自动化堆内存池分析辅助的漏洞挖掘方法及装置与流程

1.本发明涉及数据安全技术领域，尤其涉及一种自动化堆内存池分析辅助的漏洞挖掘方法、装置及电子设备。


背景技术：

2.模糊测试是当前用于发现安全漏洞的有效手段，其中利用覆盖路径反馈的方法，即通过编译器进行插桩，然后运行目标程序收集执行路径信息从而指导样本变异，是十分有效的手段。与此同时，通常会采用asan(address sanitizer)来发现内存破坏类型的漏洞，例如：uaf(use-after-free)，double free，oob(out-of-bound)等等。
3.目前asan主要在程序执行堆内存申请/释放(malloc/free)时进行拦截(intercept)，进行相应内存的毒化(poison)和去毒化(unpoison)操作，如此当程序访问了被毒化的内存，就可以及时抛出异常，报告调用栈回溯(call traceback)信息，从而帮助定位漏洞产生的位置。
4.但是有些程序为了提高效率，在标准的堆内存管理之上，采用了内存池技术，即每次申请(malloc)较大的内存区域，通常是内存页的整数倍，然后再分配给较小的对象使用，只有当内存池被销毁时才会调用释放(free)函数。可见，在内存池管理的过程中，编译器没有进行插桩拦截，也就基本无法发现内存破坏的发生。
5.llvm虽然提供有手动内存毒化的接口，但是在实际应用时需要针对每个目标程序做一次代码的补充，如此就会存在大量重复性工作。


技术实现要素：

6.有鉴于此，本发明实施例提供一种自动化堆内存池分析辅助的漏洞挖掘方法、装置及电子设备，至少部分解决现有技术中存在的问题。
7.第一方面，本发明实施例提供了一种自动化堆内存池分析辅助的漏洞挖掘方法，包括：
8.对目标应用程序的内存调用情况进行分析，判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页；
9.若是，则进一步对所述目标应用程序使用的内存池管理库进行分析，用以判断所述内存池管理库属于通用型内存管理库或定制型内存管理库；
10.当所述内存池管理库属于通用型内存管理库时，执行预制补丁替换程序，所述预制补丁替换程序通过对内存管理库中的包含的目标函数进行特征提取，以便于基于提取的特征对目标函数进行替换操作，并在llvm的compile-rt中添加库所述目标函数对应的拦截代码；
11.当所述内存管理库属于定制型内存管理库时，采用启发式自动补丁程序，所述自动补丁程序通过选择性的接收所述目标函数中的一组函数名称，通过启发式规则在目标程序代码中进行匹配替换，并生成llvm的compile-rt所需的拦截代码。
12.根据本公开实施例的一种具体实现方式，执行预制补丁替换程序之前，所述方法还包括：
13.提前制作预制补丁，以便于基于所述预制补丁，来执行预制补丁替换程序。
14.根据本公开实施例的一种具体实现方式，所述提前制作预制补丁，包括：
15.分析内存池管理库api，确定关键的内存分配和释放接口；
16.结合目标函数的源码分析内部实现原理，确定目标应用程序向操作系统内核申请内存的代码位置；
17.修改所述目标函数的源码，使得所述目标应用程序在申请大块内存的同时利用修改后的函数来规避原始asan中对内存的毒化操作；
18.查找向操作系统内核释放内存的代码位置；
19.修改所述目标函数的源码，以便于在所述目标应用程序释放内存的同时，维护在asan中添加的补丁代码的数据结构；
20.修改llvm的compile-rt，添加对内存池管理api的拦截代码，维护毒化内存相关的数据结构；
21.使用diff工具制作patch文件，同时记录版本信息供后续应用补丁时使用。
22.根据本公开实施例的一种具体实现方式，所述执行预制补丁替换程序，还包括：
23.分析漏洞挖掘所对应的目标应用程序的源码中是否采用了已有预制补丁的内存池管理库；
24.如果是，确定所述已有预制补丁的内存池管理库的名称和版本，从所述已有预制补丁的内存池管理库中获取相应的补丁文件；
25.用patch程序对内存池管理库及llvm的compile-rt库进行补丁操作；
26.确定补丁是否成功应用，避免由于存在第三方定制导致的补丁失效；
27.在确定补丁成功应用之后，编译应用补丁的库源码，生成静态链接库文件；
28.对目标应用程序的代码进行编译并静态链接库文件，后续进入模糊测试流程。
29.根据本公开实施例的一种具体实现方式，所述采用启发式自动补丁程序之前，所述方法还包括：
