陳澤晰

(黑龍江八一農(nóng)墾大學(xué)，黑龍江 大慶 163319)

安全漏洞檢測技術(shù)在計算機(jī)軟件中的應(yīng)用

陳澤晰

(黑龍江八一農(nóng)墾大學(xué)，黑龍江 大慶 163319)

隨著社會的快速發(fā)展，計算機(jī)技術(shù)也得到迅猛發(fā)展，計算機(jī)軟件的結(jié)構(gòu)也愈發(fā)復(fù)雜。計算機(jī)軟件已經(jīng)廣泛應(yīng)用于人們的生活和工作中，給人們的生活帶來了便利，提高了人們的工作效率。但是，也正是因為計算機(jī)軟件的應(yīng)用范圍不斷擴(kuò)大，計算機(jī)軟件開始出現(xiàn)各種安全漏洞，導(dǎo)致人們的信息丟失，給用戶帶來巨大的經(jīng)濟(jì)損失。如今，人們對于計算機(jī)軟件應(yīng)用安全性的關(guān)注程度不斷提高，安全漏洞檢測技術(shù)應(yīng)用于計算機(jī)軟件中可以對計算機(jī)軟件內(nèi)存在的安全隱患進(jìn)行綜合分析，保證計算機(jī)軟件應(yīng)用的安全性。

安全漏洞檢測技術(shù)；計算機(jī)軟件；應(yīng)用

如今，為了更好地滿足用戶的實際需求，計算機(jī)軟件的功能也在不斷增多，計算機(jī)軟件在給人們帶來便利的同時也存在安全風(fēng)險。當(dāng)然，導(dǎo)致計算機(jī)軟件出現(xiàn)安全漏洞的原因非常多。為了合理解決計算機(jī)軟件安全漏洞問題，就需要合理應(yīng)用安全漏洞檢測技術(shù)，制定安全漏洞檢測技術(shù)的應(yīng)用方案。

1 安全漏洞檢測技術(shù)

調(diào)查數(shù)據(jù)顯示，計算機(jī)軟件安全漏洞問題每年都在增加，而且安全漏洞的種類也在不斷增多。計算機(jī)系統(tǒng)包括硬件系統(tǒng)和軟件系統(tǒng)。其中，軟件系統(tǒng)屬于計算機(jī)的關(guān)鍵組成部分，也是計算機(jī)發(fā)揮自身功能的關(guān)鍵因素。對此，構(gòu)建安全計算機(jī)軟件應(yīng)用環(huán)境是非常必要的。計算機(jī)軟件安全漏洞實際上就是在計算機(jī)軟件應(yīng)用的過程中致使計算機(jī)軟件應(yīng)用癱瘓等相關(guān)問題。事實上，無論是何種計算機(jī)軟件安全漏洞問題都是存在共性的，主要體現(xiàn)在以下幾點(diǎn)：一是邏輯性錯誤，也就是在計算機(jī)軟件編程過程中人為導(dǎo)致的系統(tǒng)安全漏洞問題，導(dǎo)致計算機(jī)軟件無法安全運(yùn)行。二是計算錯誤，也就是計算機(jī)軟件在處理數(shù)據(jù)的過程中出現(xiàn)錯誤，計算錯誤一般會出現(xiàn)在大模塊軟件中。三是計算機(jī)軟件安全漏洞具有持久性。事實上，各個計算機(jī)軟件之間是相互關(guān)聯(lián)的，如果有一個計算機(jī)軟件出現(xiàn)安全漏洞，其他軟件的運(yùn)行安全也會受到影響。除此之外，如果計算機(jī)軟件原有的安全漏洞未能及時修復(fù)，那就會導(dǎo)致新的安全漏洞出現(xiàn)。四是計算機(jī)系統(tǒng)環(huán)境的影響性。實際上，很多計算機(jī)軟件出現(xiàn)安全漏洞都是由系統(tǒng)環(huán)境導(dǎo)致的。計算機(jī)軟件的安全漏洞不僅影響計算機(jī)基本功能的發(fā)揮，也會損害用戶的切身利益，必須予以重視。

2 靜態(tài)安全漏洞檢測技術(shù)

