計算機軟件安全漏洞檢測
計算機軟件安全漏洞檢測【1】
摘 要:對于計算機病毒可以使用殺毒軟件以及防火墻等技術進行預防和控制,而如果計算機軟件存在漏洞,是不可能通過殺毒軟件等工具來解決的,因此必須加強對計算機軟件漏洞的檢測,本文分析了計算機軟件中常見的漏洞形式,并簡單地介紹了一些計算機軟件漏洞的檢測方法。
關鍵詞:計算機軟件;漏洞;檢測方法;安全
計算機軟件是整個計算機的基礎,計算機軟件技術的發展使其已經應用于生活的各行各業,計算機軟件關系著我們生活的方方面面,使其結構以及源代碼等也越來越復雜,難免會存在一定的漏洞。
由于計算機軟件漏洞的特殊性,傳統的殺毒軟件以及防火墻等都無法起到任何作用,因此只有自身加強對計算機軟件漏洞的檢測才能真正解決這一威脅。
1 計算機軟件中常見的漏洞
人們不斷地加強對計算機的應用,導致計算機中儲存著來自各個方面的商業機密以及個人隱私,黑客通過各種形式來獲得他人計算機的授權,從而將計算機中的信息偷盜出來,給計算機用戶帶來麻煩。
以往在受到黑客的攻擊時只要裝上殺毒軟件和防火墻即可有效地防止黑客的入侵,但是黑客技術隨著計算機技術的升級也在不斷地進行技術更新甚至黑客技術有時候已經超越了現有的計算機安全防護技術,防火墻等設置已經如法阻擋大部分黑客的入侵腳步了。
計算機軟件漏洞是如今黑客入侵計算機常用的切入點,因此必須加強計算機軟件漏洞的檢測,減少計算機中的軟件漏洞數量,增強計算機的安全性能。
常見的計算機軟件漏洞可以分為以下幾類:Geronim2.0漏洞,這一漏洞的存在會給黑客在系統進行身份驗證的環節留下后門,黑客通過計算機的遠程控制即可在見算計系統中插入自己的軟件程序等,從而非法訪問他人計算機;JBOSS應用服務器的漏洞,這一漏洞主要指的是系統目錄遍歷的漏洞;LIBTIFF開源軟件庫中的漏洞,這是一種可以讀寫標簽以及圖像文件格式的軟件中的軟件漏洞;Net-SNMP漏洞,Net與SNMP的協議中常常存在一定的軟件漏洞;ZLIB漏洞,軟件庫在進行數據壓縮時,對于長度大于1的代碼常常使用一些不完整的代碼來進行解釋,這時就會導致ZLIB漏洞的出現。
2 軟件漏洞的動態檢測技術
動態檢測技術指的是不對目標程序進行任何的修改,只針對程序的運行過程進行檢測的軟件漏洞檢測技術。
常見的動態檢測技術有以下幾種。
2.1 內存映射技術。
使用內存映射技術進行軟件漏洞的檢測只適用于使用固定IP地址的應用程序,這一技術是通過對操作系統的內核進行修改,將代碼頁進行映射,使其映射到大量的隨機地址中,讓黑客無法利用NULL字符串進入內存區,大大地增加了黑客入侵的工作量。
雖然這一技術可以有效地防止利用內存地址的攻擊,但是無法對新代碼的攻擊進行有效的檢測。
2.2執行棧技術。
黑客的攻擊中常常在棧中添加一段代碼,使得棧的編寫與執行能力遭到破壞,從而改變棧中的變量,并使自身惡意代碼在棧中運行。
面對這種攻擊方式,可以禁止棧對惡意代碼的執行能力,執行棧技術大多應用于對黑客攻擊的預防方面。
2.3 沙箱技術。
沙箱技術是對一些訪問資源的連接進行限制,從而達到對黑客攻擊的預防。
這種技術需要在應用程序中置入一個針對資源訪問的代碼,并且操作系統以及原程序不需要因為這段代碼而進行任何的改變。
2.4 非執行堆與數據技術。
計算機軟件的運行過程常常會因為某一數據段或非執行堆而遭到破壞,而非執行堆與數據繼續正是針對這一情況提出的,這一技術可以有效地禁止這類數據段的運行,從而達到終止惡意代碼的效果。
這種技術只能檢測內存中存在的惡意代碼,但是不能對惡意代碼進行任何的操作,并且對于被修改的函數等信息也不能進行有效的檢測,同時不能兼容多個應用程序。
2.5 程序解釋技術。
