計算機軟件漏洞檢測系統的設計與實現

摘 要

近幾年，信息安全事件發生數量急劇增加，并且呈現快速增長趨勢。政府部門所應用的信息系統，在出現信息安全問題，所造成的后果將十分嚴重，所以信息安全問題已經成社會各界廣泛關注的一個問題，但是系統在實際應用中，硬件及軟件方面都會存在一些無法避免的問題，伴隨著系統的不斷應用，新型漏洞也會逐漸出現。攻擊者就可以根據軟件所存在的漏洞，做出竊取信息的行為。所以對于計算機軟件漏洞問題進行分析研究具有重要的現實意義。

【關鍵詞】補丁管理 漏洞檢測 網絡安全

只從進入信息時代之后，信息建設水平子啊短時間內取得了顯著成果，已經在人們的生活及工作中廣泛應用。但是人們在享受信息化所具有的便捷的同時，人們也開始逐漸發現信心安全的重要性，特別是近幾年各種信心安全事件的發生，讓信息安全已經成為社會各界廣泛關注的一個問題。所以，如果對于計算機軟件內部所存在的安全漏洞進行快速檢測，特別是對于操作系統內所存在的軟件，在攻擊者沒有發現之前就進行針對性修復，已經成為有關演技人員重點研究內容。

1 系統需求分析和總體設計

1.1 系統需求

1.1.1 系統開發目標

本文所研究的計算機軟件漏洞檢測系統設計及實現研究中，主要就是對于公安信息專用網絡計算機軟件在實際夠用中所存在的漏洞進行檢測及修補，提高公安信息專用網絡計算機軟件管理水平，降低公安信息網計算機軟件維護成本，及時發現計算機所存在的漏洞并對其進行修復，降低計算機軟件所存在的風險。

1.1.2 系統功能范圍

計算機軟件漏洞檢測系統在公安信息網絡內應用，主要是根據信息網拓撲結構及實際情況， 根據計算機漏洞檢測形式，對于計算機所存在的漏洞進行修補，下載針對性補丁，判斷出計算機軟件程序所存在的木馬，對于信息網進行全面性分析，提出針對性意見，增加對于局域網管理水平，讓管理人員及時了解到公安信息網內的基礎信息。

1.1.3 系統性能顯著

（1）客戶端運行負擔較低：公安部門所應用的計算機采購時間較長，硬件設施水平較低，所以客戶端運算量最好能夠適當進行降低，這樣才能夠降低對于公安正常辦公的影響。

（2）漏洞信心更新速率較高：根據有關部門統計，計算機內部所存在的漏洞會伴隨著時間的延長所下降，計算機所存在的新漏洞，經常容易被計算，對于計算機造成較大的影響，破壞程度較高。所以，計算機系統整體漏洞掃描能力與系統漏洞數據庫之間有著緊密關聯，提高系統漏洞數據庫的全面性，進而能夠顯著提高系統整體性能，所以系統漏洞必須根據數據庫信息進行同步。

（3）服務器負載壓力較低：公安部門在信息化建設過程中，在硬件設施上面投入了較大材料，為了能夠降低信息化經濟成本，減少在硬件設施上面的成本，公安部門對于原有系統進行了升級，將并不是一臺計算機應用一個軟件。所以，系統在實際運行過程中，就必須提高對于計算機硬件資源的使用數量，降低服務器負載壓力，進而保證服務器網頁穩定運行。

1.2 系統的總體設計思路

系統總體設計思路在制定過程中，需要將系統所具有的功能及非功能性能進行限制。按照系統功能特點及業務實際運行的實際要求，需要利用以下幾點技術思路。

1.2.1 模塊化設計開發模式

軟件設計開發過程中，需要采用模塊化設計方式，提高軟件代碼的可用性及兼容性，這樣設計人員對于軟件功能及特點設計方面，能夠有效進行完善，縮短軟件更新速度，在實際設計過程中遵循模塊化技術思路。根據軟件功能及數據耦合度之間的差異，可以對于功能模塊進行針對性設計及測試。

1.2.2 動態檢測技術

軟件在設計開發過程中，要是利用動態檢測技術，能夠有效保證計算機在進行漏洞掃描過程中，計算機操作并不會受到任何影響，進而有效躲避網絡對于計算機所造成的攻擊。計算機按照安全漏洞數據庫內具有的信息，對于目標系統內部所存在的漏洞進行檢測。動態監測技術在實際應用中能夠有效降低計算機對于網絡流動的負載水平，泄漏報告不會被監聽。

