計算機(jī)軟件安全漏洞檢測技術(shù)的應(yīng)用分析

張亞平

摘要：隨著信息全球化的不斷擴(kuò)張，計算機(jī)技術(shù)在各行各業(yè)中發(fā)揮著重要作用。計算機(jī)有著存儲大量信息的優(yōu)勢，其安全性得到人們高度重視。當(dāng)前，計算機(jī)軟件安全問題依然威脅著人們生活與工作的各方各面。安全漏洞可能來源于許多方面，在研究計算機(jī)軟件的安全檢查上存在一定難度。因此，該文將對這一漏洞檢測技術(shù)進(jìn)行闡述，并分析計算機(jī)軟件安全檢測技術(shù)的應(yīng)用。

關(guān)鍵詞：計算機(jī)技術(shù);安全漏洞檢測;網(wǎng)絡(luò)安全

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）28-0056-02

隨著對信息化的研究不斷深入，計算機(jī)軟件技術(shù)越來越引起重視。計算機(jī)源代碼的數(shù)量正在不斷增加，一部分黑客展開對計算機(jī)軟件源代碼的惡意攻擊，想要竊取其中的重要信息，這種對系統(tǒng)的惡意篡改和攻擊，給計算機(jī)網(wǎng)絡(luò)帶來了很大威脅以及經(jīng)濟(jì)損失。計算機(jī)在人們生活與工作中的普及，使得計算機(jī)軟件安全問題不斷深化，黑客對軟件的攻擊趨向利益化。由此可見，對于加強(qiáng)計算機(jī)軟件安全漏洞檢測技術(shù)，保證軟件的安全運(yùn)行問題是勢在必行的。安全漏洞一般是指威脅計算機(jī)軟件系統(tǒng)的缺陷問題，有著兩種類型：一種為妨礙計算機(jī)系統(tǒng)正常運(yùn)行的功能性漏洞，還有一種是惡意攻擊，一般由黑客展開的對計算機(jī)網(wǎng)絡(luò)邏輯的攻擊。計算機(jī)漏洞的出現(xiàn)與人為操作有著密不可分的關(guān)系，對于一些安全性相對較高的計算機(jī)系統(tǒng)，如果漏洞在原始系統(tǒng)中，那么在攻擊者沒發(fā)現(xiàn)的情況下是不可能破壞其安全系統(tǒng)的，一般計算機(jī)系統(tǒng)的攻擊者必須先發(fā)現(xiàn)漏洞才能展開攻擊，因此，本文將結(jié)合一些常見的攻擊行為和計算機(jī)系統(tǒng)軟件漏洞問題展開研究。

1 計算機(jī)軟件安全漏洞概念

計算機(jī)網(wǎng)絡(luò)安全漏洞即為在進(jìn)行計算機(jī)軟件設(shè)置時出現(xiàn)的缺陷或問題。計算機(jī)運(yùn)行與軟件間有著沖突和不適應(yīng)現(xiàn)象，才會引發(fā)安全漏洞，計算機(jī)遭到黑客和電腦病毒的入侵，非正當(dāng)手段獲得使用權(quán)限，產(chǎn)生了對計算機(jī)運(yùn)行的危害，其中引起我國廣泛關(guān)注的計算機(jī)病毒事件就屬2017年的比特幣勒索病毒，嚴(yán)重影響了我國信息安全，造成大量財產(chǎn)損失，由此可見，電腦病毒影響著人們生產(chǎn)、生活的方方面面。一旦數(shù)據(jù)丟失或者被不法分子竊取，都會嚴(yán)重影響信息安全。利用安全漏洞檢測技術(shù)能降低電腦中毒可能性，提高信息安全。安全漏洞分為兩類：1）安全性漏洞：指在軟件設(shè)計過程中，由于設(shè)計時水平有限導(dǎo)致的計算機(jī)安全性能較差，無法抵御黑客和病毒攻擊引起的漏洞。2）功能性漏洞：軟件正常運(yùn)行時，出現(xiàn)錯誤導(dǎo)致與系統(tǒng)的沖突，使得計算機(jī)難以正常運(yùn)行的漏洞。

