安全漏洞检测技术在计算机软件中的应用研究.pdf

安全漏洞检测技术在计算机软件中的应用研究

摘要：随着计算机产业的迅猛发展，安全漏洞检测技术也被广泛地应用在计算机

软件的安全维护之中。本文总结了在计算机软件中的常用的两类安全漏洞检测技

术，并探讨了这项技术在计算机软件中对于阻止竞争条件漏洞、随机漏洞、格式

化字符串漏洞和缓冲区溢出漏洞过程中的实际应用价值，希望这些观点能为安全

漏洞检测技术的使用和优化升级带来积极地促进作用。

关键词：安全漏洞检测技术；计算机软件；随机漏洞

引言：随着计算机信息技术与日常生活日益紧密的结合，计算机的安全问题已经

成为人们头顶悬挂的达摩克利斯之剑。计算机的安全威胁主要来自于软件开发人

员的不良操作，这些不当的工作措施会产生相应的安全漏洞。在这种情况下，使

用安全漏洞检测技术是十分有必要的，这项技术能有效地检测出系统运行中的异

常参数，及时提醒技术人员采取措施修正或替换数据，以保障使用者的信息和财

产安全。

1计算机软件中常用的安全漏洞检测技术

在计算机软件中常用的安全漏洞检测技术一般分为两类：静态检测技术和动

态检测技术。静态检测技术是指在获得软件程序授权的前提下，对源代码和二进

制相应的代码进行分析，查找其中无效或者异常的成分，对软件原有代码进行修

正。这种静态检测的判别标准为：虚报率和漏报率，两者不能同时增长，呈现的

是互补的关系。常用的静态检测技术有：词法分析检测技术、类型推到分析技术、

模型检测技术、约束解算器技术等。动态检测技术是指在保留目标程序的源代码

或二进制代码的基础上，改变运行内存和运行环境，以保障程序的必威体育官网网址性。常用

的动态检测技术有：非执行栈技术、沙箱检测技术、内存映射检测技术、程序解

释检测技术等。

静态检测技术和动态检测技术各有利弊。静态检测需要建立源代码规则库和

特征库，操作复杂，灵活性较差，只能对特定的漏洞进行检测和处理。动态检测

技术相较于静态检测技术更具有灵活性，使用便利，但在对安全漏洞进行分析时，

只能对安全漏洞进行区间估计且对复杂逻辑性的漏洞难以识别，检测效果不及静

态检测技术。因此，在使用这两种检测技术时，技术人员首先要对程序的安全情

况进行预判，针对不同的情况合理运用不同的技术手段，以提升计算机软件的安

全性。

2安全漏洞检测技术在计算机软件中的应用

2.1用于竞争条件漏洞的检测

竞争条件漏洞是指在进行代码运行时，由于多个并行服务器并行执行多个线

程，同时访问一个共享代码、文件等而产生的安全漏洞，是一种常见的漏洞模式。

使用安全漏洞监测技术可以有效的锁定处于竞争条件的漏洞。例如，采用静态分

析技术，根据竞争条件漏洞的模式，对C程序进行分析，建构程序的控制依赖图

和数据流图，使用静态分析器判别两个系统的参数是否相同，或者是否把程序的

名字与描述符进行了绑定。在检测出安全漏洞之后，技术人员可以对程序进行相

应的原子化，经过原子化的代码能够有效避免额外因素的影响，防止漏洞的产生，

从而达到增强程序安全性的目的。另外，在预防TOCTOU问题时，应避免直接调

用ACCESS一类的函数，尽量使用描述字柄或者文件字词句，这样的操作可以有

[1]

效地应对计算机攻击。

2.2用于随机漏洞的检测

随机漏洞的产生具有偶发性和隐秘性，因而很难及时得以检测，使用安全漏

洞检测技术能都有效地组织随机漏洞的产生。一般来说，为了防范随机漏洞，系

统中会配备相应的随机数发生器，随机数发生器具有严密的密码算法，能够对数

据流进行加密提供给用户安全可靠的随机数流。安全漏洞检测技术就是要密切观

察随机数发生器，对其进行漏洞检测，以保障通过随机数发生器之前和之后的数

据能够安全流畅地运行，有效防止随机漏洞的产生。

2.3用于格式化字符串漏洞的检测

格式化字符串函数是一系列ANSIC函数，这类函数的具有很强的包容性和协

调协调性，因此应用是十分广泛，几乎在所有的C程序中都能看到它的身影。在

这种情形下，一旦发生格式化字符串漏洞，计算机攻击者就能够获得系统的控制

权，甚至能够往任意地址写任意内容，这对与高可信软件和服务器软件的打击是

致命的。适宜的安全漏洞检测技术能够及时发现格式化字符串漏洞，帮助技术人

员采取策略应对危机。例如，可以采用基于源代码的检测方法，在对源文件进行

扫描述，统计出各格式化字符串的参数个数，并与数据库中相应的格式化字符串

的参数个数进行比较，如果发生参数异常，就及时提醒技术人员可能存在安全漏

洞。如果发生格式化字符串漏洞，技术人员可以直接使用格式常量削弱计算机攻

击