公开(公告)号：CN119376882A

公开(公告)日：2025-01-28

申请号：CN202411443822.7

申请日：2024-10-16

Applicant: 浙江大学

Inventor： 纪守领 ,  梁红 ,  夏亦凡 ,  武昊天 ,  向意 ,  郭宜家 ,  张旭鸿 ,  彭浩 ,  王滨

IPC: G06F9/48 ,  G06F9/50 ,  G06F11/3668

Abstract: 本发明公开了一种覆盖率驱动的并行模糊测试任务动态调度方法和系统。方法包括：根据实时监控到的覆盖率增量自适应地调整任务分配的频率。通过预设的最小和最大周期限制，系统在覆盖率增长低于阈值时延长周期，减少资源消耗；在覆盖率增长超过阈值时缩短周期，加速新代码区域探索。阈值本身也支持动态调整，通过反馈回路持续监控覆盖率变化与任务分配周期的效果，实现阈值的实时微调，以适应不同阶段的覆盖难度。这种动态调整策略能有效应对模糊测试过程中的非均匀覆盖难度，确保测试过程既高效又持续推进。此设计不仅优化资源利用效率和测试进度以适应不同阶段的覆盖难度变化，也显著提升了并行模糊测试的效率和效果。

公开(公告)号：CN118535449A

公开(公告)日：2024-08-23

申请号：CN202410385813.0

申请日：2024-04-01

Applicant: 浙江大学

Inventor： 张旭鸿 ,  武昊天 ,  梁红 ,  夏亦凡 ,  向意 ,  纪守领 ,  尹建伟

IPC: G06F11/36

Abstract: 本发明公开了一种并行模糊测试场景下程序结构敏感的引擎任务划分方法和系统。方法包括：通过静态分析目标程序源码，获取基本块信息与调用关系，构建初始控制流图。利用定制的插桩模块，捕获运行时函数粒度与基本块粒度的调用情况。收集执行信息，更新初始控制流图，形成运行时控制流图。根据运行时控制流图，识别已触发与未触发基本块的边界，把有探索潜力的边界基本块作为探索目标。根据目标基本块在控制流图上的位置以及引擎数量，将目标基本块划分为若干组探索任务，并分配给各测试引擎。引擎依据探索任务筛选测试用例，作为最终的引擎任务。该方法显著提高了并行模糊测试的代码覆盖率和漏洞挖掘效率。

公开(公告)号：CN119396723A

公开(公告)日：2025-02-07

申请号：CN202411443827.X

申请日：2024-10-16

Applicant: 浙江大学

Inventor： 纪守领 ,  梁红 ,  向意 ,  武昊天 ,  夏亦凡 ,  郭宜家 ,  张旭鸿 ,  彭浩 ,  王滨

IPC: G06F11/3668 ,  G06F9/48 ,  G06F9/50 ,  G06F18/24 ,  G06F21/57

Abstract: 本发明公开了一种基于种子特性的多目标导向并行模糊测试方法和系统。方法包括：划分各测试引擎的任务，获取种子进行模糊测试，记录基本块的触发次数并以触发次数作为探索难度的评估指标，根据探索难度进行筛选出目标集合；根据种子的执行特征将其分成三种类型；针对不同分类，设置具体的导向规则调整种子的选择概率和变异次数；根据调整后的选择概率和变异次数进行并行模糊测试。本发明在确保对难度较高区域集中探索的同时，也保持对任务其他部分的广泛测试。通过平衡深入探索与广泛测试，本发明提高了测试资源的使用效率，防止了测试引擎过分集中于复杂区域而忽略可能含有缺陷的其他区域，从而提升了并行模糊测试系统的整体效果与效率。

公开(公告)号：CN118519913A

公开(公告)日：2024-08-20

申请号：CN202410769104.2

申请日：2024-06-14

Applicant: 浙江大学

Inventor： 纪守领 ,  梁红 ,  武昊天 ,  向意 ,  夏亦凡 ,  张旭鸿 ,  伍一鸣 ,  巫英才 ,  邓水光

IPC: G06F11/36

Abstract: 本发明公开了一种任务目标导向的并行模糊测试用例调度方法和系统，属于软件模糊测试技术领域。方法包括：通过静态分析方法获取被测程序结构信息并为其构建程序控制流图。测试过程中实时记录基本块的执行次数信息。任务划分完成后，为每个任务识别对应的罕见任务，计算每个已探索的基本块到罕见任务的最小距离作为该基本块到该任务的距离。对于每个测试用例，计算其执行到的所有基本块到任务距离的平均值作为该测试用例到任务的距离。根据距离大小为每个测试用例赋予不同的选择概率，从而实现对距离近的测试用例优先调度。该方法增强了测试引擎对目标任务的探索能力，从而显著提高了并行模糊测试的效率。

公开(公告)号：CN116432176A

公开(公告)日：2023-07-14

申请号：CN202310227212.2

申请日：2023-03-10

Applicant: 浙江大学滨江研究院

Inventor： 张旭鸿 ,  夏亦凡 ,  纪守领 ,  尹建伟

IPC: G06F21/56 ,  G06F40/30

Abstract: 本发明公开了一种基于跨语言语义分析的Web恶意程序检测方法和系统，属于计算机数据处理技术领域。本发明通过对跨语言Web程序中JavaScript部分程序执行静态分析，能够有效构建JavaScript程序依赖图，并提供跨语言交互信息；通过对跨语言Web程序中WebAssembly部分程序执行静态分析，静态捕捉WebAssembly程序语义，并构建对应的WebAssembly程序依赖图；将WebAssembly程序依赖图嵌入到JavaScript程序依赖图的跨语言交互API调用点，并补齐两部分依赖图之间的跨语言控制流与数据流依赖，完成语义还原，实现了跨语言Web恶意程序的有效检测。