廖旭

目前計(jì)算機(jī)技術(shù)的普及，軟件系統(tǒng)也不斷進(jìn)行升級(jí)與更新。人們對(duì)計(jì)算機(jī)的安全也日益關(guān)注。而計(jì)算機(jī)本身存在的漏洞對(duì)安全檢測(cè)技術(shù)提出了更嚴(yán)峻的難題。本文通過(guò)計(jì)算機(jī)的軟件工程出現(xiàn)的安全漏洞，來(lái)分析軟件工程相應(yīng)的檢測(cè)技術(shù)。通過(guò)檢測(cè)技術(shù)在軟件工程的運(yùn)用來(lái)保障計(jì)算機(jī)的使用安全。

【關(guān)鍵詞】安全漏洞 檢測(cè)技術(shù) 軟件工程

隨著信息化技術(shù)的發(fā)展，人們的生活也離不開(kāi)計(jì)算機(jī)的使用。計(jì)算機(jī)的安全系統(tǒng)就顯得十分重要。近年來(lái)，利用軟件系統(tǒng)的漏洞導(dǎo)致針對(duì)計(jì)算機(jī)的攻擊事件逐年上升，這就導(dǎo)致計(jì)算機(jī)內(nèi)部存在的安全漏洞成為自身安全的重大威脅。雖然電腦本身有很多殺毒軟件的程序，但是這些程序本身也存在一些問(wèn)題，沒(méi)能起到保護(hù)電腦的作用。因此，針對(duì)計(jì)算機(jī)安全漏洞技術(shù)的檢測(cè)在目前來(lái)看十分必要。

1 軟件工程面臨的問(wèn)題

計(jì)算機(jī)內(nèi)部軟件本身在設(shè)計(jì)的時(shí)候就存在一些缺陷和問(wèn)題，在軟件研發(fā)期間，由于研發(fā)人員對(duì)技術(shù)掌握不是十分熟練，再加上軟件本身存在的問(wèn)題都會(huì)導(dǎo)致計(jì)算機(jī)內(nèi)部存在安全漏洞。最近幾年發(fā)生的黑客攻擊網(wǎng)絡(luò)的事件增加，計(jì)算機(jī)本身存在安全系統(tǒng)的缺陷給網(wǎng)絡(luò)黑客攻擊電腦提供可乘之機(jī)。

計(jì)算機(jī)內(nèi)部軟件本身屬于需要耗費(fèi)大量物力、人力、財(cái)力才能完成的高科技產(chǎn)品。相關(guān)產(chǎn)業(yè)在研發(fā)上付出了很大的代價(jià)。但是計(jì)算機(jī)內(nèi)部軟件的缺點(diǎn)處理存在安全漏洞之外，可復(fù)制技術(shù)十分容易。目前全球使用盜版的計(jì)算機(jī)內(nèi)部軟件情況十分嚴(yán)重，我國(guó)正好屬于盜版使用的重災(zāi)區(qū)。這些問(wèn)題導(dǎo)致除了給研發(fā)企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失外，也給不法分子帶來(lái)可乘之機(jī)，通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)的攻擊，復(fù)制相關(guān)的數(shù)據(jù)，給個(gè)人、社會(huì)和國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)損失。最近幾年發(fā)生的針對(duì)部分單位的網(wǎng)絡(luò)攻擊，很大原因就是利用相關(guān)漏洞來(lái)擾亂正常秩序。

計(jì)算機(jī)的漏洞有以下方面：

（1）編程數(shù)據(jù)出現(xiàn)了邏輯性的錯(cuò)誤，原因基本是設(shè)計(jì)人員的疏忽大意；

（2）計(jì)算機(jī)在運(yùn)行上也會(huì)產(chǎn)生相應(yīng)的邏輯性錯(cuò)誤，并且發(fā)生率較高；

（3）漏洞與軟件環(huán)境相互依存；

（4）舊漏洞修復(fù)之后還會(huì)產(chǎn)生新的漏洞。

2 安全漏洞的檢測(cè)技術(shù)

2.1 靜態(tài)檢測(cè)技術(shù)

靜態(tài)分析是指針對(duì)計(jì)算機(jī)安全漏洞的靜態(tài)檢測(cè)。目前的靜態(tài)檢測(cè)技術(shù)主要有兩種形式，除了靜態(tài)分析外，還有程序檢驗(yàn)。

