CN111967044A - 一种适用于云环境的被泄漏隐私数据的追踪方法及*** - Google Patents

Abstract

本发明公开了一种适用于云环境的被泄漏隐私数据的追踪方法及***，其通过在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型，依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪，从而通过自动化的方法实现***中广泛存在且分布离散的用户隐私数据的精准定位。

Description

一种适用于云环境的被泄漏隐私数据的追踪方法及***

技术领域

本发明属于信息安全领域，更具体地，涉及一种适用于云环境的被泄漏隐私数据的追踪方法及***。

背景技术

用***按照需求通过计算能力、虚拟机服务和存储能力等的一种大数据环境。这种平台的诞生，通常也往往伴随着各种安全挑战。

恶意代码通过开后门、勾取主要函数等等各种恶意行为可以使得恶意用户通过非法的外联、提权等一系列操作实现对隐私数据的入侵，进而最终达到窃取用户隐私数据的目的，通常可以预见的恶意行为有，对宿主机文件进行加密，以此来勒索用户，或者获取击键记录，窃取用户的各种登录账号和密码等，这些都可能给用户带来巨大的损失。

现有的隐私数据追踪分析技术，基本都是基于静态污点分析和动态污点分析技术而成的，如TaintCheck、DroidChecker、Dytan、Panda等分析工具，大多监控的信息有限，定位的隐私数据量庞大，准确度较低，粒度不高。

发明内容

针对现有技术的至少一个缺陷或改进需求，本发明提供了一种适用于云环境的被泄漏隐私数据的追踪方法及***，其目的在于解决如何通过自动化的方法实现***中广泛存在且分布离散的用户隐私数据的精准定位问题。

为实现上述目的，按照本发明的一个方面，提供了一种适用于云环境的被泄漏隐私数据的追踪方法，其包括如下步骤：

云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；

实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型，依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。

作为本发明的进一步改进，获取API调用数据并判断对应的调用类型包括：

判断执行调用的API是否为windows***的API，其中，

执行调用的API为windows***的API时，进一步判断执行调用为外部输入操作还是内存泄漏操作；

执行调用的API为非windows***的API时，进一步判断执行调用的API是否为C语言编写的函数。

作为本发明的进一步改进，执行调用的API为windows***的API，且执行调用为文件调用的外部输入操作，执行如下插桩步骤：

通过插桩函数判断文件被调用文件是否为敏感型文件，是则通过插桩函数信息中的文件缓冲区指针找到被泄漏隐私数据并进行标记。

作为本发明的进一步改进，执行调用的API为windows***的API，且执行调用为击键记录的外部输入操作，执行如下插桩步骤：

通过获取插桩函数的调用日志，根据调用日志中的参数信息，通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定被泄露隐私数据并进行标记。

作为本发明的进一步改进，执行调用的API为windows***的API，且执行调用为剪贴板操作的外部输入操作，执行如下插桩步骤：

通过插桩函数获取剪贴板缓冲区数据，将剪贴板缓冲区数据标记为被泄露隐私数据。

作为本发明的进一步改进，执行调用的API为windows***的API，且为执行除执行文件调用、击键记录和剪贴板操作以外的外部输入操作，执行如下插桩步骤：

通过插桩函数获取指向待发送缓冲区的指针，待发送缓冲区中的数据不属于已标记的被泄露隐私数据时，则将拦截到的发送缓冲区中的数据标记为被泄漏隐私数据。

作为本发明的进一步改进，执行调用的API为windows***的API，且执行调用为内存泄漏操作，执行如下插桩步骤：

提取数据库表的特征字符串并进行标记，匹配调用读取的数据与标记的特征字符串，记录下匹配成功的地址，此地址即为内存中数据库表的地址；按照数据表的结构，依次解析数据表的属性，基于表的地址、表的每个属性和数据所占字节数，确定数据在表中的偏移情况，最终解析得到的数据即为被泄露隐私数据。