1.2.3 兩層結構設計

在計算機服務器內應用兩層結構設計，能夠有效解決計算機用戶使用適量，網絡結構復雜等等特征，對于客戶端計算機狀態管理更加便捷高效，與此同時還能夠對于計算機漏洞及補丁文件進行高效率分布。

1.3 系統的總體技術方案

根據公安信息網計算機在實際應用中主要應用的軟件，是計算機漏洞檢測系統主要對象，計算機主要應用的軟件有三類軟件，分別是微軟操作系統軟件、MircrosoftOffic系統應用軟件及Adobe Flash必備軟件。計算機軟件漏洞檢測系統在設計及開發過程中，需要針對性開發，根據公安信息網實際運行情況，按照用戶數量大及網絡結構復雜等等特點進行設計。

為了能夠讓計算機軟件漏洞檢測系統該校在公安信息網內應用，系統在設計開發過程中，需要有效將服務器及模塊化技術進行結合。計算機軟件漏洞系統檢測系統主要有三部分構成，分別是一級服務器、二級服務器就客戶端。

1.3.1 一級服務器

一級服務器為漏洞信息庫更新提供良好的基礎條件。一級服務器在實際運行過程中，主要工作職責就是及時發現軟件所存在的漏洞，并且下載針對性補丁文件，所產生的信息傳輸到子服務器。一級服務器是計算機軟件漏洞檢測系統內唯一一個能夠與外部網絡進行兩個的的服務器，進而保證對于計算機進行及時更新。所以，計算機軟件漏洞檢測系統信息庫數據更新水品與一級服務器之間的有著緊密關聯。

1.3.2 二級服務器

二級服務器所具有的信息是一級服務器內部所包含的漏洞信息，公安信息網由于環境屬于物理隔離，因此二級服務器想要與一級服務器信息保證同步，只能夠應用儲存介質的方式進行實現，這樣二級服務器才能夠與子服務器進行有效連接。二級服務器能夠有效與子服務器進行補丁分配，進而做到信息資源的共享，提高系統拓展性能。

1.3.3 客戶端

補丁及補丁信息在上級服務器下載完畢之后，在對于計算機漏洞掃描之后，對于補丁進行安裝?？蛻舳嗽趯嶋H應用過程中，需要將客戶端與服務端之間連接，提高通信傳效率，提升系統效率。

2 系統有關技術

2.1 基于主機的靜態漏洞檢測

基于主機的靜態漏洞檢測屬于漏洞動態監測技術中的一種。在對于主機的靜態漏洞檢測過程中，首先需要注冊表，計算機操作系統內的重要數據庫就是注冊表，注冊表能夠將操作系統及應用軟件所設置及有關信心全部進行記錄及儲存，也可以注冊表能夠有效將計算機軟件漏洞檢測系統實際運行環境客觀性反應出來。計算機軟件漏洞檢測系統內的客戶端應用漏洞掃描?？?，能夠有效對于注冊表所具有的特點進行針對性監測，進而找到計算機軟件漏洞檢測系統所存在的信息記錄全部找出，將有關數據與漏洞信息數據庫進行對比，進而形成漏洞列表的自動修復，用戶就可以根據自身實際情況，對于補丁進行篩選及下載。

靜態的主機系統對于漏洞檢測國學中，首先需要以漏洞匹配表作為漏洞檢測作為基礎，這就需要漏洞匹配表內數據擁有較高的可靠性，并且還能夠實時進行更新。本文在對于計算機軟件漏洞檢測系統設計及實現研究中，選擇的是微軟所發布的補丁知識庫，該知識庫在實際應用中需要及時進行更新維護，微軟公司每個月都會對于知識庫所存在的漏洞進行最新補丁頒布。

2.2 基于補丁的漏洞修復

客戶端在啟動之后，就會在網絡環境內獲得終端列表，利用終端列表能夠有效獲得網絡環境內的終端地址及有關信息，進而保證計算機與網絡進行連接，對于所獲得的數據信息資源進行讀取。終端計算機要是不存在有關數據資源，就可以重新選擇一臺計算機，讓計算機與網絡進行連接，進而獲得數據資源，滿足實際應用的需求。

