[发明专利]一种支持数据间关联分析的污点分析框架及方法

说明书

本发明属于网络和信息安全技术领域，具体涉及一种支持数据间关联分析的污点分析框架及方法。该污点分析方法首先程序执行轨迹记录模块记录程序执行过程的基本信息，数据流还原模块还原程序执行过程中的完整数据流并记录，通用污点分析模块提供通用的污点分析接口，数据域关联分析模块提供了一种快速进行数据域间污点关联分析的方法。利用本发明可以实现对一个程序在一次执行的基础上，进行回放分析的能力，以及高效的数据域间污点关联分析的能力，能够进一步提升污点分析的通用性和高效性。

技术领域

本发明属于网络和信息安全技术领域，具体涉及一种支持数据间关联分析的污点分析框架及方法。

背景技术

污点分析是一种常用的软件分析技术，在信息安全领域已有较多的研究和应用，典型的应用包括恶意代码分析、软件脆弱性分析、网络攻击行为检测等。

污点分析是在程序分析过程中将“感兴趣”的数据标记为污点数据，通过设置污点源(Source点)，跟踪数据在程序执行过程中的传播路径，检测污点数据最终能否到达汇聚点(Sink点)。污点分析包括三个重要内容：污点源，引入污点数据的位置，污点源是污点分析的起点，在此处通过标记污点数据，将“感兴趣”的数据指定为污点数据，作为后续跟踪分析的对象；汇聚点，即污点检测点，判断是否有受污染数据到达了汇聚点，汇聚点是污点分析的终点；污点传播，通过污点传播规则跟踪污点数据在程序执行过程中的传播过程。污点分析技术包括静态污点分析技术、动态污点分析技术。静态污点分析技术一般是指在被分析程序不运行的情况下，分析程序源码中的程序变量、数据等传播过程。动态污点分析是指在程序执行过程中分析污点数据传播过程。

现有的二进制程序动态污点分析框架大都存在两个方面的问题。

一方面，在程序一次执行的基础上，只能进行一次污点分析，不能很好地处理多污点标签、多Source点、多Sink点等问题，不能进行“回放”分析，如libdft、TaintRabbit等。对同一程序为了进行多次污点分析，如果采用现有的污点分析框架，需要将程序执行多次，而程序每次执行可能由于加载基址、堆栈内存地址、程序执行过程等不同，从而不能很好的综合分析多次污点分析结果，这给软件分析过程带来了诸多不便。

另一方面，现有的分析技术大都专注于分析比特或者字节间的污点传播关系，这虽然在一定程度上提升了分析的准确性，但是这带来一个严重的问题——过多的性能开销。现有的几种典型污点分析框架的分析性能如下表1所示。

表1几种典型污点分析框架性能对比

其中，效率最高的TaintRabbit的1.7倍性能损耗是在没有任何污点传播规则的情况下产生的，实际执行时的性能损耗会更高。这两方面问题影响了污点分析在实际软件分析中的广泛应用。

发明内容

针对目前的二进制程序动态污点分析框架存在的不能处理多污点标签、多污点源、多汇聚点、不能进行回放以及性能损耗较大的缺陷和问题，本发明提供一种支持数据域间关联分析的污点分析方法。

本发明解决其技术问题所采用的方案是：一种支持数据域间关联分析的污点分析框架，包括程序执行轨迹记录模块、数据流还原模块、通用污点分析模块和数据域关联分析模块；所述程序执行轨迹记录模块用于记录程序运行过程中的轨迹信息；所述数据流还原模块用于使用记录的程序运行轨迹信息还原程序完整的数据流传播过程；所述通用污点分析接口模块提供通用的污点分析接口；所述数据域关联分析模块用于对多个数据域进行污点关联分析。

本发明还提供一种支持数据域间关联分析的污点分析方法，包括以下步骤：

(1)记录程序执行轨迹：使用动态二进制插桩技术分别在被分析程序各模块加载后、新线程被创建时、基本块被分析时、基本块被执行时以及API调用前后进行插桩，记录程序各个模块加载后的镜像、线程初始上下文环境、基本块指令内容、基本块执行顺序以及API调用信息；