朱全
湖北工业大学 武汉市武昌区 430061
摘要:随着科技的发展,促使计算机信息技术被广泛的应用到社会各个行业当中,大量方便工作的计算机软件被研发推出,给各个行业的发展带来巨大的经济效益。而与此同时,相应的源代码的数量也开始不断增加,导致大多数计算机软件存在很多漏洞,这些漏洞的存在直接给多数网络黑客侵入的机会,直接给计算机软件使用者带来巨大的信息安全威胁。为避免软件全漏洞对计算机的影响,需要利用安全漏洞检测技术检测其存在的安全漏洞,以保证计算机系统的安全运行。
关键词:计算机软件;安全漏洞;检测技术
1计算机软件安全漏洞的概述
计算机软件安全漏洞产生的主要原因有以下两个:在开发与研制期间,科研人员操作失误给软件系统埋下隐患,使网络系统遭到黑客攻击;在软件系统运行过程中,因为系统程序长时间运作而积累各种“杂质”,其中存在某些威胁因素引发软件系统出现安全漏洞。通常,软件系统安全漏洞主要体现在以下两个方面:功能方面的漏洞,主要涉及计算机软件系统的功能运行,如果程序内部存在功能性漏洞,就会导致计算机软件运行结果出错、运行流程错误等;安全性漏洞主要涉及计算机软件启动运作,例如软件无法正常工作、对命令无法执行等。安全性漏洞经常会被黑客利用,掌握计算机软件系统的控制权,通过恶意代码窃取计算机软件系统内部信息和数据,因此安全性漏洞的危险性更高。
2计算机软件安全漏洞的产生原因分析
2.1人为因素
工程师作为软件开发的主体,很容易在开发的过程中存在某些方面的失误,而导致软件存在漏洞。经常遇见的漏洞为逻辑错误,由于非单一线性逻辑思维,可能会造成整个软件的逻辑运行产生问题,另外,计算设置失误会对软件的运行产生影响。在计算机系统软件开发的过程中,必须依托于专业的人员才能够保证软件开发的全面和完善,所以计算机系统必须加大力度引进信息化专业人才,提供给信息技术人员提升自己的机会,加强对于信息化人才的培养,进而不断完善软件设计管理体系,加快计算机系统信息的实时传递,保证在实践过程中各项数据的准确、精细,从而完善计算机系统信息化的设计,为软件设计保驾护航。
2.2运行环境
计算机很容易随着运行环境的改变而出现新的漏洞,即便修复了之前的漏洞,对于新的运行环境还会存在很多方面的不适应,所以计算机软件漏洞也与实际的运行环境具有非常密切的联系。
3计算机软件中安全漏洞检测技术及其应用分析
3.1漏洞分类检测
通常,安全漏洞检测技术有以下两种:一是静态检测技术,二是动态检测
技术。其中,静态检测技术实际上就是技术人员通过分析计算机软件的源代码来查找计算机软件存在的安全漏洞,并对存在的安全漏洞进行修复。静态安全漏洞检测技术的衡量指标有两个:漏报率和误报率。以上衡量指标呈现出负相关的关系,也就是其中一个衡量指标降低时,另外一个衡量指标就会升高。静态安全漏洞检测技术不需要借助其他检测软件,检测成本低,而且检测过程比较简单,但是,静态安全漏洞检测技术的检测结果并不完全准确,与实际情况存在较大的差距。动态安全漏洞检测技术实际上就是通过改变计算机软件的应用环境来调整计算机系统内存大小,提高程序应用的安全性。虽然静态安全漏洞检测技术和动态安全漏洞检测技术都会应用于计算机软件安全漏洞检测中,但是检测人员必须结合实际情况合理选择安全漏洞检测技术,这样才能真正发挥出安全漏洞检测技术的作用。
3.2静态安全漏洞检测技术
静态安全漏洞检测技术主要由功能测试、渗透测试与代码验证三点构成。
它最先要扫描被测软件的源程序和代码,然后从提取岀的关键词中来分析被检测程序的要点和特性,从中找出异常的地方对其进行预防并做出相应的提示。静态检测这一技术操作较为简单快捷,实用性较高,在一定程度上降低了使用成本,但检测后的结果并不能保证十分精准。
