軟件工程中對(duì)安全漏洞檢測(cè)技術(shù)的應(yīng)用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了軟件工程中對(duì)安全漏洞檢測(cè)技術(shù)的應(yīng)用范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要:近年來(lái)，信息技術(shù)帶動(dòng)了計(jì)算機(jī)在各領(lǐng)域廣泛應(yīng)用。伴隨著軟件不斷更新與發(fā)展，計(jì)算機(jī)內(nèi)現(xiàn)有缺點(diǎn)以及弱點(diǎn)越來(lái)越不易被人們察覺(jué)。安全是計(jì)算機(jī)同通訊網(wǎng)絡(luò)使用安全之中最為基礎(chǔ)的一項(xiàng)，就算計(jì)算機(jī)內(nèi)安裝了各種殺毒軟件、防火墻以及防毒軟件等，只要計(jì)算機(jī)內(nèi)部軟件自身存在安全方面問(wèn)題，必然會(huì)導(dǎo)致整個(gè)計(jì)算機(jī)存在安全漏洞。本文在簡(jiǎn)述軟件工程常遇到的威脅基礎(chǔ)上，找出軟件工程之中常見(jiàn)安全漏洞，分析安全漏洞相對(duì)應(yīng)的檢測(cè)技術(shù)，進(jìn)而探索安全漏洞方面檢測(cè)技術(shù)在軟件工程之中的應(yīng)用。

關(guān)鍵詞:安全漏洞；檢測(cè)技術(shù)；軟件工程；應(yīng)用

0前言

計(jì)算機(jī)在各領(lǐng)域普遍應(yīng)用加速了全球現(xiàn)代化和信息建設(shè)的進(jìn)程。如今人們生活、工作都離不開(kāi)網(wǎng)絡(luò)以及計(jì)算機(jī)，所以計(jì)算機(jī)通信安全就顯得尤為重要。人們必須要加強(qiáng)對(duì)信息方面安全的建設(shè)，以此來(lái)保障用戶使用計(jì)算機(jī)時(shí)能有一個(gè)相對(duì)安全的環(huán)境。近年來(lái)，無(wú)論是國(guó)內(nèi)還是國(guó)外都發(fā)生了多起利用軟件漏洞對(duì)計(jì)算機(jī)整體進(jìn)行攻擊的事件，這使得計(jì)算機(jī)內(nèi)存在的缺點(diǎn)以及弱點(diǎn)成為了其安全的最大威脅?，F(xiàn)今電腦之內(nèi)僅有防火墻以及各種防毒殺毒軟件是遠(yuǎn)遠(yuǎn)不能滿足用戶需求的，有時(shí)這些軟件還會(huì)帶來(lái)許多問(wèn)題。所以，相關(guān)企業(yè)必須要加強(qiáng)對(duì)計(jì)算機(jī)方面安全漏洞相應(yīng)檢測(cè)技術(shù)的研究，以此來(lái)提高計(jì)算機(jī)內(nèi)部軟件工程的整體安全系數(shù)，確保用戶使用安全。

1軟件工程常遇到的威脅

1.1軟件質(zhì)量方面問(wèn)題

計(jì)算機(jī)在被應(yīng)用期間，其內(nèi)部軟件本身就存在一些不可避免的缺陷以及問(wèn)題。在進(jìn)行軟件研發(fā)期間，研發(fā)人員由于對(duì)技術(shù)掌握不是非常透徹，以及自身缺陷都會(huì)造成計(jì)算機(jī)內(nèi)部存在漏洞。這些漏洞直接威脅著計(jì)算機(jī)整體安全。據(jù)顯示，近些年來(lái)國(guó)內(nèi)外計(jì)算機(jī)在使用期間，由內(nèi)部軟件漏洞所引發(fā)的安全事件數(shù)量急劇上升，這給許多電腦高手以及網(wǎng)絡(luò)黑客帶來(lái)竊取電腦內(nèi)部信息的機(jī)會(huì)，使得國(guó)家以及人民財(cái)產(chǎn)方面受到威脅。