2.1 漏洞分類檢測

通常情況下，安全漏洞檢測技術(shù)有以下兩種：一是靜態(tài)檢測技術(shù)，二是動態(tài)檢測技術(shù)。其中，靜態(tài)檢測技術(shù)實際上就是技術(shù)人員通過分析計算機(jī)軟件的源代碼來查找計算機(jī)軟件存在的安全漏洞，并對存在的安全漏洞進(jìn)行修復(fù)。靜態(tài)安全漏洞檢測技術(shù)的衡量指標(biāo)有兩個：一是漏報率，二是誤報率。以上衡量指標(biāo)呈現(xiàn)出負(fù)相關(guān)的關(guān)系，也就是其中一個衡量指標(biāo)降低時，另外一個衡量指標(biāo)就會升高。靜態(tài)安全漏洞檢測技術(shù)不需要借助其他檢測軟件，檢測成本低，而且檢測過程比較簡單，但是靜態(tài)安全漏洞檢測技術(shù)的檢測結(jié)果并不完全準(zhǔn)確，與實際情況存在較大的差距。動態(tài)安全漏洞檢測技術(shù)實際上就是通過改變計算機(jī)軟件的應(yīng)用環(huán)境來調(diào)整計算機(jī)系統(tǒng)內(nèi)存大小，提高程序應(yīng)用的安全性。雖然靜態(tài)安全漏洞檢測技術(shù)和動態(tài)安全漏洞檢測技術(shù)都會應(yīng)用于計算機(jī)軟件安全漏洞檢測中，但是檢測人員必須結(jié)合實際情況合理選擇安全漏洞檢測技術(shù)，這樣才能真正發(fā)揮出安全漏洞檢測技術(shù)的作用。

相比而言，靜態(tài)安全漏洞檢測技術(shù)更加關(guān)注計算機(jī)軟件的內(nèi)部結(jié)構(gòu)，靜態(tài)安全漏洞檢測技術(shù)的特點(diǎn)與計算機(jī)安全漏洞的特點(diǎn)有著不可分割的聯(lián)系。實際上，計算機(jī)軟件安全漏洞的種類非常多，傳統(tǒng)的安全漏洞檢測技術(shù)無法全覆蓋計算機(jī)軟件安全漏洞，也無法找到各個安全漏洞之間的聯(lián)系和共性。對此，為了提高安全漏洞檢測效率和質(zhì)量，可以把計算機(jī)軟件安全漏洞分為安全方面的漏洞和內(nèi)存漏洞兩種。其中，安全方面的漏洞主要傾向于檢測數(shù)據(jù)是否存在計算錯誤，內(nèi)存漏洞則更加傾向于檢測計算機(jī)軟件數(shù)據(jù)類型是否正確。針對于計算機(jī)軟件安全方面的漏洞和內(nèi)存漏洞，檢測人員需要對計算機(jī)軟件的內(nèi)部空間進(jìn)行科學(xué)建模，具體分析計算機(jī)軟件安全漏洞出現(xiàn)的原因。在一定條件下，靜態(tài)安全漏洞檢測技術(shù)可以和動態(tài)安全漏洞檢測技術(shù)結(jié)合在一起，以更好地保證計算機(jī)軟件的正常運(yùn)行。

2.2 靜態(tài)安全漏洞檢測技術(shù)

靜態(tài)分析實際上就是對于計算機(jī)軟件的程序進(jìn)行掃描，然后提取計算機(jī)軟件程序當(dāng)中的關(guān)鍵詞，通過分析計算機(jī)軟件程序中的關(guān)鍵詞來理解計算機(jī)程序的運(yùn)行行為，最終確定計算機(jī)軟件的安全漏洞。詞法分析屬于比較傳統(tǒng)的靜態(tài)安全漏洞檢測技術(shù)，主要用來分析計算機(jī)程序內(nèi)的詞組。詞法分析會把計算機(jī)軟件自動劃分成多個板塊，并對每個板塊的關(guān)鍵詞進(jìn)行對比分析，找到其中的安全漏洞嫌疑。

程序驗證實際上就是對計算機(jī)軟件系統(tǒng)進(jìn)行建模，并對建成的模型進(jìn)行科學(xué)驗證，最終確定計算機(jī)軟件內(nèi)是否存在安全漏洞。但是，程序驗證法的應(yīng)用會受到一定的限制，需要計算機(jī)程序在有限的環(huán)境下才能檢測。程序驗證法又可以分為以下幾種：一是符號法，也就是把計算機(jī)程序內(nèi)部抽象的模型轉(zhuǎn)換成公式，再判斷公式是否滿足計算機(jī)軟件的運(yùn)行要求。二是模型轉(zhuǎn)化成自動機(jī)。應(yīng)用模型檢測技術(shù)需要做好充足的準(zhǔn)備，要先分析出計算機(jī)軟件可能會出現(xiàn)的安全漏洞，并對不同種類安全漏洞進(jìn)行特性分析。

