数据集概览
定义:缓冲区溢出检测规则数据集(BOF)是由长沙朗慧信息科技有限公司安全实验室构建的二进制安全检测数据集。每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织,覆盖栈溢出(Stack Overflow)、堆溢出(Heap Overflow)、格式化字符串(Format String)、整数溢出(Integer Overflow)、Off-by-One五大子类型,ATT&CK框架T1203(利用客户端漏洞)映射,专为二进制漏洞检测模型训练和模糊测试(Fuzzing)用例生成设计。
| 数据集名称 | 缓冲区溢出检测规则数据集(BOF) |
| 数据总量 | 500~10,000条 |
| 数据类型 | 五元组:XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案 |
| 数据来源 | 朗慧安全实验室 + CVE/NVD公开漏洞数据库 |
| 授权方式 | 商业授权 附带完整授权文件 |
| 交付周期 | 2-3周 |
| 缓冲区溢出子类型 | 栈溢出(Stack Overflow)、堆溢出(Heap Overflow)、格式化字符串漏洞(Format String)、整数溢出(Integer Overflow)、Off-by-One |
| ATT&CK映射 | T1203(Exploitation for Client Execution) |
| 输出格式 | JSONL / CSV / PCAP |
| 语言 | 中英双语 |
核心数据字段
每条数据包含规则标识、XML检测规则、攻击载荷、HTTP还原文本、PCAP流量及标准答案六大类别,覆盖从规则定义到验证评估的完整闭环。
| 字段类别 | 字段数 | 典型字段 |
|---|---|---|
| 规则标识 | 4 | rule_id(规则唯一ID)、rule_name(规则名称)、overflow_type(溢出类型)、severity(严重级别:Critical/High) |
| XML检测规则 | 3 | rule_xml(IDS/IPS格式XML规则)、vulnerable_function(危险函数:strcpy/gets/sprintf/scanf等)、payload_pattern(Payload特征模式) |
| 攻击Payload | 4 | payload(攻击Payload原文)、overflow_type(溢出类型)、buffer_size(缓冲区大小)、overwrite_length(覆盖长度) |
| HTTP还原文本 | 3 | http_request(HTTP请求全文)、http_response(HTTP响应全文)、content_type(响应Content-Type) |
| PCAP流量 | 4 | pcap_file(PCAP文件名)、pcap_size(文件大小)、packet_count(数据包数量)、protocol(传输层协议) |
| 标准答案 | 4 | is_overflow(是否为溢出攻击:true/false)、overflow_type(溢出子类型)、vulnerable_function(漏洞函数名)、exploitable(是否可利用) |
数据样例展示
以下为脱敏后的结构化 JSON 样例,展示SQL注入五元组检测数据的典型格式。
{
"entry_id": "BOF-2024-001836",
"rule_id": "BOF-STACK-0073",
"rule_name": "Stack Buffer Overflow via strcpy()",
"overflow_type": "Stack Overflow",
"severity": "Critical",
"rule_xml": "<rule id=\"951120\" phase=\"2\">\n <operator>detectBufferOverflow</operator>\n <action>block</action>\n <pattern>Content-Length:\\s*(\\d{4,})</pattern>\n <anomaly>request_body_length > expected_buffer_size</anomaly>\n</rule>",
"payload": "AAAA...AAAA[256 bytes - overwrites return address with 0x42424242]",
"buffer_size": 128,
"overwrite_length": 256,
"vulnerable_function": "strcpy(dest_buffer, user_input)",
"http_request": "POST /cgi-bin/vuln_binary HTTP/1.1\r\nHost: target.test\r\nContent-Type: application/octet-stream\r\nContent-Length: 256\r\n\r\n[overflow_payload]",
"http_response": "HTTP/1.1 200 OK\r\n\r\n<html>...<pre>Segmentation fault (core dumped)</pre>...</html>",
"pcap_file": "bof_stack_strcpy.pcap",
"pcap_size": "18923",
"packet_count": 34,
"technique_id": "T1203",
"cve_ref": "CVE-2023-XXXXX",
"answer": {
"is_overflow": true,
"overflow_type": "Stack Buffer Overflow",
"vulnerable_function": "strcpy",
"exploitable": true
}
}AI 应用场景
二进制漏洞检测模型
10,000条缓冲区溢出五元组数据训练CNN/GNN架构的二进制漏洞检测模型,从网络流量和Payload模式中自动识别栈溢出、堆溢出等二进制安全漏洞。
模糊测试用例生成
丰富的溢出Payload变种和危险函数映射数据,训练AI模型自动生成针对strcpy/gets/sprintf等危险函数的模糊测试用例,提升Fuzzing覆盖率。
漏洞利用检测
基于栈溢出覆盖模式(ret addr改写/ROP链)和格式化字符串利用特征(任意地址写/%n利用),训练AI检测模型实时识别漏洞利用尝试。
补丁验证AI
根据CVE关联的漏洞信息和补丁前后二进制差异,训练AI模型自动验证补丁有效性,检测补丁绕过可能性。
CGC训练语料
结构化五元组数据可直接用于DARPA CGC风格的自动漏洞挖掘与修复(AHE/CRA)系统训练,推动自动化二进制安全。
代码安全审计
危险函数映射+漏洞利用数据,训练代码审计AI自动定位C/C++源码中的缓冲区溢出风险点,生成改用strncpy/snprintf等安全函数的修复建议。