陳澤晰

(黑龍江八一農(nóng)墾大學(xué)，黑龍江 大慶 163319)

安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的應(yīng)用

陳澤晰

(黑龍江八一農(nóng)墾大學(xué)，黑龍江 大慶 163319)

隨著社會(huì)的快速發(fā)展，計(jì)算機(jī)技術(shù)也得到迅猛發(fā)展，計(jì)算機(jī)軟件的結(jié)構(gòu)也愈發(fā)復(fù)雜。計(jì)算機(jī)軟件已經(jīng)廣泛應(yīng)用于人們的生活和工作中，給人們的生活帶來了便利，提高了人們的工作效率。但是，也正是因?yàn)橛?jì)算機(jī)軟件的應(yīng)用范圍不斷擴(kuò)大，計(jì)算機(jī)軟件開始出現(xiàn)各種安全漏洞，導(dǎo)致人們的信息丟失，給用戶帶來巨大的經(jīng)濟(jì)損失。如今，人們對(duì)于計(jì)算機(jī)軟件應(yīng)用安全性的關(guān)注程度不斷提高，安全漏洞檢測(cè)技術(shù)應(yīng)用于計(jì)算機(jī)軟件中可以對(duì)計(jì)算機(jī)軟件內(nèi)存在的安全隱患進(jìn)行綜合分析，保證計(jì)算機(jī)軟件應(yīng)用的安全性。

安全漏洞檢測(cè)技術(shù)；計(jì)算機(jī)軟件；應(yīng)用

如今，為了更好地滿足用戶的實(shí)際需求，計(jì)算機(jī)軟件的功能也在不斷增多，計(jì)算機(jī)軟件在給人們帶來便利的同時(shí)也存在安全風(fēng)險(xiǎn)。當(dāng)然，導(dǎo)致計(jì)算機(jī)軟件出現(xiàn)安全漏洞的原因非常多。為了合理解決計(jì)算機(jī)軟件安全漏洞問題，就需要合理應(yīng)用安全漏洞檢測(cè)技術(shù)，制定安全漏洞檢測(cè)技術(shù)的應(yīng)用方案。

1 安全漏洞檢測(cè)技術(shù)

調(diào)查數(shù)據(jù)顯示，計(jì)算機(jī)軟件安全漏洞問題每年都在增加，而且安全漏洞的種類也在不斷增多。計(jì)算機(jī)系統(tǒng)包括硬件系統(tǒng)和軟件系統(tǒng)。其中，軟件系統(tǒng)屬于計(jì)算機(jī)的關(guān)鍵組成部分，也是計(jì)算機(jī)發(fā)揮自身功能的關(guān)鍵因素。對(duì)此，構(gòu)建安全計(jì)算機(jī)軟件應(yīng)用環(huán)境是非常必要的。計(jì)算機(jī)軟件安全漏洞實(shí)際上就是在計(jì)算機(jī)軟件應(yīng)用的過程中致使計(jì)算機(jī)軟件應(yīng)用癱瘓等相關(guān)問題。事實(shí)上，無論是何種計(jì)算機(jī)軟件安全漏洞問題都是存在共性的，主要體現(xiàn)在以下幾點(diǎn)：一是邏輯性錯(cuò)誤，也就是在計(jì)算機(jī)軟件編程過程中人為導(dǎo)致的系統(tǒng)安全漏洞問題，導(dǎo)致計(jì)算機(jī)軟件無法安全運(yùn)行。二是計(jì)算錯(cuò)誤，也就是計(jì)算機(jī)軟件在處理數(shù)據(jù)的過程中出現(xiàn)錯(cuò)誤，計(jì)算錯(cuò)誤一般會(huì)出現(xiàn)在大模塊軟件中。三是計(jì)算機(jī)軟件安全漏洞具有持久性。事實(shí)上，各個(gè)計(jì)算機(jī)軟件之間是相互關(guān)聯(lián)的，如果有一個(gè)計(jì)算機(jī)軟件出現(xiàn)安全漏洞，其他軟件的運(yùn)行安全也會(huì)受到影響。除此之外，如果計(jì)算機(jī)軟件原有的安全漏洞未能及時(shí)修復(fù)，那就會(huì)導(dǎo)致新的安全漏洞出現(xiàn)。四是計(jì)算機(jī)系統(tǒng)環(huán)境的影響性。實(shí)際上，很多計(jì)算機(jī)軟件出現(xiàn)安全漏洞都是由系統(tǒng)環(huán)境導(dǎo)致的。計(jì)算機(jī)軟件的安全漏洞不僅影響計(jì)算機(jī)基本功能的發(fā)揮，也會(huì)損害用戶的切身利益，必須予以重視。

