一、網(wǎng)絡(luò)安全漏洞概述

1.1 網(wǎng)絡(luò)安全漏洞概念

網(wǎng)絡(luò)安全漏洞：又稱為脆弱性，簡稱漏洞。漏洞一般是致使網(wǎng)絡(luò)信息系統(tǒng)安全策略相沖突的缺陷，這種缺陷通常稱為安全隱患

安全漏洞的影響：主要有機(jī)密性受損、完整性破壞、可用性降低、抗抵賴性缺失、可控制性下降、真實(shí)性不保等

根據(jù)已經(jīng)公開的漏洞信息，網(wǎng)絡(luò)信息系統(tǒng)的硬件層、軟硬協(xié)同層、系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)層、應(yīng)用層、業(yè)務(wù)層、人機(jī)交互層都已被發(fā)現(xiàn)存在安全漏洞

根據(jù)漏洞的補(bǔ)丁狀況，可將漏洞分類：

• 普通漏洞：指相關(guān)漏洞信息已經(jīng)廣泛公開，安全廠商已經(jīng)有了解決修補(bǔ)方案
• 零日漏洞：特指系統(tǒng)或軟件中新發(fā)現(xiàn)的、尚未提供補(bǔ)丁的漏洞。零日漏洞通常被用來實(shí)施定向攻擊( Targeted Attacks)

1.2 網(wǎng)絡(luò)安全漏洞威脅

研究表明，網(wǎng)絡(luò)信息系統(tǒng)漏洞的存在是網(wǎng)絡(luò)攻擊成功的必要條件之一，攻擊者成功的關(guān)鍵在于早發(fā)現(xiàn)和利用目標(biāo)的安全漏洞

攻擊者基于漏洞對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成的安全威脅：主要有敏感信息泄露、非授權(quán)訪問、身份假冒、
拒絕服務(wù)

漏洞時刻威脅著網(wǎng)絡(luò)系統(tǒng)的安全，要實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全，關(guān)鍵問題之一就是解決漏洞問題，包括漏洞檢測、漏洞修補(bǔ)、漏洞預(yù)防等

1.3?網(wǎng)絡(luò)安全漏洞問題現(xiàn)狀

網(wǎng)絡(luò)信息系統(tǒng)的產(chǎn)品漏洞已是普遍性的安全問題。人工智能(AI)、 區(qū)塊鏈、5G等新領(lǐng)域的漏洞問題將成為研究重點(diǎn)和熱點(diǎn)。網(wǎng)絡(luò)安全漏洞分析與管理技術(shù)正向智能化方向發(fā)展。國內(nèi)外網(wǎng)絡(luò)安全專家正在開展基于機(jī)器學(xué)習(xí)和大數(shù)據(jù)來分析網(wǎng)絡(luò)信息系統(tǒng)安全漏洞的研究

安全漏洞分析及漏洞管理是網(wǎng)絡(luò)安全的基礎(chǔ)性工作。針對安全漏洞問題的研究己成為網(wǎng)絡(luò)安全的研
究熱點(diǎn)，主要研究工作：包括漏洞信息搜集分析和網(wǎng)絡(luò)安全威脅情報服務(wù)、漏洞度量、基于漏洞的攻擊圖自動化生成、漏洞利用自動化、漏洞發(fā)現(xiàn)等

網(wǎng)絡(luò)安全漏洞事關(guān)國家安全，很多發(fā)達(dá)國家已將安全漏洞列為國家安全戰(zhàn)略資源

目前，我國相關(guān)部門針對安全漏洞管理問題，建立起國家信息安全漏洞庫CNNVD、國家信息安全漏洞共享平臺CNVD，制定和頒發(fā)了一系列漏洞標(biāo)準(zhǔn)規(guī)范，主要有《信息安全技術(shù)安全漏洞分類》《信息安全技術(shù)安全漏洞等級劃分指南》《信息安全技術(shù)安全漏洞標(biāo)識與描述規(guī)范》《信息安全技術(shù)信息安全漏洞管理規(guī)范》?

