公務(wù)員期刊網(wǎng) 論文中心 正文

軟件工程中對安全漏洞檢測技術(shù)的應(yīng)用

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了軟件工程中對安全漏洞檢測技術(shù)的應(yīng)用范文,希望能給你帶來靈感和參考,敬請閱讀。

軟件工程中對安全漏洞檢測技術(shù)的應(yīng)用

摘要:近年來,信息技術(shù)帶動了計算機在各領(lǐng)域廣泛應(yīng)用。伴隨著軟件不斷更新與發(fā)展,計算機內(nèi)現(xiàn)有缺點以及弱點越來越不易被人們察覺。安全是計算機同通訊網(wǎng)絡(luò)使用安全之中最為基礎(chǔ)的一項,就算計算機內(nèi)安裝了各種殺毒軟件、防火墻以及防毒軟件等,只要計算機內(nèi)部軟件自身存在安全方面問題,必然會導(dǎo)致整個計算機存在安全漏洞。本文在簡述軟件工程常遇到的威脅基礎(chǔ)上,找出軟件工程之中常見安全漏洞,分析安全漏洞相對應(yīng)的檢測技術(shù),進而探索安全漏洞方面檢測技術(shù)在軟件工程之中的應(yīng)用。

關(guān)鍵詞:安全漏洞;檢測技術(shù);軟件工程;應(yīng)用

0前言

計算機在各領(lǐng)域普遍應(yīng)用加速了全球現(xiàn)代化和信息建設(shè)的進程。如今人們生活、工作都離不開網(wǎng)絡(luò)以及計算機,所以計算機通信安全就顯得尤為重要。人們必須要加強對信息方面安全的建設(shè),以此來保障用戶使用計算機時能有一個相對安全的環(huán)境。近年來,無論是國內(nèi)還是國外都發(fā)生了多起利用軟件漏洞對計算機整體進行攻擊的事件,這使得計算機內(nèi)存在的缺點以及弱點成為了其安全的最大威脅?,F(xiàn)今電腦之內(nèi)僅有防火墻以及各種防毒殺毒軟件是遠(yuǎn)遠(yuǎn)不能滿足用戶需求的,有時這些軟件還會帶來許多問題。所以,相關(guān)企業(yè)必須要加強對計算機方面安全漏洞相應(yīng)檢測技術(shù)的研究,以此來提高計算機內(nèi)部軟件工程的整體安全系數(shù),確保用戶使用安全。

1軟件工程常遇到的威脅

1.1軟件質(zhì)量方面問題

計算機在被應(yīng)用期間,其內(nèi)部軟件本身就存在一些不可避免的缺陷以及問題。在進行軟件研發(fā)期間,研發(fā)人員由于對技術(shù)掌握不是非常透徹,以及自身缺陷都會造成計算機內(nèi)部存在漏洞。這些漏洞直接威脅著計算機整體安全。據(jù)顯示,近些年來國內(nèi)外計算機在使用期間,由內(nèi)部軟件漏洞所引發(fā)的安全事件數(shù)量急劇上升,這給許多電腦高手以及網(wǎng)絡(luò)黑客帶來竊取電腦內(nèi)部信息的機會,使得國家以及人民財產(chǎn)方面受到威脅。

1.2非法復(fù)制問題

計算機內(nèi)部軟件是一個科技含量較高的產(chǎn)品,在企業(yè)研發(fā)期間需要大量物力、人力以及財力才能完成。相關(guān)企業(yè)在軟件研發(fā)方面所付出的遠(yuǎn)遠(yuǎn)比硬件開發(fā)高很多。但是,因為計算機內(nèi)部軟件比較容易被復(fù)制,這就直接造成了產(chǎn)權(quán)方面的危害。近年來,全世界非法盜用相關(guān)軟件造成的損失非常龐大,并且事件次數(shù)逐年上升。特別是我國,近些年來國內(nèi)經(jīng)濟過快增長,這就使得科技相對落后,與發(fā)達(dá)國家現(xiàn)有科技存在一定差距。這就使得不法分子趁虛而入,借助軟件存在漏洞對計算機進行整體攻擊,非法復(fù)制電腦內(nèi)部信息,造成了用戶以及國家財產(chǎn)方面嚴(yán)重?fù)p失。

