試論安全漏洞檢測(cè)技術(shù)在軟件工程中的應(yīng)用

王蕊

?

試論安全漏洞檢測(cè)技術(shù)在軟件工程中的應(yīng)用

王蕊

云南工程職業(yè)學(xué)院，云南 昆明 650304

隨著科學(xué)技術(shù)的發(fā)展和人們安全意識(shí)的加強(qiáng)，計(jì)算機(jī)軟件的安全狀況受到廣泛關(guān)注。在此基礎(chǔ)上，對(duì)安全漏洞檢測(cè)技術(shù)進(jìn)行了分析，主要分析其在軟件工程中的應(yīng)用，首先闡述了安全漏洞檢測(cè)技術(shù)的應(yīng)用對(duì)象，可以用于防范多種類型的漏洞，保障了軟件系統(tǒng)的安全，然后闡述了安全漏洞檢測(cè)技術(shù)的應(yīng)用方式，包括靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)這兩種，以期為相關(guān)研究提供參考。

安全漏洞檢測(cè)技術(shù)；軟件工程；靜態(tài)檢測(cè)技術(shù)

軟件工程在設(shè)計(jì)之初就會(huì)受到開(kāi)發(fā)人員的技術(shù)水平等因素的影響，導(dǎo)致軟件系統(tǒng)存在一定的問(wèn)題和缺陷。這為不法分子提供了可乘之機(jī)。不法分子會(huì)利用軟件系統(tǒng)中存在的安全漏洞，盜取軟件系統(tǒng)的信息和數(shù)據(jù)。安全漏洞檢測(cè)技術(shù)應(yīng)運(yùn)而生。此技術(shù)可以有效檢測(cè)并完善軟件系統(tǒng)的安全漏洞，還會(huì)防止不法分子利用安全漏洞攻擊軟件系統(tǒng)。因此，對(duì)于安全漏洞檢測(cè)技術(shù)的分析具有一定的實(shí)踐價(jià)值。

1 安全漏洞檢測(cè)技術(shù)在軟件工程中的應(yīng)用對(duì)象

第一，競(jìng)爭(zhēng)條件引發(fā)的安全漏洞。競(jìng)爭(zhēng)條件會(huì)導(dǎo)致軟件工程出現(xiàn)安全漏洞。在處理此類別安全漏洞時(shí)，安全漏洞檢測(cè)技術(shù)主要通過(guò)原子化的方式，更改傳統(tǒng)的競(jìng)爭(zhēng)關(guān)系，從而降低競(jìng)爭(zhēng)條件對(duì)軟件系統(tǒng)正常運(yùn)行造成的不利影響，保障軟件系統(tǒng)的穩(wěn)定運(yùn)行。

第二，緩沖區(qū)存在安全漏洞。在安全漏洞檢測(cè)技術(shù)的支持下，工作人員可以利用軟件程序中帶有的危險(xiǎn)函數(shù)，檢測(cè)緩沖區(qū)存在的安全漏洞，并根據(jù)軟件系統(tǒng)的實(shí)際運(yùn)行狀況，應(yīng)用安全性能較好的軟件版本代替?zhèn)鹘y(tǒng)的安全系數(shù)低的版本。比如，使用externcharstrcat代替externcharstrncat。

第三，隨機(jī)安全漏洞。在軟件工程中，技術(shù)人員主要通過(guò)應(yīng)用安全漏洞技術(shù)支持的隨機(jī)設(shè)備來(lái)避免隨機(jī)安全漏洞的出現(xiàn)。因?yàn)殡S機(jī)設(shè)備自身帶有密碼算法，可以提高設(shè)備的安全性，將其用于軟件系統(tǒng)中，可以保障軟件系統(tǒng)的安全性。但是不法分子在入侵軟件系統(tǒng)時(shí)，能夠獲取系統(tǒng)的算法，對(duì)系統(tǒng)造成不利影響，而安全漏洞檢測(cè)技術(shù)的應(yīng)用可以在不法分子獲取算法的情況下，阻止不法分子掌握軟件系統(tǒng)的信息數(shù)據(jù)流。

第四，格式化字符串漏洞。一般情況下，軟件工程在運(yùn)行過(guò)程中，會(huì)受到不定參數(shù)的影響，導(dǎo)致軟件工程出現(xiàn)格式化漏洞。因此，用戶需要避免電腦系統(tǒng)出現(xiàn)不定參數(shù)，確保各個(gè)參數(shù)的平衡。安全漏洞檢測(cè)技術(shù)可以進(jìn)入電腦系統(tǒng)的編程，調(diào)節(jié)電腦系統(tǒng)的各個(gè)參數(shù)，實(shí)現(xiàn)其平衡性，避免電腦受到黑客或者不法分子的攻擊[1]。

