劉新亮 李巖峰 遼寧省高速公路路政管理局寬甸路政管理處

試論計算機軟件中安全漏洞檢測技術(shù)及其應(yīng)用

劉新亮 李巖峰 遼寧省高速公路路政管理局寬甸路政管理處

計算機軟件系統(tǒng)在研發(fā)的過程中，會出現(xiàn)一定的缺陷，這些缺陷會在計算機中埋下隱患，對用戶的個人信息安全造成威脅?；诖?，本文從計算機軟件中安全漏洞入手，分析了安全漏洞檢測技術(shù)及其在格式化漏洞、競爭漏洞、緩沖區(qū)漏洞以及隨機漏洞這四方面的應(yīng)用，意在幫助技術(shù)人員更好地應(yīng)用安全漏洞檢測技術(shù)。

計算機軟件 安全漏洞 靜態(tài)檢測技術(shù)

隨著科學(xué)技術(shù)的發(fā)展，信息網(wǎng)絡(luò)在很多行業(yè)受到了廣泛的應(yīng)用，信息網(wǎng)絡(luò)在很大程度上改變了人們的生活方式以及工作方式，我國已經(jīng)走進了信息化時代。為了滿足人們更加多樣化的需求，計算機軟件系統(tǒng)的功能越來越多，在功能豐富的同時，也帶來了安全漏洞，這些安全漏洞會對用戶的個人信息安全造成威脅，嚴(yán)重的時候會對用戶造成經(jīng)濟損失。因此，對于安全漏洞檢測技術(shù)的研究具有一定的實用價值。

1 計算機軟件中安全漏洞概述

計算機軟件中的漏洞主要是指計算機系統(tǒng)在編碼的過程中，出現(xiàn)的錯誤導(dǎo)致計算機軟件存在安全隱患，嚴(yán)重的時候，會對計算機系統(tǒng)造成損害。這里的漏洞主要包括功能性漏洞以及安全性漏洞，本文主要對安全性漏洞進行分析。安全漏洞并不會影響到計算機的正常使用，但是一旦該漏洞被不法分子發(fā)現(xiàn)，很有可能會泄漏用戶的個人信息。計算機漏洞的出現(xiàn)與軟件的運行環(huán)境息息相關(guān)，系統(tǒng)漏洞會隨著系統(tǒng)時間的增加而增多，而且，在系統(tǒng)漏洞被修復(fù)的時候，很有可能會出現(xiàn)新的漏洞。因此，在進行安全漏洞檢測時，需要注重這方面的內(nèi)容。

2 計算機軟件中安全漏洞檢測技術(shù)及其應(yīng)用

2.1 安全漏洞檢測技術(shù)

計算機中的安全漏洞檢測技術(shù)主要包括靜態(tài)檢測技術(shù)以及動態(tài)監(jiān)測技術(shù)。

首先是靜態(tài)檢測技術(shù)，靜態(tài)安全檢測技術(shù)主要用來檢測計算機系統(tǒng)內(nèi)部的安全性，通過掃描計算機軟件的源程序以及二進制代碼，從語義以及語法等方面進行異常信息的檢測。靜態(tài)安全檢測技術(shù)的掃描過程如下：首先進行計算機程序的掃描，對程序中的關(guān)鍵部分進行重點分析；然后按照計算機漏洞的標(biāo)準(zhǔn)分析檢測結(jié)果。靜態(tài)檢測技術(shù)會使用動態(tài)分析法進行語義以及語法的分析，還會將語義以及語法分成不同的段落，并將該段落和數(shù)據(jù)庫中的內(nèi)容進行對比，以此來檢測和預(yù)防安全漏洞。目前使用比較廣泛的靜態(tài)檢測技術(shù)包括模型檢測技術(shù)、詞法檢測技術(shù)、規(guī)則檢測技術(shù)以及變異語言技術(shù)等。

然后是動態(tài)檢測技術(shù)，動態(tài)檢測技術(shù)會將被測軟件中某個功能的運行狀況和預(yù)期的效果進行對比，觀察兩者之間的差距來判別軟件是否存在安全漏洞。動態(tài)檢測技術(shù)的針對性更強，檢測的時間也比較短。但是在應(yīng)用動態(tài)檢測技術(shù)的時候，計算機軟件系統(tǒng)的正常應(yīng)用會受到影響，這在某種程度上會為用戶造成新的安全隱患。目前使用較為廣泛的動態(tài)檢測技術(shù)包括非執(zhí)行棧技術(shù)、非執(zhí)行堆技術(shù)、內(nèi)存映射技術(shù)以及安全共享庫技術(shù)等。

