計算機軟件安全漏洞檢測分析

張魏 荊州職業技術學院

1 計算機軟件安全漏洞概念

計算機安全漏洞。漏洞是指一個系統存在的弱點或缺陷，系統對特定威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟件或操作系統設計時的缺陷或編碼時產生的錯誤，也可能來自業務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處。

這些缺陷、錯誤或不合理之處可能被有意或無意地利用，從而對一個組織的資產或運行造成不利影響，如信息系統被攻擊或控制，重要資料被竊取，用戶數據被篡改，系統被作為入侵其他主機系統的跳板。從目前發現的漏洞來看，應用軟件中的漏洞遠遠多于操作系統中的漏洞，特別是WEB應用系統中的漏洞更是占信息系統漏洞中的絕大多數。

2 計算機軟件安全檢測現狀

2.1 針對性不強

現階段，有相當數量的檢測人員并不會按照計算機軟件的實際應用環境進行安全監測，而是實施模式化的檢測手段對計算機的各種軟件展開測試，導致其檢測結果出現偏差。毫無疑問，這種缺乏針對性的軟件安全檢測方式，無法確保軟件檢測結果的普適性。基于此，會導致軟件中那些潛在的安全風險并未獲得根本上的解決，以至于在后期運行中給人們的運行造成不利影響。須知檢測人員更應當針對計算機使用用戶的需求、計算機系統及代碼等特點，并以軟件的規模為依據，選擇最為恰當的一種安全檢測方法，只有這樣，才能夠提高檢測水平，使用戶獲得優質的服務。

2.2 長期存在被病毒感染的風險

現代病毒可以借助文件、郵件、網頁等諸多方式在網絡中進行傳播和蔓延，它們具有自動啟動功能，常常潛入系統核心與內存，為所欲為，甚至造成整個計算機網絡數據傳輸中斷和系統癱瘓。

2.3 缺乏對計算機內部結構的分析

在進行對計算機軟件的安全監測過程中，必須應當對軟件的內部結構實施系統分析，方能體現檢測過程的完成性。然而，卻又許多的檢測人員對計算機軟件的內部結構所知甚少，缺乏系統的認知與檢測意識，使得在面臨安全性問題時，檢測人員無法第一時間對所發生的問題展開及時處理，最終致使計算機軟件運行不穩定。

3 計算機軟件安全漏洞檢測范疇

3.1 安全動態檢測技術研究

（1）非執行棧技術。由于內部變量特別是數組的變量都存在于棧中的，所以攻擊者可以向棧中寫入惡性代碼，之后找辦法來執行此段代碼。防范棧被攻擊最直接的就是讓棧不可以執行代碼。只有這樣才能使攻擊者寫在棧中的惡意代碼，不能被執行，從一定程度看它防止了攻擊者。（2）非執行堆和數據技術。鑒于堆主要是在程序運行的時候動態分配內存的一個區域，數據段卻是在程序編譯的時候就應經初始化了。堆與數據段如果都不可以執行代碼，那么攻擊者寫入它們當中的惡性代碼就不能執行。（3）內存映射技術。利用以NULL結尾的一些字符串來覆蓋內存，是有些攻擊者常用的方式。利用映射代碼頁的方法，便可以使攻擊者較為困難的使用以NULL結尾的那些字符串順利的跳轉到比較低的內存區當中。（4）安全共享庫技術。有些安全漏洞主要是源于利用了一些不安全性的共享庫。安全共享庫技術可以在一定的程度之上防止攻擊者所展開的攻擊。（5）程序解釋技術。從實踐來看，當前技術效果最為顯著的一種方法是在程序完成后，對該程序行為進行監視，并強制對其進行安全檢測，此時需要解釋程序的一些執行。

3.2 安全靜態檢測技術的研究

（1）漏洞分類檢測。安全漏洞的分類方法是多種多樣的。按照已有的方法分類，則漏洞就會分為幾個非常細致的部分，絕大多數的檢測技術可以覆蓋的漏洞相對零散、分散，因此難以在漏洞類型上找到它們所共有的特點。因此，為了方便比較，可將漏洞進行分類，安全方面的漏洞與內存方面的漏洞。（2）靜態檢測技術。靜態分析：該方法主要是對程序代碼進行直接掃面，并提取其中的關鍵語法和句式，通過解釋其語義來理解程序行為，然后在嚴格按照事先預設的漏洞特征及計算機系統安全標準，對系統漏洞進行全面檢查。

4 完善計算機軟件安全檢測的對策

4.1 模糊檢測

模糊檢測的技術基礎依賴于白盒技術，由于白盒技術可以較為高效地繼承模糊檢測與動態檢測的綜合優點，其檢測效果也比較準確。

4.2 以故障注入為背景的安全性檢測

這種檢測方法的關鍵就在于構建故障樹。該檢測法可以把軟件系統中發生故障率最小的事件先當成是頂層事件，接著再依次明確中間事件、底層事件等，最后，就能夠通過邏輯門符號來完成對底層事件、中間事件以及頂層事件的連接，構建故障樹。該檢測法的優勢就在于能夠實現對故障檢測的自動化，可高效地體現故障檢測的效果。

4.3 以故障注入為背景的安全性檢測

這種檢測方法的關鍵就在于構建故障樹。該檢測法可以把軟件系統中發生故障率最小的事件先當成是頂層事件，接著再依次明確中間事件、底層事件等，最后，就能夠通過邏輯門符號來完成對底層事件、中間事件以及頂層事件的連接，構建故障樹。該檢測法的優勢就在于能夠實現對故障檢測的自動化，可以十分高效地體現故障檢測的效果。

[1]洪霞，余素珍.計算機軟件安全檢測技術探析[J].科技創新與應用，2016，24（19）：83.

[2]劉露.淺議計算機軟件安全檢測技術[J].數字技術與應用，2016，17（05）：204.