許奕鈿 裴彪 林鵬

摘要：近些年，隨著社會(huì)的發(fā)展，智能終端和移動(dòng)互聯(lián)網(wǎng)得以迅猛發(fā)展，在此基礎(chǔ)上，應(yīng)用商店的應(yīng)用軟件形式和數(shù)量均得到迅速擴(kuò)充，普遍運(yùn)用到了各個(gè)領(lǐng)域，但是應(yīng)用軟件存在長(zhǎng)時(shí)間在線、形式多樣和數(shù)量龐大的特點(diǎn)，對(duì)于保障用戶的信息安全來(lái)說(shuō)是不利。因此本文聚焦于移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件安全檢測(cè)技術(shù)，并做了詳細(xì)的分析論證。

關(guān)鍵詞：移動(dòng)互聯(lián)網(wǎng);應(yīng)用軟件;安全檢測(cè)技術(shù)

當(dāng)前，我國(guó)的移動(dòng)互聯(lián)網(wǎng)發(fā)展勢(shì)頭迅猛，其規(guī)模也越來(lái)越大。應(yīng)用商店中開發(fā)出了大量的互聯(lián)網(wǎng)應(yīng)用軟件，并且已應(yīng)用到了諸多領(lǐng)域，這在很大程度上對(duì)移動(dòng)互聯(lián)網(wǎng)的發(fā)展起到了積極的推動(dòng)作用。有調(diào)查研究表明，應(yīng)用商店中的應(yīng)用軟件數(shù)量已突破百萬(wàn)。各類軟件在不同行業(yè)中的應(yīng)用，對(duì)我國(guó)的經(jīng)濟(jì)、政治、文化等方面都會(huì)產(chǎn)生不同程度的影響。現(xiàn)在，人們更加關(guān)心移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件的安全問(wèn)題。

1 ?應(yīng)用軟件安全威脅分析

目前，移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件由于客觀的經(jīng)濟(jì)利潤(rùn)，成長(zhǎng)速度非?？捎^。然而，這一背后也隱藏了諸多信息風(fēng)險(xiǎn)點(diǎn)，當(dāng)軟件被第三方不法分子惡意利用時(shí)，就會(huì)產(chǎn)生很多問(wèn)題。比如在用戶毫無(wú)防備的情況下，第三方惡意發(fā)布廣告、發(fā)送騷擾短信、甚至產(chǎn)生不明扣費(fèi)[1]。更嚴(yán)重的是，用戶信息有可能會(huì)被不法分子所利用，通過(guò)位置信息就可以明確得知用戶的準(zhǔn)確位置，通過(guò)身份信息可以得知用戶的資產(chǎn)、職位，也可以通過(guò)敏感信息判斷用戶的政治宗教問(wèn)題等等，這已經(jīng)形成了一個(gè)成熟的地下產(chǎn)業(yè)鏈，不法分子可以源源不斷的獲取信息，侵害用戶權(quán)益。

對(duì)于整個(gè)社會(huì)的安全性也是有相當(dāng)大的威脅，有了智能裝備等硬件設(shè)施的幫助，敏感信息的獲取如魚得水。當(dāng)經(jīng)過(guò)長(zhǎng)時(shí)間對(duì)于社會(huì)政治、經(jīng)濟(jì)、文化信息獲取收集分析之后，對(duì)于整個(gè)社會(huì)的安全將會(huì)造成隱患。雖然我們國(guó)家一直致力于發(fā)展核心技術(shù)和操作系統(tǒng)并取得了一定成果，但遠(yuǎn)遠(yuǎn)沒(méi)有達(dá)到完全自主研發(fā)的地步。因此我們必須要提高警惕，重視技術(shù)研發(fā)，否則將會(huì)影響國(guó)家的戰(zhàn)略發(fā)展安全。

2 ?應(yīng)用軟件安全檢測(cè)技術(shù)

移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件必須要注意兩個(gè)安全點(diǎn)，一是功能安全，二是漏洞安全。功能安全指的是，即使系統(tǒng)被攻擊了，但是在這期間不能影響軟件功能的正常使用。通過(guò)對(duì)軟件安全在傳統(tǒng)上的一些分析技術(shù)進(jìn)行延伸和拓展后，便形成了近日眾所周知的動(dòng)態(tài)安全檢測(cè)和晶態(tài)安全檢測(cè)兩種技術(shù)。

2.1 ?靜態(tài)安全檢測(cè)技術(shù)

