摘 要 置身信息社會(huì)的人們最關(guān)注的幾個(gè)熱點(diǎn)問題之一便是網(wǎng)絡(luò)安全，如何做好網(wǎng)絡(luò)安全的防范措施顯得尤為重要，而對(duì)計(jì)算機(jī)上軟件的安全漏洞進(jìn)行檢測(cè)，是發(fā)現(xiàn)本質(zhì)問題的最佳手段。只有提高安全檢測(cè)的能力和加強(qiáng)預(yù)防技術(shù)，才能有效地解決網(wǎng)絡(luò)安全的隱患，保障個(gè)人資料及商務(wù)信息的安全。本文就安全漏洞的檢測(cè)技術(shù)在計(jì)算機(jī)軟件當(dāng)中的應(yīng)用這一問題，提出一些見解。

關(guān)鍵詞 計(jì)算機(jī)；網(wǎng)絡(luò)安全；軟件安全漏洞；檢測(cè)技術(shù)

中圖分類號(hào) TP309 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)061-0168-01

計(jì)算機(jī)的軟件是其賴以生存的基石，也是網(wǎng)絡(luò)運(yùn)作的保證。系統(tǒng)的操作、網(wǎng)絡(luò)的通信等，都以計(jì)算機(jī)軟件的形式存在，大多數(shù)的黑客入侵網(wǎng)絡(luò)、破壞系統(tǒng)等都是以計(jì)算機(jī)軟件的漏洞為基礎(chǔ)的，因此，軟件的缺點(diǎn)和不足對(duì)網(wǎng)絡(luò)通信、商務(wù)資料及個(gè)人隱私存在著相當(dāng)大的威脅。甚至就連入侵的檢測(cè)系統(tǒng)、防火墻和殺毒軟件的存在也對(duì)這種攻擊軟件的安全漏洞的破壞沒有顯著的效果，而且還會(huì)帶來其他的漏洞。

1 計(jì)算機(jī)軟件中存在的安全漏洞

計(jì)算機(jī)軟件中的漏洞是指一個(gè)系統(tǒng)或程序內(nèi)部存在的缺陷或者不足，這些缺陷或者不足導(dǎo)致系統(tǒng)在某一些特定的威脅下無法抵御。軟件的設(shè)計(jì)過程中，由于開發(fā)人員有意或者無意的情況下造成的事物，導(dǎo)致了系統(tǒng)存在一些潛在的不安全的可能，會(huì)在將來的運(yùn)行當(dāng)中被攻擊者利用而導(dǎo)致崩潰。

在當(dāng)今這個(gè)信息飛速的時(shí)代，整個(gè)社會(huì)都對(duì)計(jì)算機(jī)的系統(tǒng)產(chǎn)生的強(qiáng)烈的依賴，與此同時(shí)，人們也逐漸意識(shí)到計(jì)算機(jī)安全的特殊的重要性。我們都為自己的計(jì)算機(jī)裝上了殺毒軟件、網(wǎng)盾、防火墻等等一系列產(chǎn)品，但是對(duì)于目前高技能的“黑客”們來說，已經(jīng)沒有太大的作用了。更有甚者，有的反病毒、反黑客軟件，若是運(yùn)用不好，極有可能會(huì)帶來新的問題。

2 軟件漏洞的動(dòng)態(tài)檢測(cè)技術(shù)

所謂動(dòng)態(tài)監(jiān)測(cè)技術(shù)，就是指在不變更目標(biāo)程序的原代碼或者二進(jìn)制代碼的條件下，對(duì)改程序運(yùn)行過程中是否存在安全漏洞進(jìn)行檢測(cè)的技術(shù)。以下為動(dòng)態(tài)檢測(cè)的幾種常用方法。

2.1 內(nèi)存映射技術(shù)

