引論:我們?yōu)槟砹?篇計算機(jī)軟件檢測探索范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
計算機(jī)軟件檢測探索:計算機(jī)軟件安全漏洞檢測技術(shù)探討
摘要:隨著科學(xué)技術(shù)的不斷進(jìn)步與發(fā)展,人類進(jìn)入了信息時代,計算機(jī)開始在人們?nèi)粘9ぷ髋c生活中得到普及。然而,一直以來計算機(jī)安全問題受到人們的高度重視,其中計算機(jī)軟件安全漏洞對于計算機(jī)系統(tǒng)運行而言有著較大的影響,因此關(guān)于計算機(jī)軟件安全漏洞檢測技術(shù)的研究具有十分重要的意義。本文對計算機(jī)軟件安全漏洞進(jìn)行介紹,并針對計算機(jī)軟件安全漏洞檢測技術(shù)進(jìn)行分析,以供參考。
【關(guān)鍵詞】計算機(jī)軟件;安全漏洞;檢測技術(shù)
1計算機(jī)軟件安全漏洞概述
所謂的漏洞,就是指計算機(jī)軟件系統(tǒng)中存在的缺陷與弱點,漏洞對計算機(jī)軟件系統(tǒng)造成的影響很大,其對一些特殊危險與隱患出現(xiàn)的敏感性較高。計算機(jī)軟件開發(fā)與研制使計算機(jī)軟件漏洞出現(xiàn)的主要環(huán)節(jié),而設(shè)計人員操作不當(dāng)則是出現(xiàn)這一現(xiàn)象的主要原因。一般情況下,漏洞的表現(xiàn)形式可以分為功能性與安全箱兩個方面的漏洞。其中功能性漏洞會對計算機(jī)系統(tǒng)正常運行造成影響。其中運行結(jié)果錯誤、運行流程錯誤等都屬于功能性漏洞;而安全性漏洞則是指在平常無法對計算機(jī)及其軟件運行造成影響的漏洞,然而在黑客的利用之下,這部分漏洞就會對軟件正常運行造成影向,情況嚴(yán)重時還會有惡意執(zhí)行代碼的出現(xiàn),通過錯誤指令來增加計算機(jī)軟件系統(tǒng)的危險性。漏洞的特點主要可以從以下幾個方面得到表現(xiàn):(1)在編制程序時,往往會出現(xiàn)一些邏輯性錯誤,這些錯誤大多是因為編制人員操作不當(dāng)造成的;(2)計算機(jī)軟件數(shù)據(jù)處理與運算中,邏輯性錯誤出現(xiàn)的概率也比較高,相較于中等的程序模塊,有的較大或較小的程序模塊出現(xiàn)邏輯性錯誤的概率也相對較高;(3)計算機(jī)軟件系統(tǒng)環(huán)境與漏洞之間的聯(lián)系非常密切,對于不同的硬件與軟件而言,其中設(shè)備的版本有所差異,基于不同的設(shè)置,各個設(shè)備共同組成的軟件系統(tǒng)與同一系統(tǒng)的不同設(shè)置存在安全漏洞的可能性都是存在的;(4)時間與計算機(jī)軟件系統(tǒng)漏洞之間的聯(lián)系也非常密切,時間的推移會不斷糾正并修補(bǔ)以前存在的漏洞,同時也會出現(xiàn)一些新的漏洞。由此可見,對于計算機(jī)軟件而言,漏洞問題具有一定的長久性。
2計算機(jī)軟件中安全漏洞的檢測技術(shù)分析
2.1靜態(tài)檢測技術(shù)
靜態(tài)分析是最早計算機(jī)軟件安全漏洞靜態(tài)檢測的形式,然而由于其檢測流于表面,缺乏實際意義,因此近年來人們再次基礎(chǔ)上進(jìn)行了開發(fā)與更新,靜態(tài)檢測的內(nèi)容也得到擴(kuò)充,并以靜態(tài)分析與程序檢驗兩種形式存在。其中,靜態(tài)分析是指掃描待檢測程序的源代碼,通過不同角度解析漏洞問題,例如語義、語法等等,通過這一方法來實現(xiàn)對漏洞的找尋。而程序檢驗則指的是對系統(tǒng)內(nèi)的程序源代碼進(jìn)行抽象處理,對檢驗方法加以利用,對軟件系統(tǒng)程序與計算機(jī)要求是否相符進(jìn)行檢測,其中安全需求尤為關(guān)鍵,之后在判定并檢驗是否有安全漏洞出現(xiàn)于程序之中。關(guān)于計算機(jī)軟件安全漏洞的靜態(tài)檢測技術(shù),計算機(jī)軟件系統(tǒng)程序性的內(nèi)部特點是其主要應(yīng)用對象,靜態(tài)檢測的方法的應(yīng)用需要結(jié)合檢測漏洞的特點并加以應(yīng)用。關(guān)于劃分安全漏洞的而方法,目前可以采用的有很多種,例如可以將漏洞向幾個細(xì)小部分進(jìn)行劃分,大部分的檢測方法可以處理相對分散的漏洞,因此,通過尋找漏洞類別上的共同之處存在較大難度。