2軟件工程之中常見安全漏洞

電腦系統(tǒng)有一個重要特征就是存在安全漏洞,人們可以利用這一弱點編寫攻擊程序,通過授權(quán)方式獲得沒有經(jīng)過授權(quán)方面的相關(guān)訪問,進而對電腦系統(tǒng)造成危害。即使電腦中安裝了防火墻,防毒以及殺毒軟件,但對于那些利用軟件方面漏洞進行攻擊的程序來說,并沒有多大用處,甚至還會出現(xiàn)更大的危害。站在當(dāng)前軟件市場角度來看,有幾個漏洞經(jīng)常被人們所忽視。分別為JBOSS服務(wù)器、LIBTIFF軟件庫、NET-SNMP以及ZLIB。非法人員可以Geronimo2.0安全漏洞實現(xiàn)遠(yuǎn)程造作,繞過電腦中身份識別這一環(huán)節(jié),通過對電腦插入惡意的軟件代碼獲取訪問控制權(quán)限。JBOSS服務(wù)器中的3.2.4到4.0.5這些版本中,存在目錄遍歷這一安全漏洞。LIBTIFF軟件庫則是讀寫、標(biāo)簽圖像具有的文件格式的相關(guān)文件。NET-SNMP中的NET以及SNMP協(xié)議文件之中存在安全漏洞。ZLIB是一個對數(shù)據(jù)進行壓縮的軟件庫,因為庫里的代碼解釋長度大于1,進而導(dǎo)致安全漏洞[1-2]。

3安全漏洞相應(yīng)檢測技術(shù)

3.1靜態(tài)檢測

(1)靜態(tài)分析靜態(tài)分析這一方法主要對程序當(dāng)中代碼進行直接以及全面的掃描,同時提煉出程序當(dāng)中關(guān)鍵語句以及語法,再通過對其含義理解來分析該程序,并嚴(yán)格依照事先設(shè)定安全的標(biāo)準(zhǔn)以及漏洞特性來進行電腦整體檢驗.第一,對程序當(dāng)中語句以及語法深入分析,這是最為原始的一種靜態(tài)分析法。這一方法檢測數(shù)量有限,并且檢測出來的漏洞通常都是比較嚴(yán)重已經(jīng)被人們所知的.第二,就是嚴(yán)格依照標(biāo)準(zhǔn)進行相關(guān)檢測,一般來說,電腦系統(tǒng)之中程序運行實際情況進行描述就是安全標(biāo)準(zhǔn)。其實程序本身也是一種編程標(biāo)準(zhǔn),也就是指那些一般的安全標(biāo)準(zhǔn),我們常說的漏洞模式[3]。人們可以利用這一規(guī)則對漏洞進行檢測,然后再通過規(guī)則處理對相關(guān)數(shù)據(jù)進行接收,然后將其轉(zhuǎn)換為處理器在進行內(nèi)部描述,最后對系統(tǒng)程序進行整體檢測。(2)程序檢驗程序檢測主要借用一些抽象軟件當(dāng)中的程序獲取一些形式化程序以及模模型,再采用形式化的漏洞檢驗方法來對其展開檢測,最后使用正確檢測方法對電腦漏洞進行整體檢測。模型檢測一般是建立電腦系統(tǒng)內(nèi)部程序相關(guān)有向圖以及狀態(tài)機來完成檢測的。通常情況下,這種檢測包含兩種方式,分別為符號化以及自動模型轉(zhuǎn)換。符號化就是將抽象模型轉(zhuǎn)換為與語法樹形式,并用公式描述出來,人們通過公式來判斷其是否符合需求。自動模型轉(zhuǎn)換需要將檢測程序進一步轉(zhuǎn)變成等價的自動機,在將這兩個自動機相互補充、替換,從而形成新的自動機,然后再將判定的系統(tǒng)轉(zhuǎn)變成能夠容納的語言形式進行檢測[4]。