二、網(wǎng)絡(luò)安全漏洞分類與管理

2.1?網(wǎng)絡(luò)安全漏洞來源

網(wǎng)絡(luò)信息系統(tǒng)的漏洞主要來自兩個方面

1. 非技術(shù)性安全漏洞：涉及管理組織結(jié)構(gòu)、管理制度、管理流程、人員管理等
2. 技術(shù)性安全漏洞：主要涉及網(wǎng)絡(luò)結(jié)構(gòu)、通信協(xié)議、設(shè)備、軟件產(chǎn)品、系統(tǒng)配置、應(yīng)用系統(tǒng)等

1. 非技術(shù)性安全漏洞的主要來源

1. 網(wǎng)絡(luò)安全責(zé)任主體不明確：組織中缺少針對網(wǎng)絡(luò)安全負(fù)責(zé)任的機(jī)構(gòu)，或者是網(wǎng)絡(luò)安全機(jī)構(gòu)不健全，導(dǎo)致網(wǎng)絡(luò)安全措施缺少責(zé)任部門落實(shí)
2. 網(wǎng)絡(luò)安全策略不完備：組織中缺少或者沒有形成一套規(guī)范的網(wǎng)絡(luò)信息安全策略
3. 網(wǎng)絡(luò)安全操作技能不足：組織中缺少對工作人員的網(wǎng)絡(luò)安全職責(zé)規(guī)范要求，沒有制度化的安全意識和技能培訓(xùn)機(jī)制
4. 網(wǎng)絡(luò)安全監(jiān)督缺失：組織中缺少強(qiáng)有力的網(wǎng)絡(luò)信息安全監(jiān)督機(jī)制，網(wǎng)絡(luò)信息安全策略的實(shí)施無法落實(shí)，無法掌握網(wǎng)絡(luò)安全態(tài)勢
5. 網(wǎng)絡(luò)安全特權(quán)控制不完備：網(wǎng)絡(luò)信息系統(tǒng)中存在特權(quán)賬號，缺少對超級用戶權(quán)限的審計和約束，從而引發(fā)內(nèi)部安全威脅

2. 技術(shù)性安全漏洞的主要來源

1. 設(shè)計錯誤：由于系統(tǒng)或軟件程序設(shè)計錯誤而導(dǎo)致的安全漏洞。例如，TCP/IP協(xié)議設(shè)計錯誤導(dǎo)致的IP地址可以偽造
2. 輸入驗證錯誤：由于未對用戶輸入數(shù)據(jù)的合法性進(jìn)行驗證，使攻擊者非法進(jìn)入系統(tǒng)
3. 緩沖區(qū)溢出：輸入程序緩沖區(qū)的數(shù)據(jù)超過其規(guī)定長度，造成緩沖區(qū)溢出，破壞程序正常的堆棧，使程序執(zhí)行其他代碼
4. 意外情況處置錯誤：由于程序在實(shí)現(xiàn)邏輯中沒有考慮到一些意外情況，而導(dǎo)致運(yùn)行出錯訪問驗證錯誤。由于程序的訪問驗證部分存在某些邏輯錯誤，使攻擊者可以繞過訪問控制進(jìn)入系統(tǒng)
5. 配置錯誤：由于系統(tǒng)和應(yīng)用的配置有誤，或配置參數(shù)、訪問權(quán)限、策略安裝位置有誤
6. 競爭條件：由于程序處理文件等實(shí)體在時序和同步方面存在問題，存在一個短暫的時機(jī)使攻擊者能夠施以外來的影響
7. 環(huán)境錯誤：由于一些環(huán)境變量的錯誤或惡意設(shè)置造成的安全漏洞

2.2?網(wǎng)絡(luò)安全漏洞分類

網(wǎng)絡(luò)安全漏洞分類有利于漏洞信息的管理，但是目前還沒有統(tǒng)一的漏洞分類標(biāo)準(zhǔn)

• 國際上：較為認(rèn)可的是CVE漏洞分類和CVSS漏洞分級標(biāo)準(zhǔn)
• 我國：信息安全漏洞分類及OWSP漏洞分類

1. CVE漏洞分類

CVE是由美國MITRE公司建設(shè)和維護(hù)的安全漏洞字典。CVE給出已經(jīng)公開的安全漏洞的統(tǒng)一標(biāo)識和規(guī)范化描述，其目標(biāo)是便于共享漏洞數(shù)據(jù)

