CN106096403A

CN106096403A - 一种软件隐私泄露行为的分析方法及装置

Info

Publication number: CN106096403A
Application number: CN201610465559.0A
Authority: CN
Inventors: 范乐君; 舒敏; 王博; 吴倩; 王文磊
Original assignee: National Computer Network and Information Security Management Center
Current assignee: National Computer Network and Information Security Management Center
Priority date: 2016-06-23
Filing date: 2016-06-23
Publication date: 2016-11-09
Anticipated expiration: 2036-06-23
Also published as: CN106096403B

Abstract

本发明实施例公开了一种软件隐私泄露行为的分析方法及装置，所述方法包括：根据目标软件的属性值，构建软件隐私泄露行为模型；根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。本发明实施例通过目标软件的属性值构建软件隐私泄露行为模型，并进一步计算隐私泄露路径和隐私泄露模块，从而得到目标软件的隐私泄露行为的定性指标，使得软件隐私泄露行为的分析结合了严谨的数学运算，其分析结果更为严谨和准确。

Description

一种软件隐私泄露行为的分析方法及装置

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种软件隐私泄露行为的分析方法及装置。

背景技术

针对软件隐私泄露问题，近年来的工作主要依据两种思路：一种基于模糊测试的方法，对于软件输入输出数据进行比对分析；另一种基于恶意软件行为分析技术，对于软件的内部功能进行分析。

基于模糊测试方法是比对输入输出数据来验证软件是否泄漏隐私的方法。这种方法将软件的内部工作过程视为一个黑盒，不去了解其内部结构和通信协议，仅关注软件的输入数据和向外部网络输出的数据之间的关系。该方法通过构造特定的隐私数据，观察其输出数据是否含有输入的隐私数据，从而发现软件是否含有隐私泄露行为。虽然基于输出输出数据比对的黑盒模糊测试方法能够快速准确的分析出某些特定格式的隐私数据泄露行为，但是这类方法也存在一些固有的问题：由于无法获知目标软件的内部实现细节和源码，此类方法很难收集采用了加密连接的软件所传输的明文信息，这阻碍了对于软件输出数据内容的鉴别，使得输入输出数据的比对也变得很困难；网络数据流中和多条数据流之间的消息重组，会导致软件输出数据和输入数据的匹配误报率大大提升；经过针对性设计的软件可以改变隐私数据在网络输出数据流中序列结构，使之具有随机化的长度和顺序，将真实的隐私数据隐藏于噪音数据之中，会导致软件的检测率大幅下降。

恶意软件行为建模与分析是近年来备受关注的重要研究问题，已有不少的成熟的理论模型和分析方法，但是不同的方法都具有各自适用性和局限性，具体到软件隐私泄露行为分析这个新的热点问题上还存在一些尚未解决的问题。