程序解釋技術是應用程序監視器等對整個程序的運行情況進行監視,從而達到安全檢查的效果。
這種技術主要檢測的是非原始代碼。
這種程序雖然不會對計算機系統的內核以及原程序的代碼進行修改,但是對于程序的運行以及兼容等還是會造成一定的威脅。
3 軟件漏洞的靜態檢測技術
靜態檢測技術是對目標程序的源代碼等信息進行分析的軟件漏洞檢測技術,常見的靜態檢測技術有以下幾種。
3.1 元編譯技術。
元編譯技術是針對程序安全屬性的檢測,通過對程序代碼安全性的推斷,建立相應的編譯擴展,并進行相應的建模執行,從而達到檢測作用。
這一技術是對編譯器的簡易應用,準確度非常高,而且不會因為語言特征而產生新的擴展,非常實用。
3.2 變異語技術。
變異語技術是通過對源代碼中算數的運算、goto語句的跳轉、不安全的轉換、longjump以及setjump的限制來達到安全檢測的目的。
這種技術大多使用的是C語言的安全變成來實現的。
3.3 程序評注技術。
這一技術不會對目標程序的源代碼進行任何的添加,這一技術是通過注釋的方式進行的,因此不會對程序的兼容造成影響。
這種技術通過評注的信息來對目標程序的源代碼進行深度的分析,從而找出程序的漏洞。
3.4 約束解算器技術。
約束解算器技術是將目標程序的某些特定屬性進行約束,然后通過靜態分析來進行這些特殊屬性的解算。
這一技術對目標程序代碼的影響最小,但其報誤率較高,加大了程序員的工作量。
3.5 類型推斷技術。
這一技術是對某些用戶的輸入或者指針等數據進行修飾,從而增加其安全約束的靜態監測方法,這種技術適用于一些較大的應用程序,但是這種技術目前仍具有較大的兼容性問題。
4 MBSA微軟基線安全分析器
MBSA可以對計算機的不安全配置進行掃描,同時還可以對計算機操作系統和SQL Server更新進行檢查,檢查完畢后會用“X”將檢測出的漏洞進行標記,然后為用戶提供相應的修補方案,引導用戶進行漏洞的修補。
在MBSA進行掃描之前首先要對其進行正確的參數設置。
4.1 掃描對象的設置。
掃描對象的設置有兩種,一是在計算機名稱文本框中輸入本計算機的名稱,其格式為“工作組名/計算機名”。
二是在IP地址文本框中輸入目標計算機的IP地址。
4.2 安全報告名稱格式的設置。
MBSA的安全掃描結束后會將掃描的結果保存成安全報告,安全報告的格式可以根據用戶的需要來進行用戶自定義的設置。
用戶將所選格式輸入在安全報告名稱的文本框中即可。
4.3 檢測項目的設置。
MBSA對于微軟公司的大多產品都能進行漏洞檢測,在這一程序的默認情況下,無論用戶的計算機是否裝有這些軟件,MBSA都會執行檢測操作,這樣就會造成很多的資源浪費。
因此,用戶需要根據自身計算機的實際情況來進行MBSA檢測項目的設置,從而節約計算機資源。
4.4 查看掃描報告。
MBSA掃描結果的安全報告都是自動保存的,用戶可以單擊“View existing security scan reports”來進行查看。
報告內容是安全檢查的依據,通過對比安全防護前后的安全報告來明確計算機系統的安全性能。
5 總結
隨著計算機技術的廣泛應用,人們對計算機信息安全的重視程度也越來越高,信息安全問題關系到每一個人的財產安全以及個人隱私。
而目前大多數的安全問題都是因為計算機軟件漏洞造成的,因此必須加強對計算機軟件的檢測,增強計算機的安全性能。
計算機軟件漏洞檢測技術也要不斷地進行更新換代,從而適應計算機軟件市場的發展。
參考文獻:
[1]閆云峰.計算機軟件安全漏洞檢測技術探究[J].民營科技,2012,21(11):21-22.
[2]黃海濱,王艷芳.計算機軟件安全漏洞檢測技術的應用研究[J].電腦與電信,2013,15(4):11-12.