CVE條目的包含內(nèi)容是標(biāo)識數(shù)字、安全漏洞簡要描述、至少有一個公開參考。標(biāo)識數(shù)字簡稱CVE ID， 其格式由年份數(shù)字和其他數(shù)字組成，如CVE-2019-1543為一個Open SSL安全漏洞編號

CVE是國際上權(quán)威的網(wǎng)絡(luò)安全漏洞發(fā)布組織，其成員包含眾多全球知名的安全企業(yè)和研究機(jī)構(gòu)

2. CVSS

是一個通用漏洞計分系統(tǒng)

分?jǐn)?shù)計算依據(jù)組成，以CVSS v3.0為例

• 基本度量計分：由攻擊向量、攻擊復(fù)雜性、特權(quán)要求、用戶交互、完整性影響、保密性影響、可用性影響、影響范圍等參數(shù)決定
• 時序度量計分：由漏洞利用代碼成熟度、修補(bǔ)級別、漏洞報告可信度等參數(shù)決定
• 環(huán)境度量計分：由完整性要求、保密性要求、可用性要求、修訂基本得分等決定

3. 我國信息安全漏洞分類

我國網(wǎng)絡(luò)安全管理部門建立了國家信息安全漏洞庫( CNNVD) 漏洞分類分級標(biāo)準(zhǔn)、國家信息安全漏洞共享平臺(CNVD)漏洞分類分級標(biāo)準(zhǔn)

①國家信息安全漏洞庫(CNNVD)漏洞分類

CNNVD將信息安全漏洞劃分：配置錯誤、代碼問題、資源管理錯誤、數(shù)字錯誤、信息泄露、競爭條件、輸入驗證、緩沖區(qū)錯誤、格式化字符串、跨站腳本、路徑遍歷、后置鏈接、SQL注入、代碼注入、命令注入、操作系統(tǒng)命令注入、安全特征問題、授權(quán)問題、信任管理、加密問題、未充分驗證數(shù)據(jù)可靠性、跨站請求偽造、權(quán)限許可和訪問控制、訪問控制錯誤和資料不足

②國家信息安全漏洞共享平臺(CNVD)漏洞分類

CNVD根據(jù)漏洞產(chǎn)生原因，將漏洞分為11種類型：輸入驗證錯誤、訪問驗證錯誤、意外情況處理錯誤數(shù)目、邊界條件錯誤數(shù)目、配置錯誤、競爭條件、環(huán)境錯誤、設(shè)計錯誤、緩沖區(qū)錯誤、其他錯誤、未知錯誤

CNVD依據(jù)行業(yè)劃分安全漏洞，主要分為

• 行業(yè)漏洞：包括電信、移動互聯(lián)網(wǎng)、工控系統(tǒng)
• 應(yīng)用漏洞：包括Web應(yīng)用、安全產(chǎn)品、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等。在漏洞分級方面，將網(wǎng)絡(luò)安全漏洞劃分為高、中、低三種危害級別

4. OWASP TOP 10漏洞分類

OWASP (Open Web Application Security Program)組織發(fā)布了有關(guān)Web應(yīng)用程序的前十
種安全漏洞

主要的漏洞類型：有注入、未驗證的重定向和轉(zhuǎn)發(fā)、失效的身份認(rèn)證、XML外部實(shí)體(XXE)、敏感信息泄露、失效的訪問控制、安全配置錯誤、跨站腳本(XSS)、不安全的反序列化、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控、非安全加密存儲

2.3?網(wǎng)絡(luò)安全漏洞發(fā)布

是一種向公眾及用戶公開漏洞信息的方法。及時將安全漏洞信息公布給用戶，有利于幫助安全相關(guān)部門采取措施及時堵住漏洞，不讓攻擊者有機(jī)可乘，從而提高系統(tǒng)的安全性，減少漏洞帶來的危害和損失

