安全漏洞检测技术在计算机软件中应用研究.docVIP

安全漏洞检测技术在计算机软件中应用研究 　　摘要：随着现代科技信息技术上的进步，网络计算机也不断的进行普及发展，计算机内安装软件也成现着多样化、丰富性的特点，在软件的安装过程中容易忽略掉软件中存在的安全隐患。而软件安全性是计算机安全以及通信安全的基础条件。本篇论文首先对C或C++语言编写的软件中可能存在的安全漏洞进行详细具体化的总结分析，并且划分出漏洞的基本类别，之后阐述这些语言中的安全弱点，提出防范的建议措施 关键词：安全漏洞 检测技术 计算机软件 中图分类号：TP309.2 文献标识码：A 文章编号：1007-9416（2016）11-0215-02 计算机的技术的应用与普及促进了社会、经济、文化的繁荣与发展。计算机的安全性受到了社会各阶层的广泛重视。安全不只是单方面的人民生命财产上的需求，也是商业、银行、学校、家庭等一些方面的需求。计算机和网络技术的快速发展为信息的安全插上了羽翼 1 安全漏洞的原理与类别 1.1 软件安全漏洞的概述 软件的安全弱点是计算机软件中威胁安全的代码，软件安全与软件的安全漏洞有着根本性的区别，安全漏洞指的是受到病毒攻击的系统，因为网络安全弱点的存在为病毒的侵入提供了途径。但安全的弱点不等同于安全漏洞，安全弱点是在安全漏洞之前本身就有的，在受到病毒的侵入后才能称之为安全漏洞。相关的研究数据表明，软件的数据中的弱点呈现着以每月增长的趋势，由此得知，软件的安全漏洞是与日俱增的。这些漏洞存在于源代码中或者是特定的代码中，且在Windows和Unix中也有大量的存在。在软件中，其存在的安全弱点主要分为以下几方面[1]： （1）对于Bugtraq而言，其主要的功能是将邮件的列表进行服务，属于其管理程序，这个讨论列表的最主要做用便是避免邮件出现安全性问题。相比而言，可能出现的安全弱点便会全部的展现于bugtraq上，当前在很多的计算机上的安全报告引用的就是Bugtraq。他的处理方式具有“全曝光性”，使出现安全弱点的信息完全的显露出来，促进了安全弱点的修补工作，为计算机的安全运行提供了保障。（2）CERT（协调中心），他的主要工作就是对信息的安全弱点进行专项的研究，为其提供服务和技术上的帮助，并发出适合的安全警告。他的处理原则是“有补救措施才公开”，只对重大的问题发布建议。（3）RISKS Digest与Bugtraq在一定的程度上具有相似性，他也是一个邮件列表的服务，他的范围广。保密性较好、安全性更强、技术高。现在已经成为安全圈中有效攻击漏洞中的病毒的主要方式之一。他在进行处理的过程中，从大量的信息中不断的查询筛选出有用的信息 1.2 信息安全漏洞类型 信息安全漏洞的类型是多种多样的，通过这种方式能够有效的对安全的漏洞的相同点进行分析，以此来提升漏洞的检测效率，针对性较强。普遍的软件和操作系统都是由C或是C++进行开发编程的，这种语言具有操作便捷性、灵活性、硬件的访问能力较强、简洁化、可移动性、工作的效率高等优势，因此被普遍的使用。就C或C++的语言的角度，缓冲区溢出引起了众多系统的将漏洞的类别进行划分，从安全漏洞的语言的方向分析，通过编译器的程序或者还没有被发现的，隐藏在程序的源代码从而引发安全的故障编程错误或遗漏，相关的安全漏洞的内容如下[2]： （1）缓冲区溢出，近年来，许多的网络安全事故的发生基本上都是由于缓冲区溢出造成的。缓冲区溢出中属CRET/CC报告的占据比重最大，著名的大蠕虫冲击破、镇荡破的形成便是利用缓冲击溢出，进而达到攻击目的。所谓的缓冲击溢出漏洞，其原因则是极易理解：一方面是因为使用的编程语言存在一定的危险性。例如：程序编程中的C语言、C++语言，其内容包括：程序技术员存在不适当操作或者技术能力的不足；另一方面是语言本身无法做出检查，同时也没有比较规范的标准与要求。从而使其访问出现问题。（2）Race condition（竞争条件）是较为常见的软件漏洞，体现在服务器后台未关闭的程序过多。他的难度要大于缓冲区溢出的难度，他的异常性表现是难以捉摸的，即便发现了竞争问题的存在，也难以对其进行修正。（3）格式化字符串漏洞（Format string）是比较特别的安全漏洞，这个漏洞在很早之前就已经被广泛的发布了，但现如今的众多软件中仍然存在 1.3 软件安全漏洞的防范措施 解决缓冲区溢出有效途径：对所在程序中存在的危险函数实时进行检查，以减少出现错误的机会。另外可以运用较为安全的版本将原本的替换下来。如将strncat替换成strcat 对于竞争条件漏洞进行解决的方法即为存在竞争代码进行原子化的操作。简单的说，在编程中，代码是最小的执行单元，在进行操作时，同时也不会打断其执行程序，而原子化便是在代码中运用锁定的形式 2 软件