[发明专利]一种面向安全漏洞检测的多目标信息流跟踪方法

摘要

本发明提供了一种面向安全漏洞检测的多目标信息流跟踪方法，涉及信息流分析技术领域，通过为数据对象附加本发明所定义的属性标签，当多个数据对象在流动中发生融合后，准确地追踪各个数据对象的流动细节，并通过融合数据的附加属性标签逆向追踪每个数据对象的独立数据源，从而捕捉计算系统信息流行为中的有害信息流动，并检测并定位引发有害信息流动的安全漏洞。本发明能够同时准确地跟踪多个数据目标在计算系统中的流动，而且能够根据融合数据的信息标签中各个标签域的置位情况即可逆向追踪至各独立数据源，有助于更全面地理解系统的信息流行为，进而从全部信息流中准确地捕捉有害的信息流动，检测引发有害信息流动的安全漏洞。

主权项

1.一种面向安全漏洞检测的多目标信息流跟踪方法，其特征在于包括下述步骤：步骤1：信息标签的附加当给定n个待跟踪数据对象D1,D2,…Di,…,Dn时，为每一个数据对象附加一个包含n个域的信息标签T1,T2,…Ti,…,Tn，其中，1≤i≤n，Ti是数据对象Di的信息标签；Ti又包含n个标签域ti1,ti2,…tii,…,tin，每个标签域的取值为符号‘X’或者‘O’，标签域tij为数据对象Dj在数据对象Di的信息标签Ti中对应的域，其中，1≤j≤n，当标签域tij的取值为符号‘X’时，表明数据对象Di包含有数据对象Dj的信息；当标签域tij的取值为符号‘O’时，表明数据对象Di不包含有数据对象Dj的信息；步骤2：信息标签的编码按照步骤1为多个数据对象定义相应的信息标签之后，采用本发明的编码算法在信息源端对信息标签的每个域进行编码：首先定义两个长度为n的符号串“XOO…O”和“OOO…O”，其中“XOO…O”的第一个符号为‘X’，其余的符号均为‘O’；“OOO…O”的全部符号均为‘O’；给定待跟踪数据目标D1，D2，…Di，…Dn和待编码数据目标Dm(此处，m是Dm在待跟踪数据目标D1，D2，…Di，…Dn序列中的序号)，计算得到待编码数据目标Dm的信息标签Tm，计算方式如下：当给定的数据对象Dm属于待跟踪的数据目标时，其信息标签Tm由符号串“XOO…O”循环右移m‑1位得到，即与数据对象Dm对应的域被置为‘X’，其他的域均被置为‘O’；当给定的数据对象Dm不属于待跟踪的数据目标时，其信息标签Tm为n位的符号串“OOO…O”；在信息源端，每个信息标签的n个域中至多只有一个置为‘X’，当数据对象在流动中发生融合时，若所产生融合数据的信息标签中有一个或多个域为‘X’，则表明融合数据包含了一个或多个待跟踪数据目标的信息；若全部域均为‘O’，则标明融合数据不包含任何待跟踪数据目标的信息；步骤3：标签传播策略库的建立标签传播策略库由多个运算的标签传播策略集组成，运算操作的标签传播策略集的构建步骤如下：标签传播策略集定义为一个从输入数据对象及其信息标签到融合数据对象信息标签的映射函数；用符号T表示标签传播函数，运算操作P的输入数据对象为D1，D2，…Di，…Dn，相应的信息标签分别为T1，T2，…Ti，…Tn，当通过计算系统所定义的运算操作P计算获得融合数据Dk时，相应的运算和标签传播函数分别为：Dk＝P(D1,D2,…Di,…,Dn)Tk＝T(D1,D2,…Di,…,Dn,T1,T2,…Ti,…,Tn)当且仅当输入数据对象Di对融合数据Dk的值存在影响时，即在保持Di之外其它输入数据对象的数值不变的情况下，改变Di的值会导致融合数据Dk的值发生变化时，输入数据对象的标签能够传播至输出融合数据对应的标签域；标签传播策略集定义了在输入数据对象D1,D2,…Di,…,Dn及其信息标签T1,T2,…Ti,…,Tn所有可能取值的情况下，输出数据对象的信息标签的取值，标签传播策略集的通用构建算法如下：通过测试改变输入数据对象Di的值是否对运算结果存在影响来确定对应标签域的传播情况，即将数据对象D1,D2,…Di,…,Dn在运算P下的取值d1,d2,…,di,…,dn中的di变为d’i时，若运算结果发生变化，则在数据对象D1,D2,…Di,…,Dn的取值为d1,d2,…,di,…,dn和信息标签t1,t2,…ti,…,tn的情况下，即当P(d1,d2,…,di,…,dn)≠P(d1,d2,…,d’i,…,dn)时，运算结果Dk的信息标签Tk中的标签域tki置为tii，若运算结果未发生变化，即当P(d1,d2,…,di,…,dn)＝P(d1,d2,…,d’i,…,dn)时，则运算结果Dk的信息标签Tk中的标签域tki置为‘O’；步骤4：信息标即签的正向传播给定输入数据对象D1，D2，…Di，…Dn，以及相应的信息标签T1,T2,…Ti,…,Tn，当执行运算操作的序列为P1,P2,…Pi,…,Pm时，每执行一个运算操作Pi，根据相应的运算类型和输入数据对象及其标签，进行一次标签传播策略库查询，获得每一步融合数据Dk的信息标签Tk，即可实现信息标签的正向传播；当数据对象参与运算产生融合数据及其信息标签后，若融合数据与其他数据对象继续执行后续运算，可逐步计算出新的融合数据的信息标签，直至全部运算序列执行完毕；对于执行完全部运算序列P1,P2,…Pi,…,Pm后获得的最终融合数据Do，其对应的信息标签为To，To的各个标签域分别为to1,to2,…toi,…,ton，当toi的值为‘X’时，即表明输入数据对象Di流向了最终的融合数据Do，当toi的值为‘O’时，即表明输入数据对象Di未流向最终的融合数据Do；然后，若输入源数据对象D1，D2，…Di，…Dn中Di包含了敏感信息，最终融合数据Do的标签域toi的值为‘X’，并且Do赋值给了可以公开观测的输出端口或者存储器地址时，即可判定输入源数据Di中包含的敏感信息发生了有害的信息流动；类似地，若输入源数据对象D1，D2，…Dj，…Dn中Dj来自不可信的输入端口，最终融合数据Do的标签域toj的值为‘X’，并且Do赋值给了关键的输出端口或者存储器地址，即可判定输入源数据中包含的不可信数据对象发生了有害的信息流动；步骤5：信息标签的逆向追踪对于在步骤4中捕捉到的有害信息流动，可根据如下步骤逐个运算操作逆向分析，逐步逆向追溯有害信息的流动路径，从而定位至引发有害信息流动的安全漏洞：运算操作P的输入数据对象为D1，D2，…Di，…Dn，相应的信息标签分别为T1，T2，…Ti，…Tn，则当通过计算系统所定义的运算操作P计算获得融合数据Dk时，可根据Dk的信息标签Tk的各个标签域的值判定融合数据Dk包含信息源D1，D2，…Di，…Dn中哪些数据对象的信息；具体而言，当融合数据信息标签Tk的域tki为‘X’时，即表明输入数据对象Di是融合数据Dk的数据源，当融合数据信息标签Tk的域tki为‘O’时，即表明输入数据对象Di不是融合数据Dk的数据源。