[发明专利]一种基于内存管理的模式化软件关键行为跟踪方法

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种基于内存管理模式化软件关键行为跟踪方法，实现软件关键行为的灵活管理和有效提取，属于计算机信息安全领域。 

背景技术

随着信息化建设不断深入，软件应用已经成为社会、军事、企业等大系统中不可分割的重要组成部分。与此同时，由于软件行为内在的脆弱性和“黑盒”特性，软件应用的安全性与可靠性也已成为影响信息化运维的重要问题，亟需得到确认与保障。 

软件行为准确地反映了软件的运行轨迹，内蕴地记录了软件的安全性与可靠性信息，对软件行为进行跟踪，监控软件的运行过程，发现软件行为错误，对应用软件的运维至关重要；与此同时，通过对软件行为的跟踪，实时分析软件容错能力，确保在容错范围内软件应用的有效运行，也是保证软件安全与可靠性的重要组成部分。伴随着软件应用与领域需求的融合度越来越高，用户对关键业务领域软件行为安全尤其是对软件关键行为的保障需求也越来越高。从不同的层次和角度考虑，软件关键行为的构成会有所差异。软件本身复杂度的不断提升和关键行为差异性的客观存在迫切需求一种能够实现软件关键行为灵活管理、具有较高适用性和实现有效跟踪的解决办法。 

在当前软件行为跟踪领域研究中，静态分析软件代码和动态监控软件实例是提取软件行为轨迹信息两类主要的方法。基于静态分析的软件行为识别过程中，目标软件无需运行，识别方法以软件可执行程序为数据源，从中提取指令序列、控制流图、函数调用序列等信息，这种方法费时长、灵活性差、对分析识别人员的专业水平要求高，而且随着目标软件的升级往往需要重新进行识别从而造成维护成本的上升，同时缺乏软件行为动态执行后的结果数据，因此行为对软件运行安全的影响也就无法进行定量分析。基于动态监控软件实例的软件行为识别过程中，采用插件或探头的方式，以动态运行的软件为目标，从中提取函数调用序列、函数调用上下文信息、运行环境变化等信息，这种方法通常需要知道详细的软件行为节点信息以便定义大量的回调函数去获取行为节点信息，这就意味着针对不同的目标软件需要进行二次开发，即事前定制化开发；同时，随着目标软件的变化缺乏监控过程中的及时调整，降低了灵活性，即事中的不可控。 

Hook技术是Windows平台下实现动态提取软件行为信息的主要技术。目前，IAT（Import Address Table）Hook和Inline Hook是最主要的两种方法。第一种方法利用Windows系统API（Application Programming Interface，应用程序编程接口）修改PE(Portable Execute，可移植执行体)文件中IAT表地址，同时定义与原函数签名信息相同的回调函数，实现对目标监控节点的劫持和信息提取。其不足之处在于，面对大量监控目标函数时，原函数签名信息的获取在增加工作量的同时也对开发人员函数熟悉程度有着较高的要求，另外，大量回调 函数的定义也增加了开发人员的工作量，并降低了管理的灵活度。第二种方法利用汇编语言，采取修改函数入口地址指令的方式实现向监控函数的跳转，这种方法实现的监控节点挂载针对当前运行的所有进程有效，会影响到其它软件的正常运行。 

发明内容

本发明的技术解决问题是：克服现有技术的不足，提供一种基于内存管理的模式化软件关键行为跟踪方法，本方法实现对软件关键行为节点的灵活控制；同时利用容器管理函数调用返回地址以维持栈帧的平衡，保障了软件的正常运行，从而有效地跟踪软件关键行为的运行轨迹。 

一种基于内存管理的模式化软件关键行为跟踪方法包括步骤如下： 

（1）监控控制台首先加载监控目标软件的PE文件，通过静态映射的方式分析出PE文件的行为节点信息；所述行为节点信息是指PE文件所引用的操作系统及其它用户自定义的API信息，行为节点信息存储在PE文件的IAT导入地址表中； 

（2）根据步骤（1）得到的行为节点信息，通过添加和移除行为节点组成监控软件关键行为并存入数据库，并确定要提取的关键行为特征信息；所述关键行为特征信息包括参数、线程属性、进程属性、时间属性、位置属性； 

（3）判断是否首次监控目标软件，若是则执行步骤（6）；若不是则被视为监控运行中的调整，执行步骤（4）； 

（4）判断是否对新的行为节点进行监控，若是则执行步骤（7）；若不是则 

执行步骤（5）； 

（5）判断是否结束已被监控行为节点的监控，若是则执行步骤（12）；若不是则被视为没有进行任何操作，进入步骤（14）；