安全漏洞检测技术在软件工程中的应用.docVIP

安全漏洞检测技术在软件工程中的应用 　　目前计算机技术的普及，软件系统也不断进行升级与更新。人们对计算机的安全也日益关注。而计算机本身存在的漏洞对安全检测技术提出了更严峻的难题。本文通过计算机的软件工程出现的安全漏洞，来分析软件工程相应的检测技术。通过检测技术在软件工程的运用来保障计算机的使用安全。 　　【关键词】安全漏洞 检测技术 软件工程 　　随着信息化技术的发展，人们的生活也离不开计算机的使用。计算机的安全系统就显得十分重要。近年来，利用软件系统的漏洞导致针对计算机的攻击事件逐年上升，这就导致计算机内部存在的安全漏洞成为自身安全的重大威胁。虽然电脑本身有很多杀毒软件的程序，但是这些程序本身也存在一些问题，没能起到保护电脑的作用。因此，针对计算机安全漏洞技术的检测在目前来看十分必要。 　　1 软件工程面临的问题 　　计算机内部软件本身在设计的时候就存在一些缺陷和问题，在软件研发期间，由于研发人员对技术掌握不是十分熟练，再加上软件本身存在的问题都会导致计算机内部存在安全漏洞。最近几年发生的黑客攻击网络的事件增加，计算机本身存在安全系统的缺陷给网络黑客攻击电脑提供可乘之机。 　　计算机内部软件本身属于需要耗费大量物力、人力、财力才能完成的高科技产品。相关产业在研发上付出了很大的代价。但是计算机内部软件的缺点处理存在安全漏洞之外，可复制技术十分容易。目前全球使用盗版的计算机内部软件情况十分严重，我国正好属于盗版使用的重灾区。这些问题导致除了给研发企业带来巨大的经济损失外，也给不法分子带来可乘之机，通过对计算机系统的攻击，复制相关的数据，给个人、社会和国家带来巨大的经济损失。最近几年发生的针对部分单位的网络攻击，很大原因就是利用相关漏洞来扰乱正常秩序。 　　计算机的漏洞有以下方面： 　　（1）编程数据出现了逻辑性的错误，原因基本是设计人员的疏忽大意； 　　（2）计算机在运行上也会产生相应的逻辑性错误，并且发生率较高； 　　（3）漏洞与软件环境相互依存； 　　（4）旧漏洞修复之后还会产生新的漏洞。 　　2 安全漏洞的检测技术 　　2.1 静态检测技术 　　静态分析是指针对计算机安全漏洞的静态检测。目前的静态检测技术主要有两种形式，除了静态分析外，还有程序检验。 　　2.1.1 静态分析 　　静态分析主要内容是，对软件系统内部的源代码进行扫描，根据扫描的结果来查找关键句和语法。通过解读程序的含义及行为展开分析，按照系统的漏洞特性和安全标准来完成检测工作。针对分析上，首先要分析关键词和语法，通过检查语法方面的内容，把系统划分为若干片段，把这些片段与数据库的内容展开分析对比，来检测系统内部是否存在漏洞，并因此开展工作。但是这种检测工作缺电是检测数量有限，有些已知的漏洞出?F重复检测，也有部分内容没有检测出来；其次需根据相关标准对软件内部开展严格检测，一般系统能在安全、稳定的运行情况下就设定为安全标准。针对检测方法，先用语法模式的描述来运行该标准，然后再运用规则处理器来运行，当语法模式转变为内部程序模式之后，来测定全面检测系统的运行情况。 　　2.1.2 程序检验 　　程序检验通过软件系统的程序来确定形式化的程序与模型，随后程序要进行形式化的检测，再通过其他检测方式来检测软件系统内部的漏洞情况。首先把模型进行设计，通过系统程序来设计模型，设计好的模型应及时进行系统检测，一般采用的检测方式有符号化检验和模型自动化检验两种。符号化检验的主要内容是，将模型转变成语法树对数据内容展开公式描述，通过内容来判断公式与内容能否相同；模型自动化的检验主要是把程序转换为等价自动机，两个自动机可对新的自动机进行替换，通过可容纳的语言形式来判定程序系统是否发生转变。模型检验最大的问题是，由于操作系统复杂，软件不可能构建所有的建模。但是随着检测技术的发展，可以通过内存建模和定理证明的方法来检测漏洞的存在，从而使检验的严密性程度得到加强。静态检测最大的弱点就是只能检查现有漏洞，对其他位置漏洞无法预测及防范，静态检测对现有漏洞的覆盖也无法全面、有效，此外成本巨大也是其调高检测质量面临最大的掣肘。 　　2.2 动态检测技术 　　动态分析是指针对计算机安全漏洞的动态检测。目前的动态检测主要技术有：内存映射、非执行栈、安全共享库等。 　　2.2.1 内存映射 　　一般黑客攻击使用的方式都是“NULL”结尾的字符串进行对计算机的攻击。通过代码的内存映射技术，把原有的内存覆盖难度逐渐加大，使黑客无法直接进入内存区进行操作。也就是说由于程序内部的代码页存在内存映射的情况，使黑客无法猜测地址进行页面攻击。 　　2.2.2 非执行栈 　　如果把栈的代码形式改变成无法执行的代码即非执行栈，可以有效预防程序攻击。原因在于系统的栈本身包含内部