자연어 처리 모델을 활용한 퍼징 시드 생성 기법

Vol. 32, No. 2, pp. 417-437, 4월. 2022
10.13089/JKIISC.2022.32.2.417, Full Text:
Keywords: Fuzzing, Seed generation, Sequence-to-Sequence
Abstract

Fuzzing에서 seed corpus의 품질은 취약점을 보다 빠르게 찾기 위해서 중요한 요소 중 하나라고 할 수 있다. 이에 dynamic taint analysis와 symbolic execution 기법 등을 활용하여 효율적인 seed corpus를 생성하는 연구들이 진행되어왔으나, 높은 전문 지식이 요구되고, 낮은 coverage로 인해 광범위한 활용에 제약이 있었다. 이에 본 논문에서는 자연어 처리 모델인 Sequence-to-Sequence 모델을 기반으로 seed corpus를 생성하는 DDRFuzz 시스템을 제안한다. 본 논문에서 제안하는 시스템은 멀티미디어 파일을 입력값으로 하는 5개의 오픈소스 프로젝트를 대상으로 관련 연구들과 비교하여 효과를 검증하였다. 실험 결과, DDRFuzz가 coverage와 crash count 측면에서 가장 뛰어난 성능을 나타냄을 확인할 수 있었고, 또한 신규 취약점을 포함하여 총 3개의 취약점을 탐지하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김동영, 김휘강, 전상훈 and 류민수, "자연어 처리 모델을 활용한 퍼징 시드 생성 기법," Journal of The Korea Institute of Information Security and Cryptology, vol. 32, no. 2, pp. 417-437, 2022. DOI: 10.13089/JKIISC.2022.32.2.417.

[ACM Style]
김동영, 김휘강, 전상훈, and 류민수. 2022. 자연어 처리 모델을 활용한 퍼징 시드 생성 기법. Journal of The Korea Institute of Information Security and Cryptology, 32, 2, (2022), 417-437. DOI: 10.13089/JKIISC.2022.32.2.417.