楊博寧

【摘 要】 伴隨著科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)軟件安全越來(lái)越重要。本文從計(jì)算機(jī)軟件安全漏洞出發(fā)，在對(duì)計(jì)算機(jī)安全漏洞檢測(cè)技術(shù)分析的基礎(chǔ)上，提出了計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用策略。該研究對(duì)促進(jìn)我國(guó)計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)應(yīng)用研究的發(fā)展有一定的借鑒作用。

【關(guān)鍵詞】 計(jì)算機(jī) 軟件安全 漏洞檢測(cè)技術(shù) 應(yīng)用

隨著電子商務(wù)的不斷發(fā)展，網(wǎng)絡(luò)交易的安全問(wèn)題成為各大網(wǎng)站和商家關(guān)心的問(wèn)題。網(wǎng)絡(luò)交易安全事件的根源是計(jì)算機(jī)軟件中存在的安全漏洞，所以檢測(cè)和修正軟件中的安全漏洞就可以杜絕安全事件的發(fā)生[1]。正是從這個(gè)層面出發(fā)，本文對(duì)計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用進(jìn)行研究。

1 計(jì)算機(jī)軟件安全漏洞概述

計(jì)算機(jī)軟件安全漏洞指的是計(jì)算機(jī)軟件自身存在的編寫缺陷，黑客利用這些漏洞非法訪問(wèn)系統(tǒng)資源，或者對(duì)計(jì)算機(jī)軟件與計(jì)算機(jī)硬件造成損害。電腦用戶通過(guò)安裝防火墻和殺毒軟件，來(lái)保護(hù)系統(tǒng)自身的安全[2]。目前，使用最多的第三方軟件是360殺毒軟件、金山毒霸以及瑞星防火墻等等，但是這些軟件不能從根本上彌補(bǔ)軟件自身的漏洞。如果這些軟件自身運(yùn)行不好，還會(huì)給軟件帶來(lái)更大的安全隱患。

2 計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)分析

計(jì)算機(jī)安全漏洞自動(dòng)化檢測(cè)技術(shù)的出現(xiàn)，可以提高軟件漏洞的檢測(cè)效率。目前，計(jì)算機(jī)安全漏洞自動(dòng)化檢測(cè)技術(shù)，主要為動(dòng)態(tài)檢測(cè)技術(shù)和靜態(tài)檢測(cè)技術(shù)。

動(dòng)態(tài)檢測(cè)技術(shù)指的是在源代碼不變的前提下對(duì)計(jì)算機(jī)程序進(jìn)行動(dòng)態(tài)檢測(cè)。動(dòng)態(tài)監(jiān)測(cè)技術(shù)主要是對(duì)運(yùn)行環(huán)境進(jìn)行修改，雖然能對(duì)存在的漏洞進(jìn)行有效的檢測(cè)，但會(huì)造成一些新的安全隱患，可能會(huì)對(duì)計(jì)算機(jī)系統(tǒng)正常運(yùn)行造成影響。主要包括非執(zhí)行棧、非執(zhí)行堆、內(nèi)存映射、安全共享庫(kù)、沙箱以及程序解釋等等。以非執(zhí)行棧為例，應(yīng)對(duì)棧攻擊最直接有效的方法就是讓棧停止工作，可以有效的攔截黑客惡意代碼，但在應(yīng)用中有致命缺點(diǎn)，即需在操作層中進(jìn)行相應(yīng)的設(shè)置或修改，運(yùn)用不當(dāng)可能會(huì)對(duì)計(jì)算機(jī)系統(tǒng)性能造成傷害，特別是當(dāng)棧漏洞與堆溢出漏洞同時(shí)出現(xiàn)時(shí)更易出現(xiàn)問(wèn)題。又如內(nèi)存映射，利用內(nèi)存映射技術(shù)可以將黑客所要攻擊的代碼頁(yè)映射到隨機(jī)地址上，會(huì)給黑客造成困擾，讓黑客花更多的時(shí)間查找地址（可能找不到），所以該技術(shù)不用修改代碼，而只需要重新鏈接。再如沙箱，該技術(shù)阻止黑客攻擊主要是限制訪問(wèn)，其效果主要由定義策略全面與否決定，若定義策略合理且嚴(yán)格就能有效的防止黑客攻擊，但過(guò)于嚴(yán)格又會(huì)影響程序的正常利用，除此以外，若黑客利用本地變量進(jìn)行入侵，則沙箱技術(shù)就失去作用。

靜態(tài)檢測(cè)技術(shù)主要是指利用程序分析技術(shù)對(duì)二進(jìn)制代碼或者源代碼進(jìn)行全面的分析。它的優(yōu)點(diǎn)是在不運(yùn)行軟件的基礎(chǔ)上就可完成檢測(cè)，比較方便且不會(huì)產(chǎn)生其他安全漏洞。具體包括詞法分析、規(guī)則檢測(cè)、類型推導(dǎo)、模型檢測(cè)以及定理證明。以規(guī)則檢測(cè)為例，該技術(shù)主要是檢查程序本身，程序員在編程時(shí)，很容易不小心誤操作，造成安全漏洞[3]。規(guī)則檢測(cè)就是把程序規(guī)則用特定的語(yǔ)法描述出來(lái)，經(jīng)由規(guī)則處理器處理后能被分析器接受，接著對(duì)程序行為進(jìn)行對(duì)比分析及檢測(cè)。又如類型推導(dǎo)，該技術(shù)主要是通過(guò)程序中變量及函數(shù)類型推導(dǎo)觀察對(duì)變量及函數(shù)訪問(wèn)是否正常，它比較適合用來(lái)分析與控制流沒(méi)有聯(lián)系的程序。

