONE17、Q SYM 18 和 IJON19 等。传统灰盒模糊器在测试无状态的程序时效果较好，但面对有状态的程序时，由于代码覆盖率不能有效地表示程序内部状态，测试效率较低。此外，网络协议实现程序需要通过客户端交互来推进状态的转换，其深层次的代码只有满足特定的前置状态后才会被后续交互的测试用例触发。而传统灰盒模糊器只是将测试用例一次性通过文件形式投喂给待测程序，不满足网络交互需求，因此难以探索深层次的代码。1.2网络协议实现程序的模糊测试网络服务器的模糊测试一般以黑盒测试为主。研究者开发了几款黑盒模糊器，如Sulley/20、Pe a c h 和

21、Boofuzz，这些模糊器需要手动定义协议的规范模型和协议语法的有限状态机模板生成测试用例、构建消息序列，并对待测服务器进行测试。黑盒模糊测试的有效性很大程度上由开发人员对协议的理解和编写模板的质量决定。此外，黑盒模糊测试无法获取程序内部的运行时信息，如代码覆盖和数据流信息等，不会保留那些可以发现协议模型未知状态的种子来提高生成消息的质量。近年来，许多研究员致力将灰盒模糊测试运用到网络协议服务器上。THUAN211为解决协议服务器灰盒模糊测试过程的交互问题，提出了一种基于AFL的支持网络功能的无状态模糊器AFLNWE，使用TCP和UDP传输协议对网络服务器进行模糊测试，将测试用例读到缓冲区，使

22、用Socket通信方式传递到服务器接口。所有数据发送完毕后，通过检测服务器的代码覆盖率来更新种子队列。但AFLNWE仍然没有解决交互问题，且只用到了传统代码覆盖率的反馈。随后PHAM10)基于AFLNWE推出了一种有状态的灰盒网络协议模糊器AFLNET，将消息序列和网络协议状态序列这加人AFLNWE。A FLNET 将测试用例按照一定的规则拆分成消息序列，通过Socket的方式依次传输到待测服务器，同时收集并按照规格分析从服务器返回的响应包，提取服务器的状态码来组成状态序列，然后根据每次测试的状态序列构建状态机，结合代码覆盖的信息来引导模糊测试的进化方向。AFLNET首先在每轮迭代时从状态集合

23、中选出待测目标状态，然后从测试队列中选出可以到达目标状态的种子文件，按协议预定义将该种子的消息序列分为M1、M 2、M 3三部分，其中M1用于到达目标状态；M2则用于变异产生新的数据包来测试目标状态；M3表示剩下的消息序列，用于结束本次交互。其次，对M2变异后，与M1和M3重组成新的测试用例发送到待测服务器。最后根据网络数据包的特性，AFLNET在AFL原有HAVOC变异的基础上增加了消息序列级别的变异策略，一定程度上提高了变异有效性。后续的网络灰盒模糊测试基于AFLNET衍生出很多变体。例如，LIU2等人使用蒙特卡洛树搜索算法来优化模糊测试中状态机构建，并提出新的状态选择算法，实现了AFLN

24、ET_LEGION；St a t e A FL2 3 对内存操作函数做插桩，每次网络迭代过程中通过检测内存来收集更细粒度的状态信息，避免编写协议数据包提取代码的人工介人，能够更细粒度地表示服务器状态，但引入了较大的运行时开销；SNPSFuzzer24利用快照技术对待测目标的位置拍摄进程快照，当需要测试服务器特定状态时直接从快照文件恢复到状态对应的位置，从而可以避免前置消息序列的发送时间，提高了测试效率；SnapFuzz/25将文件系统重定向到快速读写的内存文件系统来优化文件读写性能，同时通过消除同步延迟来加速网络通信；SGFuzz26基于Libfuzzer,使用Honggfuzz的一款插件，将

25、网络传输重定向到文件传输，并通过源代码级别插桩监控程序变量的方式构建状态转移树以引导模糊测试；NSFUZZ27 通过对状态变量的操作语句插桩来检测服务器状态，同时识别网络循环事件的入口点，将该入口点作为模糊器向服务器发送测试用例的同步信息，从而消除模糊124NETINFOSECURITY2024年第1期理论研究测试过程中无效的等待时间，加快了数据吞吐速率。现阶段的灰盒协议模糊测试主要研究加快交互速度和整体状态引导两方面。然而，现有针对状态引导的研究都未能深人探讨各个状态间的相互关系。1.3现有问题分析现有的针对网络协议服务器的灰盒模糊器在状态引导层面只考虑到了状态表面的情况，而忽略了状态之间的