第五，數(shù)據(jù)安全漏洞。安全檢測(cè)技術(shù)的應(yīng)用就是在運(yùn)行軟件系統(tǒng)的過(guò)程中，分配內(nèi)存區(qū)域的同時(shí)啟動(dòng)數(shù)據(jù)段。如果不法分子在軟件系統(tǒng)內(nèi)部輸入惡意軟件代碼，此數(shù)據(jù)段就不會(huì)執(zhí)行惡意軟件代碼。將此技術(shù)和非執(zhí)行棧相結(jié)合，可以提高軟件系統(tǒng)安全漏洞檢測(cè)的全面性及軟件系統(tǒng)的安全性。

第六，沙箱安全漏洞。此技術(shù)主要通過(guò)軟件系統(tǒng)訪問(wèn)權(quán)限的設(shè)計(jì)避免軟件工程受到惡意攻擊。與沙箱安全技術(shù)類似的程序解釋技術(shù)也能夠?qū)崿F(xiàn)安全漏洞的動(dòng)態(tài)檢測(cè)，而且漏洞檢測(cè)的效果較為理想。此技術(shù)可以強(qiáng)制性進(jìn)行軟件系統(tǒng)的安全漏洞檢測(cè)，為軟件系統(tǒng)程序的運(yùn)行提供相應(yīng)的合理解釋。

2 安全漏洞檢測(cè)技術(shù)的應(yīng)用方式

2.1 靜態(tài)檢測(cè)技術(shù)的應(yīng)用

第一，靜態(tài)分析。在軟件工程中，靜態(tài)分析技術(shù)會(huì)掃描軟件系統(tǒng)的源代碼，并在掃描的結(jié)果中找出關(guān)鍵句以及關(guān)鍵語(yǔ)法，以此解讀軟件系統(tǒng)程度的深層含義和行為，再根據(jù)系統(tǒng)的安全標(biāo)準(zhǔn)以及漏洞特性開(kāi)展安全漏洞檢測(cè)工作。具體而言，靜態(tài)分析有兩種方法：其一，技術(shù)人員要對(duì)關(guān)鍵詞和關(guān)鍵語(yǔ)法進(jìn)行分析，將系統(tǒng)分成若干個(gè)片段，并將這些片段和數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，找出軟件系統(tǒng)是否存在漏洞，這種方法能夠檢測(cè)的關(guān)鍵句和關(guān)鍵語(yǔ)法有限，還會(huì)重復(fù)檢測(cè)已知的安全漏洞，檢測(cè)的效率較低；其二，技術(shù)人員可以將軟件系統(tǒng)正常運(yùn)行的各項(xiàng)參數(shù)作為安全標(biāo)準(zhǔn)，并使用語(yǔ)法模式描述安全標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn)主要應(yīng)用規(guī)則處理器實(shí)現(xiàn)標(biāo)準(zhǔn)的運(yùn)行，在運(yùn)行的過(guò)程中將語(yǔ)言模式全部轉(zhuǎn)變?yōu)閮?nèi)部程序，以此進(jìn)行安全漏洞檢測(cè)。

第二，程序檢驗(yàn)。在軟件工程中，程序檢驗(yàn)技術(shù)主要通過(guò)內(nèi)部程序明確程序以及模型的形式化處理，再通過(guò)形式化檢測(cè)方式檢測(cè)軟件工程中存在的安全漏洞。技術(shù)人員首先要設(shè)計(jì)程序模型，再通過(guò)模型自動(dòng)化檢驗(yàn)或者符號(hào)化檢驗(yàn)方式進(jìn)行系統(tǒng)的檢測(cè)。模型自動(dòng)化檢驗(yàn)在檢測(cè)的過(guò)程中，首先要把程序轉(zhuǎn)變成等級(jí)自動(dòng)機(jī)，在眾多自動(dòng)機(jī)中，每?jī)蓚€(gè)就可以替換成一個(gè)新的自動(dòng)機(jī)；然后，通過(guò)系統(tǒng)支持的語(yǔ)言分析自動(dòng)機(jī)的轉(zhuǎn)換狀況，以此實(shí)現(xiàn)安全漏洞的檢測(cè)。但是在實(shí)際的應(yīng)用過(guò)程中，操作流程十分復(fù)雜，并不適用于所有軟件工程；符號(hào)化檢驗(yàn)方式主要是將程序模型轉(zhuǎn)化為語(yǔ)法樹，通過(guò)語(yǔ)法樹進(jìn)行數(shù)據(jù)內(nèi)容的公式描述，應(yīng)用數(shù)據(jù)內(nèi)容判斷公式的正確性，符號(hào)化檢驗(yàn)方式智能檢測(cè)軟件系統(tǒng)現(xiàn)有的漏洞，并不能實(shí)現(xiàn)安全漏洞的防范。除此之外，所有靜態(tài)檢測(cè)技術(shù)都存在成本高昂的問(wèn)題，導(dǎo)致安全漏洞檢測(cè)的質(zhì)量偏低。

