本發明公開了一種適用于云環境的跨主機動態污點追蹤方法及系統，屬于隱私數據訪問監控領域，包括：持續監控云環境中各主機端應用程序的API調用行為；若檢測到網絡發送相關的API被調用，則在源主機端網絡緩沖區中的待發送報文包含污點數據時，生成一個或多個污點數據包，發送所生成的污點數據包；污點數據包大小不超過MTU值；若檢測到網絡接收相關的API被調用，則在目的主機端網絡緩沖區中的待接收報文中包含污點數據時，解析網絡接收緩沖區中的污點數據包的污點頭部，利用屬于待接收報文的污點數據包重組待接收報文，并在目的主機中對待接收報文中數據的污點屬性進行設置。本發明能夠提高跨主機動態污點追蹤的準確度，為云環境中的應用提供可靠支持。

技術領域

本發明屬于隱私數據訪問監控領域，更具體地，涉及以一種適用于云環境的跨主機動態污點追蹤方法及系統。

背景技術

動態污點追蹤是一種基于數據流的動態二進制分析方法，基本思想是在程序執行過程中，追蹤需要分析的數據在系統中的傳播過程，如用戶輸入、網絡報文等，以掌握被追蹤的目標程序對這些數據的詳細處理流程，從而為進一步的分析提供依據。通常，被追蹤的數據是外來的或是不可信的數據(用戶輸入、輸入文件等)，也稱為污點數據，引入污點數據的數據對象被稱為污點源。

動態污點追蹤主要涉及兩部分內容，首先是污點數據的標記，其次是污點數據的追蹤。污點數據的標記是指在目標程序執行過程中，截獲被目標程序訪問的外來的或不可信的數據，將這些數據視為被污染的數據并將其標記為污點數據；在程序執行過程中，污點數據可能作為源操作數參與運算，運算結果(目的操作數)的污點屬性往往依賴于源操作數的污點屬性，因此，需要根據污點傳播規則對目的操作數的污點屬性進行相應的設置；污點數據的追蹤，是指在目標程序執行過程中通過分析指令的語義，并根據污點傳播規則實現相應的污點屬性的拷貝、覆蓋、清除和合并操作，動態標記并追蹤污點數據的傳播流向。

污點數據的追蹤主要包括主機內動態污點追蹤和跨主機動態污點追蹤；在主機內動態污點追蹤過程中，被跟蹤的目標程序的整個數據流都在跟蹤工具的監控之下，因此可以準確判斷目標程序是否存在惡意行為或者是否將敏感數據泄漏到外部網絡，也可以記錄污點數據在主機內的傳播過程作為離線分析的依據；但是，這種方法只能在一臺主機內進行污點追蹤，因此存在很大局限性。跨主機動態污點追蹤，能夠在污點數據發生跨主機傳播時，通過在源主機端給包含污點數據的報文加上污點頭部后，再傳輸到目的主機，使得目的主機能夠根據污點頭部識別出該報文包含污點數據。但是，現有的跨主機動態污點追蹤方法，只是簡單的通過污點頭部標示報文包含污點數據，實際在跨主機動態污點追蹤的過程中，存在大量誤報、漏報的情況，整體的追蹤準確度較低，并不能為云環境中的應用提供可靠支持。

發明內容

針對現有技術的缺陷和改進需求，本發明提供了一種適用于云環境的跨主機動態污點追蹤方法及系統，其目的在于，提高跨主機動態污點追蹤的準確度，為云環境中的應用提供可靠支持。

為實現上述目的，按照本發明的一個方面，提供了一種適用于云環境的跨主機動態污點追蹤方法，包括：

(1)持續監控云環境中各主機端應用程序的API(Application ProgrammingInterface,應用程序編程接口)調用行為，若檢測到主機中應用程序調用了網絡發送相關的API，則將該主機作為源主機并轉入步驟(2)；若檢測到主機中應用程序調用了網絡接收相關的API，則將該主機作為目的主機并轉入步驟(4)；

(2)在源主機端檢測網絡發送緩沖區中的待發送報文是否包含污點數據，若是，則轉入步驟(3)；否則，直接發送待發送報文，轉入步驟(1)；

(3)根據待發送報文中數據的污染情況，生成一個或多個污點數據包，發送所生成的污點數據包以完成對待發送報文的發送，并轉入步驟(1)；