【技术实现步骤摘要】
基于透明度的取证效果评估方法、取证分析装置及方法
本专利技术涉及信息安全
,尤其涉及一种基于透明度的取证效果评估方法、取证分析装置及方法。
技术介绍
Android设计了多种安全机制来保护系统的安全,其中权限机制就是其中一类,权限限制了应用所能访问的资源和操作,而root是Android系统中的最高操作权限,即超级管理员权限,因此,获取Android系统中的root权限是突破Android安全堡垒的关键点。出于安全考虑,Android手机厂商在手机出厂时都会禁止root权限使用,这也就意味着即便是手机的所有者也不具有root权限,为获取root权限出现了多种root方法。常用的root方法有两种:一种是用户自愿使用root工具获得root权限;另外一种就是遭受攻击被迫提升root权限,这两种获取root权限的方法,都与漏洞有着密切关系。用户自愿使用的厂商开发的root工具获得root权限,如OneClickroot、360一键root,他们的这些行为是合法的,虽然用户自愿选择的这些root工具可以帮助用户获得root权...
【技术保护点】
1.基于透明度的取证效果评估方法,其特征在于,所述透明度是指对取证分析环境与原生系统环境在系统属性方面存在的差异性度量,所述方法包括:/n步骤1:设定属性重要性阈值w0和差异显著性水平α;/n步骤2:将属性权重值大于所述属性重要性阈值的系统属性记为重要属性A
【技术特征摘要】
1.基于透明度的取证效果评估方法,其特征在于,所述透明度是指对取证分析环境与原生系统环境在系统属性方面存在的差异性度量,所述方法包括:
步骤1:设定属性重要性阈值w0和差异显著性水平α;
步骤2:将属性权重值大于所述属性重要性阈值的系统属性记为重要属性Ai,并构建重要属性集M,将属性权重值不大于所述属性重要性阈值的系统属性记为次要属性Bj,并构建次要属性集N,i=1,2,…,m,j=1,2,…,n;
步骤3:获取对被评估取证分析环境公开的指纹特征Q={x1,x2,…,xi,…,xm+n},xi∈M∪N以及各指纹特征的属性权重值;
步骤4:根据各指纹特征的属性权重值,利用设定的透明度函数和检测函数得到被评估取证分析环境的透明度评估结果,所述透明度函数用于计算各指纹特征的透明度,所述检测函数用于计算针对被取证分析的程序P,判定发现被取证分析环境的概率。
2.根据权利要求1所述的方法,其特征在于,所述透明度函数为:
其中,U(Q)∈[0,1],w(xi)表示指纹特征xi的属性权重值,I(*)为符号函数,P(*)表示状态分布中Z(*)所对应的概率,表示原生系统环境S中X取值的中位数或给定的标准值,SE(X)表示原生系统环境S中X取值的标准差。
3.根据权利要求2所述的方法,其特征在于,所述检测函数为:
4.一种动态root攻击取证分析装置,其特征在于,所述装置以权利要求1至3任一项所述的方法作为建立透明取证分析装置的依据,所述动态root攻击取证分析装置包括:基于裸机的运行环境、近透明取证系统和取证分析系统;
所述基于裸机的运行环境,构建于真实的裸机平台上,不开启新的硬件接口,并构建有真实硬件设备的运行记录;
所述近透明取证系统设置在内核中,包括Snipschedule快照调度器,所述Snipschedule快照调度器采用被动唤醒策略,所述被动唤醒策略指当攻击触发时,唤醒Snipschedule快照调度器对内存页当前状态进行快照留存,并将快照传送至取证分析系统;
所述取证分析系统,用于根据接收的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。
5.一种动态root攻击取证分析方法,其特征在于,所述方法采用权利要求4所述的动态root攻击取证分析装置进行取证分析,所述方法包括:
步骤1:检测task_struct中各进程的state变量,一旦进程切换为运行态,则唤醒近透明取证系统,对当前进程进行快照取证;
步骤2:取证分析系统根据取证到的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。
6.根据权利要求5所述的方法,其特征在于,所述对当前进程进行快照取证的过程为:
步骤1.1:关闭内核抢占,记录当前进程为prev,获...
【专利技术属性】
技术研发人员:胡雪丽,连惠杰,奚琪,朱玛,丁文博,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。