2.2 安全漏洞檢測技術(shù)的應(yīng)用

第一，格式化漏洞，在計算軟件的所有安全漏洞中，出現(xiàn)頻率最高的即為格式化漏洞，為了解決格式化字符串導(dǎo)致的安全漏洞，可以通過軟件系統(tǒng)中的代碼進行計算機軟件格式的劑量，從根本上杜絕格式化字符串的產(chǎn)生。另外，使用windows操作系統(tǒng)中的窗口進行數(shù)據(jù)的輸出，能夠減少計算機軟件被惡性攻擊的概率，從而降低格式化漏洞威脅。在進行格式化漏洞的檢測和修復(fù)時，可以從計算機軟件的參數(shù)角度出發(fā)。

第二，競爭漏洞，競爭漏洞是由競爭條件導(dǎo)致的漏洞，該類漏洞是最常見的一種安全漏洞。對于該類漏洞的檢測，技術(shù)人員一般會從競爭代碼入手，也就是使用原子化的方法在競爭代碼處進行操作，轉(zhuǎn)變以前的編碼形式，使編碼不再滿足競爭條件，轉(zhuǎn)化為安全的狀態(tài)。計算機軟件的代碼在運行時，具有較高的代碼通過性以及代碼通過效率，如果將代碼進行原子化處理，能夠使代碼的特征更為顯著，從而對鎖定區(qū)域的代碼進行安全漏洞檢測。原子化檢測方法能夠有效避免計算機軟件出現(xiàn)競爭漏洞。

第三，緩沖區(qū)漏洞，如果計算機的緩沖區(qū)出現(xiàn)了漏洞，就表示計算機軟件系統(tǒng)安裝的安全漏洞檢測軟件不能繼續(xù)檢測計算機系統(tǒng)的安全。因此，需要進行安全漏洞檢測軟件的更新，安裝安全性較高的版本。另外，還可以在安全漏洞檢測軟件中添加危害函數(shù)檢測這一功能，共同進行安全漏洞的檢測和預(yù)防。

第四，隨機漏洞，隨機出現(xiàn)的安全漏洞是所有計算機軟件系統(tǒng)都會出現(xiàn)的漏洞，該漏洞會對計算機軟件系統(tǒng)的運行造成非常嚴(yán)重的危害，隨機漏洞需要使用性能較為優(yōu)異、準(zhǔn)確性也比較高的設(shè)備進行檢測和預(yù)防。就目前的研究現(xiàn)狀看來，研究學(xué)者已經(jīng)研發(fā)出符合隨機漏洞特性的的隨機發(fā)生設(shè)備，這類設(shè)備中存有密碼算法，這種自帶密碼的算法可以提前捕捉到計算機軟件系統(tǒng)中存在的隨機樹流。如果出現(xiàn)了隨機漏洞，且計算機被惡意攻擊的時候，隨機發(fā)生設(shè)備會立即發(fā)出干擾，間斷隨機漏洞獲取的數(shù)據(jù)流，以此來保護計算機軟件系統(tǒng)[2]。

3 結(jié)論

綜上所述，安全漏洞會隨著計算機的應(yīng)用拓展而越來越多，安全漏洞檢測技術(shù)的研究十分重要。分析可得，通過本文的分析可知，技術(shù)人員需要里了解安全漏洞的源頭，將靜態(tài)監(jiān)測技術(shù)和動態(tài)監(jiān)測技術(shù)進行配合使用，從而提高安全漏洞檢測工作的效率，確保計算機軟件的安全運行，從而保護信息系統(tǒng)的用戶安全。希望本文能夠為技術(shù)人員解決安全漏洞問題提供幫助。

[1]朱杰.計算機軟件中安全漏洞檢測技術(shù)及其應(yīng)用的探討[J].電腦迷,2017,(08):187.

[2]臺飛,高凌燕.安全漏洞檢測技術(shù)在計算機軟件中的應(yīng)用分析[J].電子制作,2013,(14):75.