在实现本发明实施例的过程中，发明人发现现有的软件隐私泄露行为的分析方法未针对目标软件的具体特性进行分析，从而导致软件隐私泄露行为分析不够严谨。

发明内容

由于现有的软件隐私泄露行为的分析方法未针对目标软件的具体特性进行分析，而导致软件隐私泄露行为分析不够严谨的问题，本发明提出一种软件隐私泄露行为的分析方法及装置。

第一方面，本发明实施例提出一种软件隐私泄露行为的分析方法，包括：

根据目标软件的属性值，构建软件隐私泄露行为模型；

根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；

根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。

优选地，所述目标软件的属性值与单个隐私的属性值对应。

优选地，所述隐私泄露路径在源位置和判决位置之间的变迁数比所述隐私泄露路径在源位置和判决位置之间的位置数少1。

优选地，所述软件隐私泄露行为模型中的软件隐私泄露行为的类型包括：普通文件型泄露行为、应用程序型泄露行为、系统信息型泄露行为和动态输入型泄露行为。

优选地，所述根据目标软件的属性值，构建软件隐私泄露行为模型之前，还包括：

获取目标软件数据访问的第一隐私数据和数据传输的第二隐私数据；

若判断获知所述第一隐私数据和所述第二隐私数据相同，则确定所述目标软件的行为为软件隐私泄露行为。

第二方面，本发明实施例还提出一种软件隐私泄露行为的分析装置，包括：

模型构建模块，用于根据目标软件的属性值，构建软件隐私泄露行为模型；

路径计算模块，用于根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；

定性指标确定模块，用于根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。

优选地，所述目标软件的属性值与单个隐私的属性值对应。

优选地，所述装置还包括：

隐私数据获取模块，用于获取目标软件数据访问的第一隐私数据和数据传输的第二隐私数据；

隐私泄露确定模块，用于若判断获知所述第一隐私数据和所述第二隐私数据相同，则确定所述目标软件的行为为软件隐私泄露行为。

由上述技术方案可知，本发明实施例通过目标软件的属性值构建软件隐私泄露行为模型，并进一步计算隐私泄露路径和隐私泄露模块，从而得到目标软件的隐私泄露行为的定性指标，使得软件隐私泄露行为的分析结合了严谨的数学运算，其分析结果更为严谨和准确。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种软件隐私泄露行为的分析方法的流程示意图；

图2为本发明一实施例提供的一种软件隐私泄露行为的分析装置的结构示意图。

具体实施方式

下面结合附图，对发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

图1示出了本发明一实施例提供的一种软件隐私泄露行为的分析方法的流程示意图，包括：

S101、根据目标软件的属性值，构建软件隐私泄露行为模型；

其中，隐私泄露行为可以被定义为如下的四元组：

PL(p_ctg,p_cont,p_proc,p_dest)

p_ctg,p_cont,p_proc p_dest这四个属性值和单个隐私的属性值对应，PL中的四个值是对于整个目标软件而言的，它刻画了该软件的整体隐私泄露行为。

这个四元组的计算是依据两方面的数据，一方面是全局PPN本身的静态结构，包括模块的组合方式、位置、变迁和弧上的变量设置；另一方面是模型运行以后，代表隐私泄露实例的令牌的最终属性值。

S102、根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；

其中，计算过程依据三条规则：路径规则，模块规则和全局规则。首先依据路径规则计算出单条隐私路径的各项指标，然后依据模块规则计算出单一模块的各项指标，最后将模块指标依据全局规则计算出最终的结果。

路径是泄露路径等价于隐私实例具有泄露可达性，因此路径PL是由沿着该路径移动的隐私实例的属性值计算的。假设path₁＝p₁t₁p₂…p_n-1t_n-1p_n是一条泄露路径，在它的源位置和判决位置之间有n-1个变迁，它们的相关布尔表达式是e_i,1≤i≤n-1。如果一个隐私实例inst₁在path₁上完成了移动，那么所有的变迁都应被触发，也就是说所有的表达式都是要被满足，所以路径PL的计算方式如下：

PL_path1＝(inst₁.Ctg,inst₁.Cont,inst₁.Proc,inst₁.Dest)

其中E₁＝e₁∧e₂∧…∧e_i为真。

模块包含了多条可能的泄露路径，因此模块PL是根据模块中所有的泄露路径计算出来的。如果模块m₁中有j条不同的泄露路径，每条路径相关的表达式为e_j，1≤i≤m，那么模块PL如下计算：

PL_m1＝PL_path1∨PL_path2∨…∨PL_pathj.

其中E_m＝E₁∨E₂∨…∨E_j为真.

符号“∨”表示元素中各属性的联合，将各属性值视为元素进行合并，相同的内容保留一次，但是记录次数。

S103、根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。

其中，包含完整隐私泄露行为的全局PPN中至少含有未授权数据访问模块中的泄漏路径和秘密数据传输模块中的泄露路径各一条。因此全局PL将如下计算：

PL_global＝(PL_da1∨PL_da2∨…∨PL_daN)∧(PL_ct1∨PL_ct2∨…∨PL_ctM)

其中E_global＝(E_da1∨E_da2∨…∨E_daN)∧(E_ct1∨E_ct2∨…∨E_ctM)为真。

PL_global是全局隐私泄露行为元组，给出了目标软件整体行为级别的定性指标。它是由构成全局PPN的模块计算而来的，包括表示未授权数据访问的模块da1至daN和表示秘密数据传输的模块ct1至ctM。由于软件泄露的数据源可能是多种多样的，传输的协议也可能使用多种，因此我们对于同类模块的元组使用了符号“∨”，计算方式和上述相同。新引入的符号“∧”主要针对路径属性而言，表示路径的连接，其他的属性值进行合并，由于ctg通常只在da类模块出现，dest通常只在ct类模块出现，因此合并的概念比模块规则计算时多了一层概念，就是补全原有的空属性。

