本发明专利技术公开了一种适用于云环境的被泄漏隐私数据的追踪方法及系统,其通过在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序,该插桩程序用于追踪被泄露隐私数据;实时监控云环境的宿主机的API调用,当监控发生疑似恶意程序导致API调用时,获取API调用数据并判断对应的调用类型,依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪,从而通过自动化的方法实现系统中广泛存在且分布离散的用户隐私数据的精准定位。
【技术实现步骤摘要】
一种适用于云环境的被泄漏隐私数据的追踪方法及系统
本专利技术属于信息安全领域,更具体地,涉及一种适用于云环境的被泄漏隐私数据的追踪方法及系统。
技术介绍
用系统按照需求通过计算能力、虚拟机服务和存储能力等的一种大数据环境。这种平台的诞生,通常也往往伴随着各种安全挑战。恶意代码通过开后门、勾取主要函数等等各种恶意行为可以使得恶意用户通过非法的外联、提权等一系列操作实现对隐私数据的入侵,进而最终达到窃取用户隐私数据的目的,通常可以预见的恶意行为有,对宿主机文件进行加密,以此来勒索用户,或者获取击键记录,窃取用户的各种登录账号和密码等,这些都可能给用户带来巨大的损失。现有的隐私数据追踪分析技术,基本都是基于静态污点分析和动态污点分析技术而成的,如TaintCheck、DroidChecker、Dytan、Panda等分析工具,大多监控的信息有限,定位的隐私数据量庞大,准确度较低,粒度不高。
技术实现思路
针对现有技术的至少一个缺陷或改进需求,本专利技术提供了一种适用于云环境的被泄漏隐私数据的追踪方法及系统,其目的在于解决如何通过自动化的方法实现系统中广泛存在且分布离散的用户隐私数据的精准定位问题。为实现上述目的,按照本专利技术的一个方面,提供了一种适用于云环境的被泄漏隐私数据的追踪方法,其包括如下步骤:云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序,该插桩程序用于追踪被泄露隐私数据;实时监控云环境的宿主机的API调用,当监控发生疑似恶意程序导致API调用时,获取API调用数据并判断对应的调用类型,依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。作为本专利技术的进一步改进,获取API调用数据并判断对应的调用类型包括:判断执行调用的API是否为windows系统的API,其中,执行调用的API为windows系统的API时,进一步判断执行调用为外部输入操作还是内存泄漏操作;执行调用的API为非windows系统的API时,进一步判断执行调用的API是否为C语言编写的函数。作为本专利技术的进一步改进,执行调用的API为windows系统的API,且执行调用为文件调用的外部输入操作,执行如下插桩步骤:通过插桩函数判断文件被调用文件是否为敏感型文件,是则通过插桩函数信息中的文件缓冲区指针找到被泄漏隐私数据并进行标记。作为本专利技术的进一步改进,执行调用的API为windows系统的API,且执行调用为击键记录的外部输入操作,执行如下插桩步骤:通过获取插桩函数的调用日志,根据调用日志中的参数信息,通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定被泄露隐私数据并进行标记。作为本专利技术的进一步改进,执行调用的API为windows系统的API,且执行调用为剪贴板操作的外部输入操作,执行如下插桩步骤:通过插桩函数获取剪贴板缓冲区数据,将剪贴板缓冲区数据标记为被泄露隐私数据。作为本专利技术的进一步改进,执行调用的API为windows系统的API,且为执行除执行文件调用、击键记录和剪贴板操作以外的外部输入操作,执行如下插桩步骤:通过插桩函数获取指向待发送缓冲区的指针,待发送缓冲区中的数据不属于已标记的被泄露隐私数据时,则将拦截到的发送缓冲区中的数据标记为被泄漏隐私数据。作为本专利技术的进一步改进,执行调用的API为windows系统的API,且执行调用为内存泄漏操作,执行如下插桩步骤:提取数据库表的特征字符串并进行标记,匹配调用读取的数据与标记的特征字符串,记录下匹配成功的地址,此地址即为内存中数据库表的地址;按照数据表的结构,依次解析数据表的属性,基于表的地址、表的每个属性和数据所占字节数,确定数据在表中的偏移情况,最终解析得到的数据即为被泄露隐私数据。作为本专利技术的进一步改进,执行调用的API为非windows系统的API,且为C语言编写的函数,执行如下插桩步骤:通过进程加载的模块列表得到加载的模块的基址,解析加载的模块以得到对应的函数及函数偏移情况,找到所述对应的函数的入口地址进行插桩操作。作为本专利技术的进一步改进,执行调用的API为非windows系统的API,且为非C语言编写的函数,执行如下插桩步骤:提取执行调用的API函数的底层C语言实现函数以进行插桩操作。