[发明专利]一种基于Android的隐蔽通道攻击审计与侦测方法

摘要

本发明公开了一种基于Android的隐蔽通道攻击审计与侦测方法，属于计算机系统安全技术领域。本发明包括以下步骤(1)按照“共享资源‑操作原语”的形式自定义目标隐蔽通道；(2)将定义好的隐蔽通道解析为相关的java层api hook函数和内核层审计规则；(3)根据访问共享资源的应用程序权限，在运行时根据内核审计模块和java层hook函数传递的信息，动态审计各应用程序之间对目标共享资源的操作特征；(4)当审计值超过阈值时，调用共享资源状态干扰模块，模仿高权限应用对共享资源操作特征改变共享资源的相关状态，干扰基于该共享资源的隐蔽数据传输。本发明在系统运行时动态审计隐蔽通道攻击的存在，扰乱隐蔽通道传输的数据内容，防止敏感数据的泄露。

主权项

一种基于Android的隐蔽通道攻击审计与侦测方法，其特征在于，包括：步骤1注册用户描述的所要审计的目标隐蔽通道，其中，对所述目标隐蔽通道的描述包括系统共享资源路径和对共享资源状态的改变操作原语与读取操作原语；步骤2读取所述目标隐蔽通道的描述，并生成对应的审计规则和hook函数；步骤3监听应用程序对存放敏感数据的数据存放组件的访问行为，并为被应用程序访问过的敏感数据建立档案，所述档案包含被访问敏感数据的数据类型以及访问该敏感数据的应用程序UID；步骤4监控应用程序对已注册的目标隐蔽通道对应的系统共享资源的访问，并将访问者的UID与所述档案进行匹配，若一个应用程序访问了所述目标隐蔽通道对应的系统共享资源，且其UID在所述档案中有记录，则为该应用程序本次以及后续的系统共享资源访问操作生成记录，然后执行步骤5，否则不记录此次应用程序对系统共享资源的访问操作，并重复该步骤；步骤5当有另一应用程序访问了所述步骤4中的应用程序访问过的目标隐蔽通道对应的系统共享资源，且其权限低于所述步骤4中先访问同一项系统共享资源的应用程序的权限，则针对这个低权限应用程序，生成并维护所述低权限应用程序对相关系统共享资源的访问记录；步骤6根据所述步骤4与所述步骤5生成的各个系统共享资源访问记录审计具有较高权限应用程序与所述低权限应用程序对相同系统共享资源的访问，并估算在每一对高权限与低权限应用程序之间，通过所述目标隐蔽通道对应的系统共享资源所隐蔽传输的数据量，当估算的隐蔽传输数据量超出设定的阈值时，执行步骤7，否则重复本步骤；步骤7对在所述步骤6中承载了超标隐蔽数据传输的目标隐蔽通道对应的系统共享资源的状态进行干扰。