靜態(tài)安全檢測(cè)技術(shù)特點(diǎn)是形式化的描述語(yǔ)言，這與以前的靜態(tài)分析法是大不一樣的。靜態(tài)安全檢測(cè)技術(shù)檢測(cè)漏洞的過(guò)程是這樣的：實(shí)時(shí)的、自動(dòng)的在軟件代碼和結(jié)構(gòu)里面獲得軟件的狀態(tài)和程序運(yùn)行狀態(tài)，并進(jìn)行分析，查看有無(wú)漏洞。靜態(tài)安全檢測(cè)技術(shù)是由兩種技術(shù)所構(gòu)成，一是行為分析技術(shù)，作用是及時(shí)發(fā)現(xiàn)漏洞，二是特征匹配技術(shù)，作用是從已知角度進(jìn)行分析匹配。這兩種技術(shù)相輔相成，對(duì)漏洞的實(shí)際檢測(cè)非常有效[2]。特征匹配技術(shù)的檢測(cè)原理黑名單檢測(cè)原理很像，都是先建立黑名單庫(kù)，然后檢測(cè)漏洞時(shí)自動(dòng)一一匹配，若匹配成功，即可判斷存在漏洞或存在惡意代碼。我們就可以采取相應(yīng)消除或打補(bǔ)丁等措施。惡意特征匹配技術(shù)之所以受人青睞，是因?yàn)閾碛杏挚煊譁?zhǔn)的掃描算法和系統(tǒng)全面的數(shù)據(jù)庫(kù)，因而可以超高的準(zhǔn)確率和精確度探測(cè)到潛在的惡意代碼，這將是對(duì)原在行為分析技術(shù)有效的補(bǔ)充。網(wǎng)絡(luò)上所用的應(yīng)用程序在運(yùn)行過(guò)程中，都會(huì)存在一定的安全風(fēng)險(xiǎn)和缺陷，需要對(duì)其進(jìn)行分析，一方面，對(duì)其源代碼的獲取可以采用反匯編或語(yǔ)言描述源程序的方式，另一方面，對(duì)于符合條件的軟件可以采用在程序本身的結(jié)構(gòu)或語(yǔ)法上進(jìn)行獲取，比方說(shuō)數(shù)據(jù)本身的流向和軟件運(yùn)行行為的控制等。通過(guò)以上方式，可以及時(shí)檢測(cè)出可能出現(xiàn)的各種惡意或敏感行為，并進(jìn)行處理[3]。因此行為分析技術(shù)和特征匹配技術(shù)如果結(jié)合運(yùn)用軟件設(shè)計(jì)過(guò)程中，那么既可進(jìn)行自動(dòng)化檢測(cè)又能分析程序安全漏洞的雙重功能軟件的開發(fā)易如反掌了。利用這種軟件可以實(shí)現(xiàn)檢測(cè)惡意行為，判斷可疑樣本，做到深層次的分析與研究。

2.2 ?動(dòng)態(tài)安全檢測(cè)技術(shù)

安全檢測(cè)技術(shù)中，動(dòng)態(tài)方法作為靜態(tài)方法的一種補(bǔ)充，可以很好地彌補(bǔ)前者在運(yùn)行過(guò)程中出現(xiàn)的各種不足和缺陷，兩者互為補(bǔ)充，共同對(duì)軟件的運(yùn)行結(jié)果及其合理性提供充分保障。更為重要的是，動(dòng)態(tài)安全檢測(cè)方法可以對(duì)軟件運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)于在網(wǎng)絡(luò)、短信和語(yǔ)音等通道內(nèi)可能出現(xiàn)的各種違規(guī)操作能夠及時(shí)進(jìn)行處理，避免一些針對(duì)硬件的惡意或者是蓄意破壞或者操控事件的發(fā)生[4]。對(duì)程序的測(cè)試和以人工方式進(jìn)行模擬在動(dòng)態(tài)安全檢測(cè)技術(shù)中居于核心和關(guān)鍵地位，通過(guò)這兩種技術(shù)的運(yùn)用，可以更加真實(shí)的模擬用戶行為，而其本身在源代碼開發(fā)上并無(wú)過(guò)高的要求。在保證了高標(biāo)準(zhǔn)的檢測(cè)精度要求的同時(shí)，還可以降低準(zhǔn)入門檻。與此同時(shí)，也還是存在一定缺陷和短板的，比方說(shuō)結(jié)果不完整是相對(duì)比較明顯的一個(gè)，需要采取一定措施進(jìn)行改進(jìn)和提高。

結(jié)語(yǔ)

本文對(duì)目前在移動(dòng)互聯(lián)網(wǎng)軟件應(yīng)用過(guò)程中，不斷出現(xiàn)的各種安全威脅進(jìn)行了分析，針對(duì)其安全提出了相應(yīng)的檢測(cè)技術(shù)，主要包括動(dòng)態(tài)和靜態(tài)方法。同時(shí)，也指出了兩種方法中本身所存在的缺陷，需要進(jìn)一步的改進(jìn)、完善和創(chuàng)新。只有這樣，才能保障用戶在使用移動(dòng)互聯(lián)網(wǎng)軟件的過(guò)程中的自身信息安全，而這也是應(yīng)用軟件本身的安全需要。

參考文獻(xiàn)

[1]劉珊珊.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用研究[J].數(shù)字通信世界，2019（07）：190.

[2]賀波.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)的應(yīng)用初探[J].計(jì)算機(jī)產(chǎn)品與流通，2019（04）：40.

[3]王學(xué)軍.移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè)技術(shù)分析[J].通訊世界，2017（23）：42-43.

[4]李瑋.移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件安全檢測(cè)技術(shù)研究[J].互聯(lián)網(wǎng)天地，2015（06）：38-41.