王金賀，吳佩澤，彭伯莊

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510000）

靜態(tài)檢測(cè)是一種針對(duì)二進(jìn)制代碼或被測(cè)軟件源程序進(jìn)行掃描的漏洞處理手段，可從語義、語法等多個(gè)角度理解數(shù)據(jù)化信息中所包含的實(shí)際內(nèi)容，從而實(shí)現(xiàn)對(duì)待檢程序特征的精準(zhǔn)化分析，找出執(zhí)行指令中存在的異常處置行為[1-2]。與二進(jìn)制技術(shù)相比，靜態(tài)檢測(cè)是針對(duì)軟件代碼進(jìn)行審查操作的手段，能夠直接確定邏輯關(guān)聯(lián)型漏洞在多維度終端軟件中所處的應(yīng)用位置，且在較為復(fù)雜的執(zhí)行環(huán)境下，也可以針對(duì)待檢查特征進(jìn)行目的性強(qiáng)化。

在多維度終端軟件環(huán)境中，隨著數(shù)據(jù)攻擊性行為強(qiáng)度的增大，靜態(tài)漏洞信息的實(shí)際運(yùn)行狀態(tài)也會(huì)出現(xiàn)較大改變。為解決此問題，常規(guī)漏洞檢測(cè)手段在數(shù)組訪問越界條件的支持下，對(duì)緩存區(qū)溢出信息參量進(jìn)行集中處理，再聯(lián)合內(nèi)存模型算法，對(duì)各節(jié)點(diǎn)處的漏洞檢測(cè)參量進(jìn)行計(jì)算與處理。但與此方法相關(guān)的PDR指標(biāo)水平相對(duì)較高，很難在單位時(shí)間內(nèi)承載足量的漏洞信息數(shù)據(jù)?；诖?，提出新型多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)，在符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)的支持下，建立多維度檢測(cè)語言環(huán)境，再借助漏洞字段建模原理，實(shí)現(xiàn)對(duì)靜態(tài)檢測(cè)效率的精確計(jì)算。

1 多維度終端軟件安裝環(huán)境分析

多維度終端軟件安裝環(huán)境包括漏洞檢測(cè)模塊搭建、路徑靜態(tài)調(diào)度策略實(shí)施、符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)連接3個(gè)處理流程，具體操作方法如下。

1.1 漏洞檢測(cè)模塊

漏洞檢測(cè)模塊位于多維度終端軟件環(huán)境之中，以靜態(tài)分析器作為核心應(yīng)用元件，在4個(gè)執(zhí)行方向上分別與其他檢測(cè)結(jié)構(gòu)體相連，能夠在提取待檢漏洞信息的同時(shí)，實(shí)現(xiàn)對(duì)數(shù)據(jù)符號(hào)集組織的完善與調(diào)節(jié)[3]。檢測(cè)樹結(jié)構(gòu)體位于漏洞靜態(tài)分析器上端，負(fù)責(zé)直接調(diào)取多維度終端軟件環(huán)境中的漏洞信息參量，在文法規(guī)則的約束下，該項(xiàng)硬件執(zhí)行結(jié)構(gòu)能夠始終保持與數(shù)據(jù)符號(hào)集組織間的調(diào)度連接關(guān)系。檢測(cè)分析器位于漏洞靜態(tài)分析器的下端，由于檢測(cè)樹源程序的存在，上述兩個(gè)硬件結(jié)構(gòu)體之間始終保持雙向并列的連接關(guān)系，即漏洞靜態(tài)待檢數(shù)據(jù)在檢測(cè)模塊中始終保持雙向平行的傳輸應(yīng)用狀態(tài)[4-5]。漏洞檢測(cè)模塊結(jié)構(gòu)如圖1所示。

