資源描述:
《技術(shù)報告-基于動態(tài)污點跟蹤的敏感文件泄露檢測方法》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�����、基于動態(tài)污點跟蹤的敏感文件泄露檢測方法李偉明,lwm@hust.edu.cn;賀玄;王永劍.演示流程研究背景系統(tǒng)框架實現(xiàn)實驗評估總結(jié)研究背景敏感信息泄露嚴重2013年12月,土耳其最高選舉委員會網(wǎng)站遭俄羅斯黑客攻擊,選民數(shù)據(jù)庫中5400萬土耳其居民信息被盜��;2014年4月7日,OpenSSL官網(wǎng)公布了Heartbleed(心臟出血)漏洞(CVE-2014-0160),該漏洞允許任何人讀取系統(tǒng)的運行內(nèi)存,可能獲得服務(wù)器的證書私鑰���、用戶名和密碼等敏感信息,許多互聯(lián)網(wǎng)巨頭公司深受其害��;2014年12月25日,烏云-漏洞報告平臺發(fā)布報告稱,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)上傳播售賣
2、,包括用戶登錄賬號�、密碼�、信用卡信息、身份證及電話等敏感信息�����。研究背景敏感信息泄露檢測技術(shù)主要有靜態(tài)分析和動態(tài)分析兩種方式靜態(tài)分析:CoverityScan系統(tǒng).利用人工提取的危險特征來識別軟件潛在的危險漏洞,這些特征由大量的先驗測試產(chǎn)生.用于離線檢測應(yīng)用程序潛在的漏洞,不能實時監(jiān)控應(yīng)用程序的執(zhí)行程序的狀態(tài)�。動態(tài)分析:主要采用動態(tài)污點跟蹤技術(shù)分析應(yīng)用程序的潛在漏洞或者可能引起的敏感信息泄露.可以用于實時的在線檢測.也可以跟蹤應(yīng)用程序的數(shù)據(jù)流�。本研究借鑒了TaintEraser[1]的文件污點跟蹤的思想�,是基于pin(動態(tài)二進制插裝平臺)實現(xiàn)��,面向程序的數(shù)據(jù)流�,用于網(wǎng)絡(luò)服務(wù)
3���、器應(yīng)用信息泄露的檢測方法�。[1]ZhuD,JungJ,SongD,etal.TaintEraser:protectingsensitivedataleaksusingapplication-leveltainttracking[J].AcmSigopsOperatingSystemsReview,2011,45(1):142-154.系統(tǒng)框架敏感文件指的是信息不能被泄露的文件,例如Linux系統(tǒng)中的passwd文件和shadow文件�。其來源一種是由系統(tǒng)用戶指定的敏感文件,另一種是寫入了敏感數(shù)據(jù)的文件���。敏感文件檢測方法檢測流程圖敏感文件檢測方法污點源標記污點傳播污點檢測污點
4�、源標記structTaintedFileEvent{TAINTED_EVENT_TYPEtype;//污點傳播類型intthreadID;//線程號ADDRINTfuncAddr;//被插樁函數(shù)地址stringfuncName;//被插樁函數(shù)名ADDRINTretAddr;//被插樁函數(shù)的返回地址char*buff;//緩沖區(qū)intbuffSize;//緩沖區(qū)大小intretValue;//函數(shù)返回值FILE_TYPEfileType;//文件類型unsignedinode;//文件的i-nodenumberstringfileName;//文件名};建立敏感文件的i-n
5�、odenumber集合離線存儲用戶指定敏感文件檢測方法污點源標記污點傳播污點檢測污點傳播敏感文件檢測方法污點源標記污點傳播污點檢測污點檢測containtFileTaint(buffer,len)fori←0tolen-1domem←taint_table_hash_lookup(taint_table,buffer+i)△查找地址節(jié)點ifmemnotnullthenindex←(buffer+i)%4taintList←mem.tainthead[index]△污點集合指針iftaintListnotnullthen△該地址的污點集合不為空Log("***sensiti
6、vefileinfoleak***")△記錄告警break實驗評估Smbd默認配置目錄遍歷漏洞Samba是跨平臺進行文件共享和打印共享服務(wù)的程序.利用其默認配置存在的目錄遍歷漏洞.遠程用戶可以在smbclient端使用一個對稱命令,創(chuàng)建一個包含".."目錄遍歷符的對稱序列,影響目錄遍歷以及訪問任意文件.實驗結(jié)果攻擊主機滲透靶機的Smbd默認配置目錄遍歷漏洞利用漏洞竊取敏感文件過程及結(jié)果檢測到敏感文件passwd泄露檢測到敏感文件test_ip130.txt泄露誤報排除實驗(1)檢測系統(tǒng)不將passwd文件敏感文件��,再次竊取passwd文件��;(2)竊取靶機上一個非敏感的
7�、普通文件.結(jié)果表明,檢測系統(tǒng)不會記錄非敏感文件的泄露事件,對非敏感文件泄露的誤報為0.總結(jié)以上關(guān)于敏感文件泄露檢測實驗,結(jié)果表明檢測系統(tǒng)能夠有效地檢測用戶指定的以及默認的敏感文件泄露過程,且實驗過程中沒有發(fā)生誤報和漏報.總結(jié)基于動態(tài)污點跟蹤的敏感文件泄露檢測方法,在測試Smbd默認配置目錄遍歷漏洞時,夠有效地監(jiān)控系統(tǒng)敏感文件和用戶指定的敏感文件,檢測Smbd的泄露行為;同時也表明離線記錄文件污點信息的方法可以彌補污點無法離開內(nèi)存?zhèn)鞑サ牟蛔?可以有效地記錄文件間的污點傳播.改進之處:文件敏感文件泄露檢測方面,首先需要更加細粒度地