無論是靜態(tài)安全漏洞檢測技術(shù)還是動態(tài)安全漏洞檢測技術(shù)都對技術(shù)人員的專業(yè)水平和綜合素質(zhì)提出了較高的要求，安全漏洞檢測技術(shù)人員必須不斷學(xué)習(xí)，豐富自身的知識儲備，提高自身接受新知識和新理念的能力，這樣才能提高自身的專業(yè)水平和綜合素質(zhì)，充分發(fā)揮出安全漏洞檢測技術(shù)的作用。

3 動態(tài)安全漏洞檢測技術(shù)

3.1 非執(zhí)行技術(shù)

如今，惡性攻擊計算機(jī)軟件的事情經(jīng)常會出現(xiàn)，主要的原因就是計算機(jī)軟件內(nèi)部的棧是可以被改寫的，計算機(jī)軟件的大量數(shù)據(jù)都會保存在棧內(nèi)，惡意攻擊者會首先攻擊棧，向棧內(nèi)輸入惡性代碼，并執(zhí)行這部分代碼。要想防范棧被人為惡性攻擊最佳的方法就是防止棧內(nèi)信息被改寫，而且保證棧內(nèi)的惡意代碼不被執(zhí)行，這樣就可以降低計算機(jī)軟件安全漏洞出現(xiàn)的機(jī)率。

3.2 數(shù)據(jù)安全漏洞檢測技術(shù)

數(shù)據(jù)安全漏洞檢測技術(shù)實際上就是在計算機(jī)軟件運(yùn)行的過程中進(jìn)行內(nèi)存區(qū)域分配，計算機(jī)軟件內(nèi)部的數(shù)據(jù)段也會同時啟動，數(shù)據(jù)段不會執(zhí)行惡意輸入的軟件代碼，數(shù)據(jù)安全漏洞檢測技術(shù)可以與非執(zhí)行技術(shù)結(jié)合在一起，全面防范計算軟件安全漏洞的出現(xiàn)，惡性代碼的破壞和執(zhí)行能力就會不斷下降。部分計算機(jī)軟件安全漏洞出現(xiàn)的原因就是用戶應(yīng)用了一些存在安全隱患的共享庫。對此，技術(shù)人員可以應(yīng)用安全共享庫技術(shù)來防范惡性攻擊，避免安全漏洞的出現(xiàn)。安全共享庫技術(shù)實際上就是應(yīng)用動態(tài)鏈接技術(shù)對程序運(yùn)行中出現(xiàn)的安全性問題進(jìn)行檢測。

3.3 沙箱安全漏洞檢測技術(shù)

沙箱安全漏洞檢測技術(shù)實際上就是限制計算機(jī)軟件的訪問資源，以此來防止惡性攻擊。程序解釋技術(shù)也屬于比較傳統(tǒng)的動態(tài)安全漏洞檢測技術(shù)，也是應(yīng)用效果比較理想的安全漏洞檢測技術(shù)。程序解釋技術(shù)可以對計算機(jī)軟件進(jìn)行監(jiān)視，并對計算機(jī)軟件的安全性采用強(qiáng)制性檢測方法，并對計算機(jī)程序的運(yùn)行做出合理的解釋。但是，程序解釋技術(shù)的應(yīng)用會消耗較多的性能。

4 安全漏洞檢測技術(shù)在計算機(jī)軟件中的應(yīng)用

4.1 防止格式化漏洞

計算機(jī)軟件安全漏洞的種類非常多，格式化安全漏洞就是經(jīng)常會出現(xiàn)的計算機(jī)軟件安全漏洞。對于格式化安全漏洞可以應(yīng)用代碼來常量計算機(jī)軟件格式，這樣就會降低惡性攻擊的機(jī)率，以此實現(xiàn)計算機(jī)軟件安全檢測的目標(biāo)。格式化漏洞的表現(xiàn)形式是字符，檢測和修復(fù)格式化安全漏洞可以從計算機(jī)軟件的參數(shù)入手，這樣就可以保證安全漏洞檢測結(jié)果的真實性和準(zhǔn)確性。格式化漏洞會導(dǎo)致用戶計算機(jī)內(nèi)寶貴的信息全部丟失，而且很難恢復(fù)，給用戶帶來巨大的損失。對此，技術(shù)人員必須認(rèn)識到加強(qiáng)格式化安全漏洞檢測和修復(fù)的重要性。

