首頁|必讀|視頻|專訪|運(yùn)營|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁 >> 技術(shù) >> 正文

中興zSpider智能測試平臺(tái) 鑄就5G產(chǎn)品安全利器

2020年7月16日 08:46  CCTIME飛象網(wǎng)  

軟件測試資深專家 李春才

5G安全面臨挑戰(zhàn)

在國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT) 2020年4月20日發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報(bào)告中,特別提出5G等新技術(shù)安全將成為2020年網(wǎng)絡(luò)安全領(lǐng)域值得關(guān)注的熱點(diǎn)。

5G作為萬物互聯(lián)的基礎(chǔ)技術(shù),其安全的重要性不言而喻。面對MEC等復(fù)雜的部署環(huán)境以及服務(wù)化通用協(xié)議的引入,5G產(chǎn)品本身需要具備強(qiáng)大安全能力,通過在基礎(chǔ)協(xié)議棧層面實(shí)現(xiàn)健壯性,抵御各層協(xié)議消息的潛在攻擊,確保設(shè)備穩(wěn)定可靠運(yùn)行。

中興通訊在深耕5G技術(shù)的同時(shí)更加注重5G產(chǎn)品的安全交付,高質(zhì)量全覆蓋的安全測試是產(chǎn)品交付必不可少的安全保障手段。

模糊測試,構(gòu)建5G安全基礎(chǔ)

模糊測試可以應(yīng)對產(chǎn)品協(xié)議安全風(fēng)險(xiǎn)帶來的不確定性,模擬用戶向系統(tǒng)發(fā)送隨機(jī)的、格式多樣的信息來測試5G產(chǎn)品的協(xié)議健壯性,發(fā)現(xiàn)潛在的未知漏洞,將安全風(fēng)險(xiǎn)降到最低。

業(yè)界現(xiàn)有模糊測試工具如Defensics等在使用時(shí)存在一些限制:測試路徑依賴于工具預(yù)定義模型,靈活性差,無法做到按需更改;模糊測試策略單一,針對某一特定協(xié)議,無法做到同時(shí)實(shí)施多種模糊手段進(jìn)行測試;簡單執(zhí)行模糊測試用例,無法綜合體現(xiàn)實(shí)際測試覆蓋率。

為了實(shí)現(xiàn)更加靈活和深入的模糊安全測試,中興通訊打造了智能化模糊測試平臺(tái)zSpider,以達(dá)到將協(xié)議健壯性內(nèi)置到5G產(chǎn)品中的目的。

智能模糊測試平臺(tái)zSpider

智能模糊測試平臺(tái)zSpider完全貫穿中興通訊的整個(gè)研發(fā)流程,可實(shí)現(xiàn)模糊測試的用例管理、新功能模糊測試和版本交付前的回歸測試等多個(gè)功能。

圖1:智能模糊測試平臺(tái)zSpider架構(gòu)

zSpider提供端到端的自動(dòng)化,從模糊測試用例自動(dòng)生成到Fuzz測試、發(fā)現(xiàn)Bug、分析Bug、修復(fù)Bug、驗(yàn)證關(guān)閉Bug、生成測試報(bào)告形成閉環(huán)。

基于zSpider平臺(tái)的智能模糊變異

針對5G產(chǎn)品的安全性特點(diǎn),中興通訊zSpider平臺(tái)在傳統(tǒng)模糊測試的基礎(chǔ)上引入了由覆蓋率引導(dǎo)的智能模糊變異,基本流程如下圖所示。左側(cè)外圍的是待測試的目標(biāo)程序與對應(yīng)的初始輸入, 中間的模糊測試工具接受兩種輸入并進(jìn)行長時(shí)間的循環(huán)測試, 最終在右側(cè)輸出發(fā)現(xiàn)的漏洞信息。

圖2:基于覆蓋率的模糊測試工具基本框架

zSpider平臺(tái)可在以下方面提升模糊安全測試能力:

覆蓋路徑全,減少無效測試,提升安全測試效率:傳統(tǒng)模糊測試存在冗余測試的問題,部分程序路徑被大量重復(fù)測試,一些罕見路徑則缺乏關(guān)注,zSpider將減少部分程序路徑大量重復(fù)測試,引導(dǎo)往罕見路徑進(jìn)行測試。

智能集成多個(gè)策略,可發(fā)現(xiàn)深層安全問題: zSpider有多種Fuzzing策略,模糊測試時(shí)將會(huì)在每個(gè)策略間智能切換,F(xiàn)uzzing策略更高效和智能,有助于更快發(fā)現(xiàn)隱藏的深層次問題。

增強(qiáng)可視化呈現(xiàn),直觀體現(xiàn)覆蓋率,便于管理監(jiān)控:zSpider根據(jù)實(shí)際測試的執(zhí)行情況,深入結(jié)合產(chǎn)品實(shí)現(xiàn),可通過dashboard以代碼行、函數(shù)、程序分支等多個(gè)維度體現(xiàn)實(shí)際覆蓋率。

兩大zSpider運(yùn)行模式,有效覆蓋5G協(xié)議安全場景

zSipder平臺(tái)可提供完全智能模糊測試和基于模型的智能模糊測試兩大運(yùn)行模式:

完全智能模糊測試:初始輸入經(jīng)過模糊測試工具長時(shí)間的運(yùn)行,模擬生成各種連接方式下的異常、雜亂、非預(yù)期的消息碼流或報(bào)文,對待測程序發(fā)起攻擊。

該模式主要針對5G連接方式的多樣性,智能的模擬各種連接方式下的異常、雜亂、非預(yù)期的消息碼流或報(bào)文,從而挖掘出產(chǎn)品存在的安全漏洞或健壯性問題。

基于模型的智能模糊測試:外圍的是協(xié)議模型文件與對應(yīng)的初始輸入,輸入模糊測試工具進(jìn)行長時(shí)間的循環(huán)測試, 模擬生成各種5G協(xié)議的異常、雜亂、非預(yù)期的消息碼流,對待測程序發(fā)起攻擊。

該模式主要用于5G通信協(xié)議的模糊測試,智能的模擬5G協(xié)議的異常、雜亂、非預(yù)期的消息碼流,從而挖掘產(chǎn)品協(xié)議實(shí)現(xiàn)存在的安全漏洞和健壯性問題。

總結(jié)

隨著5G商用步伐的加快,對其產(chǎn)品安全也提出了更高的要求。中興通訊利用zSpider智能模糊測試平臺(tái)的兩大測試模式,將產(chǎn)品協(xié)議完全融入研發(fā)過程,實(shí)現(xiàn)了產(chǎn)品協(xié)議的充分安全測試,為5G產(chǎn)品安全交付提供全面高效支撐。

編 輯:孫秀杰
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬倚聞澐至酥蓄l段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國5G商用四周年
2023年中國國際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像