本發(fā)明公開了一種信息安全漏洞的挖掘分析方法，所述方法步驟包括，為目標(biāo)程序建立配置文件，配置文件中描述了一系列污點(diǎn)分析策略；通過動(dòng)態(tài)二進(jìn)制插樁框架Pin啟動(dòng)目標(biāo)程序，并初始化動(dòng)態(tài)插樁分析工具PinTool；通過PinTool分析目標(biāo)程序的條件轉(zhuǎn)移指令，為目標(biāo)程序生成控制流圖與控制依賴信息數(shù)據(jù)；插樁后的目標(biāo)程序訪問PinTool與用戶自定義庫文件，完成污點(diǎn)信息流的標(biāo)記、傳播和漏洞攻擊檢測(cè)，本發(fā)明從數(shù)據(jù)流和控制流兩方面實(shí)現(xiàn)污點(diǎn)標(biāo)記的傳播，能檢測(cè)并阻止外部不可信數(shù)據(jù)用于非安全數(shù)據(jù)操作，不需要對(duì)目標(biāo)程序的源代碼進(jìn)行分析，運(yùn)算量低，適用于不開源的商業(yè)軟件，能通過提取特征碼的方式防御基于相同漏洞的二次攻擊，漏報(bào)和誤報(bào)率相對(duì)于現(xiàn)有漏洞檢測(cè)技術(shù)更低。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，尤其涉及一種信息安全漏洞的挖掘分析方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，軟件系統(tǒng)的規(guī)模和復(fù)雜度也在不斷的提升，但與此同時(shí)也不可避免地導(dǎo)致了越來越多安全漏洞的出現(xiàn)，其中較具有代表性的有緩沖區(qū)溢出漏洞、格式化字符串漏洞、SQL注入漏洞以及跨站腳本漏洞等，攻擊者可以利用這些漏洞改變程序原先的執(zhí)行流程，執(zhí)行攻擊者自己的惡意代碼，破壞用戶程序或偷取用戶敏感信息。雖然國內(nèi)外在漏洞攻擊檢測(cè)方面已經(jīng)進(jìn)行較為深入的研究，然而這些技術(shù)目前仍存在諸多不足之處，例如基于程序編譯時(shí)期動(dòng)態(tài)跟蹤污點(diǎn)信息的檢測(cè)技術(shù)，無法檢測(cè)針對(duì)用非類型安全語言編寫的應(yīng)用程序；基于源代碼分析的檢測(cè)技術(shù)，不能檢測(cè)針對(duì)第三方庫的漏洞攻擊，且缺少運(yùn)行時(shí)信息的支持，誤報(bào)漏報(bào)率較高。

發(fā)明內(nèi)容

鑒以此，本發(fā)明的目的在于提供一種信息安全漏洞的挖掘分析方法，以至少解決以上問題。

一種信息安全漏洞的挖掘分析方法，包括以下步驟：

S1、為目標(biāo)程序建立一個(gè)配置文件，配置文件中描述了一系列污點(diǎn)分析策略；

S2、通過動(dòng)態(tài)二進(jìn)制插樁框架Pin啟動(dòng)目標(biāo)程序，并初始化動(dòng)態(tài)插樁分析工具PinTool；

S3、通過PinTool分析目標(biāo)程序的條件轉(zhuǎn)移指令，為目標(biāo)程序生成控制流圖以及控制依賴信息數(shù)據(jù)；

S4、插樁后的目標(biāo)程序訪問PinTool與用戶自定義庫文件，完成污點(diǎn)信息流的標(biāo)記、傳播和漏洞攻擊檢測(cè)。

進(jìn)一步的，S1中，配置文件為XML格式，配置文件所描述的污點(diǎn)分析策略包括污點(diǎn)標(biāo)記策略、污點(diǎn)傳播策略以及污點(diǎn)檢測(cè)策略。

進(jìn)一步的，S4中，對(duì)污點(diǎn)信息流的標(biāo)記具體為，根據(jù)配置文件的污點(diǎn)標(biāo)記策略，建立外部不可信數(shù)據(jù)與污點(diǎn)標(biāo)記的一一對(duì)應(yīng)的映射關(guān)系，以用于污點(diǎn)標(biāo)記的傳播。

進(jìn)一步的，S4中，污點(diǎn)標(biāo)記的傳播采用數(shù)據(jù)流分析與控制流分析兩種方式。

進(jìn)一步的，所述數(shù)據(jù)流分析具體為，根據(jù)匯編指令語義對(duì)條件轉(zhuǎn)移指令進(jìn)行建模，以進(jìn)行指令級(jí)的細(xì)粒度污點(diǎn)數(shù)據(jù)跟蹤以及污點(diǎn)標(biāo)記傳播。

進(jìn)一步的，所述控制流分析具體為，生成目標(biāo)程序的控制流圖，根據(jù)控制流圖構(gòu)建控制依賴信息樹，并通過控制流分析算法實(shí)現(xiàn)污點(diǎn)數(shù)據(jù)跟蹤和污點(diǎn)標(biāo)記傳播。

進(jìn)一步的，所述漏洞攻擊檢測(cè)具體為，根據(jù)事先設(shè)定的污點(diǎn)檢測(cè)策略，對(duì)目標(biāo)程序的關(guān)鍵指令、數(shù)據(jù)以及函數(shù)調(diào)用進(jìn)行安全檢查，對(duì)違反安全策略的行為發(fā)出警報(bào)。

進(jìn)一步的，所述關(guān)鍵指令、數(shù)據(jù)以及函數(shù)調(diào)用包括指令返回地址、函數(shù)指針、函數(shù)參數(shù)、返回值、格式化字符串、函數(shù)局部變量、函數(shù)參數(shù)、類靜態(tài)字段、類實(shí)例字段和數(shù)組。

進(jìn)一步的，在檢測(cè)到漏洞攻擊后，通過提取特征碼的方式對(duì)基于相同漏洞進(jìn)行攻擊的入侵行為進(jìn)行防御，具體包括以下步驟：

S1、將當(dāng)前系統(tǒng)環(huán)境保存為快照，所述快照包括當(dāng)前各寄存器的值、當(dāng)前進(jìn)程信息、相關(guān)內(nèi)存的鏡像以及近一段時(shí)間的網(wǎng)絡(luò)數(shù)據(jù)流；