本申请涉及一种模糊测试工具性能测评方法、装置。所述方法包括:获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;根据所述性能指标计算所述模糊测试工具的测评分数。采用本方法能够实现模糊测试工具在通信协议的性能指标进行测评。
【技术实现步骤摘要】
一种模糊测试工具性能测评方法、装置
本申请涉及通信
,特别是涉及一种模糊测试工具性能测评方法、装置。
技术介绍
工业控制信息系统在我国电力、交通、能源、水利、冶金、航空航天等各个重要的工业国家和基础设施中扮演着的"大脑"和"中枢神经"的重要角色。随着经济与信息技术的发展,现代工业控制信息系统面临越来越多安全威胁,比如工业控制系统将会面临变体多样勒索病毒、潜匿深处的木马病毒以及各种各样形形色色的黑客入侵。模糊安全测试技术是安全测试应用技术的一种,模糊安全测试技术通过模糊构造软件中畸形输入的数据,从而构造出软件可能发生的异常,如系统崩溃等,由此来精准定位出软件中存在的安全隐患问题。模糊安全测试技术会因为模糊测试本身具有遍历各种模糊后的变异数据特性从而具有遍历所有输入的特性,因此对比于其它安全漏洞挖掘的方法,模糊安全测试技术发现安全隐患和技术漏洞的效率会更高,并且模糊安全测试技术能披露许多传统手段无法触及的盲点。然而,现有的模糊测试工具多种多样,模糊测试工具的性能不一,如果选择选择高性能的模糊测试工具是现亟需解决的问题。
技术实现思路
基于此,有必要针对上述技术问题,提供一种能够实现模糊测试工具在通信协议性能指标测评的模糊测试工具性能测评方法、装置。一种模糊测试工具性能测评方法,所述方法包括:获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;根据所述性能指标计算所述模糊测试工具的测评分数。在其中一个实施例中,所述基准测试程序采用FTP协议进行数据传输。在其中一个实施例中,所述基准测试程序包括SlimFTPd3.15、EasyFTP1.7.0.11、CesarFTP0.99g、CesarFTP0.98b、Serv-U4.1.0.0、WarFTPD1.82RC9、AbilityServer2.34和Proftpd1.3.3RC1。在其中一个实施例中,所述性能指标包括漏检检测量、辅助漏洞检测量、崩溃触发量、辅助崩溃触发量、检测覆盖率、辅助检测覆盖率和吞吐量;其中,漏洞检测量等于非辅助测试实验时每次实验检测到的漏洞次数与每次实验的实验时长之比的平均值;辅助漏洞检测量等于辅助测试实验时每次实验检测到的漏洞次数与每次实验的实验时长之比的平均值;崩溃触发量等于非辅助测试实验时每次实验触发到的崩溃次数与每次实验的实验时长之比的平均值;辅助崩溃触发量等于辅助测试实验时每次实验触发到的崩溃次数与每次实验的实验时长之比的平均值;检测覆盖率等于非辅助测试实验时所有实验检测到的漏洞次数总和与基准测试程序存在的漏洞总数之比的平均值;辅助检测覆盖率等于辅助测试实验时所有实验检测到的漏洞次数总和与基准测试程序存在的漏洞总数之比的平均值;吞吐量等于所有实验发包数总和与所有实验的实验时长总和之比的平均值。在其中一个实施例中,所述性能指标还包括是否检测到漏洞、是否自动修复崩溃、假阳率和辅助假阳率。在其中一个实施例中,所述根据所述性能指标计算所述模糊测试工具的测评分数,包括:根据所述性能指标进行加权求和,得到所述模糊测试工具的测评分数。在其中一个实施例中,所述测试实验包括白盒测试实验、灰盒测试实验和黑盒测试实验中至少一种。一种模糊测试工具性能测评装置,所述装置包括:基准测试程序获取模块,用于获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;测试实验模块,用于模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;性能指标计算模块,用于根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;测评分数计算模块,用于根据所述性能指标计算所述模糊测试工具的测评分数。一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;根据所述性能指标计算所述模糊测试工具的测评分数。一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;根据所述性能指标计算所述模糊测试工具的测评分数。上述模糊测试工具性能测评方法、装置、计算机设备和存储介质,根据同种通信协议的基准测试程序对模糊测试工具进行测试实验,获得模糊测试工具检测漏洞的性能指标,根据性能指标计算模糊测试工具的测评分数,本申请可通过测评分数的高低判断模糊测试工具在通信协议的性能指标的优劣判断。附图说明图1为一个实施例中模糊测试工具性能测评方法的流程示意图;图2为一个实施例中模糊测试工具性能测评装置的结构框图;图3为一个实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。在一个实施例中,如图1所示,提供了一种模糊测试工具性能测评方法,包括以下步骤:S110,获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞。其中,通过对CVE(CommonVulnerabilities&Exposures,通用漏洞披露)的记录来爬取,并结合人工分析提取出具有漏洞的相关程序作为基准测试程序。所述基准测试程序为工业控制信息系统所使用的程序,其采用同种协议进行通信,例如,采用FTP(FileTransferProtocol,文件传输协议)进行通信。S120,模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实本文档来自技高网...
【技术保护点】
1.一种模糊测试工具性能测评方法,其特征在于,所述方法包括:/n获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;/n模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;/n根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;/n根据所述性能指标计算所述模糊测试工具的测评分数。/n
【技术特征摘要】
1.一种模糊测试工具性能测评方法,其特征在于,所述方法包括:
获取多个基准测试程序,所述基准测试程序采用同种协议进行数据传输;其中,所述基准测试程序包括至少一个漏洞;
模糊测试工具对所述多个基准测试程序进行测试实验,获得每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长;
根据每次实验检测到的漏洞次数、每次实验触发到的崩溃次数和每次实验的实验时长,计算所述模糊测试工具的性能指标;
根据所述性能指标计算所述模糊测试工具的测评分数。
2.根据权利要求1所述的方法,其特征在于,所述基准测试程序采用FTP协议进行数据传输。
3.根据权利要求1所述的方法,其特征在于,所述基准测试程序包括SlimFTPd3.15、EasyFTP1.7.0.11、CesarFTP0.99g、CesarFTP0.98b、Serv-U4.1.0.0、WarFTPD1.82RC9、AbilityServer2.34和Proftpd1.3.3RC1。
4.根据权利要求1所述的方法,其特征在于,所述性能指标包括漏检检测量、辅助漏洞检测量、崩溃触发量、辅助崩溃触发量、检测覆盖率、辅助检测覆盖率和吞吐量;
其中,漏洞检测量等于非辅助测试实验时每次实验检测到的漏洞次数与每次实验的实验时长之比的平均值;
辅助漏洞检测量等于辅助测试实验时每次实验检测到的漏洞次数与每次实验的实验时长之比的平均值;
崩溃触发量等于非辅助测试实验时每次实验触发到的崩溃次数与每次实验的实验时长之比的平均值;
辅助崩溃触发量等于辅助测试实验时每次实验触发到的崩溃次数与每次实验的实验时长之比的平均值;
检测覆盖率等于非辅助测试实验时所有实验检测到的漏洞次数总和与基准测试程序存在的漏洞总数之比的平...
【专利技术属性】
技术研发人员:胡悦,郭宾,雷濛,马远洋,赵宇,章渠丰,罗怡靓,杨杰,朱奕辉,向昶宇,
申请(专利权)人:杭州木链物联网科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。