4.2 防止競爭漏洞

競爭漏洞也是比較常見的計算機(jī)軟件安全漏洞，對于競爭漏洞，技術(shù)人員可以從計算機(jī)軟件的競爭代碼開始檢測，實際上就是把計算機(jī)軟件代碼原子化，代碼屬于計算機(jī)軟件內(nèi)比較小的執(zhí)行單位，在運(yùn)行的過程中，代碼的通過性和效率非常高，原子化計算機(jī)軟件代碼可以讓代碼的特征更加明顯，而且可以鎖定部分代碼進(jìn)行檢測。很多競爭漏洞是人為造成的，為了獲取更多有價值的信息，競爭漏洞也成為很多企業(yè)比較畏懼的安全漏洞，一旦出現(xiàn)競爭漏洞，企業(yè)將會面臨重大損失。

4.3 防止隨機(jī)漏洞

計算機(jī)軟件的隨機(jī)漏洞實際上就是計算機(jī)的隨機(jī)數(shù)發(fā)生器出現(xiàn)故障，無法正常運(yùn)行，對于隨機(jī)漏洞的防范技術(shù)人員必須先保證發(fā)生器可以正常運(yùn)行，然后對其中無法運(yùn)行的零部件進(jìn)行更換和調(diào)整，對隨機(jī)數(shù)發(fā)生器采取保護(hù)措施進(jìn)行保護(hù)。

計算機(jī)軟件的安全漏洞不僅影響計算機(jī)基本功能的發(fā)揮，也會損害用戶的切身利益，必須予以重視。安全方面的漏洞主要傾向于檢測數(shù)據(jù)是否存在計算錯誤，內(nèi)存漏洞則更加傾向于檢測計算機(jī)軟件數(shù)據(jù)類型是否正確。雖然靜態(tài)安全漏洞檢測技術(shù)和動態(tài)安全漏洞檢測技術(shù)都會應(yīng)用于計算機(jī)軟件安全漏洞檢測中，但是檢測人員必須結(jié)合實際情況合理選擇安全漏洞檢測技術(shù)，這樣才能真正發(fā)揮出安全漏洞檢測技術(shù)的作用。在一定條件下，靜態(tài)安全漏洞檢測技術(shù)可以和動態(tài)安全漏洞檢測技術(shù)結(jié)合在一起，以更好地保證計算機(jī)軟件的正常運(yùn)行。

[1]劉月.安全漏洞檢測技術(shù)在計算機(jī)軟件中的應(yīng)用研究[J].科技傳播,2015(10).

[2]張暉.計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].電子世界,2014(18).

[3]鄭思麗.計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].計算機(jī)光盤軟件與應(yīng)用,2014(16).

[4]汪剛.淺析計算機(jī)軟件安全漏洞檢測技術(shù)[J].電子制作,2014(24).

[5]王琰.關(guān)于計算機(jī)軟件中安全漏洞檢測技術(shù)的應(yīng)用研究[J].電子制作,2015(1).

[6]張永宏.試論計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].新教育時代電子雜志(教師版),2015(29).

[7]顏瑾.試述計算機(jī)軟件中安全漏洞檢測技術(shù)的應(yīng)用[J].大科技,2016(3).

[8]陳挺華.計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].信息系統(tǒng)工程,2016(7).

Class No.:TP309 Document Mark：A

(責(zé)任編輯：宋瑞斌)

Application of Security Vulnerabilities Detection Technology to the Computer Software

Chen Zexi

(Heilongjiang Bayi Agricultural University, Daqing, Heilongjiang 163319，China)

With the rapid development of computer technology, the structure of computer software has been more and more complex. Computer software has been widely used in people's life and work, which brings convenience to people's life . But security holes of computer software lead to information loss and bring huge economic losses to users because of the expanding application of computer software. Security vulnerabilities detection technology used in the computer software can make a comprehensive analysis of potential safety hazard in the computer software to ensure the security of the computer software.

security vulnerabilities detection technology; computer software; application

陳澤晰，學(xué)生，黑龍江八一農(nóng)墾大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)。研究方向：計算機(jī)科學(xué)與技術(shù)。

1672-6758(2017)02-0034-3

TP309

A