2 靜態(tài)安全漏洞檢測(cè)技術(shù)

2.1 漏洞分類檢測(cè)

通常情況下，安全漏洞檢測(cè)技術(shù)有以下兩種：一是靜態(tài)檢測(cè)技術(shù)，二是動(dòng)態(tài)檢測(cè)技術(shù)。其中，靜態(tài)檢測(cè)技術(shù)實(shí)際上就是技術(shù)人員通過分析計(jì)算機(jī)軟件的源代碼來查找計(jì)算機(jī)軟件存在的安全漏洞，并對(duì)存在的安全漏洞進(jìn)行修復(fù)。靜態(tài)安全漏洞檢測(cè)技術(shù)的衡量指標(biāo)有兩個(gè)：一是漏報(bào)率，二是誤報(bào)率。以上衡量指標(biāo)呈現(xiàn)出負(fù)相關(guān)的關(guān)系，也就是其中一個(gè)衡量指標(biāo)降低時(shí)，另外一個(gè)衡量指標(biāo)就會(huì)升高。靜態(tài)安全漏洞檢測(cè)技術(shù)不需要借助其他檢測(cè)軟件，檢測(cè)成本低，而且檢測(cè)過程比較簡(jiǎn)單，但是靜態(tài)安全漏洞檢測(cè)技術(shù)的檢測(cè)結(jié)果并不完全準(zhǔn)確，與實(shí)際情況存在較大的差距。動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)實(shí)際上就是通過改變計(jì)算機(jī)軟件的應(yīng)用環(huán)境來調(diào)整計(jì)算機(jī)系統(tǒng)內(nèi)存大小，提高程序應(yīng)用的安全性。雖然靜態(tài)安全漏洞檢測(cè)技術(shù)和動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)都會(huì)應(yīng)用于計(jì)算機(jī)軟件安全漏洞檢測(cè)中，但是檢測(cè)人員必須結(jié)合實(shí)際情況合理選擇安全漏洞檢測(cè)技術(shù)，這樣才能真正發(fā)揮出安全漏洞檢測(cè)技術(shù)的作用。

相比而言，靜態(tài)安全漏洞檢測(cè)技術(shù)更加關(guān)注計(jì)算機(jī)軟件的內(nèi)部結(jié)構(gòu)，靜態(tài)安全漏洞檢測(cè)技術(shù)的特點(diǎn)與計(jì)算機(jī)安全漏洞的特點(diǎn)有著不可分割的聯(lián)系。實(shí)際上，計(jì)算機(jī)軟件安全漏洞的種類非常多，傳統(tǒng)的安全漏洞檢測(cè)技術(shù)無法全覆蓋計(jì)算機(jī)軟件安全漏洞，也無法找到各個(gè)安全漏洞之間的聯(lián)系和共性。對(duì)此，為了提高安全漏洞檢測(cè)效率和質(zhì)量，可以把計(jì)算機(jī)軟件安全漏洞分為安全方面的漏洞和內(nèi)存漏洞兩種。其中，安全方面的漏洞主要傾向于檢測(cè)數(shù)據(jù)是否存在計(jì)算錯(cuò)誤，內(nèi)存漏洞則更加傾向于檢測(cè)計(jì)算機(jī)軟件數(shù)據(jù)類型是否正確。針對(duì)于計(jì)算機(jī)軟件安全方面的漏洞和內(nèi)存漏洞，檢測(cè)人員需要對(duì)計(jì)算機(jī)軟件的內(nèi)部空間進(jìn)行科學(xué)建模，具體分析計(jì)算機(jī)軟件安全漏洞出現(xiàn)的原因。在一定條件下，靜態(tài)安全漏洞檢測(cè)技術(shù)可以和動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)結(jié)合在一起，以更好地保證計(jì)算機(jī)軟件的正常運(yùn)行。

