本发明专利技术实施例公开了一种信息泄露检测方法、装置和存储介质。本发明专利技术实施例可以在被检测进程运行的过程中,获取第一拦截函数截获的数据流,第一拦截函数配置在被检测进程的进程间通信框架中;若数据流中包含与预设数据内容和/或格式相同的数据,则确定被检测进程存在信息泄露。该方案实现了应用程序进程的信息泄露检测,检测方法高效、通用和简便,可以协助技术人员修复信息泄露漏洞、提升应用程序的安全性,利于维护应用程序的信息安全。
An Information Leak Detection Method, Device and Storage Media
【技术实现步骤摘要】
一种信息泄露检测方法、装置和存储介质
本专利技术涉及通信
,具体涉及一种信息泄露检测方法、装置和存储介质。
技术介绍
随着网络技术的发展,应用程序的安全越来越受到重视,技术人员可以通过漏洞挖掘来找出漏洞,进而采取相应的安全措施来保障应用程序的安全。目前,主流的漏洞挖掘技术和工具都致力于挖掘内存破坏型漏洞,如溢出、越界和Use-After-Free(释放后再使用)等类型的漏洞。在对现有技术的研究和实践过程中,本专利技术的专利技术人发现,应用程序还可能存在信息泄露漏洞,应用程序在运行时可能被执行的进程泄露敏感信息,信息泄露漏洞可以用于提权、逃逸沙箱、甚至直接泄露内存中的敏感信息,导致隐私信息暴露,给用户造成巨大危害。可见,信息泄露给应用程序带来了巨大的安全隐患,而目前几乎没有检测应用程序进程是否存在信息泄露的方法。
技术实现思路
本专利技术实施例提供一种信息泄露检测方法、装置和存储介质,旨在检测应用程序进程是否存在信息泄露。本专利技术实施例提供一种信息泄露检测方法,包括:在被检测进程运行的过程中,获取第一拦截函数截获的数据流,所述第一拦截函数配置在所述被检测进程的进程间通信框架中;若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露。可选地,所述第一拦截函数配置在所述被检测进程的进程间通信框架中,包括:确定被检测进程的进程间通信框架,获取所述进程间通信框架中的数据收发节点;在所述数据收发节点上配置第一拦截函数。可选地,所述获取所述进程间通信框架中的数据收发节点,包括:将进程间通信框架驱动确定为所述进程间通信框架中的数据收发节点,以在所述被检测进程切换为内核态时,拦截所述进程间通信框架驱动发出的数据流。可选地,所述获取第一拦截函数截获的数据流,之前还包括:在内存管理函数上配置第二拦截函数,其中,所述内存管理函数位于运行被检测进程的系统标准函数库中;在所述第二拦截函数拦截到所述内存管理函数分配的内存和/或指针时,根据所述内存和/或指针配置预设数据。可选地,所述内存为未初始化的内存,所述根据所述内存配置预设数据,包括:使用预设的染色数据,对所述内存进行染色,将所述染色数据配置到预设数据中。可选地,所述若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露,包括:若所述数据流中包含与所述内存和/或指针内容相同的数据,则确定所述被检测进程存在信息泄露。可选地,所述获取第一拦截函数截获的数据流,之后还包括:检测所述数据流中是否包含与预设数据内容和/或格式相同的数据。可选地,所述检测所述数据流中是否包含与预设数据内容和/或格式相同的数据,包括:获取所述数据流中的数据包,调用所述进程间通信框架中的打包函数解析所述数据包,得到待匹配数据;在所述待匹配数据中,查找与预设数据内容和/或格式相同的数据;若在所述待匹配数据中成功找到与预设数据内容和/或格式相同的数据,则确定所述数据流中包含与预设数据内容和/或格式相同的数据。可选地,所述确定所述被检测进程存在数据泄露,之后还包括:获取所述数据流的状态信息,解析所述状态信息得到所述数据流对应的服务信息;根据所述服务信息,确定所述被检测进程的信息泄露源位置。可选地,所述确定所述被检测进程存在数据泄露,之后还包括:获取所述数据流的状态信息,解析所述状态信息得到接收所述数据流的目标进程。本专利技术实施例还提供一种信息泄露检测装置,包括:获取单元,用于在被检测进程运行的过程中,获取第一拦截函数截获的数据流,所述第一拦截函数配置在所述被检测进程的进程间通信框架中;泄露单元,用于若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露。可选地,所述装置还包括:第一配置单元,用于确定被检测进程的进程间通信框架,获取所述进程间通信框架中的数据收发节点;在所述数据收发节点上配置第一拦截函数。可选地,所述第一配置单元具体用于:将进程间通信框架驱动确定为所述进程间通信框架中的数据收发节点,以在所述被检测进程切换为内核态时,拦截所述进程间通信框架驱动发出的数据流。可选地,所述装置还包括:第二配置单元,用于在内存管理函数上配置第二拦截函数,其中,所述内存管理函数位于运行被检测进程的系统标准函数库中;第三配置单元,用于在所述第二拦截函数拦截到所述内存管理函数分配的内存和/或指针时,根据所述内存和/或指针配置预设数据。