3 計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用策略

通過(guò)利用上文所論述的動(dòng)、靜態(tài)安全漏洞檢測(cè)技術(shù)，則能夠起到有效防治各類漏洞，提高軟件安全應(yīng)用的效果。具體可以通過(guò)以下方式來(lái)實(shí)現(xiàn)：

3.1 緩沖區(qū)溢出漏洞的檢測(cè)

在計(jì)算機(jī)軟件中，可以通過(guò)采用安全漏洞檢測(cè)技術(shù)來(lái)對(duì)程序中的危險(xiǎn)函數(shù)進(jìn)行嚴(yán)格分析和判斷，從而起到預(yù)防緩沖區(qū)溢出漏洞的出現(xiàn)。同時(shí)，為了進(jìn)一步提高計(jì)算機(jī)使用的安全性，還可采用一些安全版本，來(lái)代替以往的strcat版本，例如strncat等版本。

3.2 競(jìng)爭(zhēng)條件漏洞的檢測(cè)

在檢測(cè)競(jìng)爭(zhēng)條件漏洞方面，通?？梢酝ㄟ^(guò)原子化的形式來(lái)操作發(fā)生競(jìng)爭(zhēng)的代碼，從而實(shí)現(xiàn)防治的目的。代碼在執(zhí)行過(guò)程中單位最小，使得其在程序執(zhí)行期間，不容易受到各種干擾的阻滯[4]。而通過(guò)將代碼原子化，可以起到鎖定的作用，并用于對(duì)TOCTOU等問(wèn)題的防范，這種做法的好處在于不需要直接調(diào)用所要使用的文件的文件名系統(tǒng)，而是通過(guò)描述使用文件的句柄等來(lái)實(shí)現(xiàn)。

3.3 格式化字符串漏洞的檢測(cè)

通過(guò)安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的高度防范作用，我們可以直接使用代碼中的格式常量，而不留下各種構(gòu)造格式串，進(jìn)一步避免了攻擊者的攻擊風(fēng)險(xiǎn)。一般來(lái)說(shuō)，格式化字符串漏洞函數(shù)都是不定參數(shù)個(gè)數(shù)函數(shù)的產(chǎn)物，我們?cè)谑褂们?，一方面?yīng)該先確認(rèn)這些函數(shù)的參數(shù)和個(gè)數(shù)都是均衡對(duì)應(yīng)的，另一方面，還需要借助基于 Windows 下的使用窗口來(lái)對(duì)相關(guān)數(shù)據(jù)進(jìn)行輸入或輸出，從而減少和預(yù)防格式化字符串漏洞所導(dǎo)致的安全隱患。

除此以外，還可用于隨機(jī)數(shù)漏洞的檢測(cè)。一般在防范隨機(jī)數(shù)漏洞時(shí)，選擇較好的、符合程序要求的隨機(jī)數(shù)發(fā)生器是關(guān)鍵。通過(guò)使用這一類隨機(jī)數(shù)發(fā)生器，不但可以通過(guò)其本身具備的密碼算法，來(lái)有效提高隨機(jī)數(shù)流的安全運(yùn)行，同時(shí)，還可在受到攻擊期間，即便攻擊者了解到所有的算法細(xì)節(jié)，也不能夠生成數(shù)據(jù)流。

4 結(jié)語(yǔ)

在當(dāng)前，隨著互聯(lián)網(wǎng)的不斷發(fā)展和進(jìn)步，以及電子商務(wù)領(lǐng)域的自動(dòng)化、智能化和網(wǎng)絡(luò)化程度越來(lái)越深入，使得計(jì)算機(jī)軟件不斷被普及應(yīng)用，一定程度上這也增加了行業(yè)的隱患和風(fēng)險(xiǎn)[5]。計(jì)算機(jī)軟件安全漏洞檢測(cè)是從本質(zhì)上發(fā)現(xiàn)問(wèn)題，從本質(zhì)上研究軟件的安全性，進(jìn)而提升計(jì)算機(jī)網(wǎng)絡(luò)的安全性。計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的研究，必須進(jìn)行不斷探索，從本質(zhì)上防止黑客的非法入侵和惡意攻擊，保證計(jì)算機(jī)軟件的正常運(yùn)行。

參考文獻(xiàn)：

[1]黃海濱，王艷芳.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用研究[J].電腦與電信，2013，（4）：51-52.

[2]高妍.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)與應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014，（2）：172-173.

[3]閆云鋒.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)探究[J].民營(yíng)科技，2012，（11）：99.

[4]肖鏃，趙倫.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)探究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，（12）：93.

[5]鄭晨.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的應(yīng)用探討[J].電子技術(shù)與軟件工程，2013，（12）：118.endprint