30.将启发式自动补丁程序由引擎和规则构成，引擎封装编程语言的语法树分析、动态执行跟踪以及启发式规则解析功能，启发式规则由内置和外置规则组成，内置规则采用编程语言实现，外置规则采用ml类语言描述；
31.提供辅助信息输入接口，允许在启动式分析之前给定辅助分析的数据或限制条件，以加快分析的过程；
32.输出补丁文件，以便后续进入打补丁和模糊测试流程。
33.根据本公开实施例的一种具体实现方式，所述采用启发式自动补丁程序，还包括：
34.人工收集辅助信息并对启发式补丁程序进行配置；
35.指定代码所在目录，以及可执行程序所在位置；
36.执行启发式补丁程序，生成补丁文件；
37.若生成补丁成功，则进行后续常规的打补丁和模糊测试流程；
38.若生成补丁失败，选择性添加辅助信息或调整启发式规则再次尝试；
39.如果多次尝试不成功，则建议直接开始常规的模糊测试流程，或人工介入补丁开
发。
40.根据本公开实施例的一种具体实现方式，所述方法还包括：
41.通过扫描目标应用程序的源码自动识别内存池管理库，通过yara规则匹配查找内存池管理库名称及版本；
42.如果返回库的名称和版本，则通过名称和版本确认补丁库中是否已有预制补丁，名称采用正则模糊匹配，版本采用范围匹配；
43.如果存在预制补丁，则正常打补丁后进入常规模糊测试流程；
44.如果不存在预制补丁，则根据是否启用启发式补丁的配置选项，进行启发式生成补丁的后续流程。
45.第二方面，本发明实施例提供了一种自动化堆内存池分析辅助的漏洞挖掘装置，包括：
46.判断模块，用于对目标应用程序的内存调用情况进行分析，判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页；
47.分析模块，用于进一步对所述目标应用程序使用的内存池管理库进行分析，用以判断所述内存池管理库属于通用型内存管理库或定制型内存管理库；
48.第一执行模块，用于当所述内存池管理库属于通用型内存管理库时，执行预制补丁替换程序，所述预制补丁替换程序通过对内存管理库中的包含的目标函数进行特征提取，以便于基于提取的特征对目标函数进行替换操作，并在llvm的compile-rt中添加库所述目标函数对应的拦截代码；
49.第二执行模块，用于当所述内存管理库属于定制型内存管理库时，采用启发式自动补丁程序，所述自动补丁程序通过选择性的接收所述目标函数中的一组函数名称，通过启发式规则在目标程序代码中进行匹配替换，并生成llvm的compile-rt所需的拦截代码。
50.第三方面，本发明实施例还提供了一种电子设备，该电子设备包括：
51.至少一个处理器；以及，
52.与该至少一个处理器通信连接的存储器；其中，
53.该存储器存储有可被该至少一个处理器执行的指令，该指令被该至少一个处理器执行，以使该至少一个处理器能够执行前述任第一方面或第一方面的任一实现方式中的自动化堆内存池分析辅助的漏洞挖掘方法。
54.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述第一方面或第一方面的任一实现方式中的自动化堆内存池分析辅助的漏洞挖掘方法。
55.第五方面，本发明实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述第一方面或第一方面的任一实现方式中的自动化堆内存池分析辅助的漏洞挖掘方法。
56.本发明实施例中的自动化堆内存池分析辅助的漏洞挖掘方案，包括：对目标应用程序的内存调用情况进行分析，判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页；若是，则进一步对所述目标应用程序使用的内存池管理库进行分析，用以判断所述内存池管理库属于通用型内存管理库或定制型内存管理库；当所述内存
池管理库属于通用型内存管理库时，执行预制补丁替换程序，所述预制补丁替换程序通过对内存管理库中的包含的目标函数进行特征提取，以便于基于提取的特征对目标函数进行替换操作，并在llvm的compile-rt中添加库所述目标函数对应的拦截代码；当所述内存管理库属于定制型内存管理库时，采用启发式自动补丁程序，所述自动补丁程序通过选择性的接收所述目标函数中的一组函数名称，通过启发式规则在目标程序代码中进行匹配替换，并生成llvm的compile-rt所需的拦截代码。采用本方案，能够有效的对内存破坏型漏洞进行挖掘。