[3]陳楷.計算機軟件中安全漏洞檢測技術的應用[J].數字技術應用,2010,28(7):33-34.
計算機軟件安全漏洞檢測技術【2】
摘 要 計算機軟件技術是計算機中常用技術,在系統開發中經常涉及到軟件技術。
科學技術不斷發展,現在對軟件的要求越來越高,軟件在使用之前必須經過軟件檢測,現在軟件漏洞也很多,需要不同軟件檢測技術在檢測,減少軟件漏洞出現。
本論文主要從計算機軟件安全漏洞目前的狀況、計算機軟件安全漏洞檢測技術解讀進行闡述計算機軟件安全漏洞檢測技術,希望為研究軟件安全漏洞檢測技術的專家與學者提供理論參考依據。
【關鍵詞】軟件 安全漏洞 檢測技術
信息技術快速發展,尤其Internet的廣泛應用,在如今大數據時代,軟件是計算機技術一種,在其軟件開發過程中,計算機軟件存在一定漏洞,要保障計算機軟件的安全性,必須提高計算機軟件的檢測技術,提升計算機軟件性能,是提高計算機網絡安全的有效途徑。
1 計算機軟件安全漏洞目前的狀況
計算機軟件在開發的時候有的就存在一定漏洞,當時可能沒有技術解決軟件漏洞問題,但在軟件使用的過程中,會出現一系列問題,必須加強軟件安全漏洞的檢測技術,檢測軟件是否合格,不合格的軟件必須加強軟件補丁,促使軟件達到合格標準,經過測試后,才能投入市場使用。
還有的軟件開發時候沒有任何漏洞,但隨著時間的推移,軟件會出現一定漏洞,軟件必須是在使用的過程中,逐步進行軟件完善,提升軟件性能,讓其達標,減少軟件的漏洞,出現漏洞以后要及時修復,提高軟件的生命周期,在一個友好的界面下,充分發揮軟件的功能,讓其在使用過程中,起到一定的作用,提升性能,減少漏洞。
軟件在使用的過程中,根據技術的發展與變化,計算機軟件的漏洞必須技術檢測,延長軟件的生命周期,提高軟件性能,滿足其需要。
2 計算機軟件安全漏洞檢測技術解讀
2.1 靜態程序解析
靜態程序解析是軟件安全常用的檢測技術,這種檢測技術是通過程序代碼,通過利用機器語言、匯編語言等進行編譯,利用反代碼形式,對檢測出來的軟件漏洞,及時進行修復,提高軟件性能,在實際應用過程中,涉及到程序設計中的語言、函數、數組、過程、集合、文件等。
利用軟件技術解決軟件漏洞問題,靜態程序解析對程序設計起到保護作用,檢測軟件漏洞,提升計算機軟件性能,這是一種常用的計算機軟件安全漏洞檢測技術,通過該技術對軟件漏洞進行合理檢測,提高軟件性能,延長軟件的生命周期。
2.2 利用邏輯公式對程序性質進行表達
根據程序的性質,對計算機軟件漏洞進行檢測,判斷其中的應用能力,邏輯公式能對計算機軟件的性能進行檢測,檢測其的合法性,是否存在軟件漏洞,有的軟件漏洞是需要升級與更新軟件就可以解決的,有的是出現軟件錯誤,必須合理采用措施,解決軟件漏洞問題。
其中的公理化方法的邏輯是完整的體系,其中的每個公式都是由單個程序語句和其前后置斷言共同構成,具體理論當中只有一條賦值公理,形式演算系統以一階謂詞邏輯為基礎,各自為順序、分支以及循環指令增加了相應的演算法則。
公理化方法已經被證明具有較強的可靠性和完整性,但匹配的形式演算系統存在半可判定的情況。
程序的正確性涉及程序設計人員利用邏輯公式對程序對應的功能規約展開描述,另外一個問題就是要為循環體確定循環不變式。
邏輯公式的應用提高了邏輯判斷能力,在利用語句進行科學判斷,檢測計算機軟件是否存在漏洞,根據邏輯公式的判斷能力,檢測軟件是否存在漏洞,如果存在漏洞,對其合理的進行修補,解決軟件漏洞問題,提升軟件性能,完善軟件功能。
2.3 測試庫技術
測試庫技術是計算機軟件檢測中常用技術,對解決計算機軟件漏洞起到幫助作用。
測試庫技術是檢測計算機軟件中的核心部件,判斷計算機軟件是否存在漏洞。
利用測試庫技術只能對動態內存操作函數導致的錯誤進行判定。
而且其主要對運行過程中輸入數據進行監控,發現其中的弱點。
這種檢測并不是從整體上進行判定。
這也表明檢測過程只是驗證 BUG 是否被發現,但是無法證實BUG的存在。
使用這項技術對于普通應用程序而言,并不會存在任何兼容問題。
使用測試庫技術的主要優勢不存在誤報。