26、潜在关系，本质上还是将代码覆盖率作为反馈来引导模糊测试。本文分析了AFLNET源代码实现，发现他现有的状态机粒度过于粗糙，导致其引导机制不完善，在提高测试充分性和发现有状态的缺陷等方面还有待完善。1）状态序列信息处理不恰当AFLNET在每次迭代结束后，会对服务器反馈的状态序列进行哈希流运算，将得到的哈希值与状态机中已存在的序列哈希值比较。若该值不存在，则表示发现了一个新的状态序列，将其添加到状态机中并更新相关状态信息。这样做忽略了状态穴余的问题，如图1所示，由于这两个序列中的转移关系等价，可以认为这两个状态序列是等价的，但是第二个序列中多出了两个穴余的状态S1和S2。A FLNET 使用流哈希

27、算法来判断是否产生新序列，得到的结论是两个状态序列不相同，即仍然认为第二个序列是一个感兴趣的序列并将其加人到状态机中，同时也将此种子文件保存到种子队列中。在文献2 4 中指出，SNPSFuzzer灰盒网络模糊测试中影响速率最大的因素是网络传输所消耗的时间，若下次选取到第二个序列的种子就需要更多的传输时间。正是由于没有考虑到状态之间转换的关系，才导致模糊器重复保存了一些?余的种子。穴余种子中往往包含几个状态间的多次交替，若选取到这类种子不仅会使模糊测试速率降低，还会导致这些状态的权重降低，得不到充分的测试。2）状态引导过多依赖代码覆盖率AFLNET使用状态机进行引导的核心是根据模糊测试过程中已保

28、存的状态信息，采用一种粗粒度的进SoSO化算法来选择待测目标状态。该算法会优先选取那些可以发现新代码覆盖的状态对应的代码，这种做法在一定程度上过多的依赖代码覆盖，可能会忽略状态间的潜在关系。在种子保留阶段AFLNET同样也只会保留那些触发新代码覆盖的测试用例。虽然那些能够触发新的状态转移的种子不一定能够触发新的代码覆盖，如这两个状态对应的代码在先前都被触发过，但是不同状态对应的代码会改变一些全局变量，从而更有可能触发状态关系间的潜在错误。AFLNET没有考虑到这一层关系，这类测试用例会被直接丢弃，并且在状态选择阶段也完全依赖代码覆盖率。3）传统能量调度不适用于网络协议在种子能量调度方面，AFL

29、NET沿用了传统AFL的方法，即执行速度快并且体积小的种子会被分配更多的能量，能量多的种子在测试中会经历更多轮变异并投喂给待测目标。在传统文件解析型模糊测试中，往往追求速度快且体积小的测试用例，这样能更快地覆盖到大多数解析代码。但这个思路在网络协议模糊测试中并不适用，由于网络协议实现程序的特殊性，深层次的代码只有当一定数量的数据包发送之后才能被新的数据包覆盖，这需要更长更合理的种子。传统的能量调度不能满足这一需求，会在一些触发浅层次代码的种子上浪费很多测试时间。2设计与实现2.1方法概述AFLNeTrans是基于灰盒协议模糊器AFLNET提出的，在状态模型构建、状态选择、种子保留和能量调度4方

30、面进行修改以提升性能。该工具架构如图2 所示。具体来说，该方案在构建状态模型时引人了状态间关系的概念，为每个状态进行建模，并使用一个状态转S1图1状态序列中穴余样例S2S1L_元余状态S3S4125NETINFOSECURITY理论研究2024年第1期移位图来记录状态间整体的转移情况。代码覆盖率位图和状态转移位图中的信息用于判断种子是否对代码覆盖率或者状态转移覆盖率有贡献，AFLNeTrans将保留有贡献的种子以探索深层次的代码空间。同时，方案优化了状态选择和种子选择，优先选择那些有较少转移的状态，以快速探索程序内部状态关系，并优先选择余程度低的种子。在能量调度方面，对有更多唯一状态转移数的种

31、子分配更多的能量，让这些种子得到更多的变异机会。Fuzzing Loop种子保留新的种子种子队列2.2状态间关系反馈设计根据1.3节中的分析，代码覆盖率这个指标不能很好地表述网络服务器的状态空间，而AFLNET的状态引导依赖于代码覆盖率。因此，本文设计了一套轻量高效的方案来记录网络协议服务器模糊测试过程中的状态信息，将状态转移反馈作为后续种子保留、状态选择和能量调度3个改进方面的重要反馈指标。图3用一个状态序列的例子讲述了记录状态转移信息的过程。首先，本文沿用AFLNET的状态表示方法，即收集从服务器返回的状态码来表示服务器内部状态，这种状态码由协议规范中定义来表示各种处理的结果。通常情况下状

