消息。每一条审计消息中记载了应用程序对一项系统共享资源的一次访问操作信息,包括这个应用程序的WD、所访问系统共享资源在步骤I中注册的识别号、此次访问的时间戳以及此次访问的读写属性。依据来自auditd的审计消息上附带的共享资源路径字段,将该审计消息分发至决策模块中对应系统共享资源的审计子节点中。对于应用层hook函数提交的审计消息,则通过目标隐蔽通道对应共享资源的识别号将其分发至目标隐蔽通道对应共享资源的审计子节点;
[0033](6-2)审计消息按应用程序所具备的敏感数据访问权限划分为两类。有权限访问敏感数据的应用程序,对目标隐蔽通道对应系统共享资源的访问所产生的记录节点为高权限审计消息,该类审计消息只记录高权限应用程序对共享资源状态的改变操作(此改变操作与下文的读操作在步骤I中已由用户定义,改变操作简称M操作),其余应用程序的系统共享资源访问操作产生低权限审计消息,只记录其对共享资源状态进行的读操作(简称R操作),即是说,高权限应用程序的R操作与低权限应用程序的M操作不会被发送到任何审计子节点中。当一个审计子节点接收到高权限应用程序的M操作审计消息时,向本审计子节点内所有记载低权限应用程序R操作的审计消息发送当前最新M操作的时间戳,审计子节点同时记录此次发送前最近一次旧M操作的时间戳;
[0034](6-3)每个审计子节点维护一个时间窗口(在本发明实施例中,默认大小为I秒),当接收到低权限应用程序的R操作审计消息时,比对这条审计消息的时间戳与在步骤(6-2)中所记录的最近一次旧M操作的时间戳。若此时间戳在同一时间窗口内相比旧时间戳发生了更新,则说明高权限应用程序与低权限应用程序在一项共享资源上发生了一次新的疑似通信,审计子节点记录一次有效数据传输;
[0035](6-4)当一个审计子节点在一个时间窗口内通过步骤(6-3)记录的有效数据传输量超过阈值,则执行步骤7。
[0036]步骤7干扰模块对在步骤6中承载了超标隐蔽数据传输的目标隐蔽通道对应的系统共享资源的状态进行干扰。收到干扰请求后,干扰模块通过步骤I中注册的改变操作原语对涉嫌承载隐蔽通道数据传输的系统共享资源状态的值进行修改,例如微调系统设定选项值、在系统资源分配时额外随机分配少量的资源等,干扰隐蔽通道上的数据传输。在施加干扰期间,每经过一个时间窗口,重新按照步骤6估算当前正在干扰的目标隐蔽通道上的隐蔽数据传输量,若数据传输量低于阈值,则停止对当前目标隐蔽通道对应系统共享资源状态的干扰。
[0037]图3所示为本发明决策模块的结构示意图。决策模块由审计消息队列与审计子节点构成,其中审计消息队列负责暂存由java hook与内核审计模块发送来的审计消息,每一条审计消息代表了一个应用程序对一项系统共享资源的一次访问记录。决策模块通过读取每条审计消息的所属共享资源字段,将审计消息分发至各共享资源访问审计子节点,每个审计子节点唯一负责对一项共享资源的访问操作做出审计。各审计子节点内部均包含一个审计消息子队列用于暂存与自身所代表的共享资源相关的审计消息。当自己内部的审计消息子队列不为空时,审计子节点开始审计自己内部审计消息子队列中的访问记录。在一个审计消息子队列中,每条低权限应用程序,即无权访问敏感数据的应用程序对共享资源的访问记录中都记载了高权限应用程序,即有权访问敏感数据的应用程序最近一次访问同一共享资源的时间戳,每当审计子节点读取到新的高权限应用的访问记录时,这条记录的时间戳将会被记入此后读取的低权限应用访问记录的对应字段中。这样,每当共享资源审计子节点读取低权限应用访问记录时,可以知晓最近一次高权限应用对同一共享资源的访问时间,从而计算出权限不同的应用程序对该共享资源访问的频度、交替性、突发程度等指标。
[0038]本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于Android的隐蔽通道攻击审计与侦测方法,其特征在于,包括: 步骤I注册用户描述的所要审计的目标隐蔽通道,其中,对所述目标隐蔽通道的描述包括系统共享资源路径和对共享资源状态的改变操作原语与读取操作原语; 步骤2读取所述目标隐蔽通道的描述,并生成对应的审计规则和hook函数; 步骤3监听应用程序对存放敏感数据的数据存放组件的访问行为,并为被应用程序访问过的敏感数据建立档案,所述档案包含被访问敏感数据的数据类型以及访问该敏感数据的应用程序UID ; 步骤4监控应用程序对已注册的目标隐蔽通道对应的系统共享资源的访问,并将访问者的UID与所述档案进行匹配,若一个应用程序访问了所述目标隐蔽通道对应的系统共享资源,且其UID在所述档案中有记录,则为该应用程序本次以及后续的系统共享资源访问操作生成记录,然后执行步骤5,否则不记录此次应用程序对系统共享资源的访问操作,并重复该步骤; 