[发明专利]一种基于Android的隐蔽通道攻击审计与侦测方法

说明书

技术领域

本发明属于计算机系统安全技术领域，更具体地，涉及一种基于Android的隐蔽通道攻击审计与侦测方法。

背景技术

随着智能手机的普及与功能的完善，智能手机内部存储了越来越多的敏感数据信息，例如账户信息、联系人信息等。面对针对智能手机频发的敏感数据窃取手段，这些数据的安全显得愈发重要，需要不断的研究具有针对性的应对措施。

在各类隐私数据窃取的手段当中，隐蔽通道攻击具有极强的隐蔽性。其通过高权限与低权限应用程序的共谋，借助系统共享资源的可被观察与改变的状态，绕过操作系统基于权限的安全机制，使未申请相关权限的应用程序可以非法获取被权限保护的敏感数据。传统的恶意应用程序查杀工具，只针对每个恶意程序进行单独扫描，缺乏对隐蔽通道攻击特性的审查，无法识别该类攻击的特征。

针对上述问题，曾有方案依靠于强制访问控制框架，通过静态制定策略对承载隐蔽通道攻击数据媒介的共享资源进行严格的访问控制，以避免隐蔽通道攻击的产生。但该类方案限制了系统共享资源的使用，损坏了共享资源的可用性，对应用程序的正常运行会造成不必要的负面影响。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供一种基于Android的隐蔽通道攻击审计与侦测方法，用于在系统运行时动态审计隐蔽通道攻击的存在，并采取对相关系统共享资源进行有针对性的状态改变，从而扰乱隐蔽通道传输的数据内容，防止敏感数据的泄露。

本发明提供一种基于Android的隐蔽通道攻击审计与侦测方法，包括以下步骤：

步骤1注册用户描述的所要审计的目标隐蔽通道，其中，对所述目标隐蔽通道的描述包括系统共享资源路径和对共享资源状态的改变操作原语与读取操作原语；

步骤2读取所述目标隐蔽通道的描述，并生成对应的审计规则和hook函数；

步骤3监听应用程序对存放敏感数据的数据存放组件的访问行为，并为被应用程序访问过的敏感数据建立档案，所述档案包含被访问敏感数据的数据类型以及访问该敏感数据的应用程序UID；

步骤4监控应用程序对已注册的目标隐蔽通道对应的系统共享资源的访问，并将访问者的UID与所述档案进行匹配，若一个应用程序访问了所述目标隐蔽通道对应的系统共享资源，且其UID在所述档案中有记录，则为该应用程序本次以及后续的系统共享资源访问操作生成记录，然后执行步骤5，否则不记录此次应用程序对系统共享资源的访问操作，并重复该步骤；

步骤5当有另一应用程序访问了所述步骤4中的应用程序访问过的目标隐蔽通道对应的系统共享资源，且其权限低于所述步骤4中先访问同一项系统共享资源的应用程序的权限，则针对这个低权限应用程序，生成并维护所述低权限应用程序对相关系统共享资源的访问记录；

步骤6根据所述步骤4与所述步骤5生成的各个系统共享资源访问记录审计具有较高权限应用程序与所述低权限应用程序对相同系统共享资源的访问，并估算在每一对高权限与低权限应用程序之间，通过所述目标隐蔽通道对应的系统共享资源所隐蔽传输的数据量，当估算的隐蔽传输数据量超出设定的阈值时，执行步骤7，否则重复本步骤；

步骤7对在所述步骤6中承载了超标隐蔽数据传输的目标隐蔽通道对应的系统共享资源的状态进行干扰。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下有益效果：

(1)对基于各类共享资源的存储隐蔽通道具有良好的泛用性。相比于一些仅审查固定系统资源的方案，本发明通过审计规则与hook函数的动态生成，支持了对隐蔽通道攻击审计的可定制性；

(2)审计标准拥有良好的可扩展性。本发明采用了模块化架构，对于审计标准采用了模块化封装。只要实现接口中的指定方法，用户便可以根据自己的需求对各类型隐蔽通道开发特定的审计标准，从而提高审计准确率；

(3)对假阳性审计结果的高容忍性。由于本发明采用了针对隐蔽通道的状态干扰而非严格访问控制，使得应用程序对相关共享资源的正常访问不受限制，同时可以有效遏制通过编制共享资源状态而进行的隐蔽数据传输。

附图说明

图1为本发明基于Android的隐蔽通道攻击审计与侦测方法的应用环境示意图；

图2为本发明基于Android的隐蔽通道攻击审计与侦测方法的流程图；

图3为本发明决策模块的结构示意图。

具体实施方式