3.3动态安全漏洞检测技术
(1)非执行技术。如今恶性攻击计算机软件的事情经常会出现,主要的
原因就是计算机软件内部的栈是可以被改写的,计算机软件的大量数据都会保存在栈内,恶意攻击者会首先攻击栈,向栈内输入恶性代码,并执行这部分代码。要想防范栈被人为恶性攻击最佳的方法就是防止栈内信息被改写,而且保证栈内的恶意代码不被执行,这样就可以降低计算机软件安全漏洞出现的机率。
(2)数据安全漏洞检测技术。数据安全漏洞检测技术实际上就是在计算机
软件运行的过程中进行内存区域分配,计算机软件内部的数据段也会同时启动,数据段不会执行恶意输入的软件代码,数据安全漏洞检测技术可以与非执行技术结合在一起,全面防范计算软件安全漏洞的出现,恶性代码的破坏和执行能力就会不断下降。部分计算机软件安全漏洞出现的原因就是用户应用了一些存在安全隐患的共享库。因此,技术人员可以应用安全共享库技术来防范恶性攻击,避免安全漏洞的出现。安全共享库技术实际上就是应用动态链接技术对程序运行中出现的安全性问题进行检测。
(3)沙箱安全漏洞检测技术。沙箱安全漏洞检测技术实际上就是限制计算
机软件的访问资源,以此来防止恶性攻击。程序解释技术也属于比较传统的动态安全漏洞检测技术,也是应用效果比较理想的安全漏洞检测技术。程序解释技术可以对计算机软件进行监视,并对计算机软件的安全性采用强制性检测方法,并对计算机程序的运行做出合理的解释。但是,程序解释技术的应用会消耗较多的性能。
3.4安全漏洞检测技术在计算机软件中的应用
(1)防止竞争漏洞。竞争漏洞也是比较常见的计算机软件安全漏洞,对于竞争漏洞,技术人员可以从计算机软件的竞争代码开始检测,实际上就是把计算机软件代码原子化,代码属于计算机软件内比较小的执行单位,在运行的过程中,代码的通过性和效率非常高,原子化计算机软件代码可以让代码的特征更加明显,而且可以锁定部分代码进行检测。很多竞争漏洞是人为造成的,为了获取更多有价值的信息,竞争漏洞也成为很多企业比较畏惧的安全漏洞,一旦出现竞争漏洞,企业将会面临重大损失。
(2)缓冲区安全漏洞检测技术应用。主要是通过检查软件程序中危险函数
来预防缓冲区漏洞,用安全版本取代不安全版本。
(3)随机漏洞预防。利用性能良好随机发生设备有效预防随机漏洞。这是
因为随机发生设备带有密码算法。
(4)格式化字符串漏洞检测技术应用。主要是在数码中直接应用格式常量,不给黑客任何创建格式串的机会。此外,利用Windows操作系统下属窗口完成数据输出工作也可以有效预防安全漏洞。
4结语
总之,信息时代在改变人们生活的同时,也将人们生产与计算机网络紧密相连,而由于软件安全漏洞带来的个人或者企业信息泄露事件频繁出现,通过安全漏洞检测技术的应用,可有效的发现存在的安全漏洞,并采用相应的措施加以预防,降低安全漏洞所带来的安全威胁,提高计算机系统运行的安全性。计算机软件安全漏洞检测技术人员应不断深入的研究该项技术的应用,充分的发挥其所具备的作用,保证计算机各行各业中的良好应用。
参考文献
[1]赵中山.安全漏洞检测技术在计算机软件中的应用[J].凯里学院学报,2017,35(3).
[2]陈泽晰.安全漏洞检测技术在计算机软件中的应用[J].鸡西大学学报,2017,17(2).
[3]陈斯,卢华.计算机软件中安全漏洞检测技术及其应用[J].电子技术与软件工程,2016(11).
[4]宋世茂.计算机软件中安全漏洞检测技术的应用研究[J].无线互联科技,2018,15(6).
[5]艾志强.浅析计算机软件中安全漏洞检测技术与应用[J].电脑迷,2018(3).