软件安全检测.docVIP

计算机软件安全检测方法探讨 计算机学院信息安全中心 105626 张瀚 摘要：伴随着科学技术的发展，计算机软件的应用范围越来越广泛。本文从计算机软件安全检测的概述出发，在论述计算机软件安全检测需要注意问题的基础上阐述了计算机软件安全检测的方法。 关键词：计算机；软件安全；检测方法 Abstract: With the development of science and technology, computer software applications more widely. In this paper, an overview of computer software security testing starting in his discussion of computer software security testing requires attention to the problem described on the basis of a computer software security testing methods. Keywords: computer; software security; detection 朗读 显示对应的拉丁字符的拼音 ? 字典 翻译以下任意网站 盆栽-日本 El Confidencial-西班牙语 La Información-西班牙语 G1 Globo-巴西 LExpress-法国 Telegraph.co.uk-英国 Nord-Cinema-法国 Bild.de-德语 Venezuela Tuya-西班牙语 Zamalek Fans-阿拉伯语 Focus Online-德语 Philadelphia Inquirer-美国 软件安全漏洞分类 ? 软件安全漏洞的分类是漏洞分析和检测的基础，对软件安全漏洞进行分类有以下两点好处 （1） 漏洞分类帮助软件开发者更好的理解由软件错误引起的安全漏洞对系统安全的影响，并很好的组织安全规则和漏洞库用于指导软件的开发； （2） 定义一个好的软件安全漏洞分类机制，有助于开发更好的安全检测工具。因为好的分类机制能够帮助研究人员和实践人员更好的理解问题本身，并设计出自动化或半自动化的工具。 ?????研究者最早开始关注操作系统中的安全漏洞分类，随后针对代码级的安全漏洞进行研究和分类，并将代码层次的安全漏洞分为八个大类：输入验证和表示相关漏洞、API误用相关漏洞、安全特征相关漏洞、时间和状态相关漏洞、错误相关漏洞、编码质量相关漏洞、封装相关漏洞和运行环境相关漏洞。随着Web应用软件的发展，引发Web应用软件安全漏洞受到关注，主要分为环境错误漏洞和状态错误漏洞，其中环境错误漏洞包括用户数据漏洞、网络传输漏洞和文件系统漏洞，状态错误漏洞包括状态信息漏洞、代码修改漏洞和执行顺序漏洞。 软件安全漏洞检测技术 ?????按照检测过程中是否需要执行软件的标准，软件安全漏洞检测技术分为静态检测技术、动态检测技术和混合检测技术。 ?（1）静态检测技术 ?????静态检测技术使用程序分析技术，直接分析软件的源代码，通过词法分析、语法分析和静态语义分析，检测软件中潜在的安全漏洞。目前，静态分析主要有类型推断、数据流分析和约束分析三种方法。静态检测技术虽然可以找出大量的弱点，但并不能把程序中所有的弱点全部找到，而且存在大量的误报。但是静态检测比动态检测更方便快捷，不需要对操作系统与软件代码进行任何修改。 ?（2）动态检测技术 ?????动态检测技术就是在软件执行的情况下，通过对软件的运行环境（环境变量，内存，堆和栈等）进行分析，来检测软件是否存在漏洞的技术。动态检测技术的优点就是不需要修改软件源码或其二进制代码，这在一定程度上提高软件的保密性。动态检测技术主要包括：非执行栈技术、非执行堆与数据技术、内存映射技术、安全共享库技术、沙箱技术、程序解释技术。 ?????动态检测技术有两种实现方式：一种是在执行的同时就进行软件运行信息的收集和安全漏洞的判断；另一种方式是把软件执行的所有信息都记录下来，然后使用这些信息进行漏洞模式匹配，从而查找软件漏洞。 （3）混合检测技术 ????混合检测技术是静态检测技术和动态检测技术相结合的产物，主要包括测试库技术、源码改编技术、栈保护的编译器扩展技术、二进制代码改编技术、基于规范的检测技术、异常检测技术。混合检测技术在一定程度上可以提高检测的准确度，给软件漏洞检测提出了更多的研究方向。 计算机软件安全检测是软件开发的重要环节，检测的目的是为了发现软件所存在的故障而对程序进行执行的过程，从而有效的对计算机软件潜在的风险进行更正。软件安全检测的目标是用较少的测试用例来达到最大的软件检测覆盖，从而极好的发现软件存在的问题。计算机软件