作为本发明的进一步改进，执行调用的API为非windows***的API，且为C语言编写的函数，执行如下插桩步骤：

通过进程加载的模块列表得到加载的模块的基址，解析加载的模块以得到对应的函数及函数偏移情况，找到所述对应的函数的入口地址进行插桩操作。

作为本发明的进一步改进，执行调用的API为非windows***的API，且为非C语言编写的函数，执行如下插桩步骤：

提取执行调用的API函数的底层C语言实现函数以进行插桩操作。

为实现上述目的，按照本发明的另一个方面，提供了一种适用于云环境的被泄漏隐私数据的追踪***，该***包括：

插桩程序嵌入模块，用于在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；

实时监控模块，用于实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型；

追踪模块，用于依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

本发明提供的一种适用于云环境的被泄漏隐私数据的追踪方法及***，其通过动态污点追踪技术，在程序运行时截获被程序访问的数据(键盘输入、文件、剪切板等)或程序生成的数据(浏览器历史记录和cookie记录等)作为用户隐私数据，并标记为污染源，根据污点传播的规则以日志化的形式记录隐私数据在***中的传播情况，对于外部输入的数据，持续监控VMI技术模拟出的主机恶意程序的API调用情况，通过插桩这些函数，确定了隐私数据和隐私数据***纵的行为，对于内部生成的数据，通过在内存中定位到重要数据库的位置，对数据表的数据进行解析确定隐私数据，持续检测主机恶意程序的读内存行为，该窃取内存信息的行为将被记录，从而实现自动化定位用户的隐私数据作为污染源，采用了全***的动态污点跟踪技术来对隐私泄露行为进行检测，并将实时监控的结果整理成日志以便进行关联分析。

附图说明

图1是本发明实施例提供的一种适用于云环境的被泄漏隐私数据的追踪方法的示意图；

图2为本发明实施例的执行调用的API为非windows函数时插桩步骤的示意图；

图3是本发明实施例提供的敏感内存类隐私泄露操作对应的插桩方法的示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

下面结合实施例和附图对本发明提供的方法和工作原理进行详细说明。

本发明所涉及的术语解释如下：

API(Application Programming Interface，应用程序接口)是一些预先定义的函数，或指软件***不同组成部分衔接的约定。其用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部工作机制的细节。

SOCKET，套接字，就是对网络中不同主机上的应用进程之间进行双向通信的端点的抽象。一个套接字就是网络上进程通信的一端，提供了应用层进程利用网络协议交换数据的机制。从所处的地位来讲，套接字上联应用进程，下联网络协议栈，是应用程序通过网络协议进行通信的接口，是应用程序与网络协议根进行交互的接口。

图1是本发明实施例提供的一种适用于云环境的被泄漏隐私数据的追踪方法的示意图。如图1所示，一种适用于云环境的被泄漏隐私数据的追踪方法，其包括如下步骤：

云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；一般来说，被泄露的隐私数据指被恶意代码进行过操作或处理的数据。

实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型，依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。这里API调用类型可以多种多样，譬如执行调用的API为windows***的API时，泄露的隐私数据可以是与文件调用相关的隐私数据，可以是有关击键记录泄露的隐私数据，可以是剪贴板缓冲区的敏感数据，可以是恶意程序通过SOCKET与外部进行通信来泄露隐私数据，当然还可能存在执行调用的API为非windows***的API的情况。

由于恶意样本或者代码本身具有欺骗和隐蔽性，用户并不能直观的判断什么程序是恶意代码，通过上述所说监控进程的行为，可以追踪定位上述隐私数据，用于对那些是恶意代码进行取证；或者通过后续的手段对追踪到的隐私数据进行保护，恢复等等操作。

可选的，获取API调用数据并判断对应的调用类型包括：

判断执行调用的API是否为windows***的API，其中，

执行调用的API为windows***的API时，进一步判断执行调用为外部输入操作还是内存泄漏操作；

执行调用的API为非windows***的API时，进一步判断执行调用的API是否为C语言编写的函数。

可选的，判断执行调用的API是否为文件调用类型的windows***的API，是则执行如下插桩步骤：

通过hook、ReadFile、WriteFile和DeleteFile等为代表的插桩函数，判断文件被调用文件是否为敏感型文件，是则通过插桩函数信息中的文件缓冲区指针找到被泄漏隐私数据。其中，敏感型文件包括用户自己指定的文件以及设置了污点标签的文件，由于用户指定的文件、数据文件、备份文件等可被标记为被泄露隐私数据，恶意程序对此类文件的恶意操纵行为会被记录，典型行为如Wanacry将用户文件内容加密后写入新的文件。

