计算机软件中安全漏洞检测技术及其应用

【摘要】随着计算机技术的飞快发展，计算机软件变得越来越复杂化和高效化，一些新的计算机软件的采用极大方便了人们的生产和生活。然而，一些计算机软件漏洞的出现，使用户利益受损，人们对计算机软件的安全性也越来越关注。基于此，文章就计算机软件安全漏洞检测的原理进行阐述，对计算机软件的常见漏洞进行分析，对计算机软件中的安全漏洞检测技术的应用效果进行了探讨，以创建一个安全、健康的计算机软件运行环境。

【关键词】计算机软件;安全漏洞;技术检测

1.引言

伴随着计算机技术的发展完善，软件功能也越来越多，各种各样的软件丰富了人们的工作和生活，同时，软件安全漏洞也逐渐增多，许多漏洞是软件编写本身的原因，也有的是认为的破坏[1]。总之，计算机软件安全存在着一定的问题。在这种环境下，人们对信息安全的要求越来越高。据一项调查结果显示，计算机系统安全漏洞每年呈上升趋势，并且漏洞的种类越来越多。基于此，一些针对计算机软件安全漏洞的技术应运而生。这些技术对计算机软件安全漏洞的检测效果如何，在应用中是否方便，这是文章接下来将分析的问题。

2.计算机软件中安全漏洞检测技术概述

计算机系统包括硬件系统和软件系统。软件系统是计算机性能得以发挥的关键，因此构建一个安全的计算机软件环境十分重要。计算机安全漏洞，是指在计算机软件运行中导致运行瘫痪或是安全防护出现的一些问题。一般来说，软件安全漏洞主要有存在一些共性。一是逻辑错误，即在软件的编程过程中因为开发人员的疏忽导致系统本身存在着一些缺陷。二是计算错误，主要是指软件的数据处理中的比数值计算，通常这些错误发生在过小模块和过大模块之中，中等模块出现的错误较少[2]。三是漏洞存在的持久性，一般而言，一种漏洞出现，与之相关的程序也会出现相应的漏洞;而且旧的漏洞修复之后会有新的漏洞产生。四是系统环境的影响性，很多软件安全漏洞有系统环境造成。总之，安全漏洞对计算机功能的影响较大，与计算机用户的利益密切相关，必须加以重视。

3.主要的计算机软件安全漏洞检测技术

一般而言，计算机软件安全检测主要有两大类方法，即静态分析和动态检测[3]。所谓静态分析技术，是指对计算机程序和源代码进行分析，找出计算机软件中存在的问题加以修复。一般以漏报率和误报率为主要衡量指标，这两个指标有着负相关关系，当一个指标降低时，另一个会随之升高。静态指标由于在实际检测中不需要运行软件即可进行检测，因而具有很大的便利性。然而它对计算机的程序的重要性不能作出精确的分析，判断结果与实际情况存在着一定差距。所谓动态检测技术，是指在软件运行中改变软件的运行环境，修改内存大小，提高相关程序的保密性从而实现软件安全性的增强。相对两种检测方法而言，各有优劣，静态检测方法较之动态方法更为快捷，而动态较之静态更为准确。文章基于这两种方法的基础之上，对一些常用的检测技术进行分析。

3.1 词法检测技术。又称语法测试技术，是最早出现的静态检测技术。它是通过对源代码的C语言进行分析，检测出存在危险的库函数。这种测试方法一般是通过问题软件的语法进行相关输入，从而根据检测软件的不同反应判定出该软件存在何种问题，对其安全性进行整体检测。

3.2 基于故障注入的安全检测。该方法的原理是故障树分析法，它通过故障树的最小割集来迅速判断出被检测软件存在的安全问题。所谓故障树分析法，是指用不可能发生事件去测量可能发生事件的一种方法，通过检测这些事件之间的联系，形成故障树，对软件问题进行判定。这种方法的优势是自动化程度较高。

3.3 形式化安全测试技术。所谓形式化安全检测技术就是通过建立数学模型，将软件问题形式化。通常用到的类型包括模型的语言、有限状态的语言和行为的语言等形式，通过对语言的支持，实现规格说明的格式化。这类技术的安全检测通常包括模型检测和定理证明两种方法。

3.4 其他测试技术。计算机软件安全测试技术多种多样，除以上技术外，还有如基于白盒的模糊测试，即通过动态测试和模糊测试相结合的一种测试技术。同时，分布式软件安全性测试技术在近年来也得到了长足发展。总的来说，软件安全检测方法并不局限于一种或是一类，主要就是通过检测、分析软件的运行状况，判断软件中可能存在的问题，进而采取有效的措施予以解决，以保证计算机软件的安全性。

4.计算机软件安全漏洞检测技术的应用

4.1 防止格式化字符串的漏洞。对于这种漏洞的防范，一般采用在代码中直接使用格式常量的方法，采用这种方式攻击者构造格式串的机会会大大降低，从而达到检测软件漏洞的效果。通常格式化字符串漏洞一般由不定参数造成，因此在修复这些漏洞时，可以从这些参数着手，确保参数及个数的均衡性和对应性。

4.2 防止竞争条件漏洞。对于这类漏洞的防治，主要从竞争代码着手，也就是将这些代码实行原子化操作。代码作为最小的执行单位，在执行操作时，具有通过性强的特点，而原子化操作使得这些代码加以锁定，不能对软件运行产生作用。通过防范TOCTOU问题，以间接的方式调用使用的文件名系统。

4.3 防止随机数漏洞。所谓随机数漏洞是指随机数发生器发生故障之后，不能正常提供随机数流。对这类漏洞的防范，首先是要确保随机数发生器的正常运行，对于无法工作的要及时进行更换。好的随机数发生器通过自身携带的密码算法保证随机数流的安全性，当随机数流受到攻击时也可以产生有效的保护。

5.结语

计算机软件安全漏洞是计算机技术中不可避免的问题，既有内部原因也有外部原因，但是瑕不掩瑜，计算机软件为人们的生活带来的便利是主要的。文章针对计算机软件的常见安全漏洞，提出了主要的漏洞检测办法，对保证计算机软件的安全提供了可行办法。

参考文献

[1]陈楷.计算机软件中安全漏洞检测技术的应用田数字技术与应用，2010（7）：35-37.

[2]李永华，窦春轶.谈计算机安全漏洞动态检测的原理方法与实践[J].数字技术与应用，2010（5）：123-124.

[3]宋超臣，黄俊强，王大萌，段志鸣.计算机安全漏洞检测技术综述[J].信息网络安全，2012（l）：17-19.