圖1 漏洞檢測(cè)模塊結(jié)構(gòu)圖

1.2 路徑靜態(tài)調(diào)度策略

路徑靜態(tài)調(diào)度策略是一種新型的漏洞靜態(tài)檢測(cè)運(yùn)行程序，可通過符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)模擬檢測(cè)引擎的連接狀態(tài)，從而確定待檢測(cè)漏洞靜態(tài)信息所處的實(shí)際位置。在進(jìn)行符號(hào)計(jì)算處理前，與路徑靜態(tài)調(diào)度策略相關(guān)的程序必須始終處于可執(zhí)行應(yīng)用狀態(tài)。路徑靜態(tài)調(diào)度策略的實(shí)施以函數(shù)結(jié)構(gòu)體作為最小的分析單位，在多維度廣度領(lǐng)域中始終遵循有限搜索的處理規(guī)則[6-7]。在整個(gè)調(diào)度實(shí)施過程中，已輸入的漏洞靜態(tài)信息始終保持相對(duì)完整的函數(shù)解析形式，且隨著檢測(cè)時(shí)間的延長(zhǎng)，這些函數(shù)結(jié)構(gòu)體的實(shí)際應(yīng)用形式也不會(huì)出現(xiàn)明顯改變。設(shè)f代表待檢漏洞靜態(tài)信息的實(shí)際輸入數(shù)量，δ1、δ2分別代表兩個(gè)不同的路徑調(diào)度系數(shù)，聯(lián)立上述物理量，可將與多維度終端軟件安裝環(huán)境相關(guān)的路徑靜態(tài)調(diào)度策略定義為：

其中，u↓代表最小的靜態(tài)調(diào)度權(quán)限，u↑代表最大的靜態(tài)調(diào)度權(quán)限，代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)輸入?yún)⒘?，代表信息監(jiān)測(cè)均值。

1.3 符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)

符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)是實(shí)施漏洞靜態(tài)檢測(cè)技術(shù)的重要應(yīng)用元件，在多維度終端軟件環(huán)境中，隨著實(shí)際監(jiān)測(cè)時(shí)間的延長(zhǎng)，各級(jí)數(shù)據(jù)結(jié)構(gòu)之間的聯(lián)系緊密性也會(huì)不斷增加。在實(shí)際應(yīng)用過程中，若多維度終端軟件環(huán)境中存在明顯的靜態(tài)漏洞組織，則符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)的清除對(duì)象便不再會(huì)發(fā)生改變，始終保持原有的漏洞參量[8]。假設(shè)在一個(gè)固定的軟件應(yīng)用環(huán)境中，待安裝多維度終端的存在狀態(tài)始終與漏洞靜態(tài)信息的存在形式相同，且隨著數(shù)據(jù)參量的不斷堆積，所有檢測(cè)節(jié)點(diǎn)所處的物理位置均不會(huì)發(fā)生改變[9-10]。在此情況下，設(shè)代表多維度終端軟件的均值安裝條件，代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)計(jì)算偏導(dǎo)量，聯(lián)立公式（1），可將符號(hào)計(jì)算數(shù)據(jù)結(jié)構(gòu)的連接表達(dá)式定義為：

其中，i0代表符號(hào)計(jì)算系數(shù)的最小應(yīng)用值，i1代表符號(hào)計(jì)算系數(shù)的最大應(yīng)用值，β代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)計(jì)算條件，代表既定檢測(cè)軟件的均值安裝條件，v1、v2分別代表兩個(gè)不同的漏洞靜態(tài)信息參量。

2 漏洞靜態(tài)檢測(cè)技術(shù)

在多維度終端軟件安裝環(huán)境的基礎(chǔ)上，按照多維度檢測(cè)語言設(shè)置、漏洞字段建模、靜態(tài)檢測(cè)效率計(jì)算的處理流程，實(shí)現(xiàn)新型漏洞靜態(tài)檢測(cè)技術(shù)的順利應(yīng)用。

