計算機漏洞檢測分析論文

　　1漏洞的定義與特點(diǎn)

　　可以將漏洞定義為存在于一個(gè)系統內的弱點(diǎn)或缺陷，這些弱點(diǎn)或缺陷導致系統對某一特定的威脅攻擊或危險事件具有敏感性，或具有進(jìn)行攻擊威脅的可能性[1]。軟件漏洞產(chǎn)生通常是由于在軟件的設計和實(shí)現中由于開(kāi)發(fā)人員有意或無(wú)意的失誤造成是系統潛在的不安全性。漏洞可以劃分為功能性邏輯漏洞和安全性邏輯漏洞。功能性邏輯漏洞是指影響軟件的正常功能，例如執行結果錯誤、執行流程錯誤等。安全性邏輯漏洞是指通常情況下不影響軟件的正常功能，但如果漏洞被攻擊者成功利用后，有可能造成軟件運行錯誤甚至執行惡意代碼，例如緩沖區溢出漏洞、網(wǎng)站中的跨站腳本漏洞（XSS）、SQL注入漏洞等[2]。

　　漏洞具有以下特點(diǎn)：1）編程過(guò)程中出現邏輯錯誤是很普遍的現象，這些錯誤絕大多數都是由于疏忽造成的；2）數據處理（例如對變量賦值）比數值計算更容易出現邏輯錯誤，過(guò)小和過(guò)大的程序模塊都比中等程序模塊更容易出現錯誤；3）漏洞和具體的系統環(huán)境密切相關(guān)。在不同種類(lèi)的軟、硬件設備中，同種設備的不同版本之間，由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，都會(huì )存在各自不同的安全漏洞問(wèn)題；4）漏洞問(wèn)題與時(shí)間緊密相關(guān)。隨著(zhù)時(shí)間的推移，舊的漏洞會(huì )不斷得到修補或糾正，新的漏洞會(huì )不斷出現，因而漏洞問(wèn)題會(huì )長(cháng)期存在[3]。

　　2漏洞研究技術(shù)分類(lèi)

　　根據研究對象的不同，漏洞挖掘技術(shù)可以分為基于源代碼的漏洞挖掘技術(shù)、基于目標代碼的漏洞挖掘技術(shù)和混合漏洞挖掘技術(shù)三大類(lèi)�；�于源代碼的漏洞挖掘又稱(chēng)為靜態(tài)檢測，是通過(guò)對源代碼的分析，找到軟件中存在的漏洞�；�于目標代碼的漏洞挖掘又稱(chēng)為動(dòng)態(tài)檢測，首先將要分析的目標程序進(jìn)行反匯編，得到匯編代碼；然后對匯編代碼進(jìn)行分析，來(lái)判斷是否存在漏洞�；旌下┒赐诰蚣夹g(shù)是結合靜態(tài)檢測和動(dòng)態(tài)檢測的優(yōu)點(diǎn)，對目標程序進(jìn)行漏洞挖掘。

　　2.1靜態(tài)檢測技術(shù)

