随着人们对软件安全问题的重视,软件漏洞的检测方法越来越成熟。鉴于静态检测误报率高和动态检测漏报率高等缺陷,有专家学者提出了静动态结合的漏洞检测思想,利用静态检测的全面性和动态检测的精确性,对静态检测的漏洞进行动态验证,达到“去伪存真”和优势互补的效果。静动态检测的关键在于具体的融合策略,融合策略能够不改变原有静动态检测方法的前提下,提高软件漏洞检测的效率。面向路径的融合策略,由路径分析、路径控制和路径推荐三部分组成,以路径做为静态检测和动态检测之间融合的关键。路径分析为路径控制和推荐提供数据,路径的控制和推荐为动态检测提供引导。路径分析是通过对静态检测中得到的漏洞关键路径和函数调用关系等数据进行分析,然后搜索出程序中与漏洞相关的所有完全路径。路径控制是通过程序插桩,将与漏洞不相关的路径屏蔽,达到约简测试空间的目的。路径推荐以路径中函数的重要程度与路径长度之比作为评判标准,为测试用例的生成提供最优路径参考。实验表明,采用面向路径融合策略的静动态检测系统,能够充分利用静态检测的数据,通过约简被测程序的测试空间和指导测试用例生成的方式,为动态检测提供高效的引导,达到提升整个静动态检测系统效率的目的。