內(nèi)存映射技術(shù)只有對(duì)那些需要依靠固定的地址或是使用一些高端地址的應(yīng)用程序才會(huì)有影響作用，它通過使用映射代碼頁的方法，使得想要侵入的攻擊者幾乎不能通過NULL結(jié)尾的字符串轉(zhuǎn)換到低端的內(nèi)存區(qū)域，而把代碼頁映射到一些隨機(jī)地址中，將給攻擊者們?cè)斐煞浅４蟮睦щy。這項(xiàng)技術(shù)的執(zhí)行需要修改操作系統(tǒng)的內(nèi)核，它雖然能夠檢測(cè)并且阻止內(nèi)存中的地址跳轉(zhuǎn)的攻擊，但卻無法檢測(cè)并阻止新的代碼的攻擊。

2.2 執(zhí)行棧技術(shù)

很多攻擊者常常采取向棧中注入惡意代碼這種方式，來破壞其編寫與執(zhí)行，想要改變其內(nèi)部的變量，以此執(zhí)行惡意的代碼。這時(shí)，我們可以禁止棧執(zhí)行其代碼的能力，采取這樣的方法可以在一定程度上對(duì)攻擊起到預(yù)防的作用。

2.3 沙箱技術(shù)

沙箱技術(shù)是指，限制一個(gè)進(jìn)程將要訪問的資源的來源或者說是連接，以預(yù)防某些可能的攻擊行為。這種技術(shù)只需要對(duì)相應(yīng)的應(yīng)用程序預(yù)先設(shè)置一個(gè)資源連接訪問的針對(duì)性策略，而策略的安全則不需要對(duì)操作系統(tǒng)的內(nèi)核以及相應(yīng)的應(yīng)用程序做出任何改變。

2.4 非執(zhí)行堆與數(shù)據(jù)技術(shù)

一些數(shù)據(jù)段和非執(zhí)行的堆會(huì)破壞計(jì)算機(jī)軟件的正常運(yùn)行過程，而非執(zhí)行堆與數(shù)據(jù)技術(shù)能夠禁止這些數(shù)據(jù)段與非執(zhí)行堆的運(yùn)行，從而使惡意代碼不能執(zhí)行。這種方法可以檢測(cè)出所有內(nèi)存中存在的惡意的代碼，并且阻止它們的執(zhí)行，但是不能檢測(cè)修改函數(shù)和函數(shù)參數(shù)，也無法預(yù)防，同時(shí)也沒有辦法同時(shí)兼容其他眾多的應(yīng)用程序。

2.5 程序解釋技術(shù)

程序解釋技術(shù)是指在啟動(dòng)程序以后來監(jiān)視程序的運(yùn)行并進(jìn)行強(qiáng)制安全檢查的方法，最常用的就是程序監(jiān)視器，這主要是針對(duì)非原始的代碼進(jìn)行的。該技術(shù)不用對(duì)系統(tǒng)的內(nèi)核或者程序的代碼做出任何變動(dòng)就能對(duì)動(dòng)態(tài)生成的代碼進(jìn)行安全監(jiān)測(cè)，但是還是會(huì)對(duì)系統(tǒng)、程序的運(yùn)行和兼容性能造成不同程度的危害。

3 軟件漏洞的靜態(tài)檢測(cè)技術(shù)

軟件漏洞的靜態(tài)檢測(cè)技術(shù)是利用分析程序的技術(shù)來對(duì)應(yīng)用程序的二進(jìn)制代碼或者源代碼進(jìn)行分析的技術(shù)方法。常用的軟件漏洞的靜態(tài)檢測(cè)技術(shù)方法有以下幾種。

3.1 元編譯技術(shù)

要求程序的安全屬性，作為輕量級(jí)的編譯器擴(kuò)展、建模執(zhí)行，也可以自發(fā)的推斷去檢測(cè)代碼的安全性，并且編寫出與之相應(yīng)的編譯擴(kuò)展，這就是元編譯技術(shù)。元編譯技術(shù)只是以編譯器為基礎(chǔ)的一項(xiàng)簡(jiǎn)單的技術(shù)，不僅報(bào)誤率極低，而且還不會(huì)帶來一些語言特性的心的拓展。

3.2 變異語技術(shù)

