建设教育工程网站,长春市供求世界在线看报,珠海建设工程监督站网站,网站开发 荣誉资质目录
什么是Fuzz测试#xff1f;
自动驾驶的潜在风险
Fuzz测试#xff1a;自动驾驶和车联网
Fuzz测试方法有以下几种#xff1a;
资料获取方法 纵观近百年来汽车制造业的发展历程#xff0c;产业跨进的每一步背后都有着技术创新作为支撑。汽车技术创新对世界经济、社会…目录
什么是Fuzz测试
自动驾驶的潜在风险
Fuzz测试自动驾驶和车联网
Fuzz测试方法有以下几种
资料获取方法 纵观近百年来汽车制造业的发展历程产业跨进的每一步背后都有着技术创新作为支撑。汽车技术创新对世界经济、社会发展、人们的生产生活方式产生了极其深远的影响。1908年福特公司正式推出T型车背后是其首创的汽车生产流水线1981年汽车第一次具备了车载导航系统——“Electro Gyrocator”Electro Gyrocator电子陀螺仪导航器由日本本田和阿尔派公司合作推出装配在第二代本田雅阁汽车上该导航系统在当时售价为2750美元约占车辆总体售价的1/4时至今日车辆都已配备了泊车辅助系统汽车产业在技术层面持续革故鼎新。
随着汽车新技术和新变革加速落地安全漏洞问题也随之产生通过物联网实现网络连接的汽车正暴露在和手机、笔记本电脑一样的网络安全威胁中。Fuzz测试又被称为模糊测试是一种相对简单的解决方案可为汽车安全问题提供必要的预防措施。 什么是Fuzz测试
Fuzz的释义为“绒毛、起毛、做绒毛状飞散、使模糊、变得模糊”在软件测试领域一般指代“模糊测试”又称Fuzzing。本文将统一称作Fuzz测试。
Fuzz测试是用于检测软件或计算机系统安全漏洞的自动化软件测试技术其核心思想是将自动或半自动生成的随机数据列入到DUTDevice Under Test被测设备中并监视其异常以发现可能存在的错误。Fuzz测试可被用作白盒、灰盒或黑盒测试其工具通常分为变异测试mutation-based和生成测试generation-based能够发现先前未能发现的漏洞即零日漏洞。Fuzz工具通常会针对协议缓冲区发送字节、字母或整数序。 自动驾驶的潜在风险
当前的汽车技术已远远发展至发动机以外更复杂的范畴车载设备通过无线通信技术可以对信息网络中车辆的动态信息进行有效利用从而在车辆运行中提供各种功能服务自动驾驶也应运而生。这一概念被称为车联网是IoTInternet of Things物联网的一种。车联网带来方便快捷的同时也成为了黑客攻击汽车控制系统的主要渠道存在可被利用的安全漏洞。
Upstream Security 发布的《2021 年全球汽车网络安全报告》预测称在 2021-2023 年网络黑客攻击或将导致汽车业折损近 240 亿美元。报告指出“汽车生态中的网络威胁尤为令人担忧因为此类威胁可能直接影响道路使用者的安全。车辆本身就很危险再加上联网现代汽车就更加危险了。” ▲2010-2020年汽车安全影响因素
数据来源Upstream《2021年全球汽车网络安全报告》
由于自动驾驶尚未得到广泛应用且汽车制造商通常会在既定的平台标准上开发自己的安全协议相对应的安全漏洞也未得到适当的研究和记录。美国国家标准与技术研究所 (National Institute of Standards and TechnologyNIST) 在其自动驾驶汽车系统和组件的漏洞检测Common Vulnerabilities ExposuresCVE数据库中记录的问题数量虽然较少但随着近几年特斯拉等涉及智能驾驶的汽车事故频频发生自动驾驶的安全隐患问题不容忽视。 Fuzz测试自动驾驶和车联网
想象一下这样的情况当您正在高速公路上驾驶自动驾驶汽车——引擎正在与传感器通信发送和接收数千个数据包。突然另一个不明节点向您的引擎发送了数千个数据包。该节点没有遵守规则不按协议规定的字节数来发送。虽然您的引擎已经过测试并具备抵抗这些数据包的能力但是随着节点不断发送整数或十六进制组合的数据包这些不被处理的数据可能导致缓冲区溢出汽车引擎就将被关闭。这是安全漏洞被利用的情况下随时都可能出现的可怕场景。为了防止这种情况可以使用模糊器来测试协议中的每个指定区域和缓冲区从而确保每辆自动驾驶的汽车都具备抵御那些试图破坏程序、绕过登录直接进行远程操作的攻击者的能力。
Fuzz测试方法有以下几种
1. 基于变异有效代码样本被随机变异并以错误的格式输入虽然可以满足基本测试需求但变异可能无法提供导致程序崩溃的缓冲区的明确输出且难以重现很难找到确切的漏洞。
2. 基于重放Fuzz测试工具使用已保存的数据样本对其进行变异后重放以创建攻击然而这种方法在双向的汽车动态协议中效果也并不理想。
3. 基于语法生成在这种方法中Fuzz测试工具将学习RFCRequest For Comments参考标准并理解其语法明确哪些字段可能不会发生变异、哪些字段可以测试。基于语法生成用例的Fuzz测试工具将构建有效的输入序列对通信的特定部分进行测试确保数据包不会立即被被测设备阻塞——不会产生序列错误的测试用例。
尽管Fuzz测试并不是唯一的解决方案但确实是自动驾驶行业最合适的选择它不像静态分析工具需要被测设备信息和源代码才能检测潜在漏洞而是将整个堆栈进行黑盒化的模糊处理。这样无需任何关于被测设备的信息和测试访问权限开发者在开发阶段和预发布阶段就能发现漏洞。Fuzz测试能在每个协议、每个独特的场景下进行。
Fuzz测试的另一个关键优势与利用IP通信发现漏洞的不同之处在于其能够通过需要串行连接的协议进行通信为没有TCP/IPTransmission Control Protocol/Internet Protocol传输控制协议/网际协议通信的产品提供强大的测试支持。 资料获取方法
【留言777】 各位想获取源码等教程资料的朋友请点赞 评论 收藏三连
三连之后我会在评论区挨个私信发给你们~
