软件漏洞通常是指可被恶意利用的软件错误或者缺陷,是影响信息系统安全性和可靠性的主要威胁,很多重大的网络安全事件背后都与漏洞利用有着直接的联系。随着软件规模以及复杂性的不断增加,如何高效地挖掘软件中隐藏的漏洞是一项十分具有挑战性且具有重要现实意义的任务。覆盖率导向的模糊测试技术是当前学术界和工业界研究的热点之一,已经证明是现在最成功的自动化动态漏洞挖掘方法,发现了众多主流软件中的一大批高危漏洞,很大程度上帮助厂商提高了自身软件的安全性。本文通过对当前先进的覆盖率导向的模糊测试工具进行测试分析,发现并总结了制约它们漏洞挖掘效率的4个关键问题:（1）对程序路径不敏感导致漏洞发现效率低;（2）对输入格式不理解导致样本生成质量差;（3）对结构化输入的语义不感知导致深层代码测试不足;（4）程序中存在的大量复杂约束条件导致代码覆盖率低。为了解决上述问题,本文提出了一种改进的覆盖率导向的模糊测试框架,从程序理解、输入感知以及方法集成的角度优化种子选择策略、种子变异策略并改进测试方法,提高了自动化漏洞挖掘的有效样本生成能力、代码覆盖能力以及漏洞触发能力,从而实现漏洞发现效率的整体提升并在大量的真实应用程序和第三方库中发现几十个未公开漏洞,其中大部分被厂商确认并有21个被CVE漏洞库收录。本文主要工作如下:1.提出一种程序路径敏感的种子选择及能量分配策略。当前模糊测试由于对程序执行路径不敏感,不加区分地对所有路径进行测试并且统一地分配变异能量导致漏洞发现效率较低。为此,本文从程序理解的角度利用深度神经网络对当前模糊测试的种子选择策略进行优化。首先利用深度神经网络的特征学习能力从大量标注的漏洞路径中学习潜在的漏洞模式得到一个预测模型,然后用该模型在线指导模糊测试的种子选择,对变异生成的种子所触发的路径进行漏洞预测,触发漏洞路径的种子在新一轮的测试中将被优先选择,并且分配更多的变异能量,与此同时降低无漏洞种子的变异能量。通过此方法可以保证模糊测试能够将更有限的资源投入到更可能存在漏洞的地方,从而加快漏洞的发现速度。实验表明该方法可以用更短的时间发现更多的漏洞,大大提高了漏洞的发现效率。2.提出一种输入字段感知的种子变异策略。当前模糊测试由于对输入格式不感知,将输入看作是连续的二进制字节序列,对所有字节平等看待并且盲目地随机变异,导致样本生成质量较差从而影响触发漏洞的效率。为此,本文从输入理解的角度对模糊测试的种子变异策略进行优化。首先利用已有的输入规范自动提取输入的字段的边界及类型信息,然后借助代码风险度量的手段,根据字段在程序中的使用行为对字段的重要性进行评估,最后根据获取的字段边界、类型以及重要性信息实现字段级别的变异,优先选择更重要的字段进行变异并根据字段类型选择最佳的变异策略,以此提高样本生成的质量,提高漏洞的触发能力。实验表明该方法可以用更少但是更有意义的输入发现更多的代码漏洞。3.提出一种语义感知的结构化输入样本生成策略。当前以比特/字节翻转为变异策略的模糊测试工具难以适用于结构化的输入,因为无法通过程序的语法检查。基于语法的模糊测试虽然能够在一定程度上提高样本生成的语法有效性,但是由于对语义不感知,生成的样本仍然存在大量的运行时错误。为此,本文对结构化输入样本生成策略进行优化,赋予模糊测试语法、语义感知的能力。以当前应用广泛的Java Script（JS）代码为研究对象,首先对大量的JS样本进行解析得到语法树,通过代码拆分形成代码组件并且自动学习语法规则,然后以此为基础对语法树的子树进行替换,最后基于代码上下文信息对新生成语法树中的错误语义进行修复得到新的样本对JS引擎进行测试。实验表明该方法可以生成更多语法和语义有效的样本,从而提高深层代码的漏洞发现能力。4.提出一种困难分支驱动的混合模糊测试方法。通常程序中包含大量的复杂约束导致单纯用模糊测试方法难以发现一些隐藏在它们之后的代码路径。当前的混合模糊测试方法虽然能在一定程度上缓解该问题,但是普遍存在效率低或者难以适用于真实应用程序,这极大地限制了它的应用。为此,本文提出一种困难分支驱动的混合模糊测试方法。通过对模糊测试的分支覆盖信息进行分析并利用轻量级的程序分析手段提取候选的困难分支,然后优先选择最困难的分支用Concolic执行求解,同时为了降低符号模拟的开销,用污点分析识别与待翻转的目标分支相关的字节并只对它们进行符号标记,从而大大减少了Concolic执行过程中需要模拟的符号指令数。实验表明该方法可以有效改善当前混合模糊测试的效率,实现更高的代码覆盖能力。