附图说明
57.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
58.图1为本发明实施例提供的一种自动化堆内存池分析辅助的漏洞挖掘方法流程示意图；
59.图2为本发明实施例提供的另一种自动化堆内存池分析辅助的漏洞挖掘方法流程示意图；
60.图3为本发明实施例提供的另一种自动化堆内存池分析辅助的漏洞挖掘方法流程示意图；
61.图4为本发明实施例提供的另一种自动化堆内存池分析辅助的漏洞挖掘方法流程示意图；
62.图5为本发明实施例提供的自动化堆内存池分析辅助的漏洞挖掘装置结构示意图；
63.图6为本发明实施例提供的电子设备示意图。
具体实施方式
64.下面结合附图对本发明实施例进行详细描述。
65.以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
66.需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或
实践此方法。
67.还需要说明的是，以下实施例中所提供的图示仅以示意方式说明本公开的基本构想，图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。
68.另外，在以下描述中，提供具体细节是为了便于透彻理解实例。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所述方面。
69.本公开实施例提供一种自动化堆内存池分析辅助的漏洞挖掘方法。本实施例提供的自动化堆内存池分析辅助的漏洞挖掘方法可以由一计算装置来执行，该计算装置可以实现为软件，或者实现为软件和硬件的组合，该计算装置可以集成设置在服务器、终端设备等中。
70.参见图1，图2，图3及图4，本公开实施例提供了一种自动化堆内存池分析辅助的漏洞挖掘方法，包括：
71.s101，对目标应用程序的内存调用情况进行分析，判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页。
72.目标应用程序在运行的过程中，有些程序为了提高效率，在标准的堆内存管理之上，采用了内存池技术，即每次申请(malloc)较大的内存区域，通常是内存页的整数倍，然后再分配给较小的对象使用，只有当内存池被销毁时才会调用释放(free)函数。针对这种情况，在内存池管理的过程中，编译器没有进行插桩拦截，也就基本无法发现内存破坏的发生。
73.为此，针对需要进行漏洞检测的目标应用程序使用的内存调用情况进行分析，进而判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页，以便于对于包含多个内存页的情况进行漏洞检测处理。
74.s102，若是，则进一步对所述目标应用程序使用的内存池管理库进行分析，用以判断所述内存池管理库属于通用型内存管理库或定制型内存管理库。
75.当目标应用程序调用的内存存在多个内存页的情况时，可以对进一步对所述目标应用程序使用的内存池管理库进行分析，具体的，可以通过通过扫描目标应用程序的源码，通过yara规则匹配查找内存池管理库名称及版本，通过内存池管理库名称及版本来判断内存池管理库属于通用型内存管理库或定制型内存管理库。通用型内存管理库属于常见的内存管理库，其具有通用性，可以被多个应用程序调用，而定制型内存管理库则是为特定的应用程序定制开发的，其主要针对特定的应用程序使用。
76.s103，当所述内存池管理库属于通用型内存管理库时，执行预制补丁替换程序，所述预制补丁替换程序通过对内存管理库中的包含的目标函数进行特征提取，以便于基于提取的特征对目标函数进行替换操作，并在llvm的compile-rt中添加库所述目标函数对应的拦截代码。
77.对于常见的内存池管理库，预先进行关键函数的整理，特征提取，开发对应版本的补丁。补丁包括：(i)在库关键函数中malloc/free调用的替换，例如替换为__libc__malloc，以避免对整个内存区域进行毒化操作；(ii)另外是在llvm的compile-rt中添加库关键函数对应的拦截代码，其中调用asan_malloc。当目标程序采用了常见内存池管理库
时，则能够自动识别出库的名称和版本，并进行代码补丁操作，然后进入后续编译和模糊测试的流程。
78.针对预制补丁开发主要包括如下步骤：
79.分析内存池管理库api，确定关键的内存分配和释放接口；