2.2 靜態(tài)安全漏洞檢測(cè)技術(shù)

靜態(tài)分析實(shí)際上就是對(duì)于計(jì)算機(jī)軟件的程序進(jìn)行掃描，然后提取計(jì)算機(jī)軟件程序當(dāng)中的關(guān)鍵詞，通過分析計(jì)算機(jī)軟件程序中的關(guān)鍵詞來理解計(jì)算機(jī)程序的運(yùn)行行為，最終確定計(jì)算機(jī)軟件的安全漏洞。詞法分析屬于比較傳統(tǒng)的靜態(tài)安全漏洞檢測(cè)技術(shù)，主要用來分析計(jì)算機(jī)程序內(nèi)的詞組。詞法分析會(huì)把計(jì)算機(jī)軟件自動(dòng)劃分成多個(gè)板塊，并對(duì)每個(gè)板塊的關(guān)鍵詞進(jìn)行對(duì)比分析，找到其中的安全漏洞嫌疑。

程序驗(yàn)證實(shí)際上就是對(duì)計(jì)算機(jī)軟件系統(tǒng)進(jìn)行建模，并對(duì)建成的模型進(jìn)行科學(xué)驗(yàn)證，最終確定計(jì)算機(jī)軟件內(nèi)是否存在安全漏洞。但是，程序驗(yàn)證法的應(yīng)用會(huì)受到一定的限制，需要計(jì)算機(jī)程序在有限的環(huán)境下才能檢測(cè)。程序驗(yàn)證法又可以分為以下幾種：一是符號(hào)法，也就是把計(jì)算機(jī)程序內(nèi)部抽象的模型轉(zhuǎn)換成公式，再判斷公式是否滿足計(jì)算機(jī)軟件的運(yùn)行要求。二是模型轉(zhuǎn)化成自動(dòng)機(jī)。應(yīng)用模型檢測(cè)技術(shù)需要做好充足的準(zhǔn)備，要先分析出計(jì)算機(jī)軟件可能會(huì)出現(xiàn)的安全漏洞，并對(duì)不同種類安全漏洞進(jìn)行特性分析。

無論是靜態(tài)安全漏洞檢測(cè)技術(shù)還是動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)都對(duì)技術(shù)人員的專業(yè)水平和綜合素質(zhì)提出了較高的要求，安全漏洞檢測(cè)技術(shù)人員必須不斷學(xué)習(xí)，豐富自身的知識(shí)儲(chǔ)備，提高自身接受新知識(shí)和新理念的能力，這樣才能提高自身的專業(yè)水平和綜合素質(zhì)，充分發(fā)揮出安全漏洞檢測(cè)技術(shù)的作用。

3 動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)

3.1 非執(zhí)行技術(shù)

如今，惡性攻擊計(jì)算機(jī)軟件的事情經(jīng)常會(huì)出現(xiàn)，主要的原因就是計(jì)算機(jī)軟件內(nèi)部的棧是可以被改寫的，計(jì)算機(jī)軟件的大量數(shù)據(jù)都會(huì)保存在棧內(nèi)，惡意攻擊者會(huì)首先攻擊棧，向棧內(nèi)輸入惡性代碼，并執(zhí)行這部分代碼。要想防范棧被人為惡性攻擊最佳的方法就是防止棧內(nèi)信息被改寫，而且保證棧內(nèi)的惡意代碼不被執(zhí)行，這樣就可以降低計(jì)算機(jī)軟件安全漏洞出現(xiàn)的機(jī)率。