1.2非法復(fù)制問(wèn)題

計(jì)算機(jī)內(nèi)部軟件是一個(gè)科技含量較高的產(chǎn)品，在企業(yè)研發(fā)期間需要大量物力、人力以及財(cái)力才能完成。相關(guān)企業(yè)在軟件研發(fā)方面所付出的遠(yuǎn)遠(yuǎn)比硬件開(kāi)發(fā)高很多。但是，因?yàn)橛?jì)算機(jī)內(nèi)部軟件比較容易被復(fù)制，這就直接造成了產(chǎn)權(quán)方面的危害。近年來(lái)，全世界非法盜用相關(guān)軟件造成的損失非常龐大，并且事件次數(shù)逐年上升。特別是我國(guó)，近些年來(lái)國(guó)內(nèi)經(jīng)濟(jì)過(guò)快增長(zhǎng)，這就使得科技相對(duì)落后，與發(fā)達(dá)國(guó)家現(xiàn)有科技存在一定差距。這就使得不法分子趁虛而入，借助軟件存在漏洞對(duì)計(jì)算機(jī)進(jìn)行整體攻擊，非法復(fù)制電腦內(nèi)部信息，造成了用戶以及國(guó)家財(cái)產(chǎn)方面嚴(yán)重?fù)p失。

2軟件工程之中常見(jiàn)安全漏洞

電腦系統(tǒng)有一個(gè)重要特征就是存在安全漏洞，人們可以利用這一弱點(diǎn)編寫攻擊程序，通過(guò)授權(quán)方式獲得沒(méi)有經(jīng)過(guò)授權(quán)方面的相關(guān)訪問(wèn)，進(jìn)而對(duì)電腦系統(tǒng)造成危害。即使電腦中安裝了防火墻，防毒以及殺毒軟件，但對(duì)于那些利用軟件方面漏洞進(jìn)行攻擊的程序來(lái)說(shuō)，并沒(méi)有多大用處，甚至還會(huì)出現(xiàn)更大的危害。站在當(dāng)前軟件市場(chǎng)角度來(lái)看，有幾個(gè)漏洞經(jīng)常被人們所忽視。分別為JBOSS服務(wù)器、LIBTIFF軟件庫(kù)、NET-SNMP以及ZLIB。非法人員可以Geronimo2.0安全漏洞實(shí)現(xiàn)遠(yuǎn)程造作，繞過(guò)電腦中身份識(shí)別這一環(huán)節(jié)，通過(guò)對(duì)電腦插入惡意的軟件代碼獲取訪問(wèn)控制權(quán)限。JBOSS服務(wù)器中的3.2.4到4.0.5這些版本中，存在目錄遍歷這一安全漏洞。LIBTIFF軟件庫(kù)則是讀寫、標(biāo)簽圖像具有的文件格式的相關(guān)文件。NET-SNMP中的NET以及SNMP協(xié)議文件之中存在安全漏洞。ZLIB是一個(gè)對(duì)數(shù)據(jù)進(jìn)行壓縮的軟件庫(kù)，因?yàn)閹?kù)里的代碼解釋長(zhǎng)度大于1，進(jìn)而導(dǎo)致安全漏洞[1-2]。

3安全漏洞相應(yīng)檢測(cè)技術(shù)

3.1靜態(tài)檢測(cè)

