多维度终端软件安装漏洞静态检测技术研究

2021-09-05王金贺吴佩泽彭伯庄

电子设计工程 2021年17期

王金贺，吴佩泽，彭伯庄

（南方电网数字电网研究院有限公司，广东广州 510000）

静态检测是一种针对二进制代码或被测软件源程序进行扫描的漏洞处理手段，可从语义、语法等多个角度理解数据化信息中所包含的实际内容，从而实现对待检程序特征的精准化分析，找出执行指令中存在的异常处置行为[1-2]。与二进制技术相比，静态检测是针对软件代码进行审查操作的手段，能够直接确定逻辑关联型漏洞在多维度终端软件中所处的应用位置，且在较为复杂的执行环境下，也可以针对待检查特征进行目的性强化。

在多维度终端软件环境中，随着数据攻击性行为强度的增大，静态漏洞信息的实际运行状态也会出现较大改变。为解决此问题，常规漏洞检测手段在数组访问越界条件的支持下，对缓存区溢出信息参量进行集中处理，再联合内存模型算法，对各节点处的漏洞检测参量进行计算与处理。但与此方法相关的PDR指标水平相对较高，很难在单位时间内承载足量的漏洞信息数据。基于此，提出新型多维度终端软件安装漏洞静态检测技术，在符号计算数据结构的支持下，建立多维度检测语言环境，再借助漏洞字段建模原理，实现对静态检测效率的精确计算。

1 多维度终端软件安装环境分析

多维度终端软件安装环境包括漏洞检测模块搭建、路径静态调度策略实施、符号计算数据结构连接3个处理流程，具体操作方法如下。

1.1 漏洞检测模块

漏洞检测模块位于多维度终端软件环境之中，以静态分析器作为核心应用元件，在4个执行方向上分别与其他检测结构体相连，能够在提取待检漏洞信息的同时，实现对数据符号集组织的完善与调节[3]。检测树结构体位于漏洞静态分析器上端，负责直接调取多维度终端软件环境中的漏洞信息参量，在文法规则的约束下，该项硬件执行结构能够始终保持与数据符号集组织间的调度连接关系。检测分析器位于漏洞静态分析器的下端，由于检测树源程序的存在，上述两个硬件结构体之间始终保持双向并列的连接关系，即漏洞静态待检数据在检测模块中始终保持双向平行的传输应用状态[4-5]。漏洞检测模块结构如图1所示。

图1 漏洞检测模块结构图

1.2 路径静态调度策略

路径静态调度策略是一种新型的漏洞静态检测运行程序，可通过符号计算数据结构模拟检测引擎的连接状态，从而确定待检测漏洞静态信息所处的实际位置。在进行符号计算处理前，与路径静态调度策略相关的程序必须始终处于可执行应用状态。路径静态调度策略的实施以函数结构体作为最小的分析单位，在多维度广度领域中始终遵循有限搜索的处理规则[6-7]。在整个调度实施过程中，已输入的漏洞静态信息始终保持相对完整的函数解析形式，且随着检测时间的延长，这些函数结构体的实际应用形式也不会出现明显改变。设f代表待检漏洞静态信息的实际输入数量，δ1、δ2分别代表两个不同的路径调度系数，联立上述物理量，可将与多维度终端软件安装环境相关的路径静态调度策略定义为：

其中，u↓代表最小的静态调度权限，u↑代表最大的静态调度权限，代表与漏洞静态信息相关的数据输入参量，代表信息监测均值。

1.3 符号计算数据结构

符号计算数据结构是实施漏洞静态检测技术的重要应用元件，在多维度终端软件环境中，随着实际监测时间的延长，各级数据结构之间的联系紧密性也会不断增加。在实际应用过程中，若多维度终端软件环境中存在明显的静态漏洞组织，则符号计算数据结构的清除对象便不再会发生改变，始终保持原有的漏洞参量[8]。假设在一个固定的软件应用环境中，待安装多维度终端的存在状态始终与漏洞静态信息的存在形式相同，且随着数据参量的不断堆积，所有检测节点所处的物理位置均不会发生改变[9-10]。在此情况下，设代表多维度终端软件的均值安装条件，代表与漏洞静态信息相关的数据计算偏导量，联立公式（1），可将符号计算数据结构的连接表达式定义为：

其中，i0代表符号计算系数的最小应用值，i1代表符号计算系数的最大应用值，β代表与漏洞静态信息相关的数据计算条件，代表既定检测软件的均值安装条件，v1、v2分别代表两个不同的漏洞静态信息参量。