安全漏洞發(fā)布：一般由軟硬件開發(fā)商、安全組織、黑客或用戶來進(jìn)行

漏洞發(fā)布方式三種形式：網(wǎng)站、電子郵伴以及安全論壇。網(wǎng)絡(luò)管理員通過訪問漏洞發(fā)布網(wǎng)站、安全論壇或訂閱漏洞發(fā)布電子郵件就能及時獲取漏洞信息

漏洞信息公布內(nèi)容包括：漏洞編號、發(fā)布日期、安全危害級別、漏洞名稱、漏洞影響平臺、漏洞解決建議等

2.4 網(wǎng)絡(luò)安全漏洞信息獲取

無論是對攻擊者還是防御者來說，網(wǎng)絡(luò)安全漏洞信息獲取都是十分必要的

• 攻擊者：通過及時掌握新發(fā)現(xiàn)的安全漏洞，可以更有效地實(shí)施攻擊
• 防御者：利用漏洞數(shù)據(jù)，做到及時補(bǔ)漏，堵塞攻擊者的入侵途徑

目前，國內(nèi)外漏洞信息來源主要有四個方面:：

1. 一是網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)構(gòu)
2. 二是網(wǎng)絡(luò)安全廠商
3. 三是IT產(chǎn)品或系統(tǒng)提供商
4. 四是網(wǎng)絡(luò)安全組織

國內(nèi)外網(wǎng)絡(luò)安全漏洞信息發(fā)布的主要來源，介紹如下

1. CERT組織建立于1988年，是世界上第一個計算機(jī)安全應(yīng)急響應(yīng)組織，其主要的工作任務(wù)是提供入侵事件響應(yīng)與處理。目前，該組織也發(fā)布漏洞信息
2. Security Focus VuInerability Database 是由Security Focus公司開發(fā)維護(hù)的漏洞信息庫，它將許多原本零零散散的、與計算機(jī)安全相關(guān)的討論結(jié)果加以結(jié)構(gòu)化整理，組成了一個數(shù)據(jù)庫
3. 國家信息安全漏洞庫CNNVD是中國信息安全測評中心(以下簡稱“測評中心”)為切實(shí)履行漏洞分析和風(fēng)險評估職能，負(fù)責(zé)建設(shè)運(yùn)維的國家級信息安全漏洞數(shù)據(jù)管理平臺，旨在為國家信息安全保障提供服務(wù)
4. 國家信息安全漏洞共享平臺CNVD是由國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心聯(lián)合國內(nèi)重要的信息系統(tǒng)單位、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫
5. 廠商漏洞信息是由廠商自己公布的其生產(chǎn)產(chǎn)品的安全漏洞信息

2.5?網(wǎng)絡(luò)安全漏洞管理過程

網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)信息系統(tǒng)的安全事故隱患所在。網(wǎng)絡(luò)安全漏洞管理是把握網(wǎng)絡(luò)信息系統(tǒng)安全態(tài)勢的關(guān)鍵，是實(shí)施網(wǎng)絡(luò)信息安全管理從被動向主動轉(zhuǎn)變的標(biāo)志性行動

網(wǎng)絡(luò)安全漏洞管理主要環(huán)節(jié)

1. 網(wǎng)絡(luò)信息系統(tǒng)資產(chǎn)確認(rèn)：對網(wǎng)絡(luò)信息系統(tǒng)中的資產(chǎn)進(jìn)行摸底調(diào)查，建立信息資產(chǎn)檔案
2. 網(wǎng)絡(luò)安全漏洞信息采集：利用安全漏洞工具或人工方法收集整理信息系統(tǒng)的資產(chǎn)安全漏洞相關(guān)信息，包括安全漏洞類型、當(dāng)前補(bǔ)丁級別、所影響到的資產(chǎn)
3. 網(wǎng)絡(luò)安全漏洞評估：對網(wǎng)絡(luò)安全漏洞進(jìn)行安全評估，如安全漏洞對組織業(yè)務(wù)的影響、安全漏洞被利用的可能性(是否有公開工具、遠(yuǎn)程是否可利用等)、安全漏洞的修補(bǔ)級別，最后形成網(wǎng)絡(luò)安全漏洞分析報告，給出網(wǎng)絡(luò)安全漏洞威脅排序和解決方案
4. 網(wǎng)絡(luò)安全漏洞消除和控制：常見的消除和控制網(wǎng)絡(luò)安全漏洞的方法是安裝補(bǔ)丁包、升級系統(tǒng)、更新IPS或IDS的特征庫、變更管理流程
5. 網(wǎng)絡(luò)安全漏洞變化跟蹤：網(wǎng)絡(luò)信息系統(tǒng)是一個開放的環(huán)境，系統(tǒng)中的資產(chǎn)不斷出現(xiàn)變化，安全威脅手段層出不窮。安全管理員必須設(shè)法跟蹤漏洞狀態(tài)，持續(xù)修補(bǔ)信息系統(tǒng)中的漏洞