2.1.1 靜態(tài)分析

靜態(tài)分析主要內(nèi)容是，對(duì)軟件系統(tǒng)內(nèi)部的源代碼進(jìn)行掃描，根據(jù)掃描的結(jié)果來(lái)查找關(guān)鍵句和語(yǔ)法。通過(guò)解讀程序的含義及行為展開(kāi)分析，按照系統(tǒng)的漏洞特性和安全標(biāo)準(zhǔn)來(lái)完成檢測(cè)工作。針對(duì)分析上，首先要分析關(guān)鍵詞和語(yǔ)法，通過(guò)檢查語(yǔ)法方面的內(nèi)容，把系統(tǒng)劃分為若干片段，把這些片段與數(shù)據(jù)庫(kù)的內(nèi)容展開(kāi)分析對(duì)比，來(lái)檢測(cè)系統(tǒng)內(nèi)部是否存在漏洞，并因此開(kāi)展工作。但是這種檢測(cè)工作缺電是檢測(cè)數(shù)量有限，有些已知的漏洞出現(xiàn)重復(fù)檢測(cè)，也有部分內(nèi)容沒(méi)有檢測(cè)出來(lái)；其次需根據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)軟件內(nèi)部開(kāi)展嚴(yán)格檢測(cè)，一般系統(tǒng)能在安全、穩(wěn)定的運(yùn)行情況下就設(shè)定為安全標(biāo)準(zhǔn)。針對(duì)檢測(cè)方法，先用語(yǔ)法模式的描述來(lái)運(yùn)行該標(biāo)準(zhǔn)，然后再運(yùn)用規(guī)則處理器來(lái)運(yùn)行，當(dāng)語(yǔ)法模式轉(zhuǎn)變?yōu)閮?nèi)部程序模式之后，來(lái)測(cè)定全面檢測(cè)系統(tǒng)的運(yùn)行情況。

2.1.2 程序檢驗(yàn)

程序檢驗(yàn)通過(guò)軟件系統(tǒng)的程序來(lái)確定形式化的程序與模型，隨后程序要進(jìn)行形式化的檢測(cè)，再通過(guò)其他檢測(cè)方式來(lái)檢測(cè)軟件系統(tǒng)內(nèi)部的漏洞情況。首先把模型進(jìn)行設(shè)計(jì)，通過(guò)系統(tǒng)程序來(lái)設(shè)計(jì)模型，設(shè)計(jì)好的模型應(yīng)及時(shí)進(jìn)行系統(tǒng)檢測(cè)，一般采用的檢測(cè)方式有符號(hào)化檢驗(yàn)和模型自動(dòng)化檢驗(yàn)兩種。符號(hào)化檢驗(yàn)的主要內(nèi)容是，將模型轉(zhuǎn)變成語(yǔ)法樹(shù)對(duì)數(shù)據(jù)內(nèi)容展開(kāi)公式描述，通過(guò)內(nèi)容來(lái)判斷公式與內(nèi)容能否相同；模型自動(dòng)化的檢驗(yàn)主要是把程序轉(zhuǎn)換為等價(jià)自動(dòng)機(jī)，兩個(gè)自動(dòng)機(jī)可對(duì)新的自動(dòng)機(jī)進(jìn)行替換，通過(guò)可容納的語(yǔ)言形式來(lái)判定程序系統(tǒng)是否發(fā)生轉(zhuǎn)變。模型檢驗(yàn)最大的問(wèn)題是，由于操作系統(tǒng)復(fù)雜，軟件不可能構(gòu)建所有的建模。但是隨著檢測(cè)技術(shù)的發(fā)展，可以通過(guò)內(nèi)存建模和定理證明的方法來(lái)檢測(cè)漏洞的存在，從而使檢驗(yàn)的嚴(yán)密性程度得到加強(qiáng)。靜態(tài)檢測(cè)最大的弱點(diǎn)就是只能檢查現(xiàn)有漏洞，對(duì)其他位置漏洞無(wú)法預(yù)測(cè)及防范，靜態(tài)檢測(cè)對(duì)現(xiàn)有漏洞的覆蓋也無(wú)法全面、有效，此外成本巨大也是其調(diào)高檢測(cè)質(zhì)量面臨最大的掣肘。

2.2 動(dòng)態(tài)檢測(cè)技術(shù)

