王金賀，吳佩澤，彭伯莊

（南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司，廣東 廣州 510000）

靜態(tài)檢測是一種針對二進制代碼或被測軟件源程序進行掃描的漏洞處理手段，可從語義、語法等多個角度理解數(shù)據(jù)化信息中所包含的實際內(nèi)容，從而實現(xiàn)對待檢程序特征的精準(zhǔn)化分析，找出執(zhí)行指令中存在的異常處置行為[1-2]。與二進制技術(shù)相比，靜態(tài)檢測是針對軟件代碼進行審查操作的手段，能夠直接確定邏輯關(guān)聯(lián)型漏洞在多維度終端軟件中所處的應(yīng)用位置，且在較為復(fù)雜的執(zhí)行環(huán)境下，也可以針對待檢查特征進行目的性強化。

在多維度終端軟件環(huán)境中，隨著數(shù)據(jù)攻擊性行為強度的增大，靜態(tài)漏洞信息的實際運行狀態(tài)也會出現(xiàn)較大改變。為解決此問題，常規(guī)漏洞檢測手段在數(shù)組訪問越界條件的支持下，對緩存區(qū)溢出信息參量進行集中處理，再聯(lián)合內(nèi)存模型算法，對各節(jié)點處的漏洞檢測參量進行計算與處理。但與此方法相關(guān)的PDR指標(biāo)水平相對較高，很難在單位時間內(nèi)承載足量的漏洞信息數(shù)據(jù)?；诖耍岢鲂滦投嗑S度終端軟件安裝漏洞靜態(tài)檢測技術(shù)，在符號計算數(shù)據(jù)結(jié)構(gòu)的支持下，建立多維度檢測語言環(huán)境，再借助漏洞字段建模原理，實現(xiàn)對靜態(tài)檢測效率的精確計算。

1 多維度終端軟件安裝環(huán)境分析

多維度終端軟件安裝環(huán)境包括漏洞檢測模塊搭建、路徑靜態(tài)調(diào)度策略實施、符號計算數(shù)據(jù)結(jié)構(gòu)連接3個處理流程，具體操作方法如下。

1.1 漏洞檢測模塊

漏洞檢測模塊位于多維度終端軟件環(huán)境之中，以靜態(tài)分析器作為核心應(yīng)用元件，在4個執(zhí)行方向上分別與其他檢測結(jié)構(gòu)體相連，能夠在提取待檢漏洞信息的同時，實現(xiàn)對數(shù)據(jù)符號集組織的完善與調(diào)節(jié)[3]。檢測樹結(jié)構(gòu)體位于漏洞靜態(tài)分析器上端，負(fù)責(zé)直接調(diào)取多維度終端軟件環(huán)境中的漏洞信息參量，在文法規(guī)則的約束下，該項硬件執(zhí)行結(jié)構(gòu)能夠始終保持與數(shù)據(jù)符號集組織間的調(diào)度連接關(guān)系。檢測分析器位于漏洞靜態(tài)分析器的下端，由于檢測樹源程序的存在，上述兩個硬件結(jié)構(gòu)體之間始終保持雙向并列的連接關(guān)系，即漏洞靜態(tài)待檢數(shù)據(jù)在檢測模塊中始終保持雙向平行的傳輸應(yīng)用狀態(tài)[4-5]。漏洞檢測模塊結(jié)構(gòu)如圖1所示。

圖1 漏洞檢測模塊結(jié)構(gòu)圖

1.2 路徑靜態(tài)調(diào)度策略

路徑靜態(tài)調(diào)度策略是一種新型的漏洞靜態(tài)檢測運行程序，可通過符號計算數(shù)據(jù)結(jié)構(gòu)模擬檢測引擎的連接狀態(tài)，從而確定待檢測漏洞靜態(tài)信息所處的實際位置。在進行符號計算處理前，與路徑靜態(tài)調(diào)度策略相關(guān)的程序必須始終處于可執(zhí)行應(yīng)用狀態(tài)。路徑靜態(tài)調(diào)度策略的實施以函數(shù)結(jié)構(gòu)體作為最小的分析單位，在多維度廣度領(lǐng)域中始終遵循有限搜索的處理規(guī)則[6-7]。在整個調(diào)度實施過程中，已輸入的漏洞靜態(tài)信息始終保持相對完整的函數(shù)解析形式，且隨著檢測時間的延長，這些函數(shù)結(jié)構(gòu)體的實際應(yīng)用形式也不會出現(xiàn)明顯改變。設(shè)f代表待檢漏洞靜態(tài)信息的實際輸入數(shù)量，δ1、δ2分別代表兩個不同的路徑調(diào)度系數(shù)，聯(lián)立上述物理量，可將與多維度終端軟件安裝環(huán)境相關(guān)的路徑靜態(tài)調(diào)度策略定義為：