3.2動態(tài)監(jiān)測

許多黑客經(jīng)常使用“NULL”表現(xiàn)在尾部的字符串來對內(nèi)存進行覆蓋,以此來實現(xiàn)攻擊目的。應(yīng)用代碼存在頁面之中映射技術(shù)可以使黑客在使用“NULL”尾部字符串對內(nèi)存進行覆蓋,這使得跳轉(zhuǎn)到相對簡單內(nèi)存區(qū)域的相關(guān)操作顯得十分困難。從這方面來看,隨機將代碼頁映射到各不相同內(nèi)存地址之上,可以有效降低依靠猜測內(nèi)存地址對頁面進行攻擊的幾率。

4安全漏洞方檢測技術(shù)在軟件工程之中的應(yīng)用

4.1對競爭條件方面的漏洞進行預(yù)防

對一些由于競爭條件產(chǎn)生的漏洞,主要預(yù)防方法就是將形成競爭相關(guān)編碼運用原子化方法進行操作。執(zhí)行單位當(dāng)中最小的就是編碼,程序在運行期間沒有任何情況可以對其產(chǎn)生干擾,原子化相關(guān)操作應(yīng)用的是一種鎖定方法,利用預(yù)防系統(tǒng)存在的某種狀態(tài)的改變來形成問題。以達(dá)到間接調(diào)用文名系統(tǒng)的目的,進而把使用的文件和句柄進行描述[5]。

4.2對緩沖區(qū)存在的漏洞進行預(yù)防

利用軟件程序之中較為危險的函數(shù)檢查來預(yù)防緩沖區(qū)的漏洞溢出,可以使用安全軟件版本來代替不安全的版本。例如,人們可以將原來externcharstrcat替換成externcharstrncat等。

4.3對隨機產(chǎn)生的漏洞進行預(yù)防

在預(yù)防隨機漏洞時,可以使用一些性能良好的設(shè)備。隨機發(fā)生相關(guān)設(shè)備一般都自帶一套密碼算法,以此來保證設(shè)備自身安全。這樣,即使軟件遭遇攻擊,黑客掌握了系統(tǒng)中的所有算法,也不能獲取電腦中已經(jīng)形成的信息數(shù)據(jù)流。

4.4對格式化字符串漏洞的預(yù)防

采用嚴(yán)謹(jǐn)預(yù)防,直接使用格式方面常量來進行編程,這樣可以避免為黑客提供在系統(tǒng)內(nèi)創(chuàng)建字符串的機會。一般程序中不定參數(shù)都存在格式化現(xiàn)有字符串方面的漏洞,用戶在使用這些函數(shù)期間,必須要保證其中每個參數(shù)具有的個數(shù)和均衡性能。此外,應(yīng)用Windows操作系統(tǒng)下屬的窗口進行數(shù)據(jù)輸出工作同樣可以減少漏洞的威脅能力[6]。

5結(jié)束語

當(dāng)今社會,網(wǎng)絡(luò)發(fā)展使得軟件工程日趨復(fù)雜,計算機之中軟件安全關(guān)系到全球每一個使用計算機網(wǎng)絡(luò)用戶的安全?,F(xiàn)階段,國內(nèi)計算機內(nèi)部軟件安全一般表現(xiàn)在程序編寫以及檢測消除相關(guān)軟件漏洞,不法人員常利用這些漏洞對電腦進行攻擊。所以,只有人們對這些軟件漏洞源代碼進行分析以及查找,才可能從根本上彌補這些漏洞,進而提升計算機整體安全系數(shù)。

參考文獻(xiàn):

[1]王勇利.安全漏洞檢測技術(shù)在計算機軟件中應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用,2016.

[2]陳斯,盧華.計算機軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].電子技術(shù)與軟件工程,2016.

[3]朱江.計算機軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].通訊世界,2016.

[4]陳伽,蔡映雪,胡輝等.計算機軟件安全檢測技術(shù)及其應(yīng)用實踐研究[J].無線互聯(lián)科技,2016.

[5]王媛媛.研究計算機軟件中安全漏洞檢測技術(shù)[J].信息化建設(shè),2016.

[6]謝劍.計算機軟件安全漏洞檢測技術(shù)的應(yīng)用分析[J].信息與電腦(理論版),2016.

作者:周亮 單位:蘭州石化職業(yè)技術(shù)學(xué)院

相關(guān)熱門標(biāo)簽