2.1 多維度檢測(cè)語言設(shè)置

多維度檢測(cè)語言是一種固定的漏洞靜態(tài)存在行為定義方式，可在已知終端軟件多維度安裝條件的同時(shí)，確定漏洞信息的最遠(yuǎn)傳輸距離，從而獲得更為精準(zhǔn)的檢測(cè)處理結(jié)果。在不考慮其他干擾條件的情況下，多維度檢測(cè)語言定義結(jié)果只受到漏洞靜態(tài)受檢實(shí)值、特征檢測(cè)常量?jī)身?xiàng)物理指標(biāo)的直接影響[11-12]。設(shè)漏洞靜態(tài)受檢實(shí)值為S，在既定檢測(cè)時(shí)間內(nèi)，該項(xiàng)物理項(xiàng)始終受到受檢漏洞信息實(shí)際存在量s的影響。特征檢測(cè)常量可表示為A，與靜態(tài)檢測(cè)指標(biāo)a相比，該項(xiàng)物理量在單位檢測(cè)時(shí)間內(nèi)的變化幅度相對(duì)較小。在上述物理量的支持下，聯(lián)立公式（2），可將終端軟件安裝環(huán)境下的多維度檢測(cè)語言定義為：代表

其中，s0代表漏洞檢測(cè)向量的最小表現(xiàn)系數(shù)，μ代表終端軟件多維度安裝條件，代表漏洞靜態(tài)信息的實(shí)際受檢均值。

2.2 漏洞字段建模

漏洞字段建?？稍诙嗑S度檢測(cè)語言的基礎(chǔ)上，實(shí)現(xiàn)對(duì)漏洞靜態(tài)信息存在范圍的規(guī)劃與限定，可從根本上抵御靜態(tài)漏洞對(duì)多維度終端軟件造成的攻擊性行為[13-14]。規(guī)定代表與多維度軟件終端環(huán)境匹配的最小漏洞承載系數(shù)，?1代表最大的漏洞承載系數(shù)。在既定檢測(cè)周期內(nèi)，隨兩極化承載系數(shù)間距值的增大，與漏洞字段匹配的待檢應(yīng)用實(shí)值也會(huì)不斷增大。設(shè)D代表理想狀態(tài)下多維度終端軟件所能承擔(dān)的漏洞信息檢測(cè)極大值，聯(lián)立公式（3），可將漏洞字段的建模條件定義為：

其中，n1、n2分別代表兩個(gè)不同的常數(shù)檢測(cè)指標(biāo)，b1代表與第一次檢測(cè)行為相關(guān)的漏洞信息輸入量，b2代表與第二次檢測(cè)行為相關(guān)的漏洞信息輸入量。

2.3 靜態(tài)檢測(cè)效率計(jì)算

靜態(tài)檢測(cè)效率計(jì)算是多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)應(yīng)用的末尾處理環(huán)節(jié)，可根據(jù)已生成的漏洞字段建模條件，實(shí)現(xiàn)對(duì)漏洞信息應(yīng)用指標(biāo)向量的準(zhǔn)確度量。規(guī)定在執(zhí)行漏洞靜態(tài)檢測(cè)指令的過程中，最少需要兩次或兩次以上的處理行為，才能完全實(shí)現(xiàn)對(duì)漏洞靜態(tài)信息參量的合理分配，且每?jī)纱翁幚硇袨榈牟僮鳈?quán)重始終保持一致[15-16]。設(shè)代表與多維度終端軟件安裝環(huán)境相關(guān)的漏洞信息靜態(tài)檢測(cè)均值，在檢測(cè)干預(yù)向量ω的作用下，聯(lián)立公式（4），可將多維度終端軟件安裝條件下的靜態(tài)檢測(cè)效率計(jì)算結(jié)果表示為：

3 應(yīng)用能力檢測(cè)

為驗(yàn)證多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)的實(shí)際應(yīng)用價(jià)值，設(shè)計(jì)如下對(duì)比實(shí)驗(yàn)。在既定實(shí)驗(yàn)環(huán)境中，截取等量的漏洞靜態(tài)信息參量作為實(shí)驗(yàn)組、對(duì)照組檢測(cè)對(duì)象，分別以搭載新型檢測(cè)技術(shù)與常規(guī)漏洞檢測(cè)手段的應(yīng)用主機(jī)作為實(shí)驗(yàn)組、對(duì)照組檢測(cè)元件。控制其他影響條件保持不變，同時(shí)閉合實(shí)驗(yàn)組與對(duì)照組的設(shè)備元件，記錄各項(xiàng)實(shí)驗(yàn)指標(biāo)的實(shí)際變化情況。

