[发明专利]基于透明度的取证效果评估方法、取证分析装置及方法

权利要求书

1.基于透明度的取证效果评估方法，其特征在于，所述透明度是指对取证分析环境与原生系统环境在系统属性方面存在的差异性度量，所述方法包括：

步骤1：设定属性重要性阈值w0和差异显著性水平α；

步骤2：将属性权重值大于所述属性重要性阈值的系统属性记为重要属性A_i，并构建重要属性集M，将属性权重值不大于所述属性重要性阈值的系统属性记为次要属性B_j，并构建次要属性集N，i＝1,2,...,m,j＝1,2,...,n；

步骤3：获取对被评估取证分析环境公开的指纹特征Q＝{x₁,x₂,...,x_i,...,x_m+n},x_i∈M∪N以及各指纹特征的属性权重值；

步骤4：根据各指纹特征的属性权重值，利用设定的透明度函数和检测函数得到被评估取证分析环境的透明度评估结果，所述透明度函数用于计算各指纹特征的透明度，所述检测函数用于计算针对被取证分析的程序P，判定发现被取证分析环境的概率；

所述透明度函数为：

其中，U(Q)∈[0,1]，w(x_i)表示指纹特征x_i的属性权重值，I(*)为符号函数，P(*)表示状态分布中Z(*)所对应的概率，表示原生系统环境S中X取值的中位数或给定的标准值，SE(X)表示原生系统环境S中X取值的标准差；其中，透明度U(Q)＝0时，表示完全透明；U(Q)＝1时表示完全不透明；

所述检测函数为：

2.一种动态root攻击取证分析装置，其特征在于，所述装置以权利要求1所述的方法作为建立透明取证分析装置的依据，所述动态root攻击取证分析装置包括：基于裸机的运行环境、近透明取证系统和取证分析系统；

所述基于裸机的运行环境，构建于真实的裸机平台上，不开启新的硬件接口，并构建有真实硬件设备的运行记录；

所述近透明取证系统设置在内核中，包括Snip schedule快照调度器，所述Snipschedule快照调度器采用被动唤醒策略，所述被动唤醒策略指当攻击触发时，唤醒Snipschedule快照调度器对内存页当前状态进行快照留存，并将快照传送至取证分析系统；

所述取证分析系统，用于根据接收的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。

3.一种动态root攻击取证分析方法，其特征在于，所述方法采用权利要求2所述的动态root攻击取证分析装置进行取证分析，所述方法包括：

步骤1：检测task_struct中各进程的state变量，一旦进程切换为运行态，则唤醒近透明取证系统，对当前进程进行快照取证；

步骤2：取证分析系统根据取证到的快照对内核进程数据、proc文件和task_struct相关数据进行交叉比对分析。

4.根据权利要求3所述的方法，其特征在于，所述对当前进程进行快照取证的过程为：

步骤1.1：关闭内核抢占，记录当前进程为prev，获取当前运行队列；

步骤1.2：检测prev进程的状态是否为运行态：若是，则执行步骤1.3，若否，则执行步骤1.6；

步骤1.3：判断prev进程是否处于可中断状态且有信号等待处理：若是，则执行步骤1.4，若否则执行步骤1.5；

步骤1.4：将prev进程的状态设置为运行态；

步骤1.5：将prev进程从运行队列中删除；

步骤1.6：对当前运行队列进行适配调整；

步骤1.7：从当前运行队列中选出要切换的进程next；

步骤1.8：将next进程的id和权限记录到Privilege-buf中；

步骤1.9：进行进程切换；

步骤1.10：检测need_resched标志是否置位：若是，则返回步骤1.1，若否，则取证结束。