段明慧

摘要：文章探討了計算機軟件安全漏洞，分析了常見的安全漏洞檢測技術，研究了安全漏洞檢測技術在計算機軟件中的運用，希望可以對安全漏洞進行有效檢測，讓計算機軟件在實際使用中更加安全。

關鍵詞：安全漏洞；檢測技術；計算機軟件

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2018）08-0190-02

當下時代信息技術處于快速發(fā)展中，計算機也是在各領域逐漸廣泛運用，計算機軟件已經(jīng)成為各領域信息化管理以及生產(chǎn)的重要工具，在社會生活中也是必不可少的一部分，使用的頻率逐漸提升。軟件為人們帶來生產(chǎn)生活的便捷，但是也給了諸多的不法分子牟利的機會，利用軟件中的漏洞，在未經(jīng)過任何人授權的前提下侵入到人們的計算機中，或者進行破壞，或者盜取信息，都會給人們造成損失。因此軟件安全是當下人們高度關注的一個問題，漏洞檢測技術是提高軟件安全的重要措施，為了讓軟件應用更加安全，有必要進行探討。

1 計算機軟件安全漏洞概述

1.1 計算機安全漏洞的概念

簡單來說就是計算機軟件的一些缺點或者缺陷，在計算機軟件中會有一些點是不受保護的，這些漏洞容易受到病毒或者黑客的攻擊。進而獲得非正當授權，操作以及破壞計算機[1]。

1.2 計算機軟件安全漏洞的類型

依據(jù)性質(zhì)進行分析，目前軟件漏洞主要是安全性漏洞以及功能性漏洞著兩種。安全性漏洞就是容易受到攻擊者利用以及破壞的設計，這些點若是被攻破，軟件將無法正常運行。功能性漏洞則是會影響軟件的功能運行[2]。若是被利用，軟件將會無法正常運行，或者是工作出現(xiàn)錯誤。

1.3 計算機軟件安全漏洞的特點

首先是人為因素比較明確，無論是哪一種漏洞，可以確定的是多數(shù)的漏洞是由于軟件開發(fā)人員，在軟件的設計以及開發(fā)過程中，一些人為的因素造成的問題，開發(fā)人員處于計算設置上的錯誤或者是邏輯錯誤，形成了這些漏洞，邏輯錯誤是常見的，非單一線性的思維會造成軟件邏輯的整體錯誤，計算失誤是出現(xiàn)在一些中小型的模塊中。其次是漏洞的長期存在。一方面是軟件邏輯越來越復雜，設計人員難免面臨著邏輯性失誤概率提升的問題。另一方面是軟件運行的環(huán)境若是改變，或者改變了攻擊的手段，也就會出現(xiàn)新的漏洞。在將原本的漏洞進行修復后，還有新漏洞的出現(xiàn)[3]。因此軟件漏洞基本上是長期存在的，這就要求在軟件運行中進行實時監(jiān)測，隨時進行修復，保證軟件可以處于正常的運行中。最后是漏洞與系統(tǒng)失聯(lián)。軟件漏洞在實際運行中顯現(xiàn)出來的一種問題，而安全漏洞和運行環(huán)境有著一定的聯(lián)系，不同的環(huán)境對產(chǎn)生對漏洞完全不同的影響，如安全性漏洞，在一些有著極高安全系數(shù)的環(huán)境中，或許是影響不大的，運行環(huán)境以及軟件匹配度也是影響到漏洞的影響力。

2 常見的安全漏洞檢測技術

2.1 靜態(tài)化檢測技術

（1）詞法分析檢測技術。這種檢測技術就是將整段的程序進行小段切分，結合標準對這些小段進行檢測，這樣可以確定小段中是否有漏洞的出現(xiàn)，這種方法相當于在文章里對詞法進行檢測，因此有這樣的命名，這樣的方法檢出率是比較高的，但是工作量非常大，實施的可行性有限。（2）類型推導分析技術。這種檢測技術是利用函數(shù)方法對軟件進行自動推動，具體的方式就是，借助函數(shù)變量的規(guī)則，結合軟件變量對軟件運行是否有漏洞存在進行推動，這樣的方法更加高效，針對一些大型程序以及變量程度，這種方式還是非常實用的。（3）模擬檢測技術。這種方法起步非常早，就是用不動點隱形計算和顯性搜索的方式，借助模型演算對軟件的特征進行驗證，這種技術更加直觀，同時操作起來也是更加復雜。

