7月15日至16日 ,2019年InForSec“网络空间安全”大学生夏令营活动在东南大学举行。亚利桑那州立大学助理教授王若愚作了《为何自动化漏洞挖掘如此困难? 》的精彩报告。
演讲主题:为何自动化漏洞挖掘如此困难? →PPT下载
内容摘要:
漏洞挖掘是在二进制程序分析领域一个经久不衰的关键问题。现有的自动化漏洞挖掘技术多种多样,但这些技术都有一定的不足,主要体现在以下三个方面:分析速度慢、程序状态空间覆盖率低、自动化程度差。这些不足之处影响了自动化漏洞挖掘技术在现实中的广泛应用。因此,漏洞挖掘在可见的未来仍将是二进制程序分析领域的重点和难点。
本报告将首先通过数据和经验分析为什么自动化漏洞挖掘如此困难, 然后尝试解答为什么人们认为简单的方法(例如模糊测试) 被认为比复杂的技术(例如符号执行) 要更加有效。 随后,本报告将讨论一种提升漏洞挖掘效率的方法: 将自动程序分析的结果、抽象信息及人类提供的先验知识有机结合来提高漏洞挖掘的效率。最后,本报告将展望未来的研究方向。