2 漏洞静态检测技术

在多维度终端软件安装环境的基础上，按照多维度检测语言设置、漏洞字段建模、静态检测效率计算的处理流程，实现新型漏洞静态检测技术的顺利应用。

2.1 多维度检测语言设置

多维度检测语言是一种固定的漏洞静态存在行为定义方式，可在已知终端软件多维度安装条件的同时，确定漏洞信息的最远传输距离，从而获得更为精准的检测处理结果。在不考虑其他干扰条件的情况下，多维度检测语言定义结果只受到漏洞静态受检实值、特征检测常量两项物理指标的直接影响[11-12]。设漏洞静态受检实值为S，在既定检测时间内，该项物理项始终受到受检漏洞信息实际存在量s的影响。特征检测常量可表示为A，与静态检测指标a相比，该项物理量在单位检测时间内的变化幅度相对较小。在上述物理量的支持下，联立公式（2），可将终端软件安装环境下的多维度检测语言定义为：代表

其中，s0代表漏洞检测向量的最小表现系数，μ代表终端软件多维度安装条件，代表漏洞静态信息的实际受检均值。

2.2 漏洞字段建模

漏洞字段建模可在多维度检测语言的基础上，实现对漏洞静态信息存在范围的规划与限定，可从根本上抵御静态漏洞对多维度终端软件造成的攻击性行为[13-14]。规定代表与多维度软件终端环境匹配的最小漏洞承载系数，ς1代表最大的漏洞承载系数。在既定检测周期内，随两极化承载系数间距值的增大，与漏洞字段匹配的待检应用实值也会不断增大。设D代表理想状态下多维度终端软件所能承担的漏洞信息检测极大值，联立公式（3），可将漏洞字段的建模条件定义为：

其中，n1、n2分别代表两个不同的常数检测指标，b1代表与第一次检测行为相关的漏洞信息输入量，b2代表与第二次检测行为相关的漏洞信息输入量。

2.3 静态检测效率计算

静态检测效率计算是多维度终端软件安装漏洞静态检测技术应用的末尾处理环节，可根据已生成的漏洞字段建模条件，实现对漏洞信息应用指标向量的准确度量。规定在执行漏洞静态检测指令的过程中，最少需要两次或两次以上的处理行为，才能完全实现对漏洞静态信息参量的合理分配，且每两次处理行为的操作权重始终保持一致[15-16]。设代表与多维度终端软件安装环境相关的漏洞信息静态检测均值，在检测干预向量ω的作用下，联立公式（4），可将多维度终端软件安装条件下的静态检测效率计算结果表示为：

3 应用能力检测

为验证多维度终端软件安装漏洞静态检测技术的实际应用价值，设计如下对比实验。在既定实验环境中，截取等量的漏洞静态信息参量作为实验组、对照组检测对象，分别以搭载新型检测技术与常规漏洞检测手段的应用主机作为实验组、对照组检测元件。控制其他影响条件保持不变，同时闭合实验组与对照组的设备元件，记录各项实验指标的实际变化情况。

表1为实验组、对照组的实验参数设置情况。

表1 实验参数设置表

出于对实验公平性的考虑，实验组、对照组实验参数始终保持一致。

单位时间内的漏洞承载总量能够直接反映多维度终端软件安装环境对漏洞静态信息的实际检测能力，一般情况下，前者的承载量数值越大，后者的实际检测能力也就越强，反之则越弱。通过漏洞承载总量验证实验组、对照组的实际数值水平，如表2所示。

表2 单位时间内的漏洞承载总量对比表

分析表2可知，随着实验时间的延长，实验组漏洞承载总量始终保持不断上升的变化趋势，全局最大值达到了8.7×1015T。对照组漏洞承载总量在小幅度上升趋势后，开始逐渐趋于稳定，全局最大值仅达到4.9×1015T，与实验组极值相比，下降了3.8×1015T。综上可知，应用多维度终端软件安装漏洞静态检测技术，能够大幅提升单位时间内的漏洞承载总量，可促进终端软件实际检测能力的增强。

PDR指标描述了漏洞检测技术的实际应用能力，通常情况下，指标的表现数值水平越低，漏洞检测技术的实际应用能力也就越强，反之则越弱。表3记录了实验组、对照组PDR指标的实际变化情况。

表3 PDR指标对比表

分析表3可知，随实验时间的延长，实验组PDR指标始终保持先上升、再下降、最后稳定的变化趋势，全局最大值仅能达到53.4%。对照组PDR指标则在短时间的稳定状态后，开始持续上升，全局最大值达到了73.0%，与实验组极值相比，上升了19.6%。综上可知，应用多维度终端软件安装漏洞静态检测技术，可促使PDR指标数值的不断提升，满足漏洞检测技术的实际应用需求。