（1）靜態(tài)分析靜態(tài)分析這一方法主要對(duì)程序當(dāng)中代碼進(jìn)行直接以及全面的掃描，同時(shí)提煉出程序當(dāng)中關(guān)鍵語(yǔ)句以及語(yǔ)法，再通過(guò)對(duì)其含義理解來(lái)分析該程序，并嚴(yán)格依照事先設(shè)定安全的標(biāo)準(zhǔn)以及漏洞特性來(lái)進(jìn)行電腦整體檢驗(yàn).第一，對(duì)程序當(dāng)中語(yǔ)句以及語(yǔ)法深入分析，這是最為原始的一種靜態(tài)分析法。這一方法檢測(cè)數(shù)量有限，并且檢測(cè)出來(lái)的漏洞通常都是比較嚴(yán)重已經(jīng)被人們所知的.第二，就是嚴(yán)格依照標(biāo)準(zhǔn)進(jìn)行相關(guān)檢測(cè)，一般來(lái)說(shuō)，電腦系統(tǒng)之中程序運(yùn)行實(shí)際情況進(jìn)行描述就是安全標(biāo)準(zhǔn)。其實(shí)程序本身也是一種編程標(biāo)準(zhǔn)，也就是指那些一般的安全標(biāo)準(zhǔn)，我們常說(shuō)的漏洞模式[3]。人們可以利用這一規(guī)則對(duì)漏洞進(jìn)行檢測(cè)，然后再通過(guò)規(guī)則處理對(duì)相關(guān)數(shù)據(jù)進(jìn)行接收，然后將其轉(zhuǎn)換為處理器在進(jìn)行內(nèi)部描述，最后對(duì)系統(tǒng)程序進(jìn)行整體檢測(cè)。（2）程序檢驗(yàn)程序檢測(cè)主要借用一些抽象軟件當(dāng)中的程序獲取一些形式化程序以及模模型，再采用形式化的漏洞檢驗(yàn)方法來(lái)對(duì)其展開(kāi)檢測(cè)，最后使用正確檢測(cè)方法對(duì)電腦漏洞進(jìn)行整體檢測(cè)。模型檢測(cè)一般是建立電腦系統(tǒng)內(nèi)部程序相關(guān)有向圖以及狀態(tài)機(jī)來(lái)完成檢測(cè)的。通常情況下，這種檢測(cè)包含兩種方式，分別為符號(hào)化以及自動(dòng)模型轉(zhuǎn)換。符號(hào)化就是將抽象模型轉(zhuǎn)換為與語(yǔ)法樹(shù)形式，并用公式描述出來(lái)，人們通過(guò)公式來(lái)判斷其是否符合需求。自動(dòng)模型轉(zhuǎn)換需要將檢測(cè)程序進(jìn)一步轉(zhuǎn)變成等價(jià)的自動(dòng)機(jī)，在將這兩個(gè)自動(dòng)機(jī)相互補(bǔ)充、替換，從而形成新的自動(dòng)機(jī)，然后再將判定的系統(tǒng)轉(zhuǎn)變成能夠容納的語(yǔ)言形式進(jìn)行檢測(cè)[4]。

3.2動(dòng)態(tài)監(jiān)測(cè)

許多黑客經(jīng)常使用“NULL”表現(xiàn)在尾部的字符串來(lái)對(duì)內(nèi)存進(jìn)行覆蓋，以此來(lái)實(shí)現(xiàn)攻擊目的。應(yīng)用代碼存在頁(yè)面之中映射技術(shù)可以使黑客在使用“NULL”尾部字符串對(duì)內(nèi)存進(jìn)行覆蓋，這使得跳轉(zhuǎn)到相對(duì)簡(jiǎn)單內(nèi)存區(qū)域的相關(guān)操作顯得十分困難。從這方面來(lái)看，隨機(jī)將代碼頁(yè)映射到各不相同內(nèi)存地址之上，可以有效降低依靠猜測(cè)內(nèi)存地址對(duì)頁(yè)面進(jìn)行攻擊的幾率。