80.结合目标函数的源码分析内部实现原理，确定目标应用程序向操作系统内核申请内存的代码位置；
81.修改所述目标函数的源码，使得所述目标应用程序在申请大块内存的同时利用修改后的函数来规避原始asan中对内存的毒化操作；
82.查找向操作系统内核释放内存的代码位置；
83.修改所述目标函数的源码，以便于在所述目标应用程序释放内存的同时，维护在asan中添加的补丁代码的数据结构；
84.修改llvm的compile-rt，添加对内存池管理api的拦截代码，维护毒化内存相关的数据结构；
85.使用diff工具制作patch文件，同时记录版本信息供后续应用补丁时使用。
86.利用预制补丁对内存池管理库进行漏洞挖掘，主要包括如下步骤：
87.(1)分析漏洞挖掘目标应用源码确认是否采用了已有预制补丁的内存池管理库；
88.(2)如果是，确定库的名称和版本，从补丁库中获取相应的补丁文件；
89.(3)使用patch程序对内存池管理库及llvm的compile-rt库进行补丁操作
90.(4)确定补丁是否成功应用，避免由于存在第三方定制导致的补丁失效
91.(5)编译应用补丁的库源码，生成静态链接库文件
92.(6)对目标应用代码进行编译并静态链接库文件，后续进入常规的模糊测试流程。
93.s104，当所述内存管理库属于定制型内存管理库时，采用启发式自动补丁程序，所述自动补丁程序通过选择性的接收所述目标函数中的一组函数名称，通过启发式规则在目标程序代码中进行匹配替换，并生成llvm的compile-rt所需的拦截代码。
94.对于项目自研的内存池管理库，此时缺少预制的补丁，但由于一般不具备通用性，人工开发补丁的价值不大，这种情况下，可采用启发式自动补丁程序，该程序可选的接收一组函数名称，通过启发式规则在目标程序代码中进行匹配替换，并生成compile-rt所需的拦截代码。
95.启发式补丁程序开发主要包括如下步骤：
96.(1)启发式补丁程序主要由引擎和规则构成；
97.(2)引擎主要是封装通用功能，例如常规编程语言的语法树分析、动态执行跟踪等，以及启发式规则解析功能；
98.(3)启发式规则由内置和外置规则组成，内置规则采用编程语言实现，适合逻辑复杂或性能要求高的规则，外置规则采用ml类语言描述，适合逻辑单一或性能要求不高的规则；
99.(4)提供辅助信息输入接口，允许在启动式分析之前给定辅助分析的数据或限制条件，以加快分析的过程；
100.(5)输出为补丁文件，后续进入常规打补丁和模糊测试流程。
101.利用启发式补丁对内存管理库进行漏洞挖掘，主要包括如下步骤：
102.(1)人工收集辅助信息并对启发式补丁程序进行配置；
103.(2)指定代码所在目录，以及可执行程序所在位置；
104.(3)执行启发式补丁程序，生成补丁文件；
105.(4)生成补丁成功，则进行后续常规的打补丁和模糊测试流程；
106.(5)生成补丁失败，可选择性添加辅助信息或调整启发式规则再次尝试，回到步骤(3)；
107.(6)如果多次尝试不成功，则建议直接开始常规的模糊测试流程，或人工介入补丁开发。
108.基于灰盒的模糊测试过程中，自动识别内存池管理库和打补丁的步骤，包括：
109.(1)通过扫描目标应用程序的源码，通过yara规则匹配查找内存池管理库名称及版本；
110.(2)如果返回内存池管理库的名称和版本，则通过名称和版本确认补丁库中是否已有预制补丁，名称采用正则模糊匹配，版本采用范围匹配
111.(3)如果存在预制补丁，则正常打补丁后进入常规模糊测试流程；
112.(4)如果不存在预制补丁或步骤(1)没有返回匹配结果，则根据是否启用启发式补丁的配置选项，进行启发式生成补丁的后续流程。
113.根据本公开实施例的一种具体实现方式，执行预制补丁替换程序之前，所述方法还包括：
114.提前制作预制补丁，以便于基于所述预制补丁，来执行预制补丁替换程序。
115.参见图2，根据本公开实施例的一种具体实现方式，所述提前制作预制补丁，包括：
116.s201，分析内存池管理库api，确定关键的内存分配和释放接口；
117.s202，结合目标函数的源码分析内部实现原理，确定目标应用程序向操作系统内核申请内存的代码位置；
118.s203，修改所述目标函数的源码，使得所述目标应用程序在申请大块内存的同时利用修改后的函数来规避原始asan中对内存的毒化操作；
119.s204，查找向操作系统内核释放内存的代码位置；