三、網(wǎng)絡(luò)安全漏洞掃描技術(shù)與應(yīng)用

3.1?網(wǎng)絡(luò)安全漏洞掃描

是一種用于檢測系統(tǒng)中漏洞的技術(shù)，是具有漏洞掃描功能的軟件或設(shè)備，簡稱為漏洞掃描器。漏洞掃描器通過遠(yuǎn)程或本地檢查系統(tǒng)是否存在己知漏洞

漏洞掃描器功能模塊

1. 用戶界面：定制掃描策略、開始和終止掃描操作、分析掃描結(jié)果報告等，同時，顯示系統(tǒng)掃描器工作狀態(tài)
2. 掃描引擎：響應(yīng)處理用戶界面操作指令，讀取掃描策略及執(zhí)行掃描任務(wù)，保存掃描結(jié)果
3. 漏洞掃描結(jié)果分析：讀取掃描結(jié)果信息，形成掃描報告
4. 漏洞信息及配置參數(shù)庫：保存和管理網(wǎng)絡(luò)安全漏洞信息，配置掃描策略，提供安全漏洞相關(guān)數(shù)據(jù)查詢和管理功能

漏洞掃描器是常用的網(wǎng)絡(luò)安全工具，按照掃描器運(yùn)行的環(huán)境及用途，漏洞掃描器主要分三種

1. 主機(jī)漏洞掃描器

不需要通過建立網(wǎng)絡(luò)連接就可以進(jìn)行，其技術(shù)原理：一般是通過檢查本地系統(tǒng)中關(guān)鍵性文件的內(nèi)容及安全屬性，來發(fā)現(xiàn)漏洞，如配置不當(dāng)、用戶弱口令、有漏洞的軟件版本等。主機(jī)漏洞掃描器的運(yùn)行與目標(biāo)系統(tǒng)在同一主機(jī)上，并且只能進(jìn)行單機(jī)檢測

2. 網(wǎng)絡(luò)漏洞掃描器

通過與待掃描的目標(biāo)機(jī)建立網(wǎng)絡(luò)連接后，發(fā)送特定網(wǎng)絡(luò)請求進(jìn)行漏洞檢查

與主機(jī)漏洞掃描的區(qū)別：在于網(wǎng)絡(luò)漏洞掃描器需要與被掃描目標(biāo)建立網(wǎng)絡(luò)連接

• 優(yōu)點(diǎn)：便于遠(yuǎn)程檢查聯(lián)網(wǎng)的目標(biāo)系統(tǒng)
• 缺點(diǎn)：由于沒有目標(biāo)系統(tǒng)的本地訪問權(quán)限，只能獲得有限的目標(biāo)信息，檢查能力受限于各種網(wǎng)絡(luò)服務(wù)中的漏洞檢查，如Web、 FTP、TeInet、SSH、POP3、SMTP、SNMP等

3. 專用漏洞掃描器

是主要針對特定系統(tǒng)的安全漏洞檢查工具，如數(shù)據(jù)庫漏洞掃描器、網(wǎng)絡(luò)設(shè)備漏洞掃描器、Web漏洞掃描器、工控漏洞掃描器

