Deduplication of Fuzzing Crashes

Lehrstuhl für Sicherheit in der Informatik /  Prof. Dr. Claudia Eckert

Ausschreibung: Masterarbeit

Deduplication of Fuzzing Crashes

Motivation

Zum Testen von Software auf Sicherheitsschwachstellen werden sowohl statische als auch dynamische Analysemethoden angewendet. Eine dynamische Methode ist das Fuzzing. Beim Fuzzing wird die Software mit mehr oder weniger zufälligen Eingaben automatisiert ausgeführt, mit dem Ziel unerwartetes Programmverhalten auszulösen. Zur Erkennung von Bugs werden meist beobachtbare Programmabstürze herangezogen. Dabei haben oft viele Abstürze denselben Bug als Ursache. Um den Analyseaufwand zu reduzieren,werden deshalb die beobachteten Abstürze möglichst nach ursächlichen Bugs dedupliziert.

Aufgabenstellung

Ziel dieser Arbeit ist eine neue Methode zur Deduplizierung von Fuzzing Crashes zu entwickeln und zu evaluieren. Dazu sollen die zum Programmabsturz vorhanden Informationen in einem ersten Schritt aufbereitet werden. Hierfür sollen die bei Programmabsturz vorhandenen Daten hinsichtlich Eignung zur Deduplizierung analysiert werden. Es soll dann ein Vergleich von geeigneten Clustering und ggf. Machine Learning Algorithmen durchgeführt werden. Unter Verwendung der Analyseergebnisse soll dann eine Deduplizierungsmethode entworfen und implementiert werden. Schließlich soll die Fähigkeit der entwickelte Deduplizierungsmethode Crashes mittels vorhandener Fuzzing Benchmark Suites evaluiert werden.

Anforderungen

• Gute Programmierkenntnisse in Python
• Programierkenntnisse in C/C++
• Idealerweise Grundkenntnisse im Umgang mit Fuzzern

• Idealerweise Erfahrung mit Clustering Algorithmen

Kontakt

Vincent Ahlrichs

Telefon: +4989322-9986-114
E-Mail: vincent.ahlrichs@aisec.fraunhofer.de

Fraunhofer Institute for Applied and Integrated Security (AISEC)

Secure Operating Systems

Lichtenbergstraße 11, 85748 Garching (near Munich), Germany

https://www.aisec.fraunhofer.de