陳伽 蔡映雪 胡輝 胡松

摘 要：隨著信息技術的快速發(fā)展，計算機軟件應用愈加廣泛。而信息系統(tǒng)的安全性是較為關鍵的一點，計算機軟件中的漏洞給其安全帶來很大的影響。所以對其進行安全檢測是非常必要的。文章通過對軟件安全漏洞的了解，分析軟件安全中存在的漏洞和不足，并且分析安全檢測技術，以為相關領域研究提供參考和借鑒，解決計算機軟件安全漏洞問題，提高檢測技術水平，保障信息系統(tǒng)的安全運行。

關鍵詞：計算機軟件；安全漏洞；安全監(jiān)測技術

科學技術的發(fā)展，使得計算機信息運用到很多領域中，為人們的工作和生活帶來極大的方便。然而隨著軟件應用，其源代碼種類逐漸增多，致使計算機軟件漏洞頻頻出現(xiàn)。漏洞的存在嚴重威脅計算機軟件，對整個信息系統(tǒng)的安全帶來影響。隨著計算機軟件更新?lián)Q代的加速，漏洞種類和數(shù)量也隨著發(fā)展更新，對于安全檢測技術的需要愈加強烈。因此對計算機軟件安全檢測技術和應用實踐的相關研究是非常必要的。

1 軟件安全漏洞概述

1.1 軟件漏洞漏洞概念

漏洞為系統(tǒng)中的不足和缺點，此缺點會對系統(tǒng)工作和運行產(chǎn)生一定的威脅，或有一種攻擊性的可能。計算機軟件開發(fā)時，由于開發(fā)人員的疏忽會導致軟件漏洞的出現(xiàn)[1]。通常來講，軟件漏洞大體有2種類型：功能性和安全性漏洞。前者是計算機軟件工作中出現(xiàn)的結果、流程錯誤等，后者在一般狀態(tài)下不會對計算機帶來影響，然而如果漏洞被不法分子控制，則會有錯誤運行情況。

1.2 軟件安全漏洞種類

軟件安全漏洞主要有：（1）Bugtraq。其主要為郵件列別服務，為特意針對安全問題設置的，多數(shù)軟件漏洞第一次即在此出現(xiàn)，其會導致危險入侵新聞進入系統(tǒng)。（2）Geronimo2.0[2]。其主要為遠程入侵者可以跳過身份辨認這一程序將惡意代碼侵入計算機，并且獲取訪問的權利。（3）LIBTIFF開元軟件庫。其主要為讀寫表現(xiàn)圖片影像相應形式的一種文件。（4）ZLIB。其主要應用到信息壓縮的軟件庫中，庫中存在1個代碼（不完整卻可以解釋長度比1大的代碼），由此導致漏洞。（5）Jboss。其主要運用到服務設備3.2.4到4.05版本（Deployment File Repository）中目錄的一種安全漏洞。（6）Net-SNMP。其主要為在網(wǎng)絡中或者在SNMP中的一種協(xié)議。計算機軟件系統(tǒng)中如相關程序運行（master agents）NETSNMP過程中，軟件能夠使得不法分子利用一種特點的TCP相連斷開以實現(xiàn)對服務設備的共計，由此導致安全漏洞的出現(xiàn)[3]。

2 計算機軟件安全檢測技術及其應用

2.1 檢測過程

一般狀況下，針對計算機軟件的安全檢測構成，比較大型的計算機軟件系統(tǒng)涵蓋不同的子系統(tǒng)，且這些系統(tǒng)中涵蓋各種模塊。通常其過程為模塊測試→系統(tǒng)組裝→檢測→軟件性能測試→系統(tǒng)測試。第一步驟主要為子系統(tǒng)內部最小的模塊測試，其主要目標為使得測試范圍整體、細致[4]。第一時間找到漏洞危險。隨后對模塊進行組裝，依照軟件程序和相關標準組裝后檢測，確保所有軟件性能達到標準，并且與客戶要求一致。最后對整個系統(tǒng)進行測試，保證系統(tǒng)安全。

2.2 安全檢測技術

2.2.1 靜態(tài)檢測技術

靜態(tài)檢測技術一般為在軟件程序支持情況下，應用到相關程序中的有關代碼（如源代碼、二進制代碼等），以發(fā)現(xiàn)存在問題和異常。主要判斷標準是漏報率與誤報率，同時如果前者減少，則會致使后者增加。靜態(tài)檢測技術僅僅可以整體體現(xiàn)程序具體狀況，但是不能明確其關鍵性能。動態(tài)檢測技術能夠在軟件不工作時檢測，使用便利。