所述软件隐私泄露行为模型又称为隐私Petri网(Privacy Petri Net,PPN)。Petri网是对离散并行系统的数学表示，是一种适合于描述异步并发现象的系统模型，它既有严格的数学定义，又有直观的图形表示，既有丰富的系统描述手段和系统行为分析技术，又为计算机科学提供坚实的概念基础，已有理论证明，Petri网的模拟能力与图灵机(Turing Machine)等价，研究领域趋向认为Petri网是所有流程定义语言之母。PPN是一种高级Petri网模型，结合并扩展了已有的一些高级Petri网模型的特点，例如着色Petri网，随机Petri网等，加入了建模隐私泄露行为的一些特有模型元素、相关算法和判定规则。

PPN有三个方面的主要特点：首先，PPN具有形式化的定义，为精准的描述目标软件的行为提供的数学基础，是PPN赖以定义各种行为属性的基础；其次，PPN具有简洁精炼的图形化表示原语，能够提供直观易懂的软件行为表达方式，并且基于这些图形原语，定义了特殊的图形结构，依据这种结构可以分析、判定和评估软件行为的各种特性与相关指标；最后，PPN还采用了高度模块化的建模方法，通过扩展和组合已有的模块，可以快速的构建新的全局模型。总之，利用PPN可以构造出具有各种类型的具有隐私泄露行为的模型，为后续的分析提供模型基础。

本实施例通过目标软件的属性值构建软件隐私泄露行为模型，并进一步计算隐私泄露路径和隐私泄露模块，从而得到目标软件的隐私泄露行为的定性指标，使得软件隐私泄露行为的分析结合了严谨的数学运算，其分析结果更为严谨和准确。

进一步地，在上述方法实施例的基础上，所述目标软件的属性值与单个隐私的属性值对应。

通过将目标软件的属性值与单个隐私的属性值对应，能够便于模型的计算。

进一步地，在上述方法实施例的基础上，所述隐私泄露路径在源位置和判决位置之间的变迁数比所述隐私泄露路径在源位置和判决位置之间的位置数少1。

通过设置变迁数比位置数少1，使得每个位置之间均存在变迁。

进一步地，在上述方法实施例的基础上，所述软件隐私泄露行为模型中的软件隐私泄露行为的类型包括：普通文件型泄露行为、应用程序型泄露行为、系统信息型泄露行为和动态输入型泄露行为。

其中，普通文件型泄露行为主要指泄露普通文件型的隐私数据，例如包含个人信息的普通文件，用户的个人文档，照片，视音频等等；文件型隐私数据的内容是文件路径和文件名等等。

应用程序型泄露行为主要指泄露用户常用软件使用过程中留下的痕迹，如用户的浏览器历史文件，播放器播放记录等等；应用程序型的内容应该是应用程序相关的，涉及用户隐私的数据，如身份信息，账号密码，配置文件，历史记录，操作偏好等等。

系统信息型泄露行为主要指泄露能够和用户个人相关联的重要系统信息，如用户的主机上的用户名，网络配置参数等等；系统信息型数据的内容包括：系统用户名，登陆密码，注册表关键键值，网络配置，最近访问路径，重要软硬件参数等等。

动态输入型泄露行为主要指泄露通过外设动态输入的隐私数据，如键盘鼠标记录，摄像头等等；动态生成型数据则包括可能涉及用户输入账号密码、编辑文档、聊天记录等的击键序列记录，涉及用户网页访问习惯的鼠标点击和移动轨迹记录，涉及用户人身隐私的摄像头之类的视频采集信息等等。

更进一步地，在上述方法实施例的基础上，所述方法还包括：

S104、获取目标软件数据访问的第一隐私数据和数据传输的第二隐私数据；

S105、若判断获知所述第一隐私数据和所述第二隐私数据相同，则确定所述目标软件的行为为软件隐私泄露行为。

其中，泄露行为数据去向主要是指数据秘密传输的结果。根据不同的传输协议来区分，主要包括HTTP，FTP和Socket协议。传输的具体内容，远程服务器的地址也是需要分析的内容。

在实际的应用软件中，很多正常软件也具有和隐私泄露软件类似的数据交换行为，包括对于本地的数据访问和与远端服务器的数据传输等基本的步骤，如何有效的区分这些正常的数据交换行为和隐私泄露行为是必须考虑的问题。

