[发明专利]适用于云环境的跨主机动态污点追踪方法及系统

说明书

本发明公开了一种适用于云环境的跨主机动态污点追踪方法及系统，属于隐私数据访问监控领域，包括：持续监控云环境中各主机端应用程序的API调用行为；若检测到网络发送相关的API被调用，则在源主机端网络缓冲区中的待发送报文包含污点数据时，生成一个或多个污点数据包，发送所生成的污点数据包；污点数据包大小不超过MTU值；若检测到网络接收相关的API被调用，则在目的主机端网络缓冲区中的待接收报文中包含污点数据时，解析网络接收缓冲区中的污点数据包的污点头部，利用属于待接收报文的污点数据包重组待接收报文，并在目的主机中对待接收报文中数据的污点属性进行设置。本发明能够提高跨主机动态污点追踪的准确度，为云环境中的应用提供可靠支持。

技术领域

本发明属于隐私数据访问监控领域，更具体地，涉及以一种适用于云环境的跨主机动态污点追踪方法及系统。

背景技术

动态污点追踪是一种基于数据流的动态二进制分析方法，基本思想是在程序执行过程中，追踪需要分析的数据在系统中的传播过程，如用户输入、网络报文等，以掌握被追踪的目标程序对这些数据的详细处理流程，从而为进一步的分析提供依据。通常，被追踪的数据是外来的或是不可信的数据(用户输入、输入文件等)，也称为污点数据，引入污点数据的数据对象被称为污点源。

动态污点追踪主要涉及两部分内容，首先是污点数据的标记，其次是污点数据的追踪。污点数据的标记是指在目标程序执行过程中，截获被目标程序访问的外来的或不可信的数据，将这些数据视为被污染的数据并将其标记为污点数据；在程序执行过程中，污点数据可能作为源操作数参与运算，运算结果(目的操作数)的污点属性往往依赖于源操作数的污点属性，因此，需要根据污点传播规则对目的操作数的污点属性进行相应的设置；污点数据的追踪，是指在目标程序执行过程中通过分析指令的语义，并根据污点传播规则实现相应的污点属性的拷贝、覆盖、清除和合并操作，动态标记并追踪污点数据的传播流向。

污点数据的追踪主要包括主机内动态污点追踪和跨主机动态污点追踪；在主机内动态污点追踪过程中，被跟踪的目标程序的整个数据流都在跟踪工具的监控之下，因此可以准确判断目标程序是否存在恶意行为或者是否将敏感数据泄漏到外部网络，也可以记录污点数据在主机内的传播过程作为离线分析的依据；但是，这种方法只能在一台主机内进行污点追踪，因此存在很大局限性。跨主机动态污点追踪，能够在污点数据发生跨主机传播时，通过在源主机端给包含污点数据的报文加上污点头部后，再传输到目的主机，使得目的主机能够根据污点头部识别出该报文包含污点数据。但是，现有的跨主机动态污点追踪方法，只是简单的通过污点头部标示报文包含污点数据，实际在跨主机动态污点追踪的过程中，存在大量误报、漏报的情况，整体的追踪准确度较低，并不能为云环境中的应用提供可靠支持。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种适用于云环境的跨主机动态污点追踪方法及系统，其目的在于，提高跨主机动态污点追踪的准确度，为云环境中的应用提供可靠支持。

为实现上述目的，按照本发明的一个方面，提供了一种适用于云环境的跨主机动态污点追踪方法，包括：

(1)持续监控云环境中各主机端应用程序的API(Application ProgrammingInterface,应用程序编程接口)调用行为，若检测到主机中应用程序调用了网络发送相关的API，则将该主机作为源主机并转入步骤(2)；若检测到主机中应用程序调用了网络接收相关的API，则将该主机作为目的主机并转入步骤(4)；

(2)在源主机端检测网络发送缓冲区中的待发送报文是否包含污点数据，若是，则转入步骤(3)；否则，直接发送待发送报文，转入步骤(1)；

(3)根据待发送报文中数据的污染情况，生成一个或多个污点数据包，发送所生成的污点数据包以完成对待发送报文的发送，并转入步骤(1)；