試論計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用

劉新亮 李巖峰 遼寧省高速公路路政管理局寬甸路政管理處

試論計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用

劉新亮 李巖峰 遼寧省高速公路路政管理局寬甸路政管理處

計(jì)算機(jī)軟件系統(tǒng)在研發(fā)的過(guò)程中，會(huì)出現(xiàn)一定的缺陷，這些缺陷會(huì)在計(jì)算機(jī)中埋下隱患，對(duì)用戶的個(gè)人信息安全造成威脅?；诖耍疚膹挠?jì)算機(jī)軟件中安全漏洞入手，分析了安全漏洞檢測(cè)技術(shù)及其在格式化漏洞、競(jìng)爭(zhēng)漏洞、緩沖區(qū)漏洞以及隨機(jī)漏洞這四方面的應(yīng)用，意在幫助技術(shù)人員更好地應(yīng)用安全漏洞檢測(cè)技術(shù)。

計(jì)算機(jī)軟件 安全漏洞 靜態(tài)檢測(cè)技術(shù)

隨著科學(xué)技術(shù)的發(fā)展，信息網(wǎng)絡(luò)在很多行業(yè)受到了廣泛的應(yīng)用，信息網(wǎng)絡(luò)在很大程度上改變了人們的生活方式以及工作方式，我國(guó)已經(jīng)走進(jìn)了信息化時(shí)代。為了滿足人們更加多樣化的需求，計(jì)算機(jī)軟件系統(tǒng)的功能越來(lái)越多，在功能豐富的同時(shí)，也帶來(lái)了安全漏洞，這些安全漏洞會(huì)對(duì)用戶的個(gè)人信息安全造成威脅，嚴(yán)重的時(shí)候會(huì)對(duì)用戶造成經(jīng)濟(jì)損失。因此，對(duì)于安全漏洞檢測(cè)技術(shù)的研究具有一定的實(shí)用價(jià)值。

1 計(jì)算機(jī)軟件中安全漏洞概述

計(jì)算機(jī)軟件中的漏洞主要是指計(jì)算機(jī)系統(tǒng)在編碼的過(guò)程中，出現(xiàn)的錯(cuò)誤導(dǎo)致計(jì)算機(jī)軟件存在安全隱患，嚴(yán)重的時(shí)候，會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成損害。這里的漏洞主要包括功能性漏洞以及安全性漏洞，本文主要對(duì)安全性漏洞進(jìn)行分析。安全漏洞并不會(huì)影響到計(jì)算機(jī)的正常使用，但是一旦該漏洞被不法分子發(fā)現(xiàn)，很有可能會(huì)泄漏用戶的個(gè)人信息。計(jì)算機(jī)漏洞的出現(xiàn)與軟件的運(yùn)行環(huán)境息息相關(guān)，系統(tǒng)漏洞會(huì)隨著系統(tǒng)時(shí)間的增加而增多，而且，在系統(tǒng)漏洞被修復(fù)的時(shí)候，很有可能會(huì)出現(xiàn)新的漏洞。因此，在進(jìn)行安全漏洞檢測(cè)時(shí)，需要注重這方面的內(nèi)容。

2 計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用

2.1 安全漏洞檢測(cè)技術(shù)

計(jì)算機(jī)中的安全漏洞檢測(cè)技術(shù)主要包括靜態(tài)檢測(cè)技術(shù)以及動(dòng)態(tài)監(jiān)測(cè)技術(shù)。

首先是靜態(tài)檢測(cè)技術(shù)，靜態(tài)安全檢測(cè)技術(shù)主要用來(lái)檢測(cè)計(jì)算機(jī)系統(tǒng)內(nèi)部的安全性，通過(guò)掃描計(jì)算機(jī)軟件的源程序以及二進(jìn)制代碼，從語(yǔ)義以及語(yǔ)法等方面進(jìn)行異常信息的檢測(cè)。靜態(tài)安全檢測(cè)技術(shù)的掃描過(guò)程如下：首先進(jìn)行計(jì)算機(jī)程序的掃描，對(duì)程序中的關(guān)鍵部分進(jìn)行重點(diǎn)分析；然后按照計(jì)算機(jī)漏洞的標(biāo)準(zhǔn)分析檢測(cè)結(jié)果。靜態(tài)檢測(cè)技術(shù)會(huì)使用動(dòng)態(tài)分析法進(jìn)行語(yǔ)義以及語(yǔ)法的分析，還會(huì)將語(yǔ)義以及語(yǔ)法分成不同的段落，并將該段落和數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行對(duì)比，以此來(lái)檢測(cè)和預(yù)防安全漏洞。目前使用比較廣泛的靜態(tài)檢測(cè)技術(shù)包括模型檢測(cè)技術(shù)、詞法檢測(cè)技術(shù)、規(guī)則檢測(cè)技術(shù)以及變異語(yǔ)言技術(shù)等。

然后是動(dòng)態(tài)檢測(cè)技術(shù)，動(dòng)態(tài)檢測(cè)技術(shù)會(huì)將被測(cè)軟件中某個(gè)功能的運(yùn)行狀況和預(yù)期的效果進(jìn)行對(duì)比，觀察兩者之間的差距來(lái)判別軟件是否存在安全漏洞。動(dòng)態(tài)檢測(cè)技術(shù)的針對(duì)性更強(qiáng)，檢測(cè)的時(shí)間也比較短。但是在應(yīng)用動(dòng)態(tài)檢測(cè)技術(shù)的時(shí)候，計(jì)算機(jī)軟件系統(tǒng)的正常應(yīng)用會(huì)受到影響，這在某種程度上會(huì)為用戶造成新的安全隱患。目前使用較為廣泛的動(dòng)態(tài)檢測(cè)技術(shù)包括非執(zhí)行棧技術(shù)、非執(zhí)行堆技術(shù)、內(nèi)存映射技術(shù)以及安全共享庫(kù)技術(shù)等。