本实施例从数据层面分析，如果数据交换的两个基本步骤——数据访问和数据传输所操作的均是相同的涉及隐私的数据，才被视为隐私泄露，某些正常软件虽然访问了本地的隐私数据，但是与远端服务器交互的只是正常的控制信号等等，在这样的约束条件下就不会被误报为隐私泄露行为。

另外，还可以从软件层面和行为层面进行分析。软件层面：每种正常软件都有自己正常的功能和合理的数据操作范围，一般来说，软件只应该操作本身关注的数据，不应越权访问其他的数据。以文件型数据操作为例，如果某款软件频繁的访问其自身目录以外的文件，或者本应该关注特定类型文件的应用软件频繁访问其他类型的文件，我们认为它的行为构成了隐私泄露行为。行为层面：在某些情况下，部分正常的应用软件确实需要访问敏感的隐私数据并进行传输，那么它必须给以用户提示并得到用户的主动授权，否则我们也将其视为隐私泄露行为。

图2示出了本发明一实施例提供的一种软件隐私泄露行为的分析装置的结构示意图，所述装置包括：模型构建模块21、路径计算模块22和定性指标确定模块23；其中，

所述模型构建模块21用于根据目标软件的属性值，构建软件隐私泄露行为模型；

所述路径计算模块22用于根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；

所述定性指标确定模块23用于根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。

具体地，所述模型构建模块21根据目标软件的属性值，构建软件隐私泄露行为模型；所述路径计算模块22根据所述软件隐私泄露行为模型，计算得到所述软件隐私泄露行为模型中的隐私泄露路径，并根据所有所述隐私泄露路径，计算得到隐私泄露模块；所述定性指标确定模块23根据所述隐私泄露模块，计算得到全局隐私泄露行为元组，并根据所述全局隐私泄露行为元组，得到所述目标软件的隐私泄露行为的定性指标。

进一步地，在上述装置实施例的基础上，所述目标软件的属性值与单个隐私的属性值对应。

进一步地，在上述装置实施例的基础上，所述隐私泄露路径在源位置和判决位置之间的变迁数比所述隐私泄露路径在源位置和判决位置之间的位置数少1。

进一步地，在上述装置实施例的基础上，所述软件隐私泄露行为模型中的软件隐私泄露行为的类型包括：普通文件型泄露行为、应用程序型泄露行为、系统信息型泄露行为和动态输入型泄露行为。

更进一步地，在上述装置实施例的基础上，所述装置还包括：

隐私数据获取模块24，用于获取目标软件数据访问的第一隐私数据和数据传输的第二隐私数据；

隐私泄露确定模块25，用于若判断获知所述第一隐私数据和所述第二隐私数据相同，则确定所述目标软件的行为为软件隐私泄露行为。

本实施例所述的软件隐私泄露行为的分析装置可以用于执行上述方法实施例，其原理和技术效果类似，此处不再赘述。

本发明的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

Claims

1.一种软件隐私泄露行为的分析方法，其特征在于，包括：

根据目标软件的属性值，构建软件隐私泄露行为模型；

2.根据权利要求1所述的方法，其特征在于，所述目标软件的属性值与单个隐私的属性值对应。

3.根据权利要求1所述的方法，其特征在于，所述隐私泄露路径在源位置和判决位置之间的变迁数比所述隐私泄露路径在源位置和判决位置之间的位置数少1。

4.根据权利要求1所述的方法，其特征在于，所述软件隐私泄露行为模型中的软件隐私泄露行为的类型包括：普通文件型泄露行为、应用程序型泄露行为、系统信息型泄露行为和动态输入型泄露行为。

5.根据权利要求1所述的方法，其特征在于，所述根据目标软件的属性值，构建软件隐私泄露行为模型之前，还包括：

6.一种软件隐私泄露行为的分析装置，其特征在于，包括：

7.根据权利要求6所述的装置，其特征在于，所述目标软件的属性值与单个隐私的属性值对应。

8.根据权利要求6所述的装置，其特征在于，所述隐私泄露路径在源位置和判决位置之间的变迁数比所述隐私泄露路径在源位置和判决位置之间的位置数少1。

9.根据权利要求6所述的装置，其特征在于，所述软件隐私泄露行为模型中的软件隐私泄露行为的类型包括：普通文件型泄露行为、应用程序型泄露行为、系统信息型泄露行为和动态输入型泄露行为。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：