靜態(tài)檢測應用主要有以下幾種技術：（1）詞法研究。其重點是對語法的研究，對現(xiàn)有的程序源代碼和C語言、系統(tǒng)調用危險等語言加以分析[5]。此技術通常為參考“辨別軟件接口語言—定義語法—生成檢測”的流程運行的。（2）評價程序。此檢測技術重點為利用研究程序評價信息，發(fā)現(xiàn)軟件內部有的漏洞，并且應用“tainted”的方式，對所有外部信息加以標注，并且將其給有關技工檢查。（3）判斷種類。判斷種類檢測技術主要為智能研究程序內存在的變量和函數(shù)種類，針對其訪問變量與函數(shù)種類檢查運行有異常與否。一般種類判斷能夠應用到除控制流之外的情況中。（4）檢查模型。此檢測技術可以在顯式搜集狀況下，或者在隱式不動為止運算，驗證有窮情況的系統(tǒng)（模態(tài)命題性質等）。通常計算機軟件的檢測過程會將檢查模型技術應用到有限狀態(tài)建模中，由此比較軟件的各種環(huán)節(jié)和模型，優(yōu)化對其的驗證。利用此方法，能夠檢測計算機軟件的性能和功用[6]。

2.2.2 動態(tài)檢測技術

動態(tài)檢測技術能夠在不改變宗旨程序（源代碼或者二進制代碼）的基礎上，檢查執(zhí)行程序存在危險與否，有非常高的安全性。通常意義上講，動態(tài)檢測技術能夠利用對內存修改、環(huán)境變量和堆、棧等研究檢查，由此強化程序隱私性。

動態(tài)檢測技術主要涵蓋以下幾點：

非執(zhí)行棧。此技術能夠利用棧溢出進行程序跳轉，將代碼放到堆上，執(zhí)行棧并無顯示代碼，其有的為堆中執(zhí)行代碼。應用非執(zhí)行棧檢查方式，改變計算機系統(tǒng)內核，把其頁標改成非執(zhí)行狀態(tài)。這一技術的劣勢為智能檢查棧共計，缺乏整體檢查。若不法分析把惡意代碼信息放到棧內，則檢查無法發(fā)揮作用。同時，此技術兼容性不夠強。

非執(zhí)行堆和信息。此技術如果為褐非執(zhí)行棧技術共同使用，則可以保證對計算機安全的監(jiān)護，同時操作可能性高，可以應用到檢查并且抵制所有惡意代碼進入計算機。然而操作過程中應對計算機內核加以修改，同時因為此技術在堆和信息代碼的動態(tài)形成方式加以修改，則導致程序兼容性消失。

內存映射[7]。此技術可以利用隨機把代碼加以內存位置映射，將此參考位置估計對策。例如緩沖區(qū)溢出漏洞，則不法分子如黑客等通常會找到內存宗旨進程所在的地方，同時應用自己建立的信息覆蓋此位置。如果應用這個技術，能夠把代碼頁加以隨機地址映射，強化軟件安全性能，避免入侵者太快或者太容易攻擊系統(tǒng)。同時其不能夠對新生代碼加以攻擊。同時，由于低端內存多少受到限制，所以代碼映射時不能將全部代碼映射。

安全共享庫。此技術關鍵在于進行動態(tài)鏈接，將操作時的不安全函數(shù)組織。并且可以估算內存最大值，避免信息溢出。安全共享庫技術操作起來難度并不大，所以不用改變程序，有非常好的兼容性。但是應用此技術不能確保變量安全，不能化解非標準庫函數(shù)。

2.3 軟件安全檢測技術具體應用

計算機軟件安全作為比較繁瑣的系統(tǒng)，關鍵是利用系統(tǒng)的全面、隱私、安全性保證計算機軟件的安全。然而其工作時，因為計算機或軟件的不足或運行設計錯誤等原因導致的計算機軟件自運行系統(tǒng)到相關程序，自交流設備到互聯(lián)網(wǎng)服務和系統(tǒng)設置及管理客戶端等各種層面全部有安全隱患。當前大部分利用C語言或者C++編寫協(xié)議軟件，而其安全漏洞有程序源代碼，能夠導致系統(tǒng)崩潰。