2 計算機(jī)軟件安全漏洞的性質(zhì)以及特點(diǎn)

2.1 安全漏洞性質(zhì)

計算機(jī)軟件的安全漏洞可以理解為軟件的弱點(diǎn)，其受到多方面因素的影響，有著開發(fā)程序員失誤、不全面等原因，計算機(jī)軟件安全漏洞有著以下性質(zhì)：1）邏輯性錯誤。在對計算機(jī)軟件編寫程序的過程中可能會出現(xiàn)邏輯性錯誤，一般造成邏輯性措施的原因是編程人員不細(xì)致導(dǎo)致的，還有可能是在處理數(shù)據(jù)時出現(xiàn)的邏輯錯誤，以上兩種都可能對計算機(jī)軟件安全性能造成影響。2）計算機(jī)環(huán)境影響。安全漏洞的產(chǎn)生受計算機(jī)軟件環(huán)境的影響，同時還與計算機(jī)硬件的不同有關(guān)系，在展開對計算機(jī)安全漏洞的研究時，也應(yīng)該聯(lián)系計算機(jī)硬件和軟件環(huán)境進(jìn)行分析。3）使用時長影響。顧名思義，計算機(jī)使用的時間越長則計算機(jī)的安全漏洞就會更加顯著，即使使用者及時發(fā)現(xiàn)了安全漏洞并展開對漏洞的修補(bǔ)，也會很快出現(xiàn)新的漏洞，由此可見安全漏洞有著長久性。

2.2 安全漏洞特點(diǎn)

計算機(jī)安全漏洞特點(diǎn)可以具體劃分為人為漏洞和非人為漏洞，一般就是在對計算機(jī)軟件開發(fā)調(diào)試時，出于疏忽或者沒有及時發(fā)現(xiàn)軟件調(diào)試出現(xiàn)的問題，以及編程時邏輯錯誤現(xiàn)象，引起的安全漏洞存在。在解決計算機(jī)安全漏洞時，可以發(fā)現(xiàn)安全漏洞并不能一次性解決，其在計算機(jī)系統(tǒng)里長期存在，所以，黑客會在計算機(jī)軟件存在漏洞的情況下，隨之潛入計算機(jī)系統(tǒng)，對計算機(jī)安全造成威脅。在發(fā)現(xiàn)并修復(fù)軟件漏洞的過程中，依然存在很多問題，不小心就會出現(xiàn)新的安全漏洞，只有不斷優(yōu)化程序，檢測修復(fù)。但是程序優(yōu)化也會造成新的安全漏洞，再加上軟件優(yōu)化有復(fù)雜性，所以安全漏洞問題會長期存在。

安全漏洞的特點(diǎn)之一就是邏輯和運(yùn)算錯誤，計算機(jī)的軟件調(diào)試需要大量的數(shù)據(jù)，相比與數(shù)值計算錯誤，更常見的是數(shù)字的長度和模塊不合適產(chǎn)生的錯誤，計算機(jī)系統(tǒng)的不同對漏洞的防護(hù)作用也會不同，如軟件設(shè)備不同造成的安全漏洞分化問題。

3 常見的安全漏洞檢測技術(shù)

常見的計算機(jī)安全漏洞檢測技術(shù)可以分為兩個類別，一類是靜態(tài)檢測技術(shù)，另一類是動態(tài)檢測技術(shù)。這兩種計算機(jī)檢測技術(shù)都能夠?qū)Π踩┒催M(jìn)行及時檢查，當(dāng)然，在具體的應(yīng)用上兩種技術(shù)存在差異，需要就具體情況針對性的采取措施。

3.1 靜態(tài)化檢測技術(shù)

