探究安全漏洞檢測技術在計算機軟件中的應用

摘要：近年來，計算機行業(yè)的發(fā)展迅速，計算機技術的快速發(fā)展極大地改變了人們的生活，使人們生活與工作效率更高。然而，任何一種事物都具有雙面性，計算機在方便人們生活、提高工作效率的同時，又存在著計算機安全問題，一直以來備受人們關注。隨著計算機漏洞不斷出現(xiàn)，計算機漏洞成為危害計算機安全問題的一個重要因素，為計算機非法攻擊者創(chuàng)造了機會。不少攻擊者針對計算機安全漏洞問題采取多樣化的攻擊手段，破壞計算機安全。針對這一現(xiàn)狀，需要精準把握計算機安全漏洞表現(xiàn)和特征，采取相應的檢測技術手段，以消除計算機安全漏洞造成的安全問題。

關鍵詞：安全漏洞檢測技術;計算機軟件;應用

中圖分類號：TP311.5;TP309?? 文獻標識碼：A?? 文章編號：1672-9129（2020）16-0005-01

1 計算機漏洞綜述

計算機漏洞指的是計算機軟件開發(fā)人員在軟件開發(fā)過程中，由于不安全因素影響而造成的運行安全問題，不安全因素具有多樣性，既包括硬件層面的因素，由于硬件開發(fā)沒有達到相應的技術水平，又與軟件自身有關，任何軟件的開發(fā)都不可能是完善的，需要經(jīng)歷一個不斷完善的過程，此外，協(xié)議也是造成計算機漏洞的重要因素。計算機漏洞直接關系著計算機系統(tǒng)的有效運行，成為計算機應用亟待解決的一個突出問題。計算機由于安全漏洞的存在，從而給予非法攻擊者從事非法活動的機會，攻擊者不需要經(jīng)過授權就可以隨意地訪問計算機，并進行非法操作，對計算機安全造成巨大的隱患，進攻者可以對計算機應用程序進行修改，從而破壞計算機正常運行。不僅如此，計算機安全漏洞也容易使得計算機組件、存儲的資源等處于無保護狀態(tài)，危害計算機整體運行質(zhì)態(tài)。計算機安全漏洞分類標準不同類型也不相同，從漏洞產(chǎn)生的影響進行分類，主要分為兩大類型，一種是功能性邏輯漏洞，另一種是安全性邏輯漏洞。前者主要影響計算機常態(tài)化運行功能，由于安全漏洞的存在，計算機一些軟件不能正常開展工作，從而使計算機功能出現(xiàn)障礙;后者主要對計算機安全產(chǎn)生影響，在一般情況下，安全漏洞不會影響計算機自身的功能，但是當安全漏洞被非法攻擊者所利用，就會對計算機信息安全形成危害，使軟件運行出現(xiàn)錯誤，也可能出現(xiàn)執(zhí)行惡意代碼。

2 計算機安全漏洞檢測技術應用

2.1模型檢測和元編譯技術。在上世紀80年代提出了模型檢測，這一理論主要是使用顯示狀態(tài)，在搜索驗證狀態(tài)中迸發(fā)系統(tǒng)命題性質(zhì)，模型檢測對于有限狀態(tài)的程序構(gòu)造可以進行全面建模，并且使用模型來將軟件當中的特性驗證出來。在對軟件里面的片段，通過建模方式來進行比較，能夠盡量防止軟件自身復雜性所帶來的問題，模型檢測可以有效地把功能與用途相互接近的軟件來進行安全漏洞的檢測。從而提升軟件與整體的安全性能。計算機安全漏洞主要是指計算機比較脆弱的特性，很可能是惡意攻擊，或者可能會危害到計算機軟件而造成安全系統(tǒng)的缺陷與漏洞。原編譯技術比較要求程序安全屬性，是一種輕量級編譯器的擴展，以及建模執(zhí)行。同時也可以自發(fā)的進行推斷來檢測代碼是否安全，并且可以編寫出與其相互匹配的編譯擴展，這就是比較典型的原編譯技術。原編譯技術在編譯器當中是非?；A的一種技術，不僅效率比較低，而且還會帶來在語言特性方面比較創(chuàng)新的拓展。

2.2規(guī)則檢測和變異語技術。安全規(guī)則主要指的就是對程序自身所帶有的安全性描述，是軟件其自身存在的一種編譯規(guī)則，比如軟件在Root權限下不能夠進行exec的調(diào)用。規(guī)則檢查主要是指使用比較特定的語法，來描述軟件運行過程的安全規(guī)則，處理器可以將語法在一定情況下，進行描述轉(zhuǎn)換成可以被處理器理解的一種內(nèi)部表示，再將程序相互之間的行為進行對比。變異與技術一般是指限制算術運算以及不安全的轉(zhuǎn)換等，很可能導致出現(xiàn)安全隱患的操作。多使用C或c++語言的安全編程變異級數(shù)，相比動態(tài)檢測的局限性比較大，對軟件的源代碼或者二進制代碼來進行檢測的靜態(tài)檢測，是具有自身優(yōu)勢的衡量靜態(tài)檢測。具體優(yōu)劣情況的標準有兩個，一個就是誤報率，另一個即是漏報率，采用靜態(tài)檢測編寫出來的程序較為可靠。

2.3定理證明和程序評注技術。與其他檢測技術比起來，定理證明相對是更加嚴格的，能夠通過各種不同的方式將軟件當中的抽象公式進行驗證，從而保障定理證明的技術性。其主要就是利用折曲式來進行圖像的構(gòu)造，讓公式當中的條件與圖中的節(jié)點都是遙相呼應的，可以通過已經(jīng)給出的現(xiàn)有等式，與對應項目點進行合并，把頂點合并過程趨勢中的不等式進行充分的檢測，如果不等式是不成立的，則將處于不滿足的狀態(tài)。這種技術并不會為原有代碼增加創(chuàng)新的語言特色，但會以一種注釋的形式將其進行表現(xiàn)出來，因此不會存在過多的兼容性問題，可以憑借具體信息來進行靜態(tài)分析的加深，從而找出系統(tǒng)與程序當中存在的漏洞。不僅如此，也要能夠?qū)⑼獠繑?shù)據(jù)進行標記，這些都能夠?qū)Υa審計人員產(chǎn)生警告，并給予排查。

3 結(jié)語

總之，計算機安全漏洞是不可避免的，這就決定了計算機漏洞檢測技術研究是非常必要的，計算機安全漏洞檢測是確保計算機安全、發(fā)揮計算機功能的基本前提。然而，計算機漏洞檢測技術不是一成不變的，需要根據(jù)漏洞的基本類型和基本特征，綜合考慮漏洞多種誘因。這就需要進一步提高計算機安全漏洞檢測技術，針對不同的研究對象、不同的情形采取科學的安全漏洞檢測技術，將靜態(tài)檢測技術和動態(tài)檢測技術靈活地應用于計算機安全漏洞。

參考文獻：

[1]屈曄，張昊.Bugscam自動化靜態(tài)漏洞檢測的分析[J].信息安全與通信保密，2007.3.

[2]宋世茂.計算機軟件中安全漏洞檢測技術的應用研究[J].無線互聯(lián)科技，2018，15（6）：51-52.

作者簡介：張艦，男，1978.09，漢族，山東省濟寧市任城區(qū)，本科，高級工程師，研究方向：大數(shù)據(jù)安全和隱私。