淺談?dòng)?jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)論文

　　1 計(jì)算機(jī)軟件安全漏洞目前的狀況

　　其主要是指由于安裝的軟件不夠完善，存在能夠被他人盜用的程序代碼，這種情況就會(huì)導(dǎo)致計(jì)算機(jī)在網(wǎng)絡(luò)環(huán)境當(dāng)中存在安全漏洞。安全漏洞出現(xiàn)之后，計(jì)算機(jī)在網(wǎng)絡(luò)運(yùn)行中就會(huì)潛藏安全隱患，比如計(jì)算機(jī)會(huì)被攻擊、窺視、盜取資料等。在信息技術(shù)不斷發(fā)展的情況下，網(wǎng)絡(luò)的普及率將會(huì)更高，計(jì)算機(jī)安全漏洞的檢查技術(shù)需要得到升級(jí)改造，將計(jì)算機(jī)面臨的安全風(fēng)險(xiǎn)降到最低限度。

　　2 計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)解讀

　　1）靜態(tài)程序解析

　　這種技術(shù)來自于編譯優(yōu)化技術(shù)，對(duì)程序代碼進(jìn)行分析，實(shí)現(xiàn)特定程序性質(zhì)的求解，屬于多種分析技術(shù)的結(jié)合，其中居于基礎(chǔ)地位的是控制流與數(shù)據(jù)流兩種分析方法。前者提取代碼之中的控制結(jié)構(gòu)，將控制流圖當(dāng)做程序當(dāng)中分支跳轉(zhuǎn)關(guān)系的抽象，對(duì)程序全部的可能執(zhí)行路徑進(jìn)行闡述。數(shù)據(jù)流分析涵蓋的內(nèi)容較為復(fù)雜，可先從流敏感、流不敏感、路徑敏感、路徑不敏感等方面進(jìn)行判定，其中需要注意程序語(yǔ)句的次序。比如，一個(gè)流不敏感對(duì)應(yīng)的指針分析存在“變量x與y共同指向一個(gè)位置”的可能，單個(gè)流敏感則會(huì)表現(xiàn)出“某個(gè)語(yǔ)句得到執(zhí)行之后，x和y存在位置指向一致”的可能。路徑敏感則與控制流有關(guān)系。比如，某個(gè)分支條件為x>0，則其條件與不相符的分支下分析當(dāng)中會(huì)設(shè)定x≤0，但是在符合條件時(shí)，則會(huì)設(shè)定為x>0 成立。對(duì)上下文敏感進(jìn)行分析，那么處理過程就會(huì)被調(diào)用，在對(duì)目標(biāo)函數(shù)調(diào)用實(shí)施解讀時(shí)，其就會(huì)參照調(diào)用的上下文信息讓受到調(diào)用的函數(shù)能回歸到合理的調(diào)用位置，一旦這種信息處于空白，回歸過程中就要對(duì)全部的調(diào)用位置進(jìn)行關(guān)注，導(dǎo)致潛在的精確度無法把握[2]。

　　2）利用邏輯公式對(duì)程序性質(zhì)進(jìn)行表達(dá)

