計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)探討

時(shí)間:2022-06-03 04:28:11

導(dǎo)語:計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)探討一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)探討

1計(jì)算機(jī)軟件安全漏洞的成因及危害

1.1成因。計(jì)算機(jī)軟件是由相關(guān)人員按照實(shí)際的使用需要進(jìn)行設(shè)計(jì)開發(fā)的程序,由此使得人為因素成為軟件安全漏洞的主要成因之一。軟件開發(fā)人員在進(jìn)行設(shè)計(jì)的過程中,因需要完成大量計(jì)算,所以可能會(huì)出現(xiàn)一些錯(cuò)誤,如果這些錯(cuò)誤未能及時(shí)發(fā)現(xiàn),那么便會(huì)形成安全漏洞。同時(shí),邏輯方面的錯(cuò)誤也是軟件開發(fā)設(shè)計(jì)時(shí)比較常見的問題,當(dāng)軟件中的某個(gè)程序存在邏輯錯(cuò)誤時(shí),安全漏洞也會(huì)隨之出現(xiàn)。由于計(jì)算機(jī)軟件中邏輯程序的復(fù)雜程度越來越高,從而使得軟件開發(fā)設(shè)計(jì)的失誤率隨之增大,若是軟件的運(yùn)行環(huán)境發(fā)生變化,則可能引起新的安全漏洞。所以軟件的安全漏洞很難徹底消除,只能通過相應(yīng)的方式進(jìn)行修補(bǔ)。因此,及時(shí)發(fā)現(xiàn)軟件漏洞就顯得尤為重要,而這一目標(biāo)需要借助相關(guān)的檢測(cè)技術(shù)予以實(shí)現(xiàn)。1.2危害。計(jì)算機(jī)軟件安全漏洞的危害性相對(duì)較高,當(dāng)軟件存在安全漏洞時(shí),會(huì)給黑客入侵提供渠道,并且各行木馬程序和計(jì)算機(jī)病毒也會(huì)通過漏洞進(jìn)入到計(jì)算機(jī)當(dāng)中,由于是從漏洞侵入,所以殺毒軟件可能無法進(jìn)行有效地預(yù)防。同時(shí),有些病毒專門針對(duì)軟件漏洞,只要計(jì)算機(jī)軟件中存在安全漏洞,此類病毒便會(huì)在不被察覺的情況下侵入計(jì)算機(jī)系統(tǒng),影響計(jì)算機(jī)的穩(wěn)定運(yùn)行。

2計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)