終端列表所獲得的數據資源要是與用戶實際需求之間存在較大差距，終端列表就可以直接向服務端計算機進行連接，并且對于數據資源進行請求。服務器要是并沒有找到做需要的數據資源，漏洞補丁下載就將失敗。

漏洞補丁在下載安裝之后，為了能夠讓用戶應用更加方便，在安裝過程中就需要應用靜默式安全方式，在漏洞補丁知識庫找到漏洞補丁所需要的有關參數，進而直接將漏洞補丁進行安裝就可以了。漏洞補丁在安裝完畢之后，就可以對于下一個漏洞補丁進行安裝，直到最后一個漏洞補丁安裝完畢。

2.3 漏洞信息與補丁文件的獲取

2.3.1 漏洞信息與補丁文件的獲取

計算機軟件漏洞檢測系統所獲得的補丁信息全部都是在微軟官網上面獲取，進而能夠有效保證補丁信息的全面及精準。在微軟官網上面或者信息公告，主要目的就是滿足系統在實際應用中的覆蓋范圍及實時性需求。

2.3.2 一級服務器對補丁文件的自動下載

計算機軟件漏洞檢測系統要是能夠具有補丁自動下載功能，最為關鍵的就是能夠自行對于補丁下載地址進行獲取。首先，計算機軟件漏洞檢測系統需要將微軟公司的網址下載到本地后，對于網址進行分離分析，進而找到網址內所具有的安全信息，例如公告號、漏洞描述等等；其次就是公告上面的URL下載到計算機系統內，對于安全公告進行劃分分析，這樣就能夠獲得每一個補丁的相信信息，例如補丁安全等級、軟件名稱等等；最后就是有服務器端將補丁全部數據都生成表格，并且將自動下載的全部補丁文件所對應的網址都自動讀取，填寫到本地文件目錄中， 為用戶提供補丁下載資源。

3 系統設計與實現

3.1 客戶端的漏洞檢測設計與實現

客戶端漏洞檢測主要有五部分構成，分別是漏洞掃描模塊、用戶界面模塊、端口掃描模塊、程序指紋識別模塊及分布式下載模塊。

3.1.1 漏洞檢測模塊

漏洞檢測模塊還分為三個功能單元，分別是操作系統漏洞檢測子模塊、第三方軟件漏洞檢測子模塊及漏洞復子模塊。

（1）操作系統漏洞檢測子模塊。操作系統漏洞檢測子模塊所應用的檢測方式，是根據主機靜態庫漏洞掃描檢測技術作為前提，所應用的靜態庫按照微軟公司系統所發布的漏洞信息，具體步驟為：首先就需要對于漏洞信息模塊進行調用獲取，為漏洞補丁下載提供數據庫，數據庫在實際應用中，對于程序所具有的信息進行有效保護，防止其他惡意程序及違法行為對于造成影響，結構數據庫具有64位的密鑰匙；其次對于漏洞信息進行模塊調用獲取，對于系統通過漏洞庫信息進行下載更新，在將漏洞信息庫轉變為普通數據庫，按照普通數據庫內數據結構對于漏洞數據庫內的信息資源進行查找分析，并且將結果儲存到針對性容器內，后期漏洞檢測對比更加方便；最后就是將計算機系統內所存在的漏洞列表進行刪除，進而有效得有系統所存在的漏洞列表。

（2）第三方軟件漏洞檢測子模塊。計算機軟件漏洞檢測系統需要通過第三方軟件獲得補丁信息，并且安裝目前操作系統內。

第三方軟件漏洞檢測模塊所包含的內容角度，分別是：①從第三方軟件內獲取最新漏洞補丁及軟件版本有關信息，并且將下載的第三方軟件新系統信息安裝到操作系統內；②第三方軟件能夠間系統最新版本信息及補丁信息在獲取之后進行比較，并且安裝到操作系統中，操作系統在安裝第三方軟件之后，就能夠對于第三方軟件不斷進行更新；③第三方軟件在當前操作系統安裝之后，需要對于最新軟件版本及漏洞補丁進行下載安裝，不斷對于軟件進行完善；④第三方軟件版本信息主要包含三方面信息，分別是第三方軟件的名稱、對于第三方軟件最新信息進行描述及第三方軟件最新版本下載地址。