因此,為了實現(xiàn)對漏洞對比的便捷性,可以將漏洞劃分為兩種,即安全性漏洞與內(nèi)存性漏洞。前者對數(shù)據(jù)流誤差與錯誤更加重視,其形成大多是因為數(shù)據(jù)的內(nèi)在形態(tài)與情況錯誤導(dǎo)致的;內(nèi)存性漏洞則需要對類別與數(shù)據(jù)自身的性予以考慮。因此,針對這種漏洞,在檢測過程中應(yīng)以其儲存空間為側(cè)重點,采取建模的方式進(jìn)行檢測。此外,靜態(tài)檢測技術(shù)的特點存在一定的差異,因此需要結(jié)合實際情況,解讀并處理好漏洞問題。為此,有的技術(shù)檢驗僅針對一些特定漏洞,而其他方法可以使這兩種漏洞得到較好的處理。
2.2動態(tài)檢測技術(shù)
計算機(jī)軟件安全漏洞檢測技術(shù)中,動態(tài)檢測技術(shù)也具有較高的應(yīng)用價值。關(guān)于動態(tài)檢測技術(shù),具體包括以下幾種:2.2.1內(nèi)存映射在計算機(jī)軟件系統(tǒng)遭受攻擊時,攻擊者大多采用“NULL”的字符進(jìn)行結(jié)尾,以此來覆蓋內(nèi)存,進(jìn)而完成攻擊。通過代碼頁的映射技術(shù),攻擊者在對這一字符串應(yīng)用來實現(xiàn)覆蓋內(nèi)存目的的過程中,向相對簡單的內(nèi)存區(qū)的跳轉(zhuǎn)難度就會大幅度增加。通過這一角度可知,在不同的內(nèi)存地址隨機(jī)映射代碼頁,可以使通過地址猜測來實現(xiàn)頁面攻擊的難度加大。2.2.2非執(zhí)行棧近年來,建立在棧基礎(chǔ)之下對軟件的攻擊現(xiàn)象比較普遍,而操作系統(tǒng)中棧的能寫與執(zhí)行是實現(xiàn)這一攻擊的主要原因。在內(nèi)部變量的影響下,特別是受到數(shù)組變量的影響,攻擊人員能夠?qū)⒋a惡意寫入棧中,并通過尋找方法執(zhí)行代碼。為了避免棧遭受攻擊,將棧向無法執(zhí)行代碼的形式進(jìn)行轉(zhuǎn)化這一方法具有較強(qiáng)的實用性。如此一來,攻擊人員就無法執(zhí)行通過棧上惡意書寫的代碼,并且還會使其遭受侵略的可能性降低。2.2.3安全共享庫在一些安全性不足的共享庫的應(yīng)用中,有的計算機(jī)軟件會出現(xiàn)安全漏洞。而通過安全共享庫,就可以促使攻擊人員的侵略得到有效控制。所謂的安全共享庫,就是指對動態(tài)鏈接的方法加以應(yīng)用,在運行程序時攔截安全性不足的函數(shù)應(yīng)用,并對其加以檢測,進(jìn)而增強(qiáng)計算機(jī)軟件的安全性。在windows操作系統(tǒng)以及UNIX方面,這一方法往往具有較高的應(yīng)用價值。
3結(jié)束語
總而言之,在計算機(jī)軟件系統(tǒng)運行過程中,安全漏洞的出現(xiàn)會對其造成較大的影響。而安全檢測技術(shù)的應(yīng)用可以有效預(yù)防這些漏洞引發(fā)的安全問題。目前,計算機(jī)軟件安全漏洞檢測技術(shù)依然存在一些不足,我們要針對此展開研究與分析,采取有效的優(yōu)化措施,提高技術(shù)水平,為預(yù)防計算機(jī)軟件安全漏洞問題提供強(qiáng)有力的支持,進(jìn)而為計算機(jī)軟件系統(tǒng)安全提供強(qiáng)有力的保障。
作者:沈繼濤
計算機(jī)軟件檢測探索:計算機(jī)軟件安全檢測技術(shù)初探
摘要:近年來,信息技術(shù)以日新月異的速度飛速發(fā)展,給人們的生活和工作帶來了極大的轉(zhuǎn)變,隨著計算機(jī)的影響范圍越來越廣,積極加強(qiáng)計算機(jī)安全防護(hù)勢在必行。在這一過程中,相關(guān)領(lǐng)域工作人員必須明確計算機(jī)軟件安全檢測中的注意事項,并掌握計算機(jī)軟件安全檢測流程和科學(xué)的技術(shù)方法,才能夠從根本上提升計算機(jī)軟件安全檢測技術(shù)的實用性。
關(guān)鍵詞:計算機(jī)軟件;安全檢測;技術(shù)
一、計算機(jī)軟件安全檢測中的注意事項
