探究安全漏洞检测技术在计算机软件中的应用
2020-12-08张舰
摘要:近年来,计算机行业的发展迅速,计算机技术的快速发展极大地改变了人们的生活,使人们生活与工作效率更高。然而,任何一种事物都具有双面性,计算机在方便人们生活、提高工作效率的同时,又存在着计算机安全问题,一直以来备受人们关注。随着计算机漏洞不断出现,计算机漏洞成为危害计算机安全问题的一个重要因素,为计算机非法攻击者创造了机会。不少攻击者针对计算机安全漏洞问题采取多样化的攻击手段,破坏计算机安全。针对这一现状,需要精准把握计算机安全漏洞表现和特征,采取相应的检测技术手段,以消除计算机安全漏洞造成的安全问题。
关键词:安全漏洞检测技术;计算机软件;应用
中图分类号:TP311.5;TP309 文献标识码:A 文章编号:1672-9129(2020)16-0005-01
1 计算机漏洞综述
计算机漏洞指的是计算机软件开发人员在软件开发过程中,由于不安全因素影响而造成的运行安全问题,不安全因素具有多样性,既包括硬件层面的因素,由于硬件开发没有达到相应的技术水平,又与软件自身有关,任何软件的开发都不可能是完善的,需要经历一个不断完善的过程,此外,协议也是造成计算机漏洞的重要因素。计算机漏洞直接关系着计算机系统的有效运行,成为计算机应用亟待解决的一个突出问题。计算机由于安全漏洞的存在,从而给予非法攻击者从事非法活动的机会,攻击者不需要经过授权就可以随意地访问计算机,并进行非法操作,对计算机安全造成巨大的隐患,进攻者可以对计算机应用程序进行修改,从而破坏计算机正常运行。不仅如此,计算机安全漏洞也容易使得计算机组件、存储的资源等处于无保护状态,危害计算机整体运行质态。计算机安全漏洞分类标准不同类型也不相同,从漏洞产生的影响进行分类,主要分为两大类型,一种是功能性逻辑漏洞,另一种是安全性逻辑漏洞。前者主要影响计算机常态化运行功能,由于安全漏洞的存在,计算机一些软件不能正常开展工作,从而使计算机功能出现障碍;后者主要对计算机安全产生影响,在一般情况下,安全漏洞不会影响计算机自身的功能,但是当安全漏洞被非法攻击者所利用,就会对计算机信息安全形成危害,使软件运行出现错误,也可能出现执行恶意代码。
2 计算机安全漏洞检测技术应用
2.1模型檢测和元编译技术。在上世纪80年代提出了模型检测,这一理论主要是使用显示状态,在搜索验证状态中迸发系统命题性质,模型检测对于有限状态的程序构造可以进行全面建模,并且使用模型来将软件当中的特性验证出来。在对软件里面的片段,通过建模方式来进行比较,能够尽量防止软件自身复杂性所带来的问题,模型检测可以有效地把功能与用途相互接近的软件来进行安全漏洞的检测。从而提升软件与整体的安全性能。计算机安全漏洞主要是指计算机比较脆弱的特性,很可能是恶意攻击,或者可能会危害到计算机软件而造成安全系统的缺陷与漏洞。原编译技术比较要求程序安全属性,是一种轻量级编译器的扩展,以及建模执行。同时也可以自发的进行推断来检测代码是否安全,并且可以编写出与其相互匹配的编译扩展,这就是比较典型的原编译技术。原编译技术在编译器当中是非常基础的一种技术,不仅效率比较低,而且还会带来在语言特性方面比较创新的拓展。
2.2规则检测和变异语技术。安全规则主要指的就是对程序自身所带有的安全性描述,是软件其自身存在的一种编译规则,比如软件在Root权限下不能够进行exec的调用。规则检查主要是指使用比较特定的语法,来描述软件运行过程的安全规则,处理器可以将语法在一定情况下,进行描述转换成可以被处理器理解的一种内部表示,再将程序相互之间的行为进行对比。变异与技术一般是指限制算术运算以及不安全的转换等,很可能导致出现安全隐患的操作。多使用C或c++语言的安全编程变异级数,相比动态检测的局限性比较大,对软件的源代码或者二进制代码来进行检测的静态检测,是具有自身优势的衡量静态检测。具体优劣情况的标准有两个,一个就是误报率,另一个即是漏报率,采用静态检测编写出来的程序较为可靠。
2.3定理证明和程序评注技术。与其他检测技术比起来,定理证明相对是更加严格的,能够通过各种不同的方式将软件当中的抽象公式进行验证,从而保障定理证明的技术性。其主要就是利用折曲式来进行图像的构造,让公式当中的条件与图中的节点都是遥相呼应的,可以通过已经给出的现有等式,与对应项目点进行合并,把顶点合并过程趋势中的不等式进行充分的检测,如果不等式是不成立的,则将处于不满足的状态。这种技术并不会为原有代码增加创新的语言特色,但会以一种注释的形式将其进行表现出来,因此不会存在过多的兼容性问题,可以凭借具体信息来进行静态分析的加深,从而找出系统与程序当中存在的漏洞。不仅如此,也要能够将外部数据进行标记,这些都能够对代码审计人员产生警告,并给予排查。
3 结语
总之,计算机安全漏洞是不可避免的,这就决定了计算机漏洞检测技术研究是非常必要的,计算机安全漏洞检测是确保计算机安全、发挥计算机功能的基本前提。然而,计算机漏洞检测技术不是一成不变的,需要根据漏洞的基本类型和基本特征,综合考虑漏洞多种诱因。这就需要进一步提高计算机安全漏洞检测技术,针对不同的研究对象、不同的情形采取科学的安全漏洞检测技术,将静态检测技术和动态检测技术灵活地应用于计算机安全漏洞。
参考文献:
[1]屈晔,张昊.Bugscam自动化静态漏洞检测的分析[J].信息安全与通信保密,2007.3.
[2]宋世茂.计算机软件中安全漏洞检测技术的应用研究[J].无线互联科技,2018,15(6):51-52.
作者简介:张舰,男,1978.09,汉族,山东省济宁市任城区,本科,高级工程师,研究方向:大数据安全和隐私。