32、态序列对应一组从0 开始的一串整数，其中0 默认为初始状态，其余为本次测试用例能够触发的一系列状态。本文提出的状态转移思路受传统模糊测试的边覆盖反馈的思想启发，即将CFG中代码的执行路径抽象成基本块间的转移，以记录代码覆盖率。如图3a）所示，将从服务器收集到的状态序列SO,S1,S2,S1,S3中所有状态间的转移情况TO,T1,T2,T3 分别对应 S0-S1,S1-S2,S2-S1和 S1-S3,并映射到状态转移位图中，位图中每一位表示某个转移情况。同理，状态序列中的状态转移TO,T1,T4,T5分别对应 S0-S1,S1-S2,S2-S2,S2-S3，以相同的方式映射到状态位图中。状态转移

33、位图中颜色深浅表示该转移在模糊测试过程中的命中次数。同时对每个状态关系进行记录，如图3b）所示，使用一个全局结构体来维护每个状态的可达转移信息，用于模糊测试后续阶段。控制流图状态序列：状态转移反馈状态转移位图：状态模型S2S1状态选择种子选择图2 AFLNeTrans架构SOTOServer状态序列：Crashes区变异器测试用例S1T1SOS1a）状态转移位图记录S2SOS1b）为每个状态保存可达转移图3AFLNeTrans中状态模型的构建以上过程可以总结为算法1中的两个函数。在实际实现的过程中，本文发现直接参考AFL代码覆盖率的计算方式来计算状态转移位图会导致大量的碰撞，原因是服务器响应状

34、态码数值往往比较集中。为了解决这个问题，算法设计了CalulateTransCOV函数，并通过测试验证了在一些通用的协议状态响应码中能完美区分每个状态转移关系在转移位图（trans_bits）中的位置，确保不会发生碰撞。算法1状态转移位图与状态关系模型的构建1.function CalulateTransCOV(State_ Seg)2.SetAllZero(trans_bits)3.pre_state=04.for i from 1 to LENGTH(State_ Seq)do5.trans_bitspre_state+State_Seqlil.id+6.pre_state=State_S

35、eqijl.id 37.end for8.end fiunction9.function UpdateModel(State_ Seq,STATEMACHINE)S2T2T4S2S1S3S1T3T5S2S3S2S2S3S3126NETINFOSECURITY2024年第1期理论研究10.for State in State_Seq do11.if State in STATEMACHINE then12.Update_State(State,Next_State)13.else14.Add(State,STATEMACHINE)15.end if16.end for17.end functio

36、n2.3状态选择算法在灰盒协议模糊测试中，状态选择的优先级要高于种子选择，AFLNET中将状态选择作为模糊测试循环的起始部分，在选定待测目标状态后，从可以到达该状态的种子集合中进行种子选择。模糊器选定种子之后，根据目标状态将种子分为M1、M 2 和M3三部分，M1表示模糊器要到达目标状态需要发送的前置报文，M2表示需要对目标状态进行测试的报文，M3表示结束本次会话要发送的后续报文。变异器主要是对M2进行变异生成新的测试报文，之后将变异后的M2和原本的M1、M 3重组成消息序列，依次发送到待测协议服务器。从中可以看出，被选状态的质量很大程度决定了本次模糊测试的有效性。在协议模糊测试中，状态空间通

37、常非常庞大，并非所有状态都同等重要，而模糊测试的目的是在有限时间内尽可能覆盖更多的代码。因此需要有效的状态选择算法来优先考虑有价值的状态，也就是更有可能探索状态空间的状态。而AFLNET的状态引导机制粒度过于粗糙，导致对每个状态潜力的估计不可靠。现有算法仅考虑了状态的覆盖率和活跃度，而忽略了其他重要的因素，如状态间的转移关系。此外，AFLNET的状态选择算法在探索与利用状态信息之间的权衡方面缺乏状态间关系的指导，会导致测试结果不充分。基于上述分析，本文提出一种对状态间关系敏感的方案来合理选择待测目标状态。具体来说，将所有状态建模为多臂老虎机的优化问题，让模糊器在状态选择阶段根据状态的激励来动态