2.2 動態(tài)化檢測技術

（1）非執(zhí)行棧技術。軟件數(shù)據(jù)是在當前棧進行存儲，但是棧是容易受到入侵和攻擊的，如黑客植入代碼就會形成漏洞。近年來這種攻擊的方式時常出現(xiàn)，組織這類攻擊，運用的就是該技術。該技術是入侵者在進行非法訪問的時候，終止棧的運行，讓入侵者如何繼續(xù)進行訪問，這樣的技術可以對黑客攻擊進行有效阻攔，但是這種技術也會對計算機運行造成負面的影響，讓計算機系統(tǒng)的流暢度降低。（2）內(nèi)存映射檢測技術。入侵者很多時候是采用內(nèi)存中有null字符進行入侵，該技術是將軟件代碼隨時映射到不同的內(nèi)存區(qū)域，這樣可以給侵入者造成困難，讓入侵者難以找到代碼，但是該技術要修改系統(tǒng)內(nèi)核，本身也是難度較大。（3）沙箱檢測技術。該技術是對計算機進行全面定義的前提下，限制相關的攻擊，如用C語言進行軟件的編寫，各類函數(shù)已經(jīng)被定義，其中并沒有SYSTEM函數(shù)，用該檢測技術可以對不明函數(shù)進行限制，這樣的技術手段并不能阻擋定義內(nèi)等攻擊，所以還是要進行改進。（4）程序解釋檢測技術。對計算機啟動的代碼進行重新設置，軟件解釋執(zhí)行的時候，可以保護程序，對相關程序進行實時保護，對入侵者進行阻攔。

3 安全漏洞檢測技術在計算機軟件中的運用

3.1 阻止競爭漏洞

通常情況下，競爭條件會造成相關的漏洞，使用檢測技術則是滬江相關變化進行原子化實施保護。原子化運行并不會受到各方面的影響，對漏洞有著阻止的效果。

3.2 阻止緩沖漏洞

檢測技術可以對競爭漏洞進行阻止，也能對緩沖漏洞進行阻止。檢測技術可以通過對計算機中的危險函數(shù)展開全面的檢測，有效防止程序中有緩沖漏洞的形成，同時對于程序中的一些危險版本，可以及時替換為安全版本。

3.3 阻止隨機漏洞

檢測技術可以有效阻止軟件中的隨機漏洞，這也是重要的檢測技術發(fā)展方向。就是隨時對軟件中隨機漏洞進行關注以及阻止，通常情況下檢測技術是要保持對隨即發(fā)生器的實時關注，隨即發(fā)生器有相應的算法存在，在實際運用中檢測就是就要對隨機發(fā)生機進行檢測，對其中的數(shù)據(jù)進行有效檢測，進而對其中的隨機漏洞進行阻止。

3.4 阻止字符漏洞

在字符漏洞的阻止上，檢測技術也是可以發(fā)揮出作用的。通常來說，字符漏洞會給計算機軟件造成非常嚴重的影響，若是計算機軟件出現(xiàn)這方面的漏洞，例如其中的字符被篡改、格式化等問題。這樣軟件本身就是出現(xiàn)非常嚴重的漏洞，同時也是需要對字符漏洞進行嚴密的防護，否則會給軟件的使用者造成一定的損失。簡單來說，就是對系統(tǒng)字符進行一些函數(shù)公式的附加，這樣可以為字符提供可靠的保護機制，用檢測技術可以對這種漏洞進行有效阻止。

4 結語

總之，信息時代下人們對計算機軟件的運用逐漸增多，但是也是給諸多的不法分子利用軟件漏洞進行牟利的機會，研究出有效的漏洞檢測技術，可以讓軟件的運行更加安全，也是讓人們享受信息技術帶來的便捷同時，不必有后顧之憂。

參考文獻

[1]王思源.電商平臺系統(tǒng)安全漏洞的法律責任分析——季海紅訴蘇寧易購案評析[J].法律適用（司法案例），2018，（12）：70-75.

[2]張國歌，韓艷輝，高玉梅，等.基于漏洞管理的信息內(nèi)網(wǎng)終端安全風險分析模型[J].中國科技信息，2018，（11）：71-72.

[3]王國仕，馮世杰，呂志鵬，等.基于漏洞屬性分析的軟件安全評估方法[J].網(wǎng)絡安全技術與應用，2018，（3）：37+95.