論計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)的應(yīng)用

陳健

摘 要：隨著我國社會經(jīng)濟(jì)的不斷發(fā)展，科學(xué)技術(shù)開始受到了人們的廣泛關(guān)注，互聯(lián)網(wǎng)也開始進(jìn)入到了各個(gè)領(lǐng)域中，深入的影響著人們的日常生活。但是從實(shí)際上來說，由于計(jì)算機(jī)軟件中存在著安全漏洞問題，這樣也就給信息系統(tǒng)產(chǎn)生出了安全隱患。因此，在實(shí)際中就要及時(shí)對計(jì)算機(jī)軟件進(jìn)行分析，運(yùn)用好安全漏洞檢測技術(shù)，保證信息的安全。基于此本文針對計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)進(jìn)行了簡要闡述，并提出幾點(diǎn)個(gè)人看法，僅供參考。

關(guān)鍵詞：計(jì)算機(jī)軟件；安全漏洞；檢測技術(shù)；應(yīng)用分析

在互聯(lián)網(wǎng)的不斷影響下，計(jì)算機(jī)在人們的日常生活中也產(chǎn)生出了極為重要的影響，加之在源代碼數(shù)量增多的影響下，一些漏洞問題也在不斷的現(xiàn)象。黑客就是借助這些代碼中的漏洞進(jìn)入到計(jì)算機(jī)軟件中進(jìn)行破壞的。因此，在實(shí)際中就要運(yùn)用好計(jì)算機(jī)安全漏洞檢測技術(shù)，保證信息上的安全，提高用戶的使用效果。

一、計(jì)算機(jī)軟件中存在的漏洞

對于漏洞來說，就是針對計(jì)算機(jī)軟件中存在的漏洞來說的，也正是在這些漏洞的影響下，很容易對計(jì)算機(jī)軟件系統(tǒng)等方面產(chǎn)生出威脅，嚴(yán)重的還會對系統(tǒng)進(jìn)行攻擊。通過分析可以看出，造成計(jì)算機(jī)軟件出現(xiàn)漏洞的主要因素包含了在開發(fā)與研制軟件的過程中，設(shè)計(jì)人員出現(xiàn)操作失誤而導(dǎo)致的。一般來說，漏洞的表現(xiàn)形式包含了功能性與安全性漏洞兩種。功能性的漏洞中主要是指對計(jì)算機(jī)系統(tǒng)正常運(yùn)行產(chǎn)生影響的漏洞。如運(yùn)行結(jié)果上的錯(cuò)誤等。對于安全性的漏洞來說，主要是針對一般不能夠影響計(jì)算機(jī)或是軟件正常工作的漏洞。但是這些漏洞一旦被黑客所運(yùn)用，就會造成軟件執(zhí)行錯(cuò)誤的指令，嚴(yán)重的還會出現(xiàn)一些執(zhí)行代碼等，這樣也就提高了危險(xiǎn)程度[ 1 ]。

對于漏洞的特點(diǎn)來說，主要包含以下幾方面：

第一，在編制過程中出現(xiàn)的邏輯性錯(cuò)誤，且這種錯(cuò)誤往往是由于編制人員自身因素所造成的。

第二，在進(jìn)行數(shù)據(jù)處理的過程中所出現(xiàn)的邏輯性錯(cuò)誤，通過將過小或是過大的程序模塊等進(jìn)行對比，可以找出其中存在的邏輯性錯(cuò)誤。

第三，漏洞與計(jì)算機(jī)中軟件系統(tǒng)環(huán)境之間有著極為密切的影響，且在不同基礎(chǔ)上設(shè)備所組成的軟件系統(tǒng)與相同系統(tǒng)中不同設(shè)置上都可能存在安全漏洞。

第四，系統(tǒng)漏洞與時(shí)間上也有著極為密切的聯(lián)系。隨著時(shí)間的不斷變化，一些舊的漏洞不斷糾正，新的漏洞也在不斷出現(xiàn)，因此就要明確漏洞問題是長久性的問題之一。

二、計(jì)算機(jī)軟件安全漏洞檢測技術(shù)

（一）靜態(tài)檢測

傳統(tǒng)的計(jì)算機(jī)軟件安全漏洞靜態(tài)分析工作其實(shí)就是通過靜態(tài)分析的方法來進(jìn)行的，但是這種檢驗(yàn)的方法只能停留在表面上。隨著社會經(jīng)濟(jì)的不斷發(fā)展，對計(jì)算機(jī)軟件的檢測也開始進(jìn)行了改革與創(chuàng)新。靜態(tài)檢測的內(nèi)容也有了全新的變化，靜態(tài)分析與程序檢測。就靜態(tài)分析來說，主要是針對系統(tǒng)程序進(jìn)行源代碼掃描，并從語義等方面進(jìn)行全面的解析，從而對特性等進(jìn)行直接的分析，借助這種方法來找出存在的漏洞問題。對于程序檢驗(yàn)來說，就是針對抽象系統(tǒng)中的源代碼進(jìn)行檢驗(yàn)。借助這種檢驗(yàn)的方法，可以明確計(jì)算機(jī)系統(tǒng)是否可以滿足計(jì)算機(jī)中的要求，尤其是對于安全需求等方面來說的[ 2 ]。

