軟件工程中對安全漏洞檢測技術的應用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了軟件工程中對安全漏洞檢測技術的應用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:近年來，信息技術帶動了計算機在各領域廣泛應用。伴隨著軟件不斷更新與發展，計算機內現有缺點以及弱點越來越不易被人們察覺。安全是計算機同通訊網絡使用安全之中最為基礎的一項，就算計算機內安裝了各種殺毒軟件、防火墻以及防毒軟件等，只要計算機內部軟件自身存在安全方面問題，必然會導致整個計算機存在安全漏洞。本文在簡述軟件工程常遇到的威脅基礎上，找出軟件工程之中常見安全漏洞，分析安全漏洞相對應的檢測技術，進而探索安全漏洞方面檢測技術在軟件工程之中的應用。

關鍵詞:安全漏洞；檢測技術；軟件工程；應用

0前言

計算機在各領域普遍應用加速了全球現代化和信息建設的進程。如今人們生活、工作都離不開網絡以及計算機，所以計算機通信安全就顯得尤為重要。人們必須要加強對信息方面安全的建設，以此來保障用戶使用計算機時能有一個相對安全的環境。近年來，無論是國內還是國外都發生了多起利用軟件漏洞對計算機整體進行攻擊的事件，這使得計算機內存在的缺點以及弱點成為了其安全的最大威脅。現今電腦之內僅有防火墻以及各種防毒殺毒軟件是遠遠不能滿足用戶需求的，有時這些軟件還會帶來許多問題。所以，相關企業必須要加強對計算機方面安全漏洞相應檢測技術的研究，以此來提高計算機內部軟件工程的整體安全系數，確保用戶使用安全。

1軟件工程常遇到的威脅

1.1軟件質量方面問題

計算機在被應用期間，其內部軟件本身就存在一些不可避免的缺陷以及問題。在進行軟件研發期間，研發人員由于對技術掌握不是非常透徹，以及自身缺陷都會造成計算機內部存在漏洞。這些漏洞直接威脅著計算機整體安全。據顯示，近些年來國內外計算機在使用期間，由內部軟件漏洞所引發的安全事件數量急劇上升，這給許多電腦高手以及網絡黑客帶來竊取電腦內部信息的機會，使得國家以及人民財產方面受到威脅。

1.2非法復制問題

計算機內部軟件是一個科技含量較高的產品，在企業研發期間需要大量物力、人力以及財力才能完成。相關企業在軟件研發方面所付出的遠遠比硬件開發高很多。但是，因為計算機內部軟件比較容易被復制，這就直接造成了產權方面的危害。近年來，全世界非法盜用相關軟件造成的損失非常龐大，并且事件次數逐年上升。特別是我國，近些年來國內經濟過快增長，這就使得科技相對落后，與發達國家現有科技存在一定差距。這就使得不法分子趁虛而入，借助軟件存在漏洞對計算機進行整體攻擊，非法復制電腦內部信息，造成了用戶以及國家財產方面嚴重損失。

2軟件工程之中常見安全漏洞

電腦系統有一個重要特征就是存在安全漏洞，人們可以利用這一弱點編寫攻擊程序，通過授權方式獲得沒有經過授權方面的相關訪問，進而對電腦系統造成危害。即使電腦中安裝了防火墻，防毒以及殺毒軟件，但對于那些利用軟件方面漏洞進行攻擊的程序來說，并沒有多大用處，甚至還會出現更大的危害。站在當前軟件市場角度來看，有幾個漏洞經常被人們所忽視。分別為JBOSS服務器、LIBTIFF軟件庫、NET-SNMP以及ZLIB。非法人員可以Geronimo2.0安全漏洞實現遠程造作，繞過電腦中身份識別這一環節，通過對電腦插入惡意的軟件代碼獲取訪問控制權限。JBOSS服務器中的3.2.4到4.0.5這些版本中，存在目錄遍歷這一安全漏洞。LIBTIFF軟件庫則是讀寫、標簽圖像具有的文件格式的相關文件。NET-SNMP中的NET以及SNMP協議文件之中存在安全漏洞。ZLIB是一個對數據進行壓縮的軟件庫，因為庫里的代碼解釋長度大于1，進而導致安全漏洞[1-2]。