2.2 安全漏洞檢測(cè)技術(shù)的應(yīng)用

第一，格式化漏洞，在計(jì)算軟件的所有安全漏洞中，出現(xiàn)頻率最高的即為格式化漏洞，為了解決格式化字符串導(dǎo)致的安全漏洞，可以通過(guò)軟件系統(tǒng)中的代碼進(jìn)行計(jì)算機(jī)軟件格式的劑量，從根本上杜絕格式化字符串的產(chǎn)生。另外，使用windows操作系統(tǒng)中的窗口進(jìn)行數(shù)據(jù)的輸出，能夠減少計(jì)算機(jī)軟件被惡性攻擊的概率，從而降低格式化漏洞威脅。在進(jìn)行格式化漏洞的檢測(cè)和修復(fù)時(shí)，可以從計(jì)算機(jī)軟件的參數(shù)角度出發(fā)。

第二，競(jìng)爭(zhēng)漏洞，競(jìng)爭(zhēng)漏洞是由競(jìng)爭(zhēng)條件導(dǎo)致的漏洞，該類漏洞是最常見(jiàn)的一種安全漏洞。對(duì)于該類漏洞的檢測(cè)，技術(shù)人員一般會(huì)從競(jìng)爭(zhēng)代碼入手，也就是使用原子化的方法在競(jìng)爭(zhēng)代碼處進(jìn)行操作，轉(zhuǎn)變以前的編碼形式，使編碼不再滿足競(jìng)爭(zhēng)條件，轉(zhuǎn)化為安全的狀態(tài)。計(jì)算機(jī)軟件的代碼在運(yùn)行時(shí)，具有較高的代碼通過(guò)性以及代碼通過(guò)效率，如果將代碼進(jìn)行原子化處理，能夠使代碼的特征更為顯著，從而對(duì)鎖定區(qū)域的代碼進(jìn)行安全漏洞檢測(cè)。原子化檢測(cè)方法能夠有效避免計(jì)算機(jī)軟件出現(xiàn)競(jìng)爭(zhēng)漏洞。

第三，緩沖區(qū)漏洞，如果計(jì)算機(jī)的緩沖區(qū)出現(xiàn)了漏洞，就表示計(jì)算機(jī)軟件系統(tǒng)安裝的安全漏洞檢測(cè)軟件不能繼續(xù)檢測(cè)計(jì)算機(jī)系統(tǒng)的安全。因此，需要進(jìn)行安全漏洞檢測(cè)軟件的更新，安裝安全性較高的版本。另外，還可以在安全漏洞檢測(cè)軟件中添加危害函數(shù)檢測(cè)這一功能，共同進(jìn)行安全漏洞的檢測(cè)和預(yù)防。

第四，隨機(jī)漏洞，隨機(jī)出現(xiàn)的安全漏洞是所有計(jì)算機(jī)軟件系統(tǒng)都會(huì)出現(xiàn)的漏洞，該漏洞會(huì)對(duì)計(jì)算機(jī)軟件系統(tǒng)的運(yùn)行造成非常嚴(yán)重的危害，隨機(jī)漏洞需要使用性能較為優(yōu)異、準(zhǔn)確性也比較高的設(shè)備進(jìn)行檢測(cè)和預(yù)防。就目前的研究現(xiàn)狀看來(lái)，研究學(xué)者已經(jīng)研發(fā)出符合隨機(jī)漏洞特性的的隨機(jī)發(fā)生設(shè)備，這類設(shè)備中存有密碼算法，這種自帶密碼的算法可以提前捕捉到計(jì)算機(jī)軟件系統(tǒng)中存在的隨機(jī)樹(shù)流。如果出現(xiàn)了隨機(jī)漏洞，且計(jì)算機(jī)被惡意攻擊的時(shí)候，隨機(jī)發(fā)生設(shè)備會(huì)立即發(fā)出干擾，間斷隨機(jī)漏洞獲取的數(shù)據(jù)流，以此來(lái)保護(hù)計(jì)算機(jī)軟件系統(tǒng)[2]。

3 結(jié)論

綜上所述，安全漏洞會(huì)隨著計(jì)算機(jī)的應(yīng)用拓展而越來(lái)越多，安全漏洞檢測(cè)技術(shù)的研究十分重要。分析可得，通過(guò)本文的分析可知，技術(shù)人員需要里了解安全漏洞的源頭，將靜態(tài)監(jiān)測(cè)技術(shù)和動(dòng)態(tài)監(jiān)測(cè)技術(shù)進(jìn)行配合使用，從而提高安全漏洞檢測(cè)工作的效率，確保計(jì)算機(jī)軟件的安全運(yùn)行，從而保護(hù)信息系統(tǒng)的用戶安全。希望本文能夠?yàn)榧夹g(shù)人員解決安全漏洞問(wèn)題提供幫助。

[1]朱杰.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用的探討[J].電腦迷,2017,(08):187.

[2]臺(tái)飛,高凌燕.安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的應(yīng)用分析[J].電子制作,2013,(14):75.