38、地选择目标状态，以最大化探索待测服务器内部状态空间。本文设计了一个状态激励老虎机，将每个臂建模为当前状态在模糊测试中所探索到的可达下一状态的数量，可以理解为状态转移的数量。模糊器在选到这个臂（状态）并完成本轮模糊测试后，更新每个臂（状态）的激励来为后续测试提供更好的反馈。在考虑性能开销的前提下，本文方案采用比较经济的 Epsilon-Greedy算法来解决建模的多臂老虎机问题。该算法原理是以e概率随机选择一个臂进行操作，或者以概率为1-E选择激励最高的臂进行操作，之后根据操作结果更新激励。该算法有效性已经在很多工作中得到验证2 8 2 9 。每个臂的激励定义如公式（1）所示。Reward=(1

39、000 x2(ln(N+1)x|T-ST)/(2(ln(fuzzs+1)xVselects)其中，T表示设定的唯一转移数阈值，ST表示该状态可到达唯一状态的数量，N表示选择该状态作为目标状态时发现的新代码路径，selects表示该状态的被选择次数，jfuzzs表示整个模糊测试触发过该状态的次数。从中可以注意到，探索更多代码路径并且有更少状态转移的状态会被赋予更多的激励，但随着被选择次数和被触发的次数上升或者该状态转移数量接近设定的阈值，奖励会逐渐降低，可以避免一些状态出现饥饿的情况。在选定状态后，模糊器会选择可以达到该状态的种子，出于性能考虑，在种子选择阶段优先选择余程度低的种子。本文使用总的

40、状态转移数量和唯一状态转移数量比值来定义当前状态的亢余程度，如公式（2）所示。比值高表示该种子唯一状态数在状态序列中数量少，重复的转移较多，这类种子被定义为余程度高；否则，认为该种子余程度低。算法会提高穴余程度低的种子在目标状态对应的种子队列中的优先级，实现优先选择这些种子。Redhundancy=Total_TranstionsUnique_Transtions其中，Redundancy表示种子的亢余度，Total_Transitions表示该种子中状态转移的总数，Unique_Transitions表示(1)(2)127NETINFOSECURITY理论研究2024年第1期该种子中唯一的状

41、态转移数量。2.4模糊测试循环基于上述提出的方法，本文改进了AFLNET的模糊测试流程。AFLNeTrans模糊测试流程如算法2 所示，本文对AFLNET的状态机构建、种子保留、状态选择、种子选择和能量调度5个方面进行优化升级。算法2 AFLNeTrans模糊测试循环1.INITIALIZE(T,SUT,STATEMACHINE)2.repeat3.Target_ State ChooseState(STATEMACHINE)4.t-ChooseSeed(Target _State)5.Stage_Max EnergyAllocation(t,STATEMACHINE)6.M1,M2,M3 S

42、tage_Max doM2MUTATE(M2)8.9.10.11.12.13.14.15.16.17.18.end for19.until Abort-signal or Timeout reach模糊测试起始阶段，AFLNeTrans将初始种子集T发送给待测服务器（SUT）来初始化一些信息（行1），如状态信息、代码覆盖等。之后进人循环部分，首先根据构建的状态模型从状态集合中选择待测目标状态（行3），使用目标状态选择出对应的种子文件t（行4），根据对应的能量调度算法为种子分配能量，确定该种子的测试次数（行5）。在种子能量调度方面，AFLNET在网络协议服务器测试中需要合理的长序列种子才能探索到

43、服务器深层次的代码。本文对现有的能量调度方案进行优化，加入状态间关系指标，为拥有更多唯一状态转移数的种子分配更多的能量，使其能够获得更多的变异机会来更好地探索程序的状态空间。具体实现是，AFLNeTrans记录每个种子的状态转移数量，并维护一个全局变量来记录其平均值，若选择到的种子文件的状态转移数量大于该平均值则为其分配更多的能量；否则，分配较少能量。选定种子之后，模糊器将种子拆分为M1,M2,M3，使用变异器对M2变异后得到M2，重组得到测试用例t，并将其发送到待测服务器执行（行10）。随后利用反馈的状态序列来计算状态间转移关系覆盖。若新的测试用例导致服务器进程崩溃或者触发了sanitize

