【正文】 現(xiàn)了漏洞的統(tǒng)一描述和管理。 ?到目前為止 CVE收錄的漏洞數(shù)量已達(dá)到 43000余條。 102 CVE 103 NVD ?NVD（美國國家漏洞庫） 是美國 政府建立的 漏洞數(shù)據(jù)庫 。 NVD采用 CVE編號，和 CVE一一對應(yīng)，擴(kuò)充了 CVE的屬性項(xiàng)，包括受影響實(shí)體、漏洞類型、危害評級（參考 CVSS得分）、參考網(wǎng)址等。 ?NVD通過其規(guī)范的漏洞描述、漏洞評級和詳細(xì)的漏洞參考信息等內(nèi)容，稱為國際權(quán)威的漏洞共享平臺。 ?NVD除公布漏洞數(shù)據(jù)外，還公布 CPE、 FDCC等數(shù)據(jù)。 104 NVD 105 丹麥安全公司 Secunia ?Secunia 是丹麥知名互聯(lián)網(wǎng)安全公司，成立于2022年，作為一家獨(dú)立的漏洞信息披露 單位 ， 具有很強(qiáng)的研究實(shí)力 。 ?Secunia公司的漏洞數(shù)據(jù)的及時(shí)性和規(guī)范性較好，并提供漏洞驗(yàn)證和漏洞利用等相關(guān)信息。 ?Secunia到目前為止已發(fā)布漏洞近 42022條。 106 Secunia 107 Security Focus Bugtraq ?Security Focus創(chuàng)建于 1996年，是一個(gè)提供安全信息和安全服務(wù)的國際安全公司，自 1999年起，世界上最有影響力的黑客電子郵件組 BugTraq的Inter郵件列表就是由 Security Focus管理的。 2022年 8月， Security Focus被賽門鐵克公司整個(gè)并購，但它要求保持提供獨(dú)立的安全服務(wù)。賽門鐵克公司為終端用戶和企業(yè)提供 MSS服務(wù)和一系列產(chǎn)品，并通過 Bugtraq漏洞數(shù)據(jù)庫向公眾提供安全公告和攻擊利用信息。 108 Bugtraq 109 ISS XForce ?IBM 2022年 10月收購互聯(lián)網(wǎng)安全系統(tǒng)公司 ISS后，進(jìn)行了全面整合，提供安全產(chǎn)品與安全服務(wù)，包括 MMS安全服務(wù)、 IPS、和企業(yè)漏洞掃描。 XForce對多種產(chǎn)品及技術(shù)開展安全研究，并監(jiān)控安全環(huán)境和惡意軟件。 1996年開始， XForce將研究發(fā)現(xiàn)以安全公告的形式發(fā)布在其數(shù)據(jù)庫中。 110 中國國家信息安全漏洞庫（ CNNVD） ?中國國家信息安全漏洞庫，英文名稱“ China National Vulnerability Database of Information Security” ，簡稱“ CNNVD” ，是中國信息安全測評中心為切實(shí)履行漏洞分析和風(fēng)險(xiǎn)評估的職能，負(fù)責(zé)建設(shè)運(yùn)維的國家級信息安全漏洞庫，為我國信息安全保障提供基礎(chǔ)服務(wù)。 111 CNNVD 112 知識域：信息安全漏洞 ?知識子域：安全漏洞檢測 ? 了解基于 靜態(tài)分析的 漏洞檢測方法 ? 了解基于 動態(tài)分析 的漏洞檢測方法 113 漏洞檢測技術(shù) ?目標(biāo)：研究專門的技術(shù)手段和方法，建立多角度的漏洞檢測能力 ? 經(jīng)驗(yàn)向理論轉(zhuǎn)化 ? 形成自動化、規(guī)?；芰? ?方法： ? 靜態(tài)分析 ? 