本申請(qǐng)實(shí)施例提供了一種基于下推自動(dòng)機(jī)的信息流路徑跟蹤方法、裝置及系統(tǒng)，該方法應(yīng)用于一種基于下推自動(dòng)機(jī)的信息流路徑跟蹤系統(tǒng)中的服務(wù)器，該方法包括：接收客戶端發(fā)送的第一安卓應(yīng)用程序安裝包APK和自定義信息流策略；根據(jù)自定義信息流策略，利用靜態(tài)污點(diǎn)分析算法STA從第一APK中搜索出信息流路徑集合；根據(jù)自定義信息流策略，從信息流路徑集合中獲取敏感信息流路徑；利用靜態(tài)插樁算法將預(yù)設(shè)的監(jiān)控代碼插入到第一APK中的敏感信息流路徑，以得到第二APK，并將第二APK發(fā)送至客戶端；通過監(jiān)控代碼監(jiān)控敏感信息流路徑的狀態(tài)，能夠?qū)崿F(xiàn)輕量級(jí)、低損耗、細(xì)粒度的信息流路徑跟蹤，從而解決動(dòng)態(tài)污點(diǎn)分析算法性能開銷過大的問題。

技術(shù)領(lǐng)域

本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于下推自動(dòng)機(jī)的信息流路徑跟蹤方法、裝置及系統(tǒng)。

背景技術(shù)

隨著終端設(shè)備的逐漸普及，依賴于終端設(shè)備運(yùn)行的各類應(yīng)用程序?qū)映霾桓F。由于商業(yè)利益或不受信任的第三方組件，一些熱門的應(yīng)用程序，如即時(shí)通訊、照相機(jī)和導(dǎo)航軟件等，不僅使用敏感信息來完成正常功能，而且在不通知用戶的情況下傳播敏感信息。當(dāng)敏感信息被傳播時(shí)，將存在很大的安全隱患。

目前，采用動(dòng)態(tài)污點(diǎn)分析算法(dynamic taint analysis，DTA)對(duì)動(dòng)態(tài)上下文信息進(jìn)行控制，以便發(fā)現(xiàn)釋放點(diǎn)泄漏了哪些敏感信息。盡管DTA已在各種安全應(yīng)用中被證明是有效的，但當(dāng)前DTA系統(tǒng)性能開銷過大，效率較低，嚴(yán)重影響了DTA在生產(chǎn)系統(tǒng)中的應(yīng)用，尤其是在計(jì)算和存儲(chǔ)資源均有限的Android系統(tǒng)上更難以實(shí)現(xiàn)。同時(shí)，DTA的低代碼覆蓋率將會(huì)導(dǎo)致較高的誤陰率。因此，需要解決DTA性能開銷過大的問題。

發(fā)明內(nèi)容

有鑒于此，本申請(qǐng)的目的在于提供了一種基于下推自動(dòng)機(jī)的信息流路徑跟蹤方法、裝置及系統(tǒng)，以實(shí)現(xiàn)輕量級(jí)、低損耗、細(xì)粒度的信息流路徑跟蹤，從而解決動(dòng)態(tài)污點(diǎn)分析算法性能開銷過大的問題，其具體技術(shù)方案如下：

第一方面，本申請(qǐng)?zhí)峁┝艘环N基于下推自動(dòng)機(jī)的信息流路徑跟蹤方法，所述方法應(yīng)用于一種基于下推自動(dòng)機(jī)的信息流路徑跟蹤系統(tǒng)中的服務(wù)器，所述基于下推自動(dòng)機(jī)的信息流路徑跟蹤系統(tǒng)包括所述服務(wù)器和客戶端，所述方法包括：

接收所述客戶端發(fā)送的第一安卓應(yīng)用程序安裝包APK和自定義信息流策略，所述自定義信息流策略為用戶對(duì)應(yīng)用程序自定義的信息流策略；

根據(jù)所述自定義信息流策略，利用靜態(tài)污點(diǎn)分析算法STA從所述第一APK中搜索出信息流路徑集合；

根據(jù)所述自定義信息流策略，從所述信息流路徑集合中獲取敏感信息流路徑；

利用靜態(tài)插樁算法將預(yù)設(shè)的監(jiān)控代碼插入到所述第一APK中的所述敏感信息流路徑，以得到第二APK，并將所述第二APK發(fā)送至所述客戶端，使得所述客戶端在接收到所述第二APK后運(yùn)行所述第二APK；

通過所述監(jiān)控代碼監(jiān)控所述敏感信息流路徑的狀態(tài)。

在一種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述自定義信息流策略，利用靜態(tài)污點(diǎn)分析算法STA從所述第一APK中搜索出信息流路徑集合，包括：

讀取所述自定義信息流策略中的源語句集合；

利用所述STA從所述第一APK中搜索出以所述源語句集合中的源語句為起點(diǎn)的信息流路徑集合。

在一種可能的實(shí)現(xiàn)方式中，所述根據(jù)所述自定義信息流策略，從所述信息流路徑集合中獲取敏感信息流路徑，包括：

讀取所述自定義信息流策略中的釋放點(diǎn)集合；

在所述以所述源語句集合中的源語句為起點(diǎn)的信息流路徑集合中，獲取以所述釋放點(diǎn)集合中的釋放點(diǎn)為終點(diǎn)的敏感信息路徑。

在一種可能的實(shí)現(xiàn)方式中，在所述利用靜態(tài)插樁算法將監(jiān)控代碼插入所述敏感信息流路徑之前，所述方法還包括：