（3）漏洞修復子模塊。計算機軟件漏洞檢測系統在應用補丁的漏洞修復技術之后，漏洞檢測模塊能夠有效將計算機內部下載但是并沒有安裝的補丁文件檢測出來，漏洞修復子模塊在補丁知識庫內找到針對性啟動參數之后，就能夠直接將補丁文件進行安全，補丁在安全之后，系統就會對于下一個補丁進行安裝，并且對于重啟操作等等操作進行阻止，全部補丁文件在安裝完畢之后，系統才會詢問，用戶根據自身實際情況選擇計算機是否需要重啟。

3.1.2 用戶界面模塊

在用戶界面模塊內，應用WTL基于SDK封裝方式，能夠提供一個十分有效的窗口架構，這種界面操作方式，能夠為用戶提供更加便捷的操作。

3.1.3 進程掃描模塊

進程掃描模塊能夠根據系統操作進程所產生的信息，并且根據系統端口實際運行情況，能夠給出安全的信息。

在對于知識庫判別中，最佳方式就是對于服務端進行下載更新，在對于知識庫分類分析之后，對于當前系統活動信息進行掃描，系統網絡端口在分析占據之后，對于知識庫進行闡述，對于系統資料及威脅程度進行針對性提出。所以，掃描步驟為：首先對于進程知識庫進行下載更新，根據服務端允許下載，為服務器提供最新知識庫，知識庫所選擇的本地數據庫；其次就是對于進程列表進行掃描；最后就是通過知識庫對于進程進行描述。

3.1.4 程序指紋識別模塊

計算機程序在啟動之后，客戶端就會進入到一個監控模塊內，對于計算機程序所進行的全部操作進行實時性監控監測。計算機軟件漏洞檢測系統要是實現實時性監控，就需要在系統上安裝監視及控制進程。進程在實際創建過程中所需要包含的內容較多，并且需要分為多個步驟進行，在當全部步驟都落實之后，進程才能夠啟動。

進程在啟動過程中所設計到的每一個步驟都是必要步驟。為了能夠創建監視及控制進程，就需要利用計算機軟件漏洞檢測系統內所具有的函數關系式，對于保證進程步驟無法通過所創建的代碼。

3.1.5 分布式下載模塊

在計算機軟件漏洞檢測系統內應用分布式下載模塊，主要目的就是降低局域網對于服務器所造成的影響，任何一個終端都能夠提供相同的服務，并且每一個終端內都具有下載模塊，終端在啟動之后，都能夠向服務器傳輸自身地址等等基礎信息。服務器終端內會形成一個信息列表，對于用戶提供有關信息。

3.2 服務端的漏洞檢測設計與實現

服務端是計算機軟件漏洞檢測系統信息數據的源頭，與此同時還能夠對于信息數據進行知識類別及漏洞的實現，漏洞補丁也是從服務端進行下載，對于網絡流量能夠有效進行控制。服務端除了用戶界面模塊部分，還具有四部分模塊，分別是漏洞信息庫模塊、評估規則模塊、用戶信息庫模塊及特征指紋模塊。

3.2.1 漏洞信息庫模塊

漏洞信息庫模塊主要包括兩個子模塊，分別是操作系統漏洞獲取子模塊及第三方軟件漏洞獲取子模塊。操作系統漏洞獲取子模塊在對于信息獲取中，主要是根據微軟所公布出現的漏洞信息進行跟蹤，對于系統所存在的已知漏洞信息進行收集，并且將操作系統所具有的補丁信息進行讀取。

（1）操作系統漏洞獲取子模塊。操作系統漏洞獲取子模塊主要是對于微軟所公布出現的信息進行跟蹤，同時對于系統所具有的最近漏洞信息進行收集，進而保證對于系統最新漏洞信息濟寧掌握。系統最新漏洞信息主要包括三種，分別是漏洞名稱、漏洞危險程度及漏洞所影響的系統版本。

（2）第三方軟件漏洞獲取子模塊。第三方軟件漏洞獲取子模塊主要是對于計算機系統內的第三方軟件進行完善，更新及維護第三方軟件所公布出來的漏洞信息，保證計算機系統內所應用第三方軟件信息與官網漏洞信息相吻合，下子第三方軟件最近補丁或者是版本，并且將最新補丁或者是版本安裝到計算機內。

3.2.2 評估規則庫模塊

評估規則庫模塊屬于判別知識庫，能夠根據用戶實際應用需求進行擴展，并且對其安全性能進行判斷，主要就是對于客戶端所存在的異常端口進行掃描，判斷計算機中那個端口真正運行。管理人員能夠通過評估規則庫模塊對于服務端接口進行了解，掌握對于軟件造成影響的信息，進而構成具有結構性的知識庫。管理人員在對于知識庫輸入信息之后，知識庫能夠根據實際情況進行擴充，增加知識庫內信息數量。