4安全漏洞方檢測(cè)技術(shù)在軟件工程之中的應(yīng)用

4.1對(duì)競(jìng)爭(zhēng)條件方面的漏洞進(jìn)行預(yù)防

對(duì)一些由于競(jìng)爭(zhēng)條件產(chǎn)生的漏洞，主要預(yù)防方法就是將形成競(jìng)爭(zhēng)相關(guān)編碼運(yùn)用原子化方法進(jìn)行操作。執(zhí)行單位當(dāng)中最小的就是編碼，程序在運(yùn)行期間沒(méi)有任何情況可以對(duì)其產(chǎn)生干擾，原子化相關(guān)操作應(yīng)用的是一種鎖定方法，利用預(yù)防系統(tǒng)存在的某種狀態(tài)的改變來(lái)形成問(wèn)題。以達(dá)到間接調(diào)用文名系統(tǒng)的目的，進(jìn)而把使用的文件和句柄進(jìn)行描述[5]。

4.2對(duì)緩沖區(qū)存在的漏洞進(jìn)行預(yù)防

利用軟件程序之中較為危險(xiǎn)的函數(shù)檢查來(lái)預(yù)防緩沖區(qū)的漏洞溢出，可以使用安全軟件版本來(lái)代替不安全的版本。例如，人們可以將原來(lái)externcharstrcat替換成externcharstrncat等。

4.3對(duì)隨機(jī)產(chǎn)生的漏洞進(jìn)行預(yù)防

在預(yù)防隨機(jī)漏洞時(shí)，可以使用一些性能良好的設(shè)備。隨機(jī)發(fā)生相關(guān)設(shè)備一般都自帶一套密碼算法，以此來(lái)保證設(shè)備自身安全。這樣，即使軟件遭遇攻擊，黑客掌握了系統(tǒng)中的所有算法，也不能獲取電腦中已經(jīng)形成的信息數(shù)據(jù)流。

4.4對(duì)格式化字符串漏洞的預(yù)防

采用嚴(yán)謹(jǐn)預(yù)防，直接使用格式方面常量來(lái)進(jìn)行編程，這樣可以避免為黑客提供在系統(tǒng)內(nèi)創(chuàng)建字符串的機(jī)會(huì)。一般程序中不定參數(shù)都存在格式化現(xiàn)有字符串方面的漏洞，用戶在使用這些函數(shù)期間，必須要保證其中每個(gè)參數(shù)具有的個(gè)數(shù)和均衡性能。此外，應(yīng)用Windows操作系統(tǒng)下屬的窗口進(jìn)行數(shù)據(jù)輸出工作同樣可以減少漏洞的威脅能力[6]。

5結(jié)束語(yǔ)

當(dāng)今社會(huì)，網(wǎng)絡(luò)發(fā)展使得軟件工程日趨復(fù)雜，計(jì)算機(jī)之中軟件安全關(guān)系到全球每一個(gè)使用計(jì)算機(jī)網(wǎng)絡(luò)用戶的安全?，F(xiàn)階段，國(guó)內(nèi)計(jì)算機(jī)內(nèi)部軟件安全一般表現(xiàn)在程序編寫以及檢測(cè)消除相關(guān)軟件漏洞，不法人員常利用這些漏洞對(duì)電腦進(jìn)行攻擊。所以，只有人們對(duì)這些軟件漏洞源代碼進(jìn)行分析以及查找，才可能從根本上彌補(bǔ)這些漏洞，進(jìn)而提升計(jì)算機(jī)整體安全系數(shù)。

參考文獻(xiàn):

[1]王勇利.安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2016.

[2]陳斯，盧華.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].電子技術(shù)與軟件工程，2016.

[3]朱江.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].通訊世界，2016.

[4]陳伽，蔡映雪，胡輝等.計(jì)算機(jī)軟件安全檢測(cè)技術(shù)及其應(yīng)用實(shí)踐研究[J].無(wú)線互聯(lián)科技，2016.

[5]王媛媛.研究計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)[J].信息化建設(shè)，2016.

[6]謝劍.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用分析[J].信息與電腦（理論版），2016.

作者：周亮 單位：蘭州石化職業(yè)技術(shù)學(xué)院