尽管网络安全取得了进步,但即使是最受保护的网络也容易因软件错误或安全缺陷而受到网络攻击。尽管模糊测试等漏洞检测方法可以检测错误,但这些方法有一些局限性。 Endadul Hoque 是工程与计算机科学学院电气工程和计算机科学助理教授,在计算机网络和系统安全研究方面取得了重大进展,并致力于通过开发创新的自动化解决方案来增强网络安全。
Hoque 因研究网络系统的上下文相关模糊测试而获得国家科学基金会 (NSF) 职业奖。这笔赠款将支持早期职业教师的专业发展,并将以 Hoque 在计算机网络和系统安全、程序分析和软件工程方面的研究为基础。
“谷歌和微软等许多大型科技公司一直在投资模糊测试技术,并认识到在现有软件中发现错误的重要性,”霍克说。 “国家技术标准研究所也认可模糊测试作为安全测试的自动化技术。该项目将突破该领域的界限并对网络安全产生影响。”
Hoque 的项目有三个研究目标。第一个目标是创建一种语言,可以对根据上下文而变化的复杂输入结构进行编码,并开发可以基于该语言快速生成正确输入的算法。第二个目标将创建能够在不失去上下文敏感性的情况下改变这些输入的技术,这对于模糊测试过程至关重要。最终目标是创建确保准确维护协议内部状态的机制。这将允许每个模糊输入在适合被测试协议的状态下进行测试。
“在这一研究领域,人们倾向于通过发现我们在日常生活中使用的现有系统中的缺陷来专注于加强系统,”霍克说。 “我们如何才能找到现实世界安全关键系统中的漏洞?这项研究奖项属于这一类别,旨在突破现有方法的局限性。”
作为其项目的一部分,Hoque 计划改进网络安全课程并举办 研讨会以提高网络安全意识,并将他的研究成果融入到这些举措中。该项目还将鼓励来自历史上边缘化社区的本科生和研究生参与教育和研究活动。
此外,Hoque 将组建一支网络安全竞赛团队,例如夺旗竞赛,参赛者在易受攻击的网站或程序中搜索隐藏的文本字符串。这些游戏化竞赛也是提高网络安全教育的有效途径。