【技术实现步骤摘要】
一种支持数据间关联分析的污点分析框架及方法
本专利技术属于网络和信息安全
,具体涉及一种支持数据间关联分析的污点分析框架及方法。
技术介绍
污点分析是一种常用的软件分析技术,在信息安全领域已有较多的研究和应用,典型的应用包括恶意代码分析、软件脆弱性分析、网络攻击行为检测等。污点分析是在程序分析过程中将“感兴趣”的数据标记为污点数据,通过设置污点源(Source点),跟踪数据在程序执行过程中的传播路径,检测污点数据最终能否到达汇聚点(Sink点)。污点分析包括三个重要内容:污点源,引入污点数据的位置,污点源是污点分析的起点,在此处通过标记污点数据,将“感兴趣”的数据指定为污点数据,作为后续跟踪分析的对象;汇聚点,即污点检测点,判断是否有受污染数据到达了汇聚点,汇聚点是污点分析的终点;污点传播,通过污点传播规则跟踪污点数据在程序执行过程中的传播过程。污点分析技术包括静态污点分析技术、动态污点分析技术。静态污点分析技术一般是指在被分析程序不运行的情况下,分析程序源码中的程序变量、数据等传播过程。动态污点分析是指在程序...
【技术保护点】
1.一种支持数据域间关联分析的污点分析框架,其特征在于:包括程序执行轨迹记录模块、数据流还原模块、通用污点分析模块和数据域关联分析模块;所述程序执行记录模块用于记录程序运行过程中的轨迹信息;所述数据流还原模块用于使用记录的程序运行轨迹信息还原程序完整的数据流传播过程;所述通用污点分析接口模块提供通用的污点分析接口;所述数据域关联分析模块用于对多个数据域进行污点关联分析。/n
【技术特征摘要】
1.一种支持数据域间关联分析的污点分析框架,其特征在于:包括程序执行轨迹记录模块、数据流还原模块、通用污点分析模块和数据域关联分析模块;所述程序执行记录模块用于记录程序运行过程中的轨迹信息;所述数据流还原模块用于使用记录的程序运行轨迹信息还原程序完整的数据流传播过程;所述通用污点分析接口模块提供通用的污点分析接口;所述数据域关联分析模块用于对多个数据域进行污点关联分析。
2.一种支持数据域间关联分析的污点分析方法,其特征在于:包括以下步骤:
(1)记录程序执行轨迹:使用动态二进制插桩技术分别在被分析程序各模块加载后、新线程被创建时、基本块被分析时、基本块被执行时以及API调用前后进行插桩,记录程序各个模块加载后的镜像、线程初始上下文环境、基本块指令内容、基本块执行顺序以及API调用信息;
(2)使用记录的程序运行信息还原完整数据流传播过程:使用记录的程序各个模块镜像,根据记录的线程初始上下文环境初始化模拟执行的上下文环境,根据记录的基本块执行序列依次模拟执行每一个基本块,每个基本块首次出现时,首先反编译基本块内所有指令,然后根据指令的数据流关系生成数据流模板,使用内存hook在产生内存访问时填充数据流模板;在每个基本块模拟执行结束后,将数据流写入日志文件;
(3)根据记录的程序完整数据流,结合程序执行轨迹,使用通用的污点分析接口在记录的程序完整数据流基础上设置污点数据、污点源和汇聚点进行污点分析;
(4)通过数据域间污点关联的传递性,根据数据域在程序执行过程中出现的时机,以倒序的方式使用数据域间污点关联分析算法对数据域逐个进行分析。
3.根据权利要求2所述的支持数据间关联分析的污点分析方法,其特征在于:所述API调用信息包括参数内容和返回值内容。
4.根据权利要求2所述的支持数据间关联分析的污点分析方法,其特征在于:根据基本块指令的内容,按照指令执行顺序,分析每一条指令的数据流传播类型、源数据、目的数据,将每条指令的数据流传播类型、源数据、目的数据构造数据流传播模板;将能够确定的寄存器、立即数直接写入模板,将不能确定的具体内存地址暂时处于空缺状态,当基本块被执行时首先复制一个基本块模板,然后设置内存访问hook,在发生内存读写时将具体内存地址填入模板的空缺位置。
5.根据权利要求2所述的支持数据域间关联分析的污点分析方法,其...
【专利技术属性】
技术研发人员:舒辉,康绯,杨盼,熊小兵,赵耘田,杨巨,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。