其中，u↓代表最小的靜態(tài)調(diào)度權(quán)限，u↑代表最大的靜態(tài)調(diào)度權(quán)限，代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)輸入?yún)⒘?，代表信息監(jiān)測均值。

1.3 符號計算數(shù)據(jù)結(jié)構(gòu)

符號計算數(shù)據(jù)結(jié)構(gòu)是實施漏洞靜態(tài)檢測技術(shù)的重要應(yīng)用元件，在多維度終端軟件環(huán)境中，隨著實際監(jiān)測時間的延長，各級數(shù)據(jù)結(jié)構(gòu)之間的聯(lián)系緊密性也會不斷增加。在實際應(yīng)用過程中，若多維度終端軟件環(huán)境中存在明顯的靜態(tài)漏洞組織，則符號計算數(shù)據(jù)結(jié)構(gòu)的清除對象便不再會發(fā)生改變，始終保持原有的漏洞參量[8]。假設(shè)在一個固定的軟件應(yīng)用環(huán)境中，待安裝多維度終端的存在狀態(tài)始終與漏洞靜態(tài)信息的存在形式相同，且隨著數(shù)據(jù)參量的不斷堆積，所有檢測節(jié)點所處的物理位置均不會發(fā)生改變[9-10]。在此情況下，設(shè)代表多維度終端軟件的均值安裝條件，代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)計算偏導(dǎo)量，聯(lián)立公式（1），可將符號計算數(shù)據(jù)結(jié)構(gòu)的連接表達(dá)式定義為：

其中，i0代表符號計算系數(shù)的最小應(yīng)用值，i1代表符號計算系數(shù)的最大應(yīng)用值，β代表與漏洞靜態(tài)信息相關(guān)的數(shù)據(jù)計算條件，代表既定檢測軟件的均值安裝條件，v1、v2分別代表兩個不同的漏洞靜態(tài)信息參量。

2 漏洞靜態(tài)檢測技術(shù)

在多維度終端軟件安裝環(huán)境的基礎(chǔ)上，按照多維度檢測語言設(shè)置、漏洞字段建模、靜態(tài)檢測效率計算的處理流程，實現(xiàn)新型漏洞靜態(tài)檢測技術(shù)的順利應(yīng)用。

2.1 多維度檢測語言設(shè)置

多維度檢測語言是一種固定的漏洞靜態(tài)存在行為定義方式，可在已知終端軟件多維度安裝條件的同時，確定漏洞信息的最遠(yuǎn)傳輸距離，從而獲得更為精準(zhǔn)的檢測處理結(jié)果。在不考慮其他干擾條件的情況下，多維度檢測語言定義結(jié)果只受到漏洞靜態(tài)受檢實值、特征檢測常量兩項物理指標(biāo)的直接影響[11-12]。設(shè)漏洞靜態(tài)受檢實值為S，在既定檢測時間內(nèi)，該項物理項始終受到受檢漏洞信息實際存在量s的影響。特征檢測常量可表示為A，與靜態(tài)檢測指標(biāo)a相比，該項物理量在單位檢測時間內(nèi)的變化幅度相對較小。在上述物理量的支持下，聯(lián)立公式（2），可將終端軟件安裝環(huán)境下的多維度檢測語言定義為：代表

其中，s0代表漏洞檢測向量的最小表現(xiàn)系數(shù)，μ代表終端軟件多維度安裝條件，代表漏洞靜態(tài)信息的實際受檢均值。

2.2 漏洞字段建模

漏洞字段建?？稍诙嗑S度檢測語言的基礎(chǔ)上，實現(xiàn)對漏洞靜態(tài)信息存在范圍的規(guī)劃與限定，可從根本上抵御靜態(tài)漏洞對多維度終端軟件造成的攻擊性行為[13-14]。規(guī)定代表與多維度軟件終端環(huán)境匹配的最小漏洞承載系數(shù)，?1代表最大的漏洞承載系數(shù)。在既定檢測周期內(nèi)，隨兩極化承載系數(shù)間距值的增大，與漏洞字段匹配的待檢應(yīng)用實值也會不斷增大。設(shè)D代表理想狀態(tài)下多維度終端軟件所能承擔(dān)的漏洞信息檢測極大值，聯(lián)立公式（3），可將漏洞字段的建模條件定義為：

其中，n1、n2分別代表兩個不同的常數(shù)檢測指標(biāo)，b1代表與第一次檢測行為相關(guān)的漏洞信息輸入量，b2代表與第二次檢測行為相關(guān)的漏洞信息輸入量。