2.2 動(dòng)態(tài)檢測(cè)技術(shù)的應(yīng)用

第一，內(nèi)存映射。通常來(lái)說(shuō)，不法分子在攻擊軟件系統(tǒng)時(shí)，大都會(huì)應(yīng)用“NULL”作為結(jié)尾的字符串。在軟件工程中，此技術(shù)能夠提高內(nèi)存覆蓋的難度，從而增加不法分子進(jìn)入內(nèi)存去的難度，防止不法分子應(yīng)用“NULL”作為結(jié)尾的字符串。也就是說(shuō)，一旦不法分子應(yīng)用“NULL”字符串攻擊軟件系統(tǒng)，內(nèi)存映射技術(shù)就會(huì)全面覆蓋軟件系統(tǒng)的內(nèi)存，不法分子難以獲取軟件系統(tǒng)的相關(guān)信息[2]。

第二，非執(zhí)行棧。棧代碼可以被轉(zhuǎn)變成不可執(zhí)行的代碼，這一代碼即為非執(zhí)行棧。在軟件工程中，非執(zhí)行?？梢员Ｗo(hù)系統(tǒng)免受不法分子的入侵。這是由于非執(zhí)行棧能夠?qū)④浖こ讨泄潭ǖ臄?shù)組變量進(jìn)行混亂處理。在這種處理方式下，不法分子難以使用惡意代碼制定棧代碼，有助于軟件工程安全性的提升。

第三，安全共享庫(kù)。對(duì)于軟件系統(tǒng)而言，共享庫(kù)的安全性會(huì)影響到整個(gè)軟件的安全。在軟件工程運(yùn)行的過(guò)程中，安全共享庫(kù)能夠進(jìn)行不安全函數(shù)的檢測(cè)與攔截，以此實(shí)現(xiàn)軟件工程的保護(hù)，防止其受到不法分子的入侵。

第四，詞法分析技術(shù)。多項(xiàng)程序的安全漏洞檢測(cè)需要根據(jù)軟件系統(tǒng)的語(yǔ)法進(jìn)行，通過(guò)不同的語(yǔ)法實(shí)現(xiàn)程序的劃分，以此分段進(jìn)行軟件系統(tǒng)的檢測(cè)。語(yǔ)法分析技術(shù)的這種應(yīng)用流程可以有效檢測(cè)出軟件系統(tǒng)中存在的潛在安全漏洞。但是語(yǔ)法分析技術(shù)的安全漏洞漏報(bào)率相對(duì)較高，而且應(yīng)用步驟較為復(fù)雜。

第五，類型推導(dǎo)技術(shù)。此技術(shù)的安全漏洞檢測(cè)原理如下：通過(guò)對(duì)軟件系統(tǒng)中變量和函數(shù)的訪問(wèn)狀況觀察，了解軟件系統(tǒng)程序中變量和函數(shù)類型是否符合標(biāo)準(zhǔn)，從而明確軟件系統(tǒng)中是否存在漏洞。一般來(lái)說(shuō)，如果軟件系統(tǒng)的程序和控制流不存在某些關(guān)聯(lián)，就可以使用類型推導(dǎo)技術(shù)進(jìn)行軟件工程的安全漏洞檢測(cè)[3]。

3 結(jié)論

綜上所述，安全漏洞檢測(cè)技術(shù)可以有效提高軟件系統(tǒng)的安全性，保障用戶的正常應(yīng)用。通過(guò)本文的分析可知，技術(shù)人員需要全面了解軟件工程中存在的各類漏洞，在現(xiàn)有靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)的基礎(chǔ)上，研發(fā)出適用范圍更廣、具備安全漏洞預(yù)防功能的檢測(cè)技術(shù)，促進(jìn)軟件系統(tǒng)的可持續(xù)發(fā)展。本文的分析仍舊不夠全面，僅供參考。

[1]陳澤晰. 安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的應(yīng)用[J]. 雞西大學(xué)學(xué)報(bào)，2017，17（2）：34-36.

[2]謝劍. 計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)的應(yīng)用分析[J]. 信息與電腦（理論版），2016，（3）：201-202，205.

[3]王丹，趙文兵，丁治明. Web應(yīng)用常見(jiàn)注入式安全漏洞檢測(cè)關(guān)鍵技術(shù)綜述[J]. 北京工業(yè)大學(xué)學(xué)報(bào)，2016，42（12）：62-72.

Discussion on Application of Security Vulnerability Detection Technology in Software Engineering

Wang Rui

Yunnan Vocational College of Engineering,Yunnan Kunming 650304

With the development of science and technology and the strengthening of people’s security awareness, the security of computer software has

extensive attention. On this basis, the security vulnerability detection technology is analyzed, and its application in software engineering is mainly analyzed. The application object of the security vulnerability detection technology is first described, and it can be used to prevent multiple types of vulnerabilities and protect the software system security, and then expounded the application of security vulnerability detection technology, including static detection technology and dynamic detection technology, in order to provide reference for related research.

security vulnerability detection technology; software engineering; static detection technology

TP311.53；TP309

A

王蕊（1981—），女，回族，云南昆明人，本科學(xué)歷，職稱為中職，主要研究方向或所學(xué)專業(yè)為軟件工程。