为实现上述目的,按照本专利技术的另一个方面,提供了一种适用于云环境的被泄漏隐私数据的追踪系统,该系统包括:插桩程序嵌入模块,用于在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序,该插桩程序用于追踪被泄露隐私数据;实时监控模块,用于实时监控云环境的宿主机的API调用,当监控发生疑似恶意程序导致API调用时,获取API调用数据并判断对应的调用类型;追踪模块,用于依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:本专利技术提供的一种适用于云环境的被泄漏隐私数据的追踪方法及系统,其通过动态污点追踪技术,在程序运行时截获被程序访问的数据(键盘输入、文件、剪切板等)或程序生成的数据(浏览器历史记录和cookie记录等)作为用户隐私数据,并标记为污染源,根据污点传播的规则以日志化的形式记录隐私数据在系统中的传播情况,对于外部输入的数据,持续监控VMI技术模拟出的主机恶意程序的API调用情况,通过插桩这些函数,确定了隐私数据和隐私数据被操纵的行为,对于内部生成的数据,通过在内存中定位到重要数据库的位置,对数据表的数据进行解析确定隐私数据,持续检测主机恶意程序的读内存行为,该窃取内存信息的行为将被记录,从而实现自动化定位用户的隐私数据作为污染源,采用了全系统的动态污点跟踪技术来对隐私泄露行为进行检测,并将实时监控的结果整理成日志以便进行关联分析。附图说明图1是本专利技术实施例提供的一种适用于云环境的被泄漏隐私数据的追踪方法的示意图;图2为本专利技术实施例的执行调用的API为非windows函数时插桩步骤的示意图;图3是本专利技术实施例提供的敏感内存类隐私泄露操作对应的插桩方法的示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。此外,下面所描述的本专利技术各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面结合实施例和附图对本专利技术提供的方法和工作原理进行详细说明。本专利技术所涉及的术语解释如下:API(ApplicationProgrammingInterface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。其用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。SOCKE本文档来自技高网...
【技术保护点】
1.一种适用于云环境的被泄漏隐私数据的追踪方法,其特征在于,其包括如下步骤:/n云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序,该插桩程序用于追踪被泄露隐私数据;/n实时监控云环境的宿主机的API调用,当监控发生疑似恶意程序导致API调用时,获取API调用数据并判断对应的调用类型,依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。/n
【技术特征摘要】
1.一种适用于云环境的被泄漏隐私数据的追踪方法,其特征在于,其包括如下步骤:
云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序,该插桩程序用于追踪被泄露隐私数据;
实时监控云环境的宿主机的API调用,当监控发生疑似恶意程序导致API调用时,获取API调用数据并判断对应的调用类型,依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。
2.如权利要求1所述的一种适用于云环境的被泄漏隐私数据的追踪方法,其特征在于,获取API调用数据并判断对应的调用类型包括:
判断执行调用的API是否为windows系统的API,其中,
执行调用的API为windows系统的API时,进一步判断执行调用为外部输入操作还是内存泄漏操作;
执行调用的API为非windows系统的API时,进一步判断执行调用的API是否为C语言编写的函数。
3.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法,其中,执行调用的API为windows系统的API,且执行调用为文件调用的外部输入操作,执行如下插桩步骤:
通过插桩函数判断文件被调用文件是否为敏感型文件,是则通过插桩函数信息中的文件缓冲区指针找到被泄漏隐私数据并进行标记。
4.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法,其中,执行调用的API为windows系统的API,且执行调用为击键记录的外部输入操作,执行如下插桩步骤:
通过获取插桩函数的调用日志,根据调用日志中的参数信息,通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定被泄露隐私数据并进行标记。
5.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法,其中,执行调用的API为windows系统的API,且执行调用为剪贴板操作的外部输入操作,执行如下插桩步骤:
通过插桩函数获取剪贴板缓冲区数据,将剪贴板缓冲区数据标记为被泄露隐私数据。
6.如权利要求1或2所述的一种适用于云环境的...
【专利技术属性】
技术研发人员:叶宇,李伟明,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。