Nghiên cứu của nhóm sinh viên về lĩnh vực Phát hiện và khai thác lỗ hổng bảo mật phần mềm được đăng trên tạp chí IEEE Access

NGHIA TO
17:00 04/07/2024

✨✨ CHÚC MỪNG NGUYỄN PHÚC CHƯƠNG & PHẠM THÀNH THÁI – SINH VIÊN NGÀNH ATTT, KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ĐÃ CÓ BÀI NGHIÊN CỨU ĐẦU TIÊN ĐƯỢC ĐĂNG TRÊN TẠP CHÍ IEEE ACCESS (Q1).

Vừa qua, tạp chí IEEE Access (tạp chí thuộc nhóm Q1 – top 25% tạp chí danh giá nhất trong lĩnh vực Kỹ thuật và Khoa học máy tính) đã đăng bài nghiên cứu “𝐀 𝐂𝐨𝐯𝐞𝐫𝐚𝐠𝐞-𝐠𝐮𝐢𝐝𝐞𝐝 𝐅𝐮𝐳𝐳𝐢𝐧𝐠 𝐌𝐞𝐭𝐡𝐨𝐝 𝐟𝐨𝐫 𝐀𝐮𝐭𝐨𝐦𝐚𝐭𝐢𝐜 𝐒𝐨𝐟𝐭𝐰𝐚𝐫𝐞 𝐕𝐮𝐥𝐧𝐞𝐫𝐚𝐛𝐢𝐥𝐢𝐭𝐲 𝐃𝐞𝐭𝐞𝐜𝐭𝐢𝐨𝐧 𝐮𝐬𝐢𝐧𝐠 𝐑𝐞𝐢𝐧𝐟𝐨𝐫𝐜𝐞𝐦𝐞𝐧𝐭 𝐋𝐞𝐚𝐫𝐧𝐢𝐧𝐠-𝐞𝐧𝐚𝐛𝐥𝐞𝐝 𝐌𝐮𝐥𝐭𝐢-𝐋𝐞𝐯𝐞𝐥 𝐈𝐧𝐩𝐮𝐭 𝐌𝐮𝐭𝐚𝐭𝐢𝐨𝐧” của nhóm sinh viên chuyên ngành An toàn thông tin, Khoa MMT-TT, Trường ĐH CNTT. Đây là công trình khoa học về lĩnh vực Phát hiện và khai thác lỗ hổng bảo mật phần mềm được nhóm sinh viên thực hiện tại PTN ATTT trong quá trình thực hiện Khóa luận tốt nghiệp (KLTN) trong năm vừa qua.

Thông tin chung về nhóm SV:
Tên bài báo:
Giảng viên hướng dẫn:
Abstract:

Fuzzing is a popular and effective software testing technique that automatically generates or modifies inputs to test the stability and vulnerabilities of a software system, which has been widely applied and improved by security researchers and experts. The goal of fuzzing is to uncover potential weaknesses in software by providing unexpected and invalid inputs to the target program to monitor its behavior and identify errors or unintended outcomes. Recently, researchers have also integrated promising machine learning algorithms, such as reinforcement learning, to enhance the fuzzing process. Reinforcement learning (RL) has been proven to be able to improve the effectiveness of fuzzing by selecting and prioritizing transformation actions with higher coverage, which reduces the required effort to uncover vulnerabilities. However, RL-based fuzzing models also encounter certain limitations, including an imbalance between exploitation and exploration. In this study, we propose a coverage-guided RL-based fuzzing model that enhances grey-box fuzzing, in which we leverage deep Q-learning to predict and select input variations to maximize code coverage and use code coverage as a reward signal. This model is complemented by simple input selection and scheduling algorithms that promote a more balanced approach to exploiting and exploring software. Furthermore, we introduce a multi-level input mutation model combined with RL to create a sequence of actions for comprehensive input variation. The proposed model is compared to other fuzzing tools in testing various real-world programs, where the results indicate a notable enhancement in terms of code coverage, discovered paths, and execution speed of our solution.

Toàn văn bài báo: https://ieeexplore.ieee.org/document/10580893
TIN LIÊN QUAN
saarCTF là một cuộc thi về an toàn, an ninh thông tin dành cho các đội thi gồm một hoặc nhiều thành viên. Cuộc thi được tổ chức bởi saarsec, đội CTF của Đại học Saarland (nước Đức). saarCTF (Rating weight: 98.50 ) là một cuộc thi CTF dạng tấn...
Nỗ lực vượt qua 2 vòng thi, các thành viên CLB An toàn Thông tin Wanna.W1n thuộc UIT InSecLab đang theo học ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông đã đạt được những thành tích xuất sắc tại cuộc thi Olympic Mật mã quốc...
Đội tuyển của Trường ĐH Công nghệ thông tin, ĐH Quốc gia TP Hồ Chí Minh) đã xuất sắc giành giải Nhất ở bảng General và giải Nhất ở bảng Student cuộc thi ASEAN Cyber ​​Shield 2024 có tổng trị giá 40.000 USD. Đội tuyển UIT là 2 trong 4...