[发明专利]适用于云环境的跨主机动态污点追踪方法及系统

摘要

本发明公开了一种适用于云环境的跨主机动态污点追踪方法及系统，属于隐私数据访问监控领域，包括：持续监控云环境中各主机端应用程序的API调用行为；若检测到网络发送相关的API被调用，则在源主机端网络缓冲区中的待发送报文包含污点数据时，生成一个或多个污点数据包，发送所生成的污点数据包；污点数据包大小不超过MTU值；若检测到网络接收相关的API被调用，则在目的主机端网络缓冲区中的待接收报文中包含污点数据时，解析网络接收缓冲区中的污点数据包的污点头部，利用属于待接收报文的污点数据包重组待接收报文，并在目的主机中对待接收报文中数据的污点属性进行设置。本发明能够提高跨主机动态污点追踪的准确度，为云环境中的应用提供可靠支持。

主权项

1.一种适用于云环境的跨主机动态污点追踪方法，其特征在于，包括：(1)持续监控云环境中各主机端应用程序的API调用行为，若检测到主机中应用程序调用了网络发送相关的API，则将该主机作为源主机并转入步骤(2)；若检测到主机中应用程序调用了网络接收相关的API，则将该主机作为目的主机并转入步骤(4)；(2)在所述源主机端检测网络发送缓冲区中的待发送报文是否包含污点数据，若是，则转入步骤(3)；否则，直接发送所述待发送报文，转入步骤(1)；(3)根据所述待发送报文中数据的污染情况，生成一个或多个污点数据包，发送所生成的污点数据包以完成对所述待发送报文的发送，并转入步骤(1)；其中，所述污点数据包的长度不超过MTU值，所述污点数据包由污点头部和污点载荷组成，所述污点载荷为一个完整报文或报文的一个分片，根据同一报文生成的所有污点数据包的污点载荷可重组得到该报文；所述污点头部包括标识、分片标识、数据长度以及校验和；所述标识用于唯一标识报文并标明该报文中是否包含污点数据；所述分片标识用于记录污点载荷在报文中的偏移并标明该污点载荷是否为报文中的最后一个分片；所述数据长度用于记录污点载荷的长度；所述校验和用于验证报文是否被正确传输；(4)在所述目的主机端检测网络接收缓冲区中的待接收报文中是否包含污点数据，若是，则转入步骤(5)；否则，直接接收所述待接收报文，转入步骤(1)；(5)解析所述网络接收缓冲区中的污点数据包的污点头部，利用属于所述待接收报文的污点数据包重组所述待接收报文，并在所述目的主机中对所述待接收报文中数据的污点属性进行设置，从而完成对所述待接收报文的接收，转入步骤(1)。