移动平台漏洞检测的关键技术研究

发布时间：2018-04-14 13:00

本文选题：污点跟踪 + Fuzzing　；参考：《北京邮电大学》2017年博士论文

【摘要】：随着移动互联网的迅猛发展和移动设备计算能力的提高,越来越多的数据处理和存储都在智能移动终端设备上进行。然而,移动平台安全漏洞却层出不穷,移动平台设备成为攻击者的重点攻击对象。现有检测技术的局限性、移动平台的有限计算能力、移动平台特有的系统和软件结构等因素都为该平台的漏洞检测带来了一定的挑战。如何有效的保护用户数据、降低密码误用导致的风险、防止因组件通信安全缺陷而导致的组件劫持和拒绝服务攻击、检测动态加载导致的多种安全风险成为移动平台漏洞检测的重要研究方向。为了有效的应对移动平台面临的各种安全威胁,本文对现有漏洞检测技术进行了系统总结,并提出了基于细粒度污点跟踪、混合检测、代码插桩及机器学习的漏洞检测方法,以提高移动平台漏洞检测的效率和精度。本文的主要工作和贡献如下:1.基于细粒度污点跟踪策略的信息泄露检测方法。针对提高污点跟踪精度面临的污点传播规则是否有效和污点传播路径是否全面两个主要问题,提出了信息泄露的检测方法。根据代码的语法语义特点、应用内部的函数调用关系并结合应用的生命周期模型和系统的通信机制,本文建立了细粒度的污点传播策略。用不同的泄漏检测策略和污点传播策略来驱动检测过程,根据信息流跟踪结果确定应用是否存在信息泄露。实验数据表明,检测方法能够对信息泄露进行有效检测,增加了检测的准确性和灵活性,减少了检测过程中存在的信息流跟踪不全面和误报问题。2.基于代码插桩的加密误用漏洞检测方法。为了解决现有检测方法的漏检和效率问题,在对漏洞模型化分析的基础上提出了一种由三个阶段构成的检测方法:第一阶段是静态分析过程,完成加密API调用的分支路径检测,第二阶段是动态执行阶段,利用插桩代码获取并记录加密API的执行日志,第三阶段是特征匹配阶段,将提取的记录特征和已建立的密码误用模型库进行特征匹配。利用本文实现的漏洞检测工具对多种类型的应用软件进行检测分析,检测发现4款移动银行客户端存在9个加密误用漏洞,5款金融支付类软件存在11个加密误用漏洞。3.基于混合检测的组件通信安全漏洞检测方法。针对静态检测方法无法有效全面检测组件通信过程中存在组件劫持、数据和权限泄漏和拒绝服务多种安全漏洞,本文提出了一种基于混合方式的综合检测方法。静态分析阶段检测应用中请求的内部和外部组件并判断组件是否存在被劫持的风险,利用信息流跟踪对存在数据传输的通信过程利用污点跟踪来确定是否存在数据和权限泄露;动态测试阶段则根据静态分析检测到的通信数据格式构造Fuzzing测试数据,发送测试指令到运行在测试平台的应用并收集指令的执行日志,以确定是否存在拒绝服务风险。实验结果表明,检测方法降低了应用的分析时间,提高了检测的效率和准确性,发现多款主流应用存在组件通信安全问题。4.基于多标签分类代价敏感集成学习的动态加载安全漏洞检测方法。针对动态加载漏洞的多样性,将多标签分类集成学习方法应用于该漏洞的检测。基于改进的特征选择算法和构造的多标签分类集成学习算法提出了动态加载漏洞的检测方法。检测方法由静态特征提取和机器学习分类两部分构成:静态分析部分首先确定加载点的位置和信息,然后利用动态加载特征提取算法提取动态加载过程的特征向量;分类识别阶段则借助于构造的多标签分类集成学习算法对特征信息进行多标签分类标记。基于该方法实现了动态加载安全缺陷检测系统,并对应用市场下载的4464个应用进行了检测分析。实验结果表明,该检测方法可以有效的检测不安全的动态加载问题,相对其他方法本文检测更加全面和准确。综上所述,针对移动平台的漏洞检测问题,以占有市场份额最大的Android平台为代表,本文对漏洞原理进行了分析并且从细粒度污点跟踪、混合检测、代码插桩和多标签漏洞标记四个方面提出了一系列的漏洞检测方法。最后,为了验证所提出检测方法的真实检测效果,本文针对Android平台搭建了检测系统,将所提出的检测方法在该平台上进行了实验验证。相对现有检测方法,本文检测结果的准确度和效率都有所提高。
[Abstract]:......
【学位授予单位】：北京邮电大学
【学位级别】：博士
【学位授予年份】：2017
【分类号】：TP309

【参考文献】