3.2?網(wǎng)絡(luò)安全漏洞掃描應(yīng)用

網(wǎng)絡(luò)安全漏洞掃描常用于網(wǎng)絡(luò)信息系統(tǒng)安全檢查和風(fēng)險評估。通常利用漏洞掃描器檢查發(fā)現(xiàn)服務(wù)器、網(wǎng)站、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等的安全隱患，以防止攻擊者利用。同時，根據(jù)漏洞掃描器的結(jié)果，對掃描對象及相關(guān)的業(yè)務(wù)開展網(wǎng)絡(luò)安全風(fēng)險評估

四、網(wǎng)絡(luò)安全漏洞處置技術(shù)與應(yīng)用

4.1?網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)技術(shù)

研究表明，攻擊者要成功入侵，關(guān)鍵在于及早發(fā)現(xiàn)和利用目標(biāo)信息系統(tǒng)的安全漏洞。目前，網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)技術(shù)成為網(wǎng)絡(luò)安全保障的關(guān)鍵技術(shù)。然而，對于軟件系統(tǒng)而言，其功能性錯誤容易發(fā)現(xiàn)，但軟件的安全性漏洞不容易發(fā)現(xiàn)

網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)方法主要依賴于人工安全性分析、工具自動化檢測及人工智能輔助分析。

安全漏洞發(fā)現(xiàn)的通常方法：是將已發(fā)現(xiàn)的安全漏洞進(jìn)行總結(jié)，形成一個漏洞特征庫，然后利用該漏洞庫，通過人工安全分析或者程序智能化識別

漏洞發(fā)現(xiàn)技術(shù)：主要有文本搜索、詞法分析、范圍檢查、狀態(tài)機(jī)檢查、錯誤注入、模糊測試、動態(tài)污點(diǎn)分析、形式化驗證等（匹配技術(shù)）

4.2 網(wǎng)絡(luò)安全漏洞修補(bǔ)技術(shù)

補(bǔ)丁管理是一個系統(tǒng)的、周而復(fù)始的工作

主要由六個環(huán)節(jié)組成：分別是現(xiàn)狀分析、補(bǔ)丁跟蹤、補(bǔ)丁驗證、補(bǔ)丁安裝、應(yīng)急處理和補(bǔ)丁檢查

4.3?網(wǎng)絡(luò)安全漏洞利用防范技術(shù)

主要針對漏洞觸發(fā)利用的條件進(jìn)行干擾或攔截，以防止攻擊者成功利用漏洞

常見的網(wǎng)絡(luò)安全漏洞利用防范技術(shù)如下

1. 地址空間隨機(jī)化技術(shù)：緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進(jìn)行的攻擊行動，會以shelIcode地址來覆蓋程序原有的返回地址。地址空間隨機(jī)化(ASLR)就是通過對程序加載到內(nèi)存的地址進(jìn)行隨機(jī)化處理，使得攻擊者不能事先確定程序的返回地址值，從而降低攻擊成功的概率
2. 數(shù)據(jù)執(zhí)行阻止(DEP)：是指操作系統(tǒng)通過對特定的內(nèi)存區(qū)域標(biāo)注為非執(zhí)行，使得代碼不能夠在指定的內(nèi)存區(qū)域運(yùn)行。利用DEP，可以有效地保護(hù)應(yīng)用程序的堆棧區(qū)域，防止被攻擊者利用
3. ?SEHOP：原理是防止攻擊者利用Structured Exception Handler (SEH)重寫
4. 堆棧保護(hù)：技術(shù)原理是通過設(shè)置堆棧完整性標(biāo)記以檢測函數(shù)調(diào)用返回地址是否被篡改，從而阻止攻擊者利用緩沖區(qū)漏洞
5. 虛擬補(bǔ)?。?/strong>工作原理是對尚未進(jìn)行漏洞永久補(bǔ)丁修復(fù)的目標(biāo)系統(tǒng)程序，在不修改可執(zhí)行程序的前提下，檢測進(jìn)入目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量而過濾掉漏洞攻擊數(shù)據(jù)包，從而保護(hù)目標(biāo)系統(tǒng)程序免受攻擊。虛擬補(bǔ)丁通過入侵阻斷、Web防火墻等相關(guān)技術(shù)來實(shí)現(xiàn)給目標(biāo)系統(tǒng)程序“打補(bǔ)丁”，使得黑客無法利用漏洞進(jìn)行攻擊