變異語技術(shù)通常是指限制算術(shù)運(yùn)算、不安全的轉(zhuǎn)換、goto的隨意跳轉(zhuǎn)、多點(diǎn)隨意轉(zhuǎn)變、setjmp和longjump等可能導(dǎo)致安全隱患的操作，多使用C或C++語言的安全編程變異技術(shù)。相比動(dòng)態(tài)檢測(cè)的局限性，對(duì)軟件源代碼或其二進(jìn)制代碼進(jìn)行檢測(cè)的靜態(tài)檢測(cè)有其自身優(yōu)勢(shì)。衡量靜態(tài)檢測(cè)好壞的指標(biāo)主要有二：漏報(bào)率和誤報(bào)率。能利用的靜態(tài)檢測(cè)的錯(cuò)誤越多，那么編寫出的程序就越發(fā)可靠。

3.3 程序評(píng)注技術(shù)

這項(xiàng)技術(shù)不會(huì)為原有代碼增加任何新的語言特色，只會(huì)以注視的形式表現(xiàn)出來，所以不存在任何兼容性的問題。它憑借評(píng)注的信息從而加深靜態(tài)分析，以此找出系統(tǒng)、程序的潛在漏洞。此外，還需要把外部的數(shù)據(jù)標(biāo)記為tainted，這些最終都要由代碼審計(jì)人員對(duì)產(chǎn)生的警告一一進(jìn)行排查。

3.4 約束解算器技術(shù)

約束解算器技術(shù)，是直接對(duì)目標(biāo)程序的特定屬性進(jìn)行約束建模，然后再運(yùn)用靜態(tài)分析來解算該約束。這種方法不用對(duì)源程序做出任何評(píng)注，但是它會(huì)導(dǎo)致大量的誤報(bào)，因此會(huì)加大工作人員的工作量。

3.5 類型推斷技術(shù)

一般來說，這是一種通過對(duì)某種或某幾種特別的用戶輸入或指針等數(shù)據(jù)使用一種新型的修飾來增加其安全約束的方法。該技

術(shù)有著高校、適合檢測(cè)較大應(yīng)用程序的優(yōu)勢(shì)，但它還是存在著兼容性方面的問題。

目前來說，程序、軟件的安全是計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的基礎(chǔ)，針對(duì)這一局面而言，研究編寫安全的軟件和檢測(cè)并且消除程序的漏洞稱為軟件安全的重點(diǎn)所在。本文主要闡述了計(jì)算機(jī)軟件漏洞檢測(cè)技術(shù)中的動(dòng)態(tài)監(jiān)測(cè)技術(shù)和靜態(tài)檢測(cè)技術(shù)，分析并總結(jié)了這兩種技術(shù)的常用方法。通過對(duì)二者的對(duì)比，我們可以得到提高計(jì)算機(jī)軟件安全性的有效方法——將這兩種方法復(fù)合使用。將動(dòng)態(tài)與靜態(tài)檢測(cè)技術(shù)相結(jié)合使用主要是先利用靜態(tài)檢測(cè)技術(shù)對(duì)程序的內(nèi)部特征進(jìn)行分析，然后在從中篩選出測(cè)試數(shù)據(jù)集，然后進(jìn)行動(dòng)態(tài)測(cè)試，該方法稱為SD方法。在第一輪進(jìn)行靜態(tài)測(cè)試之前先進(jìn)行一次動(dòng)態(tài)測(cè)試，從而排除一些不可能達(dá)到的輸入情況，能夠簡(jiǎn)化靜態(tài)檢測(cè)的復(fù)雜性，這種方法被稱為DSD方法。它們都是動(dòng)態(tài)與靜態(tài)相結(jié)合的檢測(cè)方式，這樣不僅在很大程度上降低了安全風(fēng)險(xiǎn)，而且一定程度上避免了各自的弊端。

參考文獻(xiàn)

[1]張愛玲.網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù)與分析[J].教育教學(xué)刊，2011，12.

[2]宋超臣.計(jì)算機(jī)安全漏洞檢測(cè)技術(shù)綜述[J].信息網(wǎng)絡(luò)安全，2012，01.

[3]冉崇善.軟件設(shè)計(jì)中的安全漏洞動(dòng)態(tài)檢測(cè)技術(shù)分析[J].微計(jì)算機(jī)信息，2010，06.