從性能上對這個技術展開分析,其性能消耗較大,從其工作原理很容易能推導出這個結論。
利用測試庫技術檢測計算機軟件是否存在漏洞,是所有檢測技術中最科學的,也是最準確的,但其測試有一定難度,對計算機軟件本身也是一種傷害,提高計算機軟件性能,必須合理的利用軟件的檢測技術,科學的選擇檢測技術,有目的的進行檢測軟件是否存在漏洞,科學的解決軟件漏洞問題,提高軟件性能。
2.4 源碼改編
利用軟件漏洞檢測技術,檢測出計算機軟件存在一定漏洞,沒有合理方法進行漏洞修復,就有必要根據軟件漏洞的階段,去修改程序的源代碼,這種源碼改編技術,是徹底解決計算機軟件漏洞的最根本方法,該檢測技術對人員的要求很高,能利用其它技術檢測出軟件漏洞,能利用源碼改編技術進行修改,這是計算機軟件檢測技術的高級階段,是計算機軟件發展到一定程度的需要,也是社會發展對計算機軟件技術提出的新要求。
總之,計算機軟件技術存在一定漏洞,要解決計算機軟件漏洞,必須利用軟件檢測技術,及時檢測,發現問題要及時解決,但在計算機軟件發展的過程中,計算機軟件肯定存在一定問題,必須科學的合理解決計算機軟件的安全問題,提高對軟件安全認識,增加計算機軟件的應用性,符合現代計算機軟件技術發展需要。
參考文獻
[1]許躍穎.計算機軟件中安全漏洞檢測技術及其應用[J].電子制作,2016(02).
計算機軟件中安全漏洞檢測技術的應用【3】
摘要:軟件是網絡技術和計算機賴以生存的基石,安全算法、網絡通信、操作系統等都以通過計算機軟件的方式來存在著,因此,計算機軟件中安全漏洞檢測技術的應用極為重要。
本文首先闡述了計算機網絡安全風險,其次,針對計算機軟件中的安全漏洞,就計算機軟件中安全漏洞檢測技術的應用進行了深入的探討,具有一定的參考價值。
關鍵詞:計算機軟件;安全漏洞;檢測技術;應用
一、前言
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。
為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如代理服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。
計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
而軟件是網絡技術和計算機賴以生存的基石,安全算法、網絡通信、操作系統等都以通過計算機軟件的方式來存在著,因此,計算機軟件中安全漏洞檢測技術的應用極為重要。
二、計算機網絡安全風險
(一)網絡結構的安全風險分析
對于企事業單位而言,單位的內部網絡與外部網絡都會存在互連的現象。
每天都有不少的入侵者試圖闖入到企事業單位內部網絡節點去盜取涉密信息,基于網絡系統的涵蓋面廣、范圍大,由此可見,企事業單位的內部網絡面臨著巨大的安全威脅。
一旦有一臺電腦被病毒感染或者被攻擊,那么同一網絡上的其它電腦都會受到影響。
(二)操作系統的安全風險分析
目前,各個企事業單位操作系統的安裝一般很少去考慮是否安全,只要能夠滿足正常工作即可,這樣一來,對于操作系統的安全風險就顯得應對不足,在操作系統中就開放了很多不必開放的端口,安裝了許多無關的服務模塊,這些都存在著巨大的安全風險。
(三)應用的安全風險分析
應用系統是不斷變化的、同時也是動態的,這就要求我們必須采取相應的安全措施,檢測安全漏洞,有效地去應對這些安全風險。
應用的安全風險主要有以下一些:數據信息的安全風險、文件服務器的安全風險、病毒侵害的安全風險、數據庫服務器的安全風險等。
(四)管理的安全分析
管理方面的安全隱患對于計算機網絡安全風險而言,是一個防范的薄弱環節,一旦出現管理方面的安全隱患,后果不堪設想。
主要包括以下一些情況:對單位不滿的員工有可能造成安全風險,他們很有可能會將一些重要信息,諸如系統密碼、管理員用戶名、內部網絡結構透露出去;有些企事業單位管理制度設置不嚴格,責任不清,權限管理混亂,這樣也很有可能出現泄密現象;有些內部員工或者管理人員設置的口令過于簡單或者過于簡短,甚至還可能不設置用戶口令,這些都無疑對計算機網絡安全造成了極大的風險。