　　這種方法出現(xiàn)的時(shí)間較長(zhǎng)，后續(xù)的研究人員已在原有基礎(chǔ)上不斷進(jìn)行創(chuàng)新發(fā)展。其中，要對(duì)軟件程序的正確性進(jìn)行驗(yàn)證，這種方式以語(yǔ)法推導(dǎo)切入點(diǎn)，對(duì)程序符合其功能規(guī)約要求進(jìn)行推演。其中的功能規(guī)約屬于一對(duì)謂詞公式，主要內(nèi)容有前置謂詞與后置謂詞，兩者一起在內(nèi)涵方式的支持下，各自將程序前后存在的各種可能狀態(tài)納入都一個(gè)集合中。程序啟動(dòng)是導(dǎo)致狀態(tài)變遷唯一誘因[3]。所以這樣的一對(duì)謂詞公式可以很好地對(duì)程序功能進(jìn)行解讀并展示。程序的正確性主要有部分正確以及全部正確，可以利用能否確保程序終止對(duì)兩者進(jìn)行區(qū)分。如果程序由符合前置謂詞要求的一個(gè)狀態(tài)正式啟動(dòng)，能實(shí)現(xiàn)終止執(zhí)行，那么終止的狀態(tài)必定能與后置謂詞相符。能對(duì)程序部分正確性進(jìn)行判定的方法主要有不變式斷言法、目標(biāo)斷言法、公理化等方法。其中的公理化方法的邏輯是完整的體系，其中的每個(gè)公式都是由單個(gè)程序語(yǔ)句和其前后置斷言共同構(gòu)成，具體理論當(dāng)中只有一條賦值公理，形式演算系統(tǒng)以一階謂詞邏輯為基礎(chǔ)，各自為順序、分支以及循環(huán)指令增加了相應(yīng)的演算法則。公理化方法已經(jīng)被證明具有較強(qiáng)的可靠性和完整性，但匹配的形式演算系統(tǒng)存在半可判定的情況。程序的正確性涉及程序設(shè)計(jì)人員利用邏輯公式對(duì)程序?qū)��?yīng)的功能規(guī)約展開描述，另外一個(gè)問題就是要為循環(huán)體確定循環(huán)不變式。

　　3）測(cè)試庫(kù)技術(shù)

　　這種技術(shù)主要是對(duì)軟件當(dāng)中的動(dòng)態(tài)內(nèi)存錯(cuò)誤實(shí)施判定。此方面具有代表性的工具就是Purify，能對(duì)全部的內(nèi)存操作函數(shù)實(shí)施審視，比如free、malloc等。Purify可以對(duì)運(yùn)行中的全部?jī)?nèi)存塊進(jìn)行特殊標(biāo)記，依靠這些標(biāo)記就能在程序運(yùn)行當(dāng)中對(duì)內(nèi)存操作是否存在失誤進(jìn)行判定。這項(xiàng)技術(shù)需要和對(duì)應(yīng)的庫(kù)進(jìn)行連接。比如使用與Purify匹配的程序就要使用Purify庫(kù)。這種行為不需要花費(fèi)較大成本。但是Purify具有商業(yè)性質(zhì)，使用存在局限性。利用測(cè)試庫(kù)技術(shù)只能對(duì)動(dòng)態(tài)內(nèi)存操作函數(shù)導(dǎo)致的錯(cuò)誤進(jìn)行判定。而且其主要對(duì)運(yùn)行過程中輸入數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)其中的弱點(diǎn)。這種檢測(cè)并不是從整體上進(jìn)行判定。這也表明檢測(cè)過程只是驗(yàn)證BUG 是否被發(fā)現(xiàn)，但是無法證實(shí)BUG的存在。使用這項(xiàng)技術(shù)對(duì)于普通應(yīng)用程序而言，并不會(huì)存在任何兼容問題。使用測(cè)試庫(kù)技術(shù)的主要優(yōu)勢(shì)不存在誤報(bào)。從性能上對(duì)這個(gè)技術(shù)展開分析，其性能消耗較大，從其工作原理很容易能推導(dǎo)出這個(gè)結(jié)論。