3.2 數(shù)據(jù)安全漏洞檢測(cè)技術(shù)

數(shù)據(jù)安全漏洞檢測(cè)技術(shù)實(shí)際上就是在計(jì)算機(jī)軟件運(yùn)行的過程中進(jìn)行內(nèi)存區(qū)域分配，計(jì)算機(jī)軟件內(nèi)部的數(shù)據(jù)段也會(huì)同時(shí)啟動(dòng)，數(shù)據(jù)段不會(huì)執(zhí)行惡意輸入的軟件代碼，數(shù)據(jù)安全漏洞檢測(cè)技術(shù)可以與非執(zhí)行技術(shù)結(jié)合在一起，全面防范計(jì)算軟件安全漏洞的出現(xiàn)，惡性代碼的破壞和執(zhí)行能力就會(huì)不斷下降。部分計(jì)算機(jī)軟件安全漏洞出現(xiàn)的原因就是用戶應(yīng)用了一些存在安全隱患的共享庫。對(duì)此，技術(shù)人員可以應(yīng)用安全共享庫技術(shù)來防范惡性攻擊，避免安全漏洞的出現(xiàn)。安全共享庫技術(shù)實(shí)際上就是應(yīng)用動(dòng)態(tài)鏈接技術(shù)對(duì)程序運(yùn)行中出現(xiàn)的安全性問題進(jìn)行檢測(cè)。

3.3 沙箱安全漏洞檢測(cè)技術(shù)

沙箱安全漏洞檢測(cè)技術(shù)實(shí)際上就是限制計(jì)算機(jī)軟件的訪問資源，以此來防止惡性攻擊。程序解釋技術(shù)也屬于比較傳統(tǒng)的動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)，也是應(yīng)用效果比較理想的安全漏洞檢測(cè)技術(shù)。程序解釋技術(shù)可以對(duì)計(jì)算機(jī)軟件進(jìn)行監(jiān)視，并對(duì)計(jì)算機(jī)軟件的安全性采用強(qiáng)制性檢測(cè)方法，并對(duì)計(jì)算機(jī)程序的運(yùn)行做出合理的解釋。但是，程序解釋技術(shù)的應(yīng)用會(huì)消耗較多的性能。

4 安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的應(yīng)用

4.1 防止格式化漏洞

計(jì)算機(jī)軟件安全漏洞的種類非常多，格式化安全漏洞就是經(jīng)常會(huì)出現(xiàn)的計(jì)算機(jī)軟件安全漏洞。對(duì)于格式化安全漏洞可以應(yīng)用代碼來常量計(jì)算機(jī)軟件格式，這樣就會(huì)降低惡性攻擊的機(jī)率，以此實(shí)現(xiàn)計(jì)算機(jī)軟件安全檢測(cè)的目標(biāo)。格式化漏洞的表現(xiàn)形式是字符，檢測(cè)和修復(fù)格式化安全漏洞可以從計(jì)算機(jī)軟件的參數(shù)入手，這樣就可以保證安全漏洞檢測(cè)結(jié)果的真實(shí)性和準(zhǔn)確性。格式化漏洞會(huì)導(dǎo)致用戶計(jì)算機(jī)內(nèi)寶貴的信息全部丟失，而且很難恢復(fù)，給用戶帶來巨大的損失。對(duì)此，技術(shù)人員必須認(rèn)識(shí)到加強(qiáng)格式化安全漏洞檢測(cè)和修復(fù)的重要性。