可选地,所述内存为未初始化的内存,所述第三配置单元具体用于:使用预设的染色数据,对所述内存进行染色,将所述染色数据配置到预设数据中。可选地,所述泄露单元具体用于:若所述数据流中包含与所述内存和/或指针内容相同的数据,则确定所述被检测进程存在信息泄露。可选地,所述泄露单元还用于:检测所述数据流中是否包含与预设数据内容和/或格式相同的数据。可选地,所述泄露单元具体用于:获取所述数据流中的数据包,调用所述进程间通信框架中的打包函数解析所述数据包,得到待匹配数据;在所述待匹配数据中,查找与预设数据内容和/或格式相同的数据;若在所述待匹配数据中成功找到与预设数据内容和/或格式相同的数据,则确定所述数据流中包含与预设数据内容和/或格式相同的数据。可选地,所述装置还包括:服务单元,用于获取所述数据流的状态信息,解析所述状态信息得到所述数据流对应的服务信息;根据所述服务信息,确定所述被检测进程的信息泄露源位置。可选地,所述装置还包括:进程单元,用于获取所述数据流的状态信息,解析所述状态信息得到接收所述数据流的目标进程。本专利技术实施例还提供一种存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本专利技术实施例所提供的任一信息泄露检测方法中的步骤。本专利技术实施例通过在被检测进程运行的过程中,获取第一拦截函数截获的数据流,第一拦截函数配置在被检测进程的进程间通信框架中,以拦截被检测进程通过进程间通信框架发送给其他进程的信息;若数据流中包含与预设数据内容和/或格式相同的数据,则可以判定数据流中包含了敏感信息,确定被检测进程存在信息泄露。该方案通过在进程间通信框架里中配置拦截函数,能够拦截到被检测进程通过进程间通信框架向其他进程发送的全部数据流,避免被检测进程外发的数据流被遗漏,保障了信息泄露检测的效率。并且,通过数据内容和/或格式匹配来检测数据流中是否包含敏感信息,能够根据实际需求来检测数据流中是否包含了指定模式的敏感数据,提高了信息泄露检测的灵活性、灵敏性和准确性。由此,该方案采用在进程间通信框架中配置的拦截函数来进行数据拦截,保障被检测进程向其他进程发送的每一条消息都能够进行信息泄露检测,实现了应用程序进程的信息泄露检测。并且,由于进程间的通信几乎都是通过进程间通信框架进行的,因此,该方案技术通用性较好,不需要为不同的被检测应用程序进程定制不同的实现方案,降低了信息泄露检测的技术难度和操作难度。该方案实现了检测方法的高效、通用和简便,可以协助技术人员修复信息泄露漏洞、提升应用程序的安全性,利于维护应用程序的信息安全。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域技术人员来讲,在不付出创造性劳本文档来自技高网...
【技术保护点】
1.一种信息泄露检测方法,其特征在于,包括:在被检测进程运行的过程中,获取第一拦截函数截获的数据流,所述第一拦截函数配置在所述被检测进程的进程间通信框架中;若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露。
【技术特征摘要】
1.一种信息泄露检测方法,其特征在于,包括:在被检测进程运行的过程中,获取第一拦截函数截获的数据流,所述第一拦截函数配置在所述被检测进程的进程间通信框架中;若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露。2.如权利要求1所述的方法,其特征在于,所述第一拦截函数配置在所述被检测进程的进程间通信框架中,包括:确定被检测进程的进程间通信框架,获取所述进程间通信框架中的数据收发节点;在所述数据收发节点上配置第一拦截函数。3.如权利要求2所述的方法,其特征在于,所述获取所述进程间通信框架中的数据收发节点,包括:将进程间通信框架驱动确定为所述进程间通信框架中的数据收发节点,以在所述被检测进程切换为内核态时,拦截所述进程间通信框架驱动发出的数据流。4.如权利要求1所述的方法,其特征在于,所述获取第一拦截函数截获的数据流,之前还包括:在内存管理函数上配置第二拦截函数,其中,所述内存管理函数位于运行被检测进程的系统标准函数库中;在所述第二拦截函数拦截到所述内存管理函数分配的内存和/或指针时,根据所述内存和/或指针配置预设数据。5.如权利要求4述的方法,其特征在于,所述内存为未初始化的内存,所述根据所述内存配置预设数据,包括:使用预设的染色数据,对所述内存进行染色,将所述染色数据配置到预设数据中。6.如权利要求4所述的方法,其特征在于,所述若所述数据流中包含与预设数据内容和/或格式相同的数据,则确定所述被检测进程存在信息泄露,包括:若所述数据流中包含与所述内存和/或指针内容相同的数据,则确定所述被检测进程存在信息泄露。7.如权利要求1-6任一项所...
【专利技术属性】
技术研发人员:皮罡,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。