　　靜態(tài)檢測技術(shù)可以通過(guò)手工或源代碼分析工具輔助完成，主要針對源代碼結構、跳轉條件、邊界條件、調用函數等進(jìn)行分析，查找目標代碼中的不安全因素。例如，可以檢查源代碼中的Printf之類(lèi)函數，檢查是否對其使用條件進(jìn)行了限定，是否對邊界條件進(jìn)行了檢查。由于現代軟件源代碼數量龐大，不可能完全對其進(jìn)行人工審計。靜態(tài)分析技術(shù)具有以下特點(diǎn)[4]：首先，通過(guò)工具對源代碼進(jìn)行掃描，靜態(tài)檢測技術(shù)效率高，分析速度快；其次，靜態(tài)檢測技術(shù)可以通過(guò)設置不同的測試條件實(shí)現對代碼的全面掃描；再次，靜態(tài)檢測技術(shù)可以在一些開(kāi)源項目或在項目開(kāi)發(fā)階段進(jìn)行挖掘，及時(shí)修復系統中存在的漏洞。但這種方法必須獲得源代碼，并且需對目標代碼進(jìn)行分析、編譯等。另一方面靜態(tài)檢測技術(shù)是通過(guò)對源代碼依據一定規則分析來(lái)實(shí)現，因此要建立源代碼的特征庫和規則庫。隨著(zhù)漏洞數量的增加，特征庫也隨之不斷擴大，繼而帶來(lái)檢測效率不斷降低。由于靜態(tài)檢測技術(shù)是依據特征庫來(lái)進(jìn)行分析判斷，因此存在誤報和漏報的情況。文獻[5]中，將靜態(tài)檢測技術(shù)分為詞法分析、規則檢查和類(lèi)型推導。詞法分析技術(shù)最早出現于BMAT技術(shù)中，這種方法只對語(yǔ)法進(jìn)行檢查，判斷詞法中是否存在漏洞，如果存在則根據知識庫進(jìn)行進(jìn)一步判斷。規則檢查通過(guò)檢查程序編制規則來(lái)判斷程序是否存在漏洞，如C語(yǔ)言中是否對變量進(jìn)行了初始化。規則檢查將這些規則以特定語(yǔ)法描述，然后再將程序行為進(jìn)行比對檢測。類(lèi)型推導通過(guò)推導程序中變量和函數類(lèi)型，來(lái)判斷變量和函數的訪(fǎng)問(wèn)是否符合類(lèi)型規則�；�于類(lèi)型推導的靜態(tài)分析方法適用于控制流無(wú)關(guān)分析，但對于控制流相關(guān)的特性則需要引入類(lèi)型限定詞和子類(lèi)型[6]的概念來(lái)擴展源語(yǔ)言的類(lèi)型系統，使得新類(lèi)型系統在源語(yǔ)言的數據類(lèi)型上加以擴展并表示出類(lèi)型之間的關(guān)系。針對現有漏洞靜態(tài)檢測方法中存在的誤報率和漏報率較高問(wèn)題，文獻[7]提出了一種基于數據安全狀態(tài)跟蹤和檢查的安全漏洞靜態(tài)檢測方法。該方法擴展了漏洞狀態(tài)模型的狀態(tài)空間，設定多個(gè)安全屬性，通過(guò)安全屬性描述安全狀態(tài)。同時(shí)，對漏洞狀態(tài)機中進(jìn)行合法性校驗，識別誤報的可能性。通過(guò)建立非可信數據識別系統中的漏報情況。

　　2.2動(dòng)態(tài)檢測技術(shù)

　　由于在實(shí)際檢測過(guò)程中，除開(kāi)源軟件以外，很難獲得被測系統的源代碼信息，因此限制了靜態(tài)檢測技術(shù)的應用。動(dòng)態(tài)檢測技術(shù)是通過(guò)構造非標準輸入數據，調試運行軟件系統，根據系統功能或數據流向，檢查運行結果的異常，以判斷被測軟件系統是否存在漏洞。動(dòng)態(tài)檢測技術(shù)通常以輸入接口或者運行環(huán)境為入手點(diǎn)，檢測系統中存在的漏洞。雖然動(dòng)態(tài)檢測技術(shù)具有準確率高的優(yōu)點(diǎn)，但是其效率卻十分低下，因為各種軟件系統本身的功能和流程有所不同，所以不能像靜態(tài)檢測技術(shù)那樣進(jìn)行統一的掃描，而應該針對軟件系統的功能進(jìn)行動(dòng)態(tài)檢測，這樣就勢必造成了效率的降低[4]。并且動(dòng)態(tài)檢測只能確定漏洞可能存在的范圍，需進(jìn)行進(jìn)一步的跟蹤和分析，通過(guò)經(jīng)驗才能確定安全漏洞的類(lèi)型和利用，因此難以應用到大型軟件當中。文獻[8]提出了一種動(dòng)態(tài)與靜態(tài)技術(shù)相結合的二進(jìn)制漏洞挖掘方法。該方法通過(guò)對二進(jìn)制文件反編譯，得到偽源代碼，然后設計了虛擬執行環(huán)境VM。然后，通過(guò)VM，考察指令執行狀態(tài)，跟蹤寄存器的變化，解決了指針別名的問(wèn)題。通過(guò)記錄VM中虛擬內存每條指令訪(fǎng)存地址，最后統計計算出每條訪(fǎng)存指令實(shí)際訪(fǎng)問(wèn)的變量地址，解決了變量精確識別的問(wèn)題。文獻[9]提出利用全系統模擬器作為動(dòng)態(tài)執行環(huán)境，通過(guò)追蹤輸入數據處理路徑檢測溢出漏洞。該方面面向可執行代碼，通過(guò)構建全系統模擬器來(lái)進(jìn)行漏洞檢測，將可執行代碼動(dòng)態(tài)轉換成形式統一、便于分析追蹤的元指令表示形式。為解決動(dòng)態(tài)檢測代碼覆蓋率的問(wèn)題，該方法制定了溢出漏洞的判定規則，歸納溢出形成條件，并結合系統狀態(tài)回退完成多路徑漏洞搜索，提高了檢測的覆蓋率。