(一)檢測方案確定。技術(shù)人員在設(shè)計計算機(jī)軟件的過程中,必須首先對其特性以及相關(guān)設(shè)計客觀要求進(jìn)行明確,只有這樣才能夠構(gòu)建合理的、過程科學(xué)的檢測原理和方法,與此同時,檢測方案還必須針對不同的計算機(jī)應(yīng)用環(huán)境而制定,在對檢測方案進(jìn)行規(guī)范的基礎(chǔ)上,嚴(yán)格執(zhí)行檢測方法,才能夠產(chǎn)生的檢測結(jié)果[1]。并且,相關(guān)工作人員在日常工作中,必須擁有豐富的軟件安全檢測知識和技術(shù),在大量實踐的基礎(chǔ)上,總結(jié)經(jīng)驗教訓(xùn),才能夠提升安全檢測的質(zhì)量。(二)注重分析工作的開展。值得注意的是,在展開軟件安全檢測工作的時候,需要經(jīng)歷一個復(fù)雜而繁瑣的過程,越豐富的軟件內(nèi)容,其結(jié)構(gòu)特點也更加復(fù)雜,此時要想提升安全檢測質(zhì)量,必須經(jīng)歷一個大量的分析過程,分析工作難度較高,在這種情況下,必須依據(jù)實際檢測需求,分析需求級、系統(tǒng)級以及代碼級等需求,在產(chǎn)生分析結(jié)果以后,還應(yīng)當(dāng)對結(jié)果的性進(jìn)行分析,此時應(yīng)科學(xué)的選擇分析手段。也就是說,在進(jìn)行計算機(jī)軟件安全檢測的過程中,存在兩個必不可少的要素,即科學(xué)的檢測方案和分析。
二、計算機(jī)軟件安全檢測技術(shù)
(一)計算機(jī)軟件安全檢測流程。不同的計算機(jī)軟件安全檢測系統(tǒng)中,都包含了較多的模塊,如果擁有較大的軟件規(guī)模,此時系統(tǒng)架構(gòu)也將更大。通常情況下,在計算機(jī)軟件安全檢測的過程中,需要經(jīng)歷一系列環(huán)節(jié),如系統(tǒng)結(jié)構(gòu)安全檢測、模塊測試以及軟件功能和性能等,而安全檢測系統(tǒng)中的各個模塊在運行中,負(fù)責(zé)不同檢測項目,最終完成整體的軟件性能檢測[2]。在對模塊化結(jié)構(gòu)進(jìn)行應(yīng)用的過程中,更應(yīng)當(dāng)進(jìn)行精細(xì)化的檢測,擴(kuò)大檢測范圍,從而實現(xiàn)對軟件中安全風(fēng)險的掌握,對整個軟件的安全程度進(jìn)行評價。在接下來的檢測過程中,應(yīng)從軟件使用者的需求入手,有效測試軟件的功能,最終完成系統(tǒng)的軟件測試。(二)計算機(jī)軟件安全檢測技術(shù)方法。及時,形式化安全檢測。該方法指的是在測試軟件安全性的過程中,需要從軟件數(shù)學(xué)模型的層面出發(fā),并綜合應(yīng)用與之相適應(yīng)的配套形式語言。目前,有效狀態(tài)語言、模型語言等是典型的形式語言。第二,模型安全靜態(tài)檢測。在用該技術(shù)進(jìn)行檢測的過程中,需要明確軟件結(jié)構(gòu)以及軟件行為之間的聯(lián)系,有針對性的對測試模型進(jìn)行構(gòu)建,計算機(jī)能夠有效讀取該模型,并利用這一模型展開軟件安全性測試,接下來會對模型測試結(jié)果以及目標(biāo)軟件測試結(jié)果進(jìn)行對比,掌握二者之間的相似性,從而完成軟件安全檢測。第三,故障注入式安全檢測。近年來,自動化已經(jīng)成為軟件安全檢測領(lǐng)域發(fā)展中的重要趨勢,在展開故障注入式安全檢測的過程中,應(yīng)當(dāng)首先對故障模型進(jìn)行構(gòu)建,并在此基礎(chǔ)上對故障樹進(jìn)行構(gòu)建,在展開測試工作的過程中,需要以人工方式為主,接下來詳細(xì)分析測試結(jié)果,最終對安全性、容錯性在模板軟件故障中的體現(xiàn)進(jìn)行充分的掌握[3]。第四,模糊式檢測方法。有效結(jié)合傳統(tǒng)檢測和動態(tài)檢測技術(shù)的基礎(chǔ)上,就生成了模糊式檢測方法。該方法在使用過程中,具有較強(qiáng)的便捷性,同時能夠在現(xiàn)實世界中軟件的錯誤模式進(jìn)行確定,根據(jù)安全漏洞狀況,發(fā)出警告。
結(jié)束語
綜上所述,計算機(jī)軟件安全檢測工作中,必須嚴(yán)格遵守檢測程序,并系統(tǒng)應(yīng)用科學(xué)的檢測技術(shù),才能夠提升檢測工作質(zhì)量。近年來,計算機(jī)軟件在應(yīng)用過程中,屢次出現(xiàn)各種各樣的安全問題,這不僅影響各個領(lǐng)域的正常運行,同時也一定程度上威脅著人們的利益。在這種情況下,計算機(jī)軟件技術(shù)人員應(yīng)提高對軟件安全性的重視,并在實踐中不斷總結(jié)經(jīng)驗,創(chuàng)新計算機(jī)軟件安全檢測技術(shù),不斷的促進(jìn)我國計算機(jī)軟件安全事業(yè)的健康發(fā)展。