靜態(tài)化檢測技術(shù)是通過對計算機(jī)軟件源代碼和二進(jìn)制相應(yīng)代碼進(jìn)行靜態(tài)分析的方法，具體的可以細(xì)分為三種技術(shù)：1）詞法分析檢測技術(shù)。即將整體分為幾個部分，然后根據(jù)相應(yīng)的標(biāo)準(zhǔn)，對片段進(jìn)行分析，這種技術(shù)能夠?qū)崿F(xiàn)在短時間內(nèi)確定是否片段存在安全漏洞、雖然能夠檢測出漏洞代碼，但是詞法分析檢測技術(shù)的工作量大，在具體的檢測應(yīng)用時很復(fù)雜。2）類型推導(dǎo)分析法。其是用函數(shù)計算的方法來展開對軟件的推導(dǎo)，可以通過對函數(shù)變量判斷的相關(guān)規(guī)則，明確是否有安全漏洞的存在。這種方法相對前一種來說顯得簡單很多，而且效率很高，在大型復(fù)雜軟件系統(tǒng)檢測中應(yīng)用較多，而且效果較好。3）模型檢測技術(shù)。在早期的計算機(jī)軟件系統(tǒng)漏洞檢測中應(yīng)用比較廣泛，現(xiàn)在應(yīng)用的比較少，因?yàn)檫@種技術(shù)操作復(fù)雜，而且還要通過模型的計算方式來找出軟件安全漏洞，所以應(yīng)用較少。

3.2 動態(tài)化檢測技術(shù)

動態(tài)化檢測技術(shù)能夠針對源代碼的運(yùn)行環(huán)境展開分析，保證了檢測技術(shù)的保密性。其也有三種檢測技術(shù)類型。1）非執(zhí)行棧映射技術(shù)。棧是計算機(jī)軟件的主要數(shù)據(jù)存儲空間，也是計算機(jī)軟件容易被入侵的部位之一，因此，就要采用非執(zhí)行棧映射技術(shù)來阻止惡意程序的攻擊，防止入侵者獲得訪問權(quán)限，從而對軟件數(shù)據(jù)造成威脅。但是，非執(zhí)行棧映射技術(shù)也容易對計算機(jī)軟件系統(tǒng)造成不利影響。比如說，在進(jìn)行檢測時，電腦容易產(chǎn)生各種各樣的問題，映射技術(shù)會把軟件代碼隨機(jī)映射到不同的內(nèi)存區(qū)域來避免入侵者找到真正代碼，提高對病毒的攔截效率，但是過程中需要修改計算機(jī)系統(tǒng)的內(nèi)核，造成一定影響，這種技術(shù)在操作上，難度較大，不便使用。2）沙箱檢測技術(shù)。這種技術(shù)是通過限制以及阻擋入侵者的攻擊行為，從而有效防止不明函數(shù)的出現(xiàn)，但是這種技術(shù)難以避免定義內(nèi)的變量攻擊。3）程序解釋技術(shù)。由于沙箱檢測技術(shù)難以防止定義內(nèi)的變量攻擊，所以需要不斷改進(jìn)程序解釋檢測技術(shù)，通過重置計算機(jī)代碼的方式，達(dá)到在程序解釋的過程中保護(hù)計算機(jī)軟件系統(tǒng)，程序解釋技術(shù)能夠?qū)崿F(xiàn)對相關(guān)程序的實(shí)時保護(hù)，以免惡意攻擊造成的軟件運(yùn)行問題。

3.3 源代碼改編技術(shù)

源代碼改編技術(shù)相較于前兩種檢測技術(shù)來說，對計算機(jī)的改編和追蹤方面更強(qiáng)大，該技術(shù)能通過確認(rèn)庫函數(shù)的方式對惡意緩沖區(qū)溢出問題進(jìn)行有效阻止。但是一般該技術(shù)只認(rèn)準(zhǔn)ST0B0代碼，所以在具體操作上難度極大。

4 安全漏洞檢測技術(shù)的應(yīng)用

4.1 防格式化漏洞的應(yīng)用

計算機(jī)系統(tǒng)軟件漏洞種類繁多，其中，格式化漏洞非常常見，因此，可以采用代碼常量計算機(jī)軟件格式，來降低惡意攻擊出現(xiàn)頻次。格式化漏洞通常表現(xiàn)為字符，所以建議安全檢查從軟件參數(shù)開始，保證漏洞檢測的準(zhǔn)確真實(shí)。格式化漏洞帶來的最大危害就是重要資料的丟失且無法恢復(fù)，造成用戶的巨大損失，所以最好展開全方位的檢測。比如說：設(shè)計C++函數(shù)時有不安全函數(shù)存在導(dǎo)致的安全問題，采用安全共享庫技術(shù)組織不安全函數(shù)行為，保障計算機(jī)軟件系統(tǒng)的安全。