44、rs的警告，模糊器会记录对应的测试用例用作错误复现（行12、13）。若没有触发崩溃或警告，则模糊器会根据服务器的反馈的信息来判断测试用例t是否为感兴趣的种子，判断是否保留该种子至种子队列并更新状态模型（行14 16）。原始AFLNET的种子保留策略是将能够触发了新的代码覆盖的种子作为是感兴趣的种子，t-M1,M2,M3添加到种子队列中。FLNeTrans的种子保留策略结合Status,CodeCOV,State_Seq-EXECV(t,SUT)了状态转移覆盖的概念，将触发新的状态转移的种子TransCOVCalulateTransCOV(State_Seq)if Status=crash th

45、ensave tas BUG POCelse if Is_Interesting(CodeCOV,TransCOV)thenT=tUTUpdateModel(State_Seq,STATEMACHINE)endif也认为是感兴趣的种子，也加入到种子队列中。但是该操作可能会导致过多的种子加入种子队列中，本文提高状态余程度低的种子在队列中的优先级，以在模糊测试实际运行中能更快地选择到这些种子，保证测试效率。重复上述过程直到超时或者用户自行终止(行18)。3实验设计与评估为验证AFLNeTrans其有效性，本文从以下3个方面进行实验：1）AFLNeTrans是否能有效发现状态转移;2）AFLNeTr

46、ans测试结果的代码覆盖率；3）AFLNeTrans发现漏洞的能力。3.1实验设计本文的实验方案基于Profiuzzbench30，这是一款公开的网络协议模糊测试的基准，从中选取了11款有状态的网络协议服务器进行实验，它们分别是LightFTP31、Live555（R T SP）32 、K a ma i l i o （SIP）33、T i n y D T LS(DTLS）34、BFT PD（FT P）35、Pu r e-Ft p d（FT P）36 、OpenSSH（SSH）37 、Fo r k e d-D a a p d （D A A P）38 、D c mt k(DICOM）39 、Ex

47、i m（SM T P）40 和 Dnsmasq（D NS）41,具体如表1所示。这些服务器软件都被广泛用于现实场128NETINFOSECURITY2024年第1期理论研究表1从Profuzzbench中选择用于实验评估的目标服务器ProgramLightFTPBFTPDPure-FtpdLive555KamailioTinyDTLSOpenSSHForked-DaapdDcmtkEximDnsmasq景，因此可以认为这些服务器的测试结果是有代表性的。为了使这些服务器能适用于模糊测试，本文对这些待测服务器进行了必要的修改和打补丁。本文使用目前较常用的3款协议模糊器AFLNET、AFLNWE21

48、和StateAFL在这11款软件上与AFLNeTrans进行实验对比评估。AFLNET是本文工具的基础，也是第一个有状态的灰盒网络协议模糊器，使用网络序列进行状态引导。AFLNWE是一款基于AFL的网络扩展模糊器，将文件型输入重定向至网络传输，是AFLNET的前身。StateAFL在AFLNET基础上针对状态描述进行内存级别的监控。由于AFLNWE是无状态的并且StateAFL更改了状态的描述，针对AFLNeTrans是否能有效地发现状态转移这一问题，本文通过实验只对比了AFLNET和AFLNeTranS。针对相比于之前的灰盒网络协议模糊器，AFLNeTrans测试结果的代码覆盖率如何，以及相

49、比于之前的灰盒网络协议模糊器，AFLNeTrans发现漏洞的能力如何这两个问题，本文通过实验将四者进行了对比。所有实验都在运行了Ubuntu 20.04.2 LTS的服务器上进行，该服务器配备了Intel(R)Xeon(R)E5-2680v4CPU和12 8 GB内存。每个实验的运行时间都设置为24h，并且重复4次来消除随机性。每个实验都在独立的Docker容器内运行，互不干扰。3.2状态转移数量AFLNeTrans使用状态转移作为引导机制来引导模糊测试发现更多的状态空间。针对研究问题1），以协议版本号FTP5980ealFTP5.7FTPc21b45fRTSPceeb4f4SIP2648eb

50、3TLS2648eb3SSH7efea58DAAP2ca10d9DICOM7f8564cSMTP38903fbDNSv2.73rc6AFLNET为代表的灰盒协议模糊器，使用粗粒度的状态序列来引导。为了能够验证AFLNeTrans的发现状态空间的有效性，本文将状态转移的数量作为评估指标，使用AFLNeTrans和AFLNET分别在4款软件上进行2 4h的对比实验，实验结果如表2 所示。从实验结果可以看出，AFLNeTrans在状态转移数量的表现上基本都要优于AFLNET，并且在Kamailio、Fo r k e d-D a a p d、Exim和Dnsmasq上有很大的提升。表2 AFLNET和