　　4）源碼改編

　　程序運(yùn)行當(dāng)中存在緩沖區(qū)溢出弱點(diǎn)，這就需要對(duì)程序源代碼進(jìn)行改寫，同時(shí)追蹤內(nèi)存緩沖區(qū)的長(zhǎng)度，達(dá)到檢測(cè)目的。這項(xiàng)技術(shù)在應(yīng)用中不需要使用構(gòu)造長(zhǎng)度過長(zhǎng)的數(shù)據(jù)，對(duì)信息進(jìn)行改變、追蹤，分析是否正在調(diào)用存在安全隱患的庫(kù)函數(shù)，可能會(huì)造成緩沖區(qū)的溢出。這種方式在使用的過程中需要改寫源代碼。能都實(shí)現(xiàn)自動(dòng)化代碼改編軟件STOBO出現(xiàn)之后，很多存在安全隱患的函數(shù)都會(huì)被自動(dòng)修改。使用STOBO進(jìn)行源代碼自動(dòng)改寫，利用的是靜態(tài)分析代碼技術(shù)，程序員不會(huì)有多余的負(fù)擔(dān)。在庫(kù)包裹函數(shù)受到調(diào)用之后，其在緩沖區(qū)溢出漏洞的判定之中具有明顯的效果。但是，如果程序代碼對(duì)緩沖區(qū)直接干預(yù)，漏洞就存在漏報(bào)的可能。而且STOBO 存在一定的局限性。源代碼改變技術(shù)存在引發(fā)競(jìng)爭(zhēng)的可能，尤其是在多線程的代碼條件下。但是這類技術(shù)由于能收集精確的改編和追蹤信息，誤報(bào)率和ITS4等相比相對(duì)較低。這項(xiàng)技術(shù)表現(xiàn)出動(dòng)態(tài)監(jiān)測(cè)的優(yōu)勢(shì)，其能在程序運(yùn)行時(shí)獲得更加精準(zhǔn)的信息。為此，將靜態(tài)檢測(cè)方式與動(dòng)態(tài)檢測(cè)方式結(jié)合在一起能獲得較好的結(jié)果。

　　5）其他檢測(cè)方法

　　如果計(jì)算機(jī)當(dāng)中存在漏洞，需要使用第三方軟件實(shí)施掃描，一旦發(fā)現(xiàn)漏洞就可以自動(dòng)提示使用者進(jìn)行修補(bǔ)。此外想要實(shí)現(xiàn)對(duì)計(jì)算機(jī)安全漏洞的高效檢測(cè)，就要對(duì)來訪的計(jì)算機(jī)IP實(shí)施檢查，對(duì)于本地IP之外的IP的軟件要具備較強(qiáng)的攔截能力，防范一些非法活動(dòng)。計(jì)算機(jī)要能有效應(yīng)對(duì)遠(yuǎn)程攻擊，達(dá)到識(shí)別各種偽裝攻擊的目的，全滿加強(qiáng)對(duì)可疑行為的監(jiān)控水平。

　　3 總結(jié)

　　計(jì)算機(jī)技術(shù)軟件使用范圍的擴(kuò)展速度十分之快，信息安全問題產(chǎn)生的影響十分之大。當(dāng)前，計(jì)算機(jī)軟件遭受的攻擊主要來自于軟件自身漏洞，另外也有hacker主動(dòng)攻擊。在進(jìn)行檢測(cè)時(shí)，要注意從根源上分析軟件安全問題，切實(shí)解決安全問題。這方面的檢測(cè)技術(shù)要堅(jiān)持不懈地進(jìn)行探索，不斷提升應(yīng)對(duì)安全風(fēng)險(xiǎn)的能力。

【淺談?dòng)?jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)論文】相關(guān)文章：

大數(shù)據(jù)時(shí)代下計(jì)算機(jī)軟件技術(shù)探析論文03-24

淺談小學(xué)數(shù)學(xué)教學(xué)論文03-23

淺談畢業(yè)論文撰寫與評(píng)定07-10

淺談信息技術(shù)教法06-13

電子技術(shù)論文12-02

信息技術(shù)論文12-13

專業(yè)技術(shù)論文11-11

淺談本科畢業(yè)論文評(píng)分的標(biāo)準(zhǔn)07-10

淺談各個(gè)國(guó)家汽車造型的特點(diǎn)論文03-08

淺談小學(xué)音樂教學(xué)成效的提升論文06-16