三、計算機軟件中的安全漏洞
隨著計算機技術的不斷發展,整個社會對于計算機系統的依賴程度與日俱增,計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。
很多人都會在自己的計算機上面安裝上反病毒、防火墻、入侵檢測之類的軟件,但是從目前的黑客技術來看,這些方法都不能抵御計算機軟件安全漏洞的破壞,甚至還有可能因為這些軟件的應用導致出現新的軟件漏洞,要解決計算機軟件中安全隱患,不能單單指依靠密碼技術。
四、計算機軟件中安全漏洞檢測技術的應用
(一)加強操作系統的安全防護
對于操作系統而言,必須要對其安全進行嚴格的防范,務必要利用專業的掃描軟件來檢測操作系統是否存在安全漏洞,存在多大的安全漏洞,一旦發現問題,那么就必須有效地分析問題,提出有效的安全配置方案,提出補救措施,嚴格限制關鍵文件和資料的使用權限,加強身份認證強度、完善認證機制,加強口令字的使用,及時給操作系統打上最新的補丁,將危險降至最低。
(二)沙箱安全檢測技術
這種檢測技術主要應用于系統調用,能夠有效地將進程所訪問的網絡資源限制住,自動抵御某些黑客和病毒的攻擊行為,且不會帶來兼容性問題。
操作者只需將資源訪問策略設定在應用程序上,無需改變任何的應用程序和操作系統內核,就能夠實現沙箱技術的全面安全檢測。
(三)程序解釋安全檢測技術
這種技術能夠監視程序運行情況,與此同時還可以通過程序監視器來強制進行安全檢查,雖然對于操作系統的性能和兼容性或多或少會造成危害,但是不需要改變任何的應用程序代碼和操作系統內核,重點針對繞過安全檢測、無限制控制轉移、非原始代碼執行等三類攻擊,自動生成動態的代碼來對其進行行之有效的安全檢測。
(四)類型推斷安全檢測技術
這種技術高效準確,能夠增加安全約束,通過使用一種新型修飾來安全檢測應用較大的程序,但美中不足,就是存在著一些兼容問題。
參考文獻:
[1]Y.Coady,G.Kiczales,M.Feeley,G.Smolyn.Using aspect to improve the modularity of path-specific customization in operating system code.In 9th ACM SIGSOFT Symposium on the Foundations of Software Engineering,Vienna University of Technology,Austria,September,2001:160-163
[2]馬海濤.計算機軟件安全漏洞原理及防范方法[J].科協論壇(下半月),2009,6:112-115
[3]林國慶.淺析計算機網絡安全與防火墻技術[J].恩施職業技術學院學報,2007,1:115-119
[4]王震雷.計算機:一個大腦意識的閱讀者——未來科技將把計算機與你的大腦相聯接[J].科學之友,1998,5:178-180
[5]蔡洪民,伍乃駭,滕少華.局域網絡安全掃描系統的設計與實現[J].微計算機應用,2005,1:45-48
[2]顏漢權.基于模糊測試的軟件漏洞檢測方法[J].求知導刊,2015(11).
[3]高妍.計算機軟件安全漏洞檢測技術與應用[J].計算機光盤軟件與應用,2014(04).
[4]陳斯,盧華.計算機軟件中安全漏洞檢測技術及其應用[J].電子技術與軟件工程,2016(11).
[5]王垌堯.計算機軟件安全漏洞檢測技術與應用[J].黑龍江科技信息,2016(09).
【計算機軟件安全漏洞檢測】相關文章:
全員核酸檢測檢測簡報(通用11篇)12-12
計算機軟件的實習報告12-19
計算機軟件實習報告12-02
核酸檢測作文09-24
核酸檢測的心得11-12
消防檢測方案08-12
檢測實習報告07-16
計算機軟件實習報告集合08-28
線上質量檢測方案12-17
檢驗檢測機構報告08-11