3安全漏洞相應檢測技術

3.1靜態檢測

（1）靜態分析靜態分析這一方法主要對程序當中代碼進行直接以及全面的掃描，同時提煉出程序當中關鍵語句以及語法，再通過對其含義理解來分析該程序，并嚴格依照事先設定安全的標準以及漏洞特性來進行電腦整體檢驗.第一，對程序當中語句以及語法深入分析，這是最為原始的一種靜態分析法。這一方法檢測數量有限，并且檢測出來的漏洞通常都是比較嚴重已經被人們所知的.第二，就是嚴格依照標準進行相關檢測，一般來說，電腦系統之中程序運行實際情況進行描述就是安全標準。其實程序本身也是一種編程標準，也就是指那些一般的安全標準，我們常說的漏洞模式[3]。人們可以利用這一規則對漏洞進行檢測，然后再通過規則處理對相關數據進行接收，然后將其轉換為處理器在進行內部描述，最后對系統程序進行整體檢測。（2）程序檢驗程序檢測主要借用一些抽象軟件當中的程序獲取一些形式化程序以及模模型，再采用形式化的漏洞檢驗方法來對其展開檢測，最后使用正確檢測方法對電腦漏洞進行整體檢測。模型檢測一般是建立電腦系統內部程序相關有向圖以及狀態機來完成檢測的。通常情況下，這種檢測包含兩種方式，分別為符號化以及自動模型轉換。符號化就是將抽象模型轉換為與語法樹形式，并用公式描述出來，人們通過公式來判斷其是否符合需求。自動模型轉換需要將檢測程序進一步轉變成等價的自動機，在將這兩個自動機相互補充、替換，從而形成新的自動機，然后再將判定的系統轉變成能夠容納的語言形式進行檢測[4]。

3.2動態監測

許多黑客經常使用“NULL”表現在尾部的字符串來對內存進行覆蓋，以此來實現攻擊目的。應用代碼存在頁面之中映射技術可以使黑客在使用“NULL”尾部字符串對內存進行覆蓋，這使得跳轉到相對簡單內存區域的相關操作顯得十分困難。從這方面來看，隨機將代碼頁映射到各不相同內存地址之上，可以有效降低依靠猜測內存地址對頁面進行攻擊的幾率。

4安全漏洞方檢測技術在軟件工程之中的應用

4.1對競爭條件方面的漏洞進行預防

對一些由于競爭條件產生的漏洞，主要預防方法就是將形成競爭相關編碼運用原子化方法進行操作。執行單位當中最小的就是編碼，程序在運行期間沒有任何情況可以對其產生干擾，原子化相關操作應用的是一種鎖定方法，利用預防系統存在的某種狀態的改變來形成問題。以達到間接調用文名系統的目的，進而把使用的文件和句柄進行描述[5]。

4.2對緩沖區存在的漏洞進行預防

利用軟件程序之中較為危險的函數檢查來預防緩沖區的漏洞溢出，可以使用安全軟件版本來代替不安全的版本。例如，人們可以將原來externcharstrcat替換成externcharstrncat等。

4.3對隨機產生的漏洞進行預防

在預防隨機漏洞時，可以使用一些性能良好的設備。隨機發生相關設備一般都自帶一套密碼算法，以此來保證設備自身安全。這樣，即使軟件遭遇攻擊，黑客掌握了系統中的所有算法，也不能獲取電腦中已經形成的信息數據流。

4.4對格式化字符串漏洞的預防

采用嚴謹預防，直接使用格式方面常量來進行編程，這樣可以避免為黑客提供在系統內創建字符串的機會。一般程序中不定參數都存在格式化現有字符串方面的漏洞，用戶在使用這些函數期間，必須要保證其中每個參數具有的個數和均衡性能。此外，應用Windows操作系統下屬的窗口進行數據輸出工作同樣可以減少漏洞的威脅能力[6]。

5結束語

當今社會，網絡發展使得軟件工程日趨復雜，計算機之中軟件安全關系到全球每一個使用計算機網絡用戶的安全。現階段，國內計算機內部軟件安全一般表現在程序編寫以及檢測消除相關軟件漏洞，不法人員常利用這些漏洞對電腦進行攻擊。所以，只有人們對這些軟件漏洞源代碼進行分析以及查找，才可能從根本上彌補這些漏洞，進而提升計算機整體安全系數。

參考文獻:

[1]王勇利.安全漏洞檢測技術在計算機軟件中應用研究[J].數字技術與應用，2016.

[2]陳斯，盧華.計算機軟件中安全漏洞檢測技術及其應用[J].電子技術與軟件工程，2016.

[3]朱江.計算機軟件中安全漏洞檢測技術及其應用[J].通訊世界，2016.

[4]陳伽，蔡映雪，胡輝等.計算機軟件安全檢測技術及其應用實踐研究[J].無線互聯科技，2016.

[5]王媛媛.研究計算機軟件中安全漏洞檢測技術[J].信息化建設，2016.

[6]謝劍.計算機軟件安全漏洞檢測技術的應用分析[J].信息與電腦（理論版），2016.

作者：周亮 單位：蘭州石化職業技術學院