目前,可用于計(jì)算機(jī)軟件安全漏洞檢測(cè)的技術(shù)較多,大體上可將之歸為兩類,具體如圖1所示。2.1動(dòng)態(tài)檢測(cè)技術(shù)的應(yīng)用。2.1.1非執(zhí)行棧。該檢測(cè)技術(shù)能夠?qū)跅5墓暨M(jìn)行有效防范,其基本原理是通過停止棧的運(yùn)行,來阻止黑客利用惡意代碼對(duì)計(jì)算機(jī)中的棧進(jìn)行攻擊。在應(yīng)用該技術(shù)對(duì)計(jì)算機(jī)軟件安全漏洞進(jìn)行檢測(cè)時(shí),需要將某個(gè)棧頁(yè)標(biāo)記為不可執(zhí)行,雖然這樣可以防止黑客對(duì)棧進(jìn)行攻擊,但若是將惡意代碼寫入到數(shù)據(jù)段中,便可能繞過該檢測(cè)技術(shù),所以容易造成檢測(cè)失敗。為了解決這一問題,業(yè)內(nèi)的專家經(jīng)過研究后,對(duì)該技術(shù)進(jìn)行改進(jìn),將非執(zhí)行棧變?yōu)榉菆?zhí)行堆,由此可以檢測(cè)并有效阻止所有試圖注入進(jìn)程內(nèi)存中的惡意代碼,并且在應(yīng)用時(shí),基本不會(huì)對(duì)計(jì)算機(jī)系統(tǒng)的性能造成影響。2.1.2內(nèi)部映射。該技術(shù)又被稱之為內(nèi)存映射,是軟件安全漏洞檢測(cè)中較為常用一種技術(shù),應(yīng)用該技術(shù)進(jìn)行漏洞檢測(cè)時(shí),不需要對(duì)代碼進(jìn)行改變,借助連接的方式,可以對(duì)黑客的攻擊進(jìn)行映射,從而達(dá)到干擾攻擊,阻止入侵的目的。在映射干擾下,黑客利用漏洞對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行入侵時(shí),無法準(zhǔn)確找到目的地址,從而導(dǎo)致入侵失敗,由此使計(jì)算機(jī)的安全得到保障。通過該技術(shù)能夠?qū)Φ刂诽D(zhuǎn)攻擊進(jìn)行檢測(cè),并且可以對(duì)此類攻擊進(jìn)行有效阻止。2.1.3沙箱。這是一種通過限制進(jìn)程訪問資源的方式,來對(duì)黑客的攻擊進(jìn)行預(yù)防。該技術(shù)最為突出的應(yīng)用優(yōu)勢(shì)在于,不會(huì)改變系統(tǒng)內(nèi)核及應(yīng)用程序。為使該技術(shù)在安全漏洞檢測(cè)中更加全面,需要對(duì)策略進(jìn)行嚴(yán)格定義,這樣便可以使軟件程序免受黑客的惡意攻擊。因該技術(shù)對(duì)安全策略具有較強(qiáng)的依賴性,所以在應(yīng)用時(shí),并不會(huì)產(chǎn)生兼容性問題。2.1.4程序解釋。該檢測(cè)技術(shù)是在某些程序啟動(dòng)運(yùn)行后,通過對(duì)其行為的監(jiān)視,來達(dá)到安全檢查的目的。簡(jiǎn)而言之,只要有計(jì)算機(jī)中有程序運(yùn)行,該技術(shù)便會(huì)對(duì)其進(jìn)行相應(yīng)的監(jiān)視和安全檢查,從而發(fā)現(xiàn)程序是否存在安全漏洞。這種檢測(cè)技術(shù)雖然效果較好,但卻會(huì)過度消耗系統(tǒng)的性能,而通過程序監(jiān)視可有效解決這一問題。2.1.5安全共享庫(kù)。就計(jì)算機(jī)軟件而言,有部分安全漏洞是因?yàn)閷?duì)安全性較低的共享庫(kù)進(jìn)行使用而引起的,對(duì)于此類漏洞,可以通過安全共享庫(kù)技術(shù)進(jìn)行解決處理。該技術(shù)實(shí)質(zhì)上是一種動(dòng)態(tài)鏈接,可對(duì)函數(shù)進(jìn)行檢測(cè),并對(duì)不安全的函數(shù)進(jìn)行攔截,從而達(dá)到阻止黑客攻擊的目的。2.2靜態(tài)檢測(cè)技術(shù)的應(yīng)用。通過實(shí)際應(yīng)用發(fā)現(xiàn),靜態(tài)檢測(cè)技術(shù)中的程序評(píng)注是以評(píng)注信息對(duì)程序內(nèi)潛在的漏洞進(jìn)行查找,由于會(huì)產(chǎn)生誤報(bào)的情況,所以需要人為排查,確認(rèn)是否為安全漏洞,如果是則會(huì)對(duì)其進(jìn)行修復(fù);類型推斷在較大的應(yīng)用程序檢測(cè)中較為適用,但在使用中常常會(huì)引起兼容性問題;元編譯在應(yīng)用時(shí),除了要建模之外,還需要編譯擴(kuò)展,對(duì)于小問題的檢測(cè)效果較佳,但也同樣存在誤報(bào),并且在廣泛的應(yīng)用程序中,可用性較差;約束解算器不存在兼容性問題,只是誤報(bào)量較高,若是應(yīng)用程序較大,則在安全漏洞中的檢測(cè)效果一般;詞法檢測(cè)技術(shù)也會(huì)產(chǎn)生一定的誤報(bào),但總體上可以接受,該技術(shù)的性能較快,且不會(huì)對(duì)目標(biāo)程序產(chǎn)生影響,唯一的不足是需要進(jìn)行人工核查。鑒于此,因靜態(tài)檢測(cè)技術(shù)本身的缺陷較多,所以在計(jì)算機(jī)軟件安全漏洞檢測(cè)中,不建議單獨(dú)使用某種靜態(tài)檢測(cè)技術(shù),而是應(yīng)當(dāng)將其與動(dòng)態(tài)檢測(cè)技術(shù)中某些技術(shù)進(jìn)行聯(lián)合使用,通過技術(shù)整合,在發(fā)揮自身應(yīng)用優(yōu)勢(shì)的基礎(chǔ)上,彌補(bǔ)不足,提高安全漏洞檢測(cè)效果,這對(duì)于確保計(jì)算機(jī)系統(tǒng)的安全性具有重要的現(xiàn)實(shí)意義。

3結(jié)論

綜上所述,計(jì)算機(jī)軟件安全漏洞實(shí)質(zhì)上就是軟件本身存在的缺陷,黑客常常會(huì)利用軟件的安全漏洞,對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊,輕則會(huì)使系統(tǒng)正常運(yùn)行受到影響,嚴(yán)重時(shí),會(huì)造成重要信息丟失。因此,應(yīng)當(dāng)運(yùn)用相應(yīng)的檢測(cè)技術(shù)來解決軟件的安全漏洞問題,從而確保計(jì)算機(jī)系統(tǒng)的安全性。在未來一段時(shí)期,應(yīng)當(dāng)加大對(duì)安全漏洞檢測(cè)技術(shù)的研究力度,除對(duì)現(xiàn)有的技術(shù)進(jìn)行逐步改進(jìn)和完善之外,還應(yīng)開發(fā)一些新的檢測(cè)技術(shù),從而使其能夠更好地為計(jì)算機(jī)系統(tǒng)安全提供保障。

參考文獻(xiàn)

[1]張舒.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)[J].電子技術(shù)與軟件工程,2018,No.131(09):208.

[2]許躍穎.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].電子制作,2016(02).

[3]周云,馬江洪.淺談?dòng)?jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].科技與創(chuàng)新,2017(17):152-153.

作者:王俊海 單位:西南科技大學(xué)城市學(xué)院鼎利學(xué)院