3.2.3 用戶信息庫模塊

用戶信息庫模塊是計算機軟件漏洞檢測系統內的重要組成部分，主要是對于分布式下載進行控制，屬于知識庫。在用戶信息庫模塊內的知識庫中，該知識庫將用戶在客戶端上面所產生的全部數據信息都進行記錄及儲存?？蛻舳嗽讷@取知識庫數據信息之后，能夠直接從網絡環境中進行下載，或者是提供下載功能。

服務終端在啟動之后，服務端就能夠為用戶提供NgixWEB服務，與此同時附帶模塊也能夠運行，在這個過程中計算機防火墻還能夠添加策略信息，對于防火墻進行初始化設置，保證防火墻的啟動與函數關系計算所的得到的參數相吻合。防火墻要是在啟動之后就添加策略信息，就能夠啟動提供服務。

3.2.4 用戶界面模塊

計算機軟件漏洞檢測系統在用戶界面模塊中，選擇的是WTL基于SDK封裝的窗口框架。用戶界面模塊主要應用就是能夠為用戶提供一個良好的界面體驗，在實際操作過程中更加便捷。

4 結論

本文在對于計算機軟件漏洞檢測系統的設計與實驗研究中，根據計算機軟件漏洞有關理論知識，對于計算機軟件漏洞檢測方法進行了詳細分析研究，并且根據公安部門計算機漏洞檢測的實際情況，形成了一個較為完善的解決方案，能夠有效將計算機軟件漏洞自我檢測與網絡修復結合在一起。計算機軟件漏洞檢測系統在實際應用中不僅僅能夠對于已知漏洞進行檢測，還能夠對于補丁進行下子及自動安全，有效提高計算機安全性能。

參考文獻

[1]翟鈺，張玉清，武維善，胡建武.系統安全漏洞研究及數據庫實現[J].計算機工程，2014（04）：68-71.

[2]朱靜.安全漏洞及其修補技術的研究[D].西安：西安電子科技大學計算機系統結構專業碩士學位論文，2015：5-9.

[3]柳崧軼.基于C語言的程序安全性分析[D].長春：吉林大學計算機應用專業碩士學位論文，2013：6-9.

[4]CNCERT安全報告：軟件漏洞成重大隱患[J].網絡與信息，2011（04）：57.

[5]單國棟，戴英俠，王航.計算機漏洞分類研究[J].計算機工程，2012（10）：3-6.

[6]王志平.基于指標體系的網絡安全態勢評估研究[D].長沙：國防科學技術大學計算機科學與技術學院碩士學位論文，2015：5-9.

[7]潘玉珣.桌面安全管理技術現狀與發展趨勢[J].信息安全與技術，2014（08）：13-16.

[8]劉欣.Windows 2000操作系統的安全漏洞檢測方法及其安全對策的研究[D].北京：中國電力科學研究院計算機應用技術專業碩士學位論文，2015：12-17.

[9]任亞洲.Windows系統漏洞的研究[J].科技信息，2014（25）：426.

[10]黃明，曾慶凱.軟件脆弱性分類屬性研究[J].計算機工程，2013（01）：184-187.

[11]王湘新.湖南省公安消防部隊補丁管理系統建設方案[J].信息安全與通信保密，2014（05）：99-101.

[12]薛冰，孫壽利.局域網內Windows系統補丁自動更新的實現與應用[J].網絡與信息，2013（11）：27.

[13]李建安，谷利澤，楊義先.漏洞掃描與補丁管理系統的設計與實現[C].第一屆中國高校通信類院系學術研討會論文集[M].北京：電子工業出版社，2013：471-475.

[14]康峰.網絡漏洞掃描系統的研究與設計[J].電腦開發與應用，2014（10）：27-29.

[15]王雨晨.系統漏洞原理與常見攻擊方法[J].計算機工程與應用，2015（03）：62-64.

作者簡介

張小敏（1979-），女，陜西省咸陽市人。曾畢業于蘭州交通大學，獲得碩士學位?，F為西北師范大學數學與統計學院助教。研究方向為計算機軟件與理論。

作者單位

西北師范大學數學與統計學院 甘肅省蘭州市 730070