可选的，执行调用的API为windows***的API时，API调用类型还包括击键记录。在进行键盘的输入时，典型的键盘记录类恶意程序有Trojan-Spy.MSIL.KeyLogger.brse，该类恶意程序会篡改、读取、保存并发送击键记录，此时键盘缓冲区中的数据即被标记为隐私数据，恶意程序的恶意行为会被记录。判断执行调用的API是否为击键记录类型的windows***的API，与击键记录对应的插桩程序执行步骤包括：

通过GlobalLock、GetAsyncKeyState等为代表的插桩函数，获取这些插桩函数的调用日志，根据函数调用日志中的参数信息，通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定隐私数据。具体地，当存在恶意程序读取数据时，通过VMI技术和函数调用栈来确定当前程序的模块名称和调用的函数名称。在此之后，通过函数插桩，可以获取当前进程的WriteFile、send、GetAsyncKeyState等函数，根据函数调用栈中的参数信息，通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定隐私数据。

可选的，执行调用的API为windows***的API时，API调用类型还包括剪贴板操作，剪贴板操作包括对剪贴板缓冲区中的数据进行模拟复制、粘贴等操作，当使用复制、粘贴操作时，如果剪贴板缓冲区的数据被恶意程序访问、篡改、通过网络发送，那么这些数据则作为隐私数据，相关的恶意行为会被记录，判断执行调用的API是否为剪贴板操作类型的windows***的API，其中，与剪贴板操作对应的插桩程序执行步骤包括：

通过插桩GlobalLock、SetClipboardData、GetClipboardData等函数，如有读取、篡改等恶意行为时，这些剪贴板缓冲区的数据将即为污点数据，且在日志中记录恶意程序的恶意行为。

作为对于外部通信类隐私泄漏的补充，执行调用的API为windows***的API时，API调用类型还包括除上述三种隐私泄漏以外的其他外部通信操作，即恶意程序通过SOCKET相关API与外部通信来泄露隐私数据。与其他外部通信操作对应的插桩程序执行步骤包括：

可以通过插桩send、sendto、recv等函数，通过获取的指向待发送缓冲区区域的指针，将缓冲区中的数据与已标记的被泄露隐私数据作比较，若其为已标记的被泄露隐私数据，说明恶意程序通过上述三种隐私泄漏的某一条将隐私信息泄露出去了，否则恶意程序并不是通过上述三条路径窃取的隐私信息，此时拦截到的发送缓冲区中的数据作为对隐私信息的补充。

执行调用的API为windows***的API时，API调用类型还包敏感内存类隐私泄露操作，通过匹配标记的字符串，定位到内存中的敏感数据作为隐私数据，恶意程序对此类数据的恶意操纵行为，包括读取、篡改、通过网络泄露等会被监控记录。典型的窃取敏感内存的漏洞有HeartBleed。与敏感内存类隐私泄露操作对应的插桩程序执行步骤包括：

提取数据库表的特征字符串，属性不变性，提取属性的ASCII码作为特征字符串较为合适；恶意程序发生读内存的行为时，将读到的数据与标记的特征字符串匹配，直至匹配成功；记录下匹配成功的地址，此地址即为内存中数据库表的地址；按照数据表的结构，依次解析数据表的属性，属性直接决定其对应的数据所占字节数；基于表的地址、表的每个属性和数据所占字节数，确定数据在表中的偏移情况，最终解析得到的数据即为内部的隐私数据。