作者:許滿英
計算機(jī)軟件檢測探索:計算機(jī)軟件安全漏洞檢測技術(shù)探索
摘要:隨著我國社會經(jīng)濟(jì)的不斷發(fā)展,科學(xué)技術(shù)開始受到了人們的廣泛關(guān)注,互聯(lián)網(wǎng)也開始進(jìn)入到了各個領(lǐng)域中,深入的影響著人們的日常生活。但是從實際上來說,由于計算機(jī)軟件中存在著安全漏洞問題,這樣也就給信息系統(tǒng)產(chǎn)生出了安全隱患。因此,在實際中就要及時對計算機(jī)軟件進(jìn)行分析,運用好安全漏洞檢測技術(shù),保障信息的安全。基于此本文針對計算機(jī)軟件中安全漏洞檢測技術(shù)進(jìn)行了簡要闡述,并提出幾點個人看法,僅供參考。
關(guān)鍵詞:計算機(jī)軟件;安全漏洞;檢測技術(shù);應(yīng)用分
在互聯(lián)網(wǎng)的不斷影響下,計算機(jī)在人們的日常生活中也產(chǎn)生出了極為重要的影響,加之在源代碼數(shù)量增多的影響下,一些漏洞問題也在不斷的現(xiàn)象。黑客就是借助這些代碼中的漏洞進(jìn)入到計算機(jī)軟件中進(jìn)行破壞的。因此,在實際中就要運用好計算機(jī)安全漏洞檢測技術(shù),保障信息上的安全,提高用戶的使用效果。
一、計算機(jī)軟件中存在的漏洞
對于漏洞來說,就是針對計算機(jī)軟件中存在的漏洞來說的,也正是在這些漏洞的影響下,很容易對計算機(jī)軟件系統(tǒng)等方面產(chǎn)生出威脅,嚴(yán)重的還會對系統(tǒng)進(jìn)行攻擊。通過分析可以看出,造成計算機(jī)軟件出現(xiàn)漏洞的主要因素包含了在開發(fā)與研制軟件的過程中,設(shè)計人員出現(xiàn)操作失誤而導(dǎo)致的。一般來說,漏洞的表現(xiàn)形式包含了功能性與安全性漏洞兩種。功能性的漏洞中主要是指對計算機(jī)系統(tǒng)正常運行產(chǎn)生影響的漏洞。如運行結(jié)果上的錯誤等。對于安全性的漏洞來說,主要是針對一般不能夠影響計算機(jī)或是軟件正常工作的漏洞。但是這些漏洞一旦被黑客所運用,就會造成軟件執(zhí)行錯誤的指令,嚴(yán)重的還會出現(xiàn)一些執(zhí)行代碼等,這樣也就提高了危險程度[1]。對于漏洞的特點來說,主要包含以下幾方面:及時,在編制過程中出現(xiàn)的邏輯性錯誤,且這種錯誤往往是由于編制人員自身因素所造成的。第二,在進(jìn)行數(shù)據(jù)處理的過程中所出現(xiàn)的邏輯性錯誤,通過將過小或是過大的程序模塊等進(jìn)行對比,可以找出其中存在的邏輯性錯誤。第三,漏洞與計算機(jī)中軟件系統(tǒng)環(huán)境之間有著極為密切的影響,且在不同基礎(chǔ)上設(shè)備所組成的軟件系統(tǒng)與相同系統(tǒng)中不同設(shè)置上都可能存在安全漏洞。第四,系統(tǒng)漏洞與時間上也有著極為密切的聯(lián)系。隨著時間的不斷變化,一些舊的漏洞不斷糾正,新的漏洞也在不斷出現(xiàn),因此就要明確漏洞問題是長久性的問題之一。
二、計算機(jī)軟件安全漏洞檢測技術(shù)
(一)靜態(tài)檢測
傳統(tǒng)的計算機(jī)軟件安全漏洞靜態(tài)分析工作其實就是通過靜態(tài)分析的方法來進(jìn)行的,但是這種檢驗的方法只能停留在表面上。隨著社會經(jīng)濟(jì)的不斷發(fā)展,對計算機(jī)軟件的檢測也開始進(jìn)行了改革與創(chuàng)新。靜態(tài)檢測的內(nèi)容也有了全新的變化,靜態(tài)分析與程序檢測。就靜態(tài)分析來說,主要是針對系統(tǒng)程序進(jìn)行源代碼掃描,并從語義等方面進(jìn)行的解析,從而對特性等進(jìn)行直接的分析,借助這種方法來找出存在的漏洞問題。對于程序檢驗來說,就是針對抽象系統(tǒng)中的源代碼進(jìn)行檢驗。借助這種檢驗的方法,可以明確計算機(jī)系統(tǒng)是否可以滿足計算機(jī)中的要求,尤其是對于安全需求等方面來說的[2]。在靜態(tài)檢測中,更多的是對計算機(jī)軟件系統(tǒng)程序中的內(nèi)部特性來說的,其主要關(guān)注的是系統(tǒng)程序的內(nèi)部特點。