在靜態(tài)檢測中，更多的是對計(jì)算機(jī)軟件系統(tǒng)程序中的內(nèi)部特性來說的，其主要關(guān)注的是系統(tǒng)程序的內(nèi)部特點(diǎn)。所以可以說靜態(tài)檢測的特點(diǎn)與檢測漏洞的特點(diǎn)之間存在著極為密切的聯(lián)系。通過對安全漏洞進(jìn)行劃分，可以將其劃分為幾個(gè)小的部分。大多數(shù)的檢測方法所能進(jìn)行處理的漏洞都是比較分散的。因此，為了對漏洞進(jìn)行對比，就可以將其分為安全性與內(nèi)存性兩種。在安全性的漏洞中更加關(guān)注的是數(shù)據(jù)流上的誤差與錯(cuò)誤。而對于內(nèi)存性的漏洞來說，則主要是是針對數(shù)據(jù)自身的準(zhǔn)確性等方面來說的。靜態(tài)檢測法的技術(shù)特點(diǎn)都存在著一定的區(qū)別，所以對漏洞的處理方法也存在著一定的不同。

（二）程序檢驗(yàn)

對于程序檢驗(yàn)來說，就是在抽象軟件系統(tǒng)程序的影響下來獲取形式化的模型，并通過運(yùn)用這種檢測方法實(shí)現(xiàn)有效的檢測。在模型檢驗(yàn)方法中就是在有限的條件下來對系統(tǒng)程序或是狀態(tài)等進(jìn)行抽象模型的監(jiān)理，從而完成檢驗(yàn)工作。一般來說，可以將其分為符號化的檢驗(yàn)與模型自動轉(zhuǎn)化兩種。對于符號化來說，就是將瞅一昂的模型轉(zhuǎn)變?yōu)檎Z法樹的模式，從而判斷公式等方面是否可以滿足實(shí)際的需求[ 3 ]。

（三）安全動態(tài)監(jiān)測

第一，內(nèi)存映射。一些黑客在攻擊與破壞軟件的過程中常常會采用“NULL”為結(jié)尾的字符串，以此來實(shí)現(xiàn)內(nèi)存覆蓋。且借助代碼頁映射技術(shù)，黑客就可以借助這一字符串來實(shí)現(xiàn)攻擊的目標(biāo)。

第二，非執(zhí)行棧。就現(xiàn)階段來說，一些棧攻擊軟件問題不斷出現(xiàn)，而造成這一現(xiàn)象的主要原因就是在系統(tǒng)中棧的執(zhí)行能力。由于棧內(nèi)存在存在著所有數(shù)字變量，因此，黑客就可以通過寫入一些代碼來進(jìn)行攻擊。所以想要預(yù)防這一攻擊方法就可以對棧的執(zhí)行力進(jìn)行破壞，以此來避免代碼的執(zhí)行。

第三，安全共享庫。在一些計(jì)算機(jī)中，之所以出現(xiàn)安全漏洞主要是由于受到了不安全的共享庫而造成的。在安全共享庫的影響下，可以在一定程度上攔截惡意攻擊的行為，加之其中具備了攔截與檢測的能力，所以也就可以通過程序運(yùn)行來將不安全的因素進(jìn)行檢測與攔截，從而保護(hù)計(jì)算機(jī)系統(tǒng)軟件的安全。

三、計(jì)算機(jī)軟件漏洞檢測技術(shù)的實(shí)際運(yùn)用

第一，避免競爭條件安全漏洞上的運(yùn)用。對于這種漏洞來說，主要是借助原子化來處理競爭編碼，加之其具備鎖定的能力，所以當(dāng)原子化操作進(jìn)入到鎖定階段以后，就可以在一定程度上避免使用文件出現(xiàn)變動，從而造成漏洞的出現(xiàn)。

第二，緩沖區(qū)安全漏洞檢測技術(shù)。對于這一檢測技術(shù)來說，主要是針對一些存在疑問的函數(shù)等進(jìn)行檢測，從而避免出現(xiàn)安全漏洞。

第三，隨機(jī)漏洞的預(yù)防。對于隨機(jī)漏洞來說，進(jìn)行有效的預(yù)防與檢測是需要借助性能高的隨機(jī)發(fā)生設(shè)備來進(jìn)行的，且這種設(shè)備可以準(zhǔn)確對漏洞進(jìn)行預(yù)防[ 4 ]。

四、結(jié)語

綜上所述可以看出，隨著信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)軟件安全問題也開始受到了人們的廣泛關(guān)注。因此，在實(shí)際中就要做好計(jì)算機(jī)軟件漏洞的檢測工作，保證計(jì)算機(jī)的安全運(yùn)行，同時(shí)還要不斷提高計(jì)算機(jī)軟件安全漏洞檢測技術(shù)的運(yùn)用效果，保證網(wǎng)絡(luò)信息的安全。

參考文獻(xiàn)：

[1] 陳楷.計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2010（07）：90.