2.3 靜態(tài)檢測效率計算

靜態(tài)檢測效率計算是多維度終端軟件安裝漏洞靜態(tài)檢測技術(shù)應(yīng)用的末尾處理環(huán)節(jié)，可根據(jù)已生成的漏洞字段建模條件，實現(xiàn)對漏洞信息應(yīng)用指標(biāo)向量的準(zhǔn)確度量。規(guī)定在執(zhí)行漏洞靜態(tài)檢測指令的過程中，最少需要兩次或兩次以上的處理行為，才能完全實現(xiàn)對漏洞靜態(tài)信息參量的合理分配，且每兩次處理行為的操作權(quán)重始終保持一致[15-16]。設(shè)代表與多維度終端軟件安裝環(huán)境相關(guān)的漏洞信息靜態(tài)檢測均值，在檢測干預(yù)向量ω的作用下，聯(lián)立公式（4），可將多維度終端軟件安裝條件下的靜態(tài)檢測效率計算結(jié)果表示為：

3 應(yīng)用能力檢測

為驗證多維度終端軟件安裝漏洞靜態(tài)檢測技術(shù)的實際應(yīng)用價值，設(shè)計如下對比實驗。在既定實驗環(huán)境中，截取等量的漏洞靜態(tài)信息參量作為實驗組、對照組檢測對象，分別以搭載新型檢測技術(shù)與常規(guī)漏洞檢測手段的應(yīng)用主機作為實驗組、對照組檢測元件?？刂破渌绊憲l件保持不變，同時閉合實驗組與對照組的設(shè)備元件，記錄各項實驗指標(biāo)的實際變化情況。

表1為實驗組、對照組的實驗參數(shù)設(shè)置情況。

表1 實驗參數(shù)設(shè)置表

出于對實驗公平性的考慮，實驗組、對照組實驗參數(shù)始終保持一致。

單位時間內(nèi)的漏洞承載總量能夠直接反映多維度終端軟件安裝環(huán)境對漏洞靜態(tài)信息的實際檢測能力，一般情況下，前者的承載量數(shù)值越大，后者的實際檢測能力也就越強，反之則越弱。通過漏洞承載總量驗證實驗組、對照組的實際數(shù)值水平，如表2所示。

表2 單位時間內(nèi)的漏洞承載總量對比表

分析表2可知，隨著實驗時間的延長，實驗組漏洞承載總量始終保持不斷上升的變化趨勢，全局最大值達(dá)到了8.7×1015T。對照組漏洞承載總量在小幅度上升趨勢后，開始逐漸趨于穩(wěn)定，全局最大值僅達(dá)到4.9×1015T，與實驗組極值相比，下降了3.8×1015T。綜上可知，應(yīng)用多維度終端軟件安裝漏洞靜態(tài)檢測技術(shù)，能夠大幅提升單位時間內(nèi)的漏洞承載總量，可促進終端軟件實際檢測能力的增強。

PDR指標(biāo)描述了漏洞檢測技術(shù)的實際應(yīng)用能力，通常情況下，指標(biāo)的表現(xiàn)數(shù)值水平越低，漏洞檢測技術(shù)的實際應(yīng)用能力也就越強，反之則越弱。表3記錄了實驗組、對照組PDR指標(biāo)的實際變化情況。

表3 PDR指標(biāo)對比表

分析表3可知，隨實驗時間的延長，實驗組PDR指標(biāo)始終保持先上升、再下降、最后穩(wěn)定的變化趨勢，全局最大值僅能達(dá)到53.4%。對照組PDR指標(biāo)則在短時間的穩(wěn)定狀態(tài)后，開始持續(xù)上升，全局最大值達(dá)到了73.0%，與實驗組極值相比，上升了19.6%。綜上可知，應(yīng)用多維度終端軟件安裝漏洞靜態(tài)檢測技術(shù)，可促使PDR指標(biāo)數(shù)值的不斷提升，滿足漏洞檢測技術(shù)的實際應(yīng)用需求。

4 結(jié)束語

與常規(guī)漏洞檢測手段相比，多維度終端軟件安裝漏洞靜態(tài)檢測技術(shù)可在路徑調(diào)度策略的作用下，實現(xiàn)對漏洞字段的有效建模，從而得到精準(zhǔn)的靜態(tài)檢測效率計算數(shù)值。從實用性角度來看，隨著新型檢測技術(shù)的應(yīng)用，PDR指標(biāo)的持續(xù)下降可促使漏洞承載總量的不斷增大，實現(xiàn)對漏洞攻擊性行為的有效抵御。