计算机软件安全漏洞检测分析

张魏 荆州职业技术学院

1 计算机软件安全漏洞概念

计算机安全漏洞。漏洞是指一个系统存在的弱点或缺陷，系统对特定威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。

这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看，应用软件中的漏洞远远多于操作系统中的漏洞，特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。

2 计算机软件安全检测现状

2.1 针对性不强

现阶段，有相当数量的检测人员并不会按照计算机软件的实际应用环境进行安全监测，而是实施模式化的检测手段对计算机的各种软件展开测试，导致其检测结果出现偏差。毫无疑问，这种缺乏针对性的软件安全检测方式，无法确保软件检测结果的普适性。基于此，会导致软件中那些潜在的安全风险并未获得根本上的解决，以至于在后期运行中给人们的运行造成不利影响。须知检测人员更应当针对计算机使用用户的需求、计算机系统及代码等特点，并以软件的规模为依据，选择最为恰当的一种安全检测方法，只有这样，才能够提高检测水平，使用户获得优质的服务。

2.2 长期存在被病毒感染的风险

现代病毒可以借助文件、邮件、网页等诸多方式在网络中进行传播和蔓延，它们具有自动启动功能，常常潜入系统核心与内存，为所欲为，甚至造成整个计算机网络数据传输中断和系统瘫痪。

2.3 缺乏对计算机内部结构的分析

在进行对计算机软件的安全监测过程中，必须应当对软件的内部结构实施系统分析，方能体现检测过程的完成性。然而，却又许多的检测人员对计算机软件的内部结构所知甚少，缺乏系统的认知与检测意识，使得在面临安全性问题时，检测人员无法第一时间对所发生的问题展开及时处理，最终致使计算机软件运行不稳定。

3 计算机软件安全漏洞检测范畴

3.1 安全动态检测技术研究

（1）非执行栈技术。由于内部变量特别是数组的变量都存在于栈中的，所以攻击者可以向栈中写入恶性代码，之后找办法来执行此段代码。防范栈被攻击最直接的就是让栈不可以执行代码。只有这样才能使攻击者写在栈中的恶意代码，不能被执行，从一定程度看它防止了攻击者。（2）非执行堆和数据技术。鉴于堆主要是在程序运行的时候动态分配内存的一个区域，数据段却是在程序编译的时候就应经初始化了。堆与数据段如果都不可以执行代码，那么攻击者写入它们当中的恶性代码就不能执行。（3）内存映射技术。利用以NULL结尾的一些字符串来覆盖内存，是有些攻击者常用的方式。利用映射代码页的方法，便可以使攻击者较为困难的使用以NULL结尾的那些字符串顺利的跳转到比较低的内存区当中。（4）安全共享库技术。有些安全漏洞主要是源于利用了一些不安全性的共享库。安全共享库技术可以在一定的程度之上防止攻击者所展开的攻击。（5）程序解释技术。从实践来看，当前技术效果最为显著的一种方法是在程序完成后，对该程序行为进行监视，并强制对其进行安全检测，此时需要解释程序的一些执行。

3.2 安全静态检测技术的研究

（1）漏洞分类检测。安全漏洞的分类方法是多种多样的。按照已有的方法分类，则漏洞就会分为几个非常细致的部分，绝大多数的检测技术可以覆盖的漏洞相对零散、分散，因此难以在漏洞类型上找到它们所共有的特点。因此，为了方便比较，可将漏洞进行分类，安全方面的漏洞与内存方面的漏洞。（2）静态检测技术。静态分析：该方法主要是对程序代码进行直接扫面，并提取其中的关键语法和句式，通过解释其语义来理解程序行为，然后在严格按照事先预设的漏洞特征及计算机系统安全标准，对系统漏洞进行全面检查。

4 完善计算机软件安全检测的对策

4.1 模糊检测

模糊检测的技术基础依赖于白盒技术，由于白盒技术可以较为高效地继承模糊检测与动态检测的综合优点，其检测效果也比较准确。

4.2 以故障注入为背景的安全性检测

这种检测方法的关键就在于构建故障树。该检测法可以把软件系统中发生故障率最小的事件先当成是顶层事件，接着再依次明确中间事件、底层事件等，最后，就能够通过逻辑门符号来完成对底层事件、中间事件以及顶层事件的连接，构建故障树。该检测法的优势就在于能够实现对故障检测的自动化，可高效地体现故障检测的效果。

4.3 以故障注入为背景的安全性检测

这种检测方法的关键就在于构建故障树。该检测法可以把软件系统中发生故障率最小的事件先当成是顶层事件，接着再依次明确中间事件、底层事件等，最后，就能够通过逻辑门符号来完成对底层事件、中间事件以及顶层事件的连接，构建故障树。该检测法的优势就在于能够实现对故障检测的自动化，可以十分高效地体现故障检测的效果。

[1]洪霞，余素珍.计算机软件安全检测技术探析[J].科技创新与应用，2016，24（19）：83.

[2]刘露.浅议计算机软件安全检测技术[J].数字技术与应用，2016，17（05）：204.