可选的，执行调用的API为非windows***的API时，与其对应的插桩程序执行步骤包括：

对于非C语言编写的API函数，提取该函数的底层C语言实现函数以进行插桩操作，通过vs开发人员命令工具等确定函数的模块；

对于C语言编写的非windows函数，通过进程加载的模块列表得到加载的模块的基址，对模块进行解析，得到模块中的函数及函数偏移情况，由此找到函数的入口地址，为插桩提供条件。插桩前提是需要知道该函数的底层C语言实现函数及底层函数所在的模块。以用PHP编写的程序为例，测试的程序用MD5实现加密，如md5($password)，但是不能直接插桩到属于PHP内置函数的md5函数，md5的底层C语言实现函数包括PHP_MD5Init()、PHP_MD5Update()和PHP_MD5Final()，其中PHP_MD5Update的参数信息可以获得加密缓冲区的大小及被加密的数据。插桩的前提条件是需要知道待插桩函数的入口地址，所以就每个进程而言，需要得到进程加载的模块以及模块中包含的函数情况，本发明以map<module_name,map<function_name,function_offset>>的形式记录。在通过以上映射得到模块和函数的名称，定位到待插桩函数地址之后，就可以进行插桩，获取相关的参数。

图2为本发明实施例的执行调用的API为非windows函数时插桩步骤的示意图。作为一个示例，以用PHP编写的Discuz！论坛为例，论坛登录时用MD5加密用户的登录口令，如md5($password)，作为PHP的内置函数。Md5函数无法直接插桩，但是PHP本身是用C实现的，因此最终调用的也是C的函数，所以可以通过提取底层的C语言实现函数，完成插桩，要插桩的函数包括：PHP_MD5Init()、PHP_MD5Update()和PHP_MD5Final()，其中PHP_MD5Update的参数信息指示了加密缓冲区的大小及被加密的数据，通过该函数进行插桩，便可得到被md5加密的原始数据。

(1)获取当前待插桩函数的底层C语言实现函数及模块；

(2)该步骤旨在获取当前活动进程的模块加载情况及入口地址。

由于FS寄存器指向当前活动线程，因此通过获取FS寄存器的值，得到TEB线程结构体；通过TEB找到PEB进程结构体；通过PEB结构体找到PEB_LDR_DATA结构体，该结构体中的InLoadOrderModuleList列表是以加载顺序记录的模块列表，列表中记录了加载的模块名和模块基址。

(3)该步骤的目的是获取每个模块中函数的加载情况及入口地址。对于每一个模块，读取当前模块PE文件的NT可选头的OptionalHeader.DataDirectory[]，该数组中的每一项对应一个特殊的数据结构，如数组的第一项记录了导出表的数据结构，导出表则记录了当前模块包含的函数名及函数在模块中的偏移情况。(2)中获取的模块基址与本步骤中函数在模块中的偏移情况结合到一起，就可以找到待插桩函数的入口地址，用map<module_name,map<function_name,function_offset>>来存储。

(4)根据待插桩函数提供的函数名和模块名，可以在map中找到该函数的入口地址，并生成一条hook record。

图3是本发明实施例提供的敏感内存类隐私泄露操作对应的插桩方法的示意图。如图3所示，对于内部生成的隐私数据，比如使用浏览器时会生成表明用户身份的cookies，攻击者可以利用该信息造成破坏，典型的有利用XSS漏洞窃取cookie信息。目前的主流浏览器有五个：Internet Explorer、Firefox、Safari、Chrome和Opera，访问浏览器时的相关记录将保存在本地sqlite数据库中，以下提供了定位数据库数据的方法；

(1)以特殊字符串为标记提取数据库文件，通过特殊字符串的匹配定位相关数据库的位置。关系型数据库因其中记录的属性在数据库创建时就已经确定，所以将部分属性作为匹配需要的特殊字符串，就能精确定位到数据库表在内存中的位置。指定了特殊字符串后，当恶意程序通过读内存的行为窃取数据库中数据时，通过将读到的内容与特殊字符串进行匹配，在这里用到的字符匹配算法来源于PANDA的stringsearch插件，如果匹配成功，读内存时记录到的虚拟地址，即为目标数据库的位置，否则定位失败。本发明中以浏览器相关数据库为例，枚举出提取的特征字符串如下：

(2)定位到数据库后，解析数据库的内容，用一个无符号数组存储属性。每个属性大小为一个字节，可知从特殊字符串匹配到的地址开始，每向前或向后一个字节就可以解析到一个属性。