所以可以說靜態(tài)檢測的特點與檢測漏洞的特點之間存在著極為密切的聯(lián)系。通過對安全漏洞進(jìn)行劃分,可以將其劃分為幾個小的部分。大多數(shù)的檢測方法所能進(jìn)行處理的漏洞都是比較分散的。因此,為了對漏洞進(jìn)行對比,就可以將其分為安全性與內(nèi)存性兩種。在安全性的漏洞中更加關(guān)注的是數(shù)據(jù)流上的誤差與錯誤。而對于內(nèi)存性的漏洞來說,則主要是是針對數(shù)據(jù)自身的性等方面來說的。靜態(tài)檢測法的技術(shù)特點都存在著一定的區(qū)別,所以對漏洞的處理方法也存在著一定的不同。
(二)程序檢驗
對于程序檢驗來說,就是在抽象軟件系統(tǒng)程序的影響下來獲取形式化的模型,并通過運用這種檢測方法實現(xiàn)有效的檢測。在模型檢驗方法中就是在有限的條件下來對系統(tǒng)程序或是狀態(tài)等進(jìn)行抽象模型的監(jiān)理,從而完成檢驗工作。一般來說,可以將其分為符號化的檢驗與模型自動轉(zhuǎn)化兩種。對于符號化來說,就是將瞅一昂的模型轉(zhuǎn)變?yōu)檎Z法樹的模式,從而判斷公式等方面是否可以滿足實際的需求[3]。
(三)安全動態(tài)監(jiān)測
及時,內(nèi)存映射。一些黑客在攻擊與破壞軟件的過程中常常會采用“NULL”為結(jié)尾的字符串,以此來實現(xiàn)內(nèi)存覆蓋。且借助代碼頁映射技術(shù),黑客就可以借助這一字符串來實現(xiàn)攻擊的目標(biāo)。第二,非執(zhí)行棧。就現(xiàn)階段來說,一些棧攻擊軟件問題不斷出現(xiàn),而造成這一現(xiàn)象的主要原因就是在系統(tǒng)中棧的執(zhí)行能力。由于棧內(nèi)存在存在著所有數(shù)字變量,因此,黑客就可以通過寫入一些代碼來進(jìn)行攻擊。所以想要預(yù)防這一攻擊方法就可以對棧的執(zhí)行力進(jìn)行破壞,以此來避免代碼的執(zhí)行。第三,安全共享庫。在一些計算機(jī)中,之所以出現(xiàn)安全漏洞主要是由于受到了不安全的共享庫而造成的。在安全共享庫的影響下,可以在一定程度上攔截惡意攻擊的行為,加之其中具備了攔截與檢測的能力,所以也就可以通過程序運行來將不安全的因素進(jìn)行檢測與攔截,從而保護(hù)計算機(jī)系統(tǒng)軟件的安全。
三、計算機(jī)軟件漏洞檢測技術(shù)的實際運用
及時,避免競爭條件安全漏洞上的運用。對于這種漏洞來說,主要是借助原子化來處理競爭編碼,加之其具備鎖定的能力,所以當(dāng)原子化操作進(jìn)入到鎖定階段以后,就可以在一定程度上避免使用文件出現(xiàn)變動,從而造成漏洞的出現(xiàn)。第二,緩沖區(qū)安全漏洞檢測技術(shù)。對于這一檢測技術(shù)來說,主要是針對一些存在疑問的函數(shù)等進(jìn)行檢測,從而避免出現(xiàn)安全漏洞。第三,隨機(jī)漏洞的預(yù)防。對于隨機(jī)漏洞來說,進(jìn)行有效的預(yù)防與檢測是需要借助性能高的隨機(jī)發(fā)生設(shè)備來進(jìn)行的,且這種設(shè)備可以對漏洞進(jìn)行預(yù)防[4]。
四、結(jié)語
綜上所述可以看出,隨著信息技術(shù)的不斷發(fā)展,計算機(jī)軟件安全問題也開始受到了人們的廣泛關(guān)注。因此,在實際中就要做好計算機(jī)軟件漏洞的檢測工作,保障計算機(jī)的安全運行,同時還要不斷提高計算機(jī)軟件安全漏洞檢測技術(shù)的運用效果,保障網(wǎng)絡(luò)信息的安全。
作者:陳健 單位:蘇州大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院
計算機(jī)軟件檢測探索:計算機(jī)軟件安全漏洞檢測技術(shù)的應(yīng)用
摘要:目前,中國互聯(lián)網(wǎng)上網(wǎng)人數(shù)已經(jīng)超過了9000萬戶,位居世界第二。隨著信息化水平的不斷加深,具有自主知識產(chǎn)權(quán)的設(shè)備和軟件的研發(fā)水平不斷提高。然而計算機(jī)軟件的研發(fā)過程中,在邏輯設(shè)計或編寫方面有可能產(chǎn)生缺陷,這個缺陷一旦被不法者所利用并惡意攻擊,使用者的個人信息及隱私將被大量泄漏,帶來重大損失。因此,對計算機(jī)軟件中的安全漏洞進(jìn)行檢測具有非常大的意義。本文主要對現(xiàn)行的安全漏洞檢測技術(shù)及其應(yīng)用進(jìn)行探討。
