[发明专利]基于软件指纹的软件动态可信认证方法

说明书

技术领域

本发明属于信息系统安全领域，特别涉及一种基于软件指纹的软件动态可信认证方法。

背景技术

随着软件规模的不断增大，软件的开发、集成和演化变得越来越复杂，这导致软件产品在推出时总会含有很多已知或未知的缺陷。这些缺陷对软件系统安全的可靠运行构成了严重的威胁；另一方面，软件的运行和开发环境从传统的静态封闭的状态变成互联网环境下动态开放的状态。越来越多的软件漏洞和缺陷被发现并被恶意攻击者频繁利用。

为了保障软件的运行安全，目前安全界采用了多种防护手段和技术。典型的包括：数据完整性验证技术、特征值检测技术、虚拟机技术、启发式扫描技术、主动防御技术、防火墙技术、补丁自动修补技术、云查杀技术等。

数据完整性验证技术目前已经被很多安全软件所采用，其缺陷在于无法保障软件运行过程中动态行为的可信性。

特征值检测技术在检测已知病毒上效果良好，但却无法检测未知病毒，且已知病毒在经过免杀处理之后极易绕过特征值检测技术。

启发式扫描技术根据恶意软件的代码及行为特征经验来判定病毒，其可检测未知病毒，但误报率较高，且也容易被恶意攻击者通过巧妙设计软件行为来绕过。

虚拟机技术结合特征值检测后可以有效对抗已知的加密型病毒，但对未知病毒依然无能为力，且虚拟机机制也容易被病毒检测到和绕过。

主动防御技术对疑似危险行为进行了拦截，但却没有考虑软件行为主体自身的行为特性，因此误报率较高，目前的主动防御技术也存在被绕过甚至被终结的风险。

防火墙技术基于预定规则对网络进出数据进行过滤，可有效抵挡一部分已知的入侵行为，但无法抵抗未知的攻击，目前很多恶意软件采用与正常软件相似的网络通信特征，从而可绕过各类防火墙。

补丁自动修补技术能够及时地修补已知漏洞，保护系统的安全性，但是目前地下市场有大量的0Day漏洞，其对这些没有补丁的漏洞无能为力。

云查杀技术将病毒判定过程从原来的客户端转移到服务端，从一定程度上说，其提升了病毒判定的能力，但其实时判定速度则有可能不能满足需求，另外，部分云查杀引擎需要上传客户计算机中的文件，也可能对用户数据的私密性产生影响。

可见，现有的安全防护技术很难保证系统的可信性，尤其是系统的动态行为可信性。

如何提高现有计算机终端的安全防护能力，确保计算机系统的安全，已成为当前我国信息安全保障工作中亟待解决的关键问题。

软件动态行为可信技术是可信计算必须解决的一个关键性问题，同时也是促进软件安全、有效增强系统信息安全的一种有效方式。

要确保软件动态行为可信就要确保软件主体的行为“总是以预期的方式，达到预期的目标”。

发明内容

本发明目的在于解决现有技术不足，提出了基于软件指纹的软件动态可信认证方法，以求在保证软件静态完整性的同时，提升软件行为的动态可信性，从而有效保障信息系统的安全性。

本发明提供的基于软件指纹的动态可信认证方法，具体方案如下：

软件指纹提取、软件动态行为监控、软件动态行为认证、软件动态行为控制。这四个步骤可以设计四个对应的模块来实现。

软件指纹提取阶段：软件指纹包括软件的数据指纹及行为指纹。数据指纹是指，软件的数字签名信息、通过散列函数运算得到的散列值或通过其他校验和算法计算软件自身的校验值；行为指纹是指软件的预期行为，包括控制流信息以及其数据流信息。

进行软件数据指纹提取时，根据具体的静态指纹类别采用静态提取方式直接对软件自身进行相应的运算来获取，譬如，如果将MD5值作为软件的静态指纹，则采用MD5算法对目标软件的二进制文件进行计算；

进行软件行为指纹提取时，可采取静态提取方式，也可以采取动态提取方式，或者两者同时结合使用。静态提取时，首先采用反汇编工具或自编程序对其进行反汇编，得到软件的行为调用图以及数据依赖关系，然后对获取到的信息进行精简压缩，提取其关键信息保存。进行动态提取时，则在干净的监控环境中，尽可能全面地运行软件的各种功能，并捕获到软件的各类行为调用及数据参数信息，最终获得软件的动态行为关系及数据依赖关系，然后对获取到的信息进行精简压缩，提取其关键信息保存。

为降低软件行为认证的复杂性和系统性能影响，软件的行为指纹可根据实际可信需求进行针对性精简，在精简软件行为特征时，可以只选取那些可能影响软件可信需求的疑似危险类行为。