120.s205，修改所述目标函数的源码，以便于在所述目标应用程序释放内存的同时，维护在asan中添加的补丁代码的数据结构；
121.s206，修改llvm的compile-rt，添加对内存池管理api的拦截代码，维护毒化内存相关的数据结构；
122.s207，使用diff工具制作patch文件，同时记录版本信息供后续应用补丁时使用。
123.参见图3，根据本公开实施例的一种具体实现方式，所述执行预制补丁替换程序，还包括：
124.s301，分析漏洞挖掘所对应的目标应用程序的源码中是否采用了已有预制补丁的内存池管理库；
125.s302，如果是，确定所述已有预制补丁的内存池管理库的名称和版本，从所述已有预制补丁的内存池管理库中获取相应的补丁文件；
126.s303，用patch程序对内存池管理库及llvm的compile-rt库进行补丁操作；
127.s304，确定补丁是否成功应用，避免由于存在第三方定制导致的补丁失效；
128.s305，在确定补丁成功应用之后，编译应用补丁的库源码，生成静态链接库文件；
129.s306，对目标应用程序的代码进行编译并静态链接库文件，后续进入模糊测试流程。
130.参见图4，根据本公开实施例的一种具体实现方式，所述采用启发式自动补丁程序之前，所述方法还包括：
131.s401，将启发式自动补丁程序由引擎和规则构成，引擎封装编程语言的语法树分析、动态执行跟踪以及启发式规则解析功能，启发式规则由内置和外置规则组成，内置规则采用编程语言实现，外置规则采用ml类语言描述；
132.s402，提供辅助信息输入接口，允许在启动式分析之前给定辅助分析的数据或限制条件，以加快分析的过程；
133.s403，输出补丁文件，以便后续进入打补丁和模糊测试流程。
134.根据本公开实施例的一种具体实现方式，所述采用启发式自动补丁程序，还包括：
135.人工收集辅助信息并对启发式补丁程序进行配置；
136.指定代码所在目录，以及可执行程序所在位置；
137.执行启发式补丁程序，生成补丁文件；
138.若生成补丁成功，则进行后续常规的打补丁和模糊测试流程；
139.若生成补丁失败，选择性添加辅助信息或调整启发式规则再次尝试；
140.如果多次尝试不成功，则建议直接开始常规的模糊测试流程，或人工介入补丁开发。
141.根据本公开实施例的一种具体实现方式，所述方法还包括：
142.通过扫描目标应用程序的源码自动识别内存池管理库，通过yara规则匹配查找内存池管理库名称及版本；
143.如果返回库的名称和版本，则通过名称和版本确认补丁库中是否已有预制补丁，名称采用正则模糊匹配，版本采用范围匹配；
144.如果存在预制补丁，则正常打补丁后进入常规模糊测试流程；
145.如果不存在预制补丁，则根据是否启用启发式补丁的配置选项，进行启发式生成补丁的后续流程。
146.参见图5，本发明实施例还公开了一种自动化堆内存池分析辅助的漏洞挖掘装置50，包括：
147.判断模块501，用于对目标应用程序的内存调用情况进行分析，判断所述目标应用程序在内存池管理过程中申请的内存区域是否包含多个内存页；
148.分析模块502，用于进一步对所述目标应用程序使用的内存池管理库进行分析，用以判断所述内存池管理库属于通用型内存管理库或定制型内存管理库；
149.第一执行模块503，用于当所述内存池管理库属于通用型内存管理库时，执行预制补丁替换程序，所述预制补丁替换程序通过对内存管理库中的包含的目标函数进行特征提取，以便于基于提取的特征对目标函数进行替换操作，并在llvm的compile-rt中添加库所述目标函数对应的拦截代码；
150.第二执行模块504，用于当所述内存管理库属于定制型内存管理库时，采用启发式自动补丁程序，所述自动补丁程序通过选择性的接收所述目标函数中的一组函数名称，通
过启发式规则在目标程序代码中进行匹配替换，并生成llvm的compile-rt所需的拦截代码。
151.参见图6，本发明实施例还提供了一种电子设备60，该电子设备包括：
152.至少一个处理器；以及，
153.与该至少一个处理器通信连接的存储器；其中，
154.该存储器存储有可被该至少一个处理器执行的指令，该指令被该至少一个处理器执行，以使该至少一个处理器能够执行前述方法实施例中自动化堆内存池分析辅助的漏洞挖掘方法。
155.本发明实施例还提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述方法实施例中。