動(dòng)態(tài)分析是指針對(duì)計(jì)算機(jī)安全漏洞的動(dòng)態(tài)檢測(cè)。目前的動(dòng)態(tài)檢測(cè)主要技術(shù)有：內(nèi)存映射、非執(zhí)行棧、安全共享庫(kù)等。

2.2.1 內(nèi)存映射

一般黑客攻擊使用的方式都是“NULL”結(jié)尾的字符串進(jìn)行對(duì)計(jì)算機(jī)的攻擊。通過(guò)代碼的內(nèi)存映射技術(shù)，把原有的內(nèi)存覆蓋難度逐漸加大，使黑客無(wú)法直接進(jìn)入內(nèi)存區(qū)進(jìn)行操作。也就是說(shuō)由于程序內(nèi)部的代碼頁(yè)存在內(nèi)存映射的情況，使黑客無(wú)法猜測(cè)地址進(jìn)行頁(yè)面攻擊。

2.2.2 非執(zhí)行棧

如果把棧的代碼形式改變成無(wú)法執(zhí)行的代碼即非執(zhí)行棧，可以有效預(yù)防程序攻擊。原因在于系統(tǒng)的棧本身包含內(nèi)部和數(shù)組的變量，執(zhí)行方面存在問(wèn)題，所以攻擊者通過(guò)亂入惡意代碼并執(zhí)行代碼，就可以攻擊內(nèi)部軟件。

2.2.3 安全共享庫(kù)

共享庫(kù)的不安全對(duì)軟件安全的漏洞是顯而易見(jiàn)的。安全共享庫(kù)的主要內(nèi)容是將有效預(yù)防軟件系統(tǒng)受到人為攻擊，主要方式是采取程序運(yùn)行時(shí)對(duì)不安全函數(shù)進(jìn)行檢測(cè)與攔截。

3 安全漏洞的檢測(cè)應(yīng)用

3.1 預(yù)防競(jìng)爭(zhēng)性漏洞

針對(duì)競(jìng)爭(zhēng)性漏洞，可采取把相關(guān)編碼原子化的方式操作。原子化最為最小的編碼，程序運(yùn)行不會(huì)受到任何干擾。通過(guò)原子化操作將程序鎖定，對(duì)文件系統(tǒng)名稱(chēng)間接調(diào)用，來(lái)描述所用文件的名稱(chēng)。

3.2 預(yù)防隨機(jī)性漏洞

針對(duì)隨機(jī)性漏洞，運(yùn)用一套運(yùn)行正常、良好的設(shè)備。將設(shè)備作為隨機(jī)數(shù)的發(fā)生器，通過(guò)設(shè)備自身存在的密碼算法，來(lái)保障設(shè)備自身的安全。在遭到黑客攻擊的情況下，黑客就算掌握了軟件的所有算法細(xì)節(jié)，也無(wú)法查詢(xún)到對(duì)應(yīng)的數(shù)據(jù)流。

3.3 預(yù)防緩沖區(qū)漏洞

針對(duì)緩沖區(qū)漏洞，預(yù)防時(shí)可以檢查軟件系統(tǒng)內(nèi)部存在的危險(xiǎn)函數(shù)，同時(shí)采用升級(jí)更新或者安裝等手段用更加安全的版本來(lái)取代存在問(wèn)題的版本。

4 結(jié)語(yǔ)

綜上所述，計(jì)算機(jī)軟件的安全性在日常生活中十分重要，由于軟件的安全漏洞的問(wèn)題導(dǎo)致計(jì)算機(jī)被攻擊的情況時(shí)有發(fā)生。通過(guò)對(duì)安全漏洞檢測(cè)技術(shù)的分析，來(lái)認(rèn)識(shí)軟件安全漏洞處理的重要性。避免帶來(lái)重大的經(jīng)濟(jì)損失。同樣，相關(guān)技術(shù)人員在研發(fā)上，不斷加強(qiáng)計(jì)算機(jī)軟件的安全漏洞檢測(cè)技術(shù)，來(lái)保障計(jì)算機(jī)能安全穩(wěn)定的運(yùn)行。

參考文獻(xiàn)

[1]周亮.安全漏洞檢測(cè)技術(shù)在軟件工程中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（02）：56-57.

[2]高妍.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)與應(yīng)用[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2014（04）：172-173.

[3]李舟軍，張俊賢，廖湘科，等.軟件安全漏洞檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2015（04）：717-732.

作者單位

中國(guó)海洋石油總公司 北京市 100010