基于动态信息流追踪技术的运行时安全隐患监测模块设计.pdfVIP

第２９卷第５期　　　 计算机应用与软件 Ｖｏｌ２９Ｎｏ．５ ２ ２０１２年５月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｍａｙ２０１ 基于动态信息流追踪技术的运行时安全隐患监测模块设计 范　振　姚向华　戴月华　张新曼 （西安交通大学电子与信息工程学院　陕西西安７１００４９） 摘　要　　威胁计算机安全的主要途径是通过操作系统或者应用程序的漏洞来获取对系统的非授权访问，进而达到恶意攻击的目 的。针对这一问题，实现一种运行时安全隐患监测模块，该模块在动态信息流追踪技术的基础上，通过分析程序运行时内存和寄存 器中的内容，动态地检测和记录程序的信息流，从而实现对恶意攻击的定位和预防。 关键词　　计算机安全　动态信息流追踪　运行时　恶意攻击 中图分类号　ＴＰ３１１　　　　文献标识码　Ａ ＤＥＳＩＧＮＯＦＳＥＣＵＲＩＴＹＭＯＮＩＴＯＲＭＯＤＵＬＥＡＴＲＵＮＴＩＭＥＢＡＳＥＤＯＮＤＹＮＡＭＩＣ ＩＮＦＯＲＭＡＴＩＯＮＦＬＯＷＴＲＡＣＫＩＮＧ ＦａｎＺｈｅｎ　ＹａｏＸｉａｎｇｈｕａ　ＤａｉＹｕｅｈｕａ　ＺｈａｎｇＸｉｎｍａｎ （ＳｃｈｏｏｌｏｆＥｌｅｃｔｒｏｎｉｃａｎｄＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇ，Ｘｉ’ａｎＪｉａｏｔｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｘｉ’ａｎ７１００４９，Ｓｈａａｎｘｉ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　Ｔｈｅｍａｉｎｗａｙｔｏｃｏｍｐｒｏｍｉｓｅｔｈｅｓｅｃｕｒｉｔｙｏｆｃｏｍｐｕｔｅｒｉｓｔｏｏｂｔａｉｎｔｈｅｕｎａｕｔｈｏｒｉｓｅｄａｃｃｅｓｓｏｆｔｈｅｓｙｓｔｅｍｔｈｒｏｕｇｈｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ ｏｆｔｈｅｏｐｅｒａｔｉｎｇｓｙｓｔｅｍｓｏｒａｐｐｌｉｃａｔｉｏｎｓｆｏｒａｃｈｉｅｖｉｎｇｔｈｅｐｕｒｐｏｓｅｏｆｍａｌｉｃｉｏｕｓａｔｔａｃｋｓ．Ｉｎｖｉｅｗｏｆｔｈｉｓ，ｉｎｔｈｉｓｐａｐｅｒｗｅｉｍｐｌｅｍｅｎｔａｓｅｃｕｒｉｔｙ ｍｏｎｉｔｏｒｍｏｄｕｌｅａｔｒｕｎｔｉｍｅ．Ｂａｓｅｄｏｎｄｙｎａｍｉｃｉｎｆｏｒｍａｔｉｏｎｆｌｏｗｔｒａｃｋｉｎｇｔｅｃｈｎｏｌｏｇｙ，ｔｈｉｓｍｏｄｕｌｅｄｙｎａｍｉｃａｌｌｙｄｅｔｅｃｔｓａｎｄｒｅｃｏｒｄｓｔｈｅ ｉｎｆｏｒｍａｔｉｏｎｆｌｏｗｏｆｔｈｅｐｒｏｇｒａｍｂｙａｎａｌｙｓｉｎｇｔｈｅｃｏｎｔｅｎｔｓｉｎｔｈｅｍｅｍｏｒｉｅｓａｎｄｒｅｇｉｓｔｅｒｓｗｈｅｎｔｈｅｐｒｏｇｒａｍｉｓｒｕｎｎｉｎｇ，ｓｏａｓｔｏｒｅａｌｉｓｅｔｈｅ ｐｏｓｉｔｉｏｎｉｎｇａｎｄｐｒｅｖｅｎｔｉｏｎｏｆｔｈｅｍａｌｉｃｉｏｕｓａｔｔａｃｋｓ． Ｋｅｙｗｏｒｄｓ　　Ｃｏｍｐｕｔｅｒｓｅｃｕｒｉｔｙ　Ｄｙｎａｍｉｃｉｎｆｏｒｍａｔｉｏｎｆｌｏｗｔｒａｃｋｉｎｇ　Ｒｕｎｔｉｍｅ　Ｍａｌｉｃｉｏｕｓａｔｔａｃｋｓ 用于遗留的大部分以 ｔｙｐｅｕｎｓａｆｅ语言编写的代码。更重要的 ０　引　言 是，由于缺乏精确的运行时信息，大部分这类工具都被设计成检 测敏感信息的缺失而非安全信息的缺失。 恶意攻击经常利用程序的漏洞来获取对系统的非授权访 ２）通过插桩源码［１１］或者二进制代码［１２－１５］的运行时追踪 问，当一个特权程序被劫持时，对整个系统来说都是危险的。基 　基于源码的插桩实现较之基于二进制码的插桩有更低的开 于内存漏洞的攻击是恶意攻击中最经常发生的一种，因为不完 销，但是它不能追踪第三方库代码［１６］。相对于此，对二进制码 善的程序本身也对内存进行写操作，所以很难鉴别那些写操作 的插桩可以精细地追踪任何的库函数，但是缺点