156.本发明实施例还提供了一种计算机程序产品，该计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，该计算机程序包括程序指令，当该程序指令被计算机执行时，使该计算机执行前述方法实施例中的自动化堆内存池分析辅助的漏洞挖掘方法。
157.图6所示装置可以执行图1-4所示实施例的方法，本实施例未详细描述的部分，可参考对图1-4所示实施例的相关说明。在此不再赘述。
158.下面参考图6，其示出了适于用来实现本公开实施例的电子设备60的结构示意图。本公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
159.如图6所示，电子设备60可以包括处理装置(例如中央处理器、图形处理器等)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储装置608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram 603中，还存储有电子设备60操作所需的各种程序和数据。处理装置601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
160.通常，以下装置可以连接至i/o接口605：包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置606；包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置607；包括例如磁带、硬盘等的存储装置608；以及通信装置609。通信装置609可以允许电子设备60与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备60，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
161.特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置609从网络上被下载和安装，或者从存储装置608被安装，或者从rom 602被安装。在该计算机程序被处理装置601执行时，执行本公开实施例的方法中限定的上述功能。
162.需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计
算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
163.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
164.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取至少两个网际协议地址；向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求，其中，所述节点评价设备从所述至少两个网际协议地址中，选取网际协议地址并返回；接收所述节点评价设备返回的网际协议地址；其中，所获取的网际协议地址指示内容分发网络中的边缘节点。
165.或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：接收包括至少两个网际协议地址的节点评价请求；从所述至少两个网际协议地址中，选取网际协议地址；返回选取出的网际协议地址；其中，接收到的网际协议地址指示内容分发网络中的边缘节点。
166.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
167.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注
意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
168.描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
169.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
170.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。