關(guān)鍵詞:計算機(jī)軟件;安全漏洞;檢測技術(shù);技術(shù)應(yīng)用
引言
近年來,越來越多的人借助信息網(wǎng)絡(luò)提高工作效率,信息網(wǎng)絡(luò)正在改變?nèi)藗兊纳詈凸ぷ鞣绞剑袊诳觳竭M(jìn)入信息化時代。出于更好地滿足用戶需求的目的,計算機(jī)軟件的功能不斷增加,但同時也存在一定的安全漏洞,威脅到用戶的財產(chǎn)及隱私安全。因而,必須對計算機(jī)安全漏洞檢測技術(shù)進(jìn)行研究,通過對此類技術(shù)的合理應(yīng)用,保障計算機(jī)安全運行,提高用戶使用體驗。
1.安全漏洞檢測技術(shù)
所謂計算機(jī)軟件安全漏洞,又被稱為計算機(jī)脆弱性,實際上就是在計算機(jī)硬件、軟件及協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上產(chǎn)生的某種缺陷,不法者可以利用這些缺陷在未經(jīng)授權(quán)的情況下對系統(tǒng)進(jìn)行訪問或破壞,從而損害使用者的切身利益,引發(fā)網(wǎng)絡(luò)安全事件。安全漏洞檢測技術(shù),主要分為兩大類:
1.1動態(tài)檢測技術(shù)
安全漏洞的動態(tài)檢測技術(shù)主要通過運行被檢測的軟件的某項功能,對比軟件運行結(jié)果與預(yù)期的差距,來確定被測軟件的此項功能是否存在安全缺陷。這種檢測方法快速直接,更加具有針對性,但本身也會影響系統(tǒng)的正常運行,會為用戶使用帶來新的安全隱患[1]。1.1.1非執(zhí)行棧技術(shù)計算機(jī)的使用過程中常常出現(xiàn)一些棧攻擊軟件的問題,我們可以通過針對棧的執(zhí)行能力進(jìn)行破壞,以此避免代碼的執(zhí)行,從而對攻擊進(jìn)行預(yù)防[2]。1.1.2非執(zhí)行堆和數(shù)據(jù)技術(shù)非執(zhí)行堆和數(shù)據(jù)技術(shù)可以使不法分子注入的惡意代碼喪失執(zhí)行能力,雖然成本較高,但檢測防范效果非常明顯,對應(yīng)用程序的影響較小,具有較高的可行性。1.1.3內(nèi)存映射技術(shù)內(nèi)存映射技術(shù)具有較強(qiáng)的主動性,通過將代碼頁隨機(jī)映射到不同的內(nèi)存地址中去,為不法者的入侵帶來困擾。1.1.4安全共享庫技術(shù)安全共享庫技術(shù)通過動態(tài)鏈接技術(shù)與數(shù)據(jù)庫及客戶鏈接,將不安全的函數(shù)排查出去,達(dá)到阻止調(diào)用不安全函數(shù)的目的。1.1.5沙箱技術(shù)沙箱技術(shù)主要通過限制訪問來營造一個隔絕外部騷擾的安全空間,與防火墻有相似之處。
1.2靜態(tài)檢測技術(shù)
通過掃描被測軟件的源程序或二進(jìn)制代碼,從語法、語義上理解來分析被檢測程序的特征,尋找可能存在的異常信息。具體的掃描過程是先掃描計算機(jī)程序,重點分析其中關(guān)鍵部分,并根據(jù)漏洞標(biāo)準(zhǔn)進(jìn)行檢測。以動態(tài)分析方法對語法進(jìn)行分析,并將其劃分不同段落對比數(shù)據(jù)庫的內(nèi)容,進(jìn)行及時的檢測與預(yù)防。這種技術(shù)操作方便,實用性較高。靜態(tài)檢測技術(shù)的衡量指標(biāo)有兩個:一個是漏報率,一個是誤報率。而這兩個衡量指標(biāo)呈現(xiàn)出負(fù)相關(guān)關(guān)系。靜態(tài)檢測技術(shù)通常包括:二進(jìn)制對比技術(shù)和詞法分析、程序評注技術(shù)、類型推導(dǎo)技術(shù)、規(guī)則檢查技術(shù)、模型檢測技術(shù)、定理證明技術(shù)、變異語言技術(shù)。
2.安全漏洞檢測技術(shù)的應(yīng)用
2.1格式化安全漏洞檢測
計算機(jī)軟件的安全漏洞中,格式化漏洞是出現(xiàn)頻率較高的計算機(jī)軟件安全漏洞。針對這種漏洞,我們可以通過應(yīng)用代碼來計量計算機(jī)軟件的格式,以此來降低惡性攻擊的機(jī)會,從而實現(xiàn)計算機(jī)軟件安全檢測的目的。格式化漏洞是以字符作為其表現(xiàn)形式的,可以從計算機(jī)軟件的參數(shù)入手,對格式化漏洞進(jìn)行檢測并修復(fù)[3]。