4.2 防競爭漏洞的應(yīng)用

競爭漏洞也是出現(xiàn)概率較大的漏洞之一，檢測時要從軟件代碼開始。軟件代碼作為計算機(jī)軟件中的較小執(zhí)行單位，運(yùn)行時的通過性很高，原子化的軟件代碼特征很明顯。實(shí)際上，很多軟件漏洞都是人為造成的，比如企業(yè)的重要機(jī)密，競爭漏洞是企業(yè)面對的重大安全問題，競爭漏洞的檢測關(guān)系著企業(yè)安全，一旦忽視了，企業(yè)將承受重大損失。

4.3 防隨機(jī)漏洞的應(yīng)用

隨機(jī)漏洞的產(chǎn)生多是計算機(jī)發(fā)生器的故障，對于此類漏洞，要先確定發(fā)生器能否正常運(yùn)行，對于沒有正常運(yùn)行的零件部分，要及時進(jìn)行維修，確保發(fā)生器能夠正常運(yùn)行。隨機(jī)漏洞的預(yù)防方面，要配備零號性能和密碼算法的發(fā)生相關(guān)設(shè)備，用以提高隨機(jī)數(shù)流的安全性，使得計算機(jī)即使遭到入侵，黑客也無法獲得數(shù)據(jù)流，保證計算機(jī)的整體安全。

4.4 防緩沖漏洞的應(yīng)用

對于防緩沖漏洞可以使用危險函數(shù)來應(yīng)對，使得安全版本能夠取代存在漏洞的版本。比如說，用chair*strnact代替chair*strcat來應(yīng)對緩沖漏洞，提高計算機(jī)軟件安全。

4.5 防字符串漏洞的應(yīng)用

Windows系統(tǒng)一般用窗口進(jìn)行數(shù)據(jù)輸出，想降低字符串漏洞就需要采取全面的防治措施，用格式常量根本上杜絕黑客創(chuàng)建格式串，windows的系統(tǒng)設(shè)置中，沒有固定參數(shù)也會有字符串漏洞的出現(xiàn)。比如說，應(yīng)用函數(shù)的時候，調(diào)整參數(shù)個數(shù)，確保參數(shù)個數(shù)均勻。

5 結(jié)束語

綜上所述，對于計算機(jī)軟件安全漏洞的檢查技術(shù)對信息安全有重要意義，本文對計算機(jī)軟件安全漏洞性質(zhì)、類型以及應(yīng)用做出了全面闡述，希望通過分析，能促使大眾更加準(zhǔn)確、及時地采取合適的預(yù)防措施，保證計算機(jī)軟件系統(tǒng)的安全，提高對漏洞的檢查效果。通過綜合使用各種檢查技術(shù)，使得計算機(jī)漏洞檢測達(dá)到最佳效果。

參考文獻(xiàn)：

[1] 劉珊珊. 計算機(jī)軟件安全漏洞檢測技術(shù)的應(yīng)用研究[J]. 數(shù)字通信世界， 2019（7）： 190.

[2] 吳年志. 計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J]. 電腦知識與技術(shù)， 2018， 14（35）： 32+50.

[3] 段明慧. 安全漏洞檢測技術(shù)在計算機(jī)軟件中的應(yīng)用研究[J]. 數(shù)字技術(shù)與應(yīng)用， 2018， 36（8）： 190-191.

[4] 潘正輝. 軟件安全漏洞檢測技術(shù)的思考[J]. 電子測試， 2018（2）： 70+83.

[5] 周云， 馬江洪. 淺談計算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J]. 科技與創(chuàng)新， 2017（17）： 152-153+156-157.

【通聯(lián)編輯：謝媛媛】