4.2 防止競(jìng)爭(zhēng)漏洞

競(jìng)爭(zhēng)漏洞也是比較常見的計(jì)算機(jī)軟件安全漏洞，對(duì)于競(jìng)爭(zhēng)漏洞，技術(shù)人員可以從計(jì)算機(jī)軟件的競(jìng)爭(zhēng)代碼開始檢測(cè)，實(shí)際上就是把計(jì)算機(jī)軟件代碼原子化，代碼屬于計(jì)算機(jī)軟件內(nèi)比較小的執(zhí)行單位，在運(yùn)行的過程中，代碼的通過性和效率非常高，原子化計(jì)算機(jī)軟件代碼可以讓代碼的特征更加明顯，而且可以鎖定部分代碼進(jìn)行檢測(cè)。很多競(jìng)爭(zhēng)漏洞是人為造成的，為了獲取更多有價(jià)值的信息，競(jìng)爭(zhēng)漏洞也成為很多企業(yè)比較畏懼的安全漏洞，一旦出現(xiàn)競(jìng)爭(zhēng)漏洞，企業(yè)將會(huì)面臨重大損失。

4.3 防止隨機(jī)漏洞

計(jì)算機(jī)軟件的隨機(jī)漏洞實(shí)際上就是計(jì)算機(jī)的隨機(jī)數(shù)發(fā)生器出現(xiàn)故障，無法正常運(yùn)行，對(duì)于隨機(jī)漏洞的防范技術(shù)人員必須先保證發(fā)生器可以正常運(yùn)行，然后對(duì)其中無法運(yùn)行的零部件進(jìn)行更換和調(diào)整，對(duì)隨機(jī)數(shù)發(fā)生器采取保護(hù)措施進(jìn)行保護(hù)。

計(jì)算機(jī)軟件的安全漏洞不僅影響計(jì)算機(jī)基本功能的發(fā)揮，也會(huì)損害用戶的切身利益，必須予以重視。安全方面的漏洞主要傾向于檢測(cè)數(shù)據(jù)是否存在計(jì)算錯(cuò)誤，內(nèi)存漏洞則更加傾向于檢測(cè)計(jì)算機(jī)軟件數(shù)據(jù)類型是否正確。雖然靜態(tài)安全漏洞檢測(cè)技術(shù)和動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)都會(huì)應(yīng)用于計(jì)算機(jī)軟件安全漏洞檢測(cè)中，但是檢測(cè)人員必須結(jié)合實(shí)際情況合理選擇安全漏洞檢測(cè)技術(shù)，這樣才能真正發(fā)揮出安全漏洞檢測(cè)技術(shù)的作用。在一定條件下，靜態(tài)安全漏洞檢測(cè)技術(shù)可以和動(dòng)態(tài)安全漏洞檢測(cè)技術(shù)結(jié)合在一起，以更好地保證計(jì)算機(jī)軟件的正常運(yùn)行。

[1]劉月.安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的應(yīng)用研究[J].科技傳播,2015(10).

[2]張暉.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].電子世界,2014(18).

[3]鄭思麗.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(16).

[4]汪剛.淺析計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)[J].電子制作,2014(24).

[5]王琰.關(guān)于計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的應(yīng)用研究[J].電子制作,2015(1).

[6]張永宏.試論計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].新教育時(shí)代電子雜志(教師版),2015(29).

[7]顏瑾.試述計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的應(yīng)用[J].大科技,2016(3).

[8]陳挺華.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].信息系統(tǒng)工程,2016(7).

Class No.:TP309 Document Mark：A

(責(zé)任編輯：宋瑞斌)

Application of Security Vulnerabilities Detection Technology to the Computer Software

Chen Zexi

(Heilongjiang Bayi Agricultural University, Daqing, Heilongjiang 163319，China)

With the rapid development of computer technology, the structure of computer software has been more and more complex. Computer software has been widely used in people's life and work, which brings convenience to people's life . But security holes of computer software lead to information loss and bring huge economic losses to users because of the expanding application of computer software. Security vulnerabilities detection technology used in the computer software can make a comprehensive analysis of potential safety hazard in the computer software to ensure the security of the computer software.

security vulnerabilities detection technology; computer software; application

陳澤晰，學(xué)生，黑龍江八一農(nóng)墾大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)。研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。

1672-6758(2017)02-0034-3

TP309

A