軟件安全檢測技術主要具體應用有：（1）競爭條件。其主要總是發(fā)生的軟件不足，化解難度較大，導致此缺陷的原因為不同客戶登錄互聯(lián)網(wǎng)時，應用檢測技術能夠解決函數(shù)被使用，降低競爭，防止導致系統(tǒng)被鎖上等問題。（2）緩沖區(qū)溢出。其主要為在此區(qū)域寫比標準長度長的輸入，刀子緩沖區(qū)溢出，從而影響系統(tǒng)安全，任何一個數(shù)據(jù)就可以導致目標程序癱瘓。此漏洞缺陷出現(xiàn)頻率較高，會使得系統(tǒng)重新啟動、系統(tǒng)宕機等問題出現(xiàn)。應用其操作特殊授權的命令，則導致軟件漏洞發(fā)生。應用檢測技術能夠對危險函數(shù)進行正確評估，緩沖溢出漏洞[8]。并且為了強化計算機安全，其會應用較為新的版本（如strncat）等進行檢測。（3）格式化字符串。其主要為程序函數(shù)中有對比起來比較特殊的字符參數(shù)。其為一組程序代碼，能夠體現(xiàn)關鍵信息，并且把特定信息輸入到內存中，對系統(tǒng)帶來負面影響。因此計算機軟件安全檢測技術的應用，通常能夠直接應用代碼格式常量，且不會有不同構造格式串的出現(xiàn)。其依靠互聯(lián)網(wǎng)窗口輸入/出來往信息，提高安全性能。（4）隨機數(shù)。在Netscape中有時出現(xiàn)隨機數(shù)的問題，其主要應用比較地質的技術為假隨機數(shù)加以播種，種子通常是由身份驗證與設備時間因素影響，導致侵入者與被侵入者共同應用一個設備，形成系統(tǒng)密碼破解，導致系統(tǒng)安全受到威脅。同時隨機數(shù)可以生成序列號和密鑰。通常在避免隨機數(shù)漏洞過程中，挑選比較高的與程序相符合的數(shù)據(jù)發(fā)生設備是非常重要的。在應用此設備結合檢測技術，能夠將密碼加以計算，保證隨機數(shù)運行可靠，當系統(tǒng)受到攻擊，掌握全部算法基礎上同樣能夠控制數(shù)據(jù)流出現(xiàn)。

3 結語

隨著科學技術的發(fā)展，計算機軟件技術有所提高，然而計算機軟件漏洞種類和狀況也隨之復雜和多樣，使得在操作過程中經(jīng)常受到不同程度的攻擊，威脅著信息系統(tǒng)的安全。因此應加強對計算機軟件安全檢測技術的完善和應用，結合不同的檢測技術，對各種計算機漏洞進行監(jiān)督檢測，防止攻擊者的侵入，提高檢測技術水平，保障計算機信息系統(tǒng)的安全運行。

[參考文獻]

[1]金陽，邱禹霏，徐亮.關于計算機軟件安全檢測方法的討論[J].商，2013（11）：285-290.

[2]陳棟良.計算機軟件中安全漏洞檢測技術及其應用[J].軟件，2013（13）：128-129.

[3]管銘.基于程序分析的軟件安全漏洞檢測技術研究[D].西安：西北工業(yè)大學，2010.

[4]張永錚.計算機安全弱點及其對應關鍵技術研究[D].哈爾濱：哈爾濱工業(yè)大學，2011.

[5]劉強.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)設計與實現(xiàn)[D].成都：電子科技大學，2013.

[6]張晛譞.基于Windows平臺的軟件安全漏洞發(fā)掘技術研究[D].成都：電子科技大學，2010.

[7]朱力根.探析計算機軟件中安全漏洞檢測技術及其應用[J].信息通信，2015（8）：124-130.

[8]潘鐳.基于數(shù)據(jù)挖掘技術的分布式入侵檢測系統(tǒng)的設計和開發(fā)[D].蘇州：蘇州大學，2011.

Research on Computer Software Security Testing Technology and Its Application

Chen Jia， Cai Yingxue， Hu Hui， Hu Song（Huizhou University， Huizhou 516001， China）

Abstract： With the rapid development of information technology， computer software application more widely. Is the safety of information system is the key point， in computer software vulnerabilities bring great influence on its security. So it is necessary for safety testing. Analysis in this paper， through the understanding of software security vulnerabilities， software security loopholes and defects existing in the safety testing and analysis technology， the thought related research to provide the reference and reference， solve the problem of computer software security vulnerabilities， improve the level of detection technology， to ensure the information system security.

Key words： computer software； security vulnerabilities； safety monitoring technology