王蕊

?

試論安全漏洞檢測技術在軟件工程中的應用

王蕊

云南工程職業(yè)學院，云南 昆明 650304

隨著科學技術的發(fā)展和人們安全意識的加強，計算機軟件的安全狀況受到廣泛關注。在此基礎上，對安全漏洞檢測技術進行了分析，主要分析其在軟件工程中的應用，首先闡述了安全漏洞檢測技術的應用對象，可以用于防范多種類型的漏洞，保障了軟件系統(tǒng)的安全，然后闡述了安全漏洞檢測技術的應用方式，包括靜態(tài)檢測技術和動態(tài)檢測技術這兩種，以期為相關研究提供參考。

安全漏洞檢測技術；軟件工程；靜態(tài)檢測技術

軟件工程在設計之初就會受到開發(fā)人員的技術水平等因素的影響，導致軟件系統(tǒng)存在一定的問題和缺陷。這為不法分子提供了可乘之機。不法分子會利用軟件系統(tǒng)中存在的安全漏洞，盜取軟件系統(tǒng)的信息和數(shù)據(jù)。安全漏洞檢測技術應運而生。此技術可以有效檢測并完善軟件系統(tǒng)的安全漏洞，還會防止不法分子利用安全漏洞攻擊軟件系統(tǒng)。因此，對于安全漏洞檢測技術的分析具有一定的實踐價值。

1 安全漏洞檢測技術在軟件工程中的應用對象

第一，競爭條件引發(fā)的安全漏洞。競爭條件會導致軟件工程出現(xiàn)安全漏洞。在處理此類別安全漏洞時，安全漏洞檢測技術主要通過原子化的方式，更改傳統(tǒng)的競爭關系，從而降低競爭條件對軟件系統(tǒng)正常運行造成的不利影響，保障軟件系統(tǒng)的穩(wěn)定運行。

第二，緩沖區(qū)存在安全漏洞。在安全漏洞檢測技術的支持下，工作人員可以利用軟件程序中帶有的危險函數(shù)，檢測緩沖區(qū)存在的安全漏洞，并根據(jù)軟件系統(tǒng)的實際運行狀況，應用安全性能較好的軟件版本代替?zhèn)鹘y(tǒng)的安全系數(shù)低的版本。比如，使用externcharstrcat代替externcharstrncat。

第三，隨機安全漏洞。在軟件工程中，技術人員主要通過應用安全漏洞技術支持的隨機設備來避免隨機安全漏洞的出現(xiàn)。因為隨機設備自身帶有密碼算法，可以提高設備的安全性，將其用于軟件系統(tǒng)中，可以保障軟件系統(tǒng)的安全性。但是不法分子在入侵軟件系統(tǒng)時，能夠獲取系統(tǒng)的算法，對系統(tǒng)造成不利影響，而安全漏洞檢測技術的應用可以在不法分子獲取算法的情況下，阻止不法分子掌握軟件系統(tǒng)的信息數(shù)據(jù)流。

第四，格式化字符串漏洞。一般情況下，軟件工程在運行過程中，會受到不定參數(shù)的影響，導致軟件工程出現(xiàn)格式化漏洞。因此，用戶需要避免電腦系統(tǒng)出現(xiàn)不定參數(shù)，確保各個參數(shù)的平衡。安全漏洞檢測技術可以進入電腦系統(tǒng)的編程，調(diào)節(jié)電腦系統(tǒng)的各個參數(shù)，實現(xiàn)其平衡性，避免電腦受到黑客或者不法分子的攻擊[1]。

第五，數(shù)據(jù)安全漏洞。安全檢測技術的應用就是在運行軟件系統(tǒng)的過程中，分配內(nèi)存區(qū)域的同時啟動數(shù)據(jù)段。如果不法分子在軟件系統(tǒng)內(nèi)部輸入惡意軟件代碼，此數(shù)據(jù)段就不會執(zhí)行惡意軟件代碼。將此技術和非執(zhí)行棧相結(jié)合，可以提高軟件系統(tǒng)安全漏洞檢測的全面性及軟件系統(tǒng)的安全性。

第六，沙箱安全漏洞。此技術主要通過軟件系統(tǒng)訪問權限的設計避免軟件工程受到惡意攻擊。與沙箱安全技術類似的程序解釋技術也能夠?qū)崿F(xiàn)安全漏洞的動態(tài)檢測，而且漏洞檢測的效果較為理想。此技術可以強制性進行軟件系統(tǒng)的安全漏洞檢測，為軟件系統(tǒng)程序的運行提供相應的合理解釋。

2 安全漏洞檢測技術的應用方式

2.1 靜態(tài)檢測技術的應用

第一，靜態(tài)分析。在軟件工程中，靜態(tài)分析技術會掃描軟件系統(tǒng)的源代碼，并在掃描的結(jié)果中找出關鍵句以及關鍵語法，以此解讀軟件系統(tǒng)程度的深層含義和行為，再根據(jù)系統(tǒng)的安全標準以及漏洞特性開展安全漏洞檢測工作。具體而言，靜態(tài)分析有兩種方法：其一，技術人員要對關鍵詞和關鍵語法進行分析，將系統(tǒng)分成若干個片段，并將這些片段和數(shù)據(jù)庫進行對比，找出軟件系統(tǒng)是否存在漏洞，這種方法能夠檢測的關鍵句和關鍵語法有限，還會重復檢測已知的安全漏洞，檢測的效率較低；其二，技術人員可以將軟件系統(tǒng)正常運行的各項參數(shù)作為安全標準，并使用語法模式描述安全標準。安全標準主要應用規(guī)則處理器實現(xiàn)標準的運行，在運行的過程中將語言模式全部轉(zhuǎn)變?yōu)閮?nèi)部程序，以此進行安全漏洞檢測。

