返回
浅谈关于计算机软件安全漏洞检测技术.doc

浅谈关于计算机软件安全漏洞检测技术.doc

ID:53472427

大小:67.00 KB

页数:7页

时间:2020-04-04

浅谈关于计算机软件安全漏洞检测技术.doc_第1页
浅谈关于计算机软件安全漏洞检测技术.doc_第2页
浅谈关于计算机软件安全漏洞检测技术.doc_第3页
浅谈关于计算机软件安全漏洞检测技术.doc_第4页
浅谈关于计算机软件安全漏洞检测技术.doc_第5页
资源描述:

《浅谈关于计算机软件安全漏洞检测技术.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈关于计算机软件安全漏洞检测技术摘要随着现代化科学技术的不断发展,电子商务当前己经成为企业市场的主要支撑点。计算机软件的发展日趋强人,软件中的安全缺陷与漏洞也在不断增多,随着使用范围的扩大,软件的安全性问题也越来越多,软件的安全则试保证了计算机和软件的安全性,降低了计算机的风险,并且对计算机软件中的风险进行有效的避免与更正。本文就计算机软件安全漏洞检测方面进行了分析。关键词计算机软件安全漏洞检测中图分类号:TP311.5文献标识码:A1计算机软件所而临的威胁1.1非法复制计算机软件是一项知识密集的产品

2、,需耍投入大量的人力物力进行开发,所付出的开发成本通常是硬件价值的好几倍,甚至好几百倍。然而,计算机软件却是及其容易复制的产品,给产品产权造成了严重的威胁。近年来,全球每年非法盗用软件版权损失超过140亿美元,且损失量逐年提升,尤其是在我国这样经济发展迅速但是软件管理落后的巨型市场中,非法复制所带来的税收、法律等诸多问题造成了严重的社会影响。1.2软件质量问题由于一些原因,软件开发中都有不可避免的问题和缺陷,通常将软件质量的缺陷称为漏洞,这些漏洞对计算机软件的安全系统有着严重的威胁。近年來,由软件漏洞引

3、起的安全事件逐步增加,一些致力于找各种软件漏洞的高手通常都能发现软件的安全漏洞问题,从而利用这些漏洞对计算机用户进行攻击,给用户造成了不便。1.3软件跟踪计算机软件一旦开发出来,总有人对软件进行动态破译,利用各种程序调试工具对软件程序进行跟踪、窃取软件源码,以及取消加密功能等。当前软件跟踪技术通过利用系统所提供的单步中断和断电中断的功能实现,可将其分为动态跟踪和静态跟踪两种。2计算机软件的安全漏洞计算机安全漏洞是系统的特性,攻击者或攻击程序利用这种脆弱的特性,通过己授权的方式来获取未授权的访问,从而对系

4、统造成一定损害,即使现在大多人在计算机中安装了反病毒软件或防火墙,但是对于防止计算机软件安全漏洞的破坏没有多大的用处,甚至有更多的问题出现。在目前看来,有五大安全漏洞容易被人们忽略,即Geronimo、JBOSS应用服务器、LIBTIFF开源软件库、NET-SNMP和ZLIB。Geronimo2.0这个安全漏洞是让远程非法侵入者绕过身份识别,通过插入恶意软件代码來获取访问权限;JBOSS服务器3.2.4至4.0.5的版本中,有个冃录遍丿力的安全漏洞;LIBTIFF开源软件库是读写标签图像文件格式的文件;

5、NET-SNMP的安全漏洞存在于NET或SNMP中的协议文件里;ZLTB是数据压缩软件库,由于库中存在的代码解释一个长度大于1,从而导致安全漏洞。3计算机软件安全漏洞检测技术对于计算机软件安全漏洞必须采取一定的检测技术来加以预防,主要有静态检测技术和动态监检测技术两种方法。3.1计算机软件安全漏洞静态检测技术静态检测技术主要是通过对程序的分析,通过应用程序的二进制代码进行分析的技术方法。半然,完全检测的方法基本上是不存在的,即时可以检测到大量漏洞,也不会完全找到,也许从中存在许多误报。静态检测技术最大的

6、优点就是软件不需要运行,检测十分方便,不过需要专业人员核对、整理,并进行分析和处理。计算机软件安全漏洞的静态检测方式主要有元编译技术、变异语技术、词法检测技术、程序评注技术、约束解算器技术和类型推断技术。3.1.1元编译技术元编译技术是一种利用编译器的简单技术,其误报率低,而且对于语言特性的扩展不会更新。元编译技术是将程序的安全属性当做轻量级编译器扩展,根据其建立模型执行。利用这类技术可以自动对所有检验的代码安全性进行推测和判断,从而对相应扩展进行编写。3.1.2变异语技术变异语技术是通过对指针算术运算

7、、不安全的类型转换、goto的无规律跳转、setjmp与longjmp等不安全的操作进行限制,一般采用C或C++的安全程序变异技术。衡量静态检测的标准包括漏报率及误报率,静态检测对软件的源代码及二进制代码进行检测,所以利用静态检测的错误越多,编写的程序就越可靠。3.1.3词法检测技术词法检测技术较为简单,只是对源代码中不安全C库函数和系统进行调用,容易产生大量误报,其主要是对函数名进行辨别,没有兼容性困难。3.1.4程序评注技术程序评注技术在兼容性上没有任何问题,它是以注释的形式表现,不会给代码增加新的

8、语言。利用评注信息来做静态分析,并从中找出漏洞隐串丿UPO3.1.5约束解算器技术约束解算器技术对源程序无需做任何评价,但是会产生大量误报,从而需要工作人员进行核算分析。该技术是利用约束对目标程序特定属性直接建立模型,之示采用静态分析进行解算约束。3.2动态检测技术动态检测技术主要是通过对修改运行环境进行分析来提高程序的保密性,是在不修改冃标程序的源代码或二进制代码的前提下,对执行程序进行漏洞检测,从而达到软件安全的目的。动态检测技术可以分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。