基于模糊测试的漏洞挖掘方法是近年来学术界和工业界的一个研究热点,它具有无需源代码、资源占用少、执行效率高以及程序规模不敏感等优点。模糊测试在通用系统的漏洞挖掘上已经取得了成功的应用,比如美国国防高等研究计划署在自动网络攻防竞赛中提出了基于模糊测试的漏洞挖掘对抗,顶级跨国公司微软和谷歌采用模糊测试对其核心产品进行自动化的漏洞挖掘。然而,模糊测试与物联网设备漏洞挖掘的结合目前还处于起步阶段。本文围绕该问题,通过深入分析物联网设备的漏洞威胁面和自动化挖掘的难点,重点针对物联网设备的云到端通信和Web通信开展了基于模糊测试的漏洞自动化挖掘方法研究。本文的主要研究内容和贡献如下:第一,深入分析了物联网设备的网络结构和技术栈,通过深入研究典型物联网安全事件的攻击技术,发现:1)物联网设备具有“云-管-端”和“感知-网络-应用”的三横三纵威胁面,目前的研究主要集中在端的应用威胁面;2)物联网设备的底层软硬件平台千差万别,使得基于代码的程序分析技术在工作量、效率、资源获取方面存在很多限制,但模糊测试能有效克服这些限制。因此,本文聚焦于物联网设备的模糊测试方法研究。本研究内容为后续研究提供了理论依据和重要参考。第二,对物联网设备云账号接入的认证进行了深入研究,首次提出了云到端SMS认证码的漏洞威胁模型。研究了面向SMS认证码的漏洞自动化挖掘方法,所用的核心技术为黑盒模糊测试,设计并实现了自动化挖掘软件SACIntruderEx。SACIntruderEx不需要设备云的源代码,也不需要对控制应用执行重度程序分析,具有4个创新点。其一,设计了基于界面自动化测试技术的报文生成方法,解决了设备自适应的口令重置报文生成难题。其二,设计了基于输入差异的报文字段识别方法,解决了口令重置报文中字段名高度自定义的识别难题。其三,设计了混合型的报文变异方法,实现了简单报文的快速变异和具有完整性校验报文的离线变异。其四,设计了多重监控策略,能对三种SMS认证码漏洞进行快速识别。实验对100多个物联网设备进行了测试,发现了数十个漏洞,结果表明SACIntruderEx能对不同物联网设备进行SMS认证码漏洞的自动化挖掘。测试中发现的漏洞都采取了负责任的披露,部分漏洞被国家漏洞数据库收录。第三,Web通信接口漏洞大多是远程可利用的,是物联网僵尸病毒主要利用的缺陷。本文对该接口的漏洞挖掘方法进行了深入的研究,所用的核心技术是变异型模糊测试,设计并实现了自动化挖掘软件WMIFuzzer。与SACIntruderEx不同的是,WMIFuzzer需要对高度结构化Web报文的多个字段进行变异,具有4个创新点。其一,采用了变异型模糊测试技术,且无需用户提供种子报文,因而是完全自动化的,物联网中不同角色的用户都可以利用该软件对设备进行安全测试。其二,设计了基于强制界面测试技术的种子报文生成方法,无需人工提供界面规则,且生成的报文是设备自适应的。其三,设计了基于权重型消息解析树的报文变异方法,能对高度结构化的Web报文进行有效变异,生成的测试报文既保持了结构合法性又实现了数据畸形性。其四,设计了多重监控规则,能挖掘更多类型的漏洞。实验对7个物联网设备进行了测试,发现了10个漏洞;相比当前主流的变异型模糊测试方法和生成型模糊测试方法,WMIFuzzer发现的漏洞数量更多,发现相同漏洞的速度更快;结果表明WMIFuzzer能对Web通信接口进行有效的漏洞自动化挖掘。测试中发现的漏洞也都采取了负责任的披露,部分漏洞被国家漏洞数据库收录。第四,在物联网设备的Web通信接口漏洞中,BinaryCGI程序漏洞的危害最严重,一方面能够远程触发,另一方面二进制漏洞通常能导致设备的底层系统也被攻陷。因此,本文专门对BinaryCGI程序开展了漏洞自动化挖掘方法研究,所用的核心技术为灰盒模糊测试,设计并实现了自动化挖掘软件BCFuzzer,具有2个创新点。其一,设计了基于反馈的惰性输入模型,解决了自适应BinaryCGI程序的环境变量输入问题,实现了输入测试空间的约简。其二,设计了选择性外部函数跟踪方法,通过对主模块和能影响主模块控制流的外部函数进行跟踪,实现了覆盖率收集和执行效率的平衡。实验对13个设备的BinaryCGI程序进行了路径探索测试和漏洞挖掘测试,结果表明BCFuzzer相比当前的CGI灰盒模糊测试方法具有更优秀的路径发现能力和漏洞挖掘能力。