步骤5当有另一应用程序访问了所述步骤4中的应用程序访问过的目标隐蔽通道对应的系统共享资源,且其权限低于步所述骤4中先访问同一项系统共享资源的应用程序的权限,则针对这个低权限应用程序,生成并维护所述低权限应用程序对相关系统共享资源的访问记录; 步骤6根据所述步骤4与所述步骤5生成的各个系统共享资源访问记录审计具有较高权限应用程序与所述低权限应用程序对相同系统共享资源的访问,并估算在每一对高权限与低权限应用程序之间,通过所述目标隐蔽通道对应的系统共享资源所隐蔽传输的数据量,当估算的隐蔽传输数据量超出设定的阈值时,执行步骤7,否则重复本步骤; 步骤7对在所述步骤6中承载了超标隐蔽数据传输的目标隐蔽通道对应的系统共享资源的状态进行干扰。
2.如权利要求1所述的方法,其特征在于,在所述步骤I注册所述目标隐蔽通道后,所述目标隐蔽通道所对应的每一个系统共享资源会被标注一个唯一的识别号。
3.如权利要求1所述的方法,其特征在于,在所述步骤2中,针对位于系统层的目标隐蔽通道对应的系统共享资源,通过调用内核审计规则定义工具auditctl生成所述审计规则;针对位于应用层的目标隐蔽通道对应的系统共享资源,通过改变与读取对应系统共享资源状态的API函数生成所述hook函数。
4.如权利要求1-3中任一项所述的方法,其特征在于,在所述步骤5中生成的访问记录在一个滑动时间窗口内保存所述低权限应用程序对其在所访问的系统共享资源的此次与后续访问记录。
5.如权利要求1-3中任一项所述的方法,其特征在于,所述步骤6包括以下子步骤: (6-1)维护一个审计消息队列,同时对每一个目标隐蔽通道对应的系统共享资源维护一个审计子节点,一个审计子节点负责审计各应用程序对一项目标隐蔽通道对应系统共享资源的访问操作,所述审计消息队列接收审计消息,每一条审计消息中记载了应用程序对一项系统共享资源的一次访问操作信息,包括该应用程序的WD、所访问系统共享资源的识别号、此次访问的时间戳以及此次访问的读写属性,并将所述审计消息分发至对应系统共享资源的审计子节点中; (6-2)对于具有权限访问敏感数据的应用程序,对所述目标隐蔽通道对应系统共享资源的访问所产生的记录为高权限审计消息,只记录高权限应用程序对共享资源状态的改变操作,其余应用程序的系统共享资源访问操作产生低权限审计消息,只记录其对共享资源状态进行的读操作,当一个审计子节点接收到所述改变操作审计消息时,向所述审计子节点内所有记载读操作的审计消息发送当前最新改变操作的时间戳,所述审计子节点同时记录此次发送前最近一次旧改变操作的时间戳; (6-3)每个审计子节点维护一个时间窗口,当接收到读操作审计消息时,比对该读操作审计消息与在所述步骤(6-2)中所记录的最近一次旧改变操作的时间戳,若该读操作审计消息的时间戳在同一时间窗口内相比旧时间戳发生了更新,则所述审计子节点记录一次有效数据传输; (6-4)当一个审计子节点在一个时间窗口内通过所述有效数据传输的数据量超过阈值,则执行步骤7。
6.如权利要求5所述的方法,其特征在于,在所述步骤(6-1)中依据所述审计消息附带的共享资源路径字段或所述目标隐蔽通道对应系统共享资源的识别号,将所述审计消息分发至对应系统共享资源的审计子节点中。
7.如权利要求1-3中任一项所述的方法,其特征在于,在所述步骤7中通过所述步骤I中注册的所述改变操作原语对所述承载隐蔽数据传输的系统共享资源状态的值进行修改,以干扰隐蔽通道上的数据传输。
8.如权利要求7所述的方法,其特征在于,在所述步骤7施加干扰期间,每经过一个时间窗口,重新按照所述步骤6估算当前正在干扰的目标隐蔽通道上的隐蔽数据传输量,若数据传输量低于所述阈值时,则停止对当前目标隐蔽通道对应系统共享资源状态的干扰。
【专利摘要】本发明公开了一种基于Android的隐蔽通道攻击审计与侦测方法,属于计算机系统安全技术领域。本发明包括以下步骤:(1)按照“共享资源-操作原语”的形式自定义目标隐蔽通道;(2)将定义好的隐蔽通道解析为相关的java层api hook函数和内核层审计规则;(3)根据访问共享资源的应用程序权限,在运行时根据内核审计模块和java层hook函数传递的信息,动态审计各应用程序之间对目标共享资源的操作特征;(4)当审计值超过阈值时,调用共享资源状态干扰模块,模仿高权限应用对共享资源操作特征改变共享资源的相关状态,干扰基于该共享资源的隐蔽数据传输。本发明在系统运行时动态审计隐蔽通道攻击的存在,扰乱隐蔽通道传输的数据内容,防止敏感数据的泄露。
【IPC分类】G06F21-56
【公开号】CN104778408
【申请号】CN201510176279
【发明人】金海 , 羌卫中, 辛诗帆, 邹德清
【申请人】华中科技大学
【公开日】2015年7月15日
【申请日】2015年4月15日