混合检测技术
混合检测技术
混合检测技术(Hybrid Detection)
针对静态检测技术和动态检测技术所存在的缺陷,近年来出现了混合检测技术这一概念。从广泛的意义上来说,它是静态检测技术与动态检测技术在应用中的结合,但是由于混合检测中的一些技术已形成较为规范检测方法,所以本文特别分类对其中一些典型代表进行说明。
混合检测技术是实践应用的产物,具有自动化程度高,实用性好的特点,各种技术也不可避免的存在一些缺陷。Fuzzing检测(Fuzzing Detection)误报率高,漏洞类型覆盖不全;检测集(Test Set)性能消耗大;源代码改写(Source Code Rewrite)容易引起竞争条件问题,不支持多线程技术;堆栈编译器保护(Compiler Stack Protection)检测漏洞类型单一;二进制代码改写(Binary Rewriting)准确率不高,误报率较高;标准检查(Standard Inspection)标准建立复杂,可靠性不高;异常检查(Abnormal Examination)误报率高,兼容性问题大。
现有大部分软件安全漏洞检测方法对软件漏洞的主要停留在针对某单一特征或者某单一功能的检测上。整个软件系统是一个有机的整体,它的不同代码段之间、各个功能之间存在种种的依赖的关系,所以针对单一点的检测方法,由于未考虑其间的以来关系,所以容易造成“漏报”和“误报”。虽然也出现了一些分析执行路径与数据流图结合图论知识[33]的漏洞检测方法,但是这些检测理论主要停留在理论的说明上,在实际应用中也并不能取得特别理想的效果。