表1為實(shí)驗(yàn)組、對(duì)照組的實(shí)驗(yàn)參數(shù)設(shè)置情況。

表1 實(shí)驗(yàn)參數(shù)設(shè)置表

出于對(duì)實(shí)驗(yàn)公平性的考慮，實(shí)驗(yàn)組、對(duì)照組實(shí)驗(yàn)參數(shù)始終保持一致。

單位時(shí)間內(nèi)的漏洞承載總量能夠直接反映多維度終端軟件安裝環(huán)境對(duì)漏洞靜態(tài)信息的實(shí)際檢測(cè)能力，一般情況下，前者的承載量數(shù)值越大，后者的實(shí)際檢測(cè)能力也就越強(qiáng)，反之則越弱。通過漏洞承載總量驗(yàn)證實(shí)驗(yàn)組、對(duì)照組的實(shí)際數(shù)值水平，如表2所示。

表2 單位時(shí)間內(nèi)的漏洞承載總量對(duì)比表

分析表2可知，隨著實(shí)驗(yàn)時(shí)間的延長(zhǎng)，實(shí)驗(yàn)組漏洞承載總量始終保持不斷上升的變化趨勢(shì)，全局最大值達(dá)到了8.7×1015T。對(duì)照組漏洞承載總量在小幅度上升趨勢(shì)后，開始逐漸趨于穩(wěn)定，全局最大值僅達(dá)到4.9×1015T，與實(shí)驗(yàn)組極值相比，下降了3.8×1015T。綜上可知，應(yīng)用多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)，能夠大幅提升單位時(shí)間內(nèi)的漏洞承載總量，可促進(jìn)終端軟件實(shí)際檢測(cè)能力的增強(qiáng)。

PDR指標(biāo)描述了漏洞檢測(cè)技術(shù)的實(shí)際應(yīng)用能力，通常情況下，指標(biāo)的表現(xiàn)數(shù)值水平越低，漏洞檢測(cè)技術(shù)的實(shí)際應(yīng)用能力也就越強(qiáng)，反之則越弱。表3記錄了實(shí)驗(yàn)組、對(duì)照組PDR指標(biāo)的實(shí)際變化情況。

表3 PDR指標(biāo)對(duì)比表

分析表3可知，隨實(shí)驗(yàn)時(shí)間的延長(zhǎng)，實(shí)驗(yàn)組PDR指標(biāo)始終保持先上升、再下降、最后穩(wěn)定的變化趨勢(shì)，全局最大值僅能達(dá)到53.4%。對(duì)照組PDR指標(biāo)則在短時(shí)間的穩(wěn)定狀態(tài)后，開始持續(xù)上升，全局最大值達(dá)到了73.0%，與實(shí)驗(yàn)組極值相比，上升了19.6%。綜上可知，應(yīng)用多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)，可促使PDR指標(biāo)數(shù)值的不斷提升，滿足漏洞檢測(cè)技術(shù)的實(shí)際應(yīng)用需求。

4 結(jié)束語

與常規(guī)漏洞檢測(cè)手段相比，多維度終端軟件安裝漏洞靜態(tài)檢測(cè)技術(shù)可在路徑調(diào)度策略的作用下，實(shí)現(xiàn)對(duì)漏洞字段的有效建模，從而得到精準(zhǔn)的靜態(tài)檢測(cè)效率計(jì)算數(shù)值。從實(shí)用性角度來看，隨著新型檢測(cè)技術(shù)的應(yīng)用，PDR指標(biāo)的持續(xù)下降可促使漏洞承載總量的不斷增大，實(shí)現(xiàn)對(duì)漏洞攻擊性行為的有效抵御。