2.2競爭條件安全漏洞檢測
競爭漏洞是較為常見的計算機(jī)軟件安全漏洞,針對競爭漏洞,技術(shù)人員通常從計算機(jī)軟件的競爭代碼開始進(jìn)行檢測,即采用原子化的處理方法去進(jìn)行編碼,將計算機(jī)軟件代碼原子化,在代碼運行的過程中,代碼通過性及通過效率較高,計算機(jī)軟件代碼的原子化可以使得代碼的特征更加明顯,進(jìn)而鎖定部分代碼進(jìn)行檢測。這種將代碼原子化并進(jìn)行鎖定的方式,一定程度上能夠有效防止軟件產(chǎn)生漏洞,從而保障計算機(jī)信息的安全。
2.3緩沖區(qū)的安全漏洞檢測
緩沖區(qū)的安全漏洞檢測技術(shù),主要是針對計算機(jī)軟件函數(shù)進(jìn)行更加細(xì)致的檢測與預(yù)防,以更加安全的版本替換安全性較差的版本,從而有效預(yù)防計算機(jī)漏洞,保障信息安全。
2.4隨機(jī)漏洞的預(yù)防檢測
隨機(jī)漏洞的預(yù)防檢測技術(shù),需要通過使用性能更加良好、性更高的設(shè)備對隨機(jī)漏洞進(jìn)行預(yù)防,以此來保障計算機(jī)設(shè)備中含有密碼算法,從而達(dá)到行之有效的預(yù)防目的[4]。
結(jié)束語
綜上所述,在信息技術(shù)高速發(fā)展的今天,計算機(jī)軟件的安全問題受到了人們的廣泛關(guān)注。因此在實際應(yīng)用中必須做好計算機(jī)軟件漏洞的檢測工作,利用計算機(jī)軟件安全漏洞檢測技術(shù),保障計算機(jī)的安全運行。同時,不斷提高計算機(jī)軟件安全漏洞檢測技術(shù)的運用效果,必要時可通過將動態(tài)安全漏洞檢測技術(shù)和靜態(tài)安全檢測技術(shù)相結(jié)合的方式,來保障計算機(jī)軟件正常運行,保障網(wǎng)絡(luò)信息和用戶的財產(chǎn)安全。
作者:朱杰 單位:南京郵電大學(xué)
計算機(jī)軟件檢測探索:計算機(jī)軟件安全檢測技術(shù)論述
摘要:計算機(jī)網(wǎng)絡(luò)技術(shù)在近些年的發(fā)展可謂飛速,其他的相關(guān)領(lǐng)域也有著不同程度的進(jìn)步成果,在復(fù)雜的社交與工作中逐漸成為了不可替代的必需品,其中,計算機(jī)內(nèi)的軟硬件安全成為人們關(guān)心的話題,只有在確保計算機(jī)軟件與硬件的質(zhì)量后,才能真正為群眾的生活工作排憂解難。本文針對計算機(jī)的軟件安全進(jìn)行研究,通過軟件的重要作用、現(xiàn)存的問題及改進(jìn)措施的角度來開展討論,旨在提升計算機(jī)內(nèi)部軟件的安全性能。
關(guān)鍵詞:計算機(jī)軟件;安全監(jiān)測;技術(shù)探究
計算機(jī)在工作生活中的大量使用為人們提供了便利,軟件的不斷研發(fā)使其呈現(xiàn)多元化態(tài)勢,軟件功能的涉及范圍很廣,大體有商業(yè)用途與私人專用兩類,不管計算機(jī)軟件的功能如何使用,都大幅度地提升了生產(chǎn)工作的效率,同時加快了計算機(jī)的改進(jìn)步伐。但與此相對應(yīng),計算機(jī)軟件的大規(guī)模使用令客戶的信息安全遭到破壞,隱私與安全大大減少,因此針對軟件系統(tǒng)制定規(guī)范的制度與檢測標(biāo)準(zhǔn),才能實現(xiàn)計算機(jī)軟件未來的安全性發(fā)展。
一、計算機(jī)軟件安全檢測技術(shù)的必要性
對計算機(jī)中的軟件進(jìn)行安全檢測的目的就是防止計算機(jī)遭到病毒的入侵,確保用戶的個人信息得到保護(hù),計算機(jī)中涉及到的財產(chǎn)也有相應(yīng)的保障,在目前軟件泄漏私人數(shù)據(jù)頻頻發(fā)生的時期,計算機(jī)的安全檢測發(fā)揮著關(guān)鍵作用,只有通過有序的檢測,才能發(fā)現(xiàn)計算機(jī)使用過程中的缺陷,在與標(biāo)準(zhǔn)進(jìn)行對比后及時修理,分析后續(xù)數(shù)據(jù)的穩(wěn)定性。當(dāng)用戶使用計算機(jī)中的軟件時,經(jīng)常忽視定期的殺毒操作,隨著使用時間的增加,為軟件的安全帶來了極大的威脅,軟件的安全檢測在這里發(fā)揮著保護(hù)電腦數(shù)據(jù)的作用[1]。在檢測計算機(jī)內(nèi)部軟件時,要時刻關(guān)注以下幾個方面。