近日,中国网络安全产业联盟(CCIA)正式发布了“2024年网络安全优秀创新成果大赛-安全严选专题赛”评选结果,开源网安模糊测试平台SFuzz凭借重大创新能力,得到组委会认可,获本次大赛创新产品优胜奖

2024年网络安全优秀创新成果大赛安全严选创新产品专题赛,由中国网络安全产业联盟(CCIA)主办,中国电子技术标准化研究院、中国移动通信信息安全管理与运行中心承办。围绕自主可信、AI赋能安全、商用密码、量子保密通信等新技术新应用领域,征集符合行业发展方向,该专题赛所有获奖成果经官方严格评测和调研,最终筛选出具有重要发明或重大技术创新,具有广阔的市场应用前景的网络安全创新产品


开源网安模糊测试平台SFuzz

开源网安模糊测试平台SFUZZ ,是基于模糊测试技术研发的安全测试与评估工具,同时支持黑盒、灰盒模式,专注于对网络协议、工控协议、车联网以及软件代码等进行自动漏洞挖掘。


关键技术

管理与执行分离策略

  • 通过管理平台统一调度模糊执行器,扩展测试引擎能力,实现并行化测试,提升效率。
  • 降低协议测试套件耦合性,提高开发效率,支持用户私有协议的低/零代码开发。

基于语法的模糊测试模型

  • 结合用户专业知识和已知安全漏洞特征,生成满足语法编码约束的输入。
  • 显著提高模糊测试效果和效率,提升测试精准度,减少测试时间和资源消耗。

交互式模糊测试引擎

  • 引入人工经验知识与模糊测试引擎处理数据转化机制。
  • 解决传统模糊测试工具信息交互方式原始、显示简单、无法干预的问题。
  • 使测试人员能更高效地进行测试调优和结果分析,改善整体测试效果。

技术实现与问题解决

  • 实现心跳检测、故障隔离和虚拟仿真等手段。
  • 使产品能自动化、高效地执行协议双端模糊测试。
  • 解决通信协议相关设备封闭、存储资源有限、难以部署监视程序和捕获异常的问题。

开源网安模糊测试平台SFuzz已在中汽研、中兴等单位落地实践,可帮助企业自动化进行漏洞挖掘,提升产品安全性,建立标准化的模糊测试流程并逐步建立安全人员储备。