　　2.3混合檢測技術(shù)

　　由于靜態(tài)檢測技術(shù)需要目標程序源代碼，并具有檢測規模大、誤報率高的缺陷，而動(dòng)態(tài)檢測技術(shù)又存在覆蓋率低、效率低的缺陷。因此，近幾年，混合檢測技術(shù)發(fā)展迅速，它有效的結合了靜態(tài)檢測和動(dòng)態(tài)檢測的優(yōu)點(diǎn)，避免了靜態(tài)檢測和動(dòng)態(tài)檢測的缺點(diǎn)，有效地提高了檢測效率和準確率�；旌蠙z測技術(shù)表現為與動(dòng)態(tài)檢測技術(shù)相似的形式，然而測試者根據程序的先驗知識，在測試過(guò)程中有針對性的設計測試用例。這種測試可以直接針對數據流中感興趣的邊界情況進(jìn)行測試，從而比動(dòng)態(tài)檢測更高效。目前，混合檢測技術(shù)主要通過(guò)自動(dòng)化的漏洞挖掘器即Fuzzing檢測技術(shù)實(shí)現。漏洞挖掘器首先分析目標軟件的運行環(huán)境、功能和接口等，構造畸形數據，生成測試用例。然后，通過(guò)接口傳遞測試用例，運行程序。最后，使用監控程序監視程序運行，如果程序運行出現異常則記錄程序運行環(huán)境和輸入數據進(jìn)一步對異常信息進(jìn)行分析。不同漏洞挖掘器由于挖掘對象的不同，其結構、挖掘方法都有很大的不同。目前主要有文件類(lèi)型漏洞挖掘器、FTP漏洞挖掘器、Web漏洞挖掘器、操作系統漏洞挖掘器等。根據挖掘器構造測試用例方式的不同，Fuzzing技術(shù)可以分為兩類(lèi)[4]，DumbFuzzing和IntelligentFuzzing。DumbFuzzing檢測技術(shù)類(lèi)似于黑盒測試完全根據隨機的輸入去發(fā)現問(wèn)題。這種方法實(shí)現簡(jiǎn)單，容易快速的觸發(fā)漏洞的錯誤位置。由于沒(méi)有針對性，因此其效率低下。IntelligentFuzzing檢測技術(shù)通過(guò)研究目標軟件的協(xié)議、輸入、文件格式等方面內容，有針對性的構造測試用例，能夠提高自動(dòng)化檢測的效率，因此這種方法能夠更加有效的進(jìn)行軟件安全漏洞挖掘。

　　3結束語(yǔ)

　　因為不同漏洞研究技術(shù)針對的研究目標不同，所以具有不同的優(yōu)缺點(diǎn)。靜態(tài)檢測技術(shù)具有分析速度快，覆蓋全面的特點(diǎn)，但其誤報率卻很高；而動(dòng)態(tài)檢測技術(shù)準確率高，但其不能覆蓋程序的各個(gè)流程，具有較大的隨機性；混合檢測技術(shù)避免了上述兩種方法的缺點(diǎn)，但由于目前檢測技術(shù)的局限性，仍有很多工作需要完成：

　　1）后門(mén)及訪(fǎng)問(wèn)控制缺陷檢測困難。由于后門(mén)及訪(fǎng)問(wèn)控制缺陷不會(huì )引起程序異常，并在邏輯上很難區分，所以常規漏洞檢測方法難以發(fā)現后門(mén)及邏輯上的缺陷；

　　2）檢測過(guò)程難以全部自動(dòng)化。目前，Fuzzing技術(shù)需要根據經(jīng)驗創(chuàng )建測試用例，并且自動(dòng)化的檢測結果需要根據經(jīng)驗進(jìn)行進(jìn)一步分析，以確定漏洞是否存在以及如何利用。

【計算機漏洞檢測分析論文】相關(guān)文章：

建筑鋼筋原材料檢測技術(shù)分析論文07-16

建筑工程材料檢測及問(wèn)題分析論文09-17

化學(xué)分析在化工材料檢測的運用論文10-23

建筑工程材料檢測技術(shù)要點(diǎn)分析的論文09-30

計算機病毒檢測方法論文08-09

計算機及生物病毒比較分析論文06-29

汽車(chē)綜合性能檢測站計算機控制系統分析論文08-28

新型建筑墻體節能材料與檢測分析論文09-29

分析配網(wǎng)線(xiàn)路在線(xiàn)檢測方式的創(chuàng )新理工論文10-14

計算機在銀行審計中的應用分析論文08-24