動態(tài)分析 114 靜態(tài)分析技術(shù) ?靜態(tài)分析方法直接掃描程序代碼，提取程序關(guān)鍵語法，解釋其語義，理解程序行為，根據(jù)預(yù)先設(shè)定的漏洞特征、安全規(guī)則等檢測漏洞。 115 靜態(tài)分析方法 —— 關(guān)鍵技術(shù) ?流分析 ?符號執(zhí)行 ?模型檢測 ?指針分析 116 流分析技術(shù) —— 控制流 ?控制流分析是要得出代碼中控制流走向的信息，即控制流圖 (CFG)。 ?控制流圖是對代碼執(zhí)行時(shí)可能經(jīng)過的所有路徑的圖形化表示，通過對代碼中的分支、循環(huán)等關(guān)系的分析來獲得代碼的結(jié)構(gòu)關(guān)系。 ?控制流分析關(guān)心的是代碼的控制結(jié)構(gòu)信息 。 117 流分析技術(shù) —— 數(shù)據(jù)流 ?數(shù)據(jù)流分析是要得出程序中數(shù)據(jù)流動的信息，也就是程序中變量的相關(guān)信息，比如，可到達(dá)的變量定義，可用的表達(dá)式，別名信息，變量的使用及取值情況 等。 ?常用方法 ：強(qiáng)連通區(qū)域方法、迭代法、 T1T2分析法、節(jié)點(diǎn)列表算法、圖語法方法、消去法、語法導(dǎo)向方法、結(jié)構(gòu)分析法、位置式（ slotwise）分析法等。 118 符號執(zhí)行 ?符號執(zhí)行的目標(biāo)是把程序轉(zhuǎn)化成一組約束，同時(shí)檢查程序模擬執(zhí)行過程中的狀態(tài)是否出錯(cuò)。這組約束中既包含程序中的路徑條件，也包含要求程序滿足的正確性條件或者程序員給出的斷言。 ?符號執(zhí)行的方法也是在程序的 CFG上使用 WorkList算法進(jìn)行遍歷 。 119 模型檢測 ?模型檢測是 給定被測系統(tǒng)的模型和目標(biāo)屬性的描述之后， 可 自動地對被測系統(tǒng)的狀態(tài)空間進(jìn)行窮盡搜索，以檢測目標(biāo)屬性是否被滿足。 ?度量指標(biāo)： ? 可靠性 —— 被檢測為真的任何屬性，都確實(shí)為真，即無誤報(bào)； ? 完備性 —— 所有確實(shí)為真的屬性，必然可被檢測出為真，即無漏報(bào)。 120 動態(tài)分析技術(shù) ?什么是動態(tài)分析方法 ? 動態(tài) 分析 方法是在代碼運(yùn)行的狀態(tài)下，通過監(jiān)測代碼的運(yùn)行狀態(tài)或根據(jù)測試用例結(jié)果來 檢測 漏洞的方法。 ?優(yōu)勢 ? 與靜態(tài) 分析 方法相比，動態(tài) 分析 方法的最大優(yōu)勢在于其分析結(jié)果的精確，即誤報(bào)率較低 ?動態(tài)分析關(guān)鍵技術(shù) ? 模糊測試 ? 動態(tài)污染傳播 121 模糊測試 ?模糊測試是一種基于缺陷注入的自動軟件測試技術(shù)，使用大量精心構(gòu)造的數(shù)據(jù)作為應(yīng)用程序的輸入，以程序是否出現(xiàn)異常為標(biāo)志，來發(fā)現(xiàn)應(yīng)用程序中可能存在的安全漏洞。 ?發(fā)展階段： ? 第一代主要用于健壯性和可靠性測試 。 ? 第二代主要用于發(fā)現(xiàn)系統(tǒng)的漏洞 。 ? 第三代智能模糊測試側(cè)重于更合理的測試數(shù)據(jù)集的構(gòu)造 。 122 模糊測試主要步驟 ?明確被測對象：確定被測對象 ， 界定測試范圍 。 