第二，程序檢驗。在軟件工程中，程序檢驗技術主要通過內(nèi)部程序明確程序以及模型的形式化處理，再通過形式化檢測方式檢測軟件工程中存在的安全漏洞。技術人員首先要設計程序模型，再通過模型自動化檢驗或者符號化檢驗方式進行系統(tǒng)的檢測。模型自動化檢驗在檢測的過程中，首先要把程序轉(zhuǎn)變成等級自動機，在眾多自動機中，每兩個就可以替換成一個新的自動機；然后，通過系統(tǒng)支持的語言分析自動機的轉(zhuǎn)換狀況，以此實現(xiàn)安全漏洞的檢測。但是在實際的應用過程中，操作流程十分復雜，并不適用于所有軟件工程；符號化檢驗方式主要是將程序模型轉(zhuǎn)化為語法樹，通過語法樹進行數(shù)據(jù)內(nèi)容的公式描述，應用數(shù)據(jù)內(nèi)容判斷公式的正確性，符號化檢驗方式智能檢測軟件系統(tǒng)現(xiàn)有的漏洞，并不能實現(xiàn)安全漏洞的防范。除此之外，所有靜態(tài)檢測技術都存在成本高昂的問題，導致安全漏洞檢測的質(zhì)量偏低。

2.2 動態(tài)檢測技術的應用

第一，內(nèi)存映射。通常來說，不法分子在攻擊軟件系統(tǒng)時，大都會應用“NULL”作為結(jié)尾的字符串。在軟件工程中，此技術能夠提高內(nèi)存覆蓋的難度，從而增加不法分子進入內(nèi)存去的難度，防止不法分子應用“NULL”作為結(jié)尾的字符串。也就是說，一旦不法分子應用“NULL”字符串攻擊軟件系統(tǒng)，內(nèi)存映射技術就會全面覆蓋軟件系統(tǒng)的內(nèi)存，不法分子難以獲取軟件系統(tǒng)的相關信息[2]。

第二，非執(zhí)行棧。棧代碼可以被轉(zhuǎn)變成不可執(zhí)行的代碼，這一代碼即為非執(zhí)行棧。在軟件工程中，非執(zhí)行?？梢员Ｗo系統(tǒng)免受不法分子的入侵。這是由于非執(zhí)行棧能夠?qū)④浖こ讨泄潭ǖ臄?shù)組變量進行混亂處理。在這種處理方式下，不法分子難以使用惡意代碼制定棧代碼，有助于軟件工程安全性的提升。

第三，安全共享庫。對于軟件系統(tǒng)而言，共享庫的安全性會影響到整個軟件的安全。在軟件工程運行的過程中，安全共享庫能夠進行不安全函數(shù)的檢測與攔截，以此實現(xiàn)軟件工程的保護，防止其受到不法分子的入侵。

第四，詞法分析技術。多項程序的安全漏洞檢測需要根據(jù)軟件系統(tǒng)的語法進行，通過不同的語法實現(xiàn)程序的劃分，以此分段進行軟件系統(tǒng)的檢測。語法分析技術的這種應用流程可以有效檢測出軟件系統(tǒng)中存在的潛在安全漏洞。但是語法分析技術的安全漏洞漏報率相對較高，而且應用步驟較為復雜。

第五，類型推導技術。此技術的安全漏洞檢測原理如下：通過對軟件系統(tǒng)中變量和函數(shù)的訪問狀況觀察，了解軟件系統(tǒng)程序中變量和函數(shù)類型是否符合標準，從而明確軟件系統(tǒng)中是否存在漏洞。一般來說，如果軟件系統(tǒng)的程序和控制流不存在某些關聯(lián)，就可以使用類型推導技術進行軟件工程的安全漏洞檢測[3]。

3 結(jié)論

綜上所述，安全漏洞檢測技術可以有效提高軟件系統(tǒng)的安全性，保障用戶的正常應用。通過本文的分析可知，技術人員需要全面了解軟件工程中存在的各類漏洞，在現(xiàn)有靜態(tài)檢測技術和動態(tài)檢測技術的基礎上，研發(fā)出適用范圍更廣、具備安全漏洞預防功能的檢測技術，促進軟件系統(tǒng)的可持續(xù)發(fā)展。本文的分析仍舊不夠全面，僅供參考。

[1]陳澤晰. 安全漏洞檢測技術在計算機軟件中的應用[J]. 雞西大學學報，2017，17（2）：34-36.

[2]謝劍. 計算機軟件安全漏洞檢測技術的應用分析[J]. 信息與電腦（理論版），2016，（3）：201-202，205.

[3]王丹，趙文兵，丁治明. Web應用常見注入式安全漏洞檢測關鍵技術綜述[J]. 北京工業(yè)大學學報，2016，42（12）：62-72.

Discussion on Application of Security Vulnerability Detection Technology in Software Engineering

Wang Rui

Yunnan Vocational College of Engineering,Yunnan Kunming 650304

With the development of science and technology and the strengthening of people’s security awareness, the security of computer software has

extensive attention. On this basis, the security vulnerability detection technology is analyzed, and its application in software engineering is mainly analyzed. The application object of the security vulnerability detection technology is first described, and it can be used to prevent multiple types of vulnerabilities and protect the software system security, and then expounded the application of security vulnerability detection technology, including static detection technology and dynamic detection technology, in order to provide reference for related research.

security vulnerability detection technology; software engineering; static detection technology

TP311.53；TP309

A

王蕊（1981—），女，回族，云南昆明人，本科學歷，職稱為中職，主要研究方向或所學專業(yè)為軟件工程。