首先是軟件的整體性能,計算機(jī)軟件的程序相對復(fù)雜,在使用中容易因為細(xì)節(jié)上的失誤造成數(shù)據(jù)的損壞,需要檢測人員接受過專業(yè)的計算機(jī)訓(xùn)練,對軟件的所有代碼都有所了解,檢測中運用技術(shù)領(lǐng)域的知識保障軟件的安全性能;再就是在檢測時注意軟件特有的功能,倘若是進(jìn)行社交的外部交流軟件,在檢測時要格外留意聯(lián)網(wǎng)后能夠傳送信息的途徑,假如是常用的非外交型軟件,可以在掌握軟件操作步驟后逐一排查,相對聯(lián)網(wǎng)型軟件要輕松一些,但也不可忽略其意外漏洞,對軟件各個層次中的功用開展分析研究。
二、計算機(jī)軟件現(xiàn)存的危險
在計算機(jī)軟件存在的所有危險中,質(zhì)量缺乏保障是首要問題,這與軟件的開發(fā)過程有著密切聯(lián)系,在后期的軟件使用中,此現(xiàn)象將會令問題呈擴(kuò)大化趨勢,逐漸瓦解計算機(jī)的使用安全,同時滿足了計算機(jī)入侵者的需求,將用戶的數(shù)據(jù)盜竊,繼而進(jìn)行違法犯罪活動。除此之外,計算機(jī)中的軟件通常在后臺能夠?qū)τ脩舻臄?shù)據(jù)進(jìn)行復(fù)制,這雖然有助于用戶在誤刪信息后能夠再次找回,但同時也加大了軟件的危險性。還有盜版軟件的盛行,不僅令計算機(jī)中的病毒大肆繁衍,同時破壞了我國規(guī)定的正版保護(hù)法律,軟件的研發(fā)本身就需要經(jīng)過大量的技術(shù)探討,其中包含著工作人員的辛勤汗水,但軟件往往能輕易被盜版復(fù)制,然后發(fā)展呈為自己服務(wù)的媒介平臺,獲取用戶的個人信息,對計算機(jī)精通的盜版軟件擁有者還有可能反向探索軟件的編碼,重新編制程序,將軟件中攜帶病毒侵入用戶電腦,破解用戶的重要資料[2]。計算機(jī)的操作系統(tǒng)大都借助C語言程序來開發(fā)完成,雖然這一語言模式擁有特定的功能,并且容易上手操作,但也有一些漏洞對計算機(jī)軟件的運行存在威脅。比如在操作時工作人員不夠熟練,在安裝系統(tǒng)時出現(xiàn)卡頓但沒有及時處理,又或者因為自身的專業(yè)技術(shù)不過關(guān)導(dǎo)致編程代碼不正確,這些情況都對軟件安全有極大的影響。
三、如何實施計算機(jī)軟件安全檢測技術(shù)
(一)相關(guān)程序的研究
軟件的檢測需要復(fù)雜的程序,即便是對軟件的主體進(jìn)行細(xì)致檢修后,也要對軟件的子系統(tǒng)進(jìn)行檢測,根據(jù)不同的模板分派不同的方式,的檢查可以讓軟件的運行更加流暢,防止病毒的侵?jǐn)_。對軟件程序來說,要根據(jù)計算機(jī)的適配狀態(tài)安裝,將防毒軟件開啟,結(jié)合計算機(jī)的即時運行速度檢測軟件,由于計算機(jī)型號與系統(tǒng)的不同,進(jìn)行安全性能檢測時也要兼顧整體穩(wěn)定性。
(二)技術(shù)應(yīng)用的研究
安全檢測是結(jié)合計算機(jī)的實際狀態(tài)進(jìn)行的,因此檢測代碼也處于不斷的變化當(dāng)中,在程序的不同運行狀態(tài)中自由切換,對不穩(wěn)定的因素自動攔截,同時檢測相對安全的數(shù)字代碼,在檢測完畢后能夠?qū)﹄娔X每一個軟件的占用比例進(jìn)行概括,防止有非常態(tài)的內(nèi)存占用出現(xiàn),對提高計算機(jī)的運行速度也有較高價值。在這里重點提出WEB技術(shù)下的軟件安全檢測,這項技術(shù)的安全檢測較為,不管是性能還是防病毒都有保障,隨著計算機(jī)科技的逐步發(fā)展,這項技術(shù)在軟件的安全檢測中使用頻率越來越高,在后期可能會成為檢測技術(shù)[3]。另外,靜態(tài)檢測功能也值得一提,它主要根據(jù)軟件的程序代碼展開研究,對軟件的操作步驟實施檢測,并對此建立專用的模板,在模板中不斷重復(fù)檢測,再到軟件中實施測驗,如果二者的檢測結(jié)果都符合標(biāo)準(zhǔn)要求,那么軟件的安全性就得到了保障。
四、結(jié)語
概而言之,計算機(jī)軟件在快速發(fā)展中幫助用戶解決了很多難題,其方便快捷的特性滿足了用戶的多方面要求,但在安全性能的保護(hù)上不應(yīng)放松警惕,要從各個方面展開分析,不斷提升計算機(jī)軟件的性。
作者:戴曉峰 單位:南通理工學(xué)院
