顏瑾

（許昌高中 河南 461000）

試述計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的應(yīng)用

顏瑾

（許昌高中 河南 461000）

現(xiàn)代科技不斷發(fā)展，計(jì)算機(jī)技術(shù)的應(yīng)用越來越廣泛，不僅在高端領(lǐng)域中發(fā)揮著重要作用，并且已經(jīng)進(jìn)入到尋常百姓家，就連老師布置作業(yè)都要采用網(wǎng)絡(luò)的形式，可見現(xiàn)代計(jì)算機(jī)技術(shù)的重要性。但是隨著計(jì)算機(jī)的普及，軟件安全問題也日益嚴(yán)重，假如軟件中存在漏洞就會(huì)給犯罪分子以可乘之機(jī)，因此需要不斷的完善安全漏洞檢測(cè)技術(shù)，提高計(jì)算機(jī)軟件的安全性。為了維護(hù)計(jì)算機(jī)使用者的信息安全，本文將探討用于軟件安全性檢測(cè)的漏洞檢測(cè)技術(shù)。

計(jì)算機(jī)；漏洞；檢測(cè)技術(shù)

當(dāng)前，國家高度重視科學(xué)技術(shù)的進(jìn)步，這有利的推動(dòng)了我國科技水平的提高，隨著信息時(shí)代的來臨，更是把計(jì)算機(jī)軟件的作用提升到了一個(gè)新的高度，計(jì)算機(jī)軟件的種類越來越多、功能越來越強(qiáng)大，其源代碼的數(shù)量也增加了很多。這也帶來了安全隱患，一些黑客通過自身的專業(yè)知識(shí)，能夠檢測(cè)出計(jì)算機(jī)代碼中存在的漏洞，從而入侵計(jì)算機(jī)軟件和系統(tǒng)，這有可能會(huì)造成比較嚴(yán)重的后果，因此，計(jì)算機(jī)軟件的安全問題已經(jīng)引起了相關(guān)部門和人士的高度重視。根據(jù)統(tǒng)計(jì)，近些年來，計(jì)算機(jī)軟件系統(tǒng)的漏洞被供給的次數(shù)明顯增多，很多不法分子依靠計(jì)算機(jī)軟件系統(tǒng)的漏洞來賺取非法所得，不斷研究新的黑客技術(shù)，所以，技術(shù)人員應(yīng)該高度的重視計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用。

1 計(jì)算機(jī)軟件安全漏洞的相關(guān)知識(shí)

計(jì)算機(jī)軟件漏洞，指的是計(jì)算機(jī)軟件系統(tǒng)中存在的缺陷。計(jì)算機(jī)軟件一旦存在缺陷，一些不法分子在利益的驅(qū)使下，就可能會(huì)對(duì)其進(jìn)行攻擊，從而使整個(gè)系統(tǒng)存在一定的危險(xiǎn)性，造成嚴(yán)重經(jīng)濟(jì)損失。計(jì)算機(jī)軟件的漏洞出現(xiàn)的主要原因在于：科研人員在軟件的研發(fā)過程中，各種因素考慮還不夠全面。根據(jù)不同的性質(zhì)，可以將計(jì)算機(jī)軟件的漏洞分為功能性漏洞和安全性漏洞。功能性漏洞對(duì)于計(jì)算機(jī)的正常運(yùn)轉(zhuǎn)會(huì)產(chǎn)生負(fù)作用，例如不能完全的運(yùn)行完計(jì)算機(jī)程序；安全性漏洞則更加嚴(yán)重，雖然對(duì)于整個(gè)計(jì)算機(jī)系統(tǒng)的順利運(yùn)行沒有大的影響，但是，黑客一旦攻克了漏洞，那么就有可能造成大的損失。根據(jù)總結(jié)，漏洞一般具有以下幾個(gè)特點(diǎn)：在進(jìn)行程序編制的時(shí)候，偶爾出現(xiàn)的邏輯錯(cuò)誤大部分情況是由程序開發(fā)人員的疏忽造成的；在計(jì)算機(jī)軟件進(jìn)行結(jié)果處理或者數(shù)據(jù)運(yùn)算的時(shí)候，也會(huì)發(fā)生邏輯性錯(cuò)誤，通過對(duì)比，發(fā)現(xiàn)模塊較大或者較小發(fā)生問題的可能性更高；漏洞和計(jì)算機(jī)的軟硬件體系關(guān)系緊密。在不同的硬件和軟件中，或者是同一個(gè)設(shè)備但是版本不同，其配置也不同，那么存在的漏洞數(shù)量也可能是不同的；計(jì)算機(jī)漏洞和時(shí)間存在著關(guān)系。隨著時(shí)間的增長，一些計(jì)算機(jī)軟件漏洞可能被及時(shí)的修正，但是新的漏洞也會(huì)凸顯出來。

2 計(jì)算機(jī)軟件安全漏洞的檢測(cè)技術(shù)

一般來說，計(jì)算機(jī)軟件安全漏洞的檢測(cè)主要有兩種方案，分別是動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)。

