源代码安全漏洞检测的方法的探讨.docVIP

源代码安全漏洞检测的方法的探讨 　　【 摘 要 】 随着计算机网络的快速发展，有关于软件的安全性问题越发的突显出来。源代码安全漏洞检测正是基于计算机软件安全为出发点研发出来的相关技术。论文分析了源代码安全漏洞的几种常见检测方法，并对这些方法的优缺点进行了比较，以期能为计算机网络安全提供一些参考意见。 　　【 关键词 】 源代码；漏洞；安全检测方法 　　【 中图分类号 】 TP309.2 　　【 文献标识码 】 A 　　Discussion on Detection Method of Source Code Security Vulnerabilities 　　Ma Hong-zhe 　　（Institute of Electric Power Research，Guangxi Power Grid Company Limited GuangxiNanning 530023） 　　【 Abstract 】 With the rapid development of computer network， there are more and more prominent on the security of software. Source code security vulnerability detection is based on the computer software security as the starting point of the research and development of related technologies. This paper analyzes several common detection methods of source code security vulnerabilities， and compares the advantages and disadvantages of these methods in order to provide some reference for computer network security. 　　【 Keywords 】 source code； vulnerability； security detection method 　　1 引言 　　身处于现代信息时代，网络的安全问题已成为全社会关注的热点问题。计算机系统中的任何漏洞都可能造成包括经济、政治、军事、社会、科技等多方面的严重安全隐患。只有从本质上解决计算机软件的安全漏洞问题，才能从根本上确保网络信息的安全。然而软件安全漏洞有极大的隐藏特性，如不形成对它的触发，很难注意到它的存在。 　　因此，目前世界各国都投入了大量精力，用于源代码安全漏洞检测方法的开发研究。 　　2 源代码漏洞的形成原因和具体表现 　　源代码漏洞是指在程序设计之初，由于考虑不周等问题，导致写代码的时候，一些代码写的不完善，由此留下了可以被侵入的后门，从而产生的可能会对程序本身、系统或数据带来潜在危害的代码问题。源代码问题一旦被不法分子发现、利用，所造成的危害不可估量。代码漏洞可以表现在很多方面，算法本身或者代码本身的问题都可能会造成代码漏洞。 　　代码漏洞的具体表现主要包括几个方面。 　　对输入的数据没有进行有效的检查。或者是进行过检查但是检查不周，也可能是处理不当，此类问题最常造成缓冲区漏洞的出现。比如在对某账号进行密码的设置输入时，如果程序未对密码的长度进行限制，用户则可能出于安全考虑输入超长的密码，由此可能会导致存储密码时对其它的数据进行覆盖，引发一系列的问题。 　　代码逻辑设计缺陷或错误。这类问题一般是由程序员的疏忽大意造成的。比如判断时因考虑不周而少漏条件，当遇到特殊数据和情况时，导致程序出现不可预估的错误。 　　算法本身的漏洞。实现源代码的安全无漏洞，首先应确保在写代码时进行严密的算法，算法本身出现了漏洞，则必然导致诸多问题的存在。比如采用比较简单的加密算法，会为信息泄漏留下操作的可能性。 　　3 常见的源代码安全检测方法 　　3.1 抽象解释 　　抽象解释是把程序代码的执行过程看成各种抽象状态的迁移过程，并通过对抽象状态进行分析来确定程序的性质。初始抽象状态必须是初始实际状态的安全近似，而且每次状态迁移需要保持正确的关系，这样才能保证分析结果的正确。理论上，正确的抽象能够找出程序中所有可能的缓冲区溢出漏洞。但也相应的带来较多的误报。在实际使用中，为降低误报率，用户应当根据被测程序的特性，选择合适的解释函数和抽象域等。 　　3.2 词法分析 　　词法分析是最早被用来进行缓冲区溢出漏洞检测的方法之一。这种方法是对软件源程序进行扫描分析，同时与特征库