如：文件解析器 、 網(wǎng)絡(luò)協(xié)議解析器 、 特定程序等； ?生成測試數(shù)據(jù)：根據(jù)被測對象構(gòu)建模糊測試數(shù)據(jù) 。 ?執(zhí)行測試：將測試數(shù)據(jù)輸入到運(yùn)行的系統(tǒng)中； ?監(jiān)控異常：對被測對象出現(xiàn)的故障或異常進(jìn)行監(jiān)控 ， 以確定由哪些測試數(shù)據(jù)引起的什么樣的問題 ， 而無法定位問題所在的模糊測試是不完備的測試； ?漏洞確認(rèn)與分析：確定所發(fā)現(xiàn)的漏洞是否可重現(xiàn) ， 如果重現(xiàn)成功 ， 則進(jìn)一步判斷該漏洞是否可被利用 。 123 動態(tài)污染傳播 ?動態(tài)污染傳播（ Dynamic taint analysis），也稱為動態(tài)信息流分析方法是在程序運(yùn)行時(shí)，標(biāo)記某些信息，例如變量、存儲單位、寄存器的值等，從而跟蹤攻擊路徑，獲取漏洞信息。 124 動態(tài)污染傳播主要步驟 ?第一步 ： 標(biāo)識污點(diǎn)源 。 ?第二步 ： 分析污染源的傳播。 ? 分析出什么樣的操作導(dǎo)致了被污染對象 x的信息被傳遞給了沒有受污染的對象 y記為 x?t(y)，其中 t表示程序操作。 ? 分析出所有受 t操作影響的對象 y并標(biāo)識 y為受污染對象。 ?第三步 ： 污染數(shù)據(jù)到達(dá)觸發(fā)點(diǎn)（ taint sink）時(shí)，根據(jù)觸發(fā)機(jī)制對具有污染標(biāo)識的數(shù)據(jù)、內(nèi)存等進(jìn)行檢查，從而發(fā)現(xiàn)可能的安全問題。 125 漏洞消控 ?補(bǔ)丁修復(fù) ?安全加固 126 補(bǔ)丁修復(fù) ? 打補(bǔ)丁是漏洞消減的技術(shù)手段之一。 ? 數(shù)據(jù)顯示，及時(shí)安裝有效補(bǔ)丁可避免約 95%的信息安全損失。 ? 補(bǔ)丁修復(fù)中存在的兩難問題： ? 是否要打補(bǔ)??？ —— 資源分配問題 ? 打什么樣的補(bǔ)丁？ —— 補(bǔ)丁質(zhì)量問題 ? 如何打補(bǔ)?。?—— 操作方式問題 ? 什么時(shí)間打補(bǔ)?。?—— 修復(fù)時(shí)機(jī)問題 ? 現(xiàn)狀： ? 出現(xiàn)了跨學(xué)科領(lǐng)域的研究方法（計(jì)算機(jī)科學(xué)、經(jīng)濟(jì)學(xué)、管理學(xué)） ? 從理論分析與用戶最佳實(shí)踐中共同尋找答案 127 安全加固 ? 標(biāo)準(zhǔn)化的安全配置 ? 2022年，美國率先在軍隊(duì)推行標(biāo)準(zhǔn)化的安全配置與核查（ IAVA） ? 根據(jù)漏洞分析和風(fēng)險(xiǎn)評估的安全加固 ? 傳統(tǒng)的安全加固手段越來越難以應(yīng)付日益復(fù)雜的攻擊行為，漏洞信息的及時(shí)披露和分發(fā)越來越重要。 ? 加固核查與問責(zé) ? 通過安全審計(jì)核實(shí)漏洞消除情況和效果。 128 總結(jié) ?惡意代碼 ? 惡意代碼的概念及相關(guān)知識 ? 惡意代碼的傳播及危害 ? 惡意代碼的關(guān)鍵技術(shù) ? 惡意代碼檢測及分析技術(shù) ?安全漏洞 ? 安全漏洞相關(guān)概念 ? 安全漏洞的研究及相關(guān)機(jī)構(gòu) ? 安全漏洞庫 ? 安全漏洞檢測 129 謝謝，請?zhí)釂栴}！