動(dòng)態(tài)檢測(cè)。內(nèi)存映射，一些黑客會(huì)利用“NULL”結(jié)尾的字符串進(jìn)行內(nèi)存覆蓋，然后對(duì)計(jì)算機(jī)軟件進(jìn)行攻擊，使用內(nèi)存映射技術(shù)，可以有效的阻止黑客對(duì)內(nèi)存區(qū)的跳轉(zhuǎn)，它把代碼頁隨機(jī)的映射在不同的內(nèi)存地址，提高系統(tǒng)的安全性；非棧執(zhí)行，近幾年，時(shí)不時(shí)的會(huì)發(fā)生基于棧攻擊軟件的問題，經(jīng)過分析，發(fā)現(xiàn)關(guān)鍵在于操作系統(tǒng)中的棧自身的能寫及執(zhí)行方面，要想阻止這一現(xiàn)象的發(fā)生，可以考慮把棧轉(zhuǎn)變?yōu)椴荒軌驁?zhí)行代碼的方式，這樣顯著提高系統(tǒng)的安全性；安全共享庫，在計(jì)算機(jī)中應(yīng)用不安全的共享庫也是存在危險(xiǎn)性的，安全的共享庫可以有效的提高計(jì)算機(jī)軟件的安全性，對(duì)那些存在危險(xiǎn)的函數(shù)進(jìn)行攔截，確保計(jì)算機(jī)的安全性能。

靜態(tài)檢測(cè)。針對(duì)計(jì)算機(jī)軟件安全漏洞的檢測(cè)，最早的時(shí)候就是應(yīng)用靜態(tài)檢測(cè)的方式，但是沒有取得突破性的成果，近些年來，科研人員開始對(duì)其進(jìn)行新的研發(fā)，使其分為兩部分，分別是靜態(tài)分析和程序校驗(yàn)。從計(jì)算機(jī)軟件安全漏洞的靜態(tài)檢測(cè)特點(diǎn)來分析，更加注重的是計(jì)算機(jī)軟件系統(tǒng)程序的內(nèi)在性。為了使計(jì)算機(jī)軟件漏洞的比較更加方便，一般將其分為安全性漏洞和內(nèi)存性漏洞兩種，安全性漏洞更加關(guān)注的是數(shù)據(jù)流的誤差和錯(cuò)誤，內(nèi)存性漏洞更加關(guān)注的是類別及數(shù)據(jù)自身的準(zhǔn)確性。

3 計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的應(yīng)用

有效防止緩沖區(qū)漏洞的產(chǎn)生。能夠應(yīng)用軟件程序中有危險(xiǎn)函數(shù)的檢查，這就能夠有效的防治緩沖區(qū)漏洞的產(chǎn)生，應(yīng)用沒有安全漏洞的軟件來代替有安全漏洞隱患的軟件，例如，使用externchar*strncat替換externchar*strcat。

有效防止競(jìng)爭條件漏洞的產(chǎn)生。在計(jì)算機(jī)的軟件系統(tǒng)中，有的漏洞的產(chǎn)生是在競(jìng)爭條件下發(fā)生的，這對(duì)計(jì)算機(jī)的安全性造成了影響，要想防止這種現(xiàn)象的發(fā)生，可以將已經(jīng)形成競(jìng)爭的編碼進(jìn)行原子化操作，編碼的單位是最小的，在運(yùn)行軟件程序的時(shí)候，不會(huì)對(duì)計(jì)算的運(yùn)算速度造成影響。

有效的防止格式化字符串漏洞的產(chǎn)生。應(yīng)用WINDOWS系統(tǒng)進(jìn)行數(shù)據(jù)的處理，可以很明顯的起到減少漏洞威脅的作用，還可以使用科學(xué)的預(yù)防手段，在數(shù)碼中重視格式常量的應(yīng)用，這樣黑客就無法建立起有效地格式串，這也就有效的防止格式化字符串漏洞的產(chǎn)生，在進(jìn)行系統(tǒng)參數(shù)設(shè)定的時(shí)候，不定參數(shù)個(gè)數(shù)函數(shù)也存在著格式化字符串漏洞的可能性，所以，一定要高度的重視這個(gè)問題，最大限度的確保計(jì)算機(jī)軟件系統(tǒng)的安全性。

有效的防止隨機(jī)漏洞的產(chǎn)生。應(yīng)用綜合性能更好的隨機(jī)發(fā)生設(shè)備對(duì)于避免漏洞也是存在積極意義的，這類設(shè)備可以隨機(jī)的發(fā)生設(shè)備，且密碼算法可靠，隨機(jī)數(shù)流的安全性比較高，一旦計(jì)算機(jī)軟件遭受到了黑客的供給，黑客很難獲得有效的數(shù)據(jù)流。

4 結(jié)論

近些年來，在國家的大力支持下，我國的計(jì)算機(jī)水平在不斷的取得新的突破，計(jì)算機(jī)軟件也在發(fā)展的高速軌道上，同時(shí)，由于各種各樣的原因，計(jì)算機(jī)軟件中的安全漏洞問題也在逐漸的凸顯出來，人們也越來越重視計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用，文章圍繞這個(gè)主題進(jìn)行了一些分析工作，希望能夠給相關(guān)的研究人員具有一定的指導(dǎo)意義。

[1]徐巖柏.計(jì)算機(jī)軟件中安全漏洞檢測(cè)方法研究[D].北京郵電大學(xué)，2006.

[2]鐘麗芳.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013，12：59～60.

[3]陳棟良.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].軟件，2013，09：128～129.

[4]朱力根.探析計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].信息通信，2015，04：124.

TP393.0

A

1004-7344（2016）03-0255-01

2016-1-11