(3)属性的值直接决定了值所占的字节的大小，在解析值时需要根据属性确定值的字节，属性与值的字节数存在以下对应关系：

variant结构体中的无符号数组num_buff和variant_len，分别记录数据表项属性的关键字类型及其对应的数据的字节数和关键字对应的data的长度。

提取属性对应的数据，在(1)中确定了被提取为作为特征字符串的属性的位置，在(3)中确定了每个数据所占的字节数，根据这两个信息，可以确定值相对于那些属性的的偏移情况，从数据库中确定值的数据便轻而易举了。

一种适用于云环境的被泄漏隐私数据的追踪***，该***包括：

插桩程序嵌入模块，用于在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；

实时监控模块，用于实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型；

追踪模块，用于依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。***的实现原理、技术效果与上述方法类似，此处不再赘述。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种适用于云环境的被泄漏隐私数据的追踪方法，其特征在于，其包括如下步骤：

云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；

实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型，依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。

2.如权利要求1所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其特征在于，获取API调用数据并判断对应的调用类型包括：

判断执行调用的API是否为windows***的API，其中，

执行调用的API为windows***的API时，进一步判断执行调用为外部输入操作还是内存泄漏操作；

执行调用的API为非windows***的API时，进一步判断执行调用的API是否为C语言编写的函数。

3.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为windows***的API，且执行调用为文件调用的外部输入操作，执行如下插桩步骤：

通过插桩函数判断文件被调用文件是否为敏感型文件，是则通过插桩函数信息中的文件缓冲区指针找到被泄漏隐私数据并进行标记。

4.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为windows***的API，且执行调用为击键记录的外部输入操作，执行如下插桩步骤：

通过获取插桩函数的调用日志，根据调用日志中的参数信息，通过参数指向的文件缓冲区指针、发送缓冲区指针和键盘缓冲区指针确定被泄露隐私数据并进行标记。

5.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为windows***的API，且执行调用为剪贴板操作的外部输入操作，执行如下插桩步骤：

通过插桩函数获取剪贴板缓冲区数据，将剪贴板缓冲区数据标记为被泄露隐私数据。

6.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为windows***的API，且为执行除执行文件调用、击键记录和剪贴板操作以外的外部输入操作，执行如下插桩步骤：

通过插桩函数获取指向待发送缓冲区的指针，待发送缓冲区中的数据不属于已标记的被泄露隐私数据时，则将拦截到的发送缓冲区中的数据标记为被泄漏隐私数据。

7.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为windows***的API，且执行调用为内存泄漏操作，执行如下插桩步骤：

提取数据库表的特征字符串并进行标记，匹配调用读取的数据与标记的特征字符串，记录下匹配成功的地址，此地址即为内存中数据库表的地址；按照数据表的结构，依次解析数据表的属性，基于表的地址、表的每个属性和数据所占字节数，确定数据在表中的偏移情况，最终解析得到的数据即为被泄露隐私数据。

8.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为非windows***的API，且为C语言编写的函数，执行如下插桩步骤：

通过进程加载的模块列表得到加载的模块的基址，解析加载的模块以得到对应的函数及函数偏移情况，找到所述对应的函数的入口地址进行插桩操作。

9.如权利要求1或2所述的一种适用于云环境的被泄漏隐私数据的追踪方法，其中，执行调用的API为非windows***的API，且为非C语言编写的函数，执行如下插桩步骤：

提取执行调用的API函数的底层C语言实现函数以进行插桩操作。

10.一种适用于云环境的被泄漏隐私数据的追踪***，其特征在于，该***包括：

插桩程序嵌入模块，用于在云环境的宿主机嵌入与多个API调用类型一一对应的插桩程序，该插桩程序用于追踪被泄露隐私数据；

实时监控模块，用于实时监控云环境的宿主机的API调用，当监控发生疑似恶意程序导致API调用时，获取API调用数据并判断对应的调